引言

區(qū)塊鏈這個(gè)詞仿佛一夜之間就出現(xiàn)在各大媒體雜志和講座論壇中，稱之為家喻戶曉可能有些過，但是輻射面之廣可見一斑，不信某人朋友圈有圖為證↓：

雖為調(diào)侃，但也充分說明了區(qū)塊鏈對(duì)當(dāng)下生產(chǎn)甚至生活中的影響作用。

大多人對(duì)區(qū)塊鏈的認(rèn)識(shí)可能在比特幣或者有限的支付行業(yè)，其實(shí)這些僅僅是基于區(qū)塊鏈技術(shù)和架構(gòu)的場(chǎng)景應(yīng)用的冰山一角，目前區(qū)塊鏈在我國所應(yīng)用的領(lǐng)域與國際并無差別。剛結(jié)束的兩會(huì)上相關(guān)政協(xié)委員談到：除了已有在供應(yīng)鏈金融、產(chǎn)品溯源、數(shù)字票據(jù)、身份驗(yàn)證、慈善公益、數(shù)字版權(quán)、防偽存證、精準(zhǔn)扶貧和游戲等方面的應(yīng)用，支付、清結(jié)算、跨境貿(mào)易、保險(xiǎn)、醫(yī)療健康、交通運(yùn)輸、旅游、物聯(lián)網(wǎng)和智能制造等已逐步開始運(yùn)用。

不知道作為讀者的你們發(fā)現(xiàn)了什么共同點(diǎn)，作為我，發(fā)現(xiàn)以上這些領(lǐng)域中許多環(huán)節(jié)都涉及到“去偽存真”的工作，所以今天，我們不談“去中心”、”去信任“和“分布式賬本”，而僅僅在數(shù)字證書和取證保全兩方面做一些小小的探討。

PKI & 數(shù)字證書

其實(shí)大多數(shù)專家和互聯(lián)網(wǎng)大咖對(duì)于區(qū)塊鏈?zhǔn)潜３种?jǐn)慎樂觀的。兩會(huì)上，證監(jiān)會(huì)信息中心主任談及區(qū)塊鏈時(shí)，指出絕對(duì)的去中心是不成立的，區(qū)塊鏈本身若是軟件就會(huì)有中心化，并且其保證信息安全的第一步便是身份的認(rèn)證，采用的 PKI 也完全是依賴中心化的技術(shù)架構(gòu)?？梢?，真正體現(xiàn)出區(qū)塊鏈幾大特征，完善PKI技術(shù)是研究區(qū)塊鏈的技術(shù)人員必須關(guān)注的。

因?yàn)楸救藦氖铝藘赡晟矸菡J(rèn)證的工作，所以免不了秀一下小能，講講PKI。

早期為了在互聯(lián)網(wǎng)時(shí)代實(shí)現(xiàn)保密性、完整性、身份認(rèn)證與授權(quán)、抗抵賴，采取了這個(gè)以非對(duì)稱加密算法為核心的 PKI (Public Key Infrastructure)技術(shù)。

比如，我的同事大星要寫一封電子郵件給我，如何利用 PKI 技術(shù)實(shí)現(xiàn)三個(gè)關(guān)鍵點(diǎn)：

• 信真是大星寫的嗎?
• 信不會(huì)被黑客看到?
• 等我看到信時(shí)內(nèi)容是否已被他人修改了呢?

先說加密：發(fā)信之前，我事前生成了一對(duì)密鑰：公鑰和私鑰(非對(duì)稱)。將公鑰發(fā)布在了一個(gè)公共的密鑰庫中，而私鑰則不對(duì)外公開，僅我本人持有。大星從公鑰庫中取出我的公鑰，對(duì)文件進(jìn)行加密，再發(fā)送給我。而我通過自己持有的私鑰，即可將文件解密看到這封信的全文。如圖：

問題來了，非對(duì)稱算法雖然實(shí)現(xiàn)了加密解密目的，但是由于其算法復(fù)雜，效率低下，一般不會(huì)單獨(dú)使用。而把非對(duì)稱算法用在確認(rèn)身份和防止篡改、抗抵賴上恰到好處，進(jìn)而派生出了著名的數(shù)字摘要和數(shù)字簽名技術(shù)。簡(jiǎn)單的理解：

經(jīng)過以上這一切后就只剩下證明這個(gè)公鑰的擁有者、合法性、適用期限問題了，這就靠數(shù)字證書來體現(xiàn)。它是一個(gè) PKCS10 數(shù)據(jù)包(包含主題、有效期)：

這些證書就是我們?cè)谄綍r(shí)日常生活、工作中非常容易見到的了。

那么，誰來替這個(gè)證書背書?證明其合法有效性?這就要依靠權(quán)威的第三方機(jī)構(gòu)了，這就是CA存在的原因。Certificate Authority 是數(shù)字證書認(rèn)證中心的簡(jiǎn)稱，是指發(fā)放、管理、廢除數(shù)字證書的機(jī)構(gòu)。CA的作用是檢查證書持有者身份的合法性，并簽發(fā)證書(在證書上簽字)，以防證書被偽造或篡改，以及對(duì)證書和密鑰進(jìn)行管理。

