編者按
加拿大央行最近連續發表了多篇有關CBDC的論文,這是第三篇。CBDC系統的安全性是維繫公眾信任的基本要素,本文對現有的不同CBDC解決方案進行分類,圍繞CBDC系統中涉及的安全問題給出了較為全面的分析。
以下為已釋出的兩篇報告:
譯文 | 加拿大央行(一):CBDC中的隱私技術
譯文 | 加拿大央行(二):設計一種普遍可獲得的CBDC
本文探討了構建和部署中央銀行數字貨幣所涉及的安全問題。安全性是CBDC系統的基本質量,除了確保底層儲存和價值轉移的安全之外,安全性還涉及隱私和彈性方面問題。必須減輕威脅以保護資金的完整性和使用者的機密性,一個安全的CBDC系統將保持公眾對央行的信任。
關鍵資訊
安全必須滲透到CBDC的設計中。如果加拿大銀行選擇釋出一個CBDC,那麼安全性必須從一開始就針對CBDC的所有用例進行設計。透過持續測試、驗證保障措施、遵循最佳的實踐做法及定期對主要系統元件進行外部審計,可確保運作的安全性。
潛在的CBDC設計提供不同級別的安全性。依賴於中心化或分散式設計的解決方案會冒著犧牲保密性的風險最大化完整性和可用性。圍繞嵌入價值儲存的專用裝置構建的解決方案以犧牲完整性為代價消除了系統範圍內的風險。混合解決方案可以最大化可用性,但會增加風險和成本。
有許可的分散式賬本技術(DLT)系統如果作為CBDC解決方案部署,將需要額外的安全保障。公開的DLT不符合CBDC系統的風險配置。私有和有許可的DLT在設計上提供了冗餘和支付真實性(不可抵賴性),但增加了操作複雜性和漏洞。共享賬本更加透明但不那麼保密;分層賬本以犧牲完整性為代價增加了隱私。
本地價值儲存裝置具有極強的彈性。用以在本地儲存價值的專用單一用途裝置對於網路級別的攻擊或自然行為是健壯的。支援離線使用的CBDC“幾乎和現金一樣”(見Shah et al. 2020)。但是,裝置確實會帶來完整性風險,可能會被損壞或被盜。專用裝置加上可用的驗證服務是一種可行的CBDC選項。
CBDC生態系統一旦部署,將成為高價值目標。CBDC一旦釋出,可能會受到反對加拿大最佳利益的大型組織和國家越來越多的關注。央行必須採取適當的控制和程式,以降低這些高階長期威脅引發的大規模攻擊的風險。
分類
基本原理
安全性建立在機密性、完整性和可用性的概念上【1】。除了這些品質之外,CBDC系統還必須確保央行擁有發行和贖回的唯一權力。CBDC系統將需要利用成熟的網路安全技術和流程建立分層防禦戰略。由於安全性是CBDC的主要屬性,因此對安全性的考慮可能會約束所選CBDC解決方案的屬性和用例。
機密性
機密性意味著財產、交易和身份的隱私。儲存的資訊應該與操作CBDC系統所需的資訊一樣少,機密資訊的洩露大大增加了違約的嚴重程度。瞭解您的客戶(KYC)要求以及反洗錢(AML)和反恐融資(ATF)立法(見Darbha和Arora 2020)可能需要儲存和連線個人身份資訊(PII)以進行價值儲存和交易。
完整性
在所有CBDC用例中,必須加強對偽造和雙花的防護,同時也必須確保所有交易的正確性和最終性。與實物鈔票不同,CBDC系統的核心風險是雙花問題——也就是說,能夠多次消費相同價值。數字簽名可以消除偽造,但是需要額外的複製保護機制來避免雙花問題:這些機制包括在本地價值儲存裝置中的防篡改硬體、在中心分類帳中的組織權威或在分散式分類帳系統中的共識。
可用性
在CBDC環境中,可用性意味著系統抵禦大規模網路攻擊的能力。中斷,如分散式拒絕服務攻擊(DDoS)【2】或殭屍網路【3】攻擊,可能會暫時限制或禁用對系統的訪問。標準的網路安全技術可以加強公共終端以及連線系統以減輕此類攻擊的影響。
系統元件
