區塊鏈技術將從三個方面改變信息安全行業

一方面人們擔憂區塊鏈技術應用面臨的安全風險，另外一方面，區塊鏈技術本身正在推動一場信息安全技術變革。

如今互聯網金融行業普遍認為，區塊鏈的技術風險是比特幣和以太坊等區塊鏈應用所面臨的主要風險，例如blockchain.info爆出的隨機數安全漏洞和以太坊的DAO合約漏洞，最嚴重的的事故受害者大概要算因黑客攻擊倒逼的Mt.Gox，以及因多重簽名缺陷損失12萬個比特幣(6800萬美元)的Bitfinex。

雖然比特幣的算力在目前的區塊鏈應用中遙遙領先，但是正如火幣網CTO程顯峰所言：由於區塊鏈大量應用了各種密碼學技術，屬於演算法高度密集工程，出現錯誤也是在所難免。而且即便是理論上很完備的演算法，也會有各種實現上的錯誤。

儘管包括比特幣、以太坊等密碼貨幣作為區塊鏈技術的實現和應用面臨諸多安全問題的困擾，但是區塊鏈技術本身獨特的信息存儲和分享方式卻有望為潰不成軍的信息安全業界帶來革命性的解決方案。例如紐約大學學生開發出基於區塊鏈技術的電子投票方案，以及利用區塊鏈技術構建高安全性web架構的Blockstack。

近日Tecktalk專欄作者Ben Dickson撰文指出，區塊鏈技術在信息安全領域的應用可以有效防禦中間人攻擊(身份竊取)、數據篡改和DDoS三大安全威脅：

一、身份保護

PKI是電子郵件、消息應用、網站等各種通訊應用中常見的公鑰加密技術。但是由於大多數PKI的實現以來集中式的可信第三方認證機構(CA)來發放、激活和存儲用戶證書，黑客可攻擊PKI假冒用戶身份或破解加密信息。例如WhatsApp最近爆出的秘鑰再協商機制的漏洞，可以被黑客用來發送假秘鑰並實施中間人攻擊。而在區塊鏈上發布秘鑰則可以杜絕虛假秘鑰的傳播，同時應用也可以鑒別通訊對方的真實身份。

CertCoin是目前首個基於區塊鏈技術的PKI實現，該項目來自MIT，去除了中心化的認證中心，取而代之以區塊鏈作為於域名和公鑰的分散式賬本。

另外一家技術研究公司Pomcor最近則發布了另外一種區塊鏈PKI實現路徑：保留認證中心，用區塊鏈存儲已經發放和激活的證書的hash值。這種方法使得用戶可以通過去中心化和透明的來源鑒別證書的真實有效性，同時還能通過在本地基於區塊鏈拷貝進行秘鑰和簽名的認證來提升網路訪問性能。

還有一個值得關注的基於分散式賬本的身份保護技術項目是IOTA，該項目利用Tangle(一種輕量級可擴展的無區塊的分散式賬本)來作為數以百萬計的物聯網設備互動和彼此點對點認證的後台骨幹，無需依賴第三方認證中心。

IOTA聯合創始人David認為：通過將與個人身份匹配的hash表與區塊鏈分散式賬本關聯，人們將能重新構建一個全新的身份管理系統，在這個系統上沒有人能夠偽造你的身份。

二、數據完整性保護

我們用私鑰簽署文件的目的是接受者或者用戶可以核實數據的源頭，然後人們花大力氣來證明這些秘鑰沒有被篡改，但是由於私鑰的保密屬性這一點實現起來非常困難。而使用區塊鏈技術取代文檔的數字簽名則可以用透明度取代隱秘，向大量區塊鏈節點分發證據使數據篡改變而不被發現幾乎不太可能。這就好比，你如何證明馬刺隊是2014年的NBA總冠軍?事實上你無需證明，因為這已經變成了人所共知的常識，對於區塊鏈分散式賬本上的數據而言也是如此。

數據安全創業公司GuardTime開發了一個基於區塊鏈技術的無秘鑰簽名架構(KSI)，目的是取代基於秘鑰的數據認證技術。KSI在區塊鏈上存儲原始數據和文件的哈希表，通過運行哈希演算法來驗證其他拷貝，並將結果與區塊鏈上存儲的數據進行對比。任何對數據的篡改都會被迅速發現，因為原始哈希表存儲在數以百萬計的節點上。

據GuardTime首席技術官Matthew Johnson介紹，KSI為信息的出處和完整性提供了數學上的可靠性，美國國防部DARPA高級研究計劃局正在考慮使用KSI來保護敏感的軍事數據。

在醫療領域，區塊鏈技術公司Gen使用區塊鏈技術來保障醫療記錄的數據透明度、變更升級以及細粒度的可訪問性。對於處理大量敏感數據，同時頻繁遭受嚴重黑客攻擊的醫療機構來說，這非常有用。Gem工程副總裁Siva Kannan表示：醫療機構奇偶股的運營數據、病人健康數據以及臨床試驗數據都是醫療行業的黑客攻擊目標，區塊鏈技術在驗證跨機構分享的病人數據的完整性，生成無可更改的醫療流程治理數據審計記錄，以及維護臨床試驗採集數據的完整性方面都非常有用。

三、保護關鍵基礎設施

2016年幾次創紀錄的DDoS攻擊(DDoS進入TB時代)告訴我們，DDoS依然是黑客低成本搞垮大型目標的最唾手可得的武器，而DNS服務是黑客進行大規模破壞的首要目標，但區塊鏈技術有望從根本上解決DNS這個互聯網的「阿喀琉斯之踵」。

區塊鏈的分散式存儲技術會讓黑客的攻擊失去焦點，Nebulis正在開發的一個項目驗證這種分散式DNS系統。Nebulis使用以太坊區塊鏈和星際互聯文件系統(IPFS，HTTP的分散式替代品)來註冊和解析域名。Nebulis創始人Philip Saunders指出：當前DNS最大的弱點是緩存，緩存使得DDoS攻擊成為可能，而且也是集權政府審查社交網路，操縱DNS註冊的禍根。一個高度透明的、分散式的DNS系統可以有效杜絕任何實體，包括政府恣意操縱記錄。