SON:機構錢包私鑰動用的關鍵安全邏輯——端到端“所見即所簽”_加密貨幣

上一期結合8月Liquid和Bilaxy兩個交易所熱錢包被攻擊事件，艾貝鏈動CTONeilson主要分析了金融級安全芯片軟硬件設計如何保護機構錢包私鑰的全生命周期安全。本期艾貝鏈動CTONeilson將繼續介紹機構錢包私鑰高頻使用的安全邏輯，解讀機構經營過程中如何實現頻繁操作的安全性和易用性。

金融級安全芯片，實現了對私鑰從產生、存儲到簽名運算的安全性保護。但這對于機構用戶，特別是圍繞數字資產開展金融服務的經營性機構，還是不夠的。機構對數字資產的動用需求，通常在不同角色的多人、多地、多系統之間流轉。這個過程中，還會面臨其他維度的安全威脅，比如，黑客通過提前注入的木馬程序“篡改”關鍵交易信息，將資金悄悄轉入自己的目標地址；或者通過獲取內部管理人員權限，向數據庫中插入一筆“偽造”的授權交易。對交易的偽造或者篡改，都屬于“中間人攻擊”的范疇。

帝國商業銀行等4家機構計劃在ConsenSys基于以太坊上開發的平臺上建立碳交易市場試點:加拿大帝國商業銀行、巴西最大的私人銀行ItauUnibancoHoldingS/A、澳大利亞國民銀行、英國銀行NatWest計劃建立碳排放交易市場項目，該項目將創建一個生態系統來支持碳中和市場，還將促進高質量碳中和項目的交付和具有價格確定性和透明度的流動性碳信用市場。該項目將于8月啟動試點，該試點將建立在ConsenSys基于以太坊上開發的平臺上。[2021/7/9 0:38:49]

什么是“中間人攻擊”，攻擊邏輯如何實現？

Circle CEO：當前比特幣牛市驅動因素是機構資本等投資者:Circle聯合創始人兼CEO Jeremy Allaire在接受采訪時表示，當前比特幣牛市驅動因素是機構資本，關注主權債務和貨幣貶值的背景投資者。這些是人們在考慮新的價值儲存方式時的主要考慮因素。他還說：“我們一直認為，主要的儲備貨幣最好是法定數字貨幣。所以不管它是用來為債券定價，還是用來作為日常支付，我們都需要這些傳統的央行負債以數字貨幣的形式來表示。”Jeremy Allaire還預計未來幾年穩定幣的價值最終將達到數萬億美元。（Crypto globe）[2020/12/29 16:00:26]

中間人攻擊是一種網絡攻擊類型，當數據離開一個端點前往另一個端點時，傳輸過程的時間便是對數據失去控制的時候。當一個攻擊者將自己置于兩個端點并試圖截獲或阻礙數據傳輸時，便稱為中間人攻擊。通信的兩方認為他們是在與對方交談，但是實際上他們是在與黑客交流。類似于我們通俗理解的信息被“竊聽”。

美國執法機構向涉及加密的國土安全調查案件中部署“CIP”:美國移民和海關執法局（ICE）最近披露，“加密貨幣情報計劃”(CIP)被部署在每一個涉及加密的國土安全調查(HSI)案件中。國家大宗現金走私中心（BCSC）的部門主管Al Giangregorio在一封電子郵件中透露了在ICE最近的財政年度2021預算提案中首次提到的神秘的英特爾計劃。他沒有確切解釋什么是“加密貨幣情報計劃”（CIP）或它如何工作，而是表示只要涉及加密貨幣，它就可以幫助HSI代理。Giangregorio說：“ CIP支持任何涉及虛擬貨幣或區塊鏈技術的HSI調查。” 2009年BCSC成立時，加密貨幣并不是一個合法的威脅。不過，從那以后的幾年里，加密技術已經發展成為一種更為突出的犯罪手段，促使許多聯邦執法機構向私營部門的調查工具投入了數十萬乃至數百萬美元。Giangregorio說，向數字貨幣的日益轉變也促使HSI的反現金走私專家建立政府內部計劃。（Coindesk）[2020/2/28]

