En 400-6655-581
5
返回列表
> 資源中心 > 世界經(jīng)濟(jì)論壇:央行數(shù)字貨幣需警惕四大網(wǎng)絡(luò)安全威脅

世界經(jīng)濟(jì)論壇:央行數(shù)字貨幣需警惕四大網(wǎng)絡(luò)安全威脅

2021-11-25瀏覽次數(shù):1070

隨著七國(guó)集團(tuán)(G7)官員批準(zhǔn)了針對(duì)央行數(shù)字貨幣(CBDC)的13項(xiàng)公共政策原則,80多個(gè)國(guó)家發(fā)起了與CBDC相關(guān)的某種形式倡議,CBDC的廣泛部署似乎只是時(shí)間問(wèn)題。作為一種可供公眾使用的數(shù)字形式央行貨幣,從本質(zhì)上講,CBDC由能夠在本國(guó)央行進(jìn)行交易和開(kāi)立儲(chǔ)蓄賬戶的個(gè)人和公司組成。巴哈馬、中國(guó)和尼日利亞都已經(jīng)開(kāi)展了早期CBDC項(xiàng)目,未來(lái)估計(jì)還會(huì)有更多的同類(lèi)項(xiàng)目。如果這些項(xiàng)目能夠取得成功,CBDC將可以幫助政策制定者實(shí)現(xiàn)諸多目標(biāo),例如支付效率、金融包容性、銀行和支付競(jìng)爭(zhēng)力以及在數(shù)字支付時(shí)代擁有安全的央行貨幣等。
然而,與其他數(shù)字支付系統(tǒng)一樣,CBDC也容易遭受到網(wǎng)絡(luò)安全攻擊、賬戶和數(shù)據(jù)泄露或盜竊以及偽造等問(wèn)題,甚至還面臨著與量子計(jì)算相關(guān)的更深遠(yuǎn)挑戰(zhàn)。公眾只有對(duì)CBDC的安全性充滿信心,才會(huì)放心地使用CBDC。因此,CBDC項(xiàng)目要想取得成功,就必須充分考慮并進(jìn)行完備的網(wǎng)絡(luò)安全策略投資。決策者應(yīng)關(guān)注網(wǎng)絡(luò)安全最佳實(shí)踐,比如美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)和微軟“STRIDE”模型發(fā)布的最佳實(shí)踐。本文不僅總結(jié)了世界經(jīng)濟(jì)論壇新白皮書(shū)《CBDC技術(shù)考量》(CBDC Technology Considerations)中的要點(diǎn),還列出了有關(guān)CBDC網(wǎng)絡(luò)安全的其他必要注意事項(xiàng)。
如何確保CBDC在未來(lái)幾十年內(nèi)的安全性?接下來(lái),我們將討論CBDC網(wǎng)絡(luò)安全的四個(gè)主要方面:
憑證盜竊與丟失
資金獲取和轉(zhuǎn)賬均需提供CBDC訪問(wèn)憑證。此類(lèi)憑證可以是密碼形式(即便是采用書(shū)面形式也能夠輕松傳達(dá)),也可以是存儲(chǔ)私鑰的硬件令牌。無(wú)論采用何種方式,由于憑證盜竊和丟失而造成的威脅都非常嚴(yán)重,因?yàn)檫@意味著賬戶資金和數(shù)據(jù)可能會(huì)受到損害。
盜竊可以是物理盜竊,也可以是虛擬盜竊,尤其是在使用密碼憑證的情況下?,F(xiàn)代攻擊者利用社會(huì)工程、旁路攻擊和惡意軟件等從CBDC用戶的設(shè)備中盜取憑證。此外,密碼或硬件令牌可能會(huì)由于火災(zāi)、水災(zāi)或自然災(zāi)害而丟失或損壞,但不能因?yàn)檫@些問(wèn)題就導(dǎo)致CBDC用戶丟失所有資金和數(shù)據(jù)。因此,CBDC系統(tǒng)應(yīng)具內(nèi)置有憑證恢復(fù)機(jī)制。
如果CBDC以區(qū)塊鏈技術(shù)為基礎(chǔ),它可能會(huì)使用多重簽名錢(qián)包,其中至少有兩個(gè)其他受信任方持有該錢(qián)包的憑證(可能是央行本身、家庭成員或終端用戶的其他聯(lián)系人)。然而,多重簽名錢(qián)包也存在缺點(diǎn),其用戶友好性較差,任何轉(zhuǎn)賬皆需至少與另一方進(jìn)行協(xié)調(diào)。當(dāng)前,即使是在2FA極為常見(jiàn)的網(wǎng)上銀行中,這種安全性與易用性的權(quán)衡也非常普遍。但如果CBDC以傳統(tǒng)技術(shù)為基礎(chǔ),特權(quán)機(jī)構(gòu)僅需通過(guò)新的憑證便能輕松簡(jiǎn)單地實(shí)現(xiàn)數(shù)據(jù)庫(kù)條目的更新。
特權(quán)用戶
