近年来,随着大数据、物联网、人工智能等新技术的广泛应用,我国已经是世界上网络数据产出量最大的国家之一。与此同时,不断出现的数据泄露和信息安全事件也给个人隐私保护、企业安全生产、社会公共服务等带来新的挑战。
而基于分布式账本技术的区块链,在确保数据安全和信息完整性方面具有天然的优势,被很多人给予“厚望”。而金窝窝研究院执行院长汪鹏曾在多个场合强调,区块链不是万能的,不可迷信更不能神话区块链技术。
那么,区块链技术到底存在哪些问题呢?12月13日,在金窝窝研究院举办“区块链与信息安全研讨沙龙”上,来自全国各地的专家对区块链与信息安全,以及区块链自身存在的安全问题进行了深入探讨,提出最前沿的技术解决方案,让此次沙龙成为区块链技术领域的行业焦点。
不容忽视
区块链安全问题日益凸显
今年上半年,黑客使用包括服务器漏洞、PHP漏洞、恶意软件,潜在的金融诈骗网站等各种载体进行恶意挖矿达到79万余次。根据BESEC的数据显示,目前已公布的区块链相关CVE漏洞达到54个,损失约超过36亿美元,重大安全事件发生139次以上。
这是重庆大学教授、金窝窝-重庆大学区块链与人工智能联合实验室负责人廖勇在沙龙上分享的一组数据。
廖勇认为,区块链安全问题目前已经开始暴露出来,具体来说,区块链算法的安全漏洞主要来自HASH函数、签名函数、随机数生成函数,而区块链安全性能否实现主要取决于智能合约是否安全。区块链的使用安全性将主要集中在对私钥的使用上,这一点将广泛存在于用户个人、交易所等领域。
他认为,在接来下的应用中,可以采用量子密码算法、智能合约安全验证、量子随机数发生器、设计新型区块链体系结构等策略来确保区块链的应用安全。
技术前瞻
未来十年,区块链最大的安全威胁原来是?
国家密码行业标准化技术委员会委员、重庆大学信息物理社会可信服务计算教育部重点实验室主任向宏指出,目前区块链的底层密码面临着巨大的威胁,抵抗不了量子计算机的攻击。
向宏教授引用世界顶级科学杂志《自然》上一篇题为《量子计算机使区块链安全性受到威胁》的文章观点进一步解释:区块链是一种数字工具,它使用加密技术来保护信息,避免其受到未经授权的更改。区块链安全性依赖于“单向”的数学函数,在传统计算机上难以反向计算。
但在十年内,如果量子计算发展顺利,量子计算机将在不久的将来能够破解大部分加密代码。
因为加密技术正是区块链赖以维系的底层技术之一。没有加密,区块链的数据交换、智能合约和共识机制都将成为空谈。
提前布局
技术主权需要国家队
此外,向宏教授还提出一个非常现实的问题,那就是国内现有的开源上的区块链基本没有采用国产密码。向宏教授表示,不采用不代表我们的国产密码不安全,而是随着世界各国科技竞争的加剧,技术主权意识逐渐抬头。这在以后国家强调自主可控的时候,这可能是一个问题。
所以他建议,区块链的应用企业,应该前瞻性地考虑到国产密码的标准应用问题。也就是说,底层的密码要更换是势在必行的,在区块链安全方面我们要有前瞻性的布局和思考。
事实上,在上个月由欧洲电信标准化协会主办的第六届量子安全国际会议上,中国科学院信息工程研究所副所长荆继武也提出了类似的观点。
“从目前情况来看,各个国家都会制定自己的密码算法标准。各国都在积极争取本国的算法成为国际标准。作为网络安全基础性工作,中国密码算法标准化应该会走出一条自主发展的路线。”荆继武说。
荆继武表示,量子算法很早就提出来了,但量子计算机没制造出来,这相当于算法口诀出来了,算盘没有造出来。为了防患于未然,要提前设计抗量子密码算法。荆继武称,美国计划在2022年完成抗量子密码算法的标准化,我国应该是在2022年左右开展标准化工作,预计2025年完成并能投入使用。
可以说,量子计算的发展对我国区块链行业既是挑战更是机遇,也是我国区块链技术公司参与全球信息技术竞技并实现弯道超车的绝佳契机。