E安全2月16日讯在本届RSA 2017大会上,安全咨询厂商BT Americas公司首席技术官Konstantinos Karagiannis表示,互联网在当初的演进过程中并未考虑到安全需求,而如今我们将不得不为此付出代价。不过凭借着方兴未艾的区块链技术,我们将有机会通过主动而谨慎的方法实现安全保障。
区块链技术能够帮助各方将进行交换的数据集中至一个代表交易的“块”中,根据Karagiannis的解释,该块“在计算层面拥有不可逆性”。此块利用一条哈希值进行标识,这条哈值希在逻辑上来源于上一个块,因此能够形成一条链状结构。如果新增块通过“矿工(miners)”的验证,则会被添加至主链当中。但如果所提交的块经过修改,则其哈希值即可改变,而后续操作也将被拒绝。这套模型旨在使交易过程更为透明且可信。
Karagiannis同时指出,区块链第四年完成一次指数级增长,这将同步增加此前交易的实际价值。目前已知的最佳区块链应用案例为数字化货币比特币,而由于难以生成的天然属性,其价值正不断提升。截至现在,区块链概念亦证明其能够实现其它多种应用,例如管理音乐等数字化资产、确认身份、证明房屋所有权及智能合同等可验证数据。
针对区块链的有效攻击源于比特币的逐步升温。援引1 Return、Mt. Gox以及Gatecoin等相关实例,Karagiannis解释称“攻击活动并非指向这项技术概念本身,而是其实现方案。”在这方面,比特币钱包网站Coinbase在保护措施方面堪称同侪之最,但攻击活动却转而指向了其后端区块链系统。如果出现特定用户问题,例如手机丢失或者密码泄露,则用户本身应为事件负责。其投资方案并未采用FTIC作为支持。Karagiannis宣称,Android手机由于糟糕的安全更新机制而成为风险最高的攻击目标。
不过他更大的担心在于,区块链是否真的属于“构建数字化纸牌屋之上”?毕竟其使用的公开加密密钥会在交易中暴露,且很可能受到量子计算配合ECC(即错误校正代码)的破解。虽然他随后作出的学术解读令大多数与会者根本摸不着头脑(包括利用Lamport签名阻止这一漏洞),但他的总结性意见在于,“已经有太多人在使用区块链技术,因此绝不能允许这种问题的出现”。意味着也许到某个特定时间点上,区块链技术的安全性也有可能需要加以保护。
那么他据此给出了哪些建议?
企业应当尽快考虑对正处于开发或者使用中的区块链应用进行审查,以确保技术合理性、考量安全水平、数据永久性并筹备其它技术替代方案。其中应包括验证当前应用到底采用的是经过实践验证的区块链与协议,抑或配合的是可能存在风险的新兴及实验性成果。
他同时建议各企业测试应用安全性,借助白帽黑客的力量发现相关缺陷,同时选择真正具备区块链技术经验的供应商——即尽可能回避那些专业知识不足的供应方。
Karagiannis在演讲结尾向区块链技术社区提出了更为广泛的要求,包括通过向开发者资源提供部分回馈及支持NIST发出的为PK开发后量子时代加密解决方案等方式为其未来安全作出贡献。
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com0day
文章评论