查看原文
其他

从安全角度普及一下区块链

2017-11-27 nana 安全牛

除非你生活在末日之城,或者断网已久,否则你不太可能没听说过今年大火的热词“区块链”。不过,你真的了解这个新兴技术到底意味着什么吗?



汇丰银行最近对11个国家的1.2万人做了问卷调查,发现80%的人都不知道区块链的运作机制。别担心,你不是一个人,很多人都对区块链一头雾水。虽然我们大部分人对区块链一问三不知,但专家知道呀。我们可以听听专家们对区块链深入浅出的解释。


区块链是什么?


区块链就是个维护着记录列表的分布式数据库。每条记录被称为一个区块,每个区块包含了之前每一个区块的历史。


《区块链革命》一书的作者丹·塔普斯科特和阿列克斯·塔普斯科特这么描述区块链:不会被篡改的经济交易数字账簿,不仅可记录金融交易,基本上任何有价值的东西都能记录。


商业技术媒体ZDNet的史蒂夫·威尔森说:


区块链,就是互不相识的人用以管理数字现金的一个算法和分布式数据结构,这其间不存在中央管理员这种角色。区块链技术最先是为加密货币比特币设计的,区块链架构的驱动力,是对政府所发货币和银行所控支付的排斥。


威尔森将区块链描述为,“分布式记账技术(DLT)的特殊实例,基本上随比特币的出现而兴起。”


上面列出的定义都对,但这3个定义依然让我们迷惑,这不过这次,我们好歹是透过不甚清晰的镜片看区块链了。


通过上面的定义,我们可以知道:区块链涉及数字账簿技术,每笔经济交易都能计入区块中(带着日期、时间戳和加密),每个区块链回到之前的区块,任何单个区块自身是毫无意义的。


区块链是怎么运作的?


米歇尔·阿列西,欧洲创新与技术研究所(EIT)商业开发经理,认定“区块链技术可能是互联网面世以来最棒的发明。”


阿列西说:“假设你和我为旧金山明天的天气打赌50美元。我赌明天天晴,你赌明天下雨。那么今天,我们有3种选择可以管理这笔交易:


1. 我们互相信任


无论天晴还是下雨,输家都会付给赢家50美元。如果我们是朋友,这可能是不错的赌约履行方式。然而,无论是朋友还是陌生人,都有可能发生其中一方拒不支付的状况。


2. 我们可以将赌约以合同的方式签订


有了合同,双方都更有可能支付赌金。但是,只要其中一方决意不支付,赢家反而要拿出更多金钱来支付律师费,而且裁定可能会耗时很久。尤其是在合同金额很小的情况下,这种方式就不是管理交易的最优选择了。


3. 我们可以引入中立第三方


打赌双方都支付50美元给第三方,然后第三方将总金额交给赢家。但是,这第三方也有可能携款潜逃。于是,我们最终又回到之前2种选择:信任,或者订合同。


阿列西进一步解释道:


采用区块链,我们可以写几行代码——运行在区块链上的一个程序,双方都往里面付出50美元。该程序会保管这100美元,然后在几个数据源上自动查看明天的天气。无论天晴还是下雨,该程序都会自动将赌金总额转给赢家。参与各方都可以查看合约逻辑,一旦合约在区块链上执行,就再也不能被更改或终止。对于50美元赌金而言,这种做法或许略为复杂,但如果是房屋买卖或者公司并购呢?


