跳至主要內容

20210510 區塊鏈應用上的域名服務

真的不是故意只看這類文章,但休息一個週末後,這一方面的訊息還是比較容易吸引我注意。原因在於:

  1. 現在在談的區塊鏈技術與應用真的和我接觸時是不同的事。
  2. 還是無法將加密貨幣與區塊鏈應用混為一談。
  3. 在以往,區塊鏈的優點是安全、不透過第三方、透過共識完成,所以如果被攻擊,可以從時間戳記 (Timestamp) 來回溯,只承認原本的資訊。

不過目前的加密貨幣很多的問題是在交易所,可能是交易所被攻擊、應用程式上有漏洞,或是其他原因有各種資訊安全的風險存在,在 Facebook 上看到了一篇「給駭客們的建言」。這讓我很感慨,我記得在2017年時,許多的講座談的是區塊鏈技術的重點就是安全,但在這篇「建言」裡,看得出來它不是針對區塊鏈技術,而是針對人的行為、應用程式的安全漏洞去攻擊。

中國也有不少討論區塊鏈技術的文章,中國清華大學的未央網是一個很不錯的資訊匯集處,也有許多研究專家在撰寫相關的文章,例如:区块链的现实之痛与解决之道,也匯集了其他國家在科技金融上的發展,或是中國自己內部的政策及相關科技金融產業上的處理,例如:未央今日播报:“跨境理财通”细则出炉 凤凰金融涉嫌非吸被立案调查

在「区块链的现实之痛与解决之道」的作者認為區塊鏈技術並沒有真正的被人應用,而且是屬於脫勾的,被加密貨幣、 ICO 的熱潮模糊了焦點,如果真的要談應用,就作者的角度來看,他覺得與實際的應用在生活裡還有很大的距離。目前除了先前提過的一些應用外,各國政府多研究開發與跨境金融交易、國際貿易相關的應用,或是像學位證書的證明、保險、車聯網相關的應用,但真的要普及而不是只有炒幣,可能還需要時間。也認同這位作者就目前區塊鏈技術的看法:專業術語太多太難以理解、不同技術的鏈與鏈之間是無法交流與交換的 (這則是違悖了網際網路資訊必須互通的公共價值),目前雖然有很多號稱要啟動的跨鏈服務,但也沒有真正的被啟動、真正被執行。從成本的角度來看,僅管各種技術想盡辦法要壓低耗盡的能源使用量外,愈巨大的區塊鏈雖然可信度愈高、安全性愈高,認證的時間愈長,手續費也愈來愈高。但愈新的技術、使用者愈少的鏈,也許交易速度快,但安全性就有一定的風險。

所以這似乎是一個很難取捨的情況,或許要再一些時間。

透過Handshake (HNS)、ENS 等服務的申請頂級域名

HNSENS 是這兩年內我看到最有趣,且與域名有關的應用服務。在我讀了 RIPE NCC 對區塊鏈應用與網路資源分配的研究後,基於那兩篇報導,網路 IP資源要透過區塊鏈技術、智能合約來發放還是有難度。

儘管 ICANN 是採多方利害關係人機制,也有嚴謹的合約來約束 Registrar、對於兩個字的域名則用於國家和地區頂級域名 (ccTLD),或是有一些特殊字的域名仍保留在網際網路號碼分配局 (Internet Assigned Numbers Authority,簡稱 IANA) 不予開放申請,也因為域名有著龐大的利益,所以 ICANN 的管理模式也被較激進的網路使用者垢病。例如,先前 Amazon 公司要申請 *.amazon 的新通用頂級域名 (New gTLD),除了要申請公司要支付高額的申請費外,由於 Amazon 流域周遭的國家擔心 *.amazon 被誤用、抵毀 Amazon 流域國家的文化,Amazon 足足用了 6 年的時間,與 ICANN的 GAC 委員會不斷的溝通協調,終於在 2019 年取得合約。有興趣的可以參考以前寫的文章「關於 .amazon 和 .cat 域名爭議」。約 7 年的協調過程,並不是所有的企業都能禁得起這麼長協調時間。

ICANN 的運作過程裡,有很大一部份是政治操作,絕非技術激進者一廂情願的天堂。我所提到的政治操作,簡單來說例如包容性,畢竟在網路世界還是以英文為主要交流語言,但仍然有 Universal Acceptance 計畫,讓非英文母語族群透過自己習慣的文字來瀏覽網路。另外像前面提到的 *.amazon 的申請案,亞馬遜河流周邊的國家都應有申請的權力,為什麼要同意由商業公司申請?當政府發現網路的功用時,就開始主張其在網路世界應有的權力。

也基於前述的各種情況,HNS 讓申請者可以申請自己的頂級域名,而不是透過 ICANN 高額的申請費或是需要與提出異議、反對的各委員會溝通,只是不是我們熟悉的 *.com 或 *.asia,例如我如果向 HNS 申請域名,可能會是 yc/,經過一些設定,還可以發送 mail@yc/ 的電子郵件。

