加拿大央行：CBDC如何设计才能保证安全？

编者按

加拿大央行最近连续发表了多篇有关CBDC的论文，这是第三篇。CBDC系统的安全性是维系公众信任的基本要素，本文对现有的不同CBDC解决方案进行分类，围绕CBDC系统中涉及的安全问题给出了较为全面的分析。

本文探讨了构建和部署中央银行数字货币所涉及的安全问题。安全性是CBDC系统的基本质量，除了确保底层存储和价值转移的安全之外，安全性还涉及隐私和弹性方面问题。必须减轻威胁以保护资金的完整性和用户的机密性，一个安全的CBDC系统将保持公众对央行的信任。

关键信息

安全必须渗透到CBDC的设计中。如果加拿大银行选择发布一个CBDC，那么安全性必须从一开始就针对CBDC的所有用例进行设计。透过持续测试、验证保障措施、遵循最佳的实践做法及定期对主要系统组件进行外部审计，可确保运作的安全性。

潜在的CBDC设计提供不同级别的安全性。依赖于中心化或分布式设计的解决方案会冒着牺牲保密性的风险最大化完整性和可用性。围绕嵌入价值存储的专用设备构建的解决方案以牺牲完整性为代价消除了系统范围内的风险。混合解决方案可以最大化可用性，但会增加风险和成本。

有许可的分布式账本技术(DLT)系统如果作为CBDC解决方案部署，将需要额外的安全保障。公开的DLT不符合CBDC系统的风险配置。私有和有许可的DLT在设计上提供了冗余和支付真实性(不可抵赖性)，但增加了操作复杂性和漏洞。共享账本更加透明但不那么保密;分层账本以牺牲完整性为代价增加了隐私。

本地价值存储设备具有极强的弹性。用以在本地存储价值的专用单一用途设备对于网络级别的攻击或自然行为是健壮的。支持离线使用的CBDC“几乎和现金一样”(见Shah et al. 2020)。但是，设备确实会带来完整性风险，可能会被损坏或被盗。专用设备加上可用的验证服务是一种可行的CBDC选项。

CBDC生态系统一旦部署，将成为高价值目标。CBDC一旦发布，可能会受到反对加拿大最佳利益的大型组织和国家越来越多的关注。央行必须采取适当的控制和程序，以降低这些高级长期威胁引发的大规模攻击的风险。

分类

基本原理

安全性建立在机密性、完整性和可用性的概念上【1】。除了这些品质之外，CBDC系统还必须确保央行拥有发行和赎回的唯一权力。CBDC系统将需要利用成熟的网络安全技术和流程建立分层防御战略。由于安全性是CBDC的主要属性，因此对安全性的考虑可能会约束所选CBDC解决方案的属性和用例。

机密性

机密性意味着财产、交易和身份的隐私。存储的信息应该与操作CBDC系统所需的信息一样少，机密信息的泄露大大增加了违约的严重程度。了解您的客户(KYC)要求以及反洗钱(AML)和反恐融资(ATF)立法(见Darbha和Arora 2020)可能需要存储和连接个人身份信息(PII)以进行价值存储和交易。

完整性

在所有CBDC用例中，必须加强对伪造和双花的防护，同时也必须确保所有交易的正确性和最终性。与实物钞票不同，CBDC系统的核心风险是双花问题——也就是说，能够多次消费相同价值。数字签名可以消除伪造，但是需要额外的拷贝保护机制来避免双花问题:这些机制包括在本地价值存储设备中的防篡改硬件、在中心分类帐中的组织权威或在分布式分类帐系统中的共识。

可用性

在CBDC环境中，可用性意味着系统抵御大规模网络攻击的能力。中断，如分布式拒绝服务攻击(DDoS)【2】或僵尸网络【3】攻击，可能会暂时限制或禁用对系统的访问。标准的网络安全技术可以加强公共终端以及连接系统以减轻此类攻击的影响。

系统组件

CBDC系统可以向下拆分为便于进行安全性分析的功能子组件。不管是特定CBDC解决方案的性质及其底层的价值存储，所有CBDC解决方案都将由一个面向用户的、可交互连接远程“后端”系统的“前端”组件构成。

前端组件可以是:

专用设备

在移动设备或桌面平台上运行的软件应用程序

网络界面

或者以上内容的结合

后端系统可至少包括:

安全、私密、有弹性的数据存储系统

用于连接前端组件的一组面向公众的访问点

支持组件和冗余组件(例如，防火墙，备份)

