信息化觀察網(wǎng)

密碼學(xué)在區(qū)塊鏈中一直發(fā)揮著重要作用，從信息加密、交易簽名、身份認(rèn)證到隱私保護(hù)等關(guān)鍵功能的實(shí)現(xiàn)，都能看到密碼學(xué)的身影。特別是《密碼法》從今年正式實(shí)施以來(lái)，從法律層面把商用密碼的合規(guī)性上升到了一個(gè)新高度。

7月23日，由中國(guó)信通院、可信區(qū)塊鏈推進(jìn)計(jì)劃共同舉辦的“鏈接未來(lái)”可信區(qū)塊鏈沙龍系列活動(dòng)第4期線上開(kāi)講。本次活動(dòng)以“區(qū)塊鏈密碼技術(shù)與應(yīng)用實(shí)踐”為主題，邀請(qǐng)了來(lái)自中國(guó)信通院區(qū)塊鏈工程師張啟、鼎鉉密碼與網(wǎng)絡(luò)安全高級(jí)工程師譚銳能、微眾銀行區(qū)塊鏈安全科學(xué)家嚴(yán)強(qiáng)、銀碼通總經(jīng)理王建新、中科院軟件研究所副研究員兼中科鼎智總經(jīng)理程亮等5位專(zhuān)家，圍繞區(qū)塊鏈中密碼學(xué)的實(shí)踐經(jīng)驗(yàn)和前沿技術(shù)，共同探討密碼技術(shù)在區(qū)塊鏈中合規(guī)、正確、有效、安全應(yīng)用。

可信區(qū)塊鏈密碼應(yīng)用標(biāo)準(zhǔn)介紹

中國(guó)信通院張啟首先帶來(lái)了可信區(qū)塊鏈密碼應(yīng)用標(biāo)準(zhǔn)的分享。今年《密碼法》的正式實(shí)施，對(duì)商用密碼的規(guī)范化應(yīng)用提出了更高的要求。區(qū)塊鏈作為密碼學(xué)的一個(gè)典型應(yīng)用當(dāng)然也不例外，因此有必要在區(qū)塊鏈密碼應(yīng)用規(guī)范方面開(kāi)展標(biāo)準(zhǔn)化研究工作。與此同時(shí)，區(qū)塊鏈密碼技術(shù)的多年應(yīng)用實(shí)踐經(jīng)驗(yàn)也為區(qū)塊鏈密碼應(yīng)用規(guī)范的標(biāo)準(zhǔn)化提供了成熟的應(yīng)用積累。

根據(jù)密碼應(yīng)用架構(gòu)，區(qū)塊鏈密碼應(yīng)用規(guī)范分為密碼應(yīng)用層、密碼功能層和密碼設(shè)備層。從密碼學(xué)角度看，區(qū)塊鏈中的關(guān)鍵技術(shù)，如交易賬本、共識(shí)算法、通信加密、智能合約等都屬于區(qū)塊鏈密碼應(yīng)用層，即密碼技術(shù)在區(qū)塊鏈基礎(chǔ)功能中的應(yīng)用。密碼功能層是密碼學(xué)的技術(shù)實(shí)現(xiàn)，包括密碼算法，密碼協(xié)議，數(shù)字證明和密鑰管理。密碼設(shè)備層是密碼規(guī)范中最底層部分，與硬件關(guān)聯(lián)性較高，為功能層提供密碼基礎(chǔ)服務(wù)，如隨機(jī)數(shù)生成、時(shí)間戳、簽名驗(yàn)簽服務(wù)等。

區(qū)塊鏈密碼應(yīng)用驗(yàn)證測(cè)試分享

鼎鉉譚銳能在本次沙龍中分享了區(qū)塊鏈密碼應(yīng)用驗(yàn)證測(cè)試。區(qū)塊鏈技術(shù)簡(jiǎn)單來(lái)講就是“密碼學(xué)+分布式賬本”，以及在此之上的眾多應(yīng)用。隨著區(qū)塊鏈應(yīng)用場(chǎng)景的增多，區(qū)塊鏈?zhǔn)褂玫拿艽a技術(shù)也日益豐富，同時(shí)也出現(xiàn)了眾多針對(duì)區(qū)塊鏈密碼層的攻擊方式。目前區(qū)塊鏈密碼應(yīng)用暴露的問(wèn)題，如不安全的密碼算法、代碼實(shí)現(xiàn)漏洞、密鑰管理問(wèn)題、隨機(jī)數(shù)問(wèn)題、開(kāi)源算法庫(kù)后門(mén)等，嚴(yán)重影響區(qū)塊鏈安全健康的發(fā)展。

