文档介绍:区块链技术的风险
以太坊安全事件仿佛还历历在目,区块链头顶的安全乌云也挥之不去。区块链在为我们带来技术变革的同时是不是也会带来前所未有的挑战?
区块链是互联网时代通往第二纪元――信任纪元的革命,这场技术海啸必将彻底地颠覆未来金融的发展方向。区块链当然可以用来记账,但是其作用却不局限于记账。但所有技术最终都是哲学,区块链也是一样,任何科技都是一把双刃剑,有光明的一面,也必将有黑暗的一面;有机遇,但是更会充满挑战。
新技术的发展必将面对风险,区块链也一样。只要拥有“51%”的算力就可以进行协议攻击?性能问题将会极大限制区块链的应用场景?智能合约是潘多拉魔盒,它的出现只是噩梦的开始?区块链存在哪些安全隐患、技术风险,以及发展的瓶颈与陷入的困境。本文好似一盆冷水,能让我们更加冷静而理性地思考区块链技术。
安全隐患
区块链技术的安全隐患主要包含3方面:私钥丢失、错误的实现和协议被攻击。
秘钥安全
区块链技术的一大特点就是不可逆、不可伪造,但前提是私钥是安全的。秘钥安全问题看似老生常谈,其实在区块链世界里还有特别的意义。
与以往任何体系不同的是,私钥是每个用户自己生成并且自己负责保管的,理论上没有第三方的参与,所以私钥一旦丢失,便无法对账户的资产做任何操作。多重签名某种程度上能解决一部分问题,但实施起来非常复杂,而且要设计与之相配套的秘钥管理和使用体系。
对于普通大众用户,或没有太多技术经验的企业用户,天然会觉得补私钥可能和补身份证或者营业执照差不多,但事实上这根本就不可能,所以私钥的安全非常重要。但遗憾的是国际通用的多因素认证体系实施得并不好。
多因素体系最常见的维度包括:
第一,知识,知识指的是密码这类能被记忆的知识。
第二,资产,资产包括门禁卡、令牌、手机、密码键盘、智能卡等。
第三,本征,本征包括指纹、虹膜、DNA、声纹等。
使用一种维度因素的认证方式叫单因素认证,使用两种的叫作双因素认证。目前单因素认证早已经被业界认为是不安全的,所以??内基本和支付相关的应用除了密码以外,至少还要发一个验证码给手机,这就是对手机这一资产的因素验证。但进行大部分资产的因素验证并不具有理论上要求的可信环境,或者称之为终端安全,这大大提高了私钥暴露的风险。比如,严格地说,大部分手机都不算可信的计算环境,但是因为太方便了,所以大家做了很多妥协。这在保护低价资产的时候还可以忍受,但使用区块链的往往都是些重要的业务。
那么本征因素怎么样呢?是不是三因素认证就会解决这个问题呢?
很遗憾,安全业界对使用本征因素存在非常多的争议,主要的反对理由就是,本征类别的特征,大部分是生物特征,一旦泄露将很难更改。试想,一旦我们的指纹落入不法分子手里,我们将一生都会受其困扰,从以往的经验来看,这种事情的大规模发生只是早晚的问题。
小结两点:私钥的补发与管理与区块链的分布式是冲突的;私钥的认证需要的可信的计算环境在很大程度上是缺失的。
错误的实现
即便是理论上很完备的算法,也会有各种实现上的错误。由于区块链大量应用了各种密码学技术,属于算法高度密集工程,出现错误也在所难免。
历史上这类事情有很多,比如NSA对RSA算法实现埋入缺陷,使其能够轻松破解别人的加密信息。一旦爆发这种级别的漏洞,可以说区块链整个大厦的基础将