在加密货币的普及度和价值不断上升的背景下,设备设计者正借助研究与测试,在安全性和可用性之间寻求最佳平衡,以保护用户的资产。
当托尼·法戴尔开始研发iPod时,可用性往往优先于安全性。其结果是迭代式开发流程:每当有人发现安全漏洞或入侵设备的方法,开发团队就会迭代增加措施、修复问题。然而,漏洞仍频繁出现,产品的安全设计成了一个移动靶。但当设计专门用于安全目的的设备时,产品推出后就不能再有迭代过程:安全性必须成为第一要务。
“在开发这些东西时,你会成为自己开发速度的牺牲品,”法戴尔说。他开发了用于保护数字资产的签名设备Ledger Stax,现任数字资产安全机构Ledger的董事会成员。“如果你在未经适当审查的情况下引入这些特性功能,而用户又要求安全,你就会意识到当初应该从一开始就采用不同的设计,而且已经做的工作很难回头。”
然而,设计安全技术的一个关键方面也必须是易用性。缺乏易用性,用户很容易犯错或采用不安全的变通方法,从而削弱设备的保护能力。比如把密码写在便利贴上贴在显示器上,或者使用“123456”、“admin”之类的弱密码。
对于数字资产安全设备(如签名器,通常称为“钱包”),这类错误可能导致严重后果。例如,用户的私钥一旦落入不法分子手中,他们就可以借此窃取数字资产。据估计,约20%的比特币(价值约3550亿美元)处于所有者无法访问的状态。原因之一很可能是所有者丢失了私钥。过去,加密设备以极难使用而著称。随着加密货币越来越流行、有价值且进入主流视野——风险升高也吸引了更多犯罪分子的关注——设计者和工程师在开发数字资产设备时,正优先兼顾安全性与可用性,并借助深入研究进行迭代。
安全的三个组成部分
用于保护区块链交易的签名器等设备,其强安全模型需要三个主要组成部分:第一,安全的操作系统;第二,将软件与硬件绑定的安全元件;第三,安全的用户界面。每一个组件都需要由研究者和白帽黑客频繁测试,模拟真实世界的攻击,以提高产品的韧性和可用性。
前两个要素侧重于保护设备的软件和硬件。安全的软件一直是个难题,但过去十年随着安全架构和流程的完善已有所改善。与此同时,硬件安全组件已广泛可用——从计算机上的可信平台模块到智能手机中的安全区——使得数字信息能够实质上与设备锁定。对于加密签名器,硬件必须提供加密能力,软件的安全性也必须频繁测试。例如,某机构拥有安全操作系统、处理加密原语的安全元件,以及防止设备被接管的安全显示屏。
安全性与可用性协同
资产恢复是设计签名器时的一个重要考量。如果恢复选项不易使用,所有者可能失去访问权限;但如果恢复流程不够安全,攻击者就可能利用系统漏洞。例如,通过SIM卡交换攻击,攻击者可以接入用于账户恢复的移动通信渠道,“恢复”受害者的密码并窃取其资产。
在数字资产生态系统中,种子短语(一组12到24个单词,可用作钱包的密码短语)的创建就是提升可用性与安全性的例子。该方案正式名称为比特币改进提案39(BIP-39),为用户提供了一个主密码来解锁其分层确定性钱包。
法戴尔提到,安全团队与用户体验团队之间存在很多创造性张力,以实现便利与安全之间的适当平衡。他指的是某机构的安全研究团队。“我们会模拟和构建用户界面原型,逐步推敲,然后向安全研究团队演示,”法戴尔解释道。“我们反复推敲,寻找平衡两者的最佳解决方案。”
通过安全研究团队的调研,某机构设计了恢复密钥——一种基于NFC的物理卡,用于备份24个单词的助记词——兼具用户友好性和安全性。“我们在行业内首创的做法是加入了一张NFC卡,”法戴尔说。“除了抄写下来,你还可以拥有一张称为恢复密钥的NFC卡。你可以拥有多张恢复密钥,存放在锁箱、保险箱中,或者交给信任的人保管。”
一些政府举措正在努力规范这种安全与可用性的平衡。这包括美国网络安全和基础设施安全局的“安全设计”倡议,旨在将网络安全融入技术产品的设计和制造中;以及英国国家网络安全中心的软件安全实践准则,概述了所有开发或销售软件的组织应遵循的安全原则。
企业安全面临独特挑战
将可用性和安全性嵌入企业设备会增加更多复杂性,因为企业需要多重签名等功能来防范单点故障,无论是来自外部攻击还是内部恶意行为者。
安全设计可以考虑这些需求,采用基于多重签名的安全治理、用于密钥存储的硬件安全模块、可信显示系统及其他可用的安全能力。这些技术对在区块链生态中扮演角色的企业至关重要。未能建立强有力的安全措施可能带来严重后果。例如,2022年,不明网络犯罪分子从某比特币平台窃取了价值超过3亿美元的资产,导致该平台在六个月后关闭。某国的金融监管机构发现了严重的风险管理问题,包括监督不足、缺乏独立审计以及糟糕的安全实践。
法戴尔表示,对企业而言,允许涉及多个利益相关者的多阶段流程至关重要。“要确保攻击向量不仅仅是一个人,因此你需要在所有设备上支持多个人、多个因素,”他说。“这会变成一个真正的组合问题。”
研发保持领先一步
法戴尔表示,为了跟上需求并提供具有更高可见性的强安全性,加密企业需要投资于研发。攻击实验室(如某机构的安全研究中心)可以针对特定的企业安全需求进行真实世界测试,并创建场景来教育管理层和员工了解潜在威胁。
这类研发可以支持设备设计者和工程师在其永无止境的使命中平衡安全措施与可用性,从而使数字资产设备能够帮助用户在不断变化的加密货币和网络环境中保护其数字资产。FINISHED
