【深度】区块链的未来已至?绝对的去中心是不成立的,看完这篇你就懂了

浩源 岂安情报产品经理

10年以上的人机识别、电子取证、黑产调研相关的工作经验,在风险管理方面主张创新,专注于互联网金融、支付、航空、电子取证、电商的反欺诈产品的调研和开发。

引言

区块链这个词仿佛一夜之间就出现在各大媒体杂志和讲座论坛中,称之为家喻户晓可能有些过,但是辐射面之广可见一斑,不信某人朋友圈有图为证↓:

bigsec

虽为调侃,但也充分说明了区块链对当下生产甚至生活中的影响作用。

大多人对区块链的认识可能在比特币或者有限的支付行业,其实这些仅仅是基于区块链技术和架构的场景应用的冰山一角,目前区块链在我国所应用的领域与国际并无差别。刚结束的两会上相关政协委员谈到:除了已有在供应链金融、产品溯源、数字票据、身份验证、慈善公益、数字版权、防伪存证、精准扶贫和游戏等方面的应用,支付、清结算、跨境贸易、保险、医疗健康、交通运输、旅游、物联网和智能制造等已逐步开始运用。

不知道作为读者的你们发现了什么共同点,作为我,发现以上这些领域中许多环节都涉及到“去伪存真”的工作,所以今天,我们不谈“去中心”、”去信任“和“分布式账本”,而仅仅在数字证书和取证保全两方面做一些小小的探讨。

PKI & 数字证书

其实大多数专家和互联网大咖对于区块链是保持谨慎乐观的。两会上,证监会信息中心主任谈及区块链时,指出绝对的去中心是不成立的,区块链本身若是软件就会有中心化,并且其保证信息安全的第一步便是身份的认证,采用的 PKI 也完全是依赖中心化的技术架构。可见,真正体现出区块链几大特征,完善PKI技术是研究区块链的技术人员必须关注的。

因为本人从事了两年身份认证的工作,所以免不了秀一下小能,讲讲PKI。

早期为了在互联网时代实现保密性、完整性、身份认证与授权、抗抵赖,采取了这个以非对称加密算法为核心的 PKI (Public Key Infrastructure)技术。

比如,我的同事大星要写一封电子邮件给我,如何利用 PKI 技术实现三个关键点:

  • 信真是大星写的吗?
  • 信不会被黑客看到?
  • 等我看到信时内容是否已被他人修改了呢?

先说加密:发信之前,我事前生成了一对密钥:公钥和私钥(非对称)。将公钥发布在了一个公共的密钥库中,而私钥则不对外公开,仅我本人持有。大星从公钥库中取出我的公钥,对文件进行加密,再发送给我。而我通过自己持有的私钥,即可将文件解密看到这封信的全文。如图:

bigsec

问题来了,非对称算法虽然实现了加密解密目的,但是由于其算法复杂,效率低下,一般不会单独使用。而把非对称算法用在确认身份和防止篡改、抗抵赖上恰到好处,进而派生出了著名的数字摘要和数字签名技术。简单的理解:

数字摘要是利用散列算法可以使原文转换为固定长度的一段字符,同样的原文对应同样的摘要,但是又无法从数字摘要逆推出原文。那么用大星的私钥对这个数字摘要加密产生的东西就是大家常说的数字签名,它充分保证了文件不被篡改,不可抵赖,而整个过程原文本身还是采用对称算法(如3DES)加解密以保证最高效率。

经过以上这一切后就只剩下证明这个公钥的拥有者、合法性、适用期限问题了,这就靠数字证书来体现。它是一个 PKCS10 数据包(包含主题、有效期):

bigsec

这些证书就是我们在平时日常生活、工作中非常容易见到的了。

bigsec

那么,谁来替这个证书背书?证明其合法有效性?这就要依靠权威的第三方机构了,这就是CA存在的原因。Certificate Authority 是数字证书认证中心的简称,是指发放、管理、废除数字证书的机构。CA的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。

bigsec

CA和区块链

CA机构是一种中心化的需要国家权威机构授权的第三方机构,在中国由工信部颁发电子认证牌照才可以合法运营的。大家平时接触的比较多的:CFCA、电信CA体系、上海CA、北京CA、天威诚信CA等等。这些机构的机房是完全按照工信部的要求,达到7层防护体系建设,必须严格达到国家标准方可投产。

中心的密钥对一般由硬件加密服务器在机器内直接产生,并存储于加密硬件内,或以一定的加密形式存放于密钥数据库内。加密备份于IC卡或其他存储介质中,并以高等级的物理安全措施保护起来。密钥的销毁要以安全的密钥冲写标准,彻底清除原有的密钥痕迹。所以,对于攻击者来说,唯一能做的是攻城拔寨(有点像好莱坞黑客大戏),拿到CA机构的签发证书的密钥,进行证书的签发。我今天还能回忆起在认证中心工作的第一天就是去机房里亲身体验了一次物理7层防护,深知了一点:信任体系的建立归根结底还是依赖这最核心的保险柜中的东西。

bigsec

区块链的信任体系与 CA 则不同,因为去中心化和信任最小化的理念,首先他没有任何物理防护的概念,它的信任基础是数学而不是国家或者某种机构,它将共识机制、密码学、分布式结构有机的结合在一起。所以,有部分研究人员认为如果免掉CA(第三方权威),延续PKI技术其实是可以曲线实现去中心化的目标。

