區塊鏈盜取密鑰
A. 區塊鏈錢包的重要性
現在越來越多的人開始參與到區塊鏈項目中,了解並參與到其中的人相信都會使用區塊鏈錢包,這里的「錢包」指的是一個虛擬的,用來儲存和使用虛擬貨幣的工具。
錢包主要分為冷錢包和熱錢包,這其中包含私鑰,公鑰和助劑詞,接下來為大家詳細一一講解一下他們的區別與作用。
冷錢包: 冷錢包指的是不聯網的錢包,將數字貨幣進行離線儲存的錢包。使用者在一台離線的錢包上面生成數字貨幣地址和私鑰,再將其保存起來。 冷錢包集 數字貨幣 存儲、多重交易密碼設置、發布最新行情與資訊、提供硬分叉解決方案等功能於一身,能有效防止黑客竊取。
熱錢包: 熱錢包指的是需要聯網上線使用的錢包,在使用上更加方便,但現在網路比較復雜,釣魚網站較多,有風險,因此在使用錢包或者交易所時,最好在設置不同密碼,且開啟二次認證,以確保自己的資產安全。
綜上相比之下冷錢包比熱錢包更加安全。
私鑰: 私鑰是一串由隨機演算法生成的數據,它可以通過非對稱加密演算法算出公鑰,公鑰可以再算出幣的地址。私鑰是非常重要的,作為密碼,除了地址的所有者之外,都被隱藏。區塊鏈資產實際在區塊鏈上,所有者實際只擁有私鑰,並通過私鑰對區塊鏈的資產擁有絕對控制權,因此,區塊鏈資產安全的核心問題在於私鑰的存儲,擁有者需做好安全保管。和傳統的用戶名、密碼形式相比,使用公鑰和私鑰交易最大的優點在於提高了數據傳遞的安全性和完整性,因為兩者——對應的關系,用戶基本不用擔心數據在傳遞過程中被黑客中途截取或修改的可能性。同時,也因為私鑰加密必須由它生成的公鑰解密,發送者也不用擔心數據被他人偽造。
公鑰: 公鑰是和私鑰成對出現的,和私鑰一起組成一個密鑰對,保存在錢包中。公鑰由私鑰生成,但是無法通過公鑰倒推得到私鑰。公鑰能夠通過一系列演算法運算得到錢包的地址,因此可以作為擁有這個錢包地址的憑證。
助記詞: 助記詞是利用固定演算法,將私鑰轉換成十多個常見的英文單詞。助記詞和私鑰是互通的,可以相互轉換,它只是作為區塊鏈數字錢包私鑰的友好格式。
Keystore :主要在以太坊錢包 App 中比較常見(比特幣類似以太坊 Keystore 機制的是:BIP38),是把私鑰通過錢包密碼再加密得來的,與助記詞不同,一般可保存為文本或 JSON 格式存儲。換句話說,Keystore 需要用錢包密碼解密後才等同於私鑰。因此,Keystore 需要配合錢包密碼來使用,才能導入錢包。當黑客盜取 Keystore 後,在沒有密碼的情況下, 有可能通過暴力破解 Keystore 密碼解開 Keystore,所以建議使用者在設置密碼時稍微復雜些,比如帶上特殊字元,至少 8 位以上,並安全存儲。
綜上:錢包的作用就是保護我們我私鑰,私鑰就是控制資產的全部許可權,只有擁有私鑰的人才可以使用這個賬戶里的虛擬貨幣。在使用錢包的過程中切記不要將自己錢包的私鑰、助記詞、Keystore等信息透露給其他人,這些信息都是可以直接竊取你數字資產的重要信息。
使用錢包注意事項:
1、私鑰和助記詞做好備份,除了在手機上最好手寫一份保存。
2、不要輕易點擊未知網站。
3、不要截屏或者拍照保存。
總之重中之重保存好自己的私鑰。
B. 區塊鏈的私鑰要是丟了有什麼辦法找回嗎
先說結論:找不回!
