淺析區塊鏈與安全

區塊鏈改變了原有的數據和通信方式，對現有Internet架構提出了挑戰，或許我們的架構正在改變。與傳統的C/S模型相比，區塊鏈是一種開放的、分散式的架構。對大多數人來說，區塊鏈就是加密貨幣的代稱。

公有vs.私有區塊鏈

事實上有兩種形式的區塊鏈，一種是公有區塊鏈，一種是私有區塊鏈。比特幣就屬於公有區塊鏈，而一些商業應用就屬於私有區塊鏈。與公有雲和私有雲類似，區分公有和私有區塊鏈的就是誰能夠加入到該網路中，運行一致的協議和維護共享的分類賬本（ledger）。

透明性是公有區塊鏈的另一個基本屬性。個體在進行交易時是匿名的，而交易本身是可以被追蹤的。這也就解釋了為什麼比特幣註定是pseudonymous（使用筆名的）而不是anonymous（匿名的）。透明性意味著可以追蹤可疑的交易並終止洗黑錢這類的服務，包括惡意代理用比特幣進行勒索的活動。

相比而言，私有區塊鏈是需要每個實體去識別自己的控制網路。加入私有區塊鏈需要邀請，而私有區塊鏈中的交易也是受管理的。與公有區塊鏈相比，透明性就下降了。

分類賬簿中的信息不向所有參與者公開，也不是所有參與者都可以讀取。許多規則管理了存儲和達成一致的過程，包括決定節點的角色。私有區塊鏈有許多參與的節點，比如設備和用戶。然而，這些一致性也是區塊鏈成員進行管理和維護的。

公有區塊鏈將密碼學、分散式系統、經濟學、博弈論、圖論和政治學結合在一起，在這些學科中有一個微妙的平衡。而私有區塊鏈對政治學的依賴程度比較低，也沒有確保分類賬簿安全的經濟動機。在私有區塊鏈中，使用傳統的方法和加密技術來提供安全。

公有區塊鏈的透明性也提供了一定級別的安全性，網路實際上是通過工作量證明（Proof of work, POW）來管理的。為了防止其他人向區塊鏈中加入區塊，攻擊者必須在區塊鏈中擁有51%以上的計算能力。而POW要求參與者解決一個複雜的密碼學難題，才能向鏈中加入新的交易區塊。

權益證明（proof of stake, POS）演算法是用來讓公有區塊鏈在計算需求上更加高效，也可以減輕對動機的需求。基於POS的區塊鏈以一種決定性的方式選擇誰可以添加區塊。這種方法目前是存有爭議的，一些專家質疑在特定情況下解決爭執的能力，也有人質疑POS演算法抵抗區塊鏈攻擊的能力。

區塊鏈和安全

在一項針對採用區塊鏈技術企業的調查中，受訪者最主要的安全挑戰是不理解區塊鏈的工作原理。

在關於區塊鏈如何影響安全的考慮中，Radware發現主要有對DNS的影響，基於區塊鏈的控制和防止DDOS攻擊的能力。

對DNS的影響

去中心化的，安全的DNS系統是DNS的改革方向，這主要源於針對Dyn的DDOS攻擊以及對威脅landscape的影響。事實上，基於區塊鏈的服務可以解決許多互聯網目前所面臨的可用性和性能的問題。許多前瞻者以及在研究基於區塊鏈的解決方案來讓DNS、Web站點和其他公共服務更加去中心化，更加安全。比如，Namecoin正在嘗試創建一個基於公有區塊鏈技術的可選的DNS系統。Namecoin用大量的比特幣礦機來確保它自己可以抵禦51%的攻擊。

Namecoin背後的思想是一種全分散式的域名事務賬本，每個用戶都可以添加域名，但是該域名的維護也只能由其屬主來維護。這個概念提供一種非監管的、開放的DNS架構，這種架構也引出一個新的問題。那就是我們如何防止惡意用戶濫用這種服務呢？目前，我們所用的方法就是將C&C伺服器和其他惡意伺服器列入黑名單，但是對於開放的、非監管的系統，這並不是一種可以強制的方法。

市場上的網關解決方案選擇將惡意域名加入黑名單。但是不同的網關產品與開放系統是不同步的。這也出現一個問題，那就是誰來維護、執行和監管這個黑名單。

控制混亂

那麼是誰在控制區塊鏈呢？這是一個非常重要的問題。公有區塊鏈內在的限制就是不能認為是安全的，直到能夠吸引大量的參與者加入鏈中。在區塊鏈的工作量證明Proof of work中，抵禦攻擊的能力被設定為51%的計算量閾值。那如果惡意攻擊者在區塊鏈中獲取了所有權會怎麼樣呢？所有鏈中計算量低於攻擊者的都不能低於攻擊。只有當所有區塊鏈的參與者的計算能力足夠大時，會讓攻擊變得成本極高， 也就能抵禦攻擊。

要在新的加密貨幣中建立可信度，首先要利用比特幣中的計算能力。加密貨幣協作挖礦的邊鏈正在覆蓋出於安全考慮建立的區塊鏈，但是動機仍然要礦機同意協作來挖取新貨幣。這就是為什麼Namecoin一部分是DNS，一部分是可交易的貨幣。

抵禦DDoS

這種新出現的平台的主要優勢也是劣勢。因為他們是完全分散式的而且本身就可以抵禦DDOS攻擊。但是，基於區塊鏈的DNS需要每個參與者存儲所有的域名目錄和所有的歷史記錄。這對許多實體來說，是一種不切實際的需求。大家可以想像一個提供web服務的系統能夠很容易的被客戶端和設備訪問，但是客戶端系統和設備不想或不能存儲區塊鏈賬本的所有目錄。這樣的web服務將分散的DNS服務聚集在一起。

細想加密貨幣，許多人都用手機等移動設備來進行交易。這樣的話，事實上他們是沒有加入在區塊鏈的節點。他們使用一種提供對運行在後台的區塊鏈的邊界訪問。2017年，許多加密貨幣交易都成為DDOS攻擊的受害者，數據泄露都集中於這些加密貨幣交易網站的門戶。

這些事件說明為了做到完全的分散式並擁抱新的基於區塊鏈的Internet，每個設備都要在本地存儲上存儲全部的Internet DNS域名和完全的變更歷史。另外一種選擇就是，基於區塊鏈的Internet必須倒退到依然易被攻擊的大規模數據泄露和DDoS攻擊的門戶和網關。換句話說，變化地越多，可能變化越小。

未來是怎樣？

區塊鏈是一種新興的技術，正在不斷的發展中。看起來很適合加密貨幣交易和特定的商業應用，但是作為新Internet來說，還需要打破一個全球的標準，仍有很長一段路要走。

只有時間能告訴我們區塊鏈是否能夠以及能夠多大程度上改變互聯網。同時，要在關於區塊鏈的樂觀和懷疑中有一個平衡，用已有的一些技術來保護自己。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！