CBDC系統可以向下拆分為便於進行安全性分析的功能子元件。不管是特定CBDC解決方案的性質及其底層的價值儲存,所有CBDC解決方案都將由一個面向使用者的、可互動連線遠端“後端”系統的“前端”元件構成。
前端元件可以是:
專用裝置
在移動裝置或桌面平臺上執行的軟體應用程式
網路介面
或者以上內容的結合
後端系統可至少包括:
安全、私密、有彈性的資料儲存系統
用於連線前端元件的一組面向公眾的訪問點
支援元件和冗餘元件(例如,防火牆,備份)
透過這種方式拆分CBDC解決方案,中央銀行可以在元件層和解決方案層對CBDC系統進行安全威脅評估。
風險預測
從安全的角度來看,系統風險與價值儲存的位置有關。將價值本地儲存在前端元件上的系統必須專注於保護終端使用者裝置和應用程式免受安全威脅,而將價值遠端儲存的系統必須更多地關注後端系統的安全性。將本地和遠端價值儲存連線到一個統一的CBDC系統混合設計可能最大化可用性,但由於威脅向量置換導致增加了系統風險。
根據值儲存的位置,CBDC的某些屬性會產生互斥。線上支付很容易透過中心化系統實現,而離線交易很容易透過專用裝置實現。交易的隱私性是另一個需要考慮的屬性,因為本地價值儲存裝置可能會嵌入交易歷史記錄。離線支付形式在災難(停電、網路故障)和危機時具有極強的彈性。這些因素和其他考慮描繪了擬議的CBDC系統風險預測。
技術選擇
中心化系統
一個典型的中心化系統是一個用以儲存賬戶和交易的集中式分類賬本,其中賬戶餘額來源於分類賬的當前狀態。這樣的系統可以是基於餘額或價值的,可以建立在中心化、分散式或聯盟基礎設施上。這些賬戶可以是偽匿名的,並且可以轉讓,只要知道一個隱私就足以證明其所有權。
中心化系統的安全配置檔案是成熟和可充分理解的。使用標準的IT安全策略,如專用連結、防火牆和白名單,可以減輕威脅。前端元件將連線到需要防止DDoS和其他網路攻擊的公共可用終端。
開放的分散式賬本技術
開放的DLT不適合作為CBDC解決方案。開放的DLT的安全狀況不能保證由央行控制貨幣發行或成員的參與。存在可能被有組織的犯罪分子或國家利用(高階長期威脅)來執行大規模攻擊的威脅。這樣的方法包括:
控制大部分節點
模擬節點來執行惡意操作
利用智慧合同中的漏洞(設計、工具和實現)
銀行將繼續監測開放DLTs,並將其作為一種創新和新出現的風險為在CBDC內使用有許可的DLTs提供了資訊。
有許可分散式賬本技術
從安全形度來看,有許可的DLT類似於集中式賬本,並且比開放的DLTs更適合CBDC解決方案。無論它們是共享架構還是分層架構,有許可的DLTs都將允許中央銀行:
控制發行(成員被審查並執行特定角色)
基於控制和訪問管理策略的粒度控制參與
透過密碼技術、賬本層和私有通道的組合來控制機密性
執行不可抵賴性以減輕參與方之間的爭議
有許可的DLTs仍容易受到串通、模仿和流氓行為等風險的影響。此外,節點互連、共識機制和隱私技術仍然容易受到與開放DLT系統相同的威脅。在參與機構中執行的單個節點成為高價值目標,因此每個節點可能需要類似於典型的中心化系統的分層防禦策略。因此,從基礎設施安全性的角度來看,使用有許可的DLT節省的成本可能微不足道。有限的訪問許可權和強大的治理可以保護節點互連和防止典型DLT攻擊的共識機制。但這需要參與實體之間的協調。
從隱私和商業模式的角度來看,持有額度和交易資料可能被分割給中介機構的分級分類賬系統很有吸引力;然而,分層DLT的部署可能會降低安全性。層與層之間的同步錯誤會導致雙花的風險,因為惡意的參與者可能會利用網路級別的攻擊來中斷分類帳節點之間的通訊。
專用裝置
