首份地方區(qū)塊鏈技術(shù)安全標(biāo)準(zhǔn)出爐，側(cè)重個(gè)人信息保護(hù)

　　9月9日，上海網(wǎng)信官方公眾號(hào)發(fā)布消息稱，為加強(qiáng)對(duì)區(qū)塊鏈技術(shù)的引導(dǎo)和規(guī)范，推動(dòng)區(qū)塊鏈技術(shù)應(yīng)用安全有序發(fā)展，上海市地方標(biāo)準(zhǔn)《區(qū)塊鏈技術(shù)安全通用規(guī)范(征求意見稿)》現(xiàn)已形成，向社會(huì)公開征求意見。

　　征求意見稿表示，我國已明確要求把區(qū)塊鏈作為核心技術(shù)和自主創(chuàng)新的重要突破口，加快推動(dòng)區(qū)塊鏈技術(shù)和產(chǎn)業(yè)創(chuàng)新發(fā)展。在區(qū)塊鏈技術(shù)和產(chǎn)業(yè)應(yīng)用快速發(fā)展階段，迫切需要關(guān)注區(qū)塊鏈技術(shù)應(yīng)用中存在的、潛在的安全隱患。本規(guī)范在T/SSIA 0002-2018的基礎(chǔ)上，進(jìn)一步聚焦、細(xì)化區(qū)塊鏈技術(shù)的共性技術(shù)風(fēng)險(xiǎn)，提出對(duì)應(yīng)的安全通用要求，對(duì)于促進(jìn)區(qū)塊鏈技術(shù)健康發(fā)展和保障區(qū)塊鏈技術(shù)的安全應(yīng)用具有十分重要的意義。

　　征求意見稿分為9個(gè)章節(jié)，分別分析了基礎(chǔ)設(shè)施層、協(xié)議層、擴(kuò)展層的安全風(fēng)險(xiǎn)及安全措施并提出安全要求。

　　征求意見稿指出，共識(shí)機(jī)制是區(qū)塊鏈技術(shù)框架的核心，共識(shí)算法的作用是使數(shù)據(jù)保持一致性。共識(shí)機(jī)制的安全風(fēng)險(xiǎn)包括由共識(shí)機(jī)制自身設(shè)計(jì)漏洞導(dǎo)致的安全風(fēng)險(xiǎn)和實(shí)際應(yīng)用場(chǎng)景下的共識(shí)安全風(fēng)險(xiǎn)，包括但不限于：

　　當(dāng)攻擊者算力或比例達(dá)到一定比例時(shí)，存在惡意節(jié)點(diǎn)控制共識(shí)進(jìn)程的安全風(fēng)險(xiǎn)；

　　在聯(lián)盟鏈的場(chǎng)景下，聯(lián)盟參與者和節(jié)點(diǎn)數(shù)較少，聯(lián)盟成員可進(jìn)行密謀，從而繞過共識(shí)機(jī)制的限制，任意修改鏈上數(shù)據(jù)；

　　攻擊者采用雙花攻擊、自私挖礦攻擊、短程攻擊、長程攻擊、幣齡堆積、預(yù)計(jì)算攻擊、女巫攻擊等攻擊方式，達(dá)到雙重支付、回滾記錄、獲得網(wǎng)絡(luò)控制權(quán)等攻擊目的。

　　同時(shí)，密碼學(xué)機(jī)制也存在一定的安全風(fēng)險(xiǎn)。比如，密鑰生成、分發(fā)、存儲(chǔ)過程中因人員操作或管理不當(dāng)帶來的安全風(fēng)險(xiǎn)，包括密鑰丟失被盜等。

　　此外，隨著量子計(jì)算技術(shù)的發(fā)展，非對(duì)稱加密算法中的大數(shù)因子分解問題存在秒級(jí)時(shí)間內(nèi)被破解的風(fēng)險(xiǎn)。

　　在個(gè)人信息保護(hù)方面，面臨的風(fēng)險(xiǎn)包括用戶的身份信息、物理地址、IP地址與區(qū)塊鏈上的用戶公鑰、地址等公開信息之間存在關(guān)聯(lián)關(guān)系；攻擊者通過關(guān)聯(lián)分析，可以推測(cè)出交易數(shù)據(jù)背后有價(jià)值的敏感信息等。

　　對(duì)此，征求意見稿要求做到三方面工作：

　　1. 應(yīng)使用主流的簽名方式來保證消息的隱私，包括但不限于盲簽名、環(huán)簽名、群簽名等；

　　2. 應(yīng)提供數(shù)據(jù)變換技術(shù)，如數(shù)據(jù)加密、敏感數(shù)據(jù)脫敏等手段，可將敏感數(shù)據(jù)進(jìn)行變換；

　　3. 宜采用側(cè)鏈技術(shù)實(shí)現(xiàn)個(gè)人信息保護(hù)功能，將用戶業(yè)務(wù)敏感數(shù)據(jù)放到側(cè)鏈上，而不存儲(chǔ)在公開的主鏈上等。

　　7月，人民銀行印發(fā)《關(guān)于發(fā)布金融行業(yè)標(biāo)準(zhǔn)推動(dòng)區(qū)塊鏈技術(shù)規(guī)范應(yīng)用的通知》（以下簡稱《通知》），《通知》要求各類金融機(jī)構(gòu)定期開展外部安全評(píng)估、開展區(qū)塊鏈技術(shù)應(yīng)用的備案工作。

　　同時(shí)，新的區(qū)塊鏈標(biāo)準(zhǔn)正在不斷出爐。全國金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)官網(wǎng)9月4日消息，2020年6月22日至7月3日，國際電信聯(lián)盟電信標(biāo)準(zhǔn)化部門第十六研究組全會(huì)（ITU-T SG16）在線上召開。會(huì)上，由中國人民銀行數(shù)字貨幣研究所與中國信息通信研究院、華為等單位聯(lián)合發(fā)起的國際標(biāo)準(zhǔn)《金融分布式賬本技術(shù)應(yīng)用指南》成功立項(xiàng)，這是我國牽頭的首個(gè)金融區(qū)塊鏈國際標(biāo)準(zhǔn)。