區塊鏈之所以有匿名性,就是因為上面沒有你的身份,有的就只有地址和私鑰,要對地址上的資產進行操作,私鑰是唯一且必須的條件。作為區塊鏈用戶來說,私鑰就是一切。並且為了保證區塊鏈的安全,以目前的算力和技術,從地址倒推私鑰是絕對不可能可行的。如果可行,那麼整個區塊鏈上所有的地址均失去了安全性,區塊鏈上的資產就都失去了意義。
那麼這么難記的私鑰到底要怎麼解決應用問題呢,目前來看,區塊鏈錢包其實已經一定程度上滿足需求了,已經很少有人真的去記那樣復雜的私鑰來玩區塊鏈了。可信的第三方私鑰託管機構也是一種選擇(其實和在線熱錢包的概念很接近),然後和生物識別技術結合的私鑰體系也可以是一種探索方向。(指紋、聲紋等等)
更多區塊鏈有關的內容歡迎瀏覽我的匯總帖:
https://bbs.bumeng.cn/thread-848-1-1.html?hmsr=%E6%90%9C%E6%90%9C%E9%97%AE%E9%97%AE&hmpl=&hmcu=&hmkw=&hmci=
C. 區塊鏈中的私鑰和公鑰
公開密鑰(public key,簡稱公鑰)、私有密鑰(private key,簡稱私鑰)是密碼學里非對稱加密演算法的內容。顧名思義,公鑰是可以公開的,而私鑰則要進行安全保管。
私鑰是由隨機種子生成的,公鑰是將私鑰通過演算法推導出來。 由於公鑰太長,為了簡便實用,就出現了「地址」,地址是公鑰推導出來的。這些推導過程是單向不可逆的。也就是地址不能推出公鑰,公鑰不能推出私鑰。
從中我們可以看出,公鑰與私鑰是成對存在的。它們的用處用16個字來概括: 公鑰加密,私鑰解密;私鑰簽名,公鑰驗簽。
公鑰加密,私鑰解密。也就是用公鑰加密原數據,只有對應的私鑰才能解開原數據。這樣能使得原數據在網路中傳播不被竊取,保護隱私。
私鑰簽名,公鑰驗簽。用私鑰對原數據進行簽名,只有對應的公鑰才能驗證簽名串與原數據是匹配的。
可以用鎖頭,鑰匙來比喻公鑰,私鑰。鎖頭用來鎖定某物品,鑰匙來解鎖該物品。鑰匙所有者是物品的所有者。事實上就是這樣,公私鑰對奠定了區塊鏈的賬戶體系及資產(Token等)的所有權,區塊鏈的資產是鎖定在公鑰上的,私鑰是用來解鎖該資產然後使用。比如說我要轉讓資產給你,就是我用我的私鑰簽名了一筆我轉讓資產給你的交易(含資產,數量等等)提交到區塊鏈網路里,節點會驗證該簽名,正確則從我的公鑰上解鎖資產鎖定到你的公鑰上。
我們看到了私鑰的作用了吧,跟中心化記賬系統(支付寶、微信支付等)的密碼一樣重要,擁有私鑰就擁有了資產所有權,所以我們千萬要保管好私鑰,不能泄露。
D. 區塊鏈技術現存問題有哪些
1.性能問題
體積問題
區塊鏈對數據備份的要求對存儲空間提出挑戰。區塊鏈要求在一筆交易達成後向全網廣播,系統內每個節點都要進行數據備份。
以比特幣為例,自創世區塊至今的區塊數據已經超過 60GB,並且區塊鏈數據量還在不斷增加,這將給比特幣核心客戶端的運行帶來很大挑戰。
處理速度問題
比特幣區塊鏈目前最高每秒處理 6.67 筆交易,一次確認時間大約為 10 分鍾,容易造成大量交易的堵塞延遲,可能會限制小額多次交易和對時間敏感度較高交易的應用。
盡管目前有了一些克服手段,但全面解決交易效率的方法仍然亟待發掘 。
耗能過高
第三,挖礦過程中的算力並不產生額外的實際社會價值,還會浪費大量的電子資源,隨著比特幣的日益普及,區塊鏈逐漸成為高耗能的資本密集型行業。
2.中心化問題
