温特大会2024Banner


安全性

块链和分布式分类器安全

块链安全

布赖恩·斯克里伯
银河游戏登录杰出技术员和安全隐私技术VP

2019年1月10日

银河游戏登录实战证据揭示出一种恶意信念,即块链分布分类技术(DLTs)固有安全性,因为它们使用密码法、hashing算法和公/私键盘-简言之,即相信这些系统的数据极不可能曝光评估需求后决定使用块式解法安全从头开始考虑

银河游戏登录过去几年来,CableLabs研发组织安全技术分支一直在跟踪链式攻击和折中从这项工作中确定了若干危险分组银河游戏登录下表旨在帮助使用这些技术的企业项目架构、设计与实施努力

智能合同注入

Smart Contract引擎翻译程序设计语言(有时新手语言)并解析引擎需要做决策相关数据风险值指智能契约内出现可执行代码以图篡改契约语言或数据实施者需要考虑净化智能合同输入物,正确解析和错误处理

重放攻击

事务处理验证中不仅存在威胁,节点行为、认证和保密消息安全中也存在威胁添加nce检查前期事务至关重要

历史修正攻击

依赖容错共识模型的块链做得很好,当下块有许多节点处理、竞技协作时。节点数下降或循环行为可预测时,在创建新分支时历史修正攻击中可利用缓冲有效删除先前接受的交易设计者应考虑如何最优保证最小支持和结点多样性

永久性中毒

因块链永久性 和叉成本, 有可能破坏链 甚至连称非法内容画管理者和执法者之情

机密信息泄漏

永久性增加数据排出链外的风险即使是加密数据也有可能在未来威胁算法或粗力攻击设计者需要确保他们理解数据存储方式、保护方式、拥有者以及如何与化名用户重连

参与者认证失效

交易创建者加密签名吗签名经协议验证事务接收确认会话管理吗?架构师需要在验证和认证参与者时考虑私有密钥拥有证明

节点播音

节点是创建并商定链中下一新块的实体节点应像任何其他用户或系统一样认证,认证必须验证,禁止多票设计者不寻找投票异常

节点误差

错误节点、故意规避容错机制或trojan节点(公共链节点遵循标准协议但非标准实现)有问题交易传播不守规是另一个问题-节点不快速传递到其他节点,节点一贯地与其它节点对立或验证在小面积内一致此外,架构师需要考虑链式操作发生什么,当链式操作、节点或节点子被拒绝服务攻击时。

不可信任节点

密码差参赛者意图,节点发生和链上发生必须一致架构师应执行设计,使节点无法修改事务(签名和散列验证),跳过事务(不可抵赖)或添加新事务(源码验证)。

一般安全危险

危险归入这个元类普通安全关切,对块链/DLT域有具体影响架构师、设计师和执行者都需注意这些做法并努力确保完全解决:

  • 未经证明加密:寻找密码套房、hash算法、键长度、lictical曲线使用中的最佳做法和验证密码等
  • 非扩展密码:链基算法方面失密后链能轻易迁移到另一套房/套件/键对吗?节点运算符间是否有机制进程快速协议部署
  • 安全误配置:银河游戏登录了解所有代码库使用情况,随时了解Docker等部署技术的最新安全信息,并确保测试系统缺省不为生产系统提供询问是否有任何已知漏洞的组件,判断开口或文件系统权限是否有风险,并理解私钥保护机制
  • 日志提醒不足:万一出问题, 是否有充分方法捕捉所发生行为(投票、智能契约、认证、授权)项目管理者必须确保代码中添加警告,部署时添加正确接收者,并持续监控和更新程序实施
  • 弱边界防线:开发团队需要了解并加固防御系统,以免客户代码或节点软件、智能合同引擎、移动应用程序、网络应用、链式查看器或行政工具出现可用漏洞

列表中显然不包含所有必须在块链或DLT应用中审查的内容,但目标是提供几个关键区以关注并提供深入深入了解,深入了解自身应用中何为意义块链帮助消除生态系统信任漏洞,但安全是信任基础

未来想更多地了解块链分布分类账安全吗?点播博客


辅助到OurBlog

Baidu
map