狄剛：密碼技術在區塊鏈領域的應用觀察與思考

一是從需求引導上，金融行業應該積極推進以區塊鏈技術服務于現實需求的應用落地，大力發展有多重安全保障體系的聯盟鏈應用，以實際應用場景落地來促進實體經濟發展。既吸收了公有鏈透明治理、分布式、共識達成則難以篡改等核心思想，又融合了現實社會治理方式的聯盟鏈，應該是未來幾年應用落地的重點。在技術手段上，聯盟鏈也是強調以密碼技術為核心來構建安全體系，但更多地融入CA體系進行身份管理，在追求隱私安全的同時，也傳承了傳統安全體系架構，多中心有統一的安全解決方案，實現強調權威可信機構的可監管、可審計等特性。而在應用目標上，聯盟鏈旨在用區塊鏈解決企業間、機構間的信任合作難題，通過在企業、機構間建立分布式賬本，將單一的中心變革為共同治理的多中心架構，用技術打通信任隔閡，從而構建更多的多方合作應用場景。對于普通用戶來說，從對單一中心的信任轉換到對共同治理的多中心體系的信任，將更易增強信任度，這無疑是符合現實發展需求的。

二是積極關注公有鏈的發展，在參考借鑒技術創新的同時要考慮必要的監管平衡。不可否認，公有鏈模式對于技術創新、尤其是密碼應用實踐創新具有較強的參考價值。但同時，監管機構對于不可篡改性所帶來的負面影響應予以高度重視。例如，非法言論信息通過備注等方式上鏈可公開瀏覽查詢且不可篡改，以及個人隱私數據信息泄露。針對此類問題，有必要在不破壞區塊鏈技術可信原則的前提下實現必要的監管。一方面，建立相關公有鏈信息監測機制，加強區塊鏈瀏覽器的監管，及時對不良信息識別和預警；同時，要研究通過屏蔽、限制瀏覽等方式減少不良信息的傳播。另一方面，加強相關數據的安全立法，強化對數據持有第三方的監督，確保嚴重數據侵權事件的個人知情權，防止區塊鏈應用對個人隱私數據侵權行為，對于鏈上數據的真正所有者能夠充分支持其行權，并從法律和技術上探討建立我國數據保護框架以支撐區塊鏈數據監管。

三是對于區塊鏈的安全，應該積極構建完善的安全認證測評體系。區塊鏈從安全方面來說是結合了密碼技術和傳統網絡安全技術的全新信息安全范式。但是，區塊鏈技術仍不成熟，其算法體系只是相對安全，隨著量子計算機技術發展，相關加密算法仍具有被破解的可能性。不僅如此，即使當前公認的、流行的加密算法是否有人為留置的后門不得而知，這為我國區塊鏈安全問題埋下了隱患。值得注意的是，區塊鏈的智能合約技術仍處于發展初期，近期被爆多起針對智能合約漏洞的黑客攻擊事件，為區塊鏈安全保護敲響了警鐘。因此，可考慮將現有的密碼測評體系和信息系統安全測評體系進行融合創新，發展出適合于區塊鏈領域的安全測評體系。此外，開發安全的國密算法并應用于區塊鏈技術對于我國區塊鏈發展安全具有積極的意義。

四是應腳踏實地，在傳統技術架構基礎上結合區塊鏈技術優點繼承式的演進。將傳統架構與區塊鏈技術架構優勢相結合，在吸收再創新的基礎上發展新一代技術架構與安全防御體系。應警醒的是，雖然區塊鏈技術具有較強的信任與價值傳遞作用，在某些應用場景中優勢明顯，但是以犧牲效率與增加冗余為代價的，是此消彼漲的取舍結果，尤其安全方面過分依賴密碼學與加密簽名體系，面臨量子時代的到來，有很多學者擔心其安全的單一性會導致脆弱性。因此，不能過分單一依賴一種技術，更不能為了區塊鏈而區塊鏈，對于一些場景明明傳統技術可以解決得很好而舍近求遠趕技術時髦。即使是對于跨主體應用需求，區塊鏈唯有與傳統技術和其他成熟的先進技術一起創新性地融合應用，才能發揮區塊鏈技術的最大效能。技術演進一直以來都是繼承式發展的思路，事實證明也是穩妥、有效且貼近實際的，技術冒進往往蘊藏著較大的風險代價，尤其是對于承載高價值資產場景的金融行業而言。縱觀金融行業的發展，從銀行業務電子化、信息化、網絡化到今天的移動化與智慧化，一直也是采用漸近式發展的混合技術路線，安全解決方案經歷了多年的發展，逐步形成了綜合立體的防御體系，并配套有安全等級保護評測體系與信息分級保護策略，結合安全需求實現相應的安全強度，從而達到用戶體驗與安全可靠的平衡。若完全依賴密碼簽名體系，單一性導致脆弱性的風險可能將一直存在。因此，結合區塊鏈特性，繼承傳統安全的解決方案，建立適應于新型技術架構的安全防御與隱私保護體系，可能是將來一段時間研究的重點方向。

五是對于社會發展而言，應該以更積極開放的心態來迎接區塊鏈技術所帶來的挑戰與變革機會，對密碼技術的發展給予高度關注與積極投入。我國作為世界科技創新和應用大國，無論從市場規模，還是密碼等關鍵技術的基礎條件，以及科研人才條件等來看，都應該去積極擁抱與引領區塊鏈技術的發展大潮。尤其是,當前社會已經發展到數字經濟時代，供給側的技術創新快速更迭，資源環境日漸成熟，需求側也在發生很大變化，原有的封閉主體逐步走向開放，橫向合作與資源共享需求愈加旺盛，隨著金融科技參與主體和服務主體的多元化，越來越多的跨主體合作需求產生，而區塊鏈技術正好針對這些變化提供了一種新型的跨界合作與技術結盟解決方案，平權型、互補型、對等型的金融生態已開始借力發展。與此同時，區塊鏈行業解決方案在快速發展中更離不開密碼技術的支撐與發展。離不開相應的人才、學科理論的支持，密碼技術相關領域急需相關的政策聚焦、資源投入與產業配套。我們欣喜地看到一些部門已經有所行動，在密碼算法領域、形式化驗證、多方安全計算、技術測評等方面已經有了相應的投入和成果產生，“政、產、學、研、用”多方聯合模式已逐步形成，不斷推動該領域創新體系的融合發展。

（本文僅代表個人學術觀點，不代表所在機構意見）

  作者單位：中國人民銀行數字貨幣研究所