想象一下,如果有一个计算平台不会出现单点失败(single point of failure
),并且还能抵抗网络攻击,那么这绝对会成为新闻头条。而区块链或分布式账本就能够带来这种计算平台,这种技术是比特币的加密货币的底层技术,正在挑战传统的服务器/客户端模式。
2009年,比特币成为区块链的第一种现实应用,它是一种安全的去中心化货币交易平台,消除了对中央经纪商的需要。如今,区块链技术在其他领域的潜力也获得了认可。
区块链代表了密码学与安全领域数十年来的研究与突破的顶峰,它提供了一种完全不同的方法来存储信息和执行功能,这使得它特别适合于具有高安全性要求和参与者相互不知道身份的环境。这个概念已经被用于一些创新的方法来提高网络安全和保护组织和应用程序免受网络攻击。
防止数据操纵和欺诈
区块链的主要特点之一就是不可更改性。散列法与密码学的使用,再结合去中心化结构,使得任何一方都不可能单方面改变区块链账本上的数据。
这种特点可以被那些需要处理敏感信息的组织用来维护数据完整性,以及防止和检测任何形式的篡改。
数据安全创业公司Guardtime如今就将赌注押在了区块链技术身上,正在使用这种技术来保护比较敏感的记录。该公司已经使用区块链创建了一种无需密钥签名基础设施(KSI),用于替代现有的比较传统的公钥基础设施(PKI),PKI使用了非对称加密和一种公钥缓存,并且由一种中心化认证中心(CA)来进行维护。
Guardtime CTO 马修-约翰逊(Matthew Johnson)认为,尽管PKI技术适用于对软件、固件和网络配置进行数字签名,但是它从来都不是被设计用于验证数据的。
Johnson说:
“PKI面临的主要威胁就是你需要将安全性交给密钥(秘密)以及管理密钥(秘密)的人。这个过程很难确保正常,并且无法证明证明这些密钥未被泄露——就像在现实生活中,你无法证明某一个秘密是否被保存;在安全性世界中,你无法证明某个密钥已经被破坏。”
相比之下,相对于依赖于秘密(密钥),基于区块链的安全性是以将证据分配给各个机构为前提的,这就使得数据无法被删除和操纵。
Johnson解释说:
“区块链消除了需要信任机构来验证数据完整性。以加密货币为例,加密货币消除了对中心化机构的需要,如银行。”
KSI通过运行哈希函数并将结果与存储在区块链上的初始元数据进行对比,进而来验证数据完整性。
Johnson说:
“这与传统安全性相比是一种本质上不同的方法。你从数学上可以确定系统中的每一个组件部分的来源和完整性,而不需要使用反病毒、反恶意软件和入侵检测系统来扫描漏洞。”
KSI已经被一些组织纳入考虑范围,如美国国防部属下机构国防高等研究计划署(DARPA)正在考虑使用KSI来保护敏感军事数据,而爱沙尼亚电子医疗基金会也打算使用该技术来保护百万医疗记录。
防止分布式拒绝服务攻击(DDoS)
2016年10月21日,美国数百万用户被切断访问许多大型网站,如推特,PayPal,Netflix和Spotify。原因就是:DNS服务提供商Dyn的服务器遭受大规模的DDoS攻击。
这起事件警示了我们,目前的网络骨干的弱点会成为一种瓶颈和单点失败,牵涉到数百万乃至千万用户和节点。
分布式DNS系统Nebulis的创始人菲利普-桑德斯(Philip Saunders)说:
“目前DNS系统的致命弱点就是对缓存过于依赖。这就能够使某国破坏DNS域名服务器,审查关键的社交网络和禁止某些关键字。同时还很容易将数百万匿名设备置于恶意代码的掌控之下来关闭整个网络。”
Saunders认为,区块链提供了一种解决方案——去中心化系统,这种系统使基础设施几乎不可能出现因为要求超出而崩溃的情况。
Nebulis使用了以太坊区块链和星际文件系统(IPFS),是HTTP中心化基础设施的一种分布式替代选择,使其DNS基础设施免受DDoS攻击。
“区块链带来了一种不同的方式。只有在更改或者更新记录的时候才会收取费用(以手续费的形式),不过,读取记录是免费的,只要你有一个该区块链的副本。”
根据Saunders的解释,使用区块链,你直接可以从你自己的副本中阅读,而不必在网络上再付费。他说:
“这就有很大的潜力来缓解互联网实体骨干的大量压力。同时也意味着我们可以消除大量的传统DNS冗余,想出一些更好的东西。”
防止在不受信任的环境中数据被盗窃
数据加密如今已经成为各种行业的一种规范。然而,当你想要用到这些数据的时候,你就必须进行解密并显示数据内容。
Enigma CEO兼创始人 Guy Zyskind说:
“目前,市场上实际并没有可用于计算机密数据的选项。结果我们只能在静止状态下(在存储在磁盘上的时候)或者在传输过程中(通过网络传播)进行数据加密,而不能在使用的同时进行加密。这就意味着当我们处理数据的时候,无论以什么样的方式或形式,我们都需要首先对数据进行解密。这就会引来数据泄露的风险——攻击者如果成功突破系统,那么就可以看到纯文本的数据。”
另一个问题是我们生活在一个云计算和按需服务的时代,不受信任的第三方机构能够访问和处理我们的数据。
“很多情况下,我们想要共同进行数据方面的工作,但是又不想将我们的数据泄露给不受信任的机构。这些情况在商业世界中经常发生,企业想进行合作,但是又不想泄露敏感信息,这些信息以安全性、隐私甚至监管为由被禁止进行分享。同样,我们正看到越来越多的点对点系统出现,因为用户希望能够维护自己的隐私和匿名性。”
Enigma平台就能够让不同的参与者共同存储数据和运行计算,同时还能保持完全的隐私。该平台使用区块链技术记录带有时间戳的事件和文件哈希,以此阻止攻击者隐藏行踪,如果他们操作了数据。
另外, Enigma使用了多方计算(MPC),这是一种加密技术,通过在多个不信任的机构之间分配数据和任务以及确保每一方都能部分地访问数据来执行计算。Zyskind解释说:
“参与各方是受信任的,是一个整体的,去中心化的单元,而不是个体的。”
根据Zyskind所说,这种结合不仅能够阻止数据被篡改,同时还能保护数据不落入错误的人手中。他说:
需要考虑的主要点就是这两种技术是互补的,两种都需要用来防止广泛的网络安全威胁。
这种系统适用于那些不能直接进行数据共享但需要执行联合操作的机构。潜在的使用案例包括一些简单的任务,如记账、聚合和生成简单的统计。它也可以被用来训练由不同机构所有的加密数据集的机器学习模型。
Enigma也可用于欺诈检测,组织可以联合对他们的加密数据执行欺诈检测算法,并且不会破坏隐私。
区块链与网络安全的未来
区块链为网络安全提供了一种本质上不同的方法,可以超越端点,包括用户身份安全,交易和通讯安全,关键基础设施的保护,以此支持各种组织的运营。
区块链带来的模式转变能够带来透明性和审计,将使我们最充分地利用共享在线服务,同时消除潜在的安全和隐私折衷。