節點的不平等
第一,理論上,分布式網路中每個節點應當被平等對待,但是為了挖礦獲得回報,各節點可能會增加算力進行硬體競賽,從而導致節點的不平等,破壞區塊鏈記賬權的隨機性。
產業化、規模化挖礦產生了礦池
理論上如果礦池通過共謀掌握 51% 以上的算力進行系統供給,就可以實現雙重支付,實際過程中盡管其成本遠超收益,但不能否認合謀供給存在的可能性。
3.隱私安全問題
私鑰容易被竊取
第一,目前區塊鏈採用的是非對稱密鑰機制,盡管具有很高的安全性,但是私鑰保存在用戶本地,容易被黑客竊取。
區塊鏈數據的透明性容易造成隱私泄露
公有鏈中每個參與者都可以獲得完整的數據備份,整個系統是公開透明的,比特幣通過隔斷交易地址和持有人真實身份的關聯保護隱私。
當區塊鏈需要承載更多的業務時,節點如何驗證信息執行命令就需要更多的考慮。
4.升級和激勵問題
公有鏈中參與節點的數量龐大
無論是升級還是修復錯誤都無法關閉系統集中進行,可能需要考慮放鬆去中心化的問題。
各個節點之間存在著競爭博弈
要求激勵相容機制的完善,如何使去中心化系統中的自利節點能夠自發開展區塊數據驗證及記賬工作,並設計合理的懲罰函數抑制非理性競爭,是區塊鏈面臨的另一挑戰。
E. 『學概念找員外』門限密碼與多重簽名
密鑰分存還是有一個問題:密鑰分存之後,如果後面要用原密鑰來簽名,那就需要取得子密鑰,還原成原密鑰,然後才能簽名。這個過程有可能被黑客乘虛而入,盜取密鑰。
密碼學可以解決這個問題。如果子密鑰儲存在不同的設備中,可以以去中心化的方式還原原密鑰,而不是在某台設備上完成,這種技術叫門限簽名(threshold signature)技術。典型的例子就是使用雙重安全機制的電子錢包(N=2且K=2),如果兩個子密鑰分別保存在個人電腦和手機上,你可以在電腦上發起付款,這時,電腦會生成一個簽名片段,並發送到你的手機上,然後,手機會提示你付款信息(包括收款人、金額等),然後等待你確認。如果你確認了付款信息,這時,手機會利用它的子密鑰完成整個簽名,然後廣播到區塊鏈上。萬一黑客控制了你的電腦,試圖把比特幣轉到他的賬戶,你根據手機上的付款信息就知道有問題了,從而不會確認這筆交易。門限密碼涉及的數學細節比較復雜,員外也看不懂,所以就不展開討論了。
門限簽名是密碼學中的一項技術,將一個密鑰切分成不同片段,分別儲存,在交易簽名時無須還原原密鑰。而多重簽名是比特幣腳本的特性,把一個比特幣賬戶的控制權交給多個密鑰,這些密鑰共同保障賬戶安全。門限簽名和多重簽名都能克服密鑰單點保存的缺陷。
還有另外一種方法可以克服密鑰單點保存的缺陷,即多重簽名(multisignatures),這個名詞在第3章曾出現過。通過比特幣腳本,可以直接把一個比特幣賬戶的控制權交給多個密鑰,而不是將密鑰分存。這些密鑰可以保存在不同的地點,並分別生成簽名。當然,最終完成的交易的信息還是會保存在某台設備上,但即使黑客控制了這台設備,他所能做的也只不過阻止這個交易被廣播到整個網路上去。沒有其他設備參與,他無法生成出一個正當有效的多重簽名。
舉例來說,假設A、B、C、D、E是一家公司的創始人,這家公司有許多的比特幣。我們可能會用多重簽名來保護這些比特幣。這5個人,每人都有一對密鑰,我們可以用其中的3個簽名來保護冷儲存,一筆交易需要5個人中至少3個人的簽名才能完成。
