区块链是近年来人们谈论最多的技术之一。IDC估计区块链的支出将从2019年为29亿美元,2022年为124亿美元 .
人们到处看到区块链的机会。这个长长的清单包括银行业务、联网汽车、食品安全、医疗保健、身份、保险、智能合约等等。我们的想法是,任何需要保存记录完整性的东西都可以从区块链中获益。
有人甚至打电话来区块链——新的互联网——提供可追溯性、信任和透明度 .
但是,虽然区块链提供了很多希望,但也带来了各种风险。
Mt.Gox只是一个例子,说明了区块链是如何走向严重错误的。
用户依靠庞大的比特币交易所来管理他们的比特币交易。Mt.Gox未能妥善保护其客户的比特币,这引发了一连串的担忧,包括欺诈、管理不善和比特币被盗。
比特币很容易被坏人窃取,他们利用不良的安全措施,包括泄露的凭证和交易的可塑性,让攻击者劫持交易以获取自己的利益。
Gox公司因此损失了价值5亿美元的客户虚拟货币。该公司随后申请破产保护并暂停运营。
比特币和区块链代表了一种新的范式。人们认为他们可以实现这些技术而不必担心安全性。Mt.Gox展示了为什么这种想法是错误的。
传统上,负债是由银行承担的,银行是受监管的企业。这样,如果出了问题,你可以把矛头指向金融机构。你可以指出他们的问题,并要求他们进行赔偿。
有了区块链,模式就变了。没有中央监管机构。你没有追索权,没有办法去争论或纠正问题。
用户必须管理他们的加密密钥,把责任从银行等实体转移到个人身上。如果你的密钥丢失了,那么你将无处进行索赔。
谁会为此负责?没有人!
这是挑战的一部分——因为区块链的出现,我们颠覆了模型。
说到责任,智能合约也值得考虑。
智能合约计算机程序或协议是否在区块链上运行。智能合约说,如果A对B做了什么,那么C必须发生。你只有以正确的方式做事才能得到回报。
但合同通常是律师的领域,他们理解并处理意图。管理纠纷并不是我们可以轻易地编码成算法的东西。然而,智能合约将这种行为编码到区块链上,它们是由编码人员而不是律师编写的。
智能合约和区块链的另一个挑战是它们很难改变。
您无法验证合同正在做什么以及它是否按预期执行。如果不正确,你就不能改变它。
区块链的不变性也与隐私法规相冲突,比如欧盟的通用数据保护条例(GDPR)。GDPR和其他规则为个人提供了“被遗忘的权利”,但区块链永远不会忘记。
区块链很难编辑,这一事实也让它对坏人很有吸引力。隐私中毒很容易使整个区块链无法使用。攻击涉及使用区块链存储非法数据或诽谤记录,使整个网络与当地法律相冲突。
区块链的一些风险与其成熟度有关。重要的是要记住区块链是一种技术,它不是一个过程或框架。
区块链只是一个不能被破坏的账本。然而,用户如何使用区块链和围绕区块链做事的实际做法尚不清楚。
它没有加密和密钥管理系统等安全技术的安全开发生命周期。安全开发生命周期包括解决方案提供者或实现组织如何产生产品所涉及的一切。从设计到实现、测试和操作维护。
密钥的生命周期至关重要,因为持有密钥的人控制着一切。
所以,你需要知道谁持有和控制加密密钥。
如果钥匙也丢了,你也要有个计划。再说一次,区块链并不是那么简单。这取决于区块链设计者为这种情况建立一个备份过程。
开发人员和用户可以通过明智地选择用例来避免“区块链墓地”。区块链在不受数据约束或不受市场波动影响的情况下效果最好。从财务角度来看,选择数据不那么重要的用例也是明智的。
一个可能合适的区块链用例是供应链。然后你可以和其他人进行同行评审。区块链也可以用于航空公司的忠诚度积分。
这些都是很好的用例,因为它们不需要时间限制。如果你想要即时的东西,区块链不会成为你的朋友。但如果我的忠诚积分没有立即出现在我的常旅客帐户上,那就不会真的困扰我了。
另外,考虑一下你是否真的想把某些数据放到区块链上。如果你有个人识别信息(PII),不要把它放在区块链上。
区块链不允许用户轻松行使被遗忘或更正数据的权利。而PII为实施区块链的组织带来了法律风险。
人们对自动化的需求越来越大。在这种背景下,没有干预或纠错的方法是一个大问题。
如果没有安全阀来纠正错误,你就处于危险的境地。也就是说,如果你在设计一个系统,一定要有纠错功能。
区块链并不总是能够领先于游戏。但对于区块链设计者和用户来说,了解区块链前景中的这些威胁是很重要的。
在我们所提供的方案中,服务器端密钥和数字钱包密钥均受到保护。服务器端密钥在HSM中创建和使用,数字钱包密钥由HSM创建并保存于个人用户的硬钱包中。任何组织或个人无法获取密钥的值,并无法复制密钥。数字钱包密钥受服务器端密钥验证,确保所有区块的可信。
点击此处,查看揽阁信息提供的《区块链密钥安全解决方案》
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!