世界經(jīng)濟(jì)論壇：央行數(shù)字貨幣需警惕四大網(wǎng)絡(luò)安全威脅

隨著七國(guó)集團(tuán)（G7）官員批準(zhǔn)了針對(duì)央行數(shù)字貨幣（CBDC）的13項(xiàng)公共政策原則，80多個(gè)國(guó)家發(fā)起了與CBDC相關(guān)的某種形式倡議，CBDC的廣泛部署似乎只是時(shí)間問(wèn)題。作為一種可供公眾使用的數(shù)字形式央行貨幣，從本質(zhì)上講，CBDC由能夠在本國(guó)央行進(jìn)行交易和開(kāi)立儲(chǔ)蓄賬戶的個(gè)人和公司組成。巴哈馬、中國(guó)和尼日利亞都已經(jīng)開(kāi)展了早期CBDC項(xiàng)目，未來(lái)估計(jì)還會(huì)有更多的同類項(xiàng)目。如果這些項(xiàng)目能夠取得成功，CBDC將可以幫助政策制定者實(shí)現(xiàn)諸多目標(biāo)，例如支付效率、金融包容性、銀行和支付競(jìng)爭(zhēng)力以及在數(shù)字支付時(shí)代擁有安全的央行貨幣等。
然而，與其他數(shù)字支付系統(tǒng)一樣，CBDC也容易遭受到網(wǎng)絡(luò)安全攻擊、賬戶和數(shù)據(jù)泄露或盜竊以及偽造等問(wèn)題，甚至還面臨著與量子計(jì)算相關(guān)的更深遠(yuǎn)挑戰(zhàn)。公眾只有對(duì)CBDC的安全性充滿信心，才會(huì)放心地使用CBDC。因此，CBDC項(xiàng)目要想取得成功，就必須充分考慮并進(jìn)行完備的網(wǎng)絡(luò)安全策略投資。決策者應(yīng)關(guān)注網(wǎng)絡(luò)安全最佳實(shí)踐，比如美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）和微軟“STRIDE”模型發(fā)布的最佳實(shí)踐。本文不僅總結(jié)了世界經(jīng)濟(jì)論壇新白皮書(shū)《CBDC技術(shù)考量》（CBDC Technology Considerations）中的要點(diǎn)，還列出了有關(guān)CBDC網(wǎng)絡(luò)安全的其他必要注意事項(xiàng)。
如何確保CBDC在未來(lái)幾十年內(nèi)的安全性？接下來(lái)，我們將討論CBDC網(wǎng)絡(luò)安全的四個(gè)主要方面：
憑證盜竊與丟失
資金獲取和轉(zhuǎn)賬均需提供CBDC訪問(wèn)憑證。此類憑證可以是密碼形式（即便是采用書(shū)面形式也能夠輕松傳達(dá)），也可以是存儲(chǔ)私鑰的硬件令牌。無(wú)論采用何種方式，由于憑證盜竊和丟失而造成的威脅都非常嚴(yán)重，因?yàn)檫@意味著賬戶資金和數(shù)據(jù)可能會(huì)受到損害。
盜竊可以是物理盜竊，也可以是虛擬盜竊，尤其是在使用密碼憑證的情況下?，F(xiàn)代攻擊者利用社會(huì)工程、旁路攻擊和惡意軟件等從CBDC用戶的設(shè)備中盜取憑證。此外，密碼或硬件令牌可能會(huì)由于火災(zāi)、水災(zāi)或自然災(zāi)害而丟失或損壞，但不能因?yàn)檫@些問(wèn)題就導(dǎo)致CBDC用戶丟失所有資金和數(shù)據(jù)。因此，CBDC系統(tǒng)應(yīng)具內(nèi)置有憑證恢復(fù)機(jī)制。
如果CBDC以區(qū)塊鏈技術(shù)為基礎(chǔ)，它可能會(huì)使用多重簽名錢包，其中至少有兩個(gè)其他受信任方持有該錢包的憑證（可能是央行本身、家庭成員或終端用戶的其他聯(lián)系人）。然而，多重簽名錢包也存在缺點(diǎn)，其用戶友好性較差，任何轉(zhuǎn)賬皆需至少與另一方進(jìn)行協(xié)調(diào)。當(dāng)前，即使是在2FA極為常見(jiàn)的網(wǎng)上銀行中，這種安全性與易用性的權(quán)衡也非常普遍。但如果CBDC以傳統(tǒng)技術(shù)為基礎(chǔ)，特權(quán)機(jī)構(gòu)僅需通過(guò)新的憑證便能輕松簡(jiǎn)單地實(shí)現(xiàn)數(shù)據(jù)庫(kù)條目的更新。
特權(quán)用戶