這樣,只要我們5個人在不同地方且使用不同的安全措施保存各自的密鑰,那麼比特幣就會相當安全。黑客必須盜取我們當中3個人的密鑰,才能盜取比特幣。即便我們其中一個或兩個背棄了我們,他(們)也無法捲款而逃,因為他們還需要另一個簽名。同時,如果我們其中一個遺失了密鑰,其他人還是可以取出比特幣,並轉到新的賬戶,重新設置密碼。總而言之,多重簽名可以比較妥善地管理在冷儲存端的大額比特幣,任何重大事項都需要多人的參與才能實現。
上文中,我們說到,人們使用門限簽名技術的原因是為了實現雙重安全機制或多重安全機制,使用多重簽名技術的原因是為了實現多人對共同財產實現共同控制。實際上,這兩種技術都可以實現上述兩種目的。
F. SAFEIS安全報告:加密史上十大被盜事件梳理及應對策略
2008年全球金融危機因為中心化世界的種種弊端而爆發並進而席捲全球,為了消除這些弊端,中本聰創立了比特幣網路,區塊鏈也因此誕生。
為了提高整個網路以及交易的安全性,區塊鏈採用分布式節點和密碼學,且所有鏈上的記錄是公開透明、不可篡改的。最近幾年,區塊鏈獲得長遠發展,形成了龐大的加密生態。
然而,區塊鏈自問世以來,加密貨幣騙局頻發並有愈演愈烈之勢,加密貨幣也無法為用戶的資金提供足夠的安全性。此外,加密貨幣可以匿名轉移,從而導致加密行業的重大攻擊盜竊事件頻發。
下文將梳理剖析加密史上十大加密貨幣盜竊事件,以及防範加密資產被盜的六大實用策略。
1.Mt. Gox 被盜事件
Mt. Gox 被盜事件仍然是 歷史 上最大的加密貨幣盜竊案,在 2011 年至 2014 年期間,有超過 85 萬比特幣被盜。
Mt. Gox 聲稱導致損失的主要原因是源於比特幣網路中的一個潛在漏洞——交易延展性,交易延展性是通過改變用於產生交易的數字簽名來改變交易的唯一標識符的過程。
2011 年 9 月,MtGox 的賬戶私鑰就已泄露,然而該公司並沒有使用任何審計技術來發現漏洞並預防安全事件的發生。此外,由於 MtGox 定期重復使用已泄露私鑰的比特幣地址,導致被盜資金損失不斷擴大,到 2013 年中,該交易所已被黑客盜取63萬枚比特幣。
許多交易所會同時使用冷錢包和熱錢包來進行資產的存儲和轉移,一旦交易所的伺服器被黑,黑客便可以盜取熱錢包裡面的加密資產。
2.Linode被盜事件
加密網路資產託管公司Linode主要業務就是託管比特幣交易所和巨鯨的加密資產,不幸的是,這些被託管的加密資產儲存在熱錢包中,更為不幸的是,Linode 於 2011 年 6 月遭到黑客攻擊。
這導致超過5萬枚比特幣被盜,Linode的客戶損失慘重,其中,Bitcoinia、Bitcoin.cx以及Gavin Andresen分別損失43000枚、3000枚和5000枚比特幣。
3.BitFloor被盜事件
2012 年 5 月,黑客攻擊 BitFloor 並盜竊了24000枚比特幣,這一切源於錢包密鑰備份未加密,才使攻擊者輕而易舉獲得了錢包密鑰,並進而盜取了巨額加密資產。
被盜事件發生後,BitFloor 的創建者 Roman Shtylman 決定關閉交易所。
4.Bitfinex被盜事件
使用多重簽名賬戶並不能完全杜絕安全事件的發生,Bitfinex接近12萬枚巨額比特幣資產被盜事件就證明了這一點。
2022年6月份,2000萬枚OP代幣就是以為不恰當使用多重簽名賬戶而被盜。
5.Coincheck被盜事件
總部位於日本的 Coincheck 在 2018 年 1 月被盜價值 5.3 億美元的 NEM ( XEM ) 代幣。
