記者12月17日獲悉，近日，中國信息通信研究院泰爾終端實(shí)驗(yàn)室、上海交通大學(xué)網(wǎng)絡(luò)空間安全學(xué)院、上海掌御信息科技有限公司共建的區(qū)塊鏈安全研

記者12月17日獲悉，近日，中國信息通信研究院泰爾終端實(shí)驗(yàn)室、上海交通大學(xué)網(wǎng)絡(luò)空間安全學(xué)院、上海掌御信息科技有限公司共建的區(qū)塊鏈安全研究中心，和中國區(qū)塊鏈應(yīng)用研究中心、上海淳粹文化傳媒有限公司、杭州加密谷區(qū)塊鏈科技有限公司聯(lián)合發(fā)布《加密數(shù)字錢包APP信息安全現(xiàn)狀白皮書》。據(jù)悉，這是行業(yè)內(nèi)首次采用公開、合法的信息，運(yùn)用科學(xué)的研究方法，對(duì)當(dāng)前加密數(shù)字錢包行業(yè)相關(guān)移動(dòng)應(yīng)用(APP)做出的信息安全分析評(píng)判。

據(jù)劍橋大學(xué)統(tǒng)計(jì)，全球數(shù)字資產(chǎn)錢包用戶2018年已經(jīng)達(dá)到了3500萬，比2016年增長了三倍有余。各大錢包廠商為了快速搶占市場，使其將精力傾注于迅速推出和迭代上，而忽視了數(shù)字錢包本身的安全性。所以市面上大部分?jǐn)?shù)字錢包都存在被黑客攻擊、盜幣等安全隱患。

研究團(tuán)隊(duì)選擇了6款去中心化數(shù)字錢包和8款包含數(shù)字錢包功能的中心化交易平臺(tái)進(jìn)行了評(píng)測。本次的評(píng)測結(jié)果表明，加密數(shù)字錢包APP仍然存在大量安全問題，特別是私鑰保護(hù)方面，實(shí)現(xiàn)安全性存在嚴(yán)重不足。另外，不同的APP安全防護(hù)水平存在較大的差別，部分防護(hù)較弱的APP可能輕易被黑客攻擊，從而造成用戶的信息泄露和財(cái)產(chǎn)損失。

白皮書在公布針對(duì)14個(gè)主流加密數(shù)字錢包的測評(píng)標(biāo)準(zhǔn)、測試方法和測評(píng)結(jié)果的同時(shí)，也提出了“加密數(shù)字錢包的私鑰使用安全最佳實(shí)踐”的五個(gè)注意事項(xiàng)，包括無論是否加密，錢包私鑰不能存放在服務(wù)器上;無論是否加密，錢包私鑰不能存放在外部存儲(chǔ)卡上;錢包私鑰不能以明文存儲(chǔ)在私有目錄;使用過錢包私鑰后需要及時(shí)清理內(nèi)存;錢包私鑰需要配合助記詞使用，生成助記詞過程禁止截屏。

白皮書也在三個(gè)方面，提出“加密數(shù)字錢包APP代碼安全規(guī)范”：在交易數(shù)據(jù)傳輸方法和實(shí)現(xiàn)方面，包括錢包私鑰不能通過網(wǎng)絡(luò)傳輸，不能使用HTTP明文進(jìn)行數(shù)據(jù)通信，使用HTTPS則需要驗(yàn)證證書以及綁定證書，若使用自定義協(xié)議，則需要有完善的密鑰交換協(xié)議。在服務(wù)器安全方面，服務(wù)器通過與客戶端的通信接口，應(yīng)當(dāng)能夠抵御常見的安全威脅。在代碼保護(hù)方面，代碼需要完整性檢查碼，代碼能夠防逆向分析，代碼能夠防進(jìn)程注入。

中國信息通信研究院泰爾終端實(shí)驗(yàn)室信息安全部副主任袁琦給數(shù)字錢包用戶提出三點(diǎn)建議，包括及時(shí)升級(jí)加密數(shù)字錢包APP，保持最新版本，防止舊版本安全漏洞遭到利用;使用專用的移動(dòng)設(shè)備和移動(dòng)網(wǎng)絡(luò)進(jìn)行操作，并及時(shí)升級(jí)移動(dòng)操作系統(tǒng);關(guān)注權(quán)威測評(píng)機(jī)構(gòu)最新發(fā)布的加密數(shù)字錢包APP安全測試報(bào)告。

關(guān)鍵詞： 加密數(shù)字錢包 推出 安全性