通过这种方式拆分CBDC解决方案，中央银行可以在组件层和解决方案层对CBDC系统进行安全威胁评估。

风险预测

从安全的角度来看，系统风险与价值存储的位置有关。将价值本地存储在前端组件上的系统必须专注于保护终端用户设备和应用程序免受安全威胁，而将价值远程存储的系统必须更多地关注后端系统的安全性。将本地和远程价值存储连接到一个统一的CBDC系统混合设计可能最大化可用性，但由于威胁矢量置换导致增加了系统风险。

根据值存储的位置，CBDC的某些属性会产生互斥。在线支付很容易通过中心化系统实现，而离线交易很容易通过专用设备实现。交易的隐私性是另一个需要考虑的属性，因为本地价值存储设备可能会嵌入交易历史记录。离线支付形式在灾难(停电、网络故障)和危机时具有极强的弹性。这些因素和其他考虑描绘了拟议的CBDC系统风险预测。

技术选择

中心化系统

一个典型的中心化系统是一个用以储存账户和交易的集中式分类账本，其中账户余额来源于分类账的当前状态。这样的系统可以是基于余额或价值的，可以建立在中心化、分布式或联盟基础设施上。这些账户可以是伪匿名的，并且可以转让，只要知道一个隐私就足以证明其所有权。

中心化系统的安全配置文件是成熟和可充分理解的。使用标准的IT安全策略，如专用链接、防火墙和白名单，可以减轻威胁。前端组件将连接到需要防止DDoS和其他网络攻击的公共可用终端。

开放的分布式账本技术

开放的DLT不适合作为CBDC解决方案。开放的DLT的安全状况不能保证由央行控制货币发行或成员的参与。存在可能被有组织的犯罪分子或国家利用(高级长期威胁)来执行大规模攻击的威胁。这样的方法包括:

控制大部分节点

模拟节点来执行恶意操作

利用智能合同中的漏洞(设计、工具和实现)

银行将继续监测开放DLTs，并将其作为一种创新和新出现的风险为在CBDC内使用有许可的DLTs提供了信息。

有许可分布式账本技术

从安全角度来看，有许可的DLT类似于集中式账本，并且比开放的DLTs更适合CBDC解决方案。无论它们是共享架构还是分层架构，有许可的DLTs都将允许中央银行:

控制发行(成员被审查并执行特定角色)

基于控制和访问管理策略的粒度控制参与

通过密码技术、账本层和私有通道的组合来控制机密性

执行不可抵赖性以减轻参与方之间的争议

有许可的DLTs仍容易受到串通、模仿和流氓行为等风险的影响。此外，节点互连、共识机制和隐私技术仍然容易受到与开放DLT系统相同的威胁。在参与机构中运行的单个节点成为高价值目标，因此每个节点可能需要类似于典型的中心化系统的分层防御策略。因此，从基础设施安全性的角度来看，使用有许可的DLT节省的成本可能微不足道。有限的访问权限和强大的治理可以保护节点互连和防止典型DLT攻击的共识机制。但这需要参与实体之间的协调。

从隐私和商业模式的角度来看，持有额度和交易数据可能被分割给中介机构的分级分类账系统很有吸引力;然而，分层DLT的部署可能会降低安全性。层与层之间的同步错误会导致双花的风险，因为恶意的参与者可能会利用网络级别的攻击来中断分类帐节点之间的通信。

专用设备

与中心化系统不同的另一个极端是专用设备。单一用途的专用CBDC设备是可移植和安全的，可以在设备上本地存储价值、凭证、交易日志和其他辅助数据。均支持在线和点对点CBDC传输，网络访问是可选的，使得专用设备在网络连接异常或缺失的危机时刻高度可用。

（1）防篡改

设备通常依赖于防篡改硬件(例如，安全元件、物理不可克隆函数或等效的硬件)来维护CBDC的完整性和机密性。泄露会导致机密性和完整性的损失，因为用户凭证、资金和交易数据都有被泄露的风险。此外，还必须保护由银行政策产生的限制(例如交易金额和余额的限制)，因为修改这些限制可能导致CBDC资金的滥用。

文献方面还不清楚防篡改设备是否能在长时间离线使用时不被攻破。为了保护CBDC长时间离线运行，可能需要额外的防御层，形式如下:

本地验证机制以防止盗窃 (PIN、密码或生物识别)

