PKI是电子邮件、消息应用、网站等各种通讯应用中常见的公钥加密技术。但是由于大多数PKI的实现以来集中式的可信第三方认证机构(CA)来发放、激活和存储用户证书,黑客可攻击PKI假冒用户身份或破解加密信息。例如WhatsApp较近爆出的秘钥再协商机制的漏洞,可以被黑客用来发送假秘钥并实施中间人攻击。而在区块链上发布秘钥则可以杜绝虚假秘钥的传播,同时应用也可以鉴别通讯对方的真实身份。
CertCoin是目前首个基于区块链技术的PKI实现,该项目来自MIT,去除了中心化的认证中心,取而代之以区块链作为于域名和公钥的分布式账本。
另外一家技术研究公司Pomcor较近则发布了另外一种区块链PKI实现路径:保留认证中心,用区块链存储已经发放和激活的证书的hash值。这种方法使得用户可以通过去中心化和透明的来源鉴别证书的真实有效性,同时还能通过在本地基于区块链拷贝进行秘钥和签名的认证来提升网络访问性能。
还有一个值得关注的基于分布式账本的身份保护技术项目是IOTA,该项目利用Tangle(一种轻量级可扩展的无区块的分布式账本)来作为数以百万计的物联网设备互动和彼此点对点认证的后台骨干,无需依赖第三方认证中心。
IOTA联合创始人David认为:通过将与个人身份匹配的hash表与区块链分布式账本关联,人们将能重新构建一个全新的身份管理系统,在这个系统上没有人能够伪造你的身份。
二、数据完整性保护
我们用私钥签署文件的目的是接受者或者用户可以核实数据的源头,然后人们花大力气来证明这些秘钥没有被篡改,但是由于私钥的保密属性这一点实现起来非常困难。而使用区块链技术取代文档的数字签名则可以用透明度取代隐秘,向大量区块链节点分发证据使数据篡改变而不被发现几乎不太可能。这就好比,你如何证明马刺队是2014年的NBA总冠军?事实上你无需证明,因为这已经变成了人所共知的常识,对于区块链分布式账本上的数据而言也是如此。
数据安全创业公司GuardTime开发了一个基于区块链技术的无秘钥签名架构(KSI),目的是取代基于秘钥的数据认证技术。KSI在区块链上存储原始数据和文件的哈希表,通过运行哈希算法来验证其他拷贝,并将结果与区块链上存储的数据进行对比。任何对数据的篡改都会被迅速发现,因为原始哈希表存储在数以百万计的节点上。
据GuardTime首席技术官Matthew Johnson介绍,KSI为信息的出处和完整性提供了数学上的可靠性,美国国防部DARPA高级研究计划局正在考虑使用KSI来保护敏感的军事数据。
在医疗领域,区块链技术公司Gen使用区块链技术来保障医疗记录的数据透明度、变更升级以及细粒度的可访问性。对于处理大量敏感数据,同时频繁遭受严重黑客攻击的医疗机构来说,这非常有用。Gem工程副总裁Siva Kannan表示:医疗机构奇偶股的运营数据、病人健康数据以及临床试验数据都是医疗行业的黑客攻击目标,区块链技术在验证跨机构分享的病人数据的完整性,生成无可更改的医疗流程治理数据审计记录,以及维护临床试验采集数据的完整性方面都非常有用。
三、保护关键基础设施
2016年几次创纪录的DDoS攻击(DDoS进入TB时代)告诉我们,DDoS依然是黑客低成本搞垮大型目标的较唾手可得的武器,而DNS服务是黑客进行大规模破坏的首要目标,但区块链技术有望从根本上解决DNS这个互联网的“阿喀琉斯之踵”。
区块链的分布式存储技术会让黑客的攻击失去焦点,Nebulis正在开发的一个项目验证这种分布式DNS系统。Nebulis使用以太坊区块链和星际互联文件系统(IPFS,HTTP的分布式替代品)来注册和解析域名。Nebulis创始人Philip Saunders指出:当前DNS较大的弱点是缓存,缓存使得DDoS攻击成为可能,而且也是集权政府审查社交网络,操纵DNS注册的祸根。一个高度透明的、分布式的DNS系统可以有效杜绝任何实体,包括政府恣意操纵记录。