與中心化系統不同的另一個極端是專用裝置。單一用途的專用CBDC裝置是可移植和安全的,可以在裝置上本地儲存價值、憑證、交易日誌和其他輔助資料。均支援線上和點對點CBDC傳輸,網路訪問是可選的,使得專用裝置在網路連線異常或缺失的危機時刻高度可用。
(1)防篡改
裝置通常依賴於防篡改硬體(例如,安全元件、物理不可克隆函式或等效的硬體)來維護CBDC的完整性和機密性。洩露會導致機密性和完整性的損失,因為使用者憑證、資金和交易資料都有被洩露的風險。此外,還必須保護由銀行政策產生的限制(例如交易金額和餘額的限制),因為修改這些限制可能導致CBDC資金的濫用。
文獻方面還不清楚防篡改裝置是否能在長時間離線使用時不被攻破。為了保護CBDC長時間離線執行,可能需要額外的防禦層,形式如下:
本地驗證機制以防止盜竊 (PIN、密碼或生物識別)
對餘額、交易數量和交易價值進行嚴格限制,以減輕違約的影響,並強制執行“反洗錢AML”法規
裝置上的分析——或者更實際地說,可信驗證服務的週期同步——以允許識別可疑的交易
持續可用(24/7/365)驗證服務,增強消費者和商家信心
延伸的離線使用,類似於現金的使用,仍然是一個開放的問題,銀行正在積極跟蹤這一研究領域。防篡改硬體加上驗證服務可能是一種可行的CBDC產品。
(2)智慧手機整合
CBDC可以本地儲存在智慧手機上,儘管這種情況下的安全性是出了名的困難。這是因為智慧手機可以執行多個併發應用程式,擁有開放的物理埠,並可以連線到任意網路。因此,在智慧手機上執行任何CBDC價值儲存和支援的應用程式都將面臨複雜的、多因素的威脅。此外,製造商對該平臺實施控制,可以限制對關鍵系統元件的訪問,包括嵌入安全模組(secure enclaves)【4】和使用者身份識別模組卡(SIM)。
軟體本身目前不足以在智慧手機環境中保護CBDC資產,儘管在這一領域已經取得了進展。成熟的技術——如同態加密【5】、白盒加密【6】和虛擬安全元件——有望在中長期提高軟體安全性;這些技術能否與市面上現有的防篡改裝置實現相同性,還有待觀察。
混合系統
中心化和分散式系統不能從本質上支援離線交易;後端連結是必要的。將中心化系統與專用裝置相結合的混合設計在滿足許多不同型別終端使用者的需求方面大有希望。一些可以繫結到中心化系統上以實現離線訪問的技術示例包括:
側通道【7】
雜湊時間鎖合約【8】
代幣化機制(Chaum 1983; Rivest 和 Shamir 1997; Calhoun et al. 2019)
承諾機制(Pedersen 1991)
簽名機制(Schnorr 1989)
這些技術中有許多還沒有在生產環境中測試過。此外,由於系統耦合,威脅會成倍增加。例如,承諾機制中的加密缺陷可能洩露使用者隱私,危及使用者資金。類似地,在代幣化機制中,裝置的漏洞可能使該裝置能夠非法地建立但合法地存放CBDC資金。由於技術組合而產生的安全威脅必須像每種技術各自面臨的威脅一樣被充分了解。
仍在討論中的話題
生物識別技術
生物識別是一種方便的身份驗證機制,可以減少交易期間的摩擦。生物識別技術簡化了身份驗證,可以實現無裝置的CBDC。系統設計者必須小心地將生物識別技術整合到CBDC中。這是因為識別符號一旦洩露就不能更改,惡意實體可能試圖利用生物識別儲存來冒充使用者或進行欺詐。使用生物識別技術是可行的,如果:
生物識別被安全儲存在防篡改硬體內,以及
與後端系統的互動(存款/取款)依賴於其他身份驗證機制(參見Darbha和Arora 2020)
雲技術
使用雲技術部署CBDC可以提高可用性。可以動態配置部署在雲中的資料庫和端點,以擴充套件操作負載並最大化全國可用性。然而,必須考慮重要的警告:
依賴自定義硬體的CBDC解決方案可能很難或不可能整合到遠端雲平臺。
