2018年9月5日,由Odaily星球日报主办、36Kr集团战略协办的P.O.D大会在北京举行。在主题为“安全计算的未来”圆桌论坛上,WXY创始人于迪作为主持人,和特邀嘉宾ARPA联合发起人章磊、Points创始人张佳辰、Taxa创始人TFGuo、TRIASCTO魏明、Netta和FractalNets联合创始人杨子江共同探讨区块链安全的若干问题。
核心问题:区块链安全问题都分为哪些?原本用互联网中心化手段解决的安全问题,未来有可能用区块链解决,两者是否会有一些矛盾?彼此之间会如何存续和合作?整个区块链体系有很多安全解决方案,它们彼此之间该如何协调?如何统一?主要观点:安全计算问题涉及各方各面,主要包括区块链软件自身的安全、存储的安全、数据交易的隐私安全等。在实现上则有多种,包括用芯片以及可信环境来构造的软硬件架构,也有纯软件协议。相比之下,芯片保护更安全,软件方案则更直观透明,较易增信。区块链安全比传统的安全更加高效和安全。区块链安全的效率能让损耗从过去10的5-6次方这样,到现在只需要10这样一个计算量,实现的效果是一样的。更安全是因为它里面有很多钱;而且是去中心化的系统,不像传统那种钱丢了还能再找回来,这个丢了就是丢了,所以它的安全级别即使是最基本的要求也很高。区块链安全也沿袭了传统PC和移动的安全,最大的问题一般出在人以及运营上。我们不能寄希望于普通开发者有很高的安全知识,所以每个底层项目应该定制自己的安全协议。你一定要用最成熟的东西,这才是安全的。区块链所倡导的去中心化系统应该从哪里开始呢?我们应该去关注增量市场,以及现在中心化系统还没有形成垄断,非常需要去中心化补充的一些地方。————————————以下为论坛讨论整理,enjoy:区块链安全问题都分为哪些?主持人——于迪我先自我介绍一下,我是WXY集团的创始人于迪,WXY主要做区块链领域的品牌管理、投行、投资业务。今天我想问在座专家的第一个问题是,区块链领域安全问题频出,大家认为,这些安全问题都分为哪些?哪些是底层的?哪些是运营层面的?以及大家各自在解决什么问题?TRIASCTO——魏明大家好。TRIAS做的是基于TEE的公链,主打功能是防篡改、防数据泄露。一般政府和企业,可能会买像BAT还有安全公司的防篡改系统。这些系统必定会有帐号体系,也就是所谓的上帝,这也是客户想要的。但有个中心化的管理员就意味着很容易被篡改。所以我们先做了防篡改系统。第二个是数据泄露。一开始我们没想要做这个,因为它并不像大家关心的像钱包那么直接。当时我们想的就是想拿防篡改系统去做数据存证和追溯。但当时我们接触的要做数据上云的几个大医院,面临一个问题,那就是大家都不想把自己珍贵的医疗数据跟别人分享,他们不信任任何一个公有云。哪怕中间有数据交换区的私有云,他们也不太认可。他很容易怀疑交换方到他那儿干了不该干的事,比如把他运营的私人信息偷偷发给别人去做分析。所以这块业务,我们做了一个相当于数据交换区的硬件,让整个环境有TEE这样的安全措施进行保护。另外,企业的终端也全部用了我们做的智能合约,这样就能保证他所有的程序执行透明,第三方也很难再在上面加脚本。Taxa创始人——TFGuoTaxa是一个Layer2的链下网络,使用的也是TEE技术。通过我们平台,去中心化应用将能在Layer2运行强隐私的智能合约。隐私领域的缺失在一定程度上限制了公有链的大规模应用,因此Taxa想在链下解决这个问题。Netta和FractalNets联合创始人西密歇根大学计算机教授——杨子江大家好。Netta用的这种机制和现在的区块链机制很不一样,比如我们现在做的高并发,速度在3000个节点下已达到10万TPS。