CA和區(qū)塊鏈

CA機(jī)構(gòu)是一種中心化的需要國家權(quán)威機(jī)構(gòu)授權(quán)的第三方機(jī)構(gòu)，在中國由工信部頒發(fā)電子認(rèn)證牌照才可以合法運(yùn)營(yíng)的。大家平時(shí)接觸的比較多的：CFCA、電信CA體系、上海CA、北京CA、天威誠信CA等等。這些機(jī)構(gòu)的機(jī)房是完全按照工信部的要求，達(dá)到7層防護(hù)體系建設(shè)，必須嚴(yán)格達(dá)到國家標(biāo)準(zhǔn)方可投產(chǎn)。

中心的密鑰對(duì)一般由硬件加密服務(wù)器在機(jī)器內(nèi)直接產(chǎn)生，并存儲(chǔ)于加密硬件內(nèi)，或以一定的加密形式存放于密鑰數(shù)據(jù)庫內(nèi)。加密備份于IC卡或其他存儲(chǔ)介質(zhì)中，并以高等級(jí)的物理安全措施保護(hù)起來。密鑰的銷毀要以安全的密鑰沖寫標(biāo)準(zhǔn)，徹底清除原有的密鑰痕跡。所以，對(duì)于攻擊者來說，唯一能做的是攻城拔寨(有點(diǎn)像好萊塢黑客大戲)，拿到CA機(jī)構(gòu)的簽發(fā)證書的密鑰，進(jìn)行證書的簽發(fā)。我今天還能回憶起在認(rèn)證中心工作的第一天就是去機(jī)房里親身體驗(yàn)了一次物理7層防護(hù)，深知了一點(diǎn)：信任體系的建立歸根結(jié)底還是依賴這最核心的保險(xiǎn)柜中的東西。

[[225184]]

區(qū)塊鏈的信任體系與 CA 則不同，因?yàn)槿ブ行幕托湃巫钚』睦砟?，首先他沒有任何物理防護(hù)的概念，它的信任基礎(chǔ)是數(shù)學(xué)而不是國家或者某種機(jī)構(gòu)，它將共識(shí)機(jī)制、密碼學(xué)、分布式結(jié)構(gòu)有機(jī)的結(jié)合在一起。所以，有部分研究人員認(rèn)為如果免掉CA(第三方權(quán)威)，延續(xù)PKI技術(shù)其實(shí)是可以曲線實(shí)現(xiàn)去中心化的目標(biāo)。

其次，法規(guī)和責(zé)任認(rèn)定方面的區(qū)別：當(dāng)時(shí)與 PKI/CA 如影相隨的是出臺(tái)便風(fēng)行一時(shí)的《電子簽名法》，法規(guī)明確指出，通過對(duì)數(shù)據(jù)的、文檔、視頻等網(wǎng)絡(luò)傳播的數(shù)據(jù)進(jìn)行電子簽名，形成簽名結(jié)果之后保存在第三方，當(dāng)發(fā)生糾紛時(shí)，聯(lián)合國家公信力機(jī)構(gòu)出示證據(jù)，可形成有效證據(jù)鏈。

而區(qū)塊鏈方面除了我個(gè)人還沒有接觸到配套的相關(guān)法規(guī)，全鏈的每一個(gè)節(jié)點(diǎn)都有記錄和驗(yàn)證，理論上一旦信息進(jìn)入?yún)^(qū)塊鏈就無法篡改，這一點(diǎn)使得區(qū)塊鏈有著“以理服人”的先天優(yōu)勢(shì)，當(dāng)發(fā)生爭(zhēng)議可以放心大膽地在區(qū)塊鏈進(jìn)行查詢、記錄?；旧鲜撬懔糁灰獩]有超過51%這個(gè)比例，數(shù)據(jù)都是被認(rèn)可的。但這次兩會(huì)上，周鴻祎作為政協(xié)委員也提出了質(zhì)疑，“比特幣雖有賬本不可篡改的特點(diǎn)，但也有遭受網(wǎng)絡(luò)攻擊的隱患。比如，當(dāng)有人掌握了51%的算力，或者未來量子計(jì)算破解了“挖礦”的哈希算法，對(duì)區(qū)塊鏈技術(shù)都是一個(gè)挑戰(zhàn)。如今出現(xiàn)了很多交易所、錢包，也發(fā)生過安全事件，丟失了虛擬資產(chǎn)，恰恰說明區(qū)塊鏈技術(shù)需要安全保護(hù)。”

可見360公司已充分準(zhǔn)備好了迎接區(qū)塊鏈的挑戰(zhàn)。

取證 / 保全

突然想到最近區(qū)塊鏈的一個(gè)段子：

段子內(nèi)容里面好像有去中心化、防篡改，好像還有時(shí)間戳、分布式賬本，區(qū)塊鏈真像段子里所描述如此接地氣嗎?