央行需要保證供應商採取適當的預防措施,將CBDC特定資源與其他客戶隔離,以防止資訊洩露。
CBDC系統只能在供應商保證敏感資料位於境內的情況下將PII資料儲存在雲端。
大規模攻擊
一個正在運作的CBDC將吸引有組織犯罪集團和有能力發起大規模襲擊的國家的注意。主要的威脅包括:
持續或持久的網路攻擊(DDoS,殭屍網路)導致關鍵的CBDC服務中斷
用於基礎設施和終端使用者裝置元件的供應鏈攻擊【9】
用於終端使用者裝置和應用程式的側通道攻擊【10】
針對終端使用者的社會工程攻擊被認為不是主要威脅,但對有組織犯罪來說是一種有吸引力的途徑。雖然不是傳統的攻擊,但虛假資訊的活動可能會使CBDC新技術受到質疑,並可能對銀行在公眾眼中的感知能力產生負面影響。
DLT系統容易受到DDoS攻擊,因為每個交易都需要與其他節點進行網路互動。專用裝置也可能受到影響,但程度較輕,因為此類攻擊可能暫時中斷登入服務、取款/存款功能和驗證服務。如果參與者利用現有的殭屍網路,他們可以用最少的時間和資源來協調DDoS攻擊。這與向防篡改積體電路注入後門的攻擊形成對比,後者需要專業知識、特定裝置上的受保護資訊和製造過程的訪問許可權。此外,硬體惡意部分可以追溯到一個特定的製造步驟,而在一個精心實施的DDoS攻擊中,參與者可以保持看似可信的推諉能力。
即使成功的大規模攻擊不會危及CBDC的完整性,它們也會侵蝕公眾對該系統的信心。因此,CBDC系統需要持續的監測和定期審計,以評估彈性。此外,所選擇的解決方案需要遵循最佳實踐來降低風險,並在出現新漏洞時保持元件狀態更新。
加密敏捷性和量子硬度
加密敏捷性可以定義CBDC的長期執行安全性。隨著支撐CBDC的計算環境和密碼學的發展,以前被認為是萬無一失的演算法將會出現新的缺陷和攻擊。採用加密敏捷的CBDC應該能夠修補或升級底層的原語操作,同時最小化執行停機時間。
從表面上看,中心化和DLT系統在加密方面更加靈活。需要修補的元件更少,而且這些元件具有健壯的連通性。專用裝置對加密敏捷性提出了挑戰,因為如果裝置丟失或遺忘或作為應急儲蓄儲存,可能會在很長一段時間內保持離線狀態。有年份的裝置有望在不損害整個系統的安全保證的情況下進行互操作。管理離線問題的技術解決方案確實存在:例如,使用非充電電池來限制裝置的壽命,或預先程式設計固定的交易數,超出此限額裝置需要重新連線。適當預備加密敏捷性將確保CBDC系統的長期可行性。
隨著量子計算的實用性越來越強,密碼原語的量子硬度【11】將變得越來越重要。現有的加密操作將需要被量子硬度的變體所取代。因此,量子準備(Quantum preparedness)是整個加密敏捷計劃的基本元素。
治理
界限
CBDC可以被歸類為關鍵金融基礎設施。因此,它可能必須遵守國家關鍵基礎設施戰略(加拿大公共安全2009),併成為銀行財務管理基礎設施的核心組成部分。儲存和使用敏感資料做分析可能需要遵守《隱私法》。
中央銀行控制
專用CBDC裝置將透過將銀行控制的防篡改硬體合併到通用或自定義格式來實現垂直整合(詳見Miedema等人2020)。單一用途裝置的所有元件(硬體、韌體、軟體和加密)都將屬於中央銀行的許可權。當錯誤和攻擊途徑出現時,央行可以直接或透過可信渠道採取果斷行動,以減輕入侵的影響。央行可以在市場上釋出補丁,或者移除或替換有缺陷的產品,就像它目前對紙幣所做的那樣。可視和隱蔽的安全特徵可以整合到裝置中,使篡改變得顯而易見,以此增強公眾信心。
央行可以讓部分裝置或應用程式公開,以促進創新。漏洞獎勵可以用來吸引更大的有道德駭客和學術技術社羣來識別系統中的漏洞。央行可以選擇允許有執照的供應商在發行自己的參考裝置或應用程式之外,也可以發行自己的前端裝置和應用程式,只要存在合適的治理和監管模式,並且能夠保持央行發行的排他性。