其次,法规和责任认定方面的区别:当时与 PKI/CA 如影相随的是出台便风行一时的《电子签名法》,法规明确指出,通过对数据的、文档、视频等网络传播的数据进行电子签名,形成签名结果之后保存在第三方,当发生纠纷时,联合国家公信力机构出示证据,可形成有效证据链。

而区块链方面除了我个人还没有接触到配套的相关法规,全链的每一个节点都有记录和验证,理论上一旦信息进入区块链就无法篡改,这一点使得区块链有着“以理服人”的先天优势,当发生争议可以放心大胆地在区块链进行查询、记录。基本上是算力攻击只要没有超过51%这个比例,数据都是被认可的。但这次两会上,周鸿祎作为政协委员也提出了质疑,“比特币虽有账本不可篡改的特点,但也有遭受网络攻击的隐患。比如,当有人掌握了51%的算力,或者未来量子计算破解了“挖矿”的哈希算法,对区块链技术都是一个挑战。如今出现了很多交易所、钱包,也发生过安全事件,丢失了虚拟资产,恰恰说明区块链技术需要安全保护。” 可见360公司已充分准备好了迎接区块链的挑战。

取证 / 保全

突然想到最近区块链的一个段子:

bigsec

段子内容里面好像有去中心化、防篡改,好像还有时间戳、分布式账本,区块链真像段子里所描述如此接地气吗?

前文提到了PKI技术确实帮助我们实现了防篡改,抗抵赖的目的,因此我斗胆预测,在电子签约、电子合同、取证、保全等领域,区块链技术可以有很大的空间。

我曾经从业的一家公司是做电子取证的,与之联手的则是各个城市的大中小型公证处,为什么利用公证处采集呢?源于很早的一个通知:

{司发通[1994]070号}第1条规定:“著作权行政管理部门在查处侵权行为时,要求申请人和有关当事人提供证据的,应当对证据进行证据保全公证。对于公证机构出具的有关证据保全的公证文书,著作权行政管理部门应当作为查处侵权案件时认定事实的根据。”

除了著作权,其他民事、行政诉讼也有类似的规定,本来是找到了电子取证的途径,但是公司很快就发现互联网和传统公证相结合有很多不足:

公证处也有周末和上下班,这些时间难取证;

  • 时间戳是取证的关键,但是背后缺乏 PKI 支撑,仅仅是时间记录还是缺乏说服力;
  • 取证时需要清洁设备、清空 cookie 等各种操作,错过最佳时机;
  • 原则上取证过程公证人必须全程监督方有效,也就是很可能因为公证员上个厕所就把证据漏掉了;
  • 先发生后取证是无效的,比如你收到了一封邮件或者自己将来电者的语音进行记录,是出不了了公证书的,更不要说还要证明来信的对方是对方,收信的你是你。
  • 最重要,公证书出示的证据确实是被司法机构承认有效真实,但是,法庭采信不采信完全是另外一件事,准确地说是“仅供参考”。

bigsec

所以很多时候电子公证书仍然抵不过传统司法鉴定,很令人难堪。

区块链的共识机制(共识算法)应该来说是值得在以上领域尝试的,某电子合约从起草到回执,或者某原创作品从初稿到首发,这些数据的哈希摘要如果可以通过广播形式传播到(每一个区块包裹前一区块的哈希摘要形式传递)全链,即使篡改也无法影响整体链中的电子证据(除非周鸿祎所设想的量子计算攻破51%算力问题),对于司法机关我想应该是有极大说服力的。这才应该是和传统电子取证方式最大的区别了,理应也应该是目前司法机构信息部门的一个研究方向。

结语

互联网自诞生以来就不断刷新着想象,改造着世界。对于区块链出现,有人说开启了一个真正信任的时代,有人说开启了一个颠覆中心化的时代,甚至有人把区块链之前的互联网叫做古典互联网。

3月26日新华社发文谈到,业内预测区块链发展将可能分3个阶段:1.0版针对比特币代表的数字货币;2.0版是产业区块链阶段,与产业、商业、交易等结合;3.0版是与人工智能、物联网等结合。或许,与“古典行业”的结合,将会是区块链未来可行的发展方向。

以上几点仅仅是我的点滴假想,毕竟本人仍然是这个行业的门外汉。面临崭新时代,区块链处处开花,在线上反欺诈、业务安全方面的场景应用大家肯定也同样充满着期待,希望早日能看到新型的风控产品或者数据服务脱颖而出为企业保驾护航,使之更进一步。