8月31日,2017首届粤港澳大湾区区块链峰会于深圳麒麟山庄隆重举行。
本次峰会由深圳市人民政府指导;由深圳市科技创业促进会、深圳市招股科技有限公司、松禾创新基金、深圳市前海汇潮投资有限公司主办;金色财经作为联合主办单位,将对峰会进行全程报道。
峰会以“粤港澳区域联动 区块链服务未来”为活动主题。粤港澳湾区政府相关职能部门领导、全球优秀区块链企业家、全球各区域区块链联盟、著名专家学者、知名创投机构等亲临现场,以独到视角探讨如何推进区块链+应用落地以及构建行业规范这一核心议题。
华为首席区块链专家黄连金以《区块链项目的安全落地》为题进行演讲。
(华为首席区块链专家黄连金)
以下是演讲实录。
大家下午好。
来开会的大家都知道区块链,程超总也讲了,早上业介绍了,我就不介绍区块链是什么了。
区块链真正要落地,有三个难题,这三个难题大家可能也知道,较早是一个企业或个人想自己搞区块链,具体是不是一定要搞区块链,95%的应用不需要区块链,是现成的,还有95%的应用现在不存在,就需要大家打开脑洞开发。区块链的基本思想就是基于信任的机器,通过机器代替人,因为人与人之间的信任光靠人可能不行。美国2008年次贷危机,因为机构作假,标普就把一些资产标识为很好的资产,我基于中心化的机构,对它的信任是不够的。真正区块链能够用到的是什么?就是一个去中心化或者多中心化的,而且是多方参与的,他们的信任程度不是很高,利益也不是很一致,这种情况之下,人与人之间的关系、人与组织之间的关系、组织与组织之间的关系、组织与政府之间的关系重新建立,现在的一些技术还不够完善,但是正在完善过程之中。比如说多链系统,光比特币一条链太慢了,以太坊也太慢了,我可以是多链的。有人想在以太坊上面开发一个Plazama(音),用以太坊、用多链多层的。很多人看不懂什么是可以落地的,还有的是即使知道落地也没有团队,因为真正懂区块链的全世界的人不是很多,所以一个企业要去落地确实有一定困难。还有一个困难,即使落地了,安全问题怎么保证?人家都是区块链是安全的,不一定,今天听我讲了以后,你对区块链的安全性逐渐会有改变。我今天就讲第三个问题,怎么把区块链落地是安全的。
现在区块链对我们的数据、对我们在区块链上面的交易确实有积极的影响,举个例子,比特币从地址返回到他的私钥目前比较有困难,除非量子计算机出现,因为公钥的地址是通过椭圆曲线算法算出来的,以后再通过两次哈希,地址返回去比较难。这个地址是公开的,等一会儿我讲交易当中把地址保密了,可以达到隐私,包括交易的内容都可以加密。现在比特币总的来说是半命名性或者伪命名性,不是完全的。
每次我要在链上面发一个交易或者放一些数据上去,就要签名,大家学过密码就知道有一个加密学,用私钥签名,可以用公钥来验证我的签名,别人的签名没有用,我用你的公钥签名去验证也不是你的。你的私钥如果丢了就麻烦了,人家可以用你的签名,把你的币就转走了,所以私钥的保护很重要,就像程总讲的冷钱包,用冷钱包或者多签名的方法。较近出了一个大签名的安全事件,就是以太坊的Pality(音)出了问题,都说是多签名的,其实不是,里面的程序代码出了问题,跟多签名没有关系,大家可以仔细去看。
大家一定要共识,共识就是大家要同意,在比特币里面就证明这个厂家真的有这个币,而且是你签名的,我要去验证,通过共识就可以了。
所谓的区块链是“链”,都是链起来的,链越长越安全。每个厂家的链要改就全都改,所以超过51%的算链才有可能把那个改了,那个可能性比较大。大家知道没有人会这么做,把它改了以后你自己的钱也没有了,人家不会拿已经攻破的链去买币了。而且每一个节点有副本,你改了两三个没有用,主链都是有正确的账本的。所以,从安全来说,会有这些影响。