前文提到了PKI技術(shù)確實(shí)幫助我們實(shí)現(xiàn)了防篡改，抗抵賴的目的，因此我斗膽預(yù)測(cè)，在電子簽約、電子合同、取證、保全等領(lǐng)域，區(qū)塊鏈技術(shù)可以有很大的空間。

我曾經(jīng)從業(yè)的一家公司是做電子取證的，與之聯(lián)手的則是各個(gè)城市的大中小型公證處，為什么利用公證處采集呢?源于很早的一個(gè)通知：

除了著作權(quán)，其他民事、行政訴訟也有類似的規(guī)定，本來是找到了電子取證的途徑，但是公司很快就發(fā)現(xiàn)互聯(lián)網(wǎng)和傳統(tǒng)公證相結(jié)合有很多不足：

• 公證處也有周末和上下班，這些時(shí)間難取證;
• 時(shí)間戳是取證的關(guān)鍵，但是背后缺乏 PKI 支撐，僅僅是時(shí)間記錄還是缺乏說服力;
• 取證時(shí)需要清潔設(shè)備、清空 cookie 等各種操作，錯(cuò)過最佳時(shí)機(jī);
• 原則上取證過程公證人必須全程監(jiān)督方有效，也就是很可能因?yàn)楣C員上個(gè)廁所就把證據(jù)漏掉了;
• 先發(fā)生后取證是無效的，比如你收到了一封郵件或者自己將來電者的語音進(jìn)行記錄，是出不了了公證書的，更不要說還要證明來信的對(duì)方是對(duì)方，收信的你是你。
• 最重要，公證書出示的證據(jù)確實(shí)是被司法機(jī)構(gòu)承認(rèn)有效真實(shí)，但是，法庭采信不采信完全是另外一件事，準(zhǔn)確地說是“僅供參考”。

[[225185]]

所以很多時(shí)候電子公證書仍然抵不過傳統(tǒng)司法鑒定，很令人難堪。

區(qū)塊鏈的共識(shí)機(jī)制(共識(shí)算法)應(yīng)該來說是值得在以上領(lǐng)域嘗試的，某電子合約從起草到回執(zhí)，或者某原創(chuàng)作品從初稿到首發(fā)，這些數(shù)據(jù)的哈希摘要如果可以通過廣播形式傳播到(每一個(gè)區(qū)塊包裹前一區(qū)塊的哈希摘要形式傳遞)全鏈，即使篡改也無法影響整體鏈中的電子證據(jù)(除非周鴻祎所設(shè)想的量子計(jì)算攻破51%算力問題)，對(duì)于司法機(jī)關(guān)我想應(yīng)該是有極大說服力的。這才應(yīng)該是和傳統(tǒng)電子取證方式最大的區(qū)別了，理應(yīng)也應(yīng)該是目前司法機(jī)構(gòu)信息部門的一個(gè)研究方向。

結(jié)語

互聯(lián)網(wǎng)自誕生以來就不斷刷新著想象，改造著世界。對(duì)于區(qū)塊鏈出現(xiàn)，有人說開啟了一個(gè)真正信任的時(shí)代，有人說開啟了一個(gè)顛覆中心化的時(shí)代，甚至有人把區(qū)塊鏈之前的互聯(lián)網(wǎng)叫做古典互聯(lián)網(wǎng)。

3月26日新華社發(fā)文談到，業(yè)內(nèi)預(yù)測(cè)區(qū)塊鏈發(fā)展將可能分3個(gè)階段：1.0版針對(duì)比特幣代表的數(shù)字貨幣;2.0版是產(chǎn)業(yè)區(qū)塊鏈階段，與產(chǎn)業(yè)、商業(yè)、交易等結(jié)合;3.0版是與人工智能、物聯(lián)網(wǎng)等結(jié)合?；蛟S，與“古典行業(yè)”的結(jié)合，將會(huì)是區(qū)塊鏈未來可行的發(fā)展方向。

以上幾點(diǎn)僅僅是我的點(diǎn)滴假想，畢竟本人仍然是這個(gè)行業(yè)的門外漢。面臨嶄新時(shí)代，區(qū)塊鏈處處開花，在線上反欺詐、業(yè)務(wù)安全方面的場(chǎng)景應(yīng)用大家肯定也同樣充滿著期待，希望早日能看到新型的風(fēng)控產(chǎn)品或者數(shù)據(jù)服務(wù)脫穎而出為企業(yè)保駕護(hù)航，使之更進(jìn)一步。

【本文是51CTO專欄機(jī)構(gòu)“豈安科技”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過微信公眾號(hào)(bigsec)聯(lián)系原作者】

戳這里，看該作者更多好文