作为区块链安全从业者,我们一直非常关心如何保证冷热钱包私钥的绝对安全。
硬件安全模块(HSM)是用于管理数字密钥的传统安全解决方案,已广泛应用于PKI 环境和金融领域。
目前来看,使用HSM技术或许是基于区块链的完美解决方案。 HSM 生成密钥对,安全地存储它们,并可以从整个系统中卸载加密操作。
在这篇文章中,我将尝试从真实用例、市场产品分析、代码示例和未来预测来谈谈HSM 技术。
什么是HSM?
HSM 是一种物理设备或云服务,用于保护和管理数字密钥以促进加密、解密、签名和验证。
HSM 的作用是提供与私钥交互的安全环境。如果没有这个环境,密钥就有暴露的风险。传统上,这些模块以直接连接到计算机或网络服务器的插件或外部设备的形式出现。
HSM 是一种管理私钥整个生命周期的加密设备。这个生命周期包括生成、分发、轮转、存储、销毁和归档。它经过专门设计和构建,旨在创建一个防篡改的安全环境,以实现快速、安全的加密操作,而不会影响其包含的密钥。
如今它们的使用情况如何?
如今,HSM 设备主要由零售银行业使用,为磁条卡和EMV 芯片卡发行过程中使用的加密密钥和客户PIN 以及信用卡和借记卡支付交易的后续处理过程中使用的加密密钥和客户PIN 提供高水平的保护。
重点通常是热钱包的私钥,因为它们具有在线实时交互。私钥的暴露可能是区块链项目的世界末日。当威胁行为者获得您的私钥的访问权限时,通常游戏就结束了。这可能是专业黑客、脚本小子,甚至可能滥用组织资金的内部人员。
在这些情况下,HSM 可以成为私钥管理的优秀安全联盟- 区块链社区中的每个人都处于最前沿。
HSM 基于专用硬件构建,并具有注重安全的操作系统。它对设备操作和管理进行限制、监控访问并实现角色分离机制。主要支持的密码操作有真随机数生成(TRNG)、对称和非对称密钥生成、哈希函数计算、加密和解密以及签名和签名验证。 HSM 生成密钥对,具有安全存储,并且可以从整个系统卸载加密操作。
HSM如何保护区块链钱包?
区块链中账户的地址通常是通过公钥的计算得出的。该公钥有一个相应的私钥,该私钥应用区块链指定的规则,例如长度和编码方案。此类密钥对的生成要考虑几个基本方面,如真随机源、生成算法和环境、分发过程等。
区块链解决方案通常将热钱包的私钥存储在数据库、本地文件中,通常是加密的,但有时是纯文本,甚至是公共Github 存储库中的纯文本- 这是一个非常糟糕的主意。
在该架构中,安全漏洞或开发人员误操作都可能导致私钥泄露。
如何利用HSM来提高区块链安全性?
HSM 设备可以通过多种方式在区块链中使用,利用现有的硬件技术来保护密钥。毕竟,这个新兴行业需要更多更好的解决方案来保护货币并降低盗窃、黑客或安全漏洞的风险。
下面,我概述了HSM 硬件促进区块链安全的六种潜在用途:
生成私钥和公钥对:HSM需要支持区块链特定的椭圆曲线,比特币和以太坊区块链使用Secp256k1椭圆曲线,Stellar使用Ed25519。
私钥的安全存储:基本但重要的是要记住。
您的私钥必须安全保密- 就像您保存信用卡的PIN 码一样。如果不这样做可能会带来灾难性的后果。您的私钥可以解锁对您私钥的访问。获取您的资金或员工的身份。保护您的私钥相当于在使用生物识别凭据时保护您的指纹。
签署和验证交易:通过将有效交易签署到区块链并在需要时验证交易。这是银行业HSM 的常见用例,人们将设备连接到帐户来批准交易。
分层确定性钱包支持:能够根据BIP32 在安全环境中从单个密钥主控导出密钥对。
加密、解密和使用密钥数据库中的密钥记录:维护大量密钥的解决方案需要使用密钥数据库来存储这些密钥。 HSM 可以接收加密密钥并在安全环境中使用它。
日志记录:以比普通日志记录更可靠的方式跟踪密钥使用情况。能够审核和监控密钥的使用方式和时间可以提供额外的安全层。
概括
区块链领域存在很多安全漏洞。随着行业的发展,对更好、更安全的区块链交互的需求越来越大。从安全加密到共享机密企业数据,安全性仍将是首要议题。
几十年来,银行和其他金融机构一直在应对这些类型的挑战,区块链社区采用经过考验的解决方案(例如HSM)可能对于帮助区块链成长和成熟至关重要。
猎豹区块链安全依托金山安全技术,结合人工智能、NLP等技术,为区块链用户提供合约审计、情感分析等生态安全服务。其产品Ratingtoken是一个专注于对区块链项目进行评级的组织。
RatingToken官网:https://www. ratingtoken.net/?from=z
