比特币安全

比特币安全

保护比特币是很具有挑战性的事,因为比特币不像银行账户余额那样体现抽象价值。比特币其实更像数字现金或黄金。你可能听过这样的说法,“现实持有,败一胜九。”好吧,在比特币的世界里,这样的持有只能让你有一成胜率。而只有拥有解锁比特币的密钥才相当于持有现金或一块贵重金属。你可能会将密钥丟失,会放错地方,会被盗或者不小心错支了数额。无论是哪种场景,用户都没有办法撤回,因为这就像是将现金丟在了车水马龙的大街上。

比特币安全

不过,与现金、黄金或者银行账户相比,比特币有着一个独一无二的优势。你不能“备份”你的现金、黄金或者银行账户,但你可以像备份其他文件一样,备份含有密钥的比特币钱包。它可以被复制成很多份,放到不同的地方保存起来,甚至能打印到纸上进行实体备份。比特币与至今为止的其他货币是如此不同,以致于我们需要以一种全新的思维方式来衡量比特币的安全性。

比特币安全准则

比特币的核心准则是去中心化,这一点对安全性具有重要意义。在中心化的模式下,例如传统的银行或支付网络,需要依赖于访问控制和审查制度将不良行为者拒之门外。相比之下,比特币这样的去中心化系统则将责任和控制权都移交给了用户。由于网络的安全性是基于工作量证明而非访问控制,比特币网络可以对所有人开放,也无需对比特币流量进行加密。

在一个传统的支付网络中,例如信用卡系统,支付是终端开放式的,因为它包含了用户的个人标识(信用卡号)。在初次支付后,任何能获得该标识的人都可以从所有者那里反复“提取”资金。因此,该支付网络必须采取端对端加密的方式,以确保没有窃听者或中间人可以在资金流通或存储过程中将交易数据截获。如果坏人获得该系统的控制权,他将能破获破获当前的的交易和支付令牌,他还可以随意动用这笔资金。更糟的是,当客户数据被泄露时,顾客的个人身份信息将被盗窃者们一览无余。客户这时必须立即采取措施,以防失窃帐户被盗窃者用于欺诈。

比特币则截然不同,一笔比特币交易只授权向指定接收方发送一个指定数额,并且不能被修改或伪造。它不会透露任何个人信息,例如当事人的身份,也不能用于权限外的支付。因此,比特币的支付网络并不需要加密或防窃听保护。事实上,你可以在任何公开的网络上广播比特币交易的数据,例如在不安全的WiFi或蓝牙网络上公开传播比特币交易的数据,这对安全性没有任何影响。

比特币的去中心化安全模型很大程度上将权力移交到用户手上,随之而来的是用户们保管好密钥的责任。这对于大多数用户来说并非一件易事,特别是在像智能手机或笔记本电脑这种能能时刻联网的通用设备上。虽然比特币的去中心化模型避免了常见的信用卡盗用等情况,但很多用户由于无法保管好密钥从而被黑客攻击。

比特币系统安全开发

对于比特币开发者而言最重要的是去中心化原则。大多数开发者对中心化的安全模型很熟悉,并可能试图将中心化的模型运用到借鉴比特币的应用中去去,这将给比特币带来灭顶之灾。

比特币的安全性依赖于密钥的分散性控制,并且需要矿工们各自独立地进行交易验证。如果你想利用好比特币的安全性,你需要确保自己处于比特币的安全模型里。简而言之,不要将用户的密钥控制权拿走,不要接受非区块链交易信息。

例如,许多早期的比特币交易所将所有用户的资金集中在一个包含着私钥的“热钱包”里,并存放在服务器上。这样的设计夺取了用户的掌控权,并将密钥集中到单个系统里。很多这样的系统都被黑客攻破了,并给客户带来灾难性后果。

另一个常见的错误是接受区块链离线交易,妄图减少交易费或加速交易处理速度。一个“区块链离线交易”系统将交易数据记录在一个内部的中心化账本上,然后偶尔将它们同步到比特币区块链中。这种做法,再一次,用专制和集中的方式取代比特币的去中心化安全模型。当数据处于离线的区块链上的时候,保护不当的中心化账本里的资金可能会不知不觉被伪造、被挪用、被消耗。

除非你是准备大力投资运营安全,叠加多层访问控制,或(像传统的银行那样)加强审计,否则在将资金从比特币的去中心化安全场景中抽离出来之前,你应该慎重考虑一番。即使你有足够的资金和纪律去实现一个可靠的安全模型,这样的设计也仅仅是复制了一个脆弱不堪,深受账户盗窃威胁、贪污和挪用公款困扰的传统金融网络而已。要想充分利用比特币特有的去中心化安全模型,你必须避免中心化架构的常见诱惑,因它最终将摧毁比特币的安全性。

比特币信任根源

传统的安全体系基于一个称为信任根源的概念,它指的总体系统或应用程序中一个可信赖的安全核心。安全体系像一圈同心圆一样围绕着信任根源来进行开发,像层层包裹的洋葱一样,信任从内至外依次延伸。每一层都构建于更可信的内层之上,通过访问控制,数字签名,加密和其他安全方式确保可信。随着软件系统变得越来越复杂,它们更可能出现问题,安全更容易受到威胁。其结果是,软件系统变得越复杂,就越难维护安全性。信任根源的概念确保绝大多数的信任被置于系统一个不是过于复杂的部分,因此该系统的这部分也相对坚固,而更复杂的软件则在它之上构建。这样的安全体系随着规模扩大而不断重复出现,首先信任根源建立于单个系统的硬件内,然后将该信任根源通过操作系统扩展到更高级别的系统服务,最后逐次扩散到圈内多台服务器上。

比特币的安全体系与这不同。在比特币里,共识系统创建了一个可信的完全去中心化的公开账本,一个正确验证过的区块使用创世块作为信任的根源,建立一条直至当前区块的可信任链。比特币系统可以并应该使用区块链作为它们的信任根源。在设计一个多系统服务机制的比特币应用时,你应该仔细确认安全体系,以确保对它的信任能有据可依。最终,唯一可确信无疑的是一条完全有效的区块链。如果你的应用程序或明或暗地信赖于区块链以外的东西,就该引起重视,因为它可能会引入漏洞。一个不错的方法评估你应用程序的安全体系:单独考量每个组件,设想该组件被完全攻破并被坏人掌控的场景。依次取出应用程序的每个组件,并评估它被攻破时对整体安全的影响。如果你的应用程序的安全性在该组件沦陷后大打折扣,那就说明你已经对这些组件过度信任了。一个没有漏洞的比特币应用程序应该只受限于比特币的共识机制,这意味着其安全体系的信任源于比特币最坚固的部分。

无数个黑客攻击比特币交易所的例子都是因为轻视了这一点,他们的安全体系和设计甚至无法通过基本的审查。这种中心化的实现方式将信任置于比特币区块链之外的诸多组件之上,例如热钱包,中心化的账本数据库,简易加密的密钥,以及许多类似的方案。

玖壹区块链声明

加微信:469649885区块链培训教程
还可免费获取区块链培训班试学名额

分享:

扫一扫在手机阅读、分享本文

区块链评论

玖壹区块链培训

玖壹区块链培训学院简称(玖壹学院http://www.91xiubbs.com/)提供区块链技术培训资料、区块链开发培训视频教程等下载,不过网上自学区块链技术课程必然存在一些缺陷:遇到问题易卡壳、学习周期漫长、无针对性等。区块链培训机构现场面对面的讲授区块链培训课程可以让您和团队在最短时间内掌握正确、系统、高效的区块链实战技术。