本站专注区块链信息及金融服务,但不代表任何投资建议

王峰十问第24期 | 计算机安全教母宋晓冬:畅聊区块链与隐私保护、深度学习、安全防护的关系(附音频)

王峰十问 ·

2018年09月06日

热度: 249720

北京时间9月5日21点,“火星财经创始学习群”将迎来“王峰十问”第二十四期,对话嘉宾是加州伯克利分校计算机教授宋晓冬。

00:00
--:--


对话时间:9月5日21点

微信社群:火星财经创始学习群

对话嘉宾

宋晓冬(Dawn Song):加州大学伯克利分校计算机系教授,Oasis Labs创始人兼CEO,被?#25945;?#35465;为“计算机安全教母”。研究方向包括深度学习、机算机和网络安全、区块链等。曾获麦克阿瑟奖 (MacArthur Fellowship),古根海?#26041;?Guggenheim Fellowship),斯隆研究奖 (Alfred P. Sloan Research Fellowship),《麻省理工科?#35745;?#35770;》“35岁以下科技创新35人”奖 (TR-35 Award)等;是计算机安全领域中论文被引用?#38382;?#26368;多的学者(AMiner Award)。

王峰:火星财经发起人,蓝港互动集团(HK.8267)创始人,极客帮创投合伙人,曾任金山软件高级副总裁。

以下为对话原文整理

王峰:Hi,大家晚上好,久违了,欢迎回到火星财经“王峰十问?#20445;?#20170;天是第二十四期。 快两个月不见了。哈哈。给大家介绍今晚的嘉宾:加州大学伯克利分校计算机系教授宋晓冬(Dawn Song)。她可是安全领域的资深大牛啊。

我们每个人都生活在信息大爆炸的时代。据福布斯报道,每一天,APP和社交网络发送信息总计超过600亿条,电子?#22987;?#21457;送达到2690亿封,?#27426;?#20449;息数据的泄露、被盗用、被篡改等现象也屡屡发生,而且愈演愈烈。区块链技术不可篡改、分布式的特质,让我们有机会能掌控自己的数据隐私,但公开透明的账本,却让海量用户数据在链上曝光,隐私问题依旧如空中阁楼,没有得到根本解决。

我和宋教授第一次见面是在上周的火星硅谷区块链峰会上,我现场聆听了宋教授主持的“炉火对话?#20445;?#21518;来又一起晚餐,只?#19978;?#26102;间都太紧?#29275;?#27809;来得及和宋教授进行深度交流。

很荣幸今晚邀请宋教授参与火星财经的“王峰十问”。宋教授素有“计算机安全教母”的美誉,个人从业经历横跨网络安全、人工智能和区块链三个领域,相信今晚与宋教授的对话,一定能够给我们以更多启发?#36864;?#32771;。下面,开始我们今天的“王峰十问”吧。

第一问

王峰:我的问题总是很长。哈哈。上周二,我们在火星硅谷区块链峰会见面,您和Dfinity联合创始人Tom Ding、布比网络CEO蒋海一起参与的关于“公链与分布式金融”的炉火对话,令人印象深刻。我特别注意到,您和Tom Ding都是常驻硅谷的华人,当天出席活动的DxChain创始人张亮、QuarkChain创始人周期、Celer Network创始人董沫、Ultrain联合创始人廖志宇等等嘉宾,也都是中国背景的硅谷创业者或在美留学的归国创业者。


火星硅谷区块链峰会“公链与分布式金融”炉火对话

?#27426;?#20316;为区块链鼻祖的比特币,其创始人中本聪的身份虽是未解之谜,但更大可能性来自美国、日本或者加拿大;以太坊创始人Vitalik Buterin和EOS创始人Daniel Larimer则分别来自俄罗斯和美国。这与目前新一代公链,国内创业者或者湾区华裔人士唱主角的现?#21019;?#30456;径庭。

我隐隐感觉到,公链下一步竞争的入围者们大都来自华人。有硅谷的朋友告诉我,这一波区块链创业者,估计有超过?#35805;?#20197;上是来自硅谷大公司的华人,这个比例?#23545;?#39640;于互联网时代的硅谷华人从业者比重。您认为,龙的传人会成为下一轮公链竞争,乃至区块链行业的主导力量吗?#20811;?#30528;区块链在国内及海外华人社区的大热,会不会从起步初期,华人在技术、产品和社区方面?#36879;?#26377;优势呢?

Dawn Song:我?#26377;?#22312;中国长大,1992年到1996的时候在清华?#24278;?#29702;。大学毕业之后去了美国读研究生, 之后做一名教计算机的教授。算起来,?#20197;?#32654;国生活了20多年,期间亲眼看着中国发生了巨大的变化,像火箭一样快速发展。我觉得,很少有?#22235;?#39044;见到中国今天的变化。


举个例子吧。?#20197;?#32654;国读研的时候,包括计算机科学在内的顶级研究会议上,是很少找到中国人的论文的。但现在就完全不一样了,很多领域的顶级研究会议上,中国人的论文要?#24049;?#22823;比例。在一些新兴和高精尖技术的部署方面,中国的发展也非常给力。

