區塊鏈的創新，以及應注意的資安風險

 作者  Gartner研究總監Jonathan Care、Gartner研究總監David Anthony Mahdi

在金融科技的創新上，區塊鏈（Blockchain）往往被數位貨幣（digital currency）搶盡鋒頭，然而，最近有個例子的應用，提供了截然不同的觀點。

這件事發生在英國，當地政府正考慮讓所屬的土地註冊處（Land Registry Department）以其他方式，保障登記有案之不動產及相關權益，然而，這個土地註冊處，卻提供了另一種有趣的區塊鏈應用方式，讓全球各地都有相關計畫進行測試--利用此區塊鏈解決方案，就能找出特定地產的所有人是誰，並確保所有權，不會在當事人未授權的狀況下，發生移轉，而這部分，也包括貸款期間由銀行持有地產做為擔保的情況。

對於這樣的案例，根據Gartner的發現，推廣區塊鏈應用的企業數量已大幅增加。以應用形式來說，基本的分散式帳本（distributed ledger）作為區塊鏈的核心，讓各式各樣的資產都可以被追蹤，包括所有權、身分判定與証明、加密金鑰或裝置屬性。

至於眾所皆知的比特幣（bitcoin），雖是目前最受矚目的區塊鏈生態系統，卻也有各式各樣的區塊鏈生態系統與技術問世。在許多案例中，區塊鏈生態系統與技術之間有極大差別，有些或許可以存活下來，有些則將無法達到關鍵存續量（critical mass）。不過，對於企業的資訊安全長來說，每一種生態系統或技術，都在資安層面具有不同意涵。

目前，有些區塊鏈的使用案例仍處於理論階段，還有一些已進入概念驗證初期，而且，有越來越多機構開始進行區塊鏈試驗。它可用於任何一種「商業信託」（trust business）--例如，銀行、結算所，以及政府主管機關等，這些皆屬於集中式機構與官僚機構的組織，都可以透過商業的流程，達到去中心化（decentralization），並能利用區塊鏈提供另類解決方案。

而對組織的安全主管來說，區塊鏈的分散式帳本能帶來全新的優勢與應用，但也造成風險和挑戰。這種新興的技術與手法，需要資安團隊在安全架構方面採用全新的思考方式，考量很多重要的差異。

去中心化共識

傳統的模型乃是利用集中式仲裁器（central arbiter），來判定事實，並估量記錄資料的準確度（也就是誠信）。

舉例來說，傳統的資料庫，就是透過集中式記錄來維持一致性，而去中心化模式，則是將仲裁的權力與商業信託，移轉給去中心化的虛擬網路，讓合格的相關節點持續依照時序，將各項交易以資料區塊的形式加以記錄，再提供給相關社群的成員。而這種鏈狀的交易區塊，就是所謂的區塊鏈。

在此時，前一個區塊的參考內容，會包含了前一個密碼的加密散列校驗和（cryptographic hash checksum），如此一來，就不再需要中心媒介，透過這些方法，就能確保不會發生交易資料被複製的狀況。

上圖為高階的區塊鏈架構，將仲裁的權力與商業信託，移轉給去中心化的虛擬網路，讓合格的相關節點持續依照時序，將各項交易以資料區塊的形式，加以記錄，然後，再提供給相關社群的成員。（資料來源：Gartner，2016年8月）

上圖為高階區塊鏈分散式架構圖，即區塊鏈扮演毫無模糊空間的交易驗證器角色，各個節點能全然信賴此區塊鏈生態系統，並透過區塊鏈的去中心化共識，加以治理。（資料來源：Gartner，2016年8月）

區塊鏈與輔助的區塊鏈服務

如以上所言，區塊鏈可視作是一種資料儲存庫，提供給所有合格的成員使用。比特幣作為區塊鏈的應用之一，能使所有交易資料公開，且對所有有意加入的人持開放態度。

隨著區塊鏈技術逐漸成熟，應用可能會隨著參與成員的會員資格、資料相關規則與隱私權而有所不同。必須留意的是，因應使用案例的不同需求，訪問途徑可根據政策、屬性或系統設計來管控。就像私人建置的區塊鏈，則可遵循封閉式的用戶社群規則，此時，安全主管除了管理加密式存取金鑰，可能還要建置網路安全措施，來限制訪問路徑。

