区块链技术将从三个方面改变信息安全行业

一方面人们担忧区块链技术应用面临的安全风险，另外一方面，区块链技术本身正在推动一场信息安全技术变革。

如今互联网金融行业普遍认为，区块链的技术风险是比特币和以太坊等区块链应用所面临的主要风险，例如blockchain.info爆出的随机数安全漏洞和以太坊的DAO合约漏洞，最严重的的事故受害者大概要算因黑客攻击倒逼的Mt.Gox，以及因多重签名缺陷损失12万个比特币(6800万美元)的Bitfinex。

虽然比特币的算力在目前的区块链应用中遥遥领先，但是正如火币网CTO程显峰所言：由于区块链大量应用了各种密码学技术，属于算法高度密集工程，出现错误也是在所难免。而且即便是理论上很完备的算法，也会有各种实现上的错误。

尽管包括比特币、以太坊等密码货币作为区块链技术的实现和应用面临诸多安全问题的困扰，但是区块链技术本身独特的信息存储和分享方式却有望为溃不成军的信息安全业界带来革命性的解决方案。例如纽约大学学生开发出基于区块链技术的电子投票方案，以及利用区块链技术构建高安全性web架构的Blockstack。

近日Tecktalk专栏作者Ben Dickson撰文指出，区块链技术在信息安全领域的应用可以有效防御中间人攻击(身份窃取)、数据篡改和DDoS三大安全威胁：

一、身份保护

PKI是电子邮件、消息应用、网站等各种通讯应用中常见的公钥加密技术。但是由于大多数PKI的实现以来集中式的可信第三方认证机构(CA)来发放、激活和存储用户证书，黑客可攻击PKI假冒用户身份或破解加密信息。例如WhatsApp最近爆出的秘钥再协商机制的漏洞，可以被黑客用来发送假秘钥并实施中间人攻击。而在区块链上发布秘钥则可以杜绝虚假秘钥的传播，同时应用也可以鉴别通讯对方的真实身份。

CertCoin是目前首个基于区块链技术的PKI实现，该项目来自MIT，去除了中心化的认证中心，取而代之以区块链作为于域名和公钥的分布式账本。

另外一家技术研究公司Pomcor最近则发布了另外一种区块链PKI实现路径：保留认证中心，用区块链存储已经发放和激活的证书的hash值。这种方法使得用户可以通过去中心化和透明的来源鉴别证书的真实有效性，同时还能通过在本地基于区块链拷贝进行秘钥和签名的认证来提升网络访问性能。

还有一个值得关注的基于分布式账本的身份保护技术项目是IOTA，该项目利用Tangle(一种轻量级可扩展的无区块的分布式账本)来作为数以百万计的物联网设备互动和彼此点对点认证的后台骨干，无需依赖第三方认证中心。

IOTA联合创始人David认为：通过将与个人身份匹配的hash表与区块链分布式账本关联，人们将能重新构建一个全新的身份管理系统，在这个系统上没有人能够伪造你的身份。

二、数据完整性保护

我们用私钥签署文件的目的是接受者或者用户可以核实数据的源头，然后人们花大力气来证明这些秘钥没有被篡改，但是由于私钥的保密属性这一点实现起来非常困难。而使用区块链技术取代文档的数字签名则可以用透明度取代隐秘，向大量区块链节点分发证据使数据篡改变而不被发现几乎不太可能。这就好比，你如何证明马刺队是2014年的NBA总冠军?事实上你无需证明，因为这已经变成了人所共知的常识，对于区块链分布式账本上的数据而言也是如此。

数据安全创业公司GuardTime开发了一个基于区块链技术的无秘钥签名架构(KSI)，目的是取代基于秘钥的数据认证技术。KSI在区块链上存储原始数据和文件的哈希表，通过运行哈希算法来验证其他拷贝，并将结果与区块链上存储的数据进行对比。任何对数据的篡改都会被迅速发现，因为原始哈希表存储在数以百万计的节点上。

据GuardTime首席技术官Matthew Johnson介绍，KSI为信息的出处和完整性提供了数学上的可靠性，美国国防部DARPA高级研究计划局正在考虑使用KSI来保护敏感的军事数据。

在医疗领域，区块链技术公司Gen使用区块链技术来保障医疗记录的数据透明度、变更升级以及细粒度的可访问性。对于处理大量敏感数据，同时频繁遭受严重黑客攻击的医疗机构来说，这非常有用。Gem工程副总裁Siva Kannan表示：医疗机构奇偶股的运营数据、病人健康数据以及临床试验数据都是医疗行业的黑客攻击目标，区块链技术在验证跨机构分享的病人数据的完整性，生成无可更改的医疗流程治理数据审计记录，以及维护临床试验采集数据的完整性方面都非常有用。

三、保护关键基础设施

2016年几次创纪录的DDoS攻击(DDoS进入TB时代)告诉我们，DDoS依然是黑客低成本搞垮大型目标的最唾手可得的武器，而DNS服务是黑客进行大规模破坏的首要目标，但区块链技术有望从根本上解决DNS这个互联网的“阿喀琉斯之踵”。

区块链的分布式存储技术会让黑客的攻击失去焦点，Nebulis正在开发的一个项目验证这种分布式DNS系统。Nebulis使用以太坊区块链和星际互联文件系统(IPFS，HTTP的分布式替代品)来注册和解析域名。Nebulis创始人Philip Saunders指出：当前DNS最大的弱点是缓存，缓存使得DDoS攻击成为可能，而且也是集权政府审查社交网络，操纵DNS注册的祸根。一个高度透明的、分布式的DNS系统可以有效杜绝任何实体，包括政府恣意操纵记录。

作者：张霖
来源：51CTO