合規
為了遵守AML和ATF法規,CBDC系統可能需要與其他政府機構共享資訊,包括執法部門。如果合規性引入了後門訪問(例如,“Master”金鑰),那麼CBDC解決方案的機密性和完整性可能會受到損害,因為這樣的後門可能會被未授權的參與者破壞。銀行需要探索當局要求的透過正當法律程式以揭露資訊的像執法一樣的解決方案。例如,多個機構可以持有解密金鑰的片段,只有在法院釋出批准後才能釋出。
標準
目前,還不存在CBDC安全性的標準,儘管個別子元件可能受到現有標準約束(例如FIPS-140 [NIST 2001]和防篡改裝置的通用標準【12】),生態系統標準正被積極探索【13】。現有的安全標準,如PCI-DSS【14】、EMV【15】和GlobalPlatform【16】有助於確保當前支付系統的安全。中央銀行可以選擇對CBDC實施類似的標準。鑑於CBDC可以採取的形式多樣化,以及對首選方案的有限共識,短期內不太可能建立標準。銀行可以選擇與政府機構、其他中央銀行和行業聯盟就標準和規章進行協調。
總結
安全性是CDBC的基本質量,必須從一開始就加以設計。本文提出的分類法旨在對市場上已有的許多CBDC解決方案進行分類和分析,開放DLTs仍然不適合CBDC使用。CBDC的完整性是核心風險,必須在所有CBDC用例中進行管理。本地價值儲存解決方案在危機時期提供了極強的彈性,但也帶來了本地完整性風險。混合系統將所有CBDC用例的訪問最大化,同時也在危機期間保留了可用性。可執行的CBDC系統將是犯罪組織和其他國家的首要目標,需要適當的安全措施來最小化風險,以及持續監控威脅。
腳註
【1】The confidentiality-integrity-availability triad (CIA)是一個行業標準的首字母縮寫。現代文獻中已知的最早參考文獻是1977年國家標準與技術研究所(以前是標準局)的報告(見Ruthberg和McKenzie 1977)。
【2】DDoS攻擊由多個客戶端用連線請求轟炸伺服器或服務組成。如果攻擊的範圍足夠廣泛,則會破壞伺服器響應合法請求的能力,導致合法客戶端連線失敗。
【3】殭屍網路是指被惡意軟體感染的普通計算機組成的大型網路。遠端操作員透過惡意軟體臨時徵用這些計算機,對目標系統進行DDoS攻擊。
【4】安全模組(secure enclave)是嵌入在智慧手機中的防篡改硬體,用於儲存隱私並提供安全加密操作。
【5】同態加密使用特殊的數學轉換,允許使用者在不需要解密的情況下對加密的資料執行數學操作。
【6】白盒密碼學依靠隱藏、加密和數學轉換來保護在不受信任的環境中執行的應用程式中的機密和關鍵資料。
【7】側通道是從中心總賬中分離出來的專用的雙方通道,在那裡雙方可以快速私密地進行交易,而不需要對中心總賬進行交易更新。
【8】(雜湊)時間鎖合約在主分類賬中將價值鎖在一個預先確定的時間框架裡。這使得在側通道進行交易的各方能夠回到主分類賬並恢復最終餘額。
【9】供應鏈攻擊是指在晶片製造過程中在硬體層引入後門或惡意軟體。
【10】軟體側通道攻擊指的是從執行的CBDC應用程式中竊取資訊的惡意軟體。硬體側通道攻擊基於時間資訊、功耗和電磁洩漏從正在執行的硬體竊取機密。接近的惡意裝置通常是利用硬體側通道攻擊所必需的因素。
【11】某些加密操作依賴於數學轉換,這些數學轉換在經典計算機上很難反轉,但在量子計算機上卻很容易反轉。量子硬加密操作是在經典和量子計算機上都很難反轉的數學轉換。
【12】“資訊科技安全評估的通用標準” 通用標準.
