資安教父 Schneier:區塊鏈不該被信任,且無應用場景(Wired)

今天朋友圈炸開了,好多同事都丟教父寫於Wired這篇給我;因為,這正是去年我離開 Proofpoint 創業做區塊鏈時,我主管與許多同事的看法,而今天被教父於Wired寫長文講白了。

教父文中直指 中本聰 2008 論文結論的第一句話:「我們提出了一種不需信任仲介的電子支付系統」,乃:「完全非事實」(just not true)

我斗膽不完全同意教父所言,但他確實講到很多重點。我這邊只想從資安與信任的觀點來談。

Schneier說,區塊鏈人士常說:不用信任人而「信任程式」、「信任數學」,然而:

交易所被駭,你損失你所有的幣

錢包被駭,你損失所有的幣

忘記密碼,你損失所有的幣

智能合約有漏洞,你損失所有的幣

有人攻擊鏈弱點,你損失所有的幣

所以Schneier說「在很多方面,信任技術比信任人,難度高很多」

我則認為:區塊鏈最重要貢獻,是解決一個問題:中央化帳單,可被帳單擁有者竄改。

除此之外,區塊鏈並未「多」解決其他資安問題,同時也帶來了許多資安問題,尚待解決。

「上鏈就安全了」的說法根本騙小孩。

而區塊鏈產業常愛談的:「信任程式」、「信任數學」,我認同Schneier說的:那些是「驗證」機制而不等同於「信任」機制。

雖仍有許多資安問題待解決,然我認為:由於區塊鏈確實解決了中央化帳單竄改」問題,故區塊鏈仍有極強應用場景。但如果沒這問題,則不須用到超沒效率的區塊鏈,來取得信任。

譬如:YouTube若能做到讓所有 YouTuber 都信任它的分紅機制,那麼 YouTube 的分紅帳單,需要上鏈嗎?當然不用!中央化的帳單,有效率太太太多了。

故區塊鏈最佳應用場景,應是:怕中央帳單被竄改時、或中央帳單取信有困難(或極昂貴)時。除此,則不須超沒效率的區塊鏈。

各位覺得呢?