| 首页  |  资讯  |  评测  |  活动  |  学院  |  专题  |  杂志  |  产服  |  
您现在的位置:硅谷网> 资讯> 安全>

机构钱包私钥动用的关键安全逻辑 端到端“所见即所签”

2021-09-24 16:19 作者:佚名 来源:硅谷网综合 关注: 编辑:GuiGu 【搜索试试

上一期结合8月Liquid和Bilaxy两个交易所热钱包被攻击事件,艾贝链动CTO Neilson主要分析了金融级安全芯片软硬件设计如何保护机构钱包私钥的全生命周期安全。本期艾贝链动CTO Neilson将继续介绍机构钱包私钥高频使用的安全逻辑,解读机构经营过程中如何实现频繁操作的安全性和易用性。

金融级安全芯片,实现了对私钥从产生、存储到签名运算的安全性保护。但这对于机构用户,特别是围绕数字资产开展金融服务的经营性机构,还是不够的。机构对数字资产的动用需求,通常在不同角色的多人、多地、多系统之间流转。这个过程中,还会面临其他维度的安全威胁,比如,黑客通过提前注入的木马程序“篡改”关键交易信息,将资金悄悄转入自己的目标地址;或者通过获取内部管理人员权限,向数据库中插入一笔“伪造”的授权交易。对交易的伪造或者篡改,都属于“中间人攻击”的范畴。

什么是中间人攻击,攻击逻辑如何实现?

中间人攻击(MITM,man in the middle attack)是一种网络攻击类型 ,当数据离开一个端点前往另一个端点时,传输过程的时间便是对数据失去控制的时候。当一个攻击者将自己置于两个端点并试图截获或阻碍数据传输时,便称为中间人攻击。通信的两方认为他们是在与对方交谈,但是实际上他们是在与黑客交流。类似于我们通俗理解的信息被“窃听”。

1:中间人攻击示意图

 

当下黑客以获取经济利益为目的时,中间人攻击就会成为对加密货币交易最有威胁并且最具破坏性的一种攻击方式。

在一个数字资产机构的经营活动中,对于数字资产的动账请求通常涉及到不同权限级别的多人审核,并且这些人可能处于不同的地域、使用不同的客户端环境。从动账请求的审核授权到动用私钥签名,信息也会在机构内的多个系统之间流转。如果我们把交易的审核授权看做“会话”的一端,交易的签名执行看作“会话”的另一端,那么在这个交易的“会话”中,就存在着多种被实施“中间人攻击” 的可能性。比如,黑客或内部作恶人员直接在后台数据库中插入一条伪造的审核授权交易请求,或者篡改交易的关键信息,如目标地址。让审核人员看到的交易信息与实际签名的交易信息不一致。

图2:机构现有在线提币流程及风险点

机构钱包的端到端

艾贝链动创造性的将基于安全硬件的端到端“所见即所签”的能力引入到从交易审核到交易签名的环节当中。通过为审核人员配发专有的安全硬件设备签章盾,并在设备上对关键的交易信息如币种,目标地址,金额等进行指纹或按键等物理方式的确认,后由签章盾对经过确认的交易信息进行签名,发送给保管私钥的加密机设备进行签名,确保这个链路中无论经过多少环节多少系统流转,待签名的交易信息一定是经过审核人员“人为意志”的授权,且未被篡改的,从而杜绝任何一种形式的“中间人攻击”对交易进行伪造或篡改。

图3:“所见即所签”交易审核签名流程

Neilson提到,艾贝链动基于硬件的端到端“所见即所签”功能,支持多人多级分布式授权管理,不仅能够大大提升机构内部私钥动用的安全性,还能够用于跨机构之间,比如,托管平台与客户之间。最后,Neilson再次强调,无论是通过金融级软硬件设计保护私钥,还是通过端到端的“所见即所签”功能保护交易过程的安全,都只是安全环节技术层。机构资产安全是一套系统工程,我们需要依据整体安全框架来统筹考虑,机构“资产”有何“脆弱性”,面临什么“威胁”导致了“风险”,采用何种安全“机制”消除或减少“风险”,最终保护资机构产安全。