Coincheck事後透露,由於當時的人員疏忽,黑客能夠輕易訪問他們的系統,且由於資金保存在熱錢包中並且安全措施不足,黑客能夠成功盜取巨額加密資產。
6.KuCoin被盜事件
KuCoin 於 2020 年 9 月宣布,黑客盜取了大量的以太坊 ( ETH)、BTC、萊特幣 ( LTC )、Ripple ( XRP )、Stellar Lumens ( XLM )、Tron ( TRX ) 和 USDT等加密資產。
朝鮮黑客組織 Lazarus Group 被指控為KuCoin被盜事件的始作俑者,這次被盜事件造成了2.75 億美元的資金損失。幸運的是,該交易所收回了約2.7億美元的被盜資產。
7.Poly Network被盜事件
Poly Network被盜事件是有史以來最嚴重的加密貨幣盜竊案之一,2021 年 8 月,一位被稱為「白帽先生」的黑客利用了 DeFi 平台 Poly Network 網路中的一個漏洞,成功竊取了Poly Network上價值約 6 億美元的加密資產。
Poly Network被盜事件蹊蹺的是,自被盜事件發生後,「白帽先生」不僅與Poly Network官方保持公開對話,而且還於一周後歸還了所有被盜的加密資產。「白帽先生」因此獲得50萬美元的獎金,並獲得了成為 Poly Network 高級安全官的工作機會。
8.Cream Finance被盜事件
2021 年 10 月,Cream Finance發生安全事件,被黑客盜取價值1.3 億美元的加密資產。這是 Cream Finance 今年發生的第三起加密貨幣盜取事件,黑客在 2021 年 2 月盜取了 3700 萬美元的加密資產,在 2021年 8 月盜取了 1900 萬美元的加密資產。
本次被盜事件是通過閃電貸攻擊的方式完成的,攻擊者使用 MakerDAO 的 DAI 生成大量 yUSD 代幣,同時還利用 yUSD 價格預言機來完成閃電貸攻擊。
9.BadgerDAO被盜事件
2021 年 12 月,一名黑客成功從DeFi 項目 BadgerDAO 上的多個加密貨幣錢包中竊取資產。
該事件與通過Cloudflare將惡意腳本注入網站用戶界面時的網路釣魚有關。 黑客利用應用程序編程介面 (API) 密鑰竊取了 1.3 億美元的資金。API 密鑰是在 Badger 工程師不知情或未經許可的情況下創建的,用於定期將惡意代碼注入其一小部分客戶端。
然而,由於黑客未能及時從Badger提取資金,因此大約 900 萬美元加密資產得以追回。
10.Bitmart被盜事件
2021 年 12 月,Bitmart 的熱錢包遭到黑客攻擊,約 2 億美元加密資產被盜。研究發現,約1 億美元的加密資產是通過以太坊網路盜取轉移的,另外接近1億美元是通過幣安智能鏈網路盜取轉移的。
此次被盜事件涉及20多種代幣,包括比特幣等主流幣,和相當數量的山寨幣等。
保護加密資產的最佳方法是重視錢包的加密保護和安全的私鑰存放方式,以及對市場上的項目進行深入的研究和辨識,避免踏入攻擊者的陷阱。
由於區塊鏈的不可篡改和不可逆性,一旦錢包私鑰泄露,加密資產被盜便不可避免並無法追回。
防範加密資產被盜的六大實用策略:
1.使用冷錢包
與熱錢包不同,冷錢包不連接互聯網,因此不會受到網路攻擊。私鑰存儲在冷錢包中可有有效保護加密資產。
