區(qū)塊鏈密碼技術(shù)與應用實踐

可信區(qū)塊鏈
密碼學在區(qū)塊鏈中一直發(fā)揮著重要作用,從信息加密、交易簽名、身份認證到隱私保護等關(guān)鍵功能的實現(xiàn),都能看到密碼學的身影。特別是《密碼法》從今年正式實施以來,從法律層面把商用密碼的合規(guī)性上升到了一個新高度。

密碼學在區(qū)塊鏈中一直發(fā)揮著重要作用,從信息加密、交易簽名、身份認證到隱私保護等關(guān)鍵功能的實現(xiàn),都能看到密碼學的身影。特別是《密碼法》從今年正式實施以來,從法律層面把商用密碼的合規(guī)性上升到了一個新高度。

7月23日,由中國信通院、可信區(qū)塊鏈推進計劃共同舉辦的“鏈接未來”可信區(qū)塊鏈沙龍系列活動第4期線上開講。本次活動以“區(qū)塊鏈密碼技術(shù)與應用實踐”為主題,邀請了來自中國信通院區(qū)塊鏈工程師張啟、鼎鉉密碼與網(wǎng)絡(luò)安全高級工程師譚銳能、微眾銀行區(qū)塊鏈安全科學家嚴強、銀碼通總經(jīng)理王建新、中科院軟件研究所副研究員兼中科鼎智總經(jīng)理程亮等5位專家,圍繞區(qū)塊鏈中密碼學的實踐經(jīng)驗和前沿技術(shù),共同探討密碼技術(shù)在區(qū)塊鏈中合規(guī)、正確、有效、安全應用。

可信區(qū)塊鏈密碼應用標準介紹

中國信通院張啟首先帶來了可信區(qū)塊鏈密碼應用標準的分享。今年《密碼法》的正式實施,對商用密碼的規(guī)范化應用提出了更高的要求。區(qū)塊鏈作為密碼學的一個典型應用當然也不例外,因此有必要在區(qū)塊鏈密碼應用規(guī)范方面開展標準化研究工作。與此同時,區(qū)塊鏈密碼技術(shù)的多年應用實踐經(jīng)驗也為區(qū)塊鏈密碼應用規(guī)范的標準化提供了成熟的應用積累。

根據(jù)密碼應用架構(gòu),區(qū)塊鏈密碼應用規(guī)范分為密碼應用層、密碼功能層和密碼設(shè)備層。從密碼學角度看,區(qū)塊鏈中的關(guān)鍵技術(shù),如交易賬本、共識算法、通信加密、智能合約等都屬于區(qū)塊鏈密碼應用層,即密碼技術(shù)在區(qū)塊鏈基礎(chǔ)功能中的應用。密碼功能層是密碼學的技術(shù)實現(xiàn),包括密碼算法,密碼協(xié)議,數(shù)字證明和密鑰管理。密碼設(shè)備層是密碼規(guī)范中最底層部分,與硬件關(guān)聯(lián)性較高,為功能層提供密碼基礎(chǔ)服務(wù),如隨機數(shù)生成、時間戳、簽名驗簽服務(wù)等。

區(qū)塊鏈密碼應用驗證測試分享

鼎鉉譚銳能在本次沙龍中分享了區(qū)塊鏈密碼應用驗證測試。區(qū)塊鏈技術(shù)簡單來講就是“密碼學+分布式賬本”,以及在此之上的眾多應用。隨著區(qū)塊鏈應用場景的增多,區(qū)塊鏈使用的密碼技術(shù)也日益豐富,同時也出現(xiàn)了眾多針對區(qū)塊鏈密碼層的攻擊方式。目前區(qū)塊鏈密碼應用暴露的問題,如不安全的密碼算法、代碼實現(xiàn)漏洞、密鑰管理問題、隨機數(shù)問題、開源算法庫后門等,嚴重影響區(qū)塊鏈安全健康的發(fā)展。

為了推動密碼技術(shù)在區(qū)塊鏈中合規(guī)、正確、有效的應用,可信區(qū)塊鏈推進計劃推出了密碼專項測試,該測試包括了9大項50個指標,為區(qū)塊鏈密碼應用的規(guī)范化提供全面的檢測服務(wù)。

隱私保護技術(shù)標準化的現(xiàn)狀與思考

微眾銀行嚴強博士帶來了隱私保護技術(shù)標準化的分享。嚴博士在本次分享中表示,隱私保護的范疇十分廣泛,“可用而不可見”只是隱私保護的一個小目標,除了數(shù)據(jù)內(nèi)容保護之外,還應包括隱私合規(guī)性,及其所賦予的數(shù)據(jù)全生命周期權(quán)利保障。

目前隱私保護技術(shù)標準化整體進程尚處早期,存在著巨大的機遇,隱私保護技術(shù)的標準化有利于推動行業(yè)的整體發(fā)展。相比以往標準化的探索方式,微眾銀行在隱私保護領(lǐng)域的探索,結(jié)合多年區(qū)塊鏈應用實踐經(jīng)驗,探索出更為有效的場景式路徑,提出構(gòu)建隱私保護能力分級和模塊接口互通的模式,并增強標準指標的可解讀性和公眾對標準測評結(jié)果的信任感。

區(qū)塊鏈密碼技術(shù)與應用實踐

銀碼通王建新帶來了區(qū)塊鏈密碼技術(shù)與應用實踐的分享,王建新老師主要介紹了三方面內(nèi)容:1.密碼算法在當前區(qū)塊鏈中的應用;2.商密算法對區(qū)塊鏈技術(shù)的支持;3.密碼技術(shù)在區(qū)塊鏈領(lǐng)域新的研究方向。

密碼技術(shù)在區(qū)塊鏈的身份驗證、共識機制、防篡改、隱私保護等關(guān)鍵技術(shù)環(huán)節(jié),發(fā)揮了不可替代的作用,而這些技術(shù)環(huán)節(jié)都可以用商密算法實現(xiàn)?;谏堂芩惴ǖ膮^(qū)塊鏈技術(shù)有望在政務(wù)系統(tǒng)、智慧城市等領(lǐng)域廣泛使用,其中基于零知識證明的分布式數(shù)字身份認證將發(fā)揮重要作用。

密碼相關(guān)代碼的安全缺陷檢測

中科院軟件所程亮帶來了密碼相關(guān)代碼的安全缺陷檢測的分享,程亮表示要保證一個復雜密碼系統(tǒng)的安全性,需要考慮多方面的因素。密碼系統(tǒng)的工程實現(xiàn)往往是最薄弱的一環(huán),輕則導致加密強度降低,重則導致加密機制被繞過,造成信息泄漏。

程亮從測試數(shù)據(jù)的獲取、測試對象的識別切入,介紹了在無法獲得加密算法源代碼的前提下,加密數(shù)據(jù)的提取與恢復技術(shù),加密算法的代碼定位與類別識別技術(shù)。并分享了如何利用程序分析與模式識別技術(shù),檢測加密密鑰為常數(shù)、加密算法工作模式使用錯誤、隨機數(shù)隨機性不足等導致 密碼相關(guān)API的誤用錯誤,以及相應的代碼缺陷修復技術(shù)。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論

本月熱門

精選文章

熱點資訊