区块链等分布式账本技术的安全现状

2019 年，79 亿条数据记录遭到破坏。然而，39% 的公司没有使用强大的数据安全措施，因为部署复杂性是一个障碍。这是可以理解的。正确实施密码学具有挑战性。合规要求不断变化无济于事：迄今为止，国际公司可能需要满足大约 1,800 项全球隐私法。

然而，安全性并不是一个很好的特性。这不是选择加入。必须的。如果他们不信任它，就没有人会购买您的解决方案。难怪公司在选择解决方案时会尽心尽力，最好是与系统无关、自动化且简单的解决方案。

随着区块链等分布式账本技术 (DLT) 的出现，人们承诺安全问题的答案就在眼前。

那么，DLT 是否可以解决您的网络安全问题？

DLT 承诺很多：不变性、透明性和可审计性。一旦网络达成共识并将信息放在分类账上，用户就可以相信他们所看到的与被批准为“真相”的内容相同。如果数据被加密，只有获得批准的用户才能看到它。通过这些方式，DLT 保护数据。

然而，与任何存储解决方案一样，区块链也不能免于妥协。它们本身并不是 100% 安全的。区块链只是整个系统的一部分——达成共识之前发生的事情和检索数据之后发生的事情与 DLT 无关。

“区块链的作用是提供途径，”DigiCert® 研发主管 Avesta Hojjati 解释道。“它们提供了探索的途径、省钱的途径和提高安全性的途径。”

Thales首席技术官办公室首席技术专家 Sol Cates 补充说：“然而，即使有了这种尖端、新颖的技术，网络安全仍然归结为公钥基础设施的老问题和安全的三个规则：机密性、完整性和可用性。” . “无论你的系统多么出色，如果你在集成区块链时放弃基本的安全原则，你就是在招致漏洞。”

在验证和管理区块链和 DLT 用户和设备的身份时尤其如此。

“无论你的系统多么出色，如果你在集成区块链时放弃基本的安全原则，你就是在招致漏洞。” ——Sol Cates，Thales首席技术官办公室首席技术专家

身份认证和管理基础

公钥基础设施 (PKI) 验证用户和设备的身份。它包括一个证书颁发机构 (CA)，它验证身份并颁发受信任的证书。它还包括密钥对的管理——允许安全数字交易的公钥和私钥。

硬件安全模块 (HSM) 安全地生成、管理和存储关键密钥。这些设备受到物理保护和防篡改，并且可以在操作上与其他系统隔离。HSM 不与存储电子邮件、文档或系统备份的服务器共享空间。无论是物理的还是基于云的，HSM 只有一项工作：管理和保护密钥。

证书通常被比作您的护照或驾照。它们由受信任方或“CA”颁发。他们验证您的身份。而且它们很难伪造。其他人可以依靠它们来识别您的身份。

但是这个类比并不能很好地解释键。举一个简单的例子，考虑一个邮局。

邮局会检查您的身份并发给您一个邮政信箱。这样，邮局就像一个 CA。它验证了您的身份并将您的姓名绑定到一个类似于证书的邮箱。然后，您的邮箱编号将用作您的公钥。您可以与他人分享，或者他们可以找到它。一旦他们知道了，他们就可以与您交流。您可以将信息发送给您知道公钥（邮箱）的人。

但是您还有一个私钥来访问您的邮件。没有这个私钥，任何人都无法访问您邮箱的内容。为了保证您的信息安全，您必须保护该密钥。为了确保它真正安全，您可以将其存放在壁挂式保险箱中（在本示例中充当 HSM），而不是存放在厨房万能抽屉中，在那里此钥匙会与垃圾混在一起，其他人可能会无意或有意地碰到它.

虽然此示例极其简单，但它提供了 PKI 和 HSM 如何保护数据和事务的基本概念。

实际上，PKI 和 HSM 提供的不仅仅是通过您的私钥进行身份验证和安全访问。

PKI 还提供加密……想象一个神奇的信封，它会使内容无法读取，直到您从邮箱中检索到信件。它确保发送信息的完整性，防止任何其他方在传输过程中进行更改。HSM 使用高级加密技术生成这些私钥，并保护用户信息、数据机密性和网络身份验证。

为了安全起见，区块链和 DLT 解决方案仍必须满足标准的网络安全实践和要求。密钥管理 - 确保密钥保密，其完整性受到保护，并且始终随时可用 - 至关重要。

如果没有这种密钥管理，您也可以复制您的邮政信箱密钥并将其分发给任何想要的人，因为他们知道他们会制作自己的副本以供传递。

可以理解，密钥管理对公司来说是一个持续的挑战。他们不仅需要保护一组密钥，也不需要保护一些文档。企业每小时可以生成数百个密钥对，每个密钥包含 2048 到 3072 位。

通过远程员工和合作伙伴、多个设备访问网络以及安全的电子邮件和文档交换，企业每天无数次地验证身份、加密数据并验证文档和通信的完整性。

这是需要管理和保护的大量信息。它需要一个强大的证书、密钥和身份管理平台；它需要一种方法来生成、管理和存储私钥。

然而，区块链本身并不能满足所有这些要求。

这就是 DigiCert 和 Thales 走到一起的地方。

安全合作伙伴关系转移到 Hyperledger Fabric

PKI 的领先提供商 DigiCert 和数据保护领域的领导者 Thales 建立了长达十年的合作伙伴关系，帮助其客户对通信、系统、电子邮件、文档、网站和服务器进行身份验证和加密。

