从安全角度普及一下区块链
除非你生活在末日之城,或者断网已久,否则你不太可能没听说过今年大火的热词“区块链”。不过,你真的了解这个新兴技术到底意味着什么吗?
汇丰银行最近对11个国家的1.2万人做了问卷调查,发现80%的人都不知道区块链的运作机制。别担心,你不是一个人,很多人都对区块链一头雾水。虽然我们大部分人对区块链一问三不知,但专家知道呀。我们可以听听专家们对区块链深入浅出的解释。
区块链是什么?
区块链就是个维护着记录列表的分布式数据库。每条记录被称为一个区块,每个区块包含了之前每一个区块的历史。
《区块链革命》一书的作者丹·塔普斯科特和阿列克斯·塔普斯科特这么描述区块链:不会被篡改的经济交易数字账簿,不仅可记录金融交易,基本上任何有价值的东西都能记录。
商业技术媒体ZDNet的史蒂夫·威尔森说:
“
区块链,就是互不相识的人用以管理数字现金的一个算法和分布式数据结构,这其间不存在中央管理员这种角色。区块链技术最先是为加密货币比特币设计的,区块链架构的驱动力,是对政府所发货币和银行所控支付的排斥。
威尔森将区块链描述为,“分布式记账技术(DLT)的特殊实例,基本上随比特币的出现而兴起。”
上面列出的定义都对,但这3个定义依然让我们迷惑,这不过这次,我们好歹是透过不甚清晰的镜片看区块链了。
通过上面的定义,我们可以知道:区块链涉及数字账簿技术,每笔经济交易都能计入区块中(带着日期、时间戳和加密),每个区块链回到之前的区块,任何单个区块自身是毫无意义的。
区块链是怎么运作的?
米歇尔·阿列西,欧洲创新与技术研究所(EIT)商业开发经理,认定“区块链技术可能是互联网面世以来最棒的发明。”
阿列西说:“假设你和我为旧金山明天的天气打赌50美元。我赌明天天晴,你赌明天下雨。那么今天,我们有3种选择可以管理这笔交易:
1. 我们互相信任
无论天晴还是下雨,输家都会付给赢家50美元。如果我们是朋友,这可能是不错的赌约履行方式。然而,无论是朋友还是陌生人,都有可能发生其中一方拒不支付的状况。
2. 我们可以将赌约以合同的方式签订
有了合同,双方都更有可能支付赌金。但是,只要其中一方决意不支付,赢家反而要拿出更多金钱来支付律师费,而且裁定可能会耗时很久。尤其是在合同金额很小的情况下,这种方式就不是管理交易的最优选择了。
3. 我们可以引入中立第三方
打赌双方都支付50美元给第三方,然后第三方将总金额交给赢家。但是,这第三方也有可能携款潜逃。于是,我们最终又回到之前2种选择:信任,或者订合同。
阿列西进一步解释道:
“
采用区块链,我们可以写几行代码——运行在区块链上的一个程序,双方都往里面付出50美元。该程序会保管这100美元,然后在几个数据源上自动查看明天的天气。无论天晴还是下雨,该程序都会自动将赌金总额转给赢家。参与各方都可以查看合约逻辑,一旦合约在区块链上执行,就再也不能被更改或终止。对于50美元赌金而言,这种做法或许略为复杂,但如果是房屋买卖或者公司并购呢?
区块链在线教育平台“区块极客(Blockgeeks)”,对区块链的定义更加简洁:
“
可以想象成计算机网络中被复制了上千次的一张电子表格。然后设想该网络是用于频繁更新这张电子表格的,这样你就对区块链有个基本了解了。
“区块极客”进一步阐述了这一电子表格类比:共享协作文档的传统方式,是向另一接收者发送Word文档,然后请求他们对之做出修订。这种模式的问题是,其他人在做修改时,你是无法看到并同时修订该文档的,你只能等别人改好了再发给你后才可以看到并继续修改。
这就是当今数据库的运作方式。同一份记录不能被多名拥有者同时操作。银行维护余额和转账交易也是这么干的:在转账时锁定(或减去)余额,然后更新另一端,然后再重写开放对余额的访问(或再次更新)。
谷歌Docs或谷歌Sheets的情况,则是参与双方都可同时访问同一份文档,该文档的单一版本总是双方可见。这就像是共享账簿,但实质上是共享文档。当共享涉及多人时,分布式的部分就开始显现了。
使用共享谷歌Doc的时候,你可以实时看到所有更新。有别于谷歌Docs的是(可以编辑、删除条目),区块链是不可更改的账簿,你写入区块和被别记入区块都是公开可见的——永久的、不容置疑的、始终如一的、固定的。
区块链安全
区块链应用被黑的可能性,是应被主要考虑的安全问题。谁能忘记2016年8月造成价值7.3亿美元的比特币被盗的Bitfinex黑客事件呢?美国科技博客TechCrunch写道:“该黑客事件的发生原因至今不甚明朗。我们所知道的,仅仅是该公司的多签名账户被黑了。”
其他重要的区块链安全顾虑包括:
恶意攻击
与现有网络系统的融合
加密密钥材料管理
网络服务质量
防止区块链攻击至关重要。老实说,英国电信(BT)在10月31日被授予一项区块链攻击缓解的专利时,还是挺令人震惊的。
区块链怎么对安全做贡献?
总体上,区块链技术用以强化安全的优势尚有待开发。我们都知道,物联网(IoT)已成为黑客的后花园,也是安全的阿喀琉斯之踵。我们只需回溯到2016年10月,就能意识到,Mirai僵尸网络对Dyn公司的DDoS攻击,已经为我们敲响了从网络摄像头到路由器之类IoT设备脆弱性的警钟。
DesignNews家装安全网站的克里斯·威尔兹在一篇文章中写道:“区块链是IoT安全的关键”。文章中,威尔兹提到了爱立信研究中心可信计算高级专家本·施密茨,在 Arm TechCon 2017 技术大会上,关于将区块链技术用于保护IoT设备的安全解决方案演讲。
“
施密茨及其团队的解决方案,不是堆积额外的身份验证层,而是分散它们。这就是区块链入场的地方了。因为区块链通过全网用户及设备共享的分布式加密账簿起效,它就创建了一个身份验证网络,可被验证且不易被黑。实现了区块链,设备若没有被整个账簿验证,就无法访问网络。这种情况下,Mirai这样的攻击会遭遇大得多的困难,几乎不可能成功,因为黑客必须修改整个账簿,而不仅仅是某个设备的凭证。
同时,纳斯达克的吉尔·里奇蒙德,将区块链的网络安全优势归纳为3个主要功能:
封锁身份窃贼
防止数据篡改
阻止分布式拒绝服务(DDoS)攻击
在文章中,里奇蒙德辩称:
“
区块链提供的,不仅仅是传统终端防护,而是全面的整体防护,包含有用户身份安全、交易及通信基础设施安全、通过透明性及审计得到的业务安全,还有对恶意内部人、被黑节点或服务器宕机的防护。所有这些都可以通过区块链加以解决,因为安全和隐私是该协议的核心,而不是什么补充性考虑。
总结
或许有点炒作区块链技术的嫌疑。但我们需要改变,我们需要前瞻,我们需要让坏人深陷“糟了,如今没招儿了”的泥潭。
我们需要宣扬能束缚住坏人手脚的先进安全解决方案,止住当前传统安全解决方案中如洪水般不断喷涌而出的安全失败。
最后,再说点儿有关区块链的细枝末节的信息。链上的任一区块,都有一个起始区块,短一些的链上的区块是无用的,常被称作“孤儿”区块。
相关阅读