Совместимы ли безопасность и блокчейн?

Компания «Актив» провела вебинар, посвященный безопасности технологии блокчейн, акцентировав внимание на безопасности использования закрытых ключей.

Совместимы ли безопасность и блокчейн?

Запись вебинара доступна на нашем YouTube-канале.

Что такое блокчейн и как он устроен рассказал ведущий вебинара Владимир Салыкин, менеджер по продуктам Рутокен компании «Актив». Он отметил, что блокчейн — это технология, которую можно применять самыми различными способами. Криптовалюты — это лишь одно из применений данной технологии. К сожалению, неспециалисты часто смешивают блокчейн и криптовалюты, особенно это касается биткойн.

Сегодняшний хайп и спекуляции вокруг криптовалют подрывают доверие к технологии в целом. Многие стартапы применяют блокчейн ради привлечения инвесторов и быстрого заработка, при этом не используя никаких преимуществ, которые дает технология.

На этапе проектирования в технологию заложили защиту от подделки, защиту от цензуры, защиту от отката операций, от нелегитимной эмиссии, от непоследовательности, от простоя. Но до сих пор блокчейн не покорил мир. Почему?

Владимир Салыкин называет несколько причин. Во-первых, невозможно отказаться от операции. В обычной жизни, пользуясь банковской картой и процессингом, вы можете отказаться от операции, которая была произведена без вашего ведома. Например, при краже карты, компрометации PIN-кода и попытке вывода ваших денег, есть шансы вернуть украденное, т. к. банковские операции застрахованы в платежной системе.

В блокчейне это не работает, потому что отказаться от операций невозможно. Сама идея блокчейна противоречит созданию централизованных систем.

Вторая проблема касается захвата кем-либо более 51% мощностей всей сети блокчейна. Хотя технически получить подобную мощность практически невозможно, но можно оказать различного рода влияние на владельцев крупных пулов. Например, 4 крупнейшие пула биткоин контролируют 55-60% мощности, и при этом находятся на территории одного государства.

Следующая проблема — проблема консенсуса — для совершения операций требуются огромные вычислительные мощности компьютеров, что в итоге приводит к высоким затратам электроэнергии. И хотя предложено несколько решений этой проблемы, они пока сомнительны.

Размер блокчейна также вызывает много вопросов. Чем больше людей пользуется данными, тем быстрее и быстрее будет расти размер блокчейна, хранить его целиком на своем компьютере становится неудобно. А совместное использование хранилищ приводит к потере основных преимуществ технологии.

Сама технология новая, поэтому пока отсутствует развитая экосистема для ее обслуживания. Для работы блокчейна нужны решения для хранения, управления, мониторинга, аудита и другие системы. Пока все это находится в зачаточном состоянии.

Не стоит забывать и про безопасность блокчейна, которая критически влияет на внедрение технологии, предупреждает эксперт. Децентрализованный характер системы приводит к отсутствию центра контроля. А значит нет никого, кто мог бы быстро принять решение в критической ситуации. Примером может быть хищение денежных средств во время инцидента The DAO. Потребовалось несколько недель, чтобы сообщество пришло к единому решению по дальнейшим действиям. Актуальны проблемы вредоносных реализаций, слабых паролей и иностранных алгоритмов.

Одна из важных проблем безопасности блокчейна — уязвимость закрытого ключа. Блокчейн внутри себя использует открытые и закрытые ключи для проведения и подписи транзакций. Защита этих ключей в большинстве реализаций, использующих блокчейн, находится в зачаточном состоянии.

Почему закрытый ключ так важен в блокчейне? Во-первых, защита лежит на плечах самого пользователя. Большинство из них не компетентны и не обладают необходимым набором технических знаний и навыков, чтобы защищать свои ключи. Плюс никто не отменял социальную инженерию. Рядовые пользователи запросто отдадут свои ключи, пришлют их по почте и т. д. Ситуация усугубляется тем, что нет отката от операций.

Хорошее решение этой проблемы — токены и смарт-карты, которые уже были разработаны для биткойна за рубежом. Чем токены могут помочь в блокчейне? Первый плюс — неизвлекаемость закрытого ключа. Так же, как сейчас происходит с ЭЦП, «умные» токены, к примеру, Рутокен ЭЦП 2.0, позволяют генерировать закрытые ключи, которые никогда не покидают сами устройства. Второй плюс — вычисление ЭЦП на борту устройства. Производители подобных продуктов не допускают таких ошибок, как подпись части сообщения или части транзакции. Уже только за счет этих факторов блокчейн станет безопаснее. Другой плюс — использование технологии типа secure messaging, позволяющей целиком шифровать весь трафик между условным блокчейн-приложением и токеном. Соответственно, пин-коды и вся интересная для злоумышленника информация будет находиться в закрытом виде, что еще больше повысит безопасность системы.

Владимир Салыкин прогнозирует в ближайшие 3 года открытие пилотов по использованию блокчейна в государственных организациях. Но большая часть из них будет закрыта, предупреждает он. Опыта внедрения и использования технологии в сложных операциях нет, а это чревато проблемами с безопасностью. На сегодня помочь решить проблему безопасности закрытых ключей, в том числе и в блокчейне, могут токены и смарт-карты.