区块链在线教育平台“区块极客(Blockgeeks)”,对区块链的定义更加简洁:


可以想象成计算机网络中被复制了上千次的一张电子表格。然后设想该网络是用于频繁更新这张电子表格的,这样你就对区块链有个基本了解了。


“区块极客”进一步阐述了这一电子表格类比:共享协作文档的传统方式,是向另一接收者发送Word文档,然后请求他们对之做出修订。这种模式的问题是,其他人在做修改时,你是无法看到并同时修订该文档的,你只能等别人改好了再发给你后才可以看到并继续修改。


这就是当今数据库的运作方式。同一份记录不能被多名拥有者同时操作。银行维护余额和转账交易也是这么干的:在转账时锁定(或减去)余额,然后更新另一端,然后再重写开放对余额的访问(或再次更新)。


谷歌Docs或谷歌Sheets的情况,则是参与双方都可同时访问同一份文档,该文档的单一版本总是双方可见。这就像是共享账簿,但实质上是共享文档。当共享涉及多人时,分布式的部分就开始显现了。


使用共享谷歌Doc的时候,你可以实时看到所有更新。有别于谷歌Docs的是(可以编辑、删除条目),区块链是不可更改的账簿,你写入区块和被别记入区块都是公开可见的——永久的、不容置疑的、始终如一的、固定的。


区块链安全


区块链应用被黑的可能性,是应被主要考虑的安全问题。谁能忘记2016年8月造成价值7.3亿美元的比特币被盗的Bitfinex黑客事件呢?美国科技博客TechCrunch写道:“该黑客事件的发生原因至今不甚明朗。我们所知道的,仅仅是该公司的多签名账户被黑了。”


其他重要的区块链安全顾虑包括:


  • 恶意攻击

  • 与现有网络系统的融合

  • 加密密钥材料管理

  • 网络服务质量


防止区块链攻击至关重要。老实说,英国电信(BT)在10月31日被授予一项区块链攻击缓解的专利时,还是挺令人震惊的。


区块链怎么对安全做贡献?


总体上,区块链技术用以强化安全的优势尚有待开发。我们都知道,物联网(IoT)已成为黑客的后花园,也是安全的阿喀琉斯之踵。我们只需回溯到2016年10月,就能意识到,Mirai僵尸网络对Dyn公司的DDoS攻击,已经为我们敲响了从网络摄像头到路由器之类IoT设备脆弱性的警钟。


DesignNews家装安全网站的克里斯·威尔兹在一篇文章中写道:“区块链是IoT安全的关键”。文章中,威尔兹提到了爱立信研究中心可信计算高级专家本·施密茨,在 Arm TechCon 2017 技术大会上,关于将区块链技术用于保护IoT设备的安全解决方案演讲。


施密茨及其团队的解决方案,不是堆积额外的身份验证层,而是分散它们。这就是区块链入场的地方了。因为区块链通过全网用户及设备共享的分布式加密账簿起效,它就创建了一个身份验证网络,可被验证且不易被黑。实现了区块链,设备若没有被整个账簿验证,就无法访问网络。这种情况下,Mirai这样的攻击会遭遇大得多的困难,几乎不可能成功,因为黑客必须修改整个账簿,而不仅仅是某个设备的凭证。


同时,纳斯达克的吉尔·里奇蒙德,将区块链的网络安全优势归纳为3个主要功能:


  • 封锁身份窃贼

  • 防止数据篡改

  • 阻止分布式拒绝服务(DDoS)攻击


在文章中,里奇蒙德辩称:


区块链提供的,不仅仅是传统终端防护,而是全面的整体防护,包含有用户身份安全、交易及通信基础设施安全、通过透明性及审计得到的业务安全,还有对恶意内部人、被黑节点或服务器宕机的防护。所有这些都可以通过区块链加以解决,因为安全和隐私是该协议的核心,而不是什么补充性考虑。


总结


或许有点炒作区块链技术的嫌疑。但我们需要改变,我们需要前瞻,我们需要让坏人深陷“糟了,如今没招儿了”的泥潭。


我们需要宣扬能束缚住坏人手脚的先进安全解决方案,止住当前传统安全解决方案中如洪水般不断喷涌而出的安全失败。


最后,再说点儿有关区块链的细枝末节的信息。链上的任一区块,都有一个起始区块,短一些的链上的区块是无用的,常被称作“孤儿”区块。 


相关阅读

以太币惊天大劫案

区块链可以改变世界 但确保其成功的唯一途径就是安全

从IBM三大前沿科技看量子计算、认知计算和区块链


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存