淺析區塊鏈與安全

買賣虛擬貨幣
區塊鏈改變了原有的資料和通訊方式,對現有 Internet 架構提出了挑戰,或許我們的架構正在改變。與傳統的 C/S 模型相比,區塊鏈是一種開放的、分散式的架構。對大多數人來說,就是加密貨幣的代稱。公有 vs. 私有區塊鏈事實上有兩種形式的區塊鏈,一種是公有區塊鏈,一種是私有區塊鏈。比特幣就屬於公有區塊鏈,而一些商業應用就屬於私有區塊鏈。與公有云和私有云類似,區分公有和私有區塊鏈的就是誰能夠加入到該網路中,執行一致的協議和維護共享的分類賬本(ledger)。透明性是公有區塊鏈的另一個基本屬性。個體在進行交易時是匿名的,而交易本身是可以被追蹤的。這也就解釋了為什麼比特幣註定是 pseudonymous(使用筆名的)而不是 anonymous(匿名的)。透明性意味著可以追蹤可疑的交易並終止洗黑錢這類的服務,包括惡意代理用比特幣進行勒索的活動。相比而言,私有區塊鏈是需要每個實體去識別自己的控制網路。加入私有區塊鏈需要邀請,而私有區塊鏈中的交易也是受管理的。與公有區塊鏈相比,透明性就下降了。分類賬簿中的資訊不向所有參與者公開,也不是所有參與者都可以讀取。許多規則管理了儲存和達成一致的過程,包括決定節點的角色。私有區塊鏈有許多參與的節點,比如裝置和使用者。然而,這些一致性也是區塊鏈成員進行管理和維護的。
公有區塊鏈將密碼學、分散式系統、經濟學、博弈論、圖論和政治學結合在一起,在這些學科中有一個微妙的平衡。而私有區塊鏈對政治學的依賴程度比較低,也沒有確保分類賬簿安全的經濟動機。在私有區塊鏈中,使用傳統的方法和加密技術來提供安全。公有區塊鏈的透明性也提供了一定級別的安全性,網路實際上是透過工作量證明(Proof of work, POW)來管理的。為了防止其他人向區塊鏈中加入區塊,攻擊者必須在區塊鏈中擁有 51% 以上的計算能力。而 POW 要求參與者解決一個複雜的密碼學難題,才能向鏈中加入新的交易區塊。權益證明(proof of stake, POS)演算法是用來讓公有區塊鏈在計算需求上更加高效,也可以減輕對動機的需求。基於 POS 的區塊鏈以一種決定性的方式選擇誰可以新增區塊。這種方法目前是存有爭議的,一些專家質疑在特定情況下解決爭執的能力,也有人質疑 POS 演算法抵抗區塊鏈攻擊的能力。區塊鏈和安全在一項針對採用區塊鏈技術企業的調查中,受訪者最主要的安全挑戰是不理解區塊鏈的工作原理。

在關於區塊鏈如何影響安全的考慮中,Radware 發現主要有對 DNS 的影響,基於區塊鏈的控制和防止 DDOS 攻擊的能力。

對 DNS 的影響

去中心化的,安全的 DNS 系統是 DNS 的改革方向,這主要源於針對 Dyn 的 DDOS 攻擊以及對威脅 landscape 的影響。事實上,基於區塊鏈的服務可以解決許多網際網路目前所面臨的可用性和效能的問題。許多前瞻者以及在研究基於區塊鏈的解決方案來讓 DNS、Web 站點和其他公共服務更加去中心化,更加安全。比如,Namecoin 正在嘗試建立一個基於公有區塊鏈技術的可選的 DNS 系統。Namecoin 用大量的比特幣礦機來確保它自己可以抵禦 51% 的攻擊。Namecoin 背後的思想是一種全分散式的域名事務賬本,每個使用者都可以新增域名,但是該域名的維護也只能由其屬主來維護。這個概念提供一種非監管的、開放的 DNS 架構,這種架構也引出一個新的問題。那就是我們如何防止惡意使用者濫用這種服務呢?目前,我們所用的方法就是將 C&C 伺服器和其他惡意伺服器列入黑名單,但是對於開放的、非監管的系統,這並不是一種可以強制的方法。

市場上的閘道器解決方案選擇將惡意域名加入黑名單。但是不同的閘道器產品與開放系統是不同步的。這也出現一個問題,那就是誰來維護、執行和監管這個黑名單。

控制混亂

那麼是誰在控制區塊鏈呢?這是一個非常重要的問題。公有內在的限制就是不能認為是安全的,直到能夠吸引大量的參與者加入鏈中。在區塊鏈的工作量證明 Proof of work 中,抵禦攻擊的能力被設定為 51% 的計算量閾值。那如果惡意攻擊者在區塊鏈中獲取了所有權會怎麼樣呢?所有鏈中計算量低於攻擊者的都不能低於攻擊。只有當所有區塊鏈的參與者的計算能力足夠大時,會讓攻擊變得成本極高, 也就能抵禦攻擊。

要在新的加密貨幣中建立可信度,首先要利用比特幣中的計算能力。加密貨幣協作挖礦的邊鏈正在覆蓋出於安全考慮建立的區塊鏈,但是動機仍然要礦機同意協作來挖取新貨幣。這就是為什麼 Namecoin 一部分是 DNS,一部分是可交易的貨幣。

抵禦 DDoS

這種新出現的平臺的主要優勢也是劣勢。因為他們是完全分散式的而且本身就可以抵禦 DDOS 攻擊。但是,基於區塊鏈的 DNS 需要每個參與者儲存所有的域名目錄和所有的歷史記錄。這對許多實體來說,是一種不切實際的需求。大家可以想象一個提供 web 服務的系統能夠很容易的被客戶端和裝置訪問,但是客戶端系統和裝置不想或不能儲存區塊鏈賬本的所有目錄。這樣的 web 服務將分散的 DNS 服務聚集在一起。

細想加密貨幣,許多人都用手機等移動裝置來進行交易。這樣的話,事實上他們是沒有加入在區塊鏈的節點。他們使用一種提供對執行在後臺的區塊鏈的邊界訪問。2017 年,許多加密貨幣交易都成為 DDOS 攻擊的受害者,資料洩露都集中於這些加密貨幣交易網站的門戶。這些事件說明為了做到完全的分散式並擁抱新的基於區塊鏈的 Internet,每個裝置都要在本地儲存上儲存全部的 Internet DNS 域名和完全的變更歷史。另外一種選擇就是,基於區塊鏈的 Internet 必須倒退到依然易被攻擊的大規模資料洩露和 DDoS 攻擊的門戶和閘道器。換句話說,變化地越多,可能變化越小。

未來是怎樣?

是一種新興的技術,正在不斷的發展中。看起來很適合加密貨幣交易和特定的商業應用,但是作為新 Internet 來說,還需要打破一個全球的標準,仍有很長一段路要走。

只有時間能告訴我們區塊鏈是否能夠以及能夠多大程度上改變網際網路。同時,要在關於區塊鏈的樂觀和懷疑中有一個平衡,用已有的一些技術來保護自己。

更多區塊鏈數字貨幣資訊:http://www.qukuaiwang.com.cn/news

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读

;