山石岩读丨一文读懂区块链安全：区块链黄金发展期是否已到来？ – 作者:Hillstone

通过上期《山石岩读》，我们了解明白了区块链技术带来的冲击，那区块链创建和管理有哪些安全问题？区块链是否已经准备好迎接黄金发展期？

五、与区块链创建和管理相关的其他安全问题

修补私有区块链上的安全缺陷遵循与其它企业应用软件类似的最佳实践原则，且在大多数情况下，对企业的影响很小。另一方面，公共区块链的补丁会遇到一个特殊的挑战，因为其重大更新可能需要一个硬分支，如前所述，这将增加对后续受影响交易再处理的成本。在公共区块链中，几乎不可能实现资产、用户凭证的恢复或交易回滚，而私有区块链则不然，可被设计为提供相关机制来满足这些需求。因此，可以使用较完善的密钥管理程序来解决身份凭证的丢失问题。组织必须考虑数据正确性和修正与信息一致性之间的权衡和规划问题。此外，硬分支代码可能是代价昂贵的事后补救措施；因此，应考虑采用预置的交易回滚机制来增加交易回滚功能，特别是对于管理物理或金融资产的系统。

由于其固有的分布式特性，实施区块链必须考虑个人保护和删除其私人信息(尤其是财务和健康信息)的权利。隐私问题专家建议使用加密散列值索引来提供链上证明，而不是使用实际的数据，同时限制对交易数据的访问。其它实施方案包括混淆交易数据、对节点和参与者实施访问控制等安全措施，或者使用零知识证明或“简洁知识参数”(SNARKs)。SNARKs为保护隐私提供了最大的可能性，因为它们以编程的方式验证了只有用户知道的输入参数，并从中导出能确认用户的公开输出，而此过程没有透露任何其他信息。

六、合规性

在很多国家，监管机构对区块链技术的关注有限，而是更多地关注其提供更优业务方式的承诺。然而，随着区块链使用量的增长，预计各国监管机构将效仿新加坡和瑞士等国的做法。事情正在朝积极的方向发展，从金融服务、医疗保健和供应链管理，到教育、学术和其他行业，各行业组织正在迅速形成，以便在一场法律法规监管竞争中获得区块链技术。美国国会也提出了几项有关区块链和加密货币的法案，以防止其被用于洗钱、伪造、资助恐怖主义和逃税。

七、区块链是否已准备好迎来黄金发展期

目前，区块链“革命”仍处于初期阶段。该技术虽然实施起来复杂度较高，但却可能对现有流程和方法带来重大改进。它创造了新的业务模式和相应的商机。然而，区块链技术也不能解决现有所有流程问题，因此，在采用区块链技术之前，组织需要理解它们的真实需求。

对于某个具体的应用，组织可以在它们的评估过程中考虑以下因素，缺少一个或多个因素可能表明不适合采用区块链应用。在理想状态下，对于区块链来说最重要的因素就是“受信任的”中介机构所产生的信任成本问题。在现行交易模式中，这些机构为银行、保险公司、律师事务所等经营、保护、监督和确保交易的实体，它们也间接地作为“准中央权威机构”来支持了网络。然而，他们的参与增加了不必要的交易成本和对网络的控制，这两者都与区块链的去中间人化和去权威机构的价值主张相矛盾。此外，数据的类型和使用方法也很重要，数据必须选择分散而不是集中部署，因为后者需要隐性的信任，与区块链无需信任的价值主张相矛盾。因此，托管数据必须是可共享的，或部署在某种公共环境中。对于因所有权主张而发生的任何争议，可采取信息公开和通告的方法来解决。例如，在美国，房产所有权信息可以很容易地从州税务管理部门获得，因为这些信息被视为公共记录，相反，健康、所得税和财务记录则不能从公开渠道获得。在这些用例中，信息是有限共享的，隐私的优先级高于透明。此外，必须对敏感数据的保管人和相关服务商、网络运营商给予一定程度的信任。区块链价值主张的核心是为物流链中的交易提供一致性和完整性的能力。因此，交易数据必须是可用的，这样节点才能计算它们的数字账目版本并确认交易历史。如果限制对数据的访问，那账目的正确性也会被削弱。

区块链技术仍然有一些关键的障碍需要克服，比如在不影响网络性能的前提下提高安全性，在透明性和隐私保护之间寻求平衡。希望采用区块链技术的组织应持谨慎态度，因为有许多隐性成本需要考虑，包括规划和重新设计现有流程以使之适应在区块链场景中工作。招聘或培训具备开发、实施和维护等专门技能的员工也会增加大量成本。现在就应行动起来，让组织中的每个人都彻底了解区块链应用系统的工作原理及其所需的时间和能力等条件。安全和隐私之间的争议在成为问题之前就应被妥善处理。所有这些措施不仅有助于确定区块链在组织中的可行性，还能保证不损害敏感数据的安全性，并且对于仍处于起步阶段的区块链技术来说，也是实现高投资回报率的一种方式。

（此系列完结）

来源：freebuf.com 2020-09-29 18:31:33 by: Hillstone