然而, HNS 的設定與安裝也是有一些進入門檻,有興趣者可以參考「Handshake中文手冊」,必須要完整的節點才能參與其頂級域名的註冊、更新與相關管理。郵件伺服器、域名的解析等,在該手冊中提到「HNS 的目的不是在替換 DNS ,而是替換根區域文件和根服務器。」郵件的互通、瀏覽器可否正常瀏覽都還需要再另外設定,而若是遇到要申請的域名相同時,爭議如何處理?目前有看到一個蠻特殊的地方在於,如果你是Alexa 前 10萬名域名的擁有者,可以透過域名系統安全擴充 (DNSSEC) 的所有權來聲明你擁有該域名。而 DNSSEC 則是加強對DNS的驗證,簡單的說,是加強網路安全的一環,可以閱讀「ICANN宣布所有通用頂級域名均已部署DNSSEC」來了解。

所以可以看到 ICANN 和全球五大區域網路註冊中心們除了域名發放、網路資源配置外,其實也在加強許多治理與網路安全的工作,而網路安全則是在目前的區塊鏈技術領域裡容易被忽視的。

上圖取自 ENS 網站,它協助使用者申請 *.eth 的域名,並將錢包位址、網站指向你所申請的 *.eth 網址。目前可以看到支援比特幣錢包、以太坊錢包、萊特幣錢包位址都可指向 *.eth 網址,而網站在上傳到 IPFS 後,也可以用 ENS 域名瀏覽,且與你現有的域名並存,它不需要去改瀏覽器設定,但可能在現有的瀏覽器上安裝 MetaMask 套件,才可購買及運作。由於 ENS 是以太坊上的服務,所以手續費非常高昂,在申請網址、確認相關係的每個動作都需要付一筆交易費。由於參與了 Akasha.ethereum.world 的測試,所以擁有了一個在 Rinkeby 測試網路上的 *.eth 位址,可以看一下相關的討論

然而,ICANN 並不反對這些服務,甚至也會參與這些應用的開發,他們也認同未來會有不同於現在 ICANN 申請模式的服務。其實 DNS 本身就是分散系統。會讓人認為有集中管理的感覺,主要還是在「治理」的部份。我們目前可以看到的網路內容也只是整個網際網路中的一小部份而已,還有需要透過特殊通訊協定的暗網,或特殊的瀏覽器才能瀏覽的內容。

 ICANN 的立場很確定,只負責域名發放和相關的爭議處理,並不負責「內容」,所以在這些新技術上,我並沒有看到或聽到反對的音量。

在閱讀這些相關資訊後,唯一比較擔心的是,像是修改瀏覽器的 DNS 設定、錢包位址若指向特定域名,都有網路安全與隱私被侵犯的可能,而這些是區塊鏈社群裡目前較少會主動注意的,對一般網路使用者的進入門檻高,同樣的,一般的網路使用者也較不懂得如何保護自己,而容遇到社交工程、釣魚信件的事件,在目前的區塊鏈世界裡,都會造成龐大的損失。


照片是我自己拍的 / Photo by YingChu Chen on Unsplash

留言

此網誌的熱門文章

為什麼我支持《數位中介服務法》草案

在經歷許多次反抗台灣政府所立的網路相關法案後,我其實沒想過除了《數位通傳法》草案外,我還會再支持另一部法律草案,雖然 《數位通傳法》草案還壓在某處,但如果有人讀過《數位通傳法》的草案,再讀這部《數位中介服務法》草案,就會知道這部草案的重要性,而且也可以顯示台灣網路使用者的成熟度,更重要的,這是我第一次看到引入國際網路治理多方利害關係人機制的法律草案,而且是用在正確的地方。 有興趣想知道我在讀法條時的筆記和當下的感想,可以看我這則  Tweet 。這篇不使用逐條讀法條的方式來寫,因為那會讓人昏昏欲睡,我也不去比對歐盟《數位服務法》,因為我在讀《數位服務法》草案時,該草案特別強調是加強歐盟 E-Commerce Directive  ,而不是取代它,而且更多著重在預防盜版、仿冒,保護消費者的法案。所以當有輿論提到參考自《數位服務法》的《數位中介服務法》草案限縮言論自由時,我其實是一頭問號的,但一直到今天我才有時間讀《數位中介服務法》草案,這篇文章出自於我的個人經驗和閱讀法案的心得,與擔任的職務無關。 如果最近注意一下網路的資訊,有幾件事該注意一下: 有許多人在社群平台,如Facebook或是其他網路看到一些廣告,而這些廣告可能是要你支持台灣農產品、台灣製的產品,結果你收到時,上面還寫著簡體字,通常這是所謂的一頁式廣告詐騙,而行政院的消費者保護會在 2019 年時就有新聞稿在警告「 一頁式廣告詐騙多 小心查證保障多 」,之後像公視或是其他單位都有相關的活動在提醒大家小心這類廣告。但目前這些廣告其實多數不易處理,因為不容易取證、保留證據,等到追查到時已經找不到對方了。 有不少親密照片與影片在情侶分手後,被報復性的上傳到情色網站或透過即時通訊傳到親友的帳號裡,或是被洩露個資,遭到公開的霸凌。 之前有一個專題:「 青春煉獄:網路獵騙性私密影像事件簿 」,光是讀完這個專題報導我就覺得受傷。 有人使用 Deep Fake 把台灣名人的臉部照片合成至色情影片再上傳至色情影片平台,今年 7 月才被判刑。 還有許多創作者藉由網路分享作品時,被人盜用,甚至有國外的使用者修改台灣人的作品去參與比賽還獲獎。 有一次打電話問某個部會,如果消費者在國外電子商務平台買東西,但資料被外洩怎麼辦?雖然政府願意協助,但衡量至國外打官司的時間和成本,就會讓人卻步。 有些行為在現實世界裡有法...

