9月9日,上海網(wǎng)信官方公眾號發(fā)布消息稱�,為加強對區(qū)塊鏈技術(shù)的引導和規(guī)范,推動區(qū)塊鏈技術(shù)應(yīng)用安全有序發(fā)展�,上海市地方標準《區(qū)塊鏈技術(shù)安全通用規(guī)范(征求意見稿)》現(xiàn)已形成,向社會公開征求意見�。
征求意見稿表示,我國已明確要求把區(qū)塊鏈作為核心技術(shù)和自主創(chuàng)新的重要突破口�,加快推動區(qū)塊鏈技術(shù)和產(chǎn)業(yè)創(chuàng)新發(fā)展。在區(qū)塊鏈技術(shù)和產(chǎn)業(yè)應(yīng)用快速發(fā)展階段�,迫切需要關(guān)注區(qū)塊鏈技術(shù)應(yīng)用中存在的�、潛在的安全隱患。本規(guī)范在T/SSIA 0002-2018的基礎(chǔ)上�,進一步聚焦、細化區(qū)塊鏈技術(shù)的共性技術(shù)風險�,提出對應(yīng)的安全通用要求,對于促進區(qū)塊鏈技術(shù)健康發(fā)展和保障區(qū)塊鏈技術(shù)的安全應(yīng)用具有十分重要的意義�。
征求意見稿分為9個章節(jié),分別分析了基礎(chǔ)設(shè)施層�、協(xié)議層�、擴展層的安全風險及安全措施并提出安全要求�。
征求意見稿指出,共識機制是區(qū)塊鏈技術(shù)框架的核心�,共識算法的作用是使數(shù)據(jù)保持一致性。共識機制的安全風險包括由共識機制自身設(shè)計漏洞導致的安全風險和實際應(yīng)用場景下的共識安全風險�,包括但不限于:
當攻擊者算力或比例達到一定比例時,存在惡意節(jié)點控制共識進程的安全風險�;
在聯(lián)盟鏈的場景下,聯(lián)盟參與者和節(jié)點數(shù)較少�,聯(lián)盟成員可進行密謀,從而繞過共識機制的限制�,任意修改鏈上數(shù)據(jù);
攻擊者采用雙花攻擊�、自私挖礦攻擊、短程攻擊�、長程攻擊、幣齡堆積�、預計算攻擊、女巫攻擊等攻擊方式�,達到雙重支付、回滾記錄�、獲得網(wǎng)絡(luò)控制權(quán)等攻擊目的。
同時�,密碼學機制也存在一定的安全風險。比如�,密鑰生成�、分發(fā)�、存儲過程中因人員操作或管理不當帶來的安全風險,包括密鑰丟失被盜等�。
此外,隨著量子計算技術(shù)的發(fā)展�,非對稱加密算法中的大數(shù)因子分解問題存在秒級時間內(nèi)被破解的風險。
在個人信息保護方面�,面臨的風險包括用戶的身份信息、物理地址�、IP地址與區(qū)塊鏈上的用戶公鑰、地址等公開信息之間存在關(guān)聯(lián)關(guān)系�;攻擊者通過關(guān)聯(lián)分析,可以推測出交易數(shù)據(jù)背后有價值的敏感信息等�。
對此,征求意見稿要求做到三方面工作:
1. 應(yīng)使用主流的簽名方式來保證消息的隱私�,包括但不限于盲簽名、環(huán)簽名�、群簽名等;
2. 應(yīng)提供數(shù)據(jù)變換技術(shù)�,如數(shù)據(jù)加密�、敏感數(shù)據(jù)脫敏等手段,可將敏感數(shù)據(jù)進行變換�;
3. 宜采用側(cè)鏈技術(shù)實現(xiàn)個人信息保護功能,將用戶業(yè)務(wù)敏感數(shù)據(jù)放到側(cè)鏈上�,而不存儲在公開的主鏈上等�。
7月�,人民銀行印發(fā)《關(guān)于發(fā)布金融行業(yè)標準推動區(qū)塊鏈技術(shù)規(guī)范應(yīng)用的通知》(以下簡稱《通知》),《通知》要求各類金融機構(gòu)定期開展外部安全評估�、開展區(qū)塊鏈技術(shù)應(yīng)用的備案工作。
同時�,新的區(qū)塊鏈標準正在不斷出爐。全國金融標準化技術(shù)委員會官網(wǎng)9月4日消息�,2020年6月22日至7月3日,國際電信聯(lián)盟電信標準化部門第十六研究組全會(ITU-T SG16)在線上召開�。會上,由中國人民銀行數(shù)字貨幣研究所與中國信息通信研究院�、華為等單位聯(lián)合發(fā)起的國際標準《金融分布式賬本技術(shù)應(yīng)用指南》成功立項,這是我國牽頭的首個金融區(qū)塊鏈國際標準�。
(責任編輯:李悅 )
最新評論