能做到这一点是因为,我们做了数据流程而不是普通的数据和链,那么保证它的安全性就非常重要。对于安全性我们是这么理解的。首先区块链本身就是一个软件项目,那么它也有其他软件所面临的问题,比如bug很多。比尔盖茨曾经问过一个问题,他说你们认为人类有史以来所创造的最复杂的东西是什么?很多人说宇宙飞船,很多人说高铁、航空母舰,他说都不是,实际上是软件,软件是人造物中最复杂的东西,以至于没有人能够保证它的正确性。看看现在的工业软件,每天有7个错误,为什么不把这些错误剔除呢?因为它太复杂了。我们可以用各种各样的工具不断测试它,但这只能证明软件的错误性,不是它永远正确的保证。现在很流行形式化验证。但形式化验证就能保证程序的正确吗?你能从数学上证明程序的正确性吗?实际上这不可能,因为你不能用一个算法证明另外一个算法的正确性。这是所有软件面临的一个问题。那么区块链软件和其它软件的区别在什么地方?我认为是,因为它里面有很多的钱,所以绝大多数区块链项目都更加注重安全。我们要做更多的测试、验证,尽量减少它的错误。Points创始人——张佳辰大家好。Points想要实现的是个基于区块链的安全多方计算协议,这个协议支持什么应用场景呢?可能和许多更加从底层出发的项目不同,我们针对很具体的应用场景,比如第一个应用场景是个人信用的评分和评价。这个场景有几个和数据安全相关的问题,第一个是存储安全。Points想的是,通过加密和数据混淆的方法,可以让这个数据即使受到了攻击,也不会暴露原始数据。第二个是数据交换。要怎样可以让真实数据在各个孤岛之间流动起来呢?我们想的是,是不是能更多的从设备端本身收集更真实的原始数据,以及通过交叉验证核实数据的真实性。更大胆的想法是,怎样可以在不暴露原始数据的情况下,让几十个、几百个甚至上千个数据源进行综合性数据计算协作。譬如说计算一个人的个人信用分,会使用到包括教育、收入以及行为等等多元数据。那么要怎样能在不暴露原始数据的情况下实现数据共享使用?这就是Points想要解决的问题。现在我们已经接入了10亿多用户相关的ID验证数据,以及覆盖5亿用户的信用变量部分的数据,所以说是比较注重场景落地的一个项目。与许多用硬件架构,包括芯片以及可信环境来构造安全多方计算协议的项目比,我们使用的是纯软件算法。尽管硬件方案有很多优点,但是从增加信任的角度讲,软件的方案能方便地让一个普通程序员,或者普通用户观测具体是哪些代码在执行。如果在芯片层进行计算的话,那么对于普通的生态伙伴和用户来说,在理解上会稍微困难一些。所以我们选择用一种更加直观透明的方案。ARPA联合发起人——章磊大家好!我是OasisLabs的联合发起人章磊。OasisLabs也是做安全隐私计算的。之前一些嘉宾也介绍到了商业的数据交换的安全问题,如何让兼具高价值和高隐私性的数据进行交易流通。我们也用了MPC技术,刚才很多嘉宾提到很多点都非常棒,我想说明的是,我们的优势是什么呢?我们要做到的是任何函数,任何方程都能够在这个空间当中进行编译和计算。并且,计算结果是可以被验证的,这个验证从数学的角度出发,可以验证它用原始方程做了计算,诚实输出结果,也没有盗取用于计算的数据。这点在一个Blockchain的项目里面是非常重要的,因为任何人都可以加入你的计算网络去赚取计算费用,它有特别强的动机去你,所以怎么很方便的去证明你的确做了这件事情,是非常重要的。我们主要就是解决这样一个问题。区块链和互联网安全会如何存续和合作?主持人——于迪好,大家刚刚提到了各自解决的问题。这里我有一个问题,在古典互联网时代也存在数据和隐私的问题,那时是靠一些中心化的方式来解决。未来有可能用区块链这种去中心化的手段来实现,两者是否有一些矛盾?彼此之间该如何去延续、合作?