密碼學在區塊鏈中一直髮揮著重要作用，從資訊加密、交易簽名、身份認證到隱私保護等關鍵功能的實現，都能看到密碼學的身影。特別是《密碼法》從今年正式實施以來，從法律層面把商用密碼的合規性上升到了一個新高度。7月23日，由中國信通院、可信區塊鏈推進計劃共同舉辦的“連結未來”可信區塊鏈沙龍系列活動第4期線上開講。本次活動以“區塊鏈密碼技術與應用實踐”為主題，邀請了來自中國信通院區塊鏈工程師張啟、鼎鉉密碼與網路安全高階工程師譚銳能、微眾銀行區塊鏈安全科學家嚴強、銀碼通總經理王建新、中科院軟體研究所副研究員兼中科鼎智總經理程亮等5位專家，圍繞區塊鏈中密碼學的實踐經驗和前沿技術，共同探討密碼技術在區塊鏈中合規、正確、有效、安全應用。可信區塊鏈密碼應用標準介紹中國信通院張啟首先帶來了可信區塊鏈密碼應用標準的分享。今年《密碼法》的正式實施，對商用密碼的規範化應用提出了更高的要求。區塊鏈作為密碼學的一個典型應用當然也不例外，因此有必要在區塊鏈密碼應用規範方面開展標準化研究工作。與此同時，區塊鏈密碼技術的多年應用實踐經驗也為區塊鏈密碼應用規範的標準化提供了成熟的應用積累。根據密碼應用架構，區塊鏈密碼應用規範分為密碼應用層、密碼功能層和密碼裝置層。從密碼學角度看，區塊鏈中的關鍵技術，如交易賬本、共識演算法、通訊加密、智慧合約等都屬於區塊鏈密碼應用層，即密碼技術在區塊鏈基礎功能中的應用。密碼功能層是密碼學的技術實現，包括密碼演算法，密碼協議，數字證明和金鑰管理。密碼裝置層是密碼規範中最底層部分，與硬體關聯性較高，為功能層提供密碼基礎服務，如隨機數生成、時間戳、簽名驗籤服務等。區塊鏈密碼應用驗證測試分享

鼎鉉譚銳能在本次沙龍中分享了區塊鏈密碼應用驗證測試。區塊鏈技術簡單來講就是“密碼學+分散式賬本”，以及在此之上的眾多應用。隨著區塊鏈應用場景的增多，區塊鏈使用的密碼技術也日益豐富，同時也出現了眾多針對區塊鏈密碼層的攻擊方式。目前區塊鏈密碼應用暴露的問題，如不安全的密碼演算法、程式碼實現漏洞、金鑰管理問題、隨機數問題、開源演算法庫後門等，嚴重影響區塊鏈安全健康的發展。為了推動密碼技術在區塊鏈中合規、正確、有效的應用，可信區塊鏈推進計劃推出了密碼專項測試，該測試包括了9大項50個指標，為區塊鏈密碼應用的規範化提供全面的檢測服務。隱私保護技術標準化的現狀與思考微眾銀行嚴強博士帶來了隱私保護技術標準化的分享。嚴博士在本次分享中表示，隱私保護的範疇十分廣泛，“可用而不可見”只是隱私保護的一個小目標，除了資料內容保護之外，還應包括隱私合規性，及其所賦予的資料全生命週期權利保障。目前隱私保護技術標準化整體程序尚處早期，存在著巨大的機遇，隱私保護技術的標準化有利於推動行業的整體發展。相比以往標準化的探索方式，微眾銀行在隱私保護領域的探索，結合多年區塊鏈應用實踐經驗，探索出更為有效的場景式路徑，提出構建隱私保護能力分級和模組介面互通的模式，並增強標準指標的可解讀性和公眾對標準測評結果的信任感。區塊鏈密碼技術與應用實踐

銀碼通王建新帶來了區塊鏈密碼技術與應用實踐的分享，王建新老師主要介紹了三方面內容：1.密碼演算法在當前區塊鏈中的應用；2.商密演算法對區塊鏈技術的支援；3.密碼技術在區塊鏈領域新的研究方向。密碼技術在區塊鏈的身份驗證、共識機制、防篡改、隱私保護等關鍵技術環節，發揮了不可替代的作用，而這些技術環節都可以用商密演算法實現。基於商密演算法的區塊鏈技術有望在政務系統、智慧城市等領域廣泛使用，其中基於零知識證明的分散式數字身份認證將發揮重要作用。密碼相關程式碼的安全缺陷檢測中科院軟體所程亮帶來了密碼相關程式碼的安全缺陷檢測的分享，程亮表示要保證一個複雜密碼系統的安全性，需要考慮多方面的因素。密碼系統的工程實現往往是最薄弱的一環，輕則導致加密強度降低，重則導致加密機制被繞過，造成資訊洩漏。程亮從測試資料的獲取、測試物件的識別切入，介紹了在無法獲得加密演算法原始碼的前提下，加密資料的提取與恢復技術，加密演算法的程式碼定位與類別識別技術。並分享瞭如何利用程式分析與模式識別技術，檢測加密金鑰為常數、加密演算法工作模式使用錯誤、隨機數隨機性不足等導致 密碼相關API的誤用錯誤，以及相應的程式碼缺陷修復技術。