探索中国CIO人才现状 | 第四季调研报告
专家大肆宣传阐明区块链安全
2016-10-11  来源:techtarget

随同大肆宣传报道,产生了足够多的问题围绕着区块链技术,尤其涉及到区块链安全。一个专家组负责解答这些疑惑。

近来出现大量宣传,关于区块链技术,尤其是为了存储交易记录的分散管理的数据库的潜在深远的利益。兴奋背后是很多承诺:比特币和其它加密货币后面的防干扰技术有可能改变在过剩的垂直产业譬如金融服务、房地产、保险和医疗中的业务完成方式。甚至国家政府正追逐可能为全国的方案的区块链优势:爱沙尼亚正与区块链创业公司合作,用技术保护公民的100万份电子病历。

尽管如此,伴随着吹捧潜在用户案例的声音,已经出现了一些棘手的问题,关于区块链系统各方面,尤其是区块链安全。最近的事件,譬如Slock 的360万以太坊货币被盗。DAO(分散的自治组织)基金,也揭露了这个备受讨论的技术的潜在缺陷。

MIT斯隆商学院CIO讨论会区块链会议的听众会员表达了一些关注。以下是区块链专家组针对他们问题的回复。

实际上什么数据放到区块链上?用户能得到多少控制权?

在一个公共的区块链系统中,用户的信息没被存在区块链,而是放在第三方,譬如Amazon。放在网络上的是存在区块链每一“块”(“块”是设定时间段内发生的交易的相关数据集合)的交易信息的加密哈希值。专家小组成员Anders Brownworth,是基于区块链支付app的公司Circle的首席工程师。他说,哈希证明了用户在特定时间点没有暴露用户信息而完成交易。交易经过挖掘者(miners)验证。挖掘者是网络上的系统,负责解决复杂的交易相关算法,然后根据区块链的每一块获得一定量的比特币作为奖赏。

“你不准备把所有东西都放到区块链上,因为每人都有一份信息的完全拷贝是没有道理的。”

Peter Nichol,PA Consulting Group的医疗专家,说哈希是用来验证交易和功能,比如访问控制。

“你已经熟悉的很多标准,譬如NIST和其他已经控制信息访问级别的,仍然可以应用。”他说。

区块链用例和区块链安全效益是吹嘘过头的吗?它到底有多安全?

Brownworth承认区块链夸大其词,真正安全和防干扰的区块链记录系统仍然是理论上的。但是,在看过技术背后的代码后,Anders相信安全是它固有的。

“我们没有把帽子挂在政府机关或特定群体的人头上,我们把帽子挂在对数学。密码学的完全信任上。那对我比一群人更加有效。”他说。

Brownworth补充道数据库自身的本质证明区块链的安全性:它依赖于它的挖掘者,不断地尝试打开端到端网络的正确哈希,使用它们的硬件和软件,去解决一块并访问它的信息——基本上相当于蛮力破解。

“他们所做的是采取这种攻击,然后将之转成良性力量,所以代替网络攻击去消灭它,它奖赏给他们一些经济收益,” Brownworth还补充道,衡量技术安全性的一种方法是它的“70亿美元奖金”——整个系统值多少,还有待认领。

但是即使区块链系统据称是安全的,用户缺陷怎么办?一个听众会员提出最近的多达12家链接到全球金融系统Swift的银行的计算机系统缺口。由于一份秘钥被盗,黑客是有机可趁的。Brownworth承认区块链不一定能对社交工程攻击免疫,但是那并不意味着代码有什么问题。

“偷窃认证信息,然后在网络上发起有效请求,用有效证书签名……那不是对抗加密的直接攻击,”他说。密码学,比人们必须记住并且紧紧抓住私钥要更靠谱些。

Rex Mercury Inc 的合伙人Matthew Utterback赞成道,因为这个原因,人们不会全心信任银行。

“每一位我合作过的伙伴都有银行失误的经验。我们显然需要在私钥方面教育人们。然而,能有开放源码评估,我们可以看到代码,并且看过后,我晚上睡觉更安稳,”他说。

检验区块链安全和隐私的讨论的第二部分:行业专家处理区块链隐私和数字化身份