我不知道各位是怎么看待这个问题,以及在大家各自的项目中是如何协调这样一些矛盾的?Taxa创始人——TFGuo我们从两部分来说,一般来说安全分为两个部分:保全价值的安全和创造价值的安全。我们之前说的智能合约安全属于保全价值的安全。大家都知道,安全是一个木桶原理,你整个系统的安全取决于它的最短板,这些板可能包括底层的密码学算法、整个公有链的架构、上层智能合约的应用,以及运营方面人的因素。当然了,区块链安全也沿袭了传统PC和移动安全,最大的安全一般出在人以及运营的安全。这部分智能合约的安全,要比传统应用的安全更加安全,因为它离钱实在太近了,而且它是去中心化的系统,不像传统那种钱丢了还能找回来,这个丢了就是丢了。在这个领域,确实我们是有更高的要求。这个是保全价值的部分。然后再说创造价值,传统安全是个性能指标,区块链则多了一个功能指标,也就是说原来不能做的事,现在可以做了。尽管现在的智能合约只能处理一些公开透明的数据,但经过研究,我们能够让一些数据在隐私状态下放进智能合约里,这势必带来更多的应用场景,这个是属于区块链中创造价值的部分。而Taxa主要瞄准的就是后者,我们能让智能合约执行一些保证隐私的业务逻辑。Points创始人——张佳辰刚才主持人问我们说,怎么看区块链和中心化系统巨头之间的关系。这个让我想到了另外一个问题,是这样的,先说结论,我觉得选择的切入点特别重要,不是所有切入点是一样的。我们可以从哪里得到启发呢?大家都知道中国电商的发展速度,包括它取代线下渠道的速度和程度,是世界上其他国家都没有见到过的。这是为什么呢?当然有很多是中国电商企业的聪明才智。另外也是因为中国的传统线下零售非常薄弱的,这一点在风投、互联网企业大批涌入线下,投资新零售可以看出。它们的零售坪效有很多问题,因此中国线下零售从来也没有出现过像好市多那样的巨头。所以,今天我们来看区块链所倡导的去中心化系统应该从哪里开始呢?我们应该去关注那些增量的市场,以及现在中心化系统还没有形成垄断,非常需要去中心化系统补充的这样一些地方。我们做了Points,很多人问我说,你做这个项目,你不觉得蚂蚁金服、芝麻信用分已经很好了吗?但是很多人不知道的是,即使到今天中国银行征信也只覆盖了3.8亿人,而中国有14亿人,蚂蚁金服也仅仅覆盖4亿用户,中国的征信用户只覆盖5亿人,这当中还有非常多的残缺。这对于像我们的股东中诚征信这样的企业来说,也非常想看到一个去中心化的系统,对它进行补充和完善。医药研究也是一个我非常看好的SMPC的方向,因为中国的CRO在之前也非常不完善,现在在进行大量重建。在这样一些蓝海的地方,我相信会更易让初创企业和那些已经拥有数据的机构协作起来,重新创造一个平台。ARPA联合发起人——章磊MPC这个技术本来由少数几个教授在开发,现在变成了一个上百人全球协同发展。它的效率是让损耗从过去10的5-6次方这样,现在你只需要10这样一个计算量就可以达到同样的效果。所以说它是既安全又高效的。这些研究MPC的学者都集中在欧洲、比利时、以色列等地。包括两个泰斗大师,他们的PHD都在我们社区里面给我们做密码学的贡献,所以我们会走的更加底层一点,去修改密码学的协议,提升底层的效率,让它变得更加实用和商用。这个趋势越来越明显,在今年全美最大的密码学会议上,我们看到一半的议题都是关于这个方向的,所以我们很快就能看到,这个方向技术的落地,以及它和区块链非常自然的结合发展。区块链安全解决方案之间该如何协调?主持人——于迪下一个问题,在区块链领域里面有个常用的比喻,就是如果把每一个公链当做一个国家来看的话,在这个公链上就会有很多城市,我在上面再加一个比喻,就是安全应该是这个国家的国防部队。