為了推動(dòng)密碼技術(shù)在區(qū)塊鏈中合規(guī)、正確、有效的應(yīng)用，可信區(qū)塊鏈推進(jìn)計(jì)劃推出了密碼專(zhuān)項(xiàng)測(cè)試，該測(cè)試包括了9大項(xiàng)50個(gè)指標(biāo)，為區(qū)塊鏈密碼應(yīng)用的規(guī)范化提供全面的檢測(cè)服務(wù)。

隱私保護(hù)技術(shù)標(biāo)準(zhǔn)化的現(xiàn)狀與思考

微眾銀行嚴(yán)強(qiáng)博士帶來(lái)了隱私保護(hù)技術(shù)標(biāo)準(zhǔn)化的分享。嚴(yán)博士在本次分享中表示，隱私保護(hù)的范疇十分廣泛，“可用而不可見(jiàn)”只是隱私保護(hù)的一個(gè)小目標(biāo)，除了數(shù)據(jù)內(nèi)容保護(hù)之外，還應(yīng)包括隱私合規(guī)性，及其所賦予的數(shù)據(jù)全生命周期權(quán)利保障。

目前隱私保護(hù)技術(shù)標(biāo)準(zhǔn)化整體進(jìn)程尚處早期，存在著巨大的機(jī)遇，隱私保護(hù)技術(shù)的標(biāo)準(zhǔn)化有利于推動(dòng)行業(yè)的整體發(fā)展。相比以往標(biāo)準(zhǔn)化的探索方式，微眾銀行在隱私保護(hù)領(lǐng)域的探索，結(jié)合多年區(qū)塊鏈應(yīng)用實(shí)踐經(jīng)驗(yàn)，探索出更為有效的場(chǎng)景式路徑，提出構(gòu)建隱私保護(hù)能力分級(jí)和模塊接口互通的模式，并增強(qiáng)標(biāo)準(zhǔn)指標(biāo)的可解讀性和公眾對(duì)標(biāo)準(zhǔn)測(cè)評(píng)結(jié)果的信任感。

區(qū)塊鏈密碼技術(shù)與應(yīng)用實(shí)踐

銀碼通王建新帶來(lái)了區(qū)塊鏈密碼技術(shù)與應(yīng)用實(shí)踐的分享，王建新老師主要介紹了三方面內(nèi)容：1.密碼算法在當(dāng)前區(qū)塊鏈中的應(yīng)用；2.商密算法對(duì)區(qū)塊鏈技術(shù)的支持；3.密碼技術(shù)在區(qū)塊鏈領(lǐng)域新的研究方向。

密碼技術(shù)在區(qū)塊鏈的身份驗(yàn)證、共識(shí)機(jī)制、防篡改、隱私保護(hù)等關(guān)鍵技術(shù)環(huán)節(jié)，發(fā)揮了不可替代的作用，而這些技術(shù)環(huán)節(jié)都可以用商密算法實(shí)現(xiàn)?；谏堂芩惴ǖ膮^(qū)塊鏈技術(shù)有望在政務(wù)系統(tǒng)、智慧城市等領(lǐng)域廣泛使用，其中基于零知識(shí)證明的分布式數(shù)字身份認(rèn)證將發(fā)揮重要作用。

密碼相關(guān)代碼的安全缺陷檢測(cè)

中科院軟件所程亮帶來(lái)了密碼相關(guān)代碼的安全缺陷檢測(cè)的分享，程亮表示要保證一個(gè)復(fù)雜密碼系統(tǒng)的安全性，需要考慮多方面的因素。密碼系統(tǒng)的工程實(shí)現(xiàn)往往是最薄弱的一環(huán)，輕則導(dǎo)致加密強(qiáng)度降低，重則導(dǎo)致加密機(jī)制被繞過(guò)，造成信息泄漏。

程亮從測(cè)試數(shù)據(jù)的獲取、測(cè)試對(duì)象的識(shí)別切入，介紹了在無(wú)法獲得加密算法源代碼的前提下，加密數(shù)據(jù)的提取與恢復(fù)技術(shù)，加密算法的代碼定位與類(lèi)別識(shí)別技術(shù)。并分享了如何利用程序分析與模式識(shí)別技術(shù)，檢測(cè)加密密鑰為常數(shù)、加密算法工作模式使用錯(cuò)誤、隨機(jī)數(shù)隨機(jī)性不足等導(dǎo)致 密碼相關(guān)API的誤用錯(cuò)誤，以及相應(yīng)的代碼缺陷修復(fù)技術(shù)。