近一年多以來,伴隨金融科技(FinTech)主軸應(yīng)運(yùn)而生的“區(qū)塊鏈(Blockchain)”,已躍為眾所矚目的熱門議題,盡管區(qū)塊鏈明顯與FinTech應(yīng)用息息相關(guān),但事實(shí)上,區(qū)塊鏈與物聯(lián)網(wǎng)的結(jié)合,足以激蕩出更讓人振奮的創(chuàng)新應(yīng)用,故在探討物聯(lián)網(wǎng)安全之際,不可免俗應(yīng)一并探究區(qū)塊鏈安全議題。
根據(jù)IBM發(fā)布的“藍(lán)色觀點(diǎn)”,個(gè)中有一篇關(guān)于區(qū)塊鏈的文章,該文開宗明義指出,F(xiàn)inTech的出現(xiàn),不僅加速了金融服務(wù)產(chǎn)業(yè)的變革腳步,亦是推動(dòng)物聯(lián)網(wǎng)應(yīng)用的關(guān)鍵推手,其間又以區(qū)塊鏈技術(shù)的影響性最大,WEF更直接點(diǎn)名區(qū)塊鏈技術(shù)是帶動(dòng)第四次工業(yè)革命的潛力科技之一。
影響所及,時(shí)序進(jìn)入2016年以來,區(qū)塊鏈不只扮演著FinTech主旋律之下極其重要的分支脈絡(luò),甚至具備獨(dú)挑大梁的架勢(shì),逐步成為熱門的研討會(huì)主題。
究竟什么是區(qū)塊鏈?它是經(jīng)由一套嚴(yán)謹(jǐn)?shù)募用芊ㄋ葑兌鴣淼募夹g(shù),透過復(fù)雜的公鑰與私鑰設(shè)置,系統(tǒng)會(huì)自動(dòng)將透過區(qū)塊鏈網(wǎng)絡(luò)進(jìn)行的金融事務(wù)數(shù)據(jù),分別遞送到每一位參與者的手中,同時(shí)每一位參與者,皆僅能針對(duì)自己的財(cái)產(chǎn)進(jìn)行修改。
換言之,一旦有了區(qū)塊鏈技術(shù),借助一個(gè)數(shù)字交易紀(jì)錄系統(tǒng),則廣大的企業(yè)與消費(fèi)者,就無需再透過傳統(tǒng)的金融中間機(jī)構(gòu)進(jìn)行交易,可以在更快速、更安全且更低成本的前提下,進(jìn)行財(cái)產(chǎn)的交易、稽核與監(jiān)管,如此一來,本來需要2到3個(gè)工作天始可完成的支付結(jié)算作業(yè),即可在當(dāng)日之內(nèi)完成。
比特幣率先實(shí)踐區(qū)塊鏈 帶動(dòng)金融交易創(chuàng)新
說起區(qū)塊鏈,大家通常會(huì)聯(lián)想到比特幣服務(wù),而這也算是最早期的區(qū)塊鏈應(yīng)用。所謂比特幣,乃是一種新型態(tài)的數(shù)字資產(chǎn)交易模式,系由日本人Satoshi Nakamoto于2011年首度提出此概念,并以此觀念衍生公開賬簿,一舉解決了虛擬貨幣世界向來為人詬病的重復(fù)扣款盲點(diǎn),也讓不少使用者樂于貢獻(xiàn)自身的CPU運(yùn)算能力,借助一套特殊軟件而加入“挖礦工”行列,集結(jié)眾多挖礦工形成一個(gè)足以支撐比特幣發(fā)展的網(wǎng)絡(luò)結(jié)構(gòu),在過程中產(chǎn)生新貨幣,也在網(wǎng)絡(luò)中不斷蔓延交易活動(dòng)。
至于區(qū)塊鏈,亦可取材比特幣概念,而被視為一套公開賬本,區(qū)塊鏈網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)皆有完整的賬本備份,而賬本里面也涵蓋自比特幣誕生以來的所有交易紀(jì)錄,個(gè)中含括多個(gè)區(qū)塊紀(jì)錄,每個(gè)區(qū)塊各自對(duì)應(yīng)一部分交易,又記載著前一區(qū)塊的Hash值,于焉形成一個(gè)鏈條狀的數(shù)據(jù)結(jié)構(gòu)。
