Asch PK Lisk系列之一：安全性

在币圈，听到对数字货币的质疑之声历来没少过。为何有人会质疑呢？他们列出了不少理由（如下四点内容摘自网络）：

数字货币是依附于网络的，而中国并无独立自主的网络技术，容易被敌对势力利用数字货币损害中国利益；
网络黑客会利用相关技术从事非法活动，盗取国家和他人财产；
若是出现网络故障，会由于不能及时交易影响经济活动的正常开展；
有一部分习惯使用现金的尤为是老年人不适应……等等，不少理由。
枚举的理由虽然不够全，但也能从中看到一些问题，即每一个参与者都很关心数字币技术，而技术中的安全问题历来都是币圈的头条新闻，大到门头沟事件，小到最近火的不得了的bitfinex事件。本文今天就浅尝辄止的作个Asch和Liks的安全性对比--首页登录。

1.技术背景

Asch和Liks都是踩着Crypti的肩膀发展而来，有竞争才能有进步，所以两者在同一功能上技术实现细节也有很大不一样。普通用户在登录钱包时可使用web页面、手机app等，但不管使用哪一种方式登录，他们都要链接到一个拥有完整区块链数据的Server端，当你输入密码按肯定键以后，密码会经过http协议的post请求传输到Server端进行认证。下图是一个简单的实现描述：

2.Lisk的Web钱包登录过程解析

本次Lisk测试采用的是最新版本v0.3.2（lisk-main，非测试连），输入密码并点击“登录”按钮，而后经过浏览器查看其post请求，发现lisk在登录过程当中未对密码进行任何处理，直接将其发送到服务器，以下图所示，能够看到用户输入的密码为“absorb gun bread exist just stand file pipe minimum caution margin clap”

3.Asch的Web钱包登录过程解析

本次Asch测试采用的版本是最新的v0.9.5（test-net），当用户点击“登录”后，asch web页面会对密码进行加密处理，而后将加密后的数据发送到服务器，而非直接发送密码。

4.结论

1.Asch比Lisk更安全

Lisk明文密码直接经过Internet传输，无疑等于直接裸奔！而Asch的密码是通过客户端处理事后以公钥形式经过Internet传输，私钥是存储在客户端本地的，安全性远大于Lisk。

2.Lisk钱包被盗风险极大

虽然两者都是采用明文方式进行post提交，但当网络不安全被人截取数据包时（如抓包工具tcpdump、wireshark，链接到不安全的wifi热点等），攻击人能够直接获取到Lisk用户的私钥（能够执行任何操做，如转帐）；一样的操做却只能获取到Asch用户的公钥（只能查看，不能执行其它操做，由于没有私钥来签名）

3.Lisk的服务端必须是可信任的

由于你将密码直接发送到Lisk服务器，当服务端不可信任时，他能够经过修改Lisk程序代码，而后将接收到的密码打印到终端或者写入文件中。而Asch则没必要要求服务端是可信任的，他传输的只是公钥，是安全可靠的。

本系列文章只是进行技术交流，不可用作其它用途，且须经本人赞成，方可转载。永久连接：https://www.zybuluo.com/zhenx...

关于侧链和区块链开发的问题，欢迎加群：485979564，一块儿讨论交流