區塊鏈儲存個人資訊安全嗎?
我正在邁出區塊鏈開發的第一步,我有一個關於在區塊鏈上儲存一些敏感數據的問題。
假設兩家公司通過區塊鏈開發了文件交換協議。他們不想讓除他們自己以外的任何人訪問他們的資訊。
好的,我認為他們可以在兩種可能性之間進行選擇:
- 文件的內容是加密編碼的。結果直接記錄在區塊鏈上。 優點:公司不得維護自己的數據庫來儲存文件。
反對:也許在區塊鏈上儲存大數據很昂貴;(主要)如果交易對手的驗證密鑰被盜,那麼犯罪分子可以訪問所有文件,因為沒有人可以從區塊鏈中刪除數據。 2. 交易對手只能記錄文件內容的鍊式雜湊結果。
優點:更安全。
反對:在這種情況下,不可能創建完全分散的數據庫,因為每個人都必須自己維護所需的數據才能獲得文件的全部內容。
是否存在在區塊鏈上儲存敏感資訊的最佳實踐?
首先,讓我說區塊鏈技術並非旨在提供數據儲存,不應該像數據庫一樣使用。它的主要目的是在不信任第三方的情況下處理交易並消除雙重支出。儘管如此,人們還是找到了一些方法來在區塊鏈上儲存少量數據,如 PDF 文件、圖像、音頻文件等。但是,這樣做,人們只是將區塊鏈技術用作儲存系統。
- 文件的內容是加密編碼的。結果直接記錄在區塊鏈上。
正如您所指出的,在公共區塊鏈上儲存數據非常昂貴。有關更多詳細資訊,請參閱此內容。這將立即膨脹區塊鏈的大小。此外,如果您加密數據並將其放在區塊鏈上,則存在許多缺點。現在用於加密文本的密鑰和機制可能會在幾年內被破壞。但是,在區塊鏈中,從一開始的所有數據都將存在。因此,幾年後,您的密文有可能被破譯,無論是通過密碼分析還是通過使用窮舉搜尋(蠻力)破解密鑰。
此外,長時間使用相同的密鑰加密文件也不是最佳做法。如果密鑰被破壞一次,攻擊者可以破壞所有過去和未來的通信,即在您的情況下進行文件交換。這違反了完美前向保密原則。
- 交易對手只能記錄文件內容的鍊式雜湊結果。
這是目前使用區塊鏈驗證文件完整性的理想方法。MIT 使用這種機制來儲存學術證書的雜湊值。其程式碼是開源的。他們文章的一個重要亮點:
區塊鏈不是一個簡單的解決方案,它可以修復當今憑證的所有問題。但它確實為改進我們今天擁有的系統提供了一些可能性——這就是我們很高興探索的內容。
最後,您提到的第一個案例
prevents
對交換的文件進行了更改,而第二個案例只能detect
進行更改。