曾经坚不可摧的区块链现在受到了黑客的攻击”给出了区块链如何被成功攻击的一个例子。因此,我认为随着区块链技术越来越容易被人们使用,安全很可能成为区块链登陆的一个关键问题,那些经常与区块链打交道的龙头企业应该给予更多的关注。区块链在不同的业务领域使用得越多,就会有越多的人希望找到它的缺陷并加以利用。
在深入了解区块链为何不像大家认为的那样安全之前,让我们先概述一下该技术所基于的一些概念和机制。
通过模糊和加密实现安全
当涉及到保护任何东西,特别是信息时,金银行情人们经常使用模糊和加密来实现安全。
人们在日常生活中最熟悉的往往是模糊的概念。这个概念涉及到除了那些需要知道信息的人之外,对其他人隐藏信息。例如,将纯文本密码文件隐藏在计算机的远程文件夹中,会使其他人很难找到对计算机的访问权限。但是这种通过隐藏来获得安全的方法并不常用。原因很简单:秘密有被发现的方式。
另一方面,加密会暴露信息的位置,但对数据进行加密,只有拥有解密密钥的人才能访问它。
最早使用加密的案例之一可以追溯到罗马时代,当时罗马人使用字母移位来发送军事信息。例如,如果班次数设置为3,则单词“hello”可以用“khoor”表示。因此,重要的消息经过编码,可以安全地传递给不知道n值的信使。即使信使被截获,敌人得到了消息,他们也不知道如何破译。破解这个密码在今天看来似乎很容易,但在古代,它是加密技术的顶峰。但如今的加密功能要复杂得多,人们可以使用各种聪明的方法来生成几乎不可破解的代码。
区块链使用其中一种加密方法,即散列函数(如下所述)。加密的数据块记录在区块链中,只有具有正确密钥的数据块才能访问链中的每个块。
随机性
随机性是所有密码函数(包括散列)的一个非常重要的方面。加密函数严重依赖于随机数据生成。随机生成的数据或种子不依赖于任何人,而是由计算机创建的。因为必须知道随机种子才能解密散列,这使得加密函数更难破解。
在计算机中随机生成的数据为区块链提供了支持。为了使数据更安全,随机字符串被附加到块数据,然后将其添加到公共分类账。从表面上看,这似乎是个好主意。使用随机字符串生成器似乎是无懈可击的,可以大大降低区块链被黑的几率。
然而,由于这些随机数据是由计算机生成的,这就提出了一个问题:它们并不是真正随机的。机器不像人类那样具有随机性的概念。计算机使用公式来生成“随机”数据。它们遵循一个公式,生成均匀分布的随机字符串,在我们看来是随机值。但实际上,随机性只是一种幻想。无论公式多么完美,由公式产生的随机值永远不会是真正随机的。一个数学函数只能产生一个计算值。
这个事实对区块链来说不是好兆头。随机性错误在黑客社区中是众所周知的,并且已经被多次利用来发动攻击。
那么如何实现真正的随机性呢?我们能自然地生成随机值而不是通过数学公式吗?我敢说,即使在自然界,也没有什么是随机的。任何事情,即使是亚原子粒子表面上的随机碰撞,都是可以预测的(但需要物理学家和哲学家的仔细研究)。
我不会讲太多关于哈希如何工作的细节。如果你不太了解哈希函数,你可以去维基百科。它的轮廓画得很好。
区块链通过广泛使用哈希来加密块,99金银加密块被添加到公共分类账中。在一个block被添加到block之前,它必须经过以下过程:
1. 使用哈希函数加密新块中的数据。
2. 将随机数据(字符串)添加到步骤1中加密的块中。
3.重新散列步骤2中的合并数据。
4. 比较步骤3的哈希值和难度级别。如果不是,则更改步骤2中的随机字符串并重复前面的步骤。
5. 当最终的哈希值达到(包括难度)时,块被添加到链和公共分类账中。
尽管这些步骤是相当安全的,但是对于哈希有两个常见的问题:冲突和暴力破解。
哈希函数会产生冲突,因为它总是产生固定长度的输出。一个256位的哈希函数总是产生长度为256个字符的输出。因此,加密消息的长度为256个字符。无论对单词“hello”进行散列处理,还是对整个百科全书进行散列处理,其值都是256个字符长,尽管有所不同。
因此,当两个或多个字符串映射到相同的256个哈希值时,就会发生哈希函数冲突。尽管256位字符串(或任何其他有限长度的字符串)有许多排列和组合,但仍然存在映射到相同散列值的情况(尽管有限)。此外,文本的数量是无限的,您可以通过在字符串的末尾添加一个“a”来将其与其他文本区分开来。因此,每个经过哈希函数的字符串都与其他字符串有无限次的冲突。这意味着您甚至不需要知道原始字符串,只需从与原始字符串具有相同哈希输出的无数字符串中找到一个来破解加密或创建安全漏洞。
此外,强制破解散列值是非常常见的,特别是在字符串很短的情况下。如果您有一个n字符加密散列和一个覆盖所有n字符散列的预填充字典,那么您可以轻松地破坏加密散列。或者您可以从长度为1的字符串开始,一直到n,然后将输出与加密的值进行比较。如果结果匹配,就知道原始字符串的值。通过长时间运行功能强大的计算机,您可以预先用n个字符填充大型散列。
《麻省理工学院技术评论》(MIT technology review)上的一篇文章“区块链曾经被誉为牢不可破,现在却被黑了”,给出了区块链如何被成功黑掉的一个例子。因此,我认为随着区块链技术越来越容易被人们使用,安全很可能成为区块链登陆的一个关键问题,那些经常与区块链打交道的龙头企业应该给予更多的关注。区块链在不同的业务领域使用得越多,就会有越多的人希望找到它的缺陷并加以利用。
无论区块链看起来多么安全,它都无法阻止黑客。没有什么能阻止黑客。这是因为技术所基于的一些概念并不像大多数人认为的那样安全。如上所述,散列和随机字符串生成器都有缺陷。
虽然随机字符串生成器缺乏真正的随机性,哈希函数可能发生的冲突和暴力,现在这些听起来牵强,但随着计算机在未来的劳动力大军中显著增加,人工智能的广泛应用,量子计算的飞跃发展,以及机器的成本下降,如果有足够的资源,打破一块链不是一个寓言。