对余额、交易数量和交易价值进行严格限制，以减轻违约的影响，并强制执行“反洗钱AML”法规

设备上的分析——或者更实际地说，可信验证服务的周期同步——以允许识别可疑的交易

持续可用(24/7/365)验证服务，增强消费者和商家信心

延伸的离线使用，类似于现金的使用，仍然是一个开放的问题，银行正在积极跟踪这一研究领域。防篡改硬件加上验证服务可能是一种可行的CBDC产品。

（2）智能手机集成

CBDC可以本地存储在智能手机上，尽管这种情况下的安全性是出了名的困难。这是因为智能手机可以运行多个并发应用程序，拥有开放的物理端口，并可以连接到任意网络。因此，在智能手机上运行任何CBDC价值存储和支持的应用程序都将面临复杂的、多因素的威胁。此外，制造商对该平台实施控制，可以限制对关键系统组件的访问，包括嵌入安全模块（secure enclaves）【4】和用户身份识别模块卡(SIM)。

软件本身目前不足以在智能手机环境中保护CBDC资产，尽管在这一领域已经取得了进展。成熟的技术——如同态加密【5】、白盒加密【6】和虚拟安全组件——有望在中长期提高软件安全性;这些技术能否与市面上现有的防篡改设备实现相同性，还有待观察。

混合系统

中心化和分布式系统不能从本质上支持离线交易;后端链接是必要的。将中心化系统与专用设备相结合的混合设计在满足许多不同类型终端用户的需求方面大有希望。一些可以绑定到中心化系统上以实现离线访问的技术示例包括:

侧通道【7】

哈希时间锁合约【8】

代币化机制(Chaum 1983; Rivest 和 Shamir 1997; Calhoun et al. 2019)

承诺机制(Pedersen 1991)

签名机制(Schnorr 1989)

这些技术中有许多还没有在生产环境中测试过。此外，由于系统耦合，威胁会成倍增加。例如，承诺机制中的加密缺陷可能泄露用户隐私，危及用户资金。类似地，在代币化机制中，设备的漏洞可能使该设备能够非法地创建但合法地存放CBDC资金。由于技术组合而产生的安全威胁必须像每种技术各自面临的威胁一样被充分了解。

仍在讨论中的话题

生物识别技术

生物识别是一种方便的身份验证机制，可以减少交易期间的摩擦。生物识别技术简化了身份验证，可以实现无设备的CBDC。系统设计者必须小心地将生物识别技术集成到CBDC中。这是因为标识符一旦泄露就不能更改，恶意实体可能试图利用生物识别存储来冒充用户或进行欺诈。使用生物识别技术是可行的，如果:

生物识别被安全存储在防篡改硬件内，以及

与后端系统的交互(存款/取款)依赖于其他身份验证机制(参见Darbha和Arora 2020)

云技术

使用云技术部署CBDC可以提高可用性。可以动态配置部署在云中的数据库和端点，以扩展操作负载并最大化全国可用性。然而，必须考虑重要的警告：

依赖自定义硬件的CBDC解决方案可能很难或不可能集成到远程云平台。

央行需要保证供应商采取适当的预防措施，将CBDC特定资源与其他客户隔离，以防止信息泄露。

CBDC系统只能在供应商保证敏感数据位于境内的情况下将PII数据存储在云端。

大规模攻击

一个正在运作的CBDC将吸引有组织犯罪集团和有能力发起大规模袭击的国家的注意。主要的威胁包括:

持续或持久的网络攻击(DDoS，僵尸网络)导致关键的CBDC服务中断

用于基础设施和终端用户设备组件的供应链攻击【9】

用于终端用户设备和应用程序的侧通道攻击【10】

针对终端用户的社会工程攻击被认为不是主要威胁，但对有组织犯罪来说是一种有吸引力的途径。虽然不是传统的攻击，但虚假信息的活动可能会使CBDC新技术受到质疑，并可能对银行在公众眼中的感知能力产生负面影响。

DLT系统容易受到DDoS攻击，因为每个交易都需要与其他节点进行网络交互。专用设备也可能受到影响，但程度较轻，因为此类攻击可能暂时中断登录服务、取款/存款功能和验证服务。如果参与者利用现有的僵尸网络，他们可以用最少的时间和资源来协调DDoS攻击。这与向防篡改集成电路注入后门的攻击形成对比，后者需要专业知识、特定设备上的受保护信息和制造过程的访问权限。此外，硬件恶意部分可以追溯到一个特定的制造步骤，而在一个精心实施的DDoS攻击中，参与者可以保持看似可信的推诿能力。

即使成功的大规模攻击不会危及CBDC的完整性，它们也会侵蚀公众对该系统的信心。因此，CBDC系统需要持续的监测和定期审计，以评估弹性。此外，所选择的解决方案需要遵循最佳实践来降低风险，并在出现新漏洞时保持组件状态更新。

