Понедельник , 22 Октябрь 2018

Блокчейн: специфика, решения, перспективы (Ляпидов К.В.)

Блокчейн: специфика, решения, перспективы

Ляпидов К.В. (XI Всероссийская научно-техническая конференция «Актуальные проблемы информационной безопасности. Теория и практика использования программно-аппаратных средств». 2018)

____Блокчейн (blockchain) – выстроенная по определённым правилам непрерывная последовательная цепочка блоков (связный список) содержащих информацию. Чаще всего копии цепочек блоков хранятся и независимо друг от друга обрабатываются на множестве разных компьютеров [1].
____Неизменность информации в блоке обеспечивается снабжением каждого блока хеш-суммой от его содержимого. Затем эта хеш-сумма включается в качестве дополнительной полезной хешируемой информации в следующий блок и т.д. образуя цепочку блоков, которая записывается и хранится в распределённой базе данных (реестре).
____Таким образом, для того, чтобы изменить информацию в блоке, без разрушения доверия к нему, необходимо, чтобы хеш-сумма блока осталась неизменной, что практически невозможно, если используется криптографически стойкая хеш-функция. Либо необходимо перегенерировать цепочку всех блоков, начиная с модифицируемого.
____Децентрализованная система блокчейн без выделенных центров генерации блоков позволяет каждому участнику взять набор транзакций, ожидающих включения в реестр и сформировать новый блок. Децентрализация блокчейн обеспечивает его устойчивость – даже если часть узлов выйдет из строя на некоторое время, система все равно продолжит функционировать. Суть децентрализации и распределения заключается в том, что каждый участник сети имеет на своем жестком диске полную копию текущего реестра, что делает невозможным его компрометацию [2].
____При проведении транзакции на вход подается информация о ней, а на выходе генерируется хеш, который записывается в хеш-сумму. Таким образом, если в блоке попытаются изменить хотя бы один бит, все участники системы будут оповещены об этом.
____Технология блокчейн позволяет построить доверительные системы в средах и отраслях, в которых доверие между контрагентами априори исключено. А также значительно снизить время и издержки, путем отказа от посредников и третьих лиц.
____На сегодняшний день, наиболее востребованными и перспективными сферами для внедрения технологии блокчейн являются:

  1. Криптовалюты;
  2. Финансы: межбанковские расчеты, расчеты между юридическим и физическим лицами, платежи, ценные бумаги, кредитные истории;
  3. Нотариат, кадастры, реестры прав собственности, институт поручительства, escrow;
  4. Налоги и пособия, нарушения и штрафы;
  5. Идентификация граждан (паспортизация), регистрация актов гражданского состояния, госуслуги;
  6. Здравоохранение: медицинское страхование, медицинские карты, истории болезней;
  7. Образование: зачетные ведомости, дипломы, резюме;
  8. Трансфер объектов искусства и предметов авторского права;
  9. Поставки, отслеживание происхождения товаров, борьба с подделками;
  10. Системы честного голосования;
  11. Программы лояльности;
  12. Лотереи, рынок прогнозирования;
  13. Любой значимый документооборот, любые распределённые хранилища данных;
  14. Аутентификация пользователей, мессенджеры, DNS;
  15. IoT, BIoT, IIoT;
  16. Военный сектор: безопасный обмен сообщениями [3].

____Широкое распространение технология блокчейн получила в сфере информационной безопасности. Компании используют блокчейн, поскольку эта технология способна защитить данные и сделать их аудит более прозрачным. Блокчейн-технологии позволяют предотвращать следующие типы атак:

  1. Атака посредника (Man in the middle (MITM)). Шифрованные соединения (например, HTTPS, SSL, TLS) для защиты каналов опираются на инфраструктуру сертификации открытых ключей (PKI — Public Key Infrastructure) и удостоверяющие центры (CA — Certification authority). Каждый участник сети имеет пару открытый/закрытый ключ. Открытый ключ хранит CA. Когда пользователь хочет установить безопасное соединение (зайти на сайт), он запрашивает открытый ключ ресурса у удостоверяющего центра и шифрует данные перед отправкой. Чтобы расшифровать данные, сайт использует свой закрытый ключ. В этом случае надежность системы зависит от того, насколько хорошо защищен удостоверяющий центр. Если злоумышленникам удается скомпрометировать CA, то они получают возможность провести атаку Man in the middle (MITM). В этом случае выполняется рассылка поддельных открытых ключей, к которым у злоумышленников есть соответствующие закрытые ключи. С их помощью выполняется расшифровка передаваемой информации. В системе, основанной на блокчейн, атака MITM не реализуема. Когда пользователь публикует открытый ключ в блокчейн, об этом оповещаются все узлы сети. Эта информация записывается в блок, и криптография блокчейн защищает целостность реестра. Поэтому опубликовать ложные ключи у злоумышленников не получится т.к. подделку сразу распознают.
  2. DDoS-атаки (Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»). Основной целью распределенных сетевых атак является ограничение пропускной способности сетевого ресурса, например, инфраструктуры, поддерживающей сайт компании. Веб-серверы всегда имеют ограничения по количеству одновременно обрабатываемых запросов. Таким образом, если число обращений к серверу превышает возможности какого-либо компонента инфраструктуры, возникают проблемы с уровнем обслуживания. Массированная DDoS-атака на американского DNS-провайдера Dyn в прошлом октябре оставила миллионы пользователей без таких сервисов, как Twitter, PayPal, Netflix, GitHub. DDoS-атака на Dyn проводилась с помощью гигантского ботнета Mirai, включавшего десятки миллионов устройств: роутеры, принтеры, IP-камеры и другие гаджеты, подключенные к Интернету. Все вместе они транслировали данные на серверы Dyn со скоростью 1,2 Тбит/с. [4]. Атака на DNS-провайдер Dyn показывает, насколько централизованные системы делают всю интернет-инфраструктуру уязвимой.

____Однако можно отказаться от централизованных DNS-серверов и реализовать систему, в которой пары «имя — IP-адрес» регистрируются в блокчейн-сети и распределяются по всем узлам. Это обеспечит прозрачность и защищенность одновременно. Злоумышленники не смогут сделать своей целью какую-то одну инфраструктуру, атаковав отдельный кластер. Сами данные будут защищены криптографическими алгоритмами.

  1. Манипулирование данными. В феврале 2017 года хакеры скомпрометировали сайт Linux Mint и загрузили на него зараженную версию операционной системы со встроенным бэкдором. Как правило, разработчики предоставляют хеш-суммы, чтобы пользователи верифицировали копию ПО, однако здесь хакеры смогли опубликовать хеш-суммы своей версии. Поэтому скачавшие ОС пользователи не подозревали о подмене [5]. Подобная ситуация может произойти с любой информацией, распространяемой в сети. И знать наверняка, что полученные данные аутентичны, нельзя.

____В блокчейне участник сети может опубликовать хеш, ассоциированный с отдельным файлом, образом операционной системы и другими данными, требующими защиты. В этом случае, если злоумышленники получат доступ к информации и изменят её, они не смогут изменить хеш-сумму, записанную в блокчейн.
____Такой подход позволит заменить процесс аутентификации с использованием ключей на аутентификацию данных с помощью блокчейн, что гарантирует целостность данных за счет математических алгоритмов. Также, замена цифровых подписей RSA подписями KSI (Keyless Signature Infrastructure) использующими криптографию с хеш-функциями позволит избежать проблем в будущем, когда квантовые компьютеры получат распространение (такие компьютеры легко решают задачи факторизации, на которых строится RSA).
____Особые характеристики блокчейн дают ему широкое поле для применения, однако внедрение технологии не проходит беспрепятственно, поскольку влечет за собой часть проблем, вызванных самой структурой и принципами технологии. К основным таким проблемам относятся:

