——密碼學技術日新月異,如何始終確保數據與資產安全?
2018年3月,谷歌宣佈推出一款72個量子比特的通用量子計算機Bristlecone,實現了1%的低錯誤率,該芯片算力約等同於430億顆8代i7芯片的算力。無獨有偶,IBM在2月也曝光了其50個量子比特量子原型機內部構造。目前,量子計算機已在技術上論證成功並進入工程學的範疇,一旦在工程上實現突破,量子計算機便不再是奢想。近年來,加密虛擬貨幣獲得越來越多的關注,但值得注意的是,加密虛擬貨幣大廈是完全構建在非對稱加密算法的基石之上,受制於當時的計算機技術發展現狀,比特幣創造者中本聰所沒考慮到的是,計算機的算力與密碼學技術發展竟然如此之快。
隨著量子計算機不斷走向成熟,屆時(也許在10年內發生),整個非對稱加密體系下的算法將會受到巨大的衝擊 —— PKI 體系將坍塌。你訪問某個網站,CA將無法證明該網站的證書真實性;你也無法使用公鑰去驗證某個私鑰的簽名,因為私鑰變得可以被公鑰推導出來,加密虛擬貨幣的雙花問題將爆發;基於非對稱加密技術的銀行U盾裡的私鑰提供出來的簽名也將無法信任。
即使,我們對量子計算機的發展屬於杞人憂天,但目前更迫在眉睫的數字安全問題是,缺乏硬件保護的加密技術體系。如今,網上銀行實時轉賬、手機銀行、移動支付等工具已經如火如荼的進入我們的生活。雖然採取了包括手機驗證碼在內的多重驗證手段,其支付的安全級仍然較低,因此,各國通常採用限制支付的額度來控制風險,涉及大額交易轉賬的行為,仍需用戶通過銀行配備的硬件設備來實現。究其原因,所有軟件級的加密都存在其固有的漏洞,只有硬件加密防護才是資產的安全保障。
密鑰洩露導致的數字資產被盜問題屢見不鮮
炙手可熱的區塊鏈行業似乎已吸引了全世界黑客們的注目,近幾個月以來,安全事件層出不窮:各類數字錢包因智能合約漏洞被盜走大量資產,日韓各大數字交易所連續遭遇黑客攻擊,甚至還有交易所因遭遇黑客攻擊丟失大量資產而導致倒閉的事件。而眾多個人投資者,更是經常出現因忘記密碼、手機電腦被黑導致丟失大量數字資產的慘劇。
加密數字資產雖然採用了密碼學和校驗技術實現數字資產的創建、分發維持和交易的安全,但用戶也僅僅需要一個私鑰就擁有了賬戶中數字資產的所有權。好比門鎖雖然堅不可摧,很多人卻往往忽略了對鑰匙進行妥善的保管。各類加密數字資產被盜的最大原因,正是用戶個人電腦或手機被黑而導致錢包密鑰或賬戶密碼失竊。
事實上,不僅僅是在加密數字資產領域,密鑰洩露已經成為全球最常見的互聯網安全事件。在2017年上半年,全球就有19億條記錄被洩或被盜,比2016年全年總量(14億)還多。據分析,63%都涉及到弱口令、默認口令或被盜口令。其中,95%的安全事件均可以追溯到身份訪問憑據被盜,另外則有10%是由可信人員濫用身份訪問憑據所導致的,並且因為身份安全漏洞造成的數據竊取事件往往較為“遲鈍”,有10%的數據洩露事件甚至超過1年才被發現。
這不禁讓人思考,傳統的金融機構是怎麼成功地保護了用戶的賬戶財產,其成功的經驗又能否被加密數字資產行業所借鑑採用?
l 軟件級加密過於薄弱,硬件級加密才是終極之道
目前,大部分的線上支付或移動支付方法都是採用驗證碼(動態口令)認證模式,動態口令認證模式速度快,操作簡單,成本低廉,但其缺少簽名功能,黑客可通過截獲並替換支付單的內容,實現對移動支付協議的有效攻擊,盜取用戶賬戶中的資金。因此,移動支付行業目前是以小額支付的限制來規避風險。但若採用傳統PKI等傳統認證技術處理數字簽名,PKI/CA認證中心併發簽名驗證的速度較慢,加上CA認證中心建設成本偏高,市場無法接受。
而在數字資產的世界裡,很多時候只需一串私鑰,就可以全權掌握錢包中成萬上億級的數字資產,不僅缺乏數字簽名,甚至連動態口令認證的步驟也沒有。另外,在交易所的登錄賬戶名和密碼也往往設置得較短,加之各類電腦、手機終端中存在無數的漏洞及木馬後門,即使部分大型交易所已加入了多重驗證手段,但也難保各類API接口及網站代碼本身不存在安全漏洞,因此投資者被黑客多次盜走數以億計的資產也屢見不鮮了。
由此,在數字資產行業中引進硬件級加密手段(數字資產界的U盾/令牌)已是刻不容緩!
