引言

區(qū)塊鏈這個詞仿佛一夜之間就出現(xiàn)在各大媒體雜志和講座論壇中，稱之為家喻戶曉可能有些過，但是輻射面之廣可見一斑，不信某人朋友圈有圖為證↓：

雖為調(diào)侃，但也充分說明了區(qū)塊鏈對當下生產(chǎn)甚至生活中的影響作用。

大多人對區(qū)塊鏈的認識可能在比特幣或者有限的支付行業(yè)，其實這些僅僅是基于區(qū)塊鏈技術(shù)和架構(gòu)的場景應用的冰山一角，目前區(qū)塊鏈在我國所應用的領(lǐng)域與國際并無差別。剛結(jié)束的兩會上相關(guān)政協(xié)委員談到：除了已有在供應鏈金融、產(chǎn)品溯源、數(shù)字票據(jù)、身份驗證、慈善公益、數(shù)字版權(quán)、防偽存證、精準扶貧和游戲等方面的應用，支付、清結(jié)算、跨境貿(mào)易、保險、醫(yī)療健康、交通運輸、旅游、物聯(lián)網(wǎng)和智能制造等已逐步開始運用。

不知道作為讀者的你們發(fā)現(xiàn)了什么共同點，作為我，發(fā)現(xiàn)以上這些領(lǐng)域中許多環(huán)節(jié)都涉及到“去偽存真”的工作，所以今天，我們不談“去中心”、”去信任“和“分布式賬本”，而僅僅在數(shù)字證書和取證保全兩方面做一些小小的探討。

PKI & 數(shù)字證書

其實大多數(shù)專家和互聯(lián)網(wǎng)大咖對于區(qū)塊鏈是保持謹慎樂觀的。兩會上，證監(jiān)會信息中心主任談及區(qū)塊鏈時，指出絕對的去中心是不成立的，區(qū)塊鏈本身若是軟件就會有中心化，并且其保證信息安全的第一步便是身份的認證，采用的 PKI 也完全是依賴中心化的技術(shù)架構(gòu)。可見，真正體現(xiàn)出區(qū)塊鏈幾大特征，完善PKI技術(shù)是研究區(qū)塊鏈的技術(shù)人員必須關(guān)注的。

因為本人從事了兩年身份認證的工作，所以免不了秀一下小能，講講PKI。

早期為了在互聯(lián)網(wǎng)時代實現(xiàn)保密性、完整性、身份認證與授權(quán)、抗抵賴，采取了這個以非對稱加密算法為核心的 PKI (Public Key Infrastructure)技術(shù)。

比如，我的同事大星要寫一封電子郵件給我，如何利用 PKI 技術(shù)實現(xiàn)三個關(guān)鍵點：

• 信真是大星寫的嗎?
• 信不會被黑客看到?
• 等我看到信時內(nèi)容是否已被他人修改了呢?

先說加密：發(fā)信之前，我事前生成了一對密鑰：公鑰和私鑰(非對稱)。將公鑰發(fā)布在了一個公共的密鑰庫中，而私鑰則不對外公開，僅我本人持有。大星從公鑰庫中取出我的公鑰，對文件進行加密，再發(fā)送給我。而我通過自己持有的私鑰，即可將文件解密看到這封信的全文。如圖：

問題來了，非對稱算法雖然實現(xiàn)了加密解密目的，但是由于其算法復雜，效率低下，一般不會單獨使用。而把非對稱算法用在確認身份和防止篡改、抗抵賴上恰到好處，進而派生出了著名的數(shù)字摘要和數(shù)字簽名技術(shù)。簡單的理解：

經(jīng)過以上這一切后就只剩下證明這個公鑰的擁有者、合法性、適用期限問題了，這就靠數(shù)字證書來體現(xiàn)。它是一個 PKCS10 數(shù)據(jù)包(包含主題、有效期)：

