區塊鏈的未來已至?絕對的去中心是不成立的,看完這篇你就懂了
引言
區塊鏈這個詞仿佛一夜之間就出現在各大媒體雜志和講座論壇中,稱之為家喻戶曉可能有些過,但是輻射面之廣可見一斑,不信某人朋友圈有圖為證↓:
雖為調侃,但也充分說明了區塊鏈對當下生產甚至生活中的影響作用。
大多人對區塊鏈的認識可能在比特幣或者有限的支付行業,其實這些僅僅是基于區塊鏈技術和架構的場景應用的冰山一角,目前區塊鏈在我國所應用的領域與國際并無差別。剛結束的兩會上相關政協委員談到:除了已有在供應鏈金融、產品溯源、數字票據、身份驗證、慈善公益、數字版權、防偽存證、精準扶貧和游戲等方面的應用,支付、清結算、跨境貿易、保險、醫療健康、交通運輸、旅游、物聯網和智能制造等已逐步開始運用。
不知道作為讀者的你們發現了什么共同點,作為我,發現以上這些領域中許多環節都涉及到“去偽存真”的工作,所以今天,我們不談“去中心”、”去信任“和“分布式賬本”,而僅僅在數字證書和取證保全兩方面做一些小小的探討。
PKI & 數字證書
其實大多數專家和互聯網大咖對于區塊鏈是保持謹慎樂觀的。兩會上,證監會信息中心主任談及區塊鏈時,指出絕對的去中心是不成立的,區塊鏈本身若是軟件就會有中心化,并且其保證信息安全的第一步便是身份的認證,采用的 PKI 也完全是依賴中心化的技術架構。可見,真正體現出區塊鏈幾大特征,完善PKI技術是研究區塊鏈的技術人員必須關注的。
因為本人從事了兩年身份認證的工作,所以免不了秀一下小能,講講PKI。
早期為了在互聯網時代實現保密性、完整性、身份認證與授權、抗抵賴,采取了這個以非對稱加密算法為核心的 PKI (Public Key Infrastructure)技術。
比如,我的同事大星要寫一封電子郵件給我,如何利用 PKI 技術實現三個關鍵點:
- 信真是大星寫的嗎?
- 信不會被黑客看到?
- 等我看到信時內容是否已被他人修改了呢?
先說加密:發信之前,我事前生成了一對密鑰:公鑰和私鑰(非對稱)。將公鑰發布在了一個公共的密鑰庫中,而私鑰則不對外公開,僅我本人持有。大星從公鑰庫中取出我的公鑰,對文件進行加密,再發送給我。而我通過自己持有的私鑰,即可將文件解密看到這封信的全文。如圖:
問題來了,非對稱算法雖然實現了加密解密目的,但是由于其算法復雜,效率低下,一般不會單獨使用。而把非對稱算法用在確認身份和防止篡改、抗抵賴上恰到好處,進而派生出了著名的數字摘要和數字簽名技術。簡單的理解:
| 數字摘要是利用散列算法可以使原文轉換為固定長度的一段字符,同樣的原文對應同樣的摘要,但是又無法從數字摘要逆推出原文。那么用大星的私鑰對這個數字摘要加密產生的東西就是大家常說的數字簽名,它充分保證了文件不被篡改,不可抵賴,而整個過程原文本身還是采用對稱算法(如3DES)加解密以保證最高效率。 |
經過以上這一切后就只剩下證明這個公鑰的擁有者、合法性、適用期限問題了,這就靠數字證書來體現。它是一個 PKCS10 數據包(包含主題、有效期):
這些證書就是我們在平時日常生活、工作中非常容易見到的了。
那么,誰來替這個證書背書?證明其合法有效性?這就要依靠權威的第三方機構了,這就是CA存在的原因。Certificate Authority 是數字證書認證中心的簡稱,是指發放、管理、廢除數字證書的機構。CA的作用是檢查證書持有者身份的合法性,并簽發證書(在證書上簽字),以防證書被偽造或篡改,以及對證書和密鑰進行管理。
CA和區塊鏈
CA機構是一種中心化的需要國家權威機構授權的第三方機構,在中國由工信部頒發電子認證牌照才可以合法運營的。大家平時接觸的比較多的:CFCA、電信CA體系、上海CA、北京CA、天威誠信CA等等。這些機構的機房是完全按照工信部的要求,達到7層防護體系建設,必須嚴格達到國家標準方可投產。
中心的密鑰對一般由硬件加密服務器在機器內直接產生,并存儲于加密硬件內,或以一定的加密形式存放于密鑰數據庫內。加密備份于IC卡或其他存儲介質中,并以高等級的物理安全措施保護起來。密鑰的銷毀要以安全的密鑰沖寫標準,徹底清除原有的密鑰痕跡。所以,對于攻擊者來說,唯一能做的是攻城拔寨(有點像好萊塢黑客大戲),拿到CA機構的簽發證書的密鑰,進行證書的簽發。我今天還能回憶起在認證中心工作的第一天就是去機房里親身體驗了一次物理7層防護,深知了一點:信任體系的建立歸根結底還是依賴這最核心的保險柜中的東西。