关于艾贝链动

艾贝链动是一家区块链领域安全产品与技术服务公司,以技术创新为驱动力,通过在金融、政企等领域的区块链安全技术研究和应用落地,致力于打造数字社会的信任基石,持续赋能数字化浪潮下的个人及企业。艾贝链动现已推出机构数字资产自托管解决方案“犀铠”、涉案虚拟货币取证提控系统“犀识”、反洗钱与资产追踪服务“犀溯”、区块链智能合约安全诊断服务“犀晓” 等,并在多家企业和政府领域实现部署应用。

【对“机构钱包私钥动用的关键安全逻辑 端到端“所见即所签””发布评论】

版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
广告
相关
头条
美国FTC首度出台从业禁令:跟踪软件危害个人隐私 美国FTC首度出台从业禁令:跟踪软件危害个人
2021年9月2日消息,美东时间周三,美国联邦贸易委员会(FTC)宣布,该机构一致投票决……
·美国众议院能源和商务委员会10亿美元建立隐私
·英国信息专员呼吁全球联合反对互联网cookies
·美国FTC首度出台从业禁令:跟踪软件危害个人
·苹果AppleToo工程师Cher Scarlett回应侵犯隐
·中国《数据安全法》2021年9月1日起正式实施
图文
机构钱包私钥动用的关键安全逻辑 端到端“所见即所签”
机构钱包私钥动用的关键安全逻辑 端到端“
运用AI算法识别挖矿木马,腾讯产业安全公开课即将开讲
运用AI算法识别挖矿木马,腾讯产业安全公开
区块链骗局都有哪些?区块链下有人暴富有人破产!
区块链骗局都有哪些?区块链下有人暴富有人
2019年网络安全生态峰会举行 智慧共享互信共治
2019年网络安全生态峰会举行 智慧共享互信
热点
·全国多所高校电脑遭病毒绑架 需要关闭445端口
·区块链骗局都有哪些?区块链下有人暴富有人破
·2019年网络安全生态峰会举行 智慧共享互信共
·苏宁京东接连中招,双十一在即这个套路要小心
·没了乌云谁还敢随便使用那些不安全的网络平台
旧闻
·百度315曝光1921家虚假网站 严打虚假信息护航
·中国互联网安全标准被国际接纳 取得重大进展
·物理隔离,让重要信息免受“想哭”病毒勒索
·KoiMiner变种来袭 超5000台企业服务器被控
·爬取数据泄露用户信息 不正当竞争亟待立法规
广告
硅谷精选
机构钱包私钥动用的关键安全逻辑 端到端“所见即所签”
机构钱包私钥动用的关键安全逻辑 端到端“所见即所签
运用AI算法识别挖矿木马,腾讯产业安全公开课即将开讲
运用AI算法识别挖矿木马,腾讯产业安全公开课即将开讲
高校信息化进入新阶段 腾讯零信任iOA助力解决安全后顾之忧
高校信息化进入新阶段 腾讯零信任iOA助力解决安全后顾
腾讯安全联合发布《2021上半年全球DDoS威胁报告》
腾讯安全联合发布《2021上半年全球DDoS威胁报告》
欺诈之矛VS反欺诈之盾 风控前置-斩断网络安全的“黑手”
欺诈之矛VS反欺诈之盾 风控前置-斩断网络安全的“黑手
保障密码安全管理腾讯高级威胁检测系统新增“密码安全专题”
保障密码安全管理腾讯高级威胁检测系统新增“密码安全
关于我们·About | 联系我们·contact | 加入我们·Join | 关注我们·Invest | Site Map | Tags | RSS Map
电脑版·PC版 移动版·MD版 网站热线:(+86)010-57255600
Copyright © 2007-2021 硅谷网. 版权所有. All Rights Reserved. <备案号:京ICP备12003855号-2>