【13】 “聚焦數字貨幣,包括數字法定貨幣的小組” 國際電信聯盟.
【14】“數字安全標準(PCI-DSS)” PCI安全標準委員會
【15】“EMV 標準” 歐洲支付萬事達和維薩公司
【16】“全球平臺” 全球平臺公司
參考文獻
1.Calhoun, J., C. Minwalla, C. Helmich, F. Saqib, W. Che and J.Plusquellic. 2019. “Physical Unclonable Function (PUF)-Based e-Cash Transaction Protocol (PUF-Cash).”Cryptography3(3).
2.Chaum, D. 1983. “Blind Signatures for Untraceable Payments.” InAdvances in Cryptology, ed. D. Chaum, R. L. Rivest, A. T. Sherman, 199–203. Advances in Cryptology 1983. Lecture Notes in Computer Science, vol. 576. Boston: Springer.
3.Darbha, S. and R. Arora. 2020. “Privacy in CBDC Technology.” Bank of Canada Staff Analytical Note No. 2020-9.
4.Miedema, J., C. Minwalla, M. Warren and D. Shah. 2020. “Universal Access and a CBDC.” Bank of Canada Staff Analytical Note No. 2020-10.
5.National Institute of Standards and Technology (NIST). 2001.Security Requirements for Cryptographic Modules. NIST.
6.Pedersen, T. P. 1991. “Non-Interactive and Information-Theoretic Secure Verifiable Secret Sharing.” InAdvances in Cryptology—CRYPTO ’91Proceedings, ed. J. Feigenbaum, 129–140. Advances in Cryptology 1990. Lecture Notes in Computer Science, vol. 576. Berlin, Heidelberg: Springer.
7.Public Safety Canada. 2009.National Strategy for Critical Infrastructure. Government of Canada.
8.Rivest, R. L. and A. Shamir. 1997.“PayWord and MicroMint: Two Simple Micropayment Schemes.”Security Protocols, ed. M. Lomas, 69–97. Security Protocols 1996. Lecture Notes in Computer Science, vol. 1189. Berlin, Heidelberg: Springer.
9.Ruthberg, Z. G. and R. G. McKenzie. 1977.Audit and Evaluation of Computer Security. Proceedings of the NBS Invitational Workshop, Miami Beach, Florida, March 22–24. Washington, DC: National Bureau of Standards, US Department of Commerce.
10.Schnorr, C. P. 1989. “Efficient Identification and Signatures for Smart Cards.” InAdvances in Cryptology—CRYPTO’ 89 Proceedings, ed. G. Brassard, 239–252. Advances in Cryptology 1990. Lecture Notes in Computer Science, vol. 435. New York: Springer.
11.Shah, D., R. Arora, H. Du, S. Darbha, J. Miedema and C. Minwalla. 2020. “Technology Approach for a CBDC.” Bank of Canada Staff Analytical Note No. 2020-6.