?#28909;?#31227;动支付和人工智能在快速融入像人脸识别这样的?#23548;视?#29992;?#26657;?#20013;国这些方面的发展?#35753;?#22269;和世界绝大多数地方?#23478;?#24555;。现在新技术正在快速地改变国人生活。想想来真的很激动,这些例子只是缩影,背后是中国科学家、企?#23548;搖?#21508;行各业的从业者,乃至整个中国在短时间内所获得的惊人成就。

这些现象背后有很多原因。很多中国人?#21364;?#26126;?#26234;?#22859;,在探索新方向和新领域方面又非常的“胆大包天”。另外,中国的竞争比世界其它地方更激烈,这让中国人?#20174;?#26356;快,更容?#36164;视?#29615;?#24120;?#21019;造力更强。除此之外,中国还是世界最大的市场之一,这也为新技术的发展提供了巨大优势。我觉得上面这些原因也?#35270;?#20110;区块链。我们现在已经看到了,很多区块链项目是由中国人领导的。不少中国公司和机构也在积极尝试不用方向的应用。如果一些创新应用最早出现在中国市场,我一点也不会觉得意外,我相信中国的人才将会成为区块链领域的核心玩家。另外,人们常常关注公链的竞争,但我觉得合作精神也很重要。通过合作,不同的团队和不同的办法才能集中在一起,探索这个领域,把区块链提升到一个新水平,同时催生新应用。

王峰: 我们在硅谷办区块链大会,很多人说怎么都是中国人的面孔,这和最初互联网兴起的时期气氛不太一样啊。

我们还记得,2000年后,互联网很快陷入寒冬,原因是?#26102;?#24066;场对互联网商?#30340;?#24335;的不确定,虽然当初用户增长迅猛,但仍导致华尔街对互联网项目的?#36164;邸?#20114;联网是经历了漫长的煎熬才看见了钱途,而中国公司后续的崛起,与电商、游戏等直接来钱的业务成长有关。区块链天生具备价值传递的属性,和历史上的互联网比起来,显然前者离钱更近。您认为,华人积极参与区块链创业与华人对财富?#26159;?#31243;度?#24418;?#20851;系?#31354;?#20010;问题,是不是?#34892;?#20882;昧。

Dawn Song:在我看来,中国人是实用主义和理想主义的完美结合体。而区块链能够吸引到中国人,一方面是因为探索新领域本身充满吸引力,另一方面是区块链令人遐想的未来前景?#36864;?#30340;长远影响。

第二问

王峰:让我们回到今天的主题。数据泄露?#24405;?#24050;经日益成为公众的热议话题。就在上周,华住旗下?#39057;?#34987;爆客户数据泄露,暗网标价8个比特币或520个门罗币,涉及1.3亿用户?#27597;?#20154;身份信息及隐私开房记录;快递行业巨头顺丰也有超过3亿条数据疑似流出。加之今年3月Facebook 5000万名用户资料泄露,去年11月Uber被爆曾隐瞒5700万账户数据泄露等?#24405;?#30340;发生,这个时代似乎已经?#24278;?#20010;人隐私可言。有哈佛大学学者甚至公开表示:个人隐私已死。您认为,区块链技术在解决隐私保护问题方面给我们带来?#22235;?#20123;新的希望?区块链能否让互联网环境下苦不堪言?#27597;?#20154;隐私?#20843;蓝?#22797;生?#20445;?nbsp;


快递行业巨头顺丰有超过3亿条数据疑似流出

Dawn Song:首先,分布式账本是在分布的、互不信任?#27597;?#26041;之间达成协议。区块链本身并不能为你提供隐私保障。?#28909;?#22312;以太坊网络和绝大部分现有?#25945;?#19978;,所有的数据和智能合?#32423;?#26159;公开的,不存在隐私保障。但是,人们又希望能通过区块链部署涉及敏感数据的应用,例如医疗保健、金融服务、物联网等等。因此,在区块链上建立隐私保障技术来支持这些应用,就显得非常重要了。

王峰:隐私是一个自由人的权利和尊严。从人类抓起树叶遮羞之时起,隐私就产生了。以我的理解,保护好隐私,可以用来防止他人对自己?#31561;?#36947;四,给自己一个绝对封闭的心里安全空间。有人用“化名”和“匿名”来解释,今天的区块链,更多解决了“化名”身份,而不是“匿名”身份。?#23548;?#19978;,两者不完全一?#38534;?#20197;比特币系统的交易为例,使用者无需使用真名,而是采用公钥哈希字符串作为交易标识,像一个化名,但由于用户会反?#35789;?#29992;公钥哈希值,交易之间显然能建立关联,因此,?#35789;?#26159;今天的比特币,也并不真的具?#25913;?#21517;性,?#23548;?#19978;就没有隐私可言。

在我看来,隐私性正成为推动区块链下一波?#39034;?#30340;关键因素。您在今年4月份发表的论文《Ekiden: A Platform for Confidentiality-Preserving, Trustworthy, and Performant Smart Contract Execution(Ekiden:一个保护隐私、可信?#30331;?#39640;效能的智能合约执行?#25945;ǎ分校?#23545;Ekiden在保护隐私方面的技术架构进行了重点阐述。


论文截图

为?#35009;?#24744;决定创办的Oasis Labs的时候,会把隐私保护放到如此重要的一个位置?您的团队在这方面有?#35009;?#20248;势?您心目中完美的隐私保护环境是?#35009;?#26679;的?能否举例并加以描述?

Dawn Song:我们和很多DApp开发团队聊天,发现大多数团队想开发的应用都需要处理敏感数据。他们很想有一种在能使用区块链?#25945;?#26102;保护数据隐私的方法,?#28909;?#26500;建分散式信用评分模型,分散式欺诈检测,基于区块链的基因组数据和物联网的数据市场,等等。所有这些应用程序都需要保护数据隐私。没有隐私保护,这些应用根本不可能实现。 现有的区块链?#25945;?#26080;法提供这样的隐私保护功能。 我们看到了市场对于隐私保障区块链?#25945;?#30340;需求,这也是Oasis项目受到?#21040;?#21450;DApp开发者关注的一个主要原因。

我和团队在安全隐私领域工作过很长时间,我本人?#37038;?#23433;全领域几十年。 在安全领域,我们积累了很多经验和专业知识,?#37096;?#21457;了不少技术,包括已经在Uber应用的隐私保护数据分析技术。 除此之外,我们还写了第一篇使用安全硬件实现智能合约隐私保护的研究论文。 这些经验、知识?#22270;?#26415;可以帮助我们构建一个以保护隐私作为主要目标之一的区块链?#25945;ā?br>

隐私?#23548;?#19978;是一个非常复杂的话题,许多人搞不清安全和隐私?#27597;?#24565;,哪怕区块链行?#36947;?#25163;也常常搞混。 为了帮助大家搞清楚区块链中安全和隐私?#27597;?#24565;,我们写过一篇文章,大家可以点击?#31169;?#19968;下。

https://docs.qq.com/doc/BqI21X2yZIht1Wep9b0lS2Bb4FPZzf36S9eQ0ceNId363cdp0IQmKC2Cjyb92CZuFD1HtHi61OoJba3VSYkP1


文章截图

为了最好的解决隐私保护?#27597;?#31181;挑战,我们集成了各种隐私保护的技术, 包括安全硬件、加密算法、 叉分隐私等。

第三问

王峰:我认为目前的公链已经是一个?#23548;?#19981;堪的赛道了。2018年被许多人称作“公链元年?#20445;?#21487;能有30多条公链在今年内主网上线,和早已主网上线的热门公链项目ETH、EOS、NEO、QTUM、TRON?#26085;?#24320;同台竞技,激?#39029;?#24230;丝毫不亚于还在硝烟?#33268;?#30340;数?#21482;?#24065;交易所大?#20581;?/p>

教授您创办的Oasis Labs希望通过打造一个高性能的区块链?#25945;ǎ?#21516;时它还能提供完整的隐私保护,甚至提出在区块链上实现诸如人工智能等计算密集型应用的目标,对投资者来说,自然充满想象力。


Oasis Labs创始团队

?#23548;?#19978;,很多?#30340;?#21516;业者都试图去同时解决去?#34892;?#21270;、安全和效率问题,以突破所谓的?#23433;?#21487;能三角?#20445;?#20294;是这是非常困难的。当然,进一步拆分,安全里还有一层独立的“隐私”问题。不如我们把问题简单化,一步一步来,您认为,眼下最需要优先解决的是?#35009;?#38382;题,安全性?隐私性?可扩展性?

Dawn Song:隐私保护和可扩展性是目前区块链需要解决的两个最重要的问题。 对于可扩展性,我觉得人们需要意识到,它不仅仅是指具?#38468;?#39640;的TPS。 为了支持区块链在医疗保健、金融服务等领域得到?#23548;视?#29992;,区块链?#25945;?#36824;必须为复杂的智能合约提供可扩展性。

王峰:很多新进入或者准?#38468;?#20837;市场的公链,目标是取代以太坊,有人把他们包装成为所谓的区块链3.0。可是我发现,大量项?#23458;?#24448;是基于以太坊的ERC20标准和EVM(以太坊虚拟机)开发,?#21019;?#35848;要超过以太坊,这不由让我想到,许多安卓上的ROM(或UI)都基于安卓原生系统的开发,谷歌?#30475;?#21319;级?#21152;?#21709;它们的版本迭代,但这些基于安卓系统的ROM(或UI)很难超越安卓本身。而在当前,无论是从应用落地还是生态建设,还没有出现能撼动以太坊位置的公链,您认为其中核心的原因是?#35009;矗?#30446;前公链之争的关键要素是?#35009;矗?br>


公链想取代以太坊的现象类似于“定制安卓和谷歌原生安卓的博弈”

Dawn Song:以太坊网络是第一个建立智能合约的区块链?#25945;ǎ?#36816;营了不少年,社区也很活跃。 现在市场上的区块链?#25945;?#36234;来越多,DApp开发者有了更多选择,需要评估哪些方案更适合自己的应用。 就像不同的计算机语言支持不同类型的程序应用一样,未来我认为我们?#19981;?#30475;到不同的区块链?#25945;?#25903;持不同类型的DApp。?#28909;?#38656;要不同功能、信任假设、权衡机制、可用性设计选择的DApp,可以运行在与之对应的区块链?#25945;?#19978;。

王峰:众所周知,以太坊目前遭遇了很多争议,Vitalik在尝试通过Sharding分片提高效率,通过零知识证明提供隐私保护,全力改进和优化以太坊。而据BTCmanager最新消息,以太坊团队日前?#20013;?#24067;将推迟Casper开发一年,这个消息并没有被官方确认,但市场迅速做出跳水?#20174;Γ珽TH下跌10%。您本人是否还看好以太坊?如果您给以太?#35805;?#33033;,会给以太坊开?#35009;?#33647;方?

Dawn Song:以太坊网络是第一个建立智能合约的区块链?#25945;ǎ?#24182;拥有一个活跃的社区。 我认为我们都从以太坊可以学到很多如何建立一个成功社区的经验。当然,在开发区块链?#25945;?#30340;治理结构,集中/分散的程度以及在系统中进行变更和新开发的容易?#38498;退?#24230;方面?#21152;?#24456;多取舍。

王峰:对于通用型公链的生态布局和未来发展机会,您是如何构想的?与通用型公链相对应,定制型公链也被很多人看好。因为不同的业务场景对底层公链的性能、共识机?#39057;?#26377;不同的要求,搭建个性化的定制型公链成为一些行业和应用的迫?#34892;?#27714;。在接下来的竞争?#26657;?#20320;更看好通用型公链,还是定制型公链?#35838;?#26469;公链市场上,是会出现百链千链共存,还是一两个赢家通吃的局面?

Dawn Song:正如我前面说过的,我觉得未来会看到不同的区块链?#25945;?#24212;用于不同类型DApp,就像不同类型的计算机语言适合不同类型的应用程序。

第四问

王峰:万向区块链董事长肖风博士在最近提出,一个公链的货币价值,就看 DApp 能够创造出来的经济价值总量,未来有可能出现1万亿甚至5万亿美元价值的公链。您认为公链被?#30340;?#20154;士看高估?#24403;?#21518;的原因是?#35009;矗?#24744;能够给我们描述,一个完美的公链以及其生态,究竟会美好到?#35009;?#26679;子?#31185;还?#20844;司目前的最新市值也才刚刚突破1万亿美元。


今日?#36824;?#24066;值快照

Dawn Song:说实话,我认为人们并不?#31169;?#22914;何评估区块链?#25945;?#30340;价值。 这是一个全新的等待开发的科学领域。 在互联网的发展史上,人们花了一定的时间来制定评估?#21103;輳?#20363;如日活跃用户数量等。我认为确定如何评估一个区块链?#25945;?#30340;价值,背后需要进行大量研究,特别是当我们看到新的商?#30340;J接?#29616;在区块链中的时候。

王峰:今年7月9日,Oasis Labs宣布完成4500万美元的融资,投资方基本上囊括了市场上最主要的区块链投资机构。从今年一季度后,整个区块链的二级市场陷入熊?#26657;?#26368;近2个月更进一步加剧,有悲观者认为可能会进一步?#20013;?#21040;整个明年。市场的整体情况是否会影响到Oasis Labs后续的融资估值?

Dawn Song:我们专注于构建技术、构建底层区块链?#25945;ǎ?#20197;及新技术因应用而产生的长期价值。 所以我们并不太关注市场的短期起伏。

第五问

王峰:鉴于新一代公链项目的研发所采用的技术手段越来越相似,有人认为,2019年公链的竞争技术因素将只有30%,70%将取决于BD和运营。过往经历看,您的两次创业也都是偏技术型的公司,好像并不依赖于这两方面的建设。不知在区块链社区及BD方面你是否有所布局,或者说找到合适的帮手?

技术手段越来越相似的看法,您同意吗?

Dawn Song:我们是一支非常技术化的团队,但我们也一直在招BD和社区运营的伙伴。我们充分认识到社群生态的重要性,尤其是我们希望在?#25945;?#19978;构建不同种类的新应用,也帮助不同行?#21040;?#34892;转变。所以,我们一直都在招聘BD和社区运营团?#21360;?#20004;个月前,我们刚刚开始对外启动,目前已经有很多开发人员对Oasis?#25945;?#24456;?#34892;?#36259;, 要在Oasis?#25945;?#19978;建应用。 我们正在积极与应用开发人员建立合作关系,一起创建区块链生态。

王峰:在我的印象里,Oasis Labs沟通半径更多是在海外区块链及学术圈,在中国市场,通常意义的认知度是不够的,只是在顶尖投资人圈子中有认知,中文的社区运营方面几乎没有开始,甚至找不到中文的网站。你怎么看中国的市场,未来在中国有多大的期望?


Oasis Labs官网,无中文切换

Dawn Song:我们大约在两个月?#23433;?#23545;外启动。而且我们一直专注于构建底层链技术,和DApp开发者一起打造应用。 就像我前面提到的,我坚信中国会成为全球区块链的主要角色。 所以我们非常期待与国内社区密切合作。

第六问

王峰:根据CB Insights统计数据,2017年,全球范围内有152亿美元的投资,被?#24230;?#21040;AI领域,比2016年增加141%;根据零壹智库数据显示,2017年全球与区块链+数?#21482;?#24065;领域融资相关?#24405;?#36798;63笔,融资金额49亿元。而今年第一季度,区块链领域融资额就已高达67.2亿元,超过去年全年的融资额。我注意到很多侧重AI的基金转向区块链,?#28909;?#21478;外一位学者张首晟创办的丹华基金。而百度ALL IN人工智能的灵魂?#23435;?#38470;奇,在离开百度后也提出,人工智能的数据获取与开发需要与区块链结合。是不是可以理解为,越来越多的AI的创业者和投资者们会把关注点转?#39057;?#19982;区块链的结合上?


2017年全球与区块链+数?#21482;?#24065;领域融资相关?#24405;?#36798;63笔,融资金额49亿元

Dawn Song:对人工智能和区块链交叉领域?#34892;?#36259;,并?#20197;?#20004;个领域?#21152;?#20016;富经验的人其实非常少。 我?#32423;?#36935;到其他同时做过AI和区块链的人?#20445;?#24635;是很激动。我们需要更多这样的人才 。

王峰:一些学者和投资机?#20849;?#24895;涉足和提及区块链。您在深度学习、AI的部署?#22836;?#23637;应用等领域有很深的研究,您之前一直围绕AI探索新技术的发展,如今将重点放在了智能合约的区块链项目。在您看来区块链会对AI产生?#35009;从?#21709;?AI可以解决区块链目前存在的哪些难题?两者是如何相互赋能的?“AI+区块链”首先落地的应用场景会是哪些?

Dawn Song:除了区块链和计算机安全,?#19968;?#20570;过很多人工智能和深度学习方面的研究。 我觉得人工智能和区块链的交叉领域非常有趣,而且非常重要,里面有很多有意思的问题和新的方向值得探索。

举个例子,现在在Oasis?#25945;?#19978;,有一些DApp开发人?#20445;?#21253;括与斯坦福医生合作)开发一款可?#34892;?#20445;护个人隐私的医疗数据交?#23376;?#29992;。众所周知,由于医疗数据本身十分敏?#26657;?#36825;类信息往往十分孤立,医学研究人员很难获得足够的数据用于科研工作。

利用Oasis?#25945;?#25552;供的隐私保护智能合约功能,医学研究人员可以编写含有?#30423;?#26426;器学习模型代码的智能合约。智能合约还可以设置使用条款,限制全部数据仅能用于在这个智能合约中?#30423;?#26426;器学习模型,而不会用于其他场?#21834;?#23427;还可以规定用户如何通过向智能合约提供数据获得报酬。用户同意智能合约的使用条款后,便向智能合约提供数据。当智能合?#38469;?#38598;到足够的数据?#20445;?#23427;便可以开始?#30423;?#26426;器学习模型。医学研究人员可以在此基础上评估模型的?#34892;?#24615;。

Oasis?#25945;?#19968;方面可以支持智能合约 确保用户数据的隐私得到保护,另一方面利用采得的数据?#30423;?#26426;器学习模型。正如我们所看到的,这种方式在很大程度上减小了医学研究人员和制药公司获取医疗数据的难度,进而帮助?#30423;?#26426;器学习模型,找到治疗疾病的方法。用户可以通过提供数据获得报酬,在数据隐私得到保障的同?#20445;?#21448;为社会医疗进步做出?#26031;毕住?#36825;只是区块链帮助解决深度学习获取数据困难的一个例子。 相同的技术可以应用于许多其他领域,例如,在不同数据源之间搭建合作桥?#28023;?#24314;立信用评分模型、在欺诈检测中?#30423;?#26356;好的机器学习模型等。

?#36865;猓?#25105;希望区块链技术可以帮助AI技术民主化。 随着人工智能变得越来?#35282;?#22823;,我们需要考虑是谁控制了人工智能的力量。 我认为,对于个人用户而言,能够控制AI的功能非常重要,这样AI才能按照用户的最佳利益行?#38534;?这与现有AI的工作方式截然不同。 我希望,通过使智能合?#21152;?#26377;机器学习功能,实现满足用户的最佳利益的智能合约和AI agent。

第七问

王峰:在我看来,鉴于区块链技术将前所未有地推动金融革命,安全之于区块链产业的重要程度,将百倍于互联网时代。目前,区块链在智能合约漏?#30784;?#33410;点网络漏?#30784;?#29983;态(交易所、钱包)及使用者安全?#30830;?#38754;的安全隐?#21152;任?#31361;出。8月,腾讯发布《2018?#20064;?#24180;区块链安全报告》,2018年?#20064;?#24180;区块链领域因安全问题损失超过27亿美元。


基于区块链加密数?#21482;?#24065;引发的安全问题造成27亿美元损失

其?#26657;?#26234;能合约漏洞,主要是集中在以太坊上,?#28909;?#22240;为代码的漏洞或者私钥的泄露等原因导致的资金损失,达到了12.4亿美金。智能合约的漏洞究竟给区块链安全带来了?#35009;?#26679;的新挑战?#35838;?#20204;应该如何应对?

Dawn Song:智能合约的本质是代码。 代码漏洞并不是智能合?#32423;?#26377;的问题,而是所有程序都会遇到的问题。 代码漏洞是导致计算机系统被攻击的最主要成因之一。 在我过去的工作?#26657;?#25105;的小组一直在设计和开发新的技术和工具来自动查找代码中的漏洞,包括二进制程序,Web应用程序和移动应用程序。 我的第一个创业公司是构建查找移动应用程序中的漏洞?#25237;?#24847;行为的自动化工具。 在智能合约?#26657;?#36825;些漏洞的影响更直接 - 你可能会损失很多钱。

几十年来,?#21040;紓?#21253;括我的团队)在计算机安全和程序验证方面,一直致力于构建查找代码漏洞并提供代码安全性证明的技术和工具。 这些技术和工具在智能合约中当然也很有用。?#36865;猓?#32534;程语言对编写安全代码以及验证代码安全性的难易程度也有很大影响。 我们可以改进智能合约的语言设计,以帮助应用开发者更轻松地编写更安全的代码。

许多经过正式验证的系统开发采用的另一种方法是进行代码验证的协同设计/开发和验证。 在编?#21019;?#30721;?#20445;?#24320;发者可以同时进行验证。 进行代码安全?#38498;?#27491;确性证明的过程有助于开发安全的代码。

王峰:很多人开始关注可信赖硬件。不过,最近来自比利时、美国和澳大利亚的两个技术团队同时发现了SGX(Software Guard Extensions,Intel开发的一项旨在保障用户关键代码和数据机密?#38498;?#23436;整性的技术)的一个安全漏?#30784;?/p>

美国政府的计算机应急准?#24863;?#32452;在 8 月 14 日警告称,攻击者可能利用该漏洞可以获取一个内存?#37202;?#20869;的任意信息,包括敏感数据、通往长期内存的密码和密钥,攻击者还可以将敏感数据在一个安全飞地复制并获取。有观点认为,SGX 技术达到很高的安全水准,可能需要?#22982;?#25968;年时间。所以,依赖单一硬件的隐私保护是否可靠?#23458;保琓EE(Trusted Execution Environment,可信执行环?#24120;?#30340;原理是私钥保存在?#37202;?#29983;产商处,?#28909;鏢GX就是私钥由Intel负责,所以?#37202;?#29983;产商就成为了一个?#34892;?#21270;的节点,这似乎又与区块链的去?#34892;?#21270;理念有悖?

Dawn Song:考虑到其强大的安全属性,TEE(或安全硬件)可以成为构建安全系统的基石。 TEE?#26500;?#24314;安全系统变得更加容易。 但是,我们需要一个值得信赖的TEE。 目前市面上的的解决方案是闭源开发。 因而?#21040;?#24456;难分析评估其安全性。 在我们最近的博客文?#36718;校?#25105;们指出了现有闭源安全硬件的不足,并强调了开源安全硬件的重要性。

https://docs.qq.com/doc/BqI21X2yZIht1Wep9b0lS2Bb4FPZzf36S9eQ0SCC0i3u4FED0IQmKC2Cjyb92LwuOh0jS5Zm076rIU1YSUA10

Keystone是我们一直在与加州大学伯克利分校和麻省理工学院合作研发的一个项目,一个建立开源TEE (secure enclave) 的项目?#21512;?#30446;:https://keystone-enclave.org/。Ke/。Keystone基于RISC-V中的现有硬件功能开发TEE。 RISC-V是早期在加州大学伯克利分校开发的一种开源RISC架构,已广泛应用于行业。

我们最近举办了第一次关于开源安全硬件的研讨会:

https://keystone-enclave.org/workshop-website-2018/。很高兴看到整个?#21040;?#30340;支持。 来自谷歌、Facebook、微软、Intel,ARM、加州大学伯克利分校、麻省理工学院、斯坦福大学和其他许多地方的知名研究人员和专家都参与了研讨会,交流了最先进的技术,现有的挑战以及如何建立开源安全硬件的方针。

我们正在与产业型合作伙伴一起构建和部署开源安全硬件。 许多区块链公司也联系?#23435;?#20204;表示支持,并表示希望加入这项工作。 我们非常?#34892;灰到?#23545;此给予的支持,并期待共同努力,实现这一目标。

王峰:我非常理解您在Keystone方向上的战略意图,最近有海外?#25945;?#25253;道说,Oasis labs大约在两周前决定调整隐私保护的技术路线,已经放弃基于SGX以及其他TEE,您需要在这里澄清一下吗?很多?#21040;?#21516;仁也非常关心您的项目进展。

Dawn Song:?#34892;灰到?#21516;仁对我们的关注和支持!我来给大家讲解一下我们的设计?#36864;?#32771;。

在我们从一开始设计Oasis区块链?#25945;ㄊ保?#23601;希望确保区块链?#25945;?#30340;健全性(Intergrity)和可扩展性并不依赖于任何安全硬件(TEE)。 Oasis区块链?#25945;?#37319;用分层设计,具有分立运作的的共识层,存储层和计算层。这种分层设计?#24066;?#27599;个层独立扩展,可实现更大的可扩展性,尤其是对于复杂的智能合约执行。共识层不使用安全硬件。为了实现隐私保护,一些计算层的节点可以使用安全硬件。 Oasis区块链?#25945;?#26088;在提供统一的安全计算框架,包括安全硬件和加密技术,如安全的多方计算和零知证明。这种统一的安全计算框架为开发人员提供了更多的选择和灵活性。开发人员无需成为隐私专家,便可以利用最先进的安全计算技术,并选择使用最适合其应用的技术。

我不知道您在哪里看到的报道。我们没有改变我们的设计。

第八问

王峰:在去年底举行的亚太以太坊技术交流会上,Vitalik Buterin发表了主题为“以太坊区块链中的隐私保护”演讲,介绍了四?#36136;视?#20110;以太坊区块链的兼顾隐私?#38498;?#23433;全性的解决方?#31119;?#36890;道(Channels)、混合器(Mixers)、?#38750;?#21517;(Ring Signature)及零知识证明(Zero knowledge proofs)。他特别提到,零知识证明是“最为强大”的解决方?#31119;?#33021;够被应用于以太坊区块链上几乎所有的场?#21834;?br>

这里,再科普一下零知识证明,即证明者能够在不向验证者提供任何有用的信息的情况下,使验证者相信某个论断是正确的。历史上有一个?#36866;?#21487;以帮我们理解,文艺复兴时期,意大利有两位数学家为竞争一元三次方程求根公式发现者的桂冠,就采用了零知识证明的方法。当?#20445;?#25968;学家塔尔塔里雅?#22836;?#22885;都宣称自己掌握了这个求根公式,为了证明自?#22909;?#26377;说谎,又?#35805;?#20844;式的具体内容公布出来,他们?#32423;?#21452;方各出30个一元三次方程给对方解,谁能全部解出,?#36864;?#26126;谁掌握了这个公式。比赛结果显示,塔尔塔里雅解出了菲奥出的全部30个方程,而菲奥一个也解不出。于是,人们相信塔尔塔里雅是一元三次方程求根公式的真正发现者。

对于V神推崇有加的“零知识证明?#20445;?#24744;如何评价它在保护诸如以太坊网络等区块链网络隐私?#38498;?#23433;全性的作用?目前,市面上已经有Zcash、Monero等项目,通过零知识证明技术,在探索解决交易中相关信息的隐私安全问题。从应用?#23548;?#30340;效果看,零知识证明还有哪些不足和改进之处?

V神介绍零知识证明

Dawn Song:零知识证明是密码学中一个很迷人的领域,它具有悠久的历史。 我之前也在这个领域做过研究工作。 但是,零知识证明具有很高的性能开销,因此很难应用于复杂的现实应用。?#36865;猓?#38646;知识证明通常在计算个人私人数据时使用。 如果您需要计算来自不同数据源的数据,例如我之前提到的用于隐私保护机器学习的智能合约,仅凭零知识证明,并不足以支持此类使用例子。

第九问

王峰:我们知道,硅谷盛行学生创业,可以说,没有在车库里的学生创业者,就没有今天的硅谷奇迹。硅谷的创业明星?#26657;?#20174;早期的乔布斯(?#36824;?#25289;里·佩奇和?#27426;?#30422;·布林(谷歌),到近几年的扎克伯格(Facebook)、马斯克(特斯拉)、杰克·多西(Twitter)?#28909;耍?#22823;多数是在校期间就开始创业,甚至辍学创业。我感觉,硅谷创业正?#38706;?#19982;教授没?#35009;?#20851;系。而您不但一直任教于卡内基·梅隆大学、加州大学伯克利分校等顶尖学府,在学术界颇有成就,广受尊重;同?#20445;?#36824;是连续创业者,?#32676;?#21019;立了Ensighta Security(后被FireEye Inc.?#23637;海?#21644;Menlo Security两家安全公司,一面在常青藤任教搞研究,另一面和学生们一样去创业,怎样做到两者兼顾的?@Dawn Song 也是连续创业者,和群里很多人一样。

Dawn Song:我?#19981;对?#31185;研中寻找新的想法?#22270;?#26415;,我也非常希望看到这些新想法和新技术能够在日常生活场景中落地实现,从而更好地服务于人们的生活。 在现实世界中部署研究技术的过程?#26657;?#20063;有助于我们?#37038;导?#26696;例中学习新知识,从而更好地改进技术,帮助人们解决社会发展中遇到?#27597;?#22810;问题。

王峰:当时创立第一家公司Ensighta Security,您是受到了怎样?#27597;?#21484;?可否谈谈创立Ensighta Security和Menlo Security这两家公司的经历?有没有经历过艰难的至暗时刻?有科技?#25945;?#25226;您称作互联网安全教母,您认为对互联网安全的最大?#27605;?#26159;?#35009;矗空?#20123;互联网安全领域的经历,对于现在创办Oasis Labs有?#35009;?#24110;助?

Dawn Song:Ensighta Security专注于构建分析移动应用程序的技。这是用来检测漏洞?#25237;?#24847;攻击行为的自动化技术和工具。 Menlo Security旨在构建安全浏览的新技术,以保护用户的计算机免受web的攻击。 两?#39029;?#21019;公司都是基于我实验室开发的新技术上而成立的。

我?#37038;?#35745;算机安全工作已有20多年,并在许多领域都开发了新的解决方案和最先进的技术。 由于时间限制,?#20197;?#36825;里无法详细说明。 这些经验在Oasis Labs技术构建上起了很大的作用。

王峰:这次创办Oasis Labs,您会有不安全?#26032;穡克?#21644;您过往的两次创业有?#35009;?#19981;同? 

Dawn Song?#20309;?#35748;为构建区块链?#25945;?#26159;一个更复?#21360;?#26356;具挑战性的项目。 研发有价值的技术只是难题的一部分; 如何构建生态系?#24120;?#20063;是很值得学习和研究的。我是一个很?#19981;?#26032;的挑战的人。我觉得新的挑战是让?#31169;?#27493;的最?#34892;?#30340;方式。

第十问

王峰:根据最近Coinbase与Qriously的研究报告,全球前50名的大学?#26657;?2%的大学现在至少提供一门关于加密技术或区块链的课程。在中国国内,目前清华大学、同济大学、中央财经大学、北京邮电大学等近10所高校也已经开设了区块链课程。2014年,当纽约大学斯特恩商学院首次开设区块链和金融服务课程?#20445;?#26377;35名学生报名,比该校通常的选修课少了8名?#27426;?#21040;了2018年春天,选修学生人数攀升至230人,学院被迫将该课程搬至最大的礼堂上课。您认为学生们对区块链课程普遍?#34892;?#36259;的原因有哪些?您任教的卡内基·梅隆大学、加州大学伯克利分校开设区块链的课程进展如何? 


全球高校开设区块链课程(截止18年5月)

Dawn Song:上学期,?#20197;?#20271;克利给学生们上了一节非常有趣的区块链课程。 在学术界,以这?#20013;问?#19978;课可能是第一次。 它由三所学院共同教授:商学院、法学院、以及由我代表的工程学院的计算机科学系。 班上的学生名额也是这三所学院平均分配。 这堂课非常受欢迎。 报名上这节课的学生人数?#23545;?#36229;过了课程原定接收的人数。 区块链本质上就是跨学科的,涉及科学,商业,经济,法律和许多其他领域。对我来说, 教授这样一门跨学科课程,并与来自不同学院的学生进行互动是非常有意思的。

这个学期,我们为计算机科学专业的学生提供了一节区块链和加密经济学的全新高阶课程。该课程涵盖了区块链不同方面的核心知识和最前沿的技术。

王峰:我注意到,尽管早在2014年就有大学开设了区块链课程,但直到2018年,都?#35270;?#39640;校设立专门的本科区块链专业。相对于经济学科领域有金融学、金融工程等专业,计算机相关有电子工程和软件工程等专业,甚至有电子商务和网络游戏专业,区块链领域横跨了密码学、经济学以及软件工程等领域,已经非常复杂了,今天的大学是否应该开设区块链相关专业了?

Dawn Song:区块链领域仍处于初期阶段。 随着它的发展,更多的学生会想要学习这个领域。区块链对于学生来?#21442;?#30097;是一个非常充实的学习方向。

王峰:和教授对话,就是学习,所以今天也是我的九月新学期第一课。各?#27426;?#26159;新学生了。哈哈哈。这是最后一问,你可以多说说,我们多学学。

Dawn Song:我们这学期的?#38382;?#27809;?#26032;?#20687;设备。学生自己提出要给课程录像,可见学生对课题的兴趣。

我最后?#37096;?#20197;给大家讲一讲我们更长远的想法。我们在进入数字时代,这里一个最重要的问题是要确立数字产权,这不但是区块链、也是整个数字经济下一步能够成功的经?#27809;?#30784;,这个问题解决了,世界会完全不同,而现在世界在技术上与社会层面都还没有成型。我们在OASIS在做这方面的探索,希望能和大家共同做出突破性、独创性的?#27605;住?#25105;们希望世界一流的人才能加入我们,一起从这里为人类做出特有的?#27605;祝?#35874;谢大家!

王峰:如果将隐私保护作为区块链发展历程中的一次深刻?#27597;?#21629;,那么,这场革命现在才刚刚开始,每一位从业者们任重道远,仍需努力。希望我们能更加重视隐私保护,更加重视其价值,理解区块链发展中必然需要克服的困难与把握的机会。也希望Oasis Labs能够更好地实现在安全性、隐私?#38498;?#21487;扩展性方面的突破,给整个行业带来更多希望,在区块链沙漠中搭建起新的?#22885;讨蕖薄?/p>

再次谢谢宋教授,?#34892;?#24744;今天能做客火星财经的“王峰十问?#20445;?#31069;Oasis labs未来越来越好!谢谢大家!

Dawn Song:非常?#34892;?#22823;家!


本文为火星财经原创稿件,版权归作者所?#26657;?#26410;经授权不得转载,转载须在文章标题后注明“文章来源:火星财经(微信:hxcj24h)?#20445;?#33509;违规转载,火星财经有权追究法律责任。

声明:本文为入驻“火星号”作者作品,不代表火星财经官方立场。转载请注明出处、作者和本文链接
提示:投资有风险,入?#34892;?#35880;慎。本资讯不作为投资理财建议。
语音技术由科大讯飞提供

推广
相关新闻

涨幅榜

你可能?#34892;?#36259;的内容
下一篇

“计算机安全教母”宋晓冬做客王峰十问:AI和区块链的交叉领域非常有趣和重要

寻求报道 寻求融资 APP下载
APP下载 扫描下载APP
新疆18选7开奖结果