假設(shè)某一節(jié)點(diǎn)欲發(fā)動(dòng)交易,會(huì)先將交易廣播給其他節(jié)點(diǎn),這時(shí)候所有節(jié)點(diǎn)將會(huì)透過共識(shí)算法,以決定誰人可驗(yàn)證這筆交易,爾后即有礦工協(xié)助將交易紀(jì)錄包裹成為一個(gè)全新的區(qū)塊,然后送上區(qū)塊鏈,代表交易已經(jīng)完成,數(shù)據(jù)一旦被寫入?yún)^(qū)塊鏈當(dāng)中,就無法再被竄改。
值得一提的,綜觀每個(gè)比特幣賬戶,都擁有公鑰與私鑰,發(fā)動(dòng)交易之際需要采用私鑰進(jìn)行簽章,而礦工則借助公鑰查核此簽章;假使發(fā)起交易的帳戶并無足夠比特幣,僅需要回溯整個(gè)賬簿的交易紀(jì)錄,便可察覺個(gè)中異狀,繼而取消該筆交易。
嚴(yán)加保護(hù)wallet.dat 慎防虛擬貨幣資產(chǎn)損失
那么,區(qū)塊鏈技術(shù)是否存在安全疑慮?自然是有的,但它也擁有一些值得信賴的特點(diǎn)。先說好的部分,既然區(qū)塊鏈系以記賬的方式永遠(yuǎn)紀(jì)錄參與者的全部交易行為,即意謂它足以顛覆過往各產(chǎn)業(yè)或各單位確要確認(rèn)交易紀(jì)錄的層層限制,參與者可經(jīng)由共享賬本的系統(tǒng),看到被授權(quán)觀看的交易紀(jì)錄,有助于加速交易之進(jìn)行。
此外,區(qū)塊鏈系統(tǒng)會(huì)按照交易雙方同意的合約內(nèi)容執(zhí)行交易,因此各方都不必?fù)?dān)心交易作業(yè)機(jī)制會(huì)有違反合約之虞,而且交易參與人并不需要將個(gè)人資料與交易訊息加以捆綁,并可指定可被授權(quán)觀看的交易訊息,能夠保護(hù)交易者的隱私性。
再者,如同前面提到,交易信息皆采用密鑰執(zhí)行簽章,有助于充分達(dá)到不可否認(rèn)性。
再談到壞的部分。首先,區(qū)塊鏈所采用的共識(shí)算法機(jī)制,最讓人擔(dān)心之處便是所謂的「51%攻擊」,意即只要有人能掌握整個(gè)網(wǎng)絡(luò)之內(nèi)51%的運(yùn)算能力,理論上就有可能改寫區(qū)塊鏈紀(jì)錄,從而導(dǎo)致系統(tǒng)崩潰,然而這個(gè)風(fēng)險(xiǎn),在規(guī)模愈大的系統(tǒng)愈不可能發(fā)生,只因黑客要攻陷舉世名列前茅的大型數(shù)據(jù)中心,機(jī)率并不算大。
其次,則需要再從交易的細(xì)部流程開始說起。交易參與者欲加入?yún)^(qū)塊鏈網(wǎng)絡(luò)運(yùn)作,第一步需要產(chǎn)生一對(duì)私鑰、公鑰及Blockchain Address,接著經(jīng)由廣播把公鑰與Blockchain Address上傳至區(qū)塊鏈網(wǎng)絡(luò),給所有其他參與者做注記,然后再將公鑰與Blockchain Address存入錢包檔案(wallet.dat)即告注冊(cè)完成。
此后一旦發(fā)起交易,須經(jīng)持有人的私鑰進(jìn)行簽章,才會(huì)通過公開驗(yàn)證并加入?yún)^(qū)塊鏈,至于簽章機(jī)制則采用橢圓曲線簽名算法(ECDSA),交易信息只要加入?yún)^(qū)塊鏈后就會(huì)成為歷史不可竄改的事實(shí)。