加密敏捷性和量子硬度

加密敏捷性可以定义CBDC的长期运行安全性。随着支撑CBDC的计算环境和密码学的发展，以前被认为是万无一失的算法将会出现新的缺陷和攻击。采用加密敏捷的CBDC应该能够修补或升级底层的原语操作，同时最小化运行停机时间。

从表面上看，中心化和DLT系统在加密方面更加灵活。需要修补的组件更少，而且这些组件具有健壮的连通性。专用设备对加密敏捷性提出了挑战，因为如果设备丢失或遗忘或作为应急储蓄保存，可能会在很长一段时间内保持离线状态。有年份的设备有望在不损害整个系统的安全保证的情况下进行互操作。管理离线问题的技术解决方案确实存在:例如，使用非充电电池来限制设备的寿命，或预先编程固定的交易数，超出此限额设备需要重新连接。适当预备加密敏捷性将确保CBDC系统的长期可行性。

随着量子计算的实用性越来越强，密码原语的量子硬度【11】将变得越来越重要。现有的加密操作将需要被量子硬度的变体所取代。因此，量子准备（Quantum preparedness）是整个加密敏捷计划的基本元素。

治理

界限

CBDC可以被归类为关键金融基础设施。因此，它可能必须遵守国家关键基础设施战略(加拿大公共安全2009)，并成为银行财务管理基础设施的核心组成部分。存储和使用敏感数据做分析可能需要遵守《隐私法》。

中央银行控制

专用CBDC设备将通过将银行控制的防篡改硬件合并到通用或自定义格式来实现垂直集成(详见Miedema等人2020)。单一用途设备的所有组件(硬件、固件、软件和加密)都将属于中央银行的权限。当错误和攻击途径出现时，央行可以直接或通过可信渠道采取果断行动，以减轻入侵的影响。央行可以在市场上发布补丁，或者移除或替换有缺陷的产品，就像它目前对纸币所做的那样。可视和隐蔽的安全特征可以集成到设备中，使篡改变得显而易见，以此增强公众信心。

央行可以让部分设备或应用程序公开，以促进创新。漏洞奖励可以用来吸引更大的有道德黑客和学术技术社区来识别系统中的漏洞。央行可以选择允许有执照的供应商在发行自己的参考设备或应用程序之外，也可以发行自己的前端设备和应用程序，只要存在合适的治理和监管模式，并且能够保持央行发行的排他性。

合规

为了遵守AML和ATF法规，CBDC系统可能需要与其他政府机构共享信息，包括执法部门。如果合规性引入了后门访问(例如，“Master”密钥)，那么CBDC解决方案的机密性和完整性可能会受到损害，因为这样的后门可能会被未授权的参与者破坏。银行需要探索当局要求的通过正当法律程序以揭露信息的像执法一样的解决方案。例如，多个机构可以持有解密密钥的片段，只有在法院发布批准后才能释出。

标准

目前，还不存在CBDC安全性的标准，尽管个别子组件可能受到现有标准约束(例如FIPS-140 [NIST 2001]和防篡改设备的通用标准【12】)，生态系统标准正被积极探索【13】。现有的安全标准，如PCI-DSS【14】、EMV【15】和GlobalPlatform【16】有助于确保当前支付系统的安全。中央银行可以选择对CBDC实施类似的标准。鉴于CBDC可以采取的形式多样化，以及对首选方案的有限共识，短期内不太可能建立标准。银行可以选择与政府机构、其他中央银行和行业联盟就标准和规章进行协调。

总结

安全性是CDBC的基本质量，必须从一开始就加以设计。本文提出的分类法旨在对市场上已有的许多CBDC解决方案进行分类和分析，开放DLTs仍然不适合CBDC使用。CBDC的完整性是核心风险，必须在所有CBDC用例中进行管理。本地价值存储解决方案在危机时期提供了极强的弹性，但也带来了本地完整性风险。混合系统将所有CBDC用例的访问最大化，同时也在危机期间保留了可用性。可运行的CBDC系统将是犯罪组织和其他国家的首要目标，需要适当的安全措施来最小化风险，以及持续监控威胁。

脚注

【1】The confidentiality-integrity-availability triad (CIA)是一个行业标准的首字母缩写。现代文献中已知的最早参考文献是1977年国家标准与技术研究所(以前是标准局)的报告(见Ruthberg和McKenzie 1977)。

