数字签名在云原生应用安全中的实践 小马哥 Agenda 1 2 3 何为数字签名，数字签名为何？ 为何要对容器镜像进行签名 使用 cosign 对容器镜像进行签名验证 4 Demo show 小美，等我 小美， 不要等我 一段唯美爱情的悲伤结局！ 截获 篡改 防止数据被篡改，保证数据的 完整性、机密性，从而提高安 全性！ app app app 云原生时代：容器是核心，镜像是灵魂 云原生时代：容器是核心，镜像是灵魂 数字签名原理 https://www.sigstore.dev/ https://github.com/sigstore https://github.com/sigstore/cosign Signing OCI containers (and other artifacts) using Sigstore! 谢谢！ & QA

区块的前置依赖区块ID bytes pre_hash = 4; // The miner id // 矿工ID bytes proposer = 5; // 矿工对区块的签名 // The sign which miner signed: blockid + nonce + timestamp bytes sign = 6; // The pk of the // 交易发起需要被收集签名的AddressURL集合信息，包括用于utxo转账和用 于合约调用 repeated string auth_require = 27; // 交易发起者对交易元数据签名，签名的内容包括auth_require字段 repeated SignatureInfo initiator_signs = 28; // 收集到的签名 repeated repeated SignatureInfo auth_require_signs = 29; // 节点收到tx的时间戳，不参与签名 int64 received_timestamp = 30; // 统一签名(支持多重签名/环签名等，与 initiator_signs/auth_require_signs不同时使用) XuperSignature xuper_sign = 31;

区块的前置依赖区块ID bytes pre_hash = 4; // The miner id // 矿工ID bytes proposer = 5; // 矿工对区块的签名 // The sign which miner signed: blockid + nonce + timestamp bytes sign = 6; // The pk of // 交易发起需要被收集签名的AddressURL集合信息，包括用于utxo转账和 用于合约调用 repeated string auth_require = 27; // 交易发起者对交易元数据签名，签名的内容包括auth_require字段 repeated SignatureInfo initiator_signs = 28; // 收集到的签名 repeated repeated SignatureInfo auth_require_signs = 29; // 节点收到tx的时间戳，不参与签名 int64 received_timestamp = 30; // 统一签名(支持多重签名/环签名等，与 initiator_signs/auth_require_signs不同时使用) XuperSignature xuper_sign = 31;

区块的前置依赖区块ID bytes pre_hash = 4; // The miner id // 矿工ID bytes proposer = 5; // 矿工对区块的签名 // The sign which miner signed: blockid + nonce + timestamp bytes sign = 6; // The pk of the // 交易发起需要被收集签名的AddressURL集合信息，包括用于utxo转账和用 于合约调用 repeated string auth_require = 27; // 交易发起者对交易元数据签名，签名的内容包括auth_require字段 repeated SignatureInfo initiator_signs = 28; // 收集到的签名 repeated repeated SignatureInfo auth_require_signs = 29; // 节点收到tx的时间戳，不参与签名 int64 received_timestamp = 30; // 统一签名(支持多重签名/环签名等，与 initiator_signs/auth_require_signs不同时使用) XuperSignature xuper_sign = 31;

区块的前置依赖区块ID bytes pre_hash = 4; // The miner id // 矿工ID bytes proposer = 5; // 矿工对区块的签名 // The sign which miner signed: blockid + nonce + timestamp bytes sign = 6; // The pk of // 交易发起需要被收集签名的AddressURL集合信息，包括用于utxo转账和 用于合约调用 repeated string auth_require = 27; // 交易发起者对交易元数据签名，签名的内容包括auth_require字段 repeated SignatureInfo initiator_signs = 28; // 收集到的签名 repeated repeated SignatureInfo auth_require_signs = 29; // 节点收到tx的时间戳，不参与签名 int64 received_timestamp = 30; // 统一签名(支持多重签名/环签名等，与 initiator_signs/auth_require_signs不同时使用) XuperSignature xuper_sign = 31;

bytes pre_hash = 4; 14 // The miner id 15 // 矿工ID 16 bytes proposer = 5; 17 // 矿工对区块的签名 18 // The sign which miner signed: blockid + nonce + timestamp 19 bytes sign = 6; 20 // 交易发起需要被收集签名的AddressURL集合信息，包括用于utxo转账和用于合约 调用 41 repeated string auth_require = 27; 42 // 交易发起者对交易元数据签名，签名的内容包括auth_require字段 43 repeated SignatureInfo initiator_signs = 28; 44 // 收集到的签名 45 repeated SignatureInfo auth_require_signs = 29; 46 // 节点收到tx的时间戳，不参与签名 47 int64 received_timestamp = 30; 48 // 统一签名(支持多重签名/环签名等，与 initiator_signs/auth_require_signs不同时使用) 49 XuperSignature xuper_sign