令人擔(dān)憂的一點(diǎn)是,央行或政府內(nèi)部人員、執(zhí)法人員以及其他代理人可能享有一些特權(quán),例如未經(jīng)用戶同意便凍結(jié)或提取用戶CBDC賬戶中的資金,而這些特權(quán)符合當(dāng)今受監(jiān)管支付系統(tǒng)中的合規(guī)程序。盡管這些角色可能是CBDC的功能需求,但也存在內(nèi)部人員利用特權(quán)濫用CBDC系統(tǒng)的可能性。與其他類(lèi)型的信息安全一樣,央行以及任何參與其中的中介機(jī)構(gòu)均應(yīng)設(shè)有并執(zhí)行涵蓋此類(lèi)特權(quán)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理計(jì)劃。多方機(jī)制,如多重簽名錢(qián)包或其他保護(hù)措施所采用的機(jī)制,可能會(huì)增加此類(lèi)攻擊的難度。
如果CBDC在區(qū)塊鏈技術(shù)上運(yùn)作,其中節(jié)點(diǎn)包括有權(quán)驗(yàn)證或使交易無(wú)效的非央行實(shí)體,那么惡意驗(yàn)證器節(jié)點(diǎn)可能會(huì)構(gòu)成安全威脅,還可能通過(guò)接受或拒絕違背央行意圖的交易來(lái)破壞央行的貨幣權(quán)威性和獨(dú)立性。因此,除非絕對(duì)必要,一般不建議非央行節(jié)點(diǎn)擁有交易驗(yàn)證權(quán)。
系統(tǒng)完整性與“雙花攻擊”
根據(jù)所使用的共識(shí)協(xié)議,具有特權(quán)的非央行節(jié)點(diǎn)可以宣布交易無(wú)效,從根本上阻止交易為網(wǎng)絡(luò)所接受,給CBDC用戶帶來(lái)拒絕服務(wù)攻擊并對(duì)其交易進(jìn)行審查。
非央行節(jié)點(diǎn)的勾結(jié)也可能引起“雙花”攻擊,一種CBDC遭到多次非法使用的偽造形式。這些節(jié)點(diǎn)還可能將分布式賬本“分叉”,創(chuàng)建與央行不一致的交易賬本跟蹤和視圖。CBDC終端用戶可能會(huì)在多個(gè)地方使用其錢(qián)包中的資金,這也構(gòu)成了數(shù)字偽造風(fēng)險(xiǎn)。如果CBDC具有離線能力,雙花風(fēng)險(xiǎn)會(huì)更高,這取決于其所使用的技術(shù)。在這種情況下,雙花交易無(wú)需通常在線進(jìn)行的高安全性驗(yàn)證流程即可發(fā)送至離線實(shí)體。
當(dāng)CBDC用戶處于離線狀態(tài)時(shí),可通過(guò)設(shè)置支出限制和交易頻率來(lái)減少此類(lèi)攻擊的影響。此外,一旦正在執(zhí)行交易的設(shè)備恢復(fù)“在線”狀態(tài),合規(guī)軟件便可以同步離線期間發(fā)生的交易。
量子計(jì)算
最終,量子計(jì)算將影響所有金融服務(wù),因?yàn)樗梢云茐挠糜诒Wo(hù)存儲(chǔ)和傳輸數(shù)據(jù)訪問(wèn)、機(jī)密性和完整性的主要數(shù)據(jù)加密方法和密碼原語(yǔ),CBDC也不例外。因此,在CBDC技術(shù)設(shè)計(jì)過(guò)程中,我們必須考慮新興量子計(jì)算機(jī)的威脅,它可能會(huì)對(duì)保護(hù)CBDC賬戶的密碼機(jī)制造成損害。就央行而言,針對(duì)即將到來(lái)的量子計(jì)算,應(yīng)考慮由某些密碼原語(yǔ)導(dǎo)致的易損性。再者,未來(lái)的量子計(jì)算機(jī)可能會(huì)在不被發(fā)現(xiàn)的情況下破解CBDC系統(tǒng)中的密碼機(jī)制。
網(wǎng)絡(luò)安全、技術(shù)彈性和完備的技術(shù)管理,是CBDC技術(shù)設(shè)計(jì)中最重要的幾個(gè)元素。如果未實(shí)行健全的網(wǎng)絡(luò)安全策略并充分考慮到上述風(fēng)險(xiǎn),可能會(huì)危及公眾數(shù)據(jù)和資金、CBDC項(xiàng)目的成功、央行聲譽(yù)以及公眾對(duì)CBDC的廣泛看法。根據(jù)過(guò)去在網(wǎng)絡(luò)安全故障方面的經(jīng)驗(yàn),網(wǎng)絡(luò)安全不僅僅是“將壞人拒之門(mén)外”或最大限度減少未經(jīng)授權(quán)的帳戶訪問(wèn),它必須是全面的且考慮到了所有風(fēng)險(xiǎn),確保系統(tǒng)按設(shè)計(jì)運(yùn)行并保持完整性。只有這樣,CBDC才能成功實(shí)現(xiàn)其目標(biāo)。
文章轉(zhuǎn)載自財(cái)經(jīng)網(wǎng)