圖1：中間人攻擊示意圖

聲音 | 央行上海總部副主任鄭五福：支持金融機構和科技企業探索區塊鏈等新技術應用:據新華社9月20日消息，20日是上海自貿區臨港新片區揭牌滿月之日，中國人民銀行上海總部副主任鄭五福今日表示，央行將推動重大金融改革舉措在新片區先行試點，鼓勵跨國公司在上海設立全球或區域資金管理中心等總部型機構；支持新片區內企業參照國際通行規則，依法合規開展跨境金融活動；支持金融機構和大型科技企業在新片區內設立金融科技公司，探索人工智能、大數據、云計算、區塊鏈等新技術在金融領域的應用。[2019/9/20]

當下黑客以獲取經濟利益為目的時，中間人攻擊就會成為對加密貨幣交易最有威脅并且最具破壞性的一種攻擊方式。

在一個數字資產機構的經營活動中，對于數字資產的動賬請求通常涉及到不同權限級別的多人審核，并且這些人可能處于不同的地域、使用不同的客戶端環境。從動賬請求的審核授權到動用私鑰簽名，信息也會在機構內的多個系統之間流轉。如果我們把交易的審核授權看做“會話”的一端，交易的簽名執行看作“會話”的另一端，那么在這個交易的“會話”中，就存在著多種被實施“中間人攻擊”的可能性。比如，黑客或內部作惡人員直接在后臺數據庫中插入一條偽造的審核授權交易請求，或者篡改交易的關鍵信息，如目標地址。讓審核人員看到的交易信息與實際簽名的交易信息不一致。

機構錢包的端到端“所見即所簽”功能如何防止中間人攻擊？

艾貝鏈動創造性的將基于安全硬件的端到端“所見即所簽”的能力引入到從交易審核到交易簽名的環節當中。通過為審核人員配發專有的安全硬件設備簽章盾，并在設備上對關鍵的交易信息如幣種，目標地址，金額等進行指紋或按鍵等物理方式的確認，后由簽章盾對經過確認的交易信息進行簽名，發送給保管私鑰的加密機設備進行簽名，確保這個鏈路中無論經過多少環節多少系統流轉，待簽名的交易信息一定是經過審核人員“人為意志”的授權，且未被篡改的，從而杜絕任何一種形式的“中間人攻擊”對交易進行偽造或篡改。

圖3：“所見即所簽”交易審核簽名流程

Neilson提到，艾貝鏈動基于硬件的端到端“所見即所簽”功能，支持多人多級分布式授權管理，不僅能夠大大提升機構內部私鑰動用的安全性，還能夠用于跨機構之間，比如，托管平臺與客戶之間。最后，Neilson再次強調，無論是通過金融級軟硬件設計保護私鑰，還是通過端到端的“所見即所簽”功能保護交易過程的安全，都只是安全環節技術層。機構資產安全是一套系統工程，我們需要依據整體安全框架來統籌考慮，機構“資產”有何“脆弱性”，面臨什么“威脅”導致了“風險”，采用何種安全“機制”消除或減少“風險”，最終保護資機構產安全。

關于艾貝鏈動

艾貝鏈動是一家區塊鏈領域安全產品與技術服務公司，以技術創新為驅動力，通過在金融、政企等領域的區塊鏈安全技術研究和應用落地，致力于打造數字社會的信任基石，持續賦能數字化浪潮下的個人及企業。艾貝鏈動現已推出機構數字資產自托管解決方案“犀鎧”、涉案虛擬貨幣取證提控系統“犀識”、反洗錢與資產追蹤服務“犀溯”、區塊鏈智能合約安全診斷服務“犀曉”等，并在多家企業和政府領域實現部署應用。

Tags：區塊鏈數字資產加密貨幣SON區塊鏈工程專業學什么及就業方向數字資產類應用案例包括加密貨幣在中國合法嗎SIMPSONSINU價格

歐易okex官網