那么各国国防部队怎么去解决安全问题,更重要的是这条公链自有的安全平台、系统,还是说众多的国家去建立一个集合的多国部队、联合部队,共同解决区块链安全问题?因为在整个区块链体系中会有越来越多的安全解决方案,它们彼此之间该去如何协调?如何统一?TRIASCTO——魏明我说说我的想法,至少我现在看到的所有公链项目,包括我们自己做的,我觉得还不能成其为国防军在给自己搞安全,这是实情。从现在实际链的运行情况看,如果你想靠一个组织把这件事情担起来的话,我觉得还是比较难的。做安全一家很难,我建议联合起来做,分工合作。Taxa创始人——TFGuo我给大家举一个例子,OpenSSL(开放式安全套接层协议)是互联网安全的基石,已经跨越了很多平台,无论是操作系统还是硬件,这种安全底层已经有了一个成熟的统一标准。我们不能寄希望于普通开发者有很高的安全知识,所以项目更多的,是要自己定制一些有关安全的底层协议,你一定要用最成熟的东西,这才是安全的。与其自己写,不如去用一些经过实战检验的。我觉得从安全角度,最底层的安全一定要有统一的标准。Netta和FractalNets联合创始人——杨子江对这个问题,你可能推论出大家建一个联合部队就好,用一个通用的工具解决所有问题,这恰恰是不对的,每一个公链都应该有自己的解决方案。这有两个原因:你要不停的发现里面的错误,这就意味着你要有大量的计算,大量的代价放在里面,这就是为什么测试在软件里占了50%的成本。测试是非常重要的一个过程,针对于每个特定项目,你要根据项目特点来设计你的测试,挖掘里面的漏洞,才是最有用的。换言之,你不能够用一个通用的工具,去做所有的测试。当然它里面的技术可能是通用的。每个项目对安全性的要求是不一样的。比如一个软件用在自动驾驶里面,自动驾驶软件的错误是会致命的;但如果你用一个微软的操作系统,它出错了,你把机器重启一下就可以了。所以每个软件对安全的要求是不一样,在这之上,你付出的代价也不一样。对于自动驾驶来说,安全问题是要不惜代价解决的。Points创始人——张佳辰安全也可以从横向和纵深两个维度来看。举一个现实世界中的例子,每个国家都会有自己的军队,他们有不同的分层,包括片警、武警、国防军;上升到联合国则可能有安理会、维和部队等,在不同的层面解决不同的问题。同时,在相似的层面当中,安全保障这件事本身是要有专人承担的,因此我们对自己的目标是,对通用的问题给出可配置的方案。ARPA联合发起人——章磊我觉得大家需要分清两点,安全包括了网络安全、数据安全以及隐私安全,所以我们说安全的时候要知道,我们指的是哪些。回到主持人的话题,我们OasisLabs是做安全隐私计算的一个底层协议,它能用在任何一个Blockchain上,让它从0到1具备隐私计算能力,那么对于需要这种功能的人来说,他就多了一个选择。举个实际例子,之前我们没有办法把我们个人隐私数据放到网上交易,我们也没有办法把现实当中的个人数据和一个虚拟的Blockchain锚定,因为这太不安全了。但有了隐私计算这个问题就能得到解决。
日本乐天钱包将于下周恢复XRP保证金交易:金色财经报道,日本电子商务门户网站运营的乐天钱包将从9月8日起恢复XRP保证金交易。因为它可以确保流动性,并且可以向客户提供稳定的价格。乐天于去年春天首次开始提供保证金交易服务,提供的加密货币包括比特币、以太币和莱特币以及XRP。以保证金交易资产时,退出流动性和价格稳定性是需要考虑的重要方面。波动的价格走势以及低流动性可能会给押注资产的人带来巨大损失。(ambcrypto)[2021/9/2 22:55:21]