區塊鏈的信任體系與 CA 則不同,因為去中心化和信任最小化的理念,首先他沒有任何物理防護的概念,它的信任基礎是數學而不是國家或者某種機構,它將共識機制、密碼學、分布式結構有機的結合在一起。所以,有部分研究人員認為如果免掉CA(第三方權威),延續PKI技術其實是可以曲線實現去中心化的目標。
其次,法規和責任認定方面的區別:當時與 PKI/CA 如影相隨的是出臺便風行一時的《電子簽名法》,法規明確指出,通過對數據的、文檔、視頻等網絡傳播的數據進行電子簽名,形成簽名結果之后保存在第三方,當發生糾紛時,聯合國家公信力機構出示證據,可形成有效證據鏈。
而區塊鏈方面除了我個人還沒有接觸到配套的相關法規,全鏈的每一個節點都有記錄和驗證,理論上一旦信息進入區塊鏈就無法篡改,這一點使得區塊鏈有著“以理服人”的先天優勢,當發生爭議可以放心大膽地在區塊鏈進行查詢、記錄。基本上是算力攻擊只要沒有超過51%這個比例,數據都是被認可的。但這次兩會上,周鴻祎作為政協委員也提出了質疑,“比特幣雖有賬本不可篡改的特點,但也有遭受網絡攻擊的隱患。比如,當有人掌握了51%的算力,或者未來量子計算破解了“挖礦”的哈希算法,對區塊鏈技術都是一個挑戰。如今出現了很多交易所、錢包,也發生過安全事件,丟失了虛擬資產,恰恰說明區塊鏈技術需要安全保護。”
可見360公司已充分準備好了迎接區塊鏈的挑戰。
取證 / 保全
突然想到最近區塊鏈的一個段子:
段子內容里面好像有去中心化、防篡改,好像還有時間戳、分布式賬本,區塊鏈真像段子里所描述如此接地氣嗎?
前文提到了PKI技術確實幫助我們實現了防篡改,抗抵賴的目的,因此我斗膽預測,在電子簽約、電子合同、取證、保全等領域,區塊鏈技術可以有很大的空間。
我曾經從業的一家公司是做電子取證的,與之聯手的則是各個城市的大中小型公證處,為什么利用公證處采集呢?源于很早的一個通知:
| {司發通[1994]070號 }第1條規定:“著作權行政管理部門在查處侵權行為時,要求申請人和有關當事人提供證據的,應當對證據進行證據保全公證。對于公證機構出具的有關證據保全的公證文書,著作權行政管理部門應當作為查處侵權案件時認定事實的根據。 |
除了著作權,其他民事、行政訴訟也有類似的規定,本來是找到了電子取證的途徑,但是公司很快就發現互聯網和傳統公證相結合有很多不足:
- 公證處也有周末和上下班,這些時間難取證;
- 時間戳是取證的關鍵,但是背后缺乏 PKI 支撐,僅僅是時間記錄還是缺乏說服力;
- 取證時需要清潔設備、清空 cookie 等各種操作,錯過最佳時機;
- 原則上取證過程公證人必須全程監督方有效,也就是很可能因為公證員上個廁所就把證據漏掉了;
- 先發生后取證是無效的,比如你收到了一封郵件或者自己將來電者的語音進行記錄,是出不了了公證書的,更不要說還要證明來信的對方是對方,收信的你是你。
- 最重要,公證書出示的證據確實是被司法機構承認有效真實,但是,法庭采信不采信完全是另外一件事,準確地說是“僅供參考”。
所以很多時候電子公證書仍然抵不過傳統司法鑒定,很令人難堪。
區塊鏈的共識機制(共識算法)應該來說是值得在以上領域嘗試的,某電子合約從起草到回執,或者某原創作品從初稿到首發,這些數據的哈希摘要如果可以通過廣播形式傳播到(每一個區塊包裹前一區塊的哈希摘要形式傳遞)全鏈,即使篡改也無法影響整體鏈中的電子證據(除非周鴻祎所設想的量子計算攻破51%算力問題),對于司法機關我想應該是有極大說服力的。這才應該是和傳統電子取證方式最大的區別了,理應也應該是目前司法機構信息部門的一個研究方向。
結語
互聯網自誕生以來就不斷刷新著想象,改造著世界。對于區塊鏈出現,有人說開啟了一個真正信任的時代,有人說開啟了一個顛覆中心化的時代,甚至有人把區塊鏈之前的互聯網叫做古典互聯網。
3月26日新華社發文談到,業內預測區塊鏈發展將可能分3個階段:1.0版針對比特幣代表的數字貨幣;2.0版是產業區塊鏈階段,與產業、商業、交易等結合;3.0版是與人工智能、物聯網等結合。或許,與“古典行業”的結合,將會是區塊鏈未來可行的發展方向。
以上幾點僅僅是我的點滴假想,畢竟本人仍然是這個行業的門外漢。面臨嶄新時代,區塊鏈處處開花,在線上反欺詐、業務安全方面的場景應用大家肯定也同樣充滿著期待,希望早日能看到新型的風控產品或者數據服務脫穎而出為企業保駕護航,使之更進一步。
【本文是51CTO專欄機構“豈安科技”的原創文章,轉載請通過微信公眾號(bigsec)聯系原作者】