区块的前置依赖区块ID bytes pre_hash = 4; // The miner id // 矿工ID bytes proposer = 5; // 矿工对区块的签名 // The sign which miner signed: blockid + nonce + timestamp bytes sign = 6; // The pk of // 交易发起需要被收集签名的AddressURL集合信息，包括用于utxo转账和 用于合约调用 repeated string auth_require = 27; // 交易发起者对交易元数据签名，签名的内容包括auth_require字段 repeated SignatureInfo initiator_signs = 28; // 收集到的签名 repeated repeated SignatureInfo auth_require_signs = 29; // 节点收到tx的时间戳，不参与签名 int64 received_timestamp = 30; // 统一签名(支持多重签名/环签名等，与 initiator_signs/auth_require_signs不同时使用) XuperSignature xuper_sign = 31;

区块的前置依赖区块ID bytes pre_hash = 4; // The miner id // 矿工ID bytes proposer = 5; // 矿工对区块的签名 // The sign which miner signed: blockid + nonce + timestamp bytes sign = 6; // The pk of // 交易发起需要被收集签名的AddressURL集合信息，包括用于utxo转账和 用于合约调用 repeated string auth_require = 27; // 交易发起者对交易元数据签名，签名的内容包括auth_require字段 repeated SignatureInfo initiator_signs = 28; // 收集到的签名 repeated repeated SignatureInfo auth_require_signs = 29; // 节点收到tx的时间戳，不参与签名 int64 received_timestamp = 30; // 统一签名(支持多重签名/环签名等，与 initiator_signs/auth_require_signs不同时使用) XuperSignature xuper_sign = 31;

数字证书就是区块链网络中标志通讯各方身份信息的一串数字，提供了一种在 网络上验证通信实体身份的方式，数字证书不是数字身份证，而是身份认证机 构盖在数字身份证上的一个章或印（或者说加在数字身份证上的一个签名）。 FISCO-BCOS网络采用证书机制，对节点的准入进行管理，从而保证整个网络 有效，可靠，安全地进行通信。 合约入门 本文作为基础，供读者初步理解智能合约的编写、部署和调用。若需要开发应 1.3/docs/web3sdk/codes/Counter.java]： 1. 初始化AMOP的ChannelEthereumService 2. 使用AMOP初始化Web3j 3. 初始化交易签名密钥对 4. 初始化交易参数 5. 调用合约接口部署或调用合约 其他说明 从零开发SDK应用时，可使用eclipse新建java工程，编译配置文件 build.gradle可参考bcosliteclient com/ethereum/wiki/wiki/JSON-RPC FISCO dev团队提供的示例应用: 1. 存证Demo： https://github.com/FISCO-BCOS/evidenceSample 2. 群/环签名客户端Demo: https://github.com/FISCO-BCOS/sig- service-client 3. depotSample服务Demo: https://github.com/FISCO-

1. 数据在p2p网络中采用ECDH加密传输，保障区块链数据的安全性； 2. 通过助记词技术，在用户私钥丢失的情况下可以恢复； 3. 多私钥保护的账号体系； 4. 基于椭圆曲线算法的公私钥加密和签名体系； 权限模型 实现一个去中心化，区块链内置的合约账号权限系统。特点如下： 1. 支持多种权限模型，比如背书数、背书率、AK集合、CA鉴权、社区治 理等； 2. 支持完善的账号权限管理， 智能合约 可信账本 对等网络 区块链101 密码学 背景 密码学技术是区块链的核心基础技术之一，承担着区块链不可篡改和去中心 化验证等特性的底层支撑。在超级链中，密码学技术广泛应用在账户体系、 交易签名、数据隐私保护等方面，主要以ECC(椭圆曲线密码体系)以及多种 Hash散列算法为基础，发展出的一个单独的模块。 密码学基础 哈希函数 加密哈希函数(Hash Function) 是适用于密码学的哈希散列函数，是现代密码学 org/wiki/SHA- 1#Comparison_of_SHA_functions] 。 ECC 构建区块链的去中心化交易，需要一种加密算法，使交易发起人使用持有的 密钥对交易数据进行数字签名，而交易验证者只需要知道交易发起人的公开 信息，即可对交易有效性进行验证，确定该交易确实来自交易发起者。这种 场景在密码学中称之为`公开密钥加密`，也称之为非对称密钥加密。 常见的公开密钥算法如RSA、ECC(Elliptic