令人擔(dān)憂的一點(diǎn)是，央行或政府內(nèi)部人員、執(zhí)法人員以及其他代理人可能享有一些特權(quán)，例如未經(jīng)用戶同意便凍結(jié)或提取用戶CBDC賬戶中的資金，而這些特權(quán)符合當(dāng)今受監(jiān)管支付系統(tǒng)中的合規(guī)程序。盡管這些角色可能是CBDC的功能需求，但也存在內(nèi)部人員利用特權(quán)濫用CBDC系統(tǒng)的可能性。與其他類型的信息安全一樣，央行以及任何參與其中的中介機(jī)構(gòu)均應(yīng)設(shè)有并執(zhí)行涵蓋此類特權(quán)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理計(jì)劃。多方機(jī)制，如多重簽名錢包或其他保護(hù)措施所采用的機(jī)制，可能會(huì)增加此類攻擊的難度。
如果CBDC在區(qū)塊鏈技術(shù)上運(yùn)作，其中節(jié)點(diǎn)包括有權(quán)驗(yàn)證或使交易無(wú)效的非央行實(shí)體，那么惡意驗(yàn)證器節(jié)點(diǎn)可能會(huì)構(gòu)成安全威脅，還可能通過(guò)接受或拒絕違背央行意圖的交易來(lái)破壞央行的貨幣權(quán)威性和獨(dú)立性。因此，除非絕對(duì)必要，一般不建議非央行節(jié)點(diǎn)擁有交易驗(yàn)證權(quán)。
系統(tǒng)完整性與“雙花攻擊”
根據(jù)所使用的共識(shí)協(xié)議，具有特權(quán)的非央行節(jié)點(diǎn)可以宣布交易無(wú)效，從根本上阻止交易為網(wǎng)絡(luò)所接受，給CBDC用戶帶來(lái)拒絕服務(wù)攻擊并對(duì)其交易進(jìn)行審查。
非央行節(jié)點(diǎn)的勾結(jié)也可能引起“雙花”攻擊，一種CBDC遭到多次非法使用的偽造形式。這些節(jié)點(diǎn)還可能將分布式賬本“分叉”，創(chuàng)建與央行不一致的交易賬本跟蹤和視圖。CBDC終端用戶可能會(huì)在多個(gè)地方使用其錢包中的資金，這也構(gòu)成了數(shù)字偽造風(fēng)險(xiǎn)。如果CBDC具有離線能力，雙花風(fēng)險(xiǎn)會(huì)更高，這取決于其所使用的技術(shù)。在這種情況下，雙花交易無(wú)需通常在線進(jìn)行的高安全性驗(yàn)證流程即可發(fā)送至離線實(shí)體。
當(dāng)CBDC用戶處于離線狀態(tài)時(shí)，可通過(guò)設(shè)置支出限制和交易頻率來(lái)減少此類攻擊的影響。此外，一旦正在執(zhí)行交易的設(shè)備恢復(fù)“在線”狀態(tài)，合規(guī)軟件便可以同步離線期間發(fā)生的交易。
量子計(jì)算
最終，量子計(jì)算將影響所有金融服務(wù)，因?yàn)樗梢云茐挠糜诒Ｗo(hù)存儲(chǔ)和傳輸數(shù)據(jù)訪問(wèn)、機(jī)密性和完整性的主要數(shù)據(jù)加密方法和密碼原語(yǔ)，CBDC也不例外。因此，在CBDC技術(shù)設(shè)計(jì)過(guò)程中，我們必須考慮新興量子計(jì)算機(jī)的威脅，它可能會(huì)對(duì)保護(hù)CBDC賬戶的密碼機(jī)制造成損害。就央行而言，針對(duì)即將到來(lái)的量子計(jì)算，應(yīng)考慮由某些密碼原語(yǔ)導(dǎo)致的易損性。再者，未來(lái)的量子計(jì)算機(jī)可能會(huì)在不被發(fā)現(xiàn)的情況下破解CBDC系統(tǒng)中的密碼機(jī)制。
網(wǎng)絡(luò)安全、技術(shù)彈性和完備的技術(shù)管理，是CBDC技術(shù)設(shè)計(jì)中最重要的幾個(gè)元素。如果未實(shí)行健全的網(wǎng)絡(luò)安全策略并充分考慮到上述風(fēng)險(xiǎn)，可能會(huì)危及公眾數(shù)據(jù)和資金、CBDC項(xiàng)目的成功、央行聲譽(yù)以及公眾對(duì)CBDC的廣泛看法。根據(jù)過(guò)去在網(wǎng)絡(luò)安全故障方面的經(jīng)驗(yàn)，網(wǎng)絡(luò)安全不僅僅是“將壞人拒之門外”或最大限度減少未經(jīng)授權(quán)的帳戶訪問(wèn)，它必須是全面的且考慮到了所有風(fēng)險(xiǎn)，確保系統(tǒng)按設(shè)計(jì)運(yùn)行并保持完整性。只有這樣，CBDC才能成功實(shí)現(xiàn)其目標(biāo)。
文章轉(zhuǎn)載自財(cái)經(jīng)網(wǎng)