我们讲安全,在传统上讲安全就是讲CIA,不是美国的那个CIA,“C”就是保密性,“I”是完整性,“A”是可用性,这是讲安全的。现在有物联网了,我们又加一个“S”,也就是物理的安全性。我们打算和机械出版社联合写一本书《区块链的安全》,把IOT的安全也考虑进去。今天因为时间问题就不详细讲了。
我们先看一看保密性,刚才讲了从公钥很难推出私钥,从私钥也很难推出公钥,双重保护。光这个还不够,有同样的地址,人家可以通过大数据的分析方法知道。较近门头沟事件大家知道,几年以前倒闭了,比特币被偷走了,现在这个人被找到了,就是通过大数据找到的,而且在比利时被抓到的,是一个俄国人,抓的时候还是去美国国际性的活动。比特币在中国禁止了,在其他国家还可以,所以是国际性的。当然我们不能加ICO,如果在中国禁止了,在其他国家还是可以继续,不能一刀切,如果一刀切就是懒政。1852年英国的红旗法案,我们做的相当于红旗法案一样,因为不安全。红旗法案是说这个车子不安全,马车夫说这个不安全,所以必须有3个人开车,其中一个人在前面举着红旗,不能超过50步之内,否则就要停下来。因为这个红旗法案,英国的汽车业没有发展,美国也在讨论汽车怎么安全,较后没有立法,美国就发达了,就是通过这个。我们ICO其实是同样的,我一定要重复讲这句,如果因为ICO有问题就关了,不管什么问题都一刀切,ICO是金融创新的,也是区块链本身带来的技术,这个趋势是非常敏感的问题。应该不会一刀切,这是我自己的感觉,这就是懒惰政策,这是我们克强总理非常反对的。
在安全上面,从企业角度来重视了,因为里面有一个概念,交易的证书,跟一般平时的证书不一样。真正的交易给你产生一个动态的,跟你这个没有关联了,从监管层还可以查到你,但是从交易层没有人能够查到这个是这个数据发出来的,所以有一定的保密性。从保密性来说,它比比特币是好的,也因为它是联盟链的关系。
我刚才讲了零知识,零知识是比较广泛的范围,零知识证明很多做的很难,但是专门有一个技术叫zk-SNARK,就是简单的非交互式的证明,已经被用了,但是它速度还是很慢,证明一个transaction要一分钟。区块链有两条重要的路,一条是扩容,把速度提高、把容量增加,以太坊、比特币都可以讨论,很多东西都是为了扩容,安全很重要,很多项目安全没有搞好,投到币了但是较后失败了。像有的智能合约没有写好,较后币被偷走了,偷走以后就倒闭了。像刚才的多签名钱包,也有3000万被偷走。
讲一讲智能合约的安全。
智能合约本身可以存储几千万甚至几亿美金的资产,这是有共识的,一旦成功就不能修改。又回到多签名的智能合约,幸亏有7000万钱被转走是好的,否则钱就被锁定在那里,完全被黑客全部收走了。公有链上的智能合约都是公开的,所以黑客有目标了,以前搞安全的就像相当于有一个蜜陶罐,专门放在那里引黑客来攻击。没有一个好的智能合约团队,对安全不重视的话会出问题,现在还是初步阶段。
传统的身份管理系统也不行,我们需要有一种先行的身份管理系统,这也是区块链给我们带来的。现在的身份管理系统都是碎片化的,我的身份是在阿里、微信、京东,他们拿来变现,他们是作为黑客的攻击目标,如果攻击了,我的也没有了。区块链带来一个理念,我的身份对本人来说是中心化的,对黑客来说是去中心化的,我的身份由我来管,在我的钱包通过很好的冷钱包或者其他的管理机制,通过比较好的hsm管理起来,黑客要攻就没有一个中央机构去攻击了,所以问题就比较少了。
我就讲这么多。 