  1. Дублирование и репликация. Распределенная система или сеть полагается на два процесса (дублирование и репликацию) главным образом для того, чтобы обеспечить последовательность и стабильность среди всех участников системы. Дублирование производит поиск по всем узлам с целью отразить в них все последние изменения. Репликация в свою очередь распознает один узел, как оригинал, и проводит обновление остальных в соответствии с ним. Именно процесс репликации зачастую критикуется за чрезмерную сложность и большие затраты компьютерных мощностей и временных ресурсов.
  2. Государственное регулирование. В случае повсеместного распространения технологии блокчейн — государственным органам необходимо будет определиться, как его регулировать, иначе его статус останется неопределенным. На данный момент норм и законов, регулирующих его работу, нет.
  3. Уязвимость программного обеспечения. В связи с тем, что программное обеспечение становится более сложным и завязанным на взаимодействиях между пользователями, его надежность падает, в то время как количество уязвимостей увеличивается. Несмотря на то, что технологии быстро улучшаются, программный код, написанный человеком, никогда не будет идеальным – блокчейн не исключение. Целостность программного обеспечения и сети фундаментально важны для превращения блокчейн в инфраструктурную технологию.
  4. Разработка стандартов. Стандарты важны для обеспечения базового уровня взаимодействия между различными реализациями децентрализованных распределенных реестров и традиционными системами. Одна из сложностей, состоит в том, что большинство приложений децентрализованных распределенных реестров в настоящий момент все еще находятся в стадии разработки и тестирования. И на данный момент в отрасли не хватает достаточной информации для разработки соответствующих стандартов.
  5. Криптографические ключи и управление доступом к данным. Важной проблемой при использовании децентрализованных распределенных реестров является управление криптографическими ключами и доступом к данным. Ведь при потере ключей пользователи могут моментально понести невосполнимые денежные и ресурсные потери и подвергнуться компрометации учетных данных. Компрометация ключей может сделать данные нечитаемыми или недоступными, что приведет к постоянной потере средств, защищенных криптографией.

____Возможность связать открытые ключи с физической личностью или юридическим лицом, также является важным аспектом в области цифровой подписи, связанным с соблюдением конфиденциальности. Способность сохранять секретный характер закрытых ключей и достигать желаемых свойств безопасности шифрования с открытым ключом является сложной и комплексной задачей, которая зависит от множества факторов, включая неуязвимость криптографии и протоколов, используемых для генерации ключей, хранения, распространения, аннулирования и уничтожения ключей [6].
____В заключение следует отметить, что сфер применения блокчейн множество и они очень разнообразны. Блокчейн обеспечивает фундаментально иной подход к кибербезопасности, который распространяется за пределы узловых серверов и включает защиту данных пользователей, каналов общения и критической инфраструктуры. Однако следует учитывать тот факт, что блокчейн — это все же пока развивающаяся технология. Как и любая технология подобного типа, она сталкивается с изменяющимся технологическим контекстом: появление квантовых вычислений, изменения в законодательстве и др. Но очевидно, что блокчейн в ближайшем будущем будет играть ведущую роль в сфере информационной безопасности.

.

Библиографический список

  1. https://ru.wikipedia.org/wiki/ Блокчейн
  2. Raval S. Decentralized Applications: Harnessing Bitcoin’s Blockchain Technology // Pearson, 2017. С. 47.
  3. Andreas M. Antonopoulos Mastering Bitcoin: Unlocking Digital Cryptocurrencies // Integral, 2017. С. 84.
  4. Don Tapscott, Alex Tapscott Blockchain Revolution: How the Technology Behind Bitcoin is Changing Money, Business, and the World // Random House, 2017. С. 86.
  5. Roger Wattenhofer The Science of the Blockchain // Cengage, 2017. С.94.
  6. Finance and Economics Discussion Series Divisions of Research & Statistics and Monetary Affairs Federal Reserve Board, Washington, D.C., 2017. Электронный ресурс: https://ru.scribd.com/document/333308566/Distributed-ledger-technology-in-payments-clearing-and-settlement#from_embed?content=10079&ad_group=Online+Tracking+Link&campaign=Skimbit%2C+Ltd.&keyword=ft500noi&source=impactradius&medium=affiliate&irgwc=1

.

Добавить комментарий

Войти с помощью: 

Ваш e-mail не будет опубликован. Обязательные поля помечены *