动态 | 乐天、LINE在中国获虚拟银行牌照:中国向三家公司颁发了首个虚拟银行牌照,其中包括日本电子商务巨头乐天(Rakuten)的子公司和该国通讯巨头LINE Group。 据路透社周二报道,这些牌照已经授予了LINE Financial、乐天国际商业银行(Rakuten International Commercial Bank)和Next商业银行,后者由电信运营商Chunghwa telecom领导。报道称,“金融监督管理委员会”(Financial Supervisory Commission)是牌照发放方,目前不打算发放更多虚拟银行牌照。 管理咨询公司麦肯锡(McKinsey)最近估计,如果低成本的数字银行能够迅速扩张,并从现有银行手中夺取“相当大”的市场份额,亚洲银行的股本回报率(RoE)将从去年的10.1%降至2023年的6.4%。(The Block)[2019/7/30]
动态 | 日本交易所乐天钱包与CipherTrace达成合作,以提高合规性:据Finance Magnates消息,日本持牌加密货币交易所乐天钱包与区块链安全和分析公司CipherTrace达成合作,CipherTrace为其提供了一套区块链取证工具和服务以支持分析加密货币交易流,从而增强AML(反)流程并提高合规性。[2019/5/29]
声音 | Ledger Vault全球负责人:Facebook等大型组织涉足加密货币领域需要安全存储解决方案:据Livebitcoinnews报道,针对对Facebook涉足加密货币领域,Ledger Vault全球负责人Demetrious Skalkotos认为,加密货币是基于所有用户的安全理念,这是Facebook不具备的东西。他表示,随着大型组织不断进入这个领域,关注安全性非常重要。大型数字资产基金的安全存储非常复杂,像Facebook这样的老牌公司需要安全的存储解决方案。[2019/5/5]
安全专家认为数字货币将作为主流资产存在:绝大多数网络安全专业人士认为,数字货币将成为金融领域的永久性固定资产,甚至可以作为法定货币的既定替代品。这是根据调查网络恶意软件保护提供商Lastline在200多名随机选择的参加2018年旧金山RSA会议的IT安全专业人员中进行的。受访者中有84%的人认为数字货币将一直存在,成为传统货币(45.2%)或周边产品(38.9%)的主流替代品。约14.5%的人表示他们愿意以数字货币的方式获得他们的工资,而不是用法定货币。[2018/5/25]
标签:INTLAVETEL区块链Saint TokenLAVE币intelligencefogcomputerchain区块链技术通俗讲解
在大数据时代,数据孤岛、数据泄露等问题仍然存在;目前而言,数据量、处理效率和数据安全形成了“数据协作不可能三角”.
本文来自TEEX投稿,Odaily星球日报授权转载。L1TF漏洞是Intel平台近日爆出的严重安全漏洞,该漏洞影响极大、涉及范围广、利用难度低,尤其是对IntelSGX安全扩展带来了冲击,使许多.
日本电子商务巨头乐天最近宣布通过收购当地比特币交易所进入加密货币行业。据了解,乐天已经和东京交易所Everybody’sBitcoin签订了100%股权转让协议,转让将于10月1日完成.
这两天国内利空消息一个接一个,但币价倒没受影响,不降反升。昨日晚,金色财经网、币世界等多个区块链媒体公众号被封,内容被屏蔽,账号被停用.
编者按:本文来自区间集,作者:坎村,星球日报经授权转载。让物理资产上链一直是人们理想中区块链应用方向,最近业内有人就进行这方面的尝试.
编者按:本文来自哈希派,作者:哈希派,星球日报经授权转发。自从BCH上线以来,比特大陆就被冠上了操纵市场,垄断、矿霸等名号,但随着这一市场的逐步下滑,却很少有人关注,其实BCH已经成为了一块烫手.