密码学在区块链中一直发挥着重要作用,从信息加密、交易签名、身份认证到隐私保护等关键功能的实现,都能看到密码学的身影。特别是《密码法》从今年正式实施以来,从法律层面把商用密码的合规性上升到了一个新高度。
7月23日,由中国信通院、可信区块链推进计划共同举办的“链接未来”可信区块链沙龙系列活动第4期线上开讲。本次活动以“区块链密码技术与应用实践”为主题,邀请了来自中国信通院区块链工程师张启、鼎铉密码与网络安全高级工程师谭锐能、微众银行区块链安全科学家严强、银码通总经理王建新、中科院软件研究所副研究员兼中科鼎智总经理程亮等5位专家,围绕区块链中密码学的实践经验和前沿技术,共同探讨密码技术在区块链中合规、正确、有效、安全应用。
可信区块链密码应用标准介绍
中国信通院张启首先带来了可信区块链密码应用标准的分享。今年《密码法》的正式实施,对商用密码的规范化应用提出了更高的要求。区块链作为密码学的一个典型应用当然也不例外,因此有必要在区块链密码应用规范方面开展标准化研究工作。与此同时,区块链密码技术的多年应用实践经验也为区块链密码应用规范的标准化提供了成熟的应用积累。
根据密码应用架构,区块链密码应用规范分为密码应用层、密码功能层和密码设备层。从密码学角度看,区块链中的关键技术,如交易账本、共识算法、通信加密、智能合约等都属于区块链密码应用层,即密码技术在区块链基础功能中的应用。密码功能层是密码学的技术实现,包括密码算法,密码协议,数字证明和密钥管理。密码设备层是密码规范中最底层部分,与硬件关联性较高,为功能层提供密码基础服务,如随机数生成、时间戳、签名验签服务等。
区块链密码应用验证测试分享
鼎铉谭锐能在本次沙龙中分享了区块链密码应用验证测试。区块链技术简单来讲就是“密码学+分布式账本”,以及在此之上的众多应用。随着区块链应用场景的增多,区块链使用的密码技术也日益丰富,同时也出现了众多针对区块链密码层的攻击方式。目前区块链密码应用暴露的问题,如不安全的密码算法、代码实现漏洞、密钥管理问题、随机数问题、开源算法库后门等,严重影响区块链安全健康的发展。
为了推动密码技术在区块链中合规、正确、有效的应用,可信区块链推进计划推出了密码专项测试,该测试包括了9大项50个指标,为区块链密码应用的规范化提供全面的检测服务。
隐私保护技术标准化的现状与思考
微众银行严强博士带来了隐私保护技术标准化的分享。严博士在本次分享中表示,隐私保护的范畴十分广泛,“可用而不可见”只是隐私保护的一个小目标,除了数据内容保护之外,还应包括隐私合规性,及其所赋予的数据全生命周期权利保障。
目前隐私保护技术标准化整体进程尚处早期,存在着巨大的机遇,隐私保护技术的标准化有利于推动行业的整体发展。相比以往标准化的探索方式,微众银行在隐私保护领域的探索,结合多年区块链应用实践经验,探索出更为有效的场景式路径,提出构建隐私保护能力分级和模块接口互通的模式,并增强标准指标的可解读性和公众对标准测评结果的信任感。
区块链密码技术与应用实践
银码通王建新带来了区块链密码技术与应用实践的分享,王建新老师主要介绍了三方面内容:1.密码算法在当前区块链中的应用;2.商密算法对区块链技术的支持;3.密码技术在区块链领域新的研究方向。
密码技术在区块链的身份验证、共识机制、防篡改、隐私保护等关键技术环节,发挥了不可替代的作用,而这些技术环节都可以用商密算法实现。基于商密算法的区块链技术有望在政务系统、智慧城市等领域广泛使用,其中基于零知识证明的分布式数字身份认证将发挥重要作用。
密码相关代码的安全缺陷检测
中科院软件所程亮带来了密码相关代码的安全缺陷检测的分享,程亮表示要保证一个复杂密码系统的安全性,需要考虑多方面的因素。密码系统的工程实现往往是最薄弱的一环,轻则导致加密强度降低,重则导致加密机制被绕过,造成信息泄漏。
程亮从测试数据的获取、测试对象的识别切入,介绍了在无法获得加密算法源代码的前提下,加密数据的提取与恢复技术,加密算法的代码定位与类别识别技术。并分享了如何利用程序分析与模式识别技术,检测加密密钥为常数、加密算法工作模式使用错误、随机数随机性不足等导致 密码相关API的误用错误,以及相应的代码缺陷修复技术。