儘管部分特定的區塊鏈應用情況，可能有所不同，但安全主管必須留意，未來區塊鏈的架構模式必須提供所有成員標頭資訊（header information），這可能也包含區塊內部的交易資料。儲存的資料可能是價值符號，像是金融交易的記錄、帳戶結餘數字或其他資料，而這些都能利用傳統的密碼工具進行加密，以維持其機密性。

此外，由於區塊鏈相關產品與技術快速變遷，資訊安全長與安全主管對此，應確保有能力掌握手中所有區塊鏈計畫，所產出、儲存或使用了哪些資料。這會隨著區塊鏈的技術--亦即以太坊（Ethereum）、超級帳本（hyperledger）或比特幣--而有所不同，部分案例差異，甚至可能十分顯著。

儘管區塊鏈技術令人興奮、快速變化且勢必帶動強烈的突破性創新，還是得確實做好資料機密、可用性，以及誠信（CIA模型）等資訊安全基本原則。

智慧合約（與智慧資產）

所謂的智慧合約（smart contract），就是將成套的商業邏輯加以編碼為程式的形態，再加上價值單位或其範疇內的交易單位。

其基本概念是透過區塊鏈而非集中式仲裁器，以程式驗證交易，合約執行後交易才算完成。根據區塊鏈環境的目的與結構，相關方能針對貨品與服務遞交的方式，以及資金自動扣款的條款達成協議（否則可能懲以罰金）。而所謂智慧資產，就是在數位財產中嵌入所有權，以及動態行為的概念，這可能指個人、公司，或其他智慧資產。

同時，安全主管必須意識到，智慧合約也可能會有缺陷，攻擊者可利用這些缺陷來竊取、敲詐或扣留款項，也正如所有軟體犯罪一樣，這類攻擊的影響可能相當嚴重。

就某種意義而言，它跟其他應用或網站並沒有什麼不同，都有某種漏洞或機制容易遭到詐騙。因此，安全主管必須擴大現有的安全保護機制，將智慧合約與智慧資產納入其中，而且要把漸進失效（asymptotic failure）的風險，納入組織容許度（當然，這可由會員自由定義，而非強制式的要求）。

可信賴運算與去信任化交易

上述概念能讓資源與交易橫向分散，且不限於企業內部，而是遍及區塊鏈系統中全體參與成員。過去的集中式監管機構與仲裁組織，也能加以編碼成為智慧合約，並藉由區塊鏈的去中心化共識加以治理。因此，很可能在不久的將來，就會出現全新型態的純數位化組織，業務純粹以智慧合約為主。

對此，區塊鏈所扮演的部分，是一個毫無模糊空間的交易驗證器角色，全然信賴區塊鏈生態系統，因其在技術的基礎上，還加入信任、合規、職權、管理與法律的規則，並確保使用了可靠的加密技術。

因此，安全主管必須確保區塊鏈，能夠忠實扮演上述之交易驗證器的角色，而且毫無模糊空間，而使用的加密技術，也必須能證明並支援上述可靠特質。此外，安全主管必須確保基礎架構元件安全無虞，節點也不能發生問題，而將錯誤的資訊帶進區塊鏈。

工作量證明／權益證明

許多區塊鏈技術的核心概念，就是「工作量證明」（proof of work），或者是權益證明（proof of stake）等相關概念，這些都源於最早的比特幣--它是一種運算任務，複雜程度之高，足以制止區塊鏈的更動，所以，區塊鏈上的記錄，不能在沒有重做工作證明的情況下，予以改變。工作量證明也因此成為關鍵元素，因其無法輕易作廢，而且，透過可靠的加密散列，以確保真實性。

工作量證明所費不貲，未來還可能會有擴充性與安全方面的問題，且用交易手續費做為吸引成員參與的誘因，不一定適用金融交易以外的項目。

因此，有人認為，權益證明可能是一種適用範圍更大的解決方案，因其執行成本較低，且一般認為入侵更為加困難。而且，權益證明的好處是，可以判定是否足以合格參與區塊鏈共識，還能降低「分裂」（split）的風險，也就是有兩方以上的來源都宣稱是真實來源。

