區塊鏈於加密貨幣上的應用,實踐了去中心化的分散式記帳系統。近年來不僅各種加密貨幣如比特幣、以太幣等,價值不斷漲高,去年開始美國企業紛紛購入比特幣進行企業內部的資產配置,顯見加密貨幣已逐漸受到市場與投資人的肯定,商業模式同樣獲得認可。不過,加密貨幣遭駭客竊取的新聞屢見不鮮,存在著資產存放、交易的高度風險;因此,「加密貨幣如何被保管?」是區塊鏈應用中,相當重要的資安議題。
自2020年起,區塊鏈已經成為主流
在加密貨幣系統中,擁有私鑰(Private Key)的人/機構便是該資產的擁有者,反之被盜取私鑰後,則喪失使用資產的權利;有鑑於此,博歐科技CYBAVO技術長徐千洋先生指出,為免除各種資安問題,其核心的關鍵在於私鑰的保管與管理機制。
實際上,市面上已存在針對私鑰管理及加密貨幣安全性的各種解決方案,但虛擬資產在交易授權與操作流程上仍有改善的空間;徐技術長遂以自家博歐科技CYBAVO為例,與眾人分享私鑰安全管理的五個設計服務/機制,包含託管系統模組、多層多簽設計、備援機制、內控機制以及保險理賠等面向。
分散式責任風險模型
關於託管業務的系統,他提出「分散式責任風險模組」 的概念,主要是使用加密演算法將能啟動私鑰的動作分散給私鑰使用者、服務提供商以及受託人,把私鑰的責任、保管與使用區分開來,達到分散風險的目的,他也希望這套系統未來能協助主管機關落實監管科技(Regtech)。
簽名機制介紹
當加密貨幣進行交易時,需要數位簽章做核准,假設一筆數位資產由多位投資人共同享有或為企業組織擁有時,為安全起見,交易動作前往往設計多簽的機制,以避免產生私鑰相關之盜/誤用的風險;徐技術長則進一步提出多層多簽,在多簽的基礎下,增加多層的設計,依照價值額度,規劃分層授權,此舉除了增強私鑰安全管理,也更符合現今企業不同部門與階級的管理方式。
除了管理層面,私鑰本身的備份也是重要的環節,徐技術長解釋,這方面可用更強的加密運算法進行加密,放在不同的雲端儲存,藉由多道的備份保存私鑰,以免資產喪失。
KPMG對加密貨幣託管商的四點建議
另一方面,徐技術長援引KPMG對加密貨幣託管商的四點建議,除了採用最新一代安全性的技術與提供加值服務,也應確保自身合規性,並積極取得第三方信任,徐技術長分享:「如果你是新創企業,或是公司是金融科技產業,你要跟金融體系做生意,或是你要跟海外的客戶做生意的話。那我建議你,合規這件事情,或是證照這件事情,尤其是ISO 27001,你勢必要來做。」
最後,因加密貨幣時常被駭客盜取,衍生出理賠的議題,目前全世界只有五家加密貨幣保險公司,CYBAVO獲得其中之一的德國慕尼黑再保(Munich RE Group)公司加密貨幣理賠保險,過程中保險公司派上一整組技術人員查核CYBAVO技術與業務細節,花了6-8個月之久,才取得保險資格,能在發生資產損失時,獲得相對應的理賠保障。
隨著加密貨幣使用度的提高,私鑰的資安議題除了安全管理技術與機制的優化,於演講最後,徐技術長再次提及博歐科技CYBAVO目前已獲得BSI頒發的ISO 27001資安國際標準驗證以及NIST驗證,確保公司制度、流程的資安管理都符合國際規範,穩定且踏實地走在區塊鏈應用與資安的最後一哩路上。