几年来，他们还是 Hyperledger 的共同成员。他们的许多行业合作伙伴，包括 IBM、Oracle、金融服务提供商等，都在使用 Hyperledger Fabric。这些公司希望在 Hyperledger Fabric 上支持其行业的需求，因此合作只是时间问题。

DigiCert 和 Thales 相信设计安全——其中的一个原则是，解决方案的设计从一开始就包含既定的安全原则，而不是依赖于反应性附加组件。考虑一下从头开始建立银行与将旧小学改造成银行之间的区别。前者将有一个集成在地基中的拱顶、硬化的墙壁和有限的接入点。后者的改造永远不会达到相同的质量标准。

DigiCert 和 Thales 都看到公司在区块链解决方案或服务中采用后一种方法，然后因为“它不起作用”而放弃。他们希望为 Hyperledger Fabric 的用户解决这个问题。

Cates 说：“安全的基本原理没有改变，只是因为我们要进入基于云或高度分布式的区块链环境。” “保护这些密钥的原则同样适用。我们不需要转向新的架构。我们可以使用金融机构几十年来一直在使用的相同原则。”

在这几十年中，性能改进和效率不断提高。这些改进后的原则现在允许在保持性能的同时扩展基础设施。无论是在本地还是基于云，密钥身份验证和管理的方法都是相同的。

建立信任

公众信任需要互联网浏览器中的信任。这意味着浏览器相信“你就是你所说的那个人”，所以当用户访问你的网站时，这些用户也可以相信这是真的。这就是证书和 CA 的用武之地。

另一方面，私人信任可能是公众无法访问的封闭环境中的物联网设备。对于私人信任，存在新兴的安全合规性要求，但安全最佳实践正在产生重大影响。

但是，对于公共信任，CA 必须满足多项合规性要求。这些是由证书颁发机构浏览器 (CA/B) 论坛强制执行的。所有公开信任的 CA 和浏览器都属于它。

CA/B 合规性要求之一是用于管理私钥的 HSM。

虽然并非所有情况都严格要求使用 HSM，但最好使用“我一直被问到：'我们不能没有 HSM 就做这件事吗？'” 是的，从技术上讲，您可以，”Cates 解释说。“可是你为什么要？当您可以放心地知道密钥在硬件信任根中不惜一切代价得到保护时，为什么还要冒着让这些密钥不安全的风险呢？”

“无论何时您拥有公钥或私钥，”Hojjati 补充道，“您都希望使用 HSM 来提高您的安全性。”

DigiCert 仅专注于 PKI，以最高级别的公共信任证书合规性运行。使用其易于设置和可扩展的解决方案，组织可以管理数字证书、用户注册并在所有用例中实施强身份验证、加密和数据完整性。

在 Thales Luna HSM 中存储证书和私钥增加了关键的安全级别。Luna HSM 已通过 FIPS 140-2 3 级验证，这是市场上NIST颁发的最高级别认证保证之一。此外，Luna HSM 还通过了通用标准 EAL4+ 认证。

当两者都被纳入区块链时，区块链的完整性得到了极大的保证和保护。

工作原理：现在和将来

简而言之，DigiCert 使用密钥保护设备，而Thales保护这些密钥。它们一起使用 Hyperledger Fabric 保护解决方案。

首先，客户在 DigiCert 的平台内创建一个帐户，该帐户允许客户颁发公开和私人信任的证书。然后他们使用 DigiCert 的 API 将其与 Hyperledger Fabric 集成并替换原生 CA。从那时起，客户可以使用 Luna HSM 作为数字信任的强大基础。

Thales利用 Hyperledger Fabric 管理其集成，这是一种微妙且高度严格的集成类型。在安全的细微差别中，没有“足够好”；它必须从根本上尽可能地健全。“它必须正确完成，但一旦完成，您就可以在此基础上进行构建，确保随着时间的推移维护更容易，”Cates 说。

虽然现在整合是分开的，但公司正在寻找更广泛的整合。“我们正在与Thales合作，将其作为单一产品，”Hojjati 说。“在该产品中，您可以将 CA 和 HSM 集成到 Hyperledger Fabric 中，并通过密钥对和证书的一个联系点。”

除了集成到一种产品中，DigiCert 和 Thales 还密切关注云 HSM、量子计算和基于功能的操作的趋势。

随着越来越多的物联网设备和分布式模型的部署，可能需要一种更分布式和可扩展的 HSM 方法。“HSM 的生命周期通常很长，因此迁移到云可能需要一些时间，”Hojjati 说。“但越来越多的客户正在询问基于云的 HSM。”

Luna HSM 不仅支持区块链，而且还支持量子和加密敏捷。“我们可以在问题出现之前或在问题出现时即时更换算法，”Cates 解释说。“加密敏捷性通过实施替代加密方法，包括快速迁移到新的抗后量子 PKI 根和新算法，使您能够快速应对加密威胁。”

“我们在为银行、政府和其他具有安全意识的客户提供相同的基础上构建我们的项目，”他补充道。通过专注于安全的基本原则，DigiCert 和 Thales 为现在和未来的区块链提供信任和保证。

“安全必须做好，但一旦完成并以此为基础，随着时间的推移，维护就会变得更容易。” —— Sol Cates，Thales首席技术官办公室首席技术专家

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• SOC 2合规性：您需要了解的内容和需要做的事情

• Thales与LuxTrust：数据主权和合规性的合作伙伴关系

• 硬件安全模块供应商已做好应对量子安全需求激增的准备

• Thales Luna HSM荣获第一家FIPS140-3 Level 3验证的硬件安全模块

• Thales CipherTrust 2.15 现已推出