區塊鏈相關應用已兼符電子簽章、資訊公開之需求,可協助檢核紙本轉數位之真偽,處理信任之議題(廣義之電子簽章),更可將日常業務或重要資訊直接存證於鏈上(資訊公開),能節省成本及提升效率。
隨著各界對區塊鏈應用日益熟悉,不要「為區塊鏈而區塊鏈」已成為大家在規劃開發或應用的共識。然而,要如何避免前述盲點,建議可先掌握區塊鏈主要特色。區塊鏈基本上為資料處理方式之一,其至少具備三大特色:(1)因資料結構之特性,達成共識出塊後不易竄改,且有助於追蹤、追溯;(2)透過共識機制及演算法等,需要且可進行多方共同驗證;以及(3)去中心化架構,不因單一節點終止服務而有影響。
區塊鏈特色(1)、(2)有助於理解其與簽章之差別
在區塊鏈特色(1)之資料結構部分,簡要示意如下圖所示:
由於交易資訊集合內,含簽章(如錢包或類似之身分管理機制)、Hash值等資訊,可確保文件是否為有權限人之人所發出,及避免被竄改,有論者據此認為區塊鏈應用與常見之簽章(如公私鑰)差異不大。然建議先理解在我國法制上,電子簽章主要係結合電子文件,用以辨識身分或確認該文件之真偽。
依電子簽章法第2條之定義,簽章可分為電子簽章與數位簽章。凡可用於辨識及確認電子文件簽署人身分、資格及電子文件真偽,如電子簽名,甚至是生物特徵之指紋、虹膜等,都屬於電子簽章。而後者之數位簽章,除屬非對稱加密機制,尚搭配憑證機構(CA)及憑證實務作業基準(CPS)之機制,依法賦予數位簽章較強之公信力。此從該法第10條之立法理由:「欲判定數位簽章的真偽及鑑別簽署者的身分,必須依賴具有公信力之憑證機構所簽發之公鑰憑證。因依本法設立之憑證機構,其安全性及專業能力皆必須達到本法規定的安全基準,始能對外提供服務,其所簽發的憑證之可靠性,應可為社會大眾所信賴,爰規定數位簽章必須以憑證機構簽發之公開金鑰憑證作為依據,並依一定之驗證程序始生效力」,也可瞭解二者之差異。
不過,在規劃區塊鏈應用上,無論是電子簽章或數位簽章,都僅能協助辨識所依附之電子文件係為有權限之人所發出,並無法確認實質內容。更甚,電子簽章法第4條之立法理由已強調:「電子文件雖可取代書面文件作為通信及交易的媒介,但並非所有以電子方法製作的電子文件,皆可防止被竄改及偽造,必須以當事人約定之安全技術、程序及方法所製作之文件且可供驗證真偽者,才能推定為真正」。基此,若有依附簽章之電子文件,如Word檔之紀錄,吾人可以確認發出單位與人員;但該紀錄內容經過何人、何時修改等,並無法知悉。
而此一情形,在區塊鏈之應用即可解決。因特色(1)資料結構之設計,且進一步搭配特色(2)共識機制,達成共識後出塊,確保資訊內容不易竄改,且透過類似交互勾稽之多方驗證,以及可查詢相關交易資訊,不僅可辨識身分或確認該文件之真偽,更可確保實質內容,如作成紀錄之人員、時間或歷程等資訊,有助於提升區塊鏈應用之信賴。
區塊鏈特色(3)有助於理解其與資訊公開之差別
基於前述區塊鏈應用之特色,如另從資訊安全三原則觀之,其應用偏向確保完整性(Integrity)及可用性(Availability),如各節點間之資訊可同步(完整性),且因去中心化織架構,並無單一脆弱點,故不會因單一節點失能而影響相關服務(可用性)。
然因相關資訊上鏈後皆可被查詢,可能較忽略機密性(Confidentiality)或隱私,但或符合資訊公開之需求。
有關資訊公開,在區塊鏈之應用上,多透過存證為之。一般而言,如欲規劃存證系統或功能,至少應包含兩類技術:核心技術及相關技術。
其中核心技術計有共識機制、存儲結構、通信方式等,以保障前述之多方參與、不易竄改等技術特徵;而(存證)相關技術計有:電子身分、時間戳記等,以支援具體應用。
先撇開分散式帳本、點對點傳輸、共識決(機制)等區塊鏈應用所需之共通基礎技術外,為協助存證之應用,相關系統至少要能提供身分識別、資料加密、智能合約、資料查詢及驗證等功能,以確保資料不被竄改、可供多方溝通或驗證。由此可知,存證所依賴之相關特色,與單純資訊公開仍有不同。更甚,因具體應用上無論是出塊節點或同步節點,要能發揮效能,不只資訊同步,尚需要在系統環境上具有一定之效能,故還可提供類似異地備援之機制。
小結
區塊鏈科技興起後,不限於加密貨幣,因其去中心化、可追蹤追溯、不易竄改等特色,相關應用已兼符電子簽章、資訊公開之需求,如可協助檢核紙本轉數位之真偽,處理信任之議題(廣義之電子簽章),更可將日常業務或重要資訊直接存證於鏈上(資訊公開),節省成本及提升效率。具體應用上,確實有助於提升農產品或相關生產履歷之信心。
但吾人瞭解區塊鏈應用特色後,上鏈後涉及之資訊安全議題,特別是機密性或保護隱私之考量,在選擇採用公(有)鏈或私(有)鏈上更應審慎看待。因公、私鏈仍有差別,如公鏈所有人皆可上傳資訊,常見之應用如交易所,但交易時會有手續費問題,且因節點多,效率較低。而私鏈(或聯盟鏈)以被允許參與者為主,主要供公司、組織之特定目的運用。惟公鏈可透過共識或挖礦機制,增加資料被竄改難度;然私鏈如未採挖礦機制,該如何保護……?綜此,建議仍應先熟悉區塊鏈技術特徵,始能規劃相關應用以促進信任、降低成本或提升效率。
<本文作者陳宏志目前服務於資策會,專注於資料治理議題,如資安、個資政策或法令及管理實務,並協助零售、物流、智慧財產權等規劃區塊鏈應用。>