【2】DDoS攻击由多个客户端用连接请求轰炸服务器或服务组成。如果攻击的范围足够广泛，则会破坏服务器响应合法请求的能力，导致合法客户端连接失败。

【3】僵尸网络是指被恶意软件感染的普通计算机组成的大型网络。远程操作员通过恶意软件临时征用这些计算机，对目标系统进行DDoS攻击。

【4】安全模块（secure enclave）是嵌入在智能手机中的防篡改硬件，用于存储隐私并提供安全加密操作。

【5】同态加密使用特殊的数学转换，允许用户在不需要解密的情况下对加密的数据执行数学操作。

【6】白盒密码学依靠隐藏、加密和数学转换来保护在不受信任的环境中运行的应用程序中的机密和关键数据。

【7】侧通道是从中心总账中分离出来的专用的双方通道，在那里双方可以快速私密地进行交易，而不需要对中心总账进行交易更新。

【8】(哈希)时间锁合约在主分类账中将价值锁在一个预先确定的时间框架里。这使得在侧通道进行交易的各方能够回到主分类账并恢复最终余额。

【9】供应链攻击是指在芯片制造过程中在硬件层引入后门或恶意软件。

【10】软件侧通道攻击指的是从运行的CBDC应用程序中窃取信息的恶意软件。硬件侧通道攻击基于时间信息、功耗和电磁泄漏从正在运行的硬件窃取机密。接近的恶意设备通常是利用硬件侧通道攻击所必需的因素。

【11】某些加密操作依赖于数学转换，这些数学转换在经典计算机上很难反转，但在量子计算机上却很容易反转。量子硬加密操作是在经典和量子计算机上都很难反转的数学转换。

【12】?“信息技术安全评估的通用标准” 通用标准.

【13】 “聚焦数字货币，包括数字法定货币的小组” 国际电信联盟.

【14】?“数字安全标准(PCI-DSS)” PCI安全标准委员会

【15】?“EMV 标准” 欧洲支付万事达和维萨公司

【16】?“全球平台” 全球平台公司

参考文献

1.Calhoun, J., C. Minwalla, C. Helmich, F. Saqib, W. Che and J.?Plusquellic. 2019. “Physical Unclonable Function (PUF)-Based e-Cash Transaction Protocol (PUF-Cash).”?Cryptography?3?(3).

2.Chaum, D. 1983. “Blind Signatures for Untraceable Payments.” In?Advances in Cryptology, ed. D. Chaum, R. L. Rivest, A. T. Sherman, 199–203. Advances in Cryptology 1983. Lecture Notes in Computer Science, vol. 576. Boston: Springer.

3.Darbha, S. and R. Arora. 2020. “Privacy in CBDC Technology.” Bank of Canada Staff Analytical Note No. 2020-9.

4.Miedema, J., C. Minwalla, M. Warren and D. Shah. 2020. “Universal Access and a CBDC.” Bank of Canada Staff Analytical Note No. 2020-10.

5.National Institute of Standards and Technology (NIST). 2001.?Security Requirements for Cryptographic Modules. NIST.

6.Pedersen, T. P. 1991. “Non-Interactive and Information-Theoretic Secure Verifiable Secret Sharing.” In?Advances in Cryptology—CRYPTO ’91?Proceedings, ed. J. Feigenbaum, 129–140.? Advances in Cryptology 1990. Lecture Notes in Computer Science, vol. 576. Berlin, Heidelberg: Springer.

7.Public Safety Canada. 2009.?National Strategy for Critical Infrastructure. Government of Canada.

8.Rivest, R. L. and A. Shamir. 1997.?“PayWord and MicroMint: Two Simple Micropayment Schemes.”?Security Protocols, ed. M. Lomas, 69–97. Security Protocols 1996. Lecture Notes in Computer Science, vol. 1189. Berlin, Heidelberg: Springer.

9.Ruthberg, Z. G. and R. G. McKenzie. 1977.?Audit and Evaluation of Computer Security. Proceedings of the NBS Invitational Workshop, Miami Beach, Florida, March 22–24. Washington, DC: National Bureau of Standards, US Department of Commerce.

10.Schnorr, C. P. 1989. “Efficient Identification and Signatures for Smart Cards.” In?Advances in Cryptology—CRYPTO’ 89 Proceedings, ed. G. Brassard, 239–252. Advances in Cryptology 1990. Lecture Notes in Computer Science, vol. 435. New York: Springer.

11.Shah, D., R. Arora, H. Du, S. Darbha, J. Miedema and C. Minwalla. 2020. “Technology Approach for a CBDC.” Bank of Canada Staff Analytical Note No. 2020-6.

End

编译?| 叶子逸（中钞区块链技术研究院）

—-

编译者/作者：中钞区块链技术研

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。