七国集团官员最近认可了央行数字货币(CBDC)的原则,超过80个国家已启动与CBDC相关的倡议,看来CBDC得到广泛部署只是时间问题。CBDC是中央银行货币的一种数字化形式,可供公众使用;本质上,它可以覆盖那些在本国中央银行实施交易,拥有储蓄账户的个人和公司。巴哈马、中国和尼日利亚的中央银行都已经实施了早期CBDC计划,预计未来会有更多国家加入该行列。如果成功应用的话,CBDC能够帮助政策制定者实现在支付效率、金融普惠、银行和支付竞争力、数字支付时代中央银行资金的安全访问等方面的目标。
然而,与任何其他数字支付系统一样,CBDC可能会受到网络安全攻击、账户泄露、数据和盗窃、造假以及与量子计算相关的更深远的挑战。为了让公民有信心地采用CBDC,他们必须增强对CBDC安全的信心。更重要的是,如果不仔细考虑和投资强大的网络安全战略,CBDC就无法成功实施。决策者应关注网络安全方面的最佳实践,如美国国家标准与技术研究所(NIST)发布的最佳实践和微软的STERID模型。本文总结了世界经济论坛发布的新白皮书《CBDC技术考虑》的要点,并阐述了有关CBDC网络安全的其他必要注意事项。
在未来几十年中,我们如何保证CBDC安全性?我们在下文讨论了其网络安全的四个主要方面:
凭证被盗和丢失
资金的使用和转移需要CBDC准入证书。该凭证可以采用易于传输的密钥短语(即使在纸上)或存储私钥的硬件凭证的形式。在任何形式下,凭证的盗窃和丢失都将构成重大威胁,这意味着账户资金和数据可能会遭到破坏。
被盗情形可以发生在物理或虚拟的情况下,尤其是设有密码短语时。考虑到现代网络攻击者的各种手段,可以使用社会工程学、边信道攻击和恶意软件等技术来从CBDC用户的设备中提取凭证。此外,如果密码短语或硬件证书因火灾/水灾或自然灾害而丢失/损坏,CBDC用户不应直接丢失其所有资金和数据。因此,系统应具有嵌入式认证恢复机制。
如果CBDC基于区块链技术,它可以采用多重签名(“multi-sig”)钱包,其中至少有两个受信任的关联方拥有该钱包的凭证(可能是中央银行本身和/或家庭成员或最终用户的其他联系人)。多重签名钱包的缺点是它们对用户不友好,因为发起任何一笔转账都需要与至少其他一方协调。即使在双重验证(2FA)被广泛使用的今天,这种安全性和可用性之间的权衡在网上银行仍然很常见。如果CBDC基于传统技术,特许权威方则可以直接根据新凭证来更新某个数据库条目。
拥有特许角色的用户
值得关注的是中央银行或内部政府工作人员、执法机构和其他机构可能被允许采取特许行为,如未经用户同意冻结或提取CBDC账户中的资金。这些权力还必须符合当今受监管支付系统的合规程序。尽管向某些人提供特许权可能是CBDC的一项功能要求,但它可能会帮助一些内部人士恶意攻击该系统。与其他类型的信息安全一样,中央银行和任何相关中介机构应制定并实施网络安全风险管理计划,多方机制,如多重签名钱包或其他保护措施,可能会使发动此类攻击变得困难。
如果中央银行基于区块链技术运营,且区块链节点包括有权验证交易或宣布交易无效的非中央实体,则恶意验证方节点可能构成安全威胁。它们还可以接受或拒绝违背央行意愿的操作,从而破坏中央银行的货币权威和独立性。因此,除非绝对必要,一般不建议向非中央银行授予节点交易验证权。
系统完整性和“双重支付”
根据使用的共识协议,具有特许权的非中央银行节点可以宣布交易无效,这从本质上防止网络接受该交易,并对CBDC用户形成拒绝服务型攻击,对其交易进行审查。
“双重支付”攻击也可以通过与非央行节点合谋实施,这是一种造假行为,意味着CBDC被非法消费多次。这些节点还可以选择“分岔”分布式账本,以创建不同于中央银行交易账簿的交易路径和视图。CBDC终端用户可以试图在多场景花销他们钱包里的资金,这也构成了数字造假。如果相关CBDC支持离线消费,则双重支付风险将更高,具体取决于其使用的运营技术;在这种情况下,双重支付交易记录可能发送给线下经济实体,而无需通过通常在线执行的高安全性验证流程。
通过限制CBDC用户的离线费用并规定其交易频率,可以降低此攻击造成的破坏力。此外,一旦正在进行交易的设备重新“上线”,合规软件可以同步离线时发生的任何约定交易。
量子计算
量子计算最终将影响所有金融服务,因为它破坏了主要的数据加密方法和密码学原语,这些加密方法和密码学原语是用于保护所存储和传输数据的访问路径、保密性和完整性的。CBDC也不例外。因此,在技术设计过程中,我们必须考虑到量子计算机的威胁,量子计算机可以破坏用于保护CBDC帐户的密码学。例如,中央银行应该考虑到某些原语面临量子计算的脆弱性。此外,未来的量子计算机可以在不被发现的情况下破坏CBDC系统的加密。
网络安全、技术弹性和健全的技术治理是CBDC技术设计中需要考虑的最重要因素。如果我们不实施强有力的网络安全战略,不考虑上述风险,公民的数据和资金可能会受到破坏,CBDC计划可能难以成功实施,这将危及中央银行的声誉,并影响公众对新货币的看法。根据过去网络安全实践失败的经验,安全标准不仅是“不允许坏人进入”或尽量减少未经授权访问帐户;其应全面并考虑所有风险,以确保系统在设计时按预期运行,保持其完整性且不受损。只有这样,CBDC才能成功实现其目标。
PDF版本将分享到199IT知识星球,扫描下面二维码即可!
