9月9日,上海網信官方公眾號發布消息稱,為加強對區塊鏈技術的引導和規范,推動區塊鏈技術應用安全有序發展,上海市地方標準《區塊鏈技術安全通用規范(征求意見稿)》現已形成,向社會公開征求意見。
征求意見稿表示,我國已明確要求把區塊鏈作為核心技術和自主創新的重要突破口,加快推動區塊鏈技術和產業創新發展。在區塊鏈技術和產業應用快速發展階段,迫切需要關注區塊鏈技術應用中存在的、潛在的安全隱患。本規范在T/SSIA 0002-2018的基礎上,進一步聚焦、細化區塊鏈技術的共性技術風險,提出對應的安全通用要求,對于促進區塊鏈技術健康發展和保障區塊鏈技術的安全應用具有十分重要的意義。
征求意見稿分為9個章節,分別分析了基礎設施層、協議層、擴展層的安全風險及安全措施并提出安全要求。
征求意見稿指出,共識機制是區塊鏈技術框架的核心,共識算法的作用是使數據保持一致性。共識機制的安全風險包括由共識機制自身設計漏洞導致的安全風險和實際應用場景下的共識安全風險,包括但不限于:
當攻擊者算力或比例達到一定比例時,存在惡意節點控制共識進程的安全風險;
在聯盟鏈的場景下,聯盟參與者和節點數較少,聯盟成員可進行密謀,從而繞過共識機制的限制,任意修改鏈上數據;
攻擊者采用雙花攻擊、自私挖礦攻擊、短程攻擊、長程攻擊、幣齡堆積、預計算攻擊、女巫攻擊等攻擊方式,達到雙重支付、回滾記錄、獲得網絡控制權等攻擊目的。
同時,密碼學機制也存在一定的安全風險。比如,密鑰生成、分發、存儲過程中因人員操作或管理不當帶來的安全風險,包括密鑰丟失被盜等。
此外,隨著量子計算技術的發展,非對稱加密算法中的大數因子分解問題存在秒級時間內被破解的風險。
在個人信息保護方面,面臨的風險包括用戶的身份信息、物理地址、IP地址與區塊鏈上的用戶公鑰、地址等公開信息之間存在關聯關系;攻擊者通過關聯分析,可以推測出交易數據背后有價值的敏感信息等。
對此,征求意見稿要求做到三方面工作:
1. 應使用主流的簽名方式來保證消息的隱私,包括但不限于盲簽名、環簽名、群簽名等;
2. 應提供數據變換技術,如數據加密、敏感數據脫敏等手段,可將敏感數據進行變換;
3. 宜采用側鏈技術實現個人信息保護功能,將用戶業務敏感數據放到側鏈上,而不存儲在公開的主鏈上等。
7月,人民銀行印發《關于發布金融行業標準推動區塊鏈技術規范應用的通知》(以下簡稱《通知》),《通知》要求各類金融機構定期開展外部安全評估、開展區塊鏈技術應用的備案工作。
同時,新的區塊鏈標準正在不斷出爐。全國金融標準化技術委員會官網9月4日消息,2020年6月22日至7月3日,國際電信聯盟電信標準化部門第十六研究組全會(ITU-T SG16)在線上召開。會上,由中國人民銀行數字貨幣研究所與中國信息通信研究院、華為等單位聯合發起的國際標準《金融分布式賬本技術應用指南》成功立項,這是我國牽頭的首個金融區塊鏈國際標準。
最新評論