Институт инженеров по электротехнике и электронике (IEEE) совместно опубликовал оценку того, как четыре платформы блокчейна соответствуют строгим требованиям безопасности федерального правительства США, и согласно отчету, только одна из платформ прошла тест.
Хотя IEEE не является лицом, принимающим решения в отношении того, что принимает федеральное правительство, оно может иметь представление о том, что оно может сделать, сравнивая поставщиков блокчейна с собственными правилами проверки правительства, которые используются для руководства принятием технологий на федеральном уровне.
Федеральный закон об управлении информационной безопасностью 2002 года (FISMA) требует, чтобы все новые федеральные ИТ-программы и усилия по модернизации, использующие блокчейн, соответствовали криптографическим стандартам Национального института стандартов и технологий (NIST). Если технология не соответствует им, то федеральное правительство не может использовать эту технологию.
Тем не менее, последствия для принятия блокчейна гораздо шире, чем ограничиваются только правительством, так как предприятия, как правило, следуют за внедрением правительством определенных технологий.
Причина в том, что правительство играет огромную роль в закупках технологий. NIST отвечает за предоставление Федеральных стандартов обработки информации (FIPS), которые представляют собой серию документов, которые предоставляют технологические стандарты в правительстве. Поскольку правительство является таким крупным покупателем технологий, эти стандарты фактически стали общим стандартом для вычислительной техники.
Поэтому, если правительство не позволяет этого, компании в других отраслях также, вероятно, следуют тем же правилам и могут также принять решение не применять эту технологию.
Исследование, совместно опубликованное IEEE Computer and Reliability Society, автором которого являются Джеймс П. Ховард II из Лаборатории прикладной физики Джонса Хопкинса и Мария Е. Вачино из Easy Dynamics Corp., отсканировали рынок для решений блокчейна, а затем сократили их до четырех. платформы на основе трех критериев; (i) устройство поддерживается единым бизнесом или консорциумом, отвечающим за разработку стандартов и руководство будущей работой; (ii) система позволяет создавать независимые частные цепочки без ограничения приложения единой глобальной сетью; (iii) метод хорошо поддерживается библиотеки разработчика, которые позволяют разработчикам программного обеспечения легко получать доступ к данным и протоколам системы блокчейна.
Согласно отчету, четырьмя платформами, которые отвечают всем требованиям, были Ethereum (реализованный в частной конфигурации), Hyperledger Fabric, Corda и Multichain. Затем они были оценены с учетом структуры NIST.
Из четырех платформ только R3 Corda была определена как отвечающая стандартам NIST и, следовательно, способная быть реализованной в проектах федерального правительства.
Корда передