曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        硬件安全模塊(HSM)是如何保護加密貨幣交易所的安全?
        發布時間:2019-02-21 23:50:33   閱讀次數:

        Blockchain Graveyard是一個被攻擊過的比特幣交易所列表。該列表還在不斷增加,這不僅在破壞公眾對加密貨幣的信任,而且還在摧毀公司,客戶和投資者等等。


        硬件安全模塊(HSM)是如何保護加密貨幣交易所的安全?(圖1)


        這些攻擊的根本原因非常多并且通常還很復雜,但是這些漏洞中的大多數通過一種最佳的實踐安全方式本來是可以被阻止的——或者至少可以受到嚴格的限制。

        我們所說的最佳實踐,我們是指銀行機構,電信和政府在過去10年里一直以來的:安全硬件。


        硬件安全模塊HSM 

        硬件安全模塊(HSM)是一種實體計算設備,能夠保護和管理加密密鑰,為安全執行重要代碼提供保護。

        這些模塊以一種PCI卡或者外部rackable設備的形式出現,能夠直接與網絡相連。

        HSM具有內置的防篡改技術,在出現物理漏洞時能夠抹去機密信息。

        他們圍繞著安全的加密處理器的芯片和積極的物理安全措施(如用以減輕邊信道攻擊或總線探測)進行架構。這些設備被廣泛用于銀行業,以及所有必須保護重要機密的行業。


        比特幣交易所和HSM

        唯一不使用HSM的關鍵行業就是比特幣交易所行業(除了Gemini之外)。對于一些未知和神秘的原因,熱錢包的安全架構是基于特設的解決方案,圍繞著現成的框架進行構建,因此,與通用標準或者FIPS140相比,完全無法保證。

        當您處理您無法撤消的私鑰時,而私鑰被破壞將會造成大量損失,你無法在常規服務器架構上獲得它們。


        熱錢包vs 冷錢包 

        大多數的交易所都將大量的(97%+)資產通過冷儲存的方式進行保存。密鑰是完全離線的,黑客是無法獲得的。這是你能夠擁有的最佳保護方式。然而,為了自動支付和保持功能正常,你就需要熱錢包。這些錢包通過API來控制,并且接收命令來對交易進行簽名,以此向想要取款的客戶進行支付。因為你需要能夠自動化這些錢包,所以 這些密鑰必須是實時的,所以就存在了風險。 


        用于交易所的基于HSM的安全架構 

        在這一部分,我們將展示由Ledger公司推薦的基于HSM的架構來確保交易所熱錢包的安全。

        硬件安全模塊(HSM)是如何保護加密貨幣交易所的安全?(圖2)

        以下為上圖中不同的模塊/服務:

        • 交易所引擎:請求支付命令(用戶請求提款)

        • 交易所業務邏輯:能夠查看所有用戶余額,軟/硬提款限額以及支付歷史的API

        • 硬件安全模塊:與交易所資料處理中心服務器(例如:Safenet ProtectServer HSM)相連的PCI卡片

        • Ledger Blue:由PIN代碼保護并且保存在一個保險箱中并且只能由高級管理人員(CEO/CTO)訪問的安全設備

        • 2FA app:在用戶手機中的外部第二因子信道(包括一種不對稱密鑰)


        HSM本身圍繞著以下單元構建:

        • BOLOS core:這就是Ledger操作系統,保護導出所有密鑰對的來源,暴露API,這樣外部企業APP(如比特幣錢包或者一種匹配引擎一致性檢驗)就能操作。這些APP在離線狀態下被進行測試和簽署,并且當系統正在運行時,將無法進行改變。

        • 速率限制器:對簽署授權的HSM的速度設定硬性限制(例如:1000BTC/小時,15000BTC/小時)。這是一個非常重要的數字:它將最終決定在系統被全面破壞的情況下的最大損失量。修改限制器規則的唯一方法通過一個由Ledger Blue設備簽署的授權。

        • 2FA信道:每個簽名請求必須由這個內部插件來驗證。這將需要兩次盤問批準:一個來自于交易所業務邏輯(‘將你的新業務數據發給我,這樣我就能檢查它與以前的系統狀態是否是一致的’),另一個來自用戶本身(‘你確定你想這樣做嗎?’)

        • 比特幣錢包APP:包含所有構建和簽署來自UTXO交易池的交易的邏輯(可以由ETH或者其他加密貨幣錢包來代替)

         

        配置安全系統 

        HSM及其模塊的初始化必須更加以下程序進行:

        • 在配置模式下的HSM:與BOLOS core及其所有插件共同運行(固件的認證通過使用HSM內部邏輯和之前的設置來完成)

        • 設置:HSM生成的一個256位MASter seed。它可以通過使用標準的機制,如Shamir的 Secret Sharing來進行分裂,作為一組BIP39字展示給不同的重要主管。根據每個安全官員最好的做法,制作和維護一份紙質備份。

        • 配對:通過Ledger Blue完成安全的密鑰交換。這時,只有這個設備擁有對速率限制器的授權。此時,可以對與配置引擎相關的初始業務邏輯數據進行配置。

        • 生產:HSM被移動到生產設備并且切換到實時模式。從這時起,配置模式被禁用,任何試圖物理上移動或者攻擊HSM的嘗試都會消除seed。

         

        付款請求的流程 

        比方說,一個用戶想要提取50BTC(所有賬戶余額)到一個他選擇的一個比特幣地址。他登錄交易所并按照提取要求填寫表格。之后的流程為:

        帶有支付地址的一個50BTC支付請求,所有客戶元數據都被通過一個API命令從交易所引擎發送到HSM。


        HSM檢查速率限制器是否能夠處理50BTC大小的支付;獲得綠燈(或者未獲得)


        該HSM現在要求2FA插件提出兩次盤問:一次是向交易所交易邏輯,另一次是向用戶app


        業務邏輯收到取款信息數據,檢查是否與數據庫匹配(用戶獲得取款授權,受到反洗錢規定的限制,有足夠的資金等等);返還之前由HSM和新轉賬信息認證的數據。


        用戶被推在他的2FA app上(之前他已經下載過的,最初與HSM通過交易所界面進行配對),她可以看到一個帶有比特幣地址的50BTC請求。當她確認后,該app會通過使用私有密鑰對該盤問進行簽名。


        2FA插件對這筆支付開綠燈,然后,它被轉發到的比特幣錢包,對這些交易進行簽名(使用UTXO),然后交給交易所引擎,對交易進行廣播,并發布內部命令對其賬本進行更新。

         

        最糟糕的情況 

        讓我們直接假設攻擊者完全掌控了整個交易所(就像一個內部所為一樣)。通過注入虛假的用戶配對,攻擊者可以很容易地欺騙2FA用戶信道。不過,注入虛假市場數據到HSM需要攻擊者小心處理——如果HSM未能通過周期性一致性檢查,它就會關閉簽署插件直到管理員重新激活。


        最后一道防線是速率限制器:攻擊者無法提取超過HSM的硬性限額設定(這個設定是黑客無法改變的,黑客無法觸及Ledger Blue)。幾個小時后,客戶開始抱怨空賬,安全團隊可以緊急關閉HSM?!鐓^’檢測到出現錯誤越快,黑客被阻止的越快。


        最糟糕的情況就是,丟失在速率限制器每小時允許的限額的資金,并且是在黑客攻擊了幾個小時仍舊未被檢測到的情況下。


        黑客能夠奇跡般地從HSM提取master seed的情景是極度不可能的。這些安全模塊都經過仔細的測試,并且大多數漏洞已經被限制為管理界面的濫用或者誤解。當然,你可以說沒有什么是牢不可破的,這確實是事實。但要實現這樣一個壯舉的難度要比控制整個IT構架還要高上幾個數量級。


        另外,我們還可以假設一些Ledger Blue被攻擊者掌控的情形,或者出現黑客訪問了seed備份的情況。因為人類在犯愚蠢錯誤的傾向方面,事實上這可能會是其前進方向...這就是為什么即使是最好的安全技術沒有常識和仔細審核的流程就一無是處。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精