To Regulate or Not to Regulate? About AI technology

I borrowed the title of the forum this afternoon . Actually, I attended two webinars about AI today.  One forum focused on the debate about regulating AI development in Taiwan. The discussion was fruitful, as the panellists shared their experiences and knowledge about different AI regulations across various countries. Besides Taiwan, they discussed the European Union, the US, Korea, and China. Korea, for instance, published their "Act on the Development of Artificial Intelligence and Establishment of Trust" (AI Basic Act) at the end of 2024. However, before this, the Korean government had already established good data governance through three essential acts: the Personal Information Protection Act, the Network Promotion Act, and the Credit Information Act. These laws, along with their MyData applications, built a strong foundation for strategies like the Data Dam, a centralized platform for securely collecting, storing, and processing large-scale data, which supports AI devel...

台灣成立個人資料保護委員會的重要性

我在2018年6月7日去聽 PChome 的詹宏志董事長的 演講 ,他在演講中提到過去PChome被 DDoS 攻擊的事件。當他知道公司網站受到攻擊時,他不知道該向誰通報,只好藉由他的人脈網來尋求協助,當然也取得協助,並在他的考量下,儘量降低對公司聲譽、消費者權利的風險。 台灣發生過的真實案例 當我聽到這個經驗後,心中一直有個疑問:「當大企業遇到 DDoS 時,有內部資安管理人員全力處理。但若中小企業遇到 DDoS 時,除多功能的資訊服務團隊外,又該如何應對?」  2007年的博客來網站因為金馬影展的售票資料庫因為人為疏失,造成大量個資外洩,但因為當時的《電腦處理個人資料保護法》(即現在的個資法)還不是很完善,所以對當時的博客來而言並未有很嚴重的懲罰。 之後隨著網路愈來愈普及,網站因遭受攻擊造成資料外洩的事情愈來愈多,從會員資料庫外洩到癱瘓公司系統甚至導致醫療系統或網站癱瘓。,大家也開始藉由網路媒體教學,當自己的資料外洩,或是私密影像被惡意傳播時,就會先去警局報警備案。 在台灣,因為各目的事業主管機關的權責範圍不同,在沒有成立數位發展部(數位部)前,網路商店發生資料外洩時,可能會先找經濟部、國家通訊傳播委員會(NCC);在成立數位發展部後,就把所有責任給數位發展部。讓我很感慨的是2023年的 醫指付個資外洩事件 ,就看著衛福部、經濟部、數位部、金管會四個部會互踢皮球,都不認為自己是應該負責的目的事業主管機關,最後由金管會處理。 歐盟GDPR實施後對全球企業的影響 台灣的人權團體長久以來不斷倡議台灣需要獨立的個人資料保護機構,這件事我一直都沒忘,甚至是在討論 《數位中介服務法》 草案時,這部法的草案已經將個人資料保護機構應做的事已規劃至其中。可惜的是因為政治操作,這部法案就被遺忘了。 我在 2022 年開始蒐集全球個資保護與隱私保護的案件及觀察全球人工智慧、個人資料法規發展,我觀察到,台灣與收集的案例的最大不同處在於,與其他國家比較,台灣沒有獨立的個人資料保護單位,自然當其他國家在談資料跨境傳輸協議、人工智慧發展政策與規劃時,台灣沒有對等的單位可以參與討論,也許數位部同時身兼這樣的角色,但就不是前段所提到的「獨立」的權責機關。 歐盟的GDPR自 2018 年 5 月開始實施後,許多國家開始思考擁有資料保護及所有權的重要性而紛紛立法外,GDPR也對全球企業造成很...