機(jī)構(gòu)錢包私鑰動(dòng)用的關(guān)鍵安全邏輯——端到端“所見即所簽”

上一期結(jié)合8月Liquid和Bilaxy兩個(gè)交易所熱錢包被攻擊事件，艾貝鏈動(dòng)CTO Neilson主要分析了金融級(jí)安全芯片軟硬件設(shè)計(jì)如何保護(hù)機(jī)構(gòu)錢包私鑰的全生命周期安全。本期艾貝鏈動(dòng)CTO Neilson將繼續(xù)介紹機(jī)構(gòu)錢包私鑰高頻使用的安全邏輯，解讀機(jī)構(gòu)經(jīng)營(yíng)過程中如何實(shí)現(xiàn)頻繁操作的安全性和易用性。

金融級(jí)安全芯片，實(shí)現(xiàn)了對(duì)私鑰從產(chǎn)生、存儲(chǔ)到簽名運(yùn)算的安全性保護(hù)。但這對(duì)于機(jī)構(gòu)用戶，特別是圍繞數(shù)字資產(chǎn)開展金融服務(wù)的經(jīng)營(yíng)性機(jī)構(gòu)，還是不夠的。機(jī)構(gòu)對(duì)數(shù)字資產(chǎn)的動(dòng)用需求，通常在不同角色的多人、多地、多系統(tǒng)之間流轉(zhuǎn)。這個(gè)過程中，還會(huì)面臨其他維度的安全威脅，比如，黑客通過提前注入的木馬程序“篡改”關(guān)鍵交易信息，將資金悄悄轉(zhuǎn)入自己的目標(biāo)地址；或者通過獲取內(nèi)部管理人員權(quán)限，向數(shù)據(jù)庫(kù)中插入一筆“偽造”的授權(quán)交易。對(duì)交易的偽造或者篡改，都屬于“中間人攻擊”的范疇。

什么是“中間人攻擊”，攻擊邏輯如何實(shí)現(xiàn)？

中間人攻擊（MITM，man in the middle attack）是一種網(wǎng)絡(luò)攻擊類型 ，當(dāng)數(shù)據(jù)離開一個(gè)端點(diǎn)前往另一個(gè)端點(diǎn)時(shí)，傳輸過程的時(shí)間便是對(duì)數(shù)據(jù)失去控制的時(shí)候。當(dāng)一個(gè)攻擊者將自己置于兩個(gè)端點(diǎn)并試圖截獲或阻礙數(shù)據(jù)傳輸時(shí)，便稱為中間人攻擊。通信的兩方認(rèn)為他們是在與對(duì)方交談，但是實(shí)際上他們是在與黑客交流。類似于我們通俗理解的信息被“竊聽”。

圖1：中間人攻擊示意圖

當(dāng)下黑客以獲取經(jīng)濟(jì)利益為目的時(shí)，中間人攻擊就會(huì)成為對(duì)加密貨幣交易最有威脅并且最具破壞性的一種攻擊方式。

在一個(gè)數(shù)字資產(chǎn)機(jī)構(gòu)的經(jīng)營(yíng)活動(dòng)中，對(duì)于數(shù)字資產(chǎn)的動(dòng)賬請(qǐng)求通常涉及到不同權(quán)限級(jí)別的多人審核，并且這些人可能處于不同的地域、使用不同的客戶端環(huán)境。從動(dòng)賬請(qǐng)求的審核授權(quán)到動(dòng)用私鑰簽名，信息也會(huì)在機(jī)構(gòu)內(nèi)的多個(gè)系統(tǒng)之間流轉(zhuǎn)。如果我們把交易的審核授權(quán)看做“會(huì)話”的一端，交易的簽名執(zhí)行看作“會(huì)話”的另一端，那么在這個(gè)交易的“會(huì)話”中，就存在著多種被實(shí)施“中間人攻擊” 的可能性。比如，黑客或內(nèi)部作惡人員直接在后臺(tái)數(shù)據(jù)庫(kù)中插入一條偽造的審核授權(quán)交易請(qǐng)求，或者篡改交易的關(guān)鍵信息，如目標(biāo)地址。讓審核人員看到的交易信息與實(shí)際簽名的交易信息不一致。

圖2：機(jī)構(gòu)現(xiàn)有在線提幣流程及風(fēng)險(xiǎn)點(diǎn)

機(jī)構(gòu)錢包的端到端“所見即所簽”功能如何防止中間人攻擊？

艾貝鏈動(dòng)創(chuàng)造性的將基于安全硬件的端到端“所見即所簽”的能力引入到從交易審核到交易簽名的環(huán)節(jié)當(dāng)中。通過為審核人員配發(fā)專有的安全硬件設(shè)備簽章盾，并在設(shè)備上對(duì)關(guān)鍵的交易信息如幣種，目標(biāo)地址，金額等進(jìn)行指紋或按鍵等物理方式的確認(rèn)，后由簽章盾對(duì)經(jīng)過確認(rèn)的交易信息進(jìn)行簽名，發(fā)送給保管私鑰的加密機(jī)設(shè)備進(jìn)行簽名，確保這個(gè)鏈路中無(wú)論經(jīng)過多少環(huán)節(jié)多少系統(tǒng)流轉(zhuǎn)，待簽名的交易信息一定是經(jīng)過審核人員“人為意志”的授權(quán)，且未被篡改的，從而杜絕任何一種形式的“中間人攻擊”對(duì)交易進(jìn)行偽造或篡改。

圖3：“所見即所簽”交易審核簽名流程

Neilson提到，艾貝鏈動(dòng)基于硬件的端到端“所見即所簽”功能，支持多人多級(jí)分布式授權(quán)管理，不僅能夠大大提升機(jī)構(gòu)內(nèi)部私鑰動(dòng)用的安全性，還能夠用于跨機(jī)構(gòu)之間，比如，托管平臺(tái)與客戶之間。最后，Neilson再次強(qiáng)調(diào)，無(wú)論是通過金融級(jí)軟硬件設(shè)計(jì)保護(hù)私鑰，還是通過端到端的“所見即所簽”功能保護(hù)交易過程的安全，都只是安全環(huán)節(jié)技術(shù)層。機(jī)構(gòu)資產(chǎn)安全是一套系統(tǒng)工程，我們需要依據(jù)整體安全框架來統(tǒng)籌考慮，機(jī)構(gòu)“資產(chǎn)”有何“脆弱性”，面臨什么“威脅”導(dǎo)致了“風(fēng)險(xiǎn)”，采用何種安全“機(jī)制”消除或減少“風(fēng)險(xiǎn)”，最終保護(hù)資機(jī)構(gòu)產(chǎn)安全。