安全與隱私保護,是區塊鏈會議經常被拿來討論的話題。不出意外,在5月16日由巴比特主辦的2019杭州區塊鏈周•Chainge技術開放日上,“區塊鏈安全與隱私保護“再次成為會議重點設置的議題。
圓桌題目就是“區塊鏈安全與隱私保護“,是不是看起來毫無新意?但是安全和隱私保護是個“常談常新”的話題,每年都有新問題出現,而不同的嘉賓,甚至同一嘉賓在不同時期總能給出令人眼前一亮的觀點。
在這場圓桌論壇上,慢霧科技聯合創始人餘弦就提出了“隱私不是拿來保護的,隱私是拿來控制的”別緻觀點和“安全應該跟著業務走”的務實觀點。成都鏈安創始人楊霞從“訪問控制”的手段談了如何保護信息數據安全。公信寶創始人黃敏強和PlatON CSO肖紫聞則從實踐的角度分享了可信計算和安全多方計算在區塊鏈安全與隱私保護的應用。
隱私不是拿來保護的,隱私是拿來控制的
餘弦認為,當人們在接觸互聯網的那一刻,就不存在所謂的個人隱私了。
作為一名黑客,餘弦在現實生活中,會使用電子郵箱,電商平臺,也偶爾在某些會議上拋頭露面。餘弦自嘲自己在互聯網上已經是透明的了。
“如果像我這樣的身份都是透明的,在座的各位如果你們接觸互聯網,就可以等同於也是透明的,更別提一大堆的個人隱私了,你的隱私控制權可能已經不在你的手上了。”
因此,餘弦給出一個結論:隱私不是拿來保護的,隱私是拿來控制的。
而區塊鏈在保護個人身份上具有獨到優勢,我們可以在區塊鏈上創建一套獨立的身份,這個身份無法跟個人真實身份關聯起來。我們可以通過控制這個獨立的身份保護自己的隱私。
通過強制訪問控制保護數據安全
楊霞除了是成都鏈安科技創始人外,同時也是電子科技大學教授,曾在航空航天等軍事領域做了很多關鍵安全工作。
對於用戶名和密碼這種在互聯網世界中經常被保護的信息,楊霞提出了訪問控制的手段。所謂的訪問控制,就是基於用戶角色的訪問控制,即使你的用戶被別人竊取,也不能讓他隨意幹任何壞事,這是從系統上可以做到的。
在區塊鏈生態,私鑰的保存、防竊取成為被保護的信息,這裡面的安全,比傳統意義上的用戶名和密碼被別人竊取,所帶來的損害更大。楊霞表示,這一塊還需要區塊鏈團隊從學術上和技術上進行探索。
TEE/MPC保護隱私
為了保護企業數據以及個人的數據在計算和交換過程中不被洩露和不被竊取,公信寶採取的是“TEE硬件+自創密碼算法”軟硬相結合的路線,常見的硬件是比較成熟的英特爾 SGX 芯片,但存在單節點依賴過大的問題。為了突破這一點,公信寶自創了兩個密碼算法: DKMP (分佈式密鑰管理協議)和 SSSG (安全密鑰分享組),來解決授權依賴和密鑰有問題,用節點推算密鑰,並且過程中如果密鑰丟失,可以通過節點計算修復,這是首要解決的。此外還計劃在Layer2擴展,用於解決在計算過程當中的性能問題。
PlatON聚焦在MPC上,以混淆電路的方式,用戶直接在本地將數據通過鏈路的印跡變成電路,然後傳輸過來進行計算,得出最後的結果。對於MPC存在的問題是:隨著計算方越來越多,算法越來越複雜,性能會遇到瓶頸。PlatON目前從算法和硬件的層面對性能進行優化和加速。
安全跟著業務走
餘弦認為,安全應該跟著業務走。
“一個新的世界出來的時候,業務肯定是先發展。很多人口頭上會說我非常重視安全,但是在實際行動上,安全的整個體系禁設,遠遠滯後於業務的發展。”
區塊鏈安全生態極其缺乏國家背書,用戶幣被盜被攻擊很難在現實中去報案,因為幾乎沒有立案依據。所以黑客可以肆無忌憚去攻擊交易所。作為一個安全公司,慢霧科技會通過自己的力量給安全事件做安全預警,但不會貿然說某個公鏈,某個交易所存在漏洞,以免給相關方帶來恐嚇。
支付有比特幣,匿名有門羅幣,用戶還需要Grin嗎?
Gary介紹了Grin的優勢,Grin在今年 1 月份上線,主要以支付為目的,是一個非常類似於比特幣的開發模式的項目,是基於minble-winble協議的隱私幣。在 mimblewimble 協議出來之前,有很多研究者在隱私性和規模可擴展性上不得不尋找平衡。有了minble-winble協議,既能夠照顧隱私,同時它的計算量很小,同時它很簡潔,甚至於在鏈上,Grin 第一次在區塊鏈上能夠做減法,能夠把已經消耗的 UTXO,從鏈上能夠減掉,這是一個非常創新的地方。隨著應用增長,它不會限制增長你的用戶量。此外還有其他方面的改進,未來 Grin 還有一些基於移動化的優化,也會非常有前景。
餘弦也對Grin的出現表示了讚許,因為minble-winble協議來自追求隱私和自由的暗網,創始人很神祕。然而在當前,門羅是最受暗網歡迎的幣種,Grin能否獲得暗網世界的更大支持,一定程度影響著Grin的接受度。