您当前的位置:   首页 > 新闻中心
Thales和DigiCert联手——提高Hyperledger Fabric的网络安全
发布时间:2021-09-19 18:30:12   阅读次数:

Thales和DigiCert联手——提高Hyperledger Fabric的网络安全(图1)

区块链等分布式账本技术的安全现状

2019 年,79 亿条数据记录遭到破坏。然而,39% 的公司没有使用强大的数据安全措施,因为部署复杂性是一个障碍。这是可以理解的。正确实施密码学具有挑战性。合规要求不断变化无济于事:迄今为止,国际公司可能需要满足大约 1,800 项全球隐私法。


然而,安全性并不是一个很好的特性。这不是选择加入。必须的。如果他们不信任它,就没有人会购买您的解决方案。难怪公司在选择解决方案时会尽心尽力,最好是与系统无关、自动化且简单的解决方案。


随着区块链等分布式账本技术 (DLT) 的出现,人们承诺安全问题的答案就在眼前。


那么,DLT 是否可以解决您的网络安全问题?


DLT 承诺很多:不变性、透明性和可审计性。一旦网络达成共识并将信息放在分类账上,用户就可以相信他们所看到的与被批准为“真相”的内容相同。如果数据被加密,只有获得批准的用户才能看到它。通过这些方式,DLT 保护数据。


然而,与任何存储解决方案一样,区块链也不能免于妥协。它们本身并不是 100% 安全的。区块链只是整个系统的一部分——达成共识之前发生的事情和检索数据之后发生的事情与 DLT 无关。


“区块链的作用是提供途径,”DigiCert® 研发主管 Avesta Hojjati 解释道。“它们提供了探索的途径、省钱的途径和提高安全性的途径。”


Thales首席技术官办公室首席技术专家 Sol Cates 补充说:“然而,即使有了这种尖端、新颖的技术,网络安全仍然归结为公钥基础设施的老问题和安全的三个规则:机密性、完整性和可用性。” . “无论你的系统多么出色,如果你在集成区块链时放弃基本的安全原则,你就是在招致漏洞。”


在验证和管理区块链和 DLT 用户和设备的身份时尤其如此。


Thales和DigiCert联手——提高Hyperledger Fabric的网络安全(图2)

“无论你的系统多么出色,如果你在集成区块链时放弃基本的安全原则,你就是在招致漏洞。”

——Sol Cates,Thales首席技术官办公室首席技术专家


身份认证和管理基础

公钥基础设施 (PKI) 验证用户和设备的身份。它包括一个证书颁发机构 (CA),它验证身份并颁发受信任的证书。它还包括密钥对的管理——允许安全数字交易的公钥和私钥。


硬件安全模块 (HSM) 安全地生成、管理和存储关键密钥。这些设备受到物理保护和防篡改,并且可以在操作上与其他系统隔离。HSM 不与存储电子邮件、文档或系统备份的服务器共享空间。无论是物理的还是基于云的,HSM 只有一项工作:管理和保护密钥。


证书通常被比作您的护照或驾照。它们由受信任方或“CA”颁发。他们验证您的身份。而且它们很难伪造。其他人可以依靠它们来识别您的身份。


但是这个类比并不能很好地解释键。举一个简单的例子,考虑一个邮局。


邮局会检查您的身份并发给您一个邮政信箱。这样,邮局就像一个 CA。它验证了您的身份并将您的姓名绑定到一个类似于证书的邮箱。然后,您的邮箱编号将用作您的公钥。您可以与他人分享,或者他们可以找到它。一旦他们知道了,他们就可以与您交流。您可以将信息发送给您知道公钥(邮箱)的人。


但是您还有一个私钥来访问您的邮件。没有这个私钥,任何人都无法访问您邮箱的内容。为了保证您的信息安全,您必须保护该密钥。为了确保它真正安全,您可以将其存放在壁挂式保险箱中(在本示例中充当 HSM),而不是存放在厨房万能抽屉中,在那里此钥匙会与垃圾混在一起,其他人可能会无意或有意地碰到它.


虽然此示例极其简单,但它提供了 PKI 和 HSM 如何保护数据和事务的基本概念。


实际上,PKI 和 HSM 提供的不仅仅是通过您的私钥进行身份验证和安全访问。


PKI 还提供加密……想象一个神奇的信封,它会使内容无法读取,直到您从邮箱中检索到信件。它确保发送信息的完整性,防止任何其他方在传输过程中进行更改。HSM 使用高级加密技术生成这些私钥,并保护用户信息、数据机密性和网络身份验证。


为了安全起见,区块链和 DLT 解决方案仍必须满足标准的网络安全实践和要求。密钥管理 - 确保密钥保密,其完整性受到保护,并且始终随时可用 - 至关重要。


如果没有这种密钥管理,您也可以复制您的邮政信箱密钥并将其分发给任何想要的人,因为他们知道他们会制作自己的副本以供传递。


可以理解,密钥管理对公司来说是一个持续的挑战。他们不仅需要保护一组密钥,也不需要保护一些文档。企业每小时可以生成数百个密钥对,每个密钥包含 2048 到 3072 位。


通过远程员工和合作伙伴、多个设备访问网络以及安全的电子邮件和文档交换,企业每天无数次地验证身份、加密数据并验证文档和通信的完整性。


这是需要管理和保护的大量信息。它需要一个强大的证书、密钥和身份管理平台;它需要一种方法来生成、管理和存储私钥。


然而,区块链本身并不能满足所有这些要求。


这就是 DigiCert 和 Thales 走到一起的地方。


安全合作伙伴关系转移到 Hyperledger Fabric

PKI 的领先提供商 DigiCert 和数据保护领域的领导者 Thales 建立了长达十年的合作伙伴关系,帮助其客户对通信、系统、电子邮件、文档、网站和服务器进行身份验证和加密。


