通博出金-額度200萬立即出款-安全賬戶-區塊鏈
通博 在金融科技的創新上,區塊鏈(Blockchain)往往被數位貨幣(digital
currency)搶盡鋒頭,然而,最近有個例子的應用,提供了截然不同的觀點。 這件事發生在英國,當地政府正考慮讓所屬的土地註冊處(Land Registry
Department)以其他方式,保障登記有案之不動產及相關權益,然而,這個土地註冊處,卻提供了另一種有趣的區塊鏈應用方式,讓全球各地都有相關計畫進行測試–利用此區塊鏈解決方案,就能找出特定地產的所有人是誰,並確保所有權,不會在當事人未授權的狀況下,發生移轉,而這部分,也包括貸款期間由銀行持有地產做為擔保的情況。
對於這樣的案例,根據Gartner的發現,推廣區塊鏈應用的企業數量已大幅增加。以應用形式來說,基本的分散式帳本(distributed
ledger)作為區塊鏈的核心,讓各式各樣的資產都可以被追蹤,包括所有權、身分判定與証明、加密金鑰或裝置屬性。
至於眾所皆知的比特幣(bitcoin),雖是目前最受矚目的區塊鏈生態系統,卻也有各式各樣的區塊鏈生態系統與技術問世。在許多案例中,區塊鏈生態系統與技術之間有極大差別,有些或許可以存活下來,有些則將無法達到關鍵存續量(critical
mass)。不過,對於企業的資訊安全長來說,每一種生態系統或技術,都在資安層面具有不同意涵。
目前,有些區塊鏈的使用案例仍處於理論階段,還有一些已進入概念驗證初期,而且,有越來越多機構開始進行區塊鏈試驗。它可用於任何一種「商業信託」(trust
business)–例如,銀行、結算所,以及政府主管機關等,這些皆屬於集中式機構與官僚機構的組織,都可以透過商業的流程,達到去中心化(decentralization),並能利用區塊鏈提供另類解決方案。
而對組織的安全主管來說,區塊鏈的分散式帳本能帶來全新的優勢與應用,但也造成風險和挑戰。這種新興的技術與手法,需要資安團隊在安全架構方面採用全新的思考方式,考量很多重要的差異。 去中心化共識
傳統的模型乃是利用集中式仲裁器(central arbiter),來判定事實,並估量記錄資料的準確度(也就是誠信)。
舉例來說,傳統的資料庫,就是透過集中式記錄來維持一致性,而去中心化模式,則是將仲裁的權力與商業信託,移轉給去中心化的虛擬網路,讓合格的相關節點持續依照時序,將各項交易以資料區塊的形式加以記錄,再提供給相關社群的成員。而這種鏈狀的交易區塊,就是所謂的區塊鏈。
在此時,前一個區塊的參考內容,會包含了前一個密碼的加密散列校驗和(cryptographic hash checksum),如此一來,就不再需要中心媒介,透過這些方法,就能確保不會發生交易資料被複製的狀況。
上圖為高階的區塊鏈架構,將仲裁的權力與商業信託,移轉給去中心化的虛擬網路,讓合格的相關節點持續依照時序,將各項交易以資料區塊的形式,加以記錄,然後,再提供給相關社群的成員。(資料來源:Gartner,2016年8月)
上圖為高階區塊鏈分散式架構圖,即區塊鏈扮演毫無模糊空間的交易驗證器角色,各個節點能全然信賴此區塊鏈生態系統,並透過區塊鏈的去中心化共識,加以治理。
區塊鏈與輔助的區塊鏈服務 如以上所言,區塊鏈可視作是一種資料儲存庫,提供給所有合格的成員使用。比特幣作為區塊鏈的應用之一,
能使所有交易資料公開,且對所有有意加入的人持開放態度。 隨著區塊鏈技術逐漸成熟,應用可能會隨著參與成員的會員資
格、資料相關規則與隱私權而有所不同。必須留意的是,因應使用案例的不同需求,訪問途徑可根據政策、屬性或系統設計來
管控。就像私人建置的區塊鏈,則可遵循封閉式的用戶社群規則,此時,安全主管除了管理加密式存取金鑰,可能還要建置網路安全措施,來限制訪問路徑。
儘管部分特定的區塊鏈應用情況,可能有所不同,但安全主管必須留意,未來區塊鏈的架構模式必須提供所有成員標頭資訊(header information)