2.使用安全網路
在交易或進行加密交易時,僅使用安全的網路,避免使用公共 Wi-Fi 網路。
3. 資金分散到多個錢包中
雞蛋不要放到同一個籃子中,這句話在金融領域和加密領域都十分受用。
將加密資產分發到不同的多個錢包中,這樣可以在遭受攻擊時,將損失降到最低。
4. 提高個人設備安全性
確保個人設備安裝了最新的安全軟體,以防禦新發現的漏洞和網路攻擊,並且開啟防火牆來提高設備的安全性,以避免黑客通過設備系統安全漏洞來進行攻擊。
5.設置強密碼並定期更改
在談論安全性時,我們不能低估強密碼的重要性。很多人在多個設備、應用程序社交媒體帳戶和加密錢包上使用相同的密碼,這大幅增加了加密資產被盜的幾率。
防止被盜需要錢包賬戶建立一個安全等級較高的強密碼,這個強密碼需要具有獨特性,並養成定期更改的習慣。此外,選擇雙重身份驗證 (2FA) 或多重身份驗證 (MFA) 可以提高安全性。
6. 謹防釣魚攻擊
通過惡意廣告和電子郵件進行的網路釣魚詐騙在加密貨幣世界中十分猖獗。在進行加密交易時要格外小心,避免點擊任何可疑和未知鏈接。
應當始終檢查核實有關加密投資的相關信息和網站的URL,尤其是這些信息極具誘惑力且不合常理時,比如,項目方官方通過Didcord等渠道私聊信息,當然,項目方Didcord被攻擊的安全事件的頻繁發生,這時的惡意鏈接可能是在公共頻道中而不是私聊界面,這種情況下,多渠道檢查核實有關加密投資相關信息的真實性就顯得格外重要了!
SAFEIS是國際知名的創新型區塊鏈生態安全服務平台,基於 數據、 智能、網路安全、圖計算等多種核心技術打造,具有完備的數據處理和精準追溯能 ,服務對象涵蓋全球諸多知名公司和項目。
「讓區塊鏈更安全」是一個光榮使命,我們將踐行光榮使命、續航嶄新征程。
G. 比特幣使用了區塊鏈技術,為什麼還會被盜竊
BTC是一個類似支付寶的系統軟體,你有多少幣是記錄在比特幣的區塊鏈賬本里的,遍及全世界,操縱你幣需要靠公鑰。公鑰是隨機生成的,公鑰可形成公匙,再形成詳細地址,詳細地址就相當於帳戶。因為BTC具備群體極化,這也導致BTC在黑市交易非常受歡迎,被黑市交易用於做為交易貨幣應用;有錢人把其作為轉移資產的工具。這種也給BTC在大眾印象中導致了許多不良影響。BTC是一個中心化的支付平台,生活中有節點的計算形成。
BTC是一種虛擬貨幣,這是最開始造成是由挖幣機計算產生的一個加密數據精彩片段,消耗的是在網路上網路伺服器或是終端設備計算機計算能力。是一種分布式節點做賬的方式,來儲存的數據。BTC一般都有比特幣錢包,這類存儲系統又叫區塊鏈技術,儲存這組加密數據便是BTC。連接點間做賬因買賣產生遷移就產生了比特幣的商品流通。發幣方為了能創建分布式存儲互聯網,從而運用挖礦者的計算水平。為了能鼓勵或引誘大夥兒進到互聯網,提供給發幣方計算水平,而採用優化演算法,讓挖礦者可以中頭獎一樣得到幣特幣。發幣方創建貿易市場,挖出來的幣特幣能去交易市場獲得真正貸幣。
H. 區塊鏈使用安全如何來保證呢
區塊鏈本身解決的就是陌生人之間大規模協作問題,即陌生人在不需要彼此信任的情況下就可以相互協作。那麼如何保證陌生人之間的信任來實現彼此的共識機制呢?中心化的系統利用的是可信的第三方背書,比如銀行,銀行在老百姓看來是可靠的值得信任的機構,老百姓可以信賴銀行,由銀行解決現實中的糾紛問題。但是,去中心化的區塊鏈是如何保證信任的呢?