几年来,他们还是 Hyperledger 的共同成员。他们的许多行业合作伙伴,包括 IBM、Oracle、金融服务提供商等,都在使用 Hyperledger Fabric。这些公司希望在 Hyperledger Fabric 上支持其行业的需求,因此合作只是时间问题。


DigiCert 和 Thales 相信设计安全——其中的一个原则是,解决方案的设计从一开始就包含既定的安全原则,而不是依赖于反应性附加组件。考虑一下从头开始建立银行与将旧小学改造成银行之间的区别。前者将有一个集成在地基中的拱顶、硬化的墙壁和有限的接入点。后者的改造永远不会达到相同的质量标准。


DigiCert 和 Thales 都看到公司在区块链解决方案或服务中采用后一种方法,然后因为“它不起作用”而放弃。他们希望为 Hyperledger Fabric 的用户解决这个问题。


Cates 说:“安全的基本原理没有改变,只是因为我们要进入基于云或高度分布式的区块链环境。” “保护这些密钥的原则同样适用。我们不需要转向新的架构。我们可以使用金融机构几十年来一直在使用的相同原则。”


在这几十年中,性能改进和效率不断提高。这些改进后的原则现在允许在保持性能的同时扩展基础设施。无论是在本地还是基于云,密钥身份验证和管理的方法都是相同的。


建立信任

公众信任需要互联网浏览器中的信任。这意味着浏览器相信“你就是你所说的那个人”,所以当用户访问你的网站时,这些用户也可以相信这是真的。这就是证书和 CA 的用武之地。


另一方面,私人信任可能是公众无法访问的封闭环境中的物联网设备。对于私人信任,存在新兴的安全合规性要求,但安全最佳实践正在产生重大影响。


但是,对于公共信任,CA 必须满足多项合规性要求。这些是由证书颁发机构浏览器 (CA/B) 论坛强制执行的。所有公开信任的 CA 和浏览器都属于它。


CA/B 合规性要求之一是用于管理私钥的 HSM。


虽然并非所有情况都严格要求使用 HSM,但最好使用“我一直被问到:'我们不能没有 HSM 就做这件事吗?'” 是的,从技术上讲,您可以,”Cates 解释说。“可是你为什么要?当您可以放心地知道密钥在硬件信任根中不惜一切代价得到保护时,为什么还要冒着让这些密钥不安全的风险呢?”


“无论何时您拥有公钥或私钥,”Hojjati 补充道,“您都希望使用 HSM 来提高您的安全性。”


DigiCert 仅专注于 PKI,以最高级别的公共信任证书合规性运行。使用其易于设置和可扩展的解决方案,组织可以管理数字证书、用户注册并在所有用例中实施强身份验证、加密和数据完整性。


在 Thales Luna HSM 中存储证书和私钥增加了关键的安全级别。Luna HSM 已通过 FIPS 140-2 3 级验证,这是市场上NIST颁发的最高级别认证保证之一。此外,Luna HSM 还通过了通用标准 EAL4+ 认证。


当两者都被纳入区块链时,区块链的完整性得到了极大的保证和保护。



“无论何时您拥有公钥或私钥,您都希望 Luna HSM 来提高您的安全性。”

——Avesta Hojjati,DigiCert研发主管


工作原理:现在和将来

简而言之,DigiCert 使用密钥保护设备,而Thales保护这些密钥。它们一起使用 Hyperledger Fabric 保护解决方案。


首先,客户在 DigiCert 的平台内创建一个帐户,该帐户允许客户颁发公开和私人信任的证书。然后他们使用 DigiCert 的 API 将其与 Hyperledger Fabric 集成并替换原生 CA。从那时起,客户可以使用 Luna HSM 作为数字信任的强大基础。


Thales利用 Hyperledger Fabric 管理其集成,这是一种微妙且高度严格的集成类型。在安全的细微差别中,没有“足够好”;它必须从根本上尽可能地健全。“它必须正确完成,但一旦完成,您就可以在此基础上进行构建,确保随着时间的推移维护更容易,”Cates 说。


虽然现在整合是分开的,但公司正在寻找更广泛的整合。“我们正在与Thales合作,将其作为单一产品,”Hojjati 说。“在该产品中,您可以将 CA 和 HSM 集成到 Hyperledger Fabric 中,并通过密钥对和证书的一个联系点。”


除了集成到一种产品中,DigiCert 和 Thales 还密切关注云 HSM、量子计算和基于功能的操作的趋势。


随着越来越多的物联网设备和分布式模型的部署,可能需要一种更分布式和可扩展的 HSM 方法。“HSM 的生命周期通常很长,因此迁移到云可能需要一些时间,”Hojjati 说。“但越来越多的客户正在询问基于云的 HSM。”


Luna HSM 不仅支持区块链,而且还支持量子和加密敏捷。“我们可以在问题出现之前或在问题出现时即时更换算法,”Cates 解释说。“加密敏捷性通过实施替代加密方法,包括快速迁移到新的抗后量子 PKI 根和新算法,使您能够快速应对加密威胁。”


“我们在为银行、政府和其他具有安全意识的客户提供相同的基础上构建我们的项目,”他补充道。通过专注于安全的基本原则,DigiCert 和 Thales 为现在和未来的区块链提供信任和保证。


Thales和DigiCert联手——提高Hyperledger Fabric的网络安全(图2)

“安全必须做好,但一旦完成并以此为基础,随着时间的推移,维护就会变得更容易。”

—— Sol Cates,Thales首席技术官办公室首席技术专家

Thales和DigiCert联手——提高Hyperledger Fabric的网络安全(图4)

Thales和DigiCert联手——提高Hyperledger Fabric的网络安全(图5)

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609