作者 | 邱祥宇
安全與隱私保護,是區塊鏈會議經常被拿來討論的話題。不出意外,在5月16日由巴位元主辦的2019杭州區塊鏈周•Chainge技術開放日上,“區塊鏈安全與隱私保護“再次成為會議重點設定的議題。
圓桌題目就是“區塊鏈安全與隱私保護“,是不是看起來毫無新意?但是安全和隱私保護是個“常談常新”的話題,每年都有新問題出現,而不同的嘉賓,甚至同一嘉賓在不同時期總能給出令人眼前一亮的觀點。
在這場圓桌論壇上,慢霧科技聯合創始人餘弦就提出了“隱私不是拿來保護的,隱私是拿來控制的”別緻觀點和“安全應該跟著業務走”的務實觀點。成都鏈安創始人楊霞從“訪問控制”的手段談了如何保護資訊資料安全。公信寶創始人黃敏強和PlatON CSO肖紫聞則從實踐的角度分享了可信計算和安全多方計算在區塊鏈安全與隱私保護的應用。
隱私不是拿來保護的,隱私是拿來控制的
餘弦認為,當人們在接觸網際網路的那一刻,就不存在所謂的個人隱私了。
作為一名駭客,餘弦在現實生活中,會使用電子郵箱,電商平臺,也偶爾在某些會議上拋頭露面。餘弦自嘲自己在網際網路上已經是透明的了。
“如果像我這樣的身份都是透明的,在座的各位如果你們接觸網際網路,就可以等同於也是透明的,更別提一大堆的個人隱私了,你的隱私控制權可能已經不在你的手上了。”
因此,餘弦給出一個結論:隱私不是拿來保護的,隱私是拿來控制的。
而區塊鏈在保護個人身份上具有獨到優勢,我們可以在區塊鏈上建立一套獨立的身份,這個身份無法跟個人真實身份關聯起來。我們可以透過控制這個獨立的身份保護自己的隱私。
透過強制訪問控制保護資料安全
楊霞除了是成都鏈安科技創始人外,同時也是電子科技大學教授,曾在航空航天等軍事領域做了很多關鍵安全工作。
對於使用者名稱和密碼這種在網際網路世界中經常被保護的資訊,楊霞提出了訪問控制的手段。所謂的訪問控制,就是基於使用者角色的訪問控制,即使你的使用者被別人竊取,也不能讓他隨意幹任何壞事,這是從系統上可以做到的。
在區塊鏈生態,私鑰的儲存、防竊取成為被保護的資訊,這裡面的安全,比傳統意義上的使用者名稱和密碼被別人竊取,所帶來的損害更大。楊霞表示,這一塊還需要區塊鏈團隊從學術上和技術上進行探索。
TEE/MPC保護隱私
為了保護企業資料以及個人的資料在計算和交換過程中不被洩露和不被竊取,公信寶採取的是“TEE硬體+自創密碼演算法”軟硬相結合的路線,常見的硬體是比較成熟的英特爾 SGX 晶片,但存在單節點依賴過大的問題。為了突破這一點,公信寶自創了兩個密碼演算法: DKMP (分散式金鑰管理協議)和 SSSG (安全金鑰分享組),來解決授權依賴和金鑰有問題,用節點推算金鑰,並且過程中如果金鑰丟失,可以透過節點計算修復,這是首要解決的。此外還計劃在Layer2擴充套件,用於解決在計算過程當中的效能問題。
PlatON聚焦在MPC上,以混淆電路的方式,使用者直接在本地將資料透過鏈路的印跡變成電路,然後傳輸過來進行計算,得出最後的結果。對於MPC存在的問題是:隨著計算方越來越多,演算法越來越複雜,效能會遇到瓶頸。PlatON目前從演算法和硬體的層面對效能進行最佳化和加速。
安全跟著業務走
餘弦認為,安全應該跟著業務走。
“一個新的世界出來的時候,業務肯定是先發展。很多人口頭上會說我非常重視安全,但是在實際行動上,安全的整個體系禁設,遠遠滯後於業務的發展。”
區塊鏈安全生態極其缺乏國家背書,使用者幣被盜被攻擊很難在現實中去報案,因為幾乎沒有立案依據。所以駭客可以肆無忌憚去攻擊交易所。作為一個安全公司,慢霧科技會透過自己的力量給安全事件做安全預警,但不會貿然說某個公鏈,某個交易所存在漏洞,以免給相關方帶來恐嚇。
支付有比特幣,匿名有門羅幣,使用者還需要Grin嗎?
Gary介紹了Grin的優勢,Grin在今年 1 月份上線,主要以支付為目的,是一個非常類似於比特幣的開發模式的專案,是基於minble-winble協議的隱私幣。在 mimblewimble 協議出來之前,有很多研究者在隱私性和規模可擴充套件性上不得不尋找平衡。
有了minble-winble協議,既能夠照顧隱私,同時它的計算量很小,同時它很簡潔,甚至於在鏈上,Grin 第一次在區塊鏈上能夠做減法,能夠把已經消耗的 UTXO,從鏈上能夠減掉,這是一個非常創新的地方。
隨著應用增長,它不會限制增長你的使用者量。此外還有其他方面的改進,未來 Grin 還有一些基於移動化的最佳化,也會非常有前景。
餘弦也對Grin的出現表示了讚許,因為minble-winble協議來自追求隱私和自由的暗網,創始人很神秘。然而在當前,門羅是最受暗網歡迎的幣種,Grin能否獲得暗網世界的更大支援,一定程度影響著Grin的接受度。
喵進來充電
哈嘍大家好,歡迎來到喵懂區塊鏈,我是不靠顏值靠才華的胖小喵。近期有小寶貝反饋說我們車開得太快,要趕不上我們的進度了~好,我們今天不燒腦,來給大家講一講你可能熟悉但又不瞭解的區塊鏈黑話!
