Asch PK Lisk系列之一：安全性

在幣圈，聽到對數字貨幣的質疑之聲歷來沒少過。爲何有人會質疑呢？他們列出了不少理由（如下四點內容摘自網絡）：

數字貨幣是依附於網絡的，而中國並無獨立自主的網絡技術，容易被敵對勢力利用數字貨幣損害中國利益；
網絡黑客會利用相關技術從事非法活動，盜取國家和他人財產；
若是出現網絡故障，會由於不能及時交易影響經濟活動的正常開展；
有一部分習慣使用現金的尤爲是老年人不適應……等等，不少理由。
枚舉的理由雖然不夠全，但也能從中看到一些問題，即每一個參與者都很關心數字幣技術，而技術中的安全問題歷來都是幣圈的頭條新聞，大到門頭溝事件，小到最近火的不得了的bitfinex事件。本文今天就淺嘗輒止的作個Asch和Liks的安全性對比--首頁登錄。

1.技術背景

Asch和Liks都是踩着Crypti的肩膀發展而來，有競爭纔能有進步，所以兩者在同一功能上技術實現細節也有很大不一樣。普通用戶在登錄錢包時可使用web頁面、手機app等，但不管使用哪一種方式登錄，他們都要鏈接到一個擁有完整區塊鏈數據的Server端，當你輸入密碼按肯定鍵以後，密碼會經過http協議的post請求傳輸到Server端進行認證。下圖是一個簡單的實現描述：

2.Lisk的Web錢包登錄過程解析

本次Lisk測試採用的是最新版本v0.3.2（lisk-main，非測試連），輸入密碼並點擊「登錄」按鈕，而後經過瀏覽器查看其post請求，發現lisk在登錄過程當中未對密碼進行任何處理，直接將其發送到服務器，以下圖所示，能夠看到用戶輸入的密碼爲「absorb gun bread exist just stand file pipe minimum caution margin clap」

3.Asch的Web錢包登錄過程解析

本次Asch測試採用的版本是最新的v0.9.5（test-net），當用戶點擊「登錄」後，asch web頁面會對密碼進行加密處理，而後將加密後的數據發送到服務器，而非直接發送密碼。

4.結論

1.Asch比Lisk更安全

Lisk明文密碼直接經過Internet傳輸，無疑等於直接裸奔！而Asch的密碼是通過客戶端處理事後以公鑰形式經過Internet傳輸，私鑰是存儲在客戶端本地的，安全性遠大於Lisk。

2.Lisk錢包被盜風險極大

雖然兩者都是採用明文方式進行post提交，但當網絡不安全被人截取數據包時（如抓包工具tcpdump、wireshark，鏈接到不安全的wifi熱點等），攻擊人能夠直接獲取到Lisk用戶的私鑰（能夠執行任何操做，如轉帳）；一樣的操做卻只能獲取到Asch用戶的公鑰（只能查看，不能執行其它操做，由於沒有私鑰來簽名）

3.Lisk的服務端必須是可信任的

由於你將密碼直接發送到Lisk服務器，當服務端不可信任時，他能夠經過修改Lisk程序代碼，而後將接收到的密碼打印到終端或者寫入文件中。而Asch則沒必要要求服務端是可信任的，他傳輸的只是公鑰，是安全可靠的。

本系列文章只是進行技術交流，不可用作其它用途，且須經本人贊成，方可轉載。永久連接：https://www.zybuluo.com/zhenx...

關於側鏈和區塊鏈開發的問題，歡迎加羣：485979564，一塊兒討論交流