這些證書就是我們在平時日常生活、工作中非常容易見到的了。

那么，誰來替這個證書背書?證明其合法有效性?這就要依靠權(quán)威的第三方機構(gòu)了，這就是CA存在的原因。Certificate Authority 是數(shù)字證書認證中心的簡稱，是指發(fā)放、管理、廢除數(shù)字證書的機構(gòu)。CA的作用是檢查證書持有者身份的合法性，并簽發(fā)證書(在證書上簽字)，以防證書被偽造或篡改，以及對證書和密鑰進行管理。

CA和區(qū)塊鏈

CA機構(gòu)是一種中心化的需要國家權(quán)威機構(gòu)授權(quán)的第三方機構(gòu)，在中國由工信部頒發(fā)電子認證牌照才可以合法運營的。大家平時接觸的比較多的：CFCA、電信CA體系、上海CA、北京CA、天威誠信CA等等。這些機構(gòu)的機房是完全按照工信部的要求，達到7層防護體系建設，必須嚴格達到國家標準方可投產(chǎn)。

中心的密鑰對一般由硬件加密服務器在機器內(nèi)直接產(chǎn)生，并存儲于加密硬件內(nèi)，或以一定的加密形式存放于密鑰數(shù)據(jù)庫內(nèi)。加密備份于IC卡或其他存儲介質(zhì)中，并以高等級的物理安全措施保護起來。密鑰的銷毀要以安全的密鑰沖寫標準，徹底清除原有的密鑰痕跡。所以，對于攻擊者來說，唯一能做的是攻城拔寨(有點像好萊塢黑客大戲)，拿到CA機構(gòu)的簽發(fā)證書的密鑰，進行證書的簽發(fā)。我今天還能回憶起在認證中心工作的第一天就是去機房里親身體驗了一次物理7層防護，深知了一點：信任體系的建立歸根結(jié)底還是依賴這最核心的保險柜中的東西。

[[225184]]

區(qū)塊鏈的信任體系與 CA 則不同，因為去中心化和信任最小化的理念，首先他沒有任何物理防護的概念，它的信任基礎是數(shù)學而不是國家或者某種機構(gòu)，它將共識機制、密碼學、分布式結(jié)構(gòu)有機的結(jié)合在一起。所以，有部分研究人員認為如果免掉CA(第三方權(quán)威)，延續(xù)PKI技術(shù)其實是可以曲線實現(xiàn)去中心化的目標。

其次，法規(guī)和責任認定方面的區(qū)別：當時與 PKI/CA 如影相隨的是出臺便風行一時的《電子簽名法》，法規(guī)明確指出，通過對數(shù)據(jù)的、文檔、視頻等網(wǎng)絡傳播的數(shù)據(jù)進行電子簽名，形成簽名結(jié)果之后保存在第三方，當發(fā)生糾紛時，聯(lián)合國家公信力機構(gòu)出示證據(jù)，可形成有效證據(jù)鏈。

而區(qū)塊鏈方面除了我個人還沒有接觸到配套的相關(guān)法規(guī)，全鏈的每一個節(jié)點都有記錄和驗證，理論上一旦信息進入?yún)^(qū)塊鏈就無法篡改，這一點使得區(qū)塊鏈有著“以理服人”的先天優(yōu)勢，當發(fā)生爭議可以放心大膽地在區(qū)塊鏈進行查詢、記錄。基本上是算力攻擊只要沒有超過51%這個比例，數(shù)據(jù)都是被認可的。但這次兩會上，周鴻祎作為政協(xié)委員也提出了質(zhì)疑，“比特幣雖有賬本不可篡改的特點，但也有遭受網(wǎng)絡攻擊的隱患。比如，當有人掌握了51%的算力，或者未來量子計算破解了“挖礦”的哈希算法，對區(qū)塊鏈技術(shù)都是一個挑戰(zhàn)。如今出現(xiàn)了很多交易所、錢包，也發(fā)生過安全事件，丟失了虛擬資產(chǎn)，恰恰說明區(qū)塊鏈技術(shù)需要安全保護。”

可見360公司已充分準備好了迎接區(qū)塊鏈的挑戰(zhàn)。

取證 / 保全

突然想到最近區(qū)塊鏈的一個段子：

段子內(nèi)容里面好像有去中心化、防篡改，好像還有時間戳、分布式賬本，區(qū)塊鏈真像段子里所描述如此接地氣嗎?

