【英国白皮书（四）】如果将分布式账本技术集成到政府管理中，怎么样保障政府的隐私和安全呢？

近一个月，我们详细翻阅了《分布式账本技术：超越区块链》研究报告。

回顾

· 【分享】一起读英国《分布式账本技术：超越区块链》研究报告（一）

·  【分享】一起读英国《分布式账本技术：超越区块链》研究报告（一）

· 【英国白皮书（三）】如果分布式账本全靠技术规则来管制，法律规则该如何“插足”

那么，如果将分布式账本技术集成到政府管理中，怎么样保障政府的隐私和安全呢？第四期，阅读章节为“安全性和隐私性”。

 

分布式账本系统有很多种实现形式，每一种在安全性和隐私性上都带来了不同的机会和挑战。在决定使用某种类型的账本系统前，应该要分析清楚相关的商业和安全需求。

 

系统的风险不仅来自外部实体的攻击，也可能有来自内部参与者的攻击，以及组件的实效（如软件故障）。在实施之前，需要制定一个风险模型，并认清特殊的安全需求，以确保对风险和应对方案的准确把握。

 

 

安全性的挑战和建议

 

任何恶意的攻击者都需要花费大量的资源才能对系统进行攻击。攻击者必须先破解一个已有的密码学标准的安全性（椭圆曲线数字签名算法，ECDSA），才能盗取某人的比特币。

 

分布式账本使用密码学技术确保任何人可以检查账本内是否存在某个特定的记录，前提是他们掌握少量的关键信息。同时，复杂的共识协议确保系统中的任何人看到的账本都是一样的。

 

分布式账本的账本技术可用于整合高级的服务，如公证、时间戳、高度完整性的档案管理，并通过自动化、轻松切换服务提供商和点对点交易降低使用上述服务的成本。

 

不过，这些分布式系统在安全性上的优势只对根据全球信任理论而设的无需许可的账本（公有链）完全适用。对基于许可的账本（私有链和联盟链）或者其他的中心化方案来说，抵抗攻击的特性和健壮性会弱一些，不过这有利于保证中心的控制以及中心提供的功能。

 

实际上，如比特币这样的完全去中心化系统和完全基于许可管理的私有专用网络之间是有一些范围很广的中间线路的。

 

其中一个中间线路解决方案能够吸取两种特性的优点，就是英国伦敦大学学院的George Danezis 和 Sarah Meiklejohn 提出的央行背书的加密货币——依赖于一个中心化控制的服务器去建立区块链，同时使用分布式的“铸币节点”去吸引交易。

 

考虑到解决方案的多样性，在决定使用哪种类型的账本前先分析好业务和安全性的要求是非常重要的。

例如，如要为英国就业与退休保障部设计一个用于处理福利资金发放系统，维持服务的可用性和抵抗网络中断的能力是最重要的因素（参考第六章，点击“阅读原文”，可查看完整版报告）。这其中最大的威胁会来自那些为谋取经济利益而攻击个体用户的高科技罪犯。因此：

· 因此，这个系统必须为用户设计成“傻瓜式”，用户不需要了解太多关于这个系统的知识也能够良好地使用这个系统，因此系统需要有数量适中的配置选项和参数，并明确地为用户展示出这些选项和参数可能会带来什么结果。

· 如果使用了一些像智能手机这样的商用设备，要确保证书和钥匙是通过安全的方式去访问的，而且对其他应用程序是不可见的。

· 账本自身应该在广范围的服务器构成的网络中进行维护，以避免网络中断带来的影响。

· 若用于更大范围的部署，支付授权服务应该是在专用的硬件上放置的，而且要有防御攻击的手段。

若一个系统要用于分发对外经济援助，则需要确保交易的完整性（以防止资金被挪用到其他用途上）；并在灾难援助的情况下保持系统的可用性。这期间的威胁可能来自那些为地缘优势而干扰交易的国家，或者来自受援助国家的不诚实的人（译者注：政府雇员、机构或公民）。因此：

· 这个系统应当在一个小型的、巩固的和专有的服务器组成的网络上运行，这个网络建立了带有离线备份功能的、政府掌管的账本副本。

· 应该鼓励使用者去设立自己的账本网络，并给出如何做好安全性的建议，这些建议要考虑到让他们可以接受来自政府服务器的定期更新或者修正。

· 在怀疑严重网络攻击将要发生的时候，应该可以将系统切换到离线的状态。

根据已经明确的威胁，政府应该决定针对这些可能的攻击者制定合适的安全措施，以及某个具体系统的生命周期。

 

· 若政府预期高科技的攻击者会针对这个系统，那么一开始这个系统就应该考虑到相应的对抗手段。

· 将现有的基础设施采用到新的安全应用中要比直接创建一个安全的基础设施困难。

· 为了创建一个可用于长期的系统，初始的设计应该包含在生命周期内可更新部件的功能。

· 在技术尝试过程中，应该提供专门的资金支持，去在系统层面和用户层面分别进行渗透试验。

 

隐私性的挑战和建议

比特币这种加密货币从设计之初就是为了提供某种形式的别名身份。

 

允许别名身份及不讲钱包与现实世界身份关联的决定，从实用主义的角度看，成为了比特币在世界上如此流行的原因。

 

考虑到比特币网络的国际性，目前还不明确哪个辖区应该被信任去承担这样的验证任务，而且也不知道一个法律辖区是否有权去识别某个用户。

 

最后，若设立钱包时需要提供身份验证的话，则会影响比特币作为一种货币用于兑换价值时的运作。

 

不过，用户与钱包之间的别名身份，并不是完全匿名的。钱包来往的交易记录构成的链条对所有人都是可见的，公众可以跟踪这些交易。

 

这些的别名身份在匿名性上其实是很弱的，加上比特币区块链交易的透明性，在隐私问题上带来了一些挑战。

 

有一些技术加密货币项目提出了一些缓和完全透明区块链上的隐私问题的方案。

 

· 第一种技术引入了“混币”系统。

· 另一类系统在比特币支付的运作模式以及在区块链上记录的数据方式上作出了不少的改变，已提供更强的隐私保护。

 

阅读参考

《分布式账本技术：超越区块链》安全性和隐私性（43页起）

来源：《分布式账本技术：超越区块链》