綜上所述,wallet.dat是賴以存放密鑰的關(guān)鍵檔案,因此過往即有黑客意圖利用一些惡意軟件,借以搜尋并竊取wallet.dat檔案,或是復(fù)制wallet.dat之中所有內(nèi)容并傳送至FTP服務(wù)器,一旦得手,便象征黑客獲取了用戶在該帳戶中擁有所有比特幣的訪問權(quán),等同于比特幣資產(chǎn)遭洗劫一空,且在技術(shù)上求償無門,損失可謂不輕。
因此如何妥善保護(hù)wallet.dat檔案,顯然是有意參與區(qū)塊鏈交易與應(yīng)用的人們,迫切需要解決的課題。為了安全起見,專家建議使用者必須經(jīng)常備份其wallet.dat錢包,如此一來,假使原本儲(chǔ)存載體出現(xiàn)故障或遺失,都可憑借備份文件予以還原,若欲更進(jìn)一步提高安全層級(jí),則可考慮啟用硬件安全模塊(HSM),將wallet.dat悉心守護(hù)于一個(gè)極度安全的硬件芯片環(huán)境當(dāng)中。
區(qū)塊鏈應(yīng)用范疇 已延伸至物聯(lián)網(wǎng)創(chuàng)新服務(wù)
今時(shí)今日,區(qū)塊鏈技術(shù)應(yīng)用已從早年的金融交易,逐漸延伸到所有需要中間人作保或認(rèn)證的應(yīng)用項(xiàng)目,譬如房屋交易、汽車買賣等等,甚至可經(jīng)由API的串聯(lián),將區(qū)塊鏈技術(shù)與其他應(yīng)用服務(wù)內(nèi)容加以整合,據(jù)此加速產(chǎn)生各式各樣的創(chuàng)新應(yīng)用,甚至有助于加速推動(dòng)物聯(lián)網(wǎng)應(yīng)用發(fā)展。
比方說,設(shè)備儀器的制造商,可以借助區(qū)塊鏈技術(shù),追溯到每一項(xiàng)零組件的生產(chǎn)廠商、生產(chǎn)日期、制造批號(hào)乃至制造過程的其他信息,以確保整機(jī)生產(chǎn)過程的透明性及可回溯性,有效提升整體系統(tǒng)與零組件的可用性,繼而保障設(shè)備儀器運(yùn)作的安全性。
更有甚者,倘若設(shè)備儀器供貨商想從原本產(chǎn)品販賣角色,轉(zhuǎn)型成為加值服務(wù)供貨商,亦可借助區(qū)塊鏈技術(shù),自動(dòng)監(jiān)管該設(shè)備儀器與其他智能聯(lián)網(wǎng)裝置的互動(dòng)狀況,依據(jù)智能合約內(nèi)容,適時(shí)引進(jìn)必要的零組件與維修服務(wù),借此確保設(shè)備儀器長(zhǎng)年保持正常運(yùn)行狀態(tài)。
所以當(dāng)今后進(jìn)入萬物聯(lián)網(wǎng)時(shí)代,幾百億臺(tái)對(duì)象都可以上網(wǎng),屆時(shí)急需解決的難題,便在于急遽擴(kuò)張的數(shù)據(jù)儲(chǔ)存需求,環(huán)顧全球絕大多數(shù)數(shù)據(jù)中心,都很難承擔(dān)如此龐大的數(shù)據(jù)儲(chǔ)存量,也因?yàn)槲锫?lián)網(wǎng)帶動(dòng)共享經(jīng)濟(jì)的起飛,多數(shù)數(shù)據(jù)中心也難以承擔(dān)川流不息的巨大數(shù)據(jù)流,更加棘手的癥結(jié)在于,現(xiàn)今始終缺乏適當(dāng)?shù)募夹g(shù),足以在透明化與隱私權(quán)之間建立最佳平衡,上述問題都可能阻礙與抑制物聯(lián)網(wǎng)應(yīng)用發(fā)展;值此時(shí)刻,只要善用具有去中心化、共識(shí)機(jī)制等獨(dú)特性質(zhì)的區(qū)塊鏈技術(shù),便可望化解前述諸多盲點(diǎn),進(jìn)而加速帶動(dòng)物聯(lián)網(wǎng)應(yīng)用的增長(zhǎng)。