前文提到了PKI技術(shù)確實幫助我們實現(xiàn)了防篡改，抗抵賴的目的，因此我斗膽預測，在電子簽約、電子合同、取證、保全等領(lǐng)域，區(qū)塊鏈技術(shù)可以有很大的空間。

我曾經(jīng)從業(yè)的一家公司是做電子取證的，與之聯(lián)手的則是各個城市的大中小型公證處，為什么利用公證處采集呢?源于很早的一個通知：

除了著作權(quán)，其他民事、行政訴訟也有類似的規(guī)定，本來是找到了電子取證的途徑，但是公司很快就發(fā)現(xiàn)互聯(lián)網(wǎng)和傳統(tǒng)公證相結(jié)合有很多不足：

• 公證處也有周末和上下班，這些時間難取證;
• 時間戳是取證的關(guān)鍵，但是背后缺乏 PKI 支撐，僅僅是時間記錄還是缺乏說服力;
• 取證時需要清潔設備、清空 cookie 等各種操作，錯過最佳時機;
• 原則上取證過程公證人必須全程監(jiān)督方有效，也就是很可能因為公證員上個廁所就把證據(jù)漏掉了;
• 先發(fā)生后取證是無效的，比如你收到了一封郵件或者自己將來電者的語音進行記錄，是出不了了公證書的，更不要說還要證明來信的對方是對方，收信的你是你。
• 最重要，公證書出示的證據(jù)確實是被司法機構(gòu)承認有效真實，但是，法庭采信不采信完全是另外一件事，準確地說是“僅供參考”。

[[225185]]

所以很多時候電子公證書仍然抵不過傳統(tǒng)司法鑒定，很令人難堪。

區(qū)塊鏈的共識機制(共識算法)應該來說是值得在以上領(lǐng)域嘗試的，某電子合約從起草到回執(zhí)，或者某原創(chuàng)作品從初稿到首發(fā)，這些數(shù)據(jù)的哈希摘要如果可以通過廣播形式傳播到(每一個區(qū)塊包裹前一區(qū)塊的哈希摘要形式傳遞)全鏈，即使篡改也無法影響整體鏈中的電子證據(jù)(除非周鴻祎所設想的量子計算攻破51%算力問題)，對于司法機關(guān)我想應該是有極大說服力的。這才應該是和傳統(tǒng)電子取證方式最大的區(qū)別了，理應也應該是目前司法機構(gòu)信息部門的一個研究方向。

結(jié)語

互聯(lián)網(wǎng)自誕生以來就不斷刷新著想象，改造著世界。對于區(qū)塊鏈出現(xiàn)，有人說開啟了一個真正信任的時代，有人說開啟了一個顛覆中心化的時代，甚至有人把區(qū)塊鏈之前的互聯(lián)網(wǎng)叫做古典互聯(lián)網(wǎng)。

3月26日新華社發(fā)文談到，業(yè)內(nèi)預測區(qū)塊鏈發(fā)展將可能分3個階段：1.0版針對比特幣代表的數(shù)字貨幣;2.0版是產(chǎn)業(yè)區(qū)塊鏈階段，與產(chǎn)業(yè)、商業(yè)、交易等結(jié)合;3.0版是與人工智能、物聯(lián)網(wǎng)等結(jié)合?；蛟S，與“古典行業(yè)”的結(jié)合，將會是區(qū)塊鏈未來可行的發(fā)展方向。

以上幾點僅僅是我的點滴假想，畢竟本人仍然是這個行業(yè)的門外漢。面臨嶄新時代，區(qū)塊鏈處處開花，在線上反欺詐、業(yè)務安全方面的場景應用大家肯定也同樣充滿著期待，希望早日能看到新型的風控產(chǎn)品或者數(shù)據(jù)服務脫穎而出為企業(yè)保駕護航，使之更進一步。

【本文是51CTO專欄機構(gòu)“豈安科技”的原創(chuàng)文章，轉(zhuǎn)載請通過微信公眾號(bigsec)聯(lián)系原作者】

戳這里，看該作者更多好文