目前,在傳統金融行業,採用硬件進行數字認證(CA)的應用場景廣泛,在全球範圍內,CA認證服務市場基本由三大巨頭——Verisign、Thawte、GeoTrust壟斷,在中國,主要的認證服務由金融CFCA安全認證中心和中國電信認證中心(CTCA)等主導。包括所有的銀行硬件認證都離不開CA認證環節,涉及的交易額每年都達到數千萬億的級別。但美中不足的是,傳統的硬件數字認證方式,往往需要一箇中心化的大型企業擔任認證機構,存在一定的集中化風險和操作風險。數字資產行業本質上應該發展成一個去中心化、可自治理的未來型產業,因此,一個去中心化的硬件數字認證解決方案才是最佳之選。
l LEXEL(鏈鎖)——基於區塊鏈的新一代數字簽名認證硬件基礎設施
目前市面上大部分加密技術都屬於軟件級別或內存級硬件加密,安全性低且密碼容易被黑客仿真或者盜取,用戶信息與資金存在較大風險。即使是為數不多地採用了PKI/CA認證體系的硬件加密技術,本身由於非對稱加密技術需要多次的算法調用,導致性能較慢,無法應對海量交易併發問題。最後,PKI認證過程需要龐大的證書數據庫在線對比認證,為保證性能,需要大量的中心化的數據服務器與運營人員,無法實現去中心化。
LEXEL(鏈鎖)致力於結合區塊鏈技術和芯片級硬件加密技術,打造更高速更安全的公有鏈基礎底層和相關硬件,徹底解決互聯網世界的安全問題。簡而言之,這是可支持億級海量用戶的數字加密技術,可支持海量併發交易的公有鏈。
(1)基於區塊鏈技術,實現跨國界的數字簽名認證難題。
傳統CA機構往往有地域與國界的限制,難以取得全球化用戶的信任。而通過區塊鏈技術構建分佈式節點,將允許各國的CA機構加入區塊鏈網絡,共同發放可全球通行的數字認證證書,解決跨國界的用戶身份認證與資產確權難題。LEXEL將脫敏後的數字認證數據加密後存放至LEXEL鏈上,由於區塊鏈的全節點備份及不可篡改特性,即使被黑客攻破也無法實現對數據的篡改,可最大程度保護用戶核心數據。
LEXEL採用了高效安全的DPOS(股份授權證明)共識機制、零知識證明隱私保護算法與豐富多樣化的智能合約技術,與目前較為擁堵的以太坊網絡不同,LEXEL鏈可以實現秒級出塊,從而支撐更高頻、低成本、海量併發的智能合約事務(如創建、交易、存儲、自動執行等)與DAPP應用(如個人可信數字身份文件及校驗、虛擬貨幣安全存儲與支付、虛擬貨幣交易所資產的硬件級安全防護、安全可信的區塊鏈網頁瀏覽器等)。
(2)提供更高性能的芯片級硬件加密,降低被盜取風險及節省成本
LEXEL引進了擁有13項發明專利和三項國際大獎的加密技術,在用戶提交數據時,使用硬件內的芯片與鏈上的加密數據進行加解密操作,核對用戶身份。芯片內置獨有的加密算法,並且一次一變,為使用者提供安全保障,同時由於應用的是對稱加密算法,減少了加密認證握手的次數,認證速度遠遠高於當前通用的PKI加密技術200倍以上。通過分佈式的架構部署,還可同時支持數億級用戶的身份認證、數字證書存儲(現有市面的PKI技術的支持能力僅為百萬級用戶)。
舉例而言,用戶可向LEXEL(鏈鎖)申請,將可信的數字身份存儲於區塊鏈之上,再生成對應的密鑰,其中密鑰種子由加密芯片的隨機數發生器產生,採用時間戳和隨機數對一套密鑰種子進行選取,將選出的元素合成一組密鑰,並作為簽名密鑰,實現簽名密鑰實時產生,一次一變。密鑰部分存儲於區塊鏈賬本、部分存儲寫入於LEXEL的專用硬件中(可支持SD卡、SIM卡、U盤、智能穿戴等多類存儲設備),該硬件全世界獨此一份郵寄給用戶(丟失後支持重新認證生產全新硬件)。
▲ 支付過程原理圖
除與數字資產行業密切相關的應用場景外,LEXEL(鏈鎖)的安全認證應用範圍還非常廣闊,大可應用於互聯網管理、企業認證體系建立、物聯網體系建設等;小可服務於企業內部認證、團隊投票認證、企業客戶服務等領域。
LEXEL(鏈鎖)預計從下半年開始,將依次完成並上線區塊鏈主網、數字加密硬件、各類智能合約與DAPP應用等。
閱讀更多 大風口的豬 的文章
