用神話講比特幣 《四》 — 鬼魅與魔法石
精靈們用來操作雲中財富「比特」的秘密咒語,雖然不會隨便讓其他人知道或寫下來,但是凡事都有例外。例如,年紀老邁的精靈準備在他歸回大地之後交託財富給子女,或有些精靈擔心自己會忘記,等等。
「這是什麼東西?」愛麗絲問。
「這是魔法石,是用來啓動咒語去使用比特的。」尼歌一邊對著這個瑩瑩閃光的小小黑色石子唸唸有詞,一邊回答愛麗絲。
尼歌是高級魔法師,職責是「觀雲」,即是協助長老們監視天界之間覬覦雲中比特的魑魅魍魎。這些躲在黑暗中的勢力雖然未曾試過成功擾亂比特的自有定律,但一直都有精靈因為這些鬼魅的惑術丟失比特而導致大量損失。
鬼魅有時會變身假扮精靈的親人或高靈,說服精靈說出秘密咒語;如果主人不夠小心管好隨身物的話,鬼魅甚至會施法控制了精靈的隨身物品出賣主人,向它們洩露咒語。
「那魔法石有甚麼用呢?」
「有了魔法石,精靈就不必擔心會因啓動比特而意外被人得知秘密咒語了」尼歌手指按下魔法石,閃光慢慢消失。
「難道有了它就不用咒語都可以操作比特?是怎樣做到的?」愛麗絲顯得興致勃勃。
「不是不需要咒語,而是魔法石能記下你的秘密咒語,並按你的指示操作雲中的比特。魔法石是特製的,精靈主人的秘密咒語一旦封印在魔法石內,就絕不會再見得到,鬼魅就算現身鑿開石子也找不到。因為魔法石只設計為做一件事,而且只聽命於它的主人去操作比特。平日主人不在時,它根本就是一塊石頭,不會接收外來訊息,所以它難以被鬼魅迷惑。如果有人真的偷走了魔法石,並嘗試假扮它的主人操作比特的話,賊人幾次嘗試都啟動不到魔法石後,魔法石就會自毁,保護秘密咒語不會外洩。」
—
嚴格而言,加密貨幣錢包(Crypto wallet)這個名字是誤導的,首先它並不真的是「錢包」,內裡根本沒有任何加密貨幣。Crypto wallet 其實是一個程式,可以裝在智能電話或電腦上的,或者是植入硬件中的軟件(有時會被叫做固件(firmware))。 Crypto wallet入面儲存了用家的私鑰(Private Key, 或是人較易看明白的Mnemonic seed),用家通過 crypto wallet 和私鑰去操作Bitcoin和各種加密貨幣。所以,丢失錢包就會連同內存的現金一併丢失,但加密貨幣錢包就不同,只要用家的私鑰有備份,那就算安裝了加密貨幣錢包的電話不見了或進水壞了,用家在區塊鏈上所擁有加密貨幣的記錄也不會消失。但同樣地,任何一部裝有 crypto wallet 的儀器被駭或遺失,而 crypto wallet 本身又沒有有效的保安措施,都可能洩露私鑰而造成加密貨幣被盜。
加密貨幣錢包有四個功能:
- 產生和儲存私鑰 (Create and storage of private key)
- 建立和廣播(broadcast)區塊鏈交易(blockchain transaction)
- 利用私鑰向準備廣播區塊鏈交易進行電子簽署 (digital signature)
- 追蹤區塊鏈交易,以計算用家戶口餘額
通過以上四個功能,我們就可以持有和操作加密貨幣。
另外,基於安全性和易用性,及其他功能上的考慮,不同機構設計加密貨幣錢包時會以不同形式提供上述四項功能。
例如早期由 Bitcoin 的軟件開發群體 Bitcoin Core製作的加密貨幣錢包,就是一種安裝在電腦上的軟件。軟件一手包辦了加密貨幣錢包的四項功能,只要連上網絡就能全面操作Bitcoin。
這種安裝在電腦上的加密貨幣錢包,本身沒有什麼大問題,但如果那部安裝了加密貨幣錢包並載有私鑰的電腦同時是用家平日上網用的電腦,從資訊保安角度來看,問題就大了。電腦是很複雜的機器,若電腦中有其中一個軟件的漏洞被駭客利用,他就有可能會入侵電腦,灌入木馬程式甚至直接盗走私鑰,那後果就不堪設想。
因此,有人發明了熱錢包(Hot wallet)和冷錢包(Cold wallet)的概念,將加密貨幣錢包中需要動用私鑰的功能(就是第一和第三項)放到一個離線,稱為硬體錢包(hardware wallet)的裝置之上。電腦上連線上網(熱)的錢包負責建立和追縱區塊鏈交易,讓用家可以知道結餘的情況,然而每當要執行如轉移加密貨幣等需要進行電子簽署的工作時,用家則需要同時連接並解鎖硬體錢包(冷)才行。有了這樣的安排,安全性就大大提高,即使用家的電腦被入侵控制都好,起碼用家不必擔心私鑰被盗,因為私鑰由始至終都只留在硬體錢包之內,並沒有在電腦上出現過。
坊間有好幾個硬體錢包可以選擇,筆者不便替他們賣廣告,但當讀者決定購入硬體錢包和擁有加密貨幣後,筆者有兩個重點想提醒用家:
- 避免代購:硬體錢包是用來儲存加密貨幣的私鑰,是非常重要的硬體設備,要小心保管,而且儘可能直接向廠商購買,避免經中間人代購,以免被不法分子在硬件上做手腳盗走私鑰。
- 保障個人私隱安全:擁有加密貨幣的人,對駭客來說是很有價值的攻擊對象。因為駭客一旦攻擊成功,受害人通常很難取回損失。所以,財不可以露眼,擁有加密貨幣之後記緊保持低調,網上網下都不要到處宣揚。此外,更要改善平日對待個人私隱的態度,能力所及而又不至於令人生太複雜難過的話,建議讀者和加密貨幣相關的通訊方式最好和日常個人用的分開,那麼你便較容易區分出那些通訊是真的,那些是假扮的。例如若有天在你個人電子郵箱中無端端收到來自加密貨幣交易的電郵,你便知道那是想騙取資料的釣魚電郵。
有關使用加密貨幣之後的個人私隱和資訊保安,坊間的討論有非常多,但建議的執行方式,都經常困難到叫人望而生畏,而後果又說得聳人聽聞,令人不敢嘗試。將來讓筆者在這裡解說一下,試試和大家建立一個可行的OpSec (Operations Security,暫見譯為作業安全)策略。