不論是工作量證明或換種形式的權益證明，安全主管都必須在這些規畫中，了解區塊鏈證明系統的優點，還有特定證明系統的風險，因為這都將是決定區塊鏈誠信度的主要因素。

區塊鏈的風險

整體而言，當前區塊鏈應用的風險，有如下幾項：

行銷週期

區塊鏈的定義及潛在應用，都是可變動的。除了比特幣以外，各種應用的功能各異，而且，許多規畫中的解決方案都尚未脫離概念階段。

而且，很可惜的是，目前圍繞著區塊鏈的宣導性行銷發展週期，其實，也偏離了實際有潛力的案例。

值得注意的是，根據Gartner先前所公布的2016年新興技術發展週期報告（Gartner Hype Cycle for Emerging Technologies，2016）指出，區塊鏈如今已經接近期望膨脹期（Peak of Inflated Expectations）。

一般而言，Gartner新興技術發展週期報告，可做為開發新興科技組合時的參考，而在回顧2016年的報告中，我們可見到區塊鏈已經接近期望膨脹期，亦即技術快速發展的高峰期。（資料來源：Gartner，2016年8月）

擴充性

隨著裝置、資料、交易與使用者身分的增加，相關人工因素的管理與儲存要求也越來越多。因此，企業資訊安全長需要一套安全且可擴充的方法，以確保未來幾年區塊鏈能夠成功。

儘管區塊鏈未來可能會受益於其擴充性，但目前其仍被視作一種風險，箱關的研究人員正在設法，使區塊鏈的運作方式，脫離傳統的分散式共識機制（distributed consensus mechanisms），朝向可擴充模式發展的各種選項。

網路攻擊／詐騙

最近，分布式自治組織（Distributed Autonomous Organization）所遭受到的攻擊，就是因為對方利用了智慧合約方面的弱點，相關安全因此亮起了紅燈。

相對而言，比特幣的漏洞較少，且其韌性為人稱道，但安全負擔已從網路轉移到為區塊鏈寫入內容的端點。一般而言，漏洞通常發生在作業系統、網路協定，以及部分安全相關的領域。

區塊鏈的風險評估更加困難

隨著區塊鏈相關服務範圍的擴大，為風險評估建構一個詳細的威脅模型，也變得越發困難。

因為，區塊鏈是複雜的技術系統，不像傳統系統具有監管透明度且可供審核。而區塊鏈缺乏通用的標準或規範，也讓問題變得更加複雜。

對此，Jonathan Care表示：「整體來說，人們並不瞭解區塊鏈這種新技術；它很複雜，所以，正確評估相關風險與揭露，已變成一大挑戰。也正由於目前尚無通用的標準或規範，也因此讓問題雪上加霜。」

而對於資訊安全長與IT安全主管而言，應確保資安團隊，將區塊鏈技術和管理與究責，分開處理。

 導入區塊鏈應用的建議 

首先，應仔細評估應用是否適合整合到特定的區塊鏈系統，以及子系統。

這包括：確實對所有層面的應用堆疊，進行嚴格的安全測試，舉凡作業系統（例如物聯網或嵌入式作業系統）、編碼查核、應用程式邏輯，以及實驗性系統的架構模型（例如，建構在區塊鏈技術基礎之上的智慧合約）。

此外，對於協助資訊安全長及資安團隊來說，漏洞管理方案是必要的，能提供可用的洞察及情報，來減輕各種威脅的傷害。這樣的漏洞管理方案，還應該包含區塊鏈應用與架構元件，讓管理變得透明化，同時進行審核控制，以藉此：

（1）偵測技術與行政管理上的失誤；

（2）遏止不法行為造成傷害；

（3）讓消費者及利益相關者等門外漢，也能了解誠信管控。

最後，就是要持續監控主要廠商的功能創新、整合或競爭威脅能力。在某些情況下，應詢問現有及未來廠商在區塊鏈及其安全性的能力。