区块链技术博客
www.b2bchain.cn

区块链技术机构钱包私钥动用的关键安全逻辑——端到端「所见即所签」

第24739篇区块链技术文章区块链技术机构钱包私钥动用的关键安全逻辑——端到端「所见即所签」

作者:阿贝链

机构钱包私钥动用的关键安全逻辑——端到端「所见即所签」

在上一期中,结合8月liquid和bilaxy的热钱包攻击,Abbe chain CTO Neilson主要分析了金融级安全芯片的软硬件设计如何保护机构钱包私钥的全生命周期安全。在本期中,阿贝连锁的CTO Neilson将继续介绍频繁使用组织钱包私钥的安全逻辑,并解释如何在组织的操作过程中实现频繁操作的安全性和易用性

财务级安全芯片实现私钥从生成、存储到签名操作的安全保护。然而,这对于机构用户来说是不够的,尤其是围绕数字资产提供金融服务的运营机构。机构对数字资产使用的需求通常在具有不同角色的多个人、多个地点和多个系统之间流动。在这一进程中,它还将面临其他方面的安全威胁。例如,黑客通过提前注入特洛伊木马程序“篡改”关键交易信息,并悄悄地将资金转移到目标地址;或者通过获得内部经理的授权,将“伪造”的授权交易插入数据库。伪造或篡改交易属于“中间人攻击”范畴

什么是「中间人攻击」,攻击逻辑如何实现?

机构钱包私钥动用的关键安全逻辑——端到端「所见即所签」图2:组织现有的在线货币提款流程和风险点

阿贝链创造性地引入了端到端的“所见即所签”基于安全硬件的功能,将事务审计与事务签名连接起来。通过向审核人员分发专用安全硬件设备签名屏蔽,并通过指纹或按钮等物理手段确认设备上的货币、目标地址、金额等关键交易信息,签名屏蔽将对确认的交易信息进行签名,并将其发送至保存私钥的加密机设备进行签名,确保无论有多少链路和系统流经此链路,待签名的交易信息必须经过审核人的“人的意愿”授权,且未被篡改,防止任何形式的“中间人攻击”伪造或篡改交易

机构钱包私钥动用的关键安全逻辑——端到端「所见即所签」图3:WYSIWYG交易审计签名流程

Neilson提到,Abbe link基于硬件的端到端WYSIWYG签名功能支持多级分布式授权管理,这不仅可以大大提高机构内部私钥使用的安全性,还可以在机构之间使用,如托管平台和客户之间。最后,Neilson再次强调,无论是通过金融级软硬件设计保护私钥,还是通过端到端的“所见即所得”功能保护交易过程的安全,都只是安全链接的技术层。机构资产证券化是一项系统工程。我们需要根据整体安全框架进行综合考虑。机构“资产”的“漏洞”是什么,面临哪些“威胁”会导致“风险”,以及使用哪些安全“机制”来消除或减少“风险”,从而最终保护机构资产的安全

阿贝链是一家区块链安全产品和技术服务公司。在技术创新的推动下,通过区块链安全技术在金融、政府和企业领域的研究和应用,阿贝链致力于构建数字社会的信任基石,并在数字化浪潮下不断让个人和企业受益。阿贝连锁已推出机构数字资产自助保管解决方案“rhino armor”、案件“rhino knowledge”涉及的虚拟货币取证和控制系统、反洗钱和资产跟踪服务“rhino trace”、区块链智能合约安全诊断服务“rhino Xiao”,已在许多企业和政府领域部署和应用

机构钱包的端到端「所见即所签」功能如何防止中间人攻击?

艾贝链动创造性的将基于安全硬件的端到端「所见即所签」的能力引入到从交易审核到交易签名的环节当中。通过为审核人员配发专有的安全硬件设备签章盾,并在设备上对关键的交易信息如币种,目标地址,金额等进行指纹或按键等物理方式的确认,后由签章盾对经过确认的交易信息进行签名,发送给保管私钥的加密机设备进行签名,确保这个链路中无论经过多少环节多少系统流转,待签名的交易信息一定是经过审核人员“人为意志”的授权,且未被篡改的,从而杜绝任何一种形式的“中间人攻击”对交易进行伪造或篡改。

机构钱包私钥动用的关键安全逻辑——端到端「所见即所签」 图 3:「所见即所签」交易审核签名流程

Neilson 提到,艾贝链动基于硬件的端到端「所见即所签」功能,支持多人多级分布式授权管理,不仅能够大大提升机构内部私钥动用的安全性,还能够用于跨机构之间,比如,托管平台与客户之间。最后,Neilson 再次强调,无论是通过金融级软硬件设计保护私钥,还是通过端到端的「所见即所签」功能保护交易过程的安全,都只是安全环节技术层。机构资产安全是一套系统工程,我们需要依据整体安全框架来统筹考虑,机构「资产」有何「脆弱性」,面临什么“威胁”导致了「风险」,采用何种安全「机制」消除或减少「风险」,最终保护资机构产安全。

关于艾贝链动

艾贝链动是一家区块链领域安全产品与技术服务公司,以技术创新为驱动力,通过在金融、政企等领域的区块链安全技术研究和应用落地,致力于打造数字社会的信任基石,持续赋能数字化浪潮下的个人及企业。艾贝链动现已推出机构数字资产自托管解决方案「犀铠」、涉案虚拟货币取证提控系统「犀识」、反洗钱与资产追踪服务「犀溯」、区块链智能合约安全诊断服务「犀晓」 等,并在多家企业和政府领域实现部署应用。

区块链技术机构钱包私钥动用的关键安全逻辑——端到端「所见即所签」 由www.b2bchain.cn 提供
文章整理自网络,只为个人学习与分享使用
链接地址https://www.b2bchain.cn/24739.html

赞(0) 打赏
部分文章转自网络,侵权联系删除b2bchain区块链学习技术社区 » 区块链技术机构钱包私钥动用的关键安全逻辑——端到端「所见即所签」
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

b2b链

联系我们联系我们