實際上,區塊鏈是利用現代密碼學的基礎原理來確保其安全機制的。密碼學和安全領域所涉及的知識體系十分繁雜,我這里只介紹與區塊鏈相關的密碼學基礎知識,包括Hash演算法、加密演算法、信息摘要和數字簽名、零知識證明、量子密碼學等。您可以通過這節課來了解運用密碼學技術下的區塊鏈如何保證其機密性、完整性、認證性和不可抵賴性。
基礎課程第七課 區塊鏈安全基礎知識
一、哈希演算法(Hash演算法)
哈希函數(Hash),又稱為散列函數。哈希函數:Hash(原始信息) = 摘要信息,哈希函數能將任意長度的二進制明文串映射為較短的(一般是固定長度的)二進制串(Hash值)。
一個好的哈希演算法具備以下4個特點:
1、 一一對應:同樣的明文輸入和哈希演算法,總能得到相同的摘要信息輸出。
2、 輸入敏感:明文輸入哪怕發生任何最微小的變化,新產生的摘要信息都會發生較大變化,與原來的輸出差異巨大。
3、 易於驗證:明文輸入和哈希演算法都是公開的,任何人都可以自行計算,輸出的哈希值是否正確。
4、 不可逆:如果只有輸出的哈希值,由哈希演算法是絕對無法反推出明文的。
5、 沖突避免:很難找到兩段內容不同的明文,而它們的Hash值一致(發生碰撞)。
舉例說明:
Hash(張三借給李四10萬,借期6個月) = 123456789012
賬本上記錄了123456789012這樣一條記錄。
可以看出哈希函數有4個作用:
簡化信息
很好理解,哈希後的信息變短了。
標識信息
可以使用123456789012來標識原始信息,摘要信息也稱為原始信息的id。
隱匿信息
賬本是123456789012這樣一條記錄,原始信息被隱匿。
驗證信息
假如李四在還款時欺騙說,張三隻借給李四5萬,雙方可以用哈希取值後與之前記錄的哈希值123456789012來驗證原始信息
Hash(張三借給李四5萬,借期6個月)=987654321098
987654321098與123456789012完全不同,則證明李四說謊了,則成功的保證了信息的不可篡改性。
常見的Hash演算法包括MD4、MD5、SHA系列演算法,現在主流領域使用的基本都是SHA系列演算法。SHA(Secure Hash Algorithm)並非一個演算法,而是一組hash演算法。最初是SHA-1系列,現在主流應用的是SHA-224、SHA-256、SHA-384、SHA-512演算法(通稱SHA-2),最近也提出了SHA-3相關演算法,如以太坊所使用的KECCAK-256就是屬於這種演算法。
MD5是一個非常經典的Hash演算法,不過可惜的是它和SHA-1演算法都已經被破解,被業內認為其安全性不足以應用於商業場景,一般推薦至少是SHA2-256或者更安全的演算法。
哈希演算法在區塊鏈中得到廣泛使用,例如區塊中,後一個區塊均會包含前一個區塊的哈希值,並且以後一個區塊的內容+前一個區塊的哈希值共同計算後一個區塊的哈希值,保證了鏈的連續性和不可篡改性。
二、加解密演算法
加解密演算法是密碼學的核心技術,從設計理念上可以分為兩大基礎類型:對稱加密演算法與非對稱加密演算法。根據加解密過程中所使用的密鑰是否相同來加以區分,兩種模式適用於不同的需求,恰好形成互補關系,有時也可以組合使用,形成混合加密機制。
對稱加密演算法(symmetric cryptography,又稱公共密鑰加密,common-key cryptography),加解密的密鑰都是相同的,其優勢是計算效率高,加密強度高;其缺點是需要提前共享密鑰,容易泄露丟失密鑰。常見的演算法有DES、3DES、AES等。
非對稱加密演算法(asymmetric cryptography,又稱公鑰加密,public-key cryptography),與加解密的密鑰是不同的,其優勢是無需提前共享密鑰;其缺點在於計算效率低,只能加密篇幅較短的內容。常見的演算法有RSA、SM2、ElGamal和橢圓曲線系列演算法等。 對稱加密演算法,適用於大量數據的加解密過程;不能用於簽名場景:並且往往需要提前分發好密鑰。非對稱加密演算法一般適用於簽名場景或密鑰協商,但是不適於大量數據的加解密。