,這可能也包含區塊內部的交易資料。儲存的資料可能是價值符號,像是金融交易的記錄、帳戶結餘數字或其他資料,而這些都能利用傳統的密碼工具進行加密,以維持其機密性。
此外,由於區塊鏈相關產品與技術快速變遷,資訊安全長與安全主管對此,應確保有能力掌握手中所有區塊鏈計畫,所產出
、儲存或使用了哪些資料。這會隨著區塊鏈的技術–亦即以太坊(Ethereum)、超級帳本(hyperledger)或比特幣–而有所不同,部分案例差異,甚至可能十分顯著。
儘管區塊鏈技術令人興奮、快速變化且勢必帶動強烈的突破性創新,還是得確實做好資料機密、可用性,以及誠信(CIA模型)等資訊安全基本原則。 智慧合約(與智慧資產) 所謂的智慧合約(smart
contract),
就是將成套的商業邏輯加以編碼為程式的形態,再加上價值單位或其範疇內的交易單位。
其基本概念是透過區塊鏈而非集中式仲裁器,以程式驗證交易,合約執行後交易才算完成。
根據區塊鏈環境的目的與結構,相關方能針對貨品與服務遞交的方式,
以及資金自動扣款的條款達成協議(否則可能懲以罰金)。而所謂智慧資產,
就是在數位財產中嵌入所有權,以及動態行為的概念,這可能指個人、公司,或其他智慧資產。
同時,安全主管必須意識到,智慧合約也可能會有缺陷,攻擊者可利用這些缺陷來竊取、
敲詐或扣留款項,也正如所有軟體犯罪一樣,這類攻擊的影響可能相當嚴重。 就某種意義而言
它跟其他應用或網站並沒有什麼不同,都有某種漏洞或機制容易遭到詐騙。因此,安全主管必須擴大現有的安全保護機制,將智慧合約與智慧資產納入其中,而且要把漸進失效(asymptotic
failure)的風險,納入組織容許度(當然,這可由會員自由定義,而非強制式的要求)。 可信賴運算與去信任化交易
上述概念能讓資源與交易橫向分散,且不限於企業內部,而是遍及區塊鏈系統中全體參與成員。過去的集中式監管機構與仲裁組織,也能加以編碼成為智慧合約,並藉由區塊鏈的去中心化共識加以治理。因此,很可能在不久的將來,就會出現全新型態的純數位化組織,業務純粹以智慧合約為主。
對此,區塊鏈所扮演的部分,是一個毫無模糊空間的交易驗證器角色,全然信賴區塊鏈生態系統,因其在技術的基礎上,還加入信任、合規、職權、管理與法律的規則,並確保使用了可靠的加密技術。 因此
,安全主管必須確保區塊鏈,能夠忠實扮演上述之交易驗證器的角色,而且毫無模糊空間,而使用的加密技術,也必須能證明並支援上述可靠特質。此外,安全主管必須確保基礎架構元件安全無虞,節點也不能發生問題,而將錯誤的資訊帶進區塊鏈。
工作量證明/權益證明 許多區塊鏈技術的核心概念,就是「工作量證明」(proof of work),或者是權益證明(proof of
stake)等相關概念,這些都源於最早的比特幣–它是一種運算任務,複雜程度之高,足以制止區塊鏈的更動,所以,區塊鏈上的記錄,不能在沒有重做工作證明的情況下,予以改變。工作量證明也因此成為關鍵元素,因其無法輕易作廢,而且,透過可靠的加密散列,以確保真實性。
工作量證明所費不貲,未來還可能會有擴充性與安全方面的問題,且用交易手續費做為吸引成員參與的誘因,不一定適用金融交易以外的項目。
因此,有人認為,權益證明可能是一種適用範圍更大的解決方案,因其執行成本較低,且一般認為入侵更為加困難。而且,權益證明的好處是,可以判定是否足以合格參與區塊鏈共識,還能降低「分裂」(split)的風險,也就是有兩方以上的來源都宣稱是真實來源。
不論是工作量證明或換種形式的權益證明,安全主管都必須在這些規畫中,了解區塊鏈證明系統的優點,還有特定證明系統的風險,因為這都將是決定區塊鏈誠信度的主要因素。 區塊鏈的風險
整體而言,當前區塊鏈應用的風險,有如下幾項: 行銷週期 區塊鏈的定義及潛在應用,都是可變動的。除了比特幣以外,各種應用的功能各異,而且,許多規畫中的解決方案都尚未脫離概念階段。
而且,很可惜的是,目前圍繞著區塊鏈的宣導性行銷發展週期!
魔龍傳奇 立即遊戲!
通博.cc 粉絲專頁 通博.cc 推特專頁 台灣博彩論壇