三、信息摘要和數字簽名
顧名思義,信息摘要是對信息內容進行Hash運算,獲取唯一的摘要值來替代原始完整的信息內容。信息摘要是Hash演算法最重要的一個用途。利用Hash函數的抗碰撞性特點,信息摘要可以解決內容未被篡改過的問題。
數字簽名與在紙質合同上簽名確認合同內容和證明身份類似,數字簽名基於非對稱加密,既可以用於證明某數字內容的完整性,同時又可以確認來源(或不可抵賴)。
我們對數字簽名有兩個特性要求,使其與我們對手寫簽名的預期一致。第一,只有你自己可以製作本人的簽名,但是任何看到它的人都可以驗證其有效性;第二,我們希望簽名只與某一特定文件有關,而不支持其他文件。這些都可以通過我們上面的非對稱加密演算法來實現數字簽名。
在實踐中,我們一般都是對信息的哈希值進行簽名,而不是對信息本身進行簽名,這是由非對稱加密演算法的效率所決定的。相對應於區塊鏈中,則是對哈希指針進行簽名,如果用這種方式,前面的是整個結構,而非僅僅哈希指針本身。
四 、零知識證明(Zero Knowledge proof)
零知識證明是指證明者在不向驗證者提供任何額外信息的前提下,使驗證者相信某個論斷是正確的。
零知識證明一般滿足三個條件:
1、 完整性(Complteness):真實的證明可以讓驗證者成功驗證;
2、 可靠性(Soundness):虛假的證明無法讓驗證者通過驗證;
3、 零知識(Zero-Knowledge):如果得到證明,無法從證明過程中獲知證明信息之外的任何信息。
五、量子密碼學(Quantum cryptography)
隨著量子計算和量子通信的研究受到越來越多的關注,未來量子密碼學將對密碼學信息安全產生巨大沖擊。
量子計算的核心原理就是利用量子比特可以同時處於多個相干疊加態,理論上可以通過少量量子比特來表達大量信息,同時進行處理,大大提高計算速度。
這樣的話,目前的大量加密演算法,從理論上來說都是不可靠的,是可被破解的,那麼使得加密演算法不得不升級換代,否則就會被量子計算所攻破。
眾所周知,量子計算現在還僅停留在理論階段,距離大規模商用還有較遠的距離。不過新一代的加密演算法,都要考慮到這種情況存在的可能性。
I. 360發現區塊鏈史詩級漏洞是什麼情況
近日,360公司Vulcan(伏爾甘)團隊發現了區塊鏈平台EOS的一系列高危安全漏洞。經驗證,其中部分漏洞可以在EOS節點上遠程執行任意代碼,即可以通過遠程攻擊,直接控制和接管EOS上運行的所有節點。
5月29日凌晨,360第一時間將該類漏洞上報EOS官方,並協助其修復安全隱患。EOS網路負責人表示,在修復這些問題之前,不會將EOS網路正式上線。
EOS超級節點攻擊:虛擬貨幣交易完全受控
在攻擊中,攻擊者會構造並發布包含惡意代碼的智能合約,EOS超級節點將會執行這個惡意合約,並觸發其中的安全漏洞。攻擊者再利用超級節點將惡意合約打包進新的區塊,進而導致網路中所有全節點(備選超級節點、交易所充值提現節點、數字貨幣錢包伺服器節點等)被遠程式控制制。
由於已經完全控制了節點的系統,攻擊者可以「為所欲為」,如竊取EOS超級節點的密鑰,控制EOS網路的虛擬貨幣交易;獲取EOS網路參與節點系統中的其他金融和隱私數據,例如交易所中的數字貨幣、保存在錢包中的用戶密鑰、關鍵的用戶資料和隱私數據等等。
更有甚者,攻擊者可以將EOS網路中的節點變為僵屍網路中的一員,發動網路攻擊或變成免費「礦工」,挖取其他數字貨幣。
來源:科技訊
J. 區塊鏈錢包安全嗎
可以說非常的不安全,區塊鏈錢包相關的技術在國內已經失去了原本的技術意味。現在已經淪為圈錢的一種手段。所以對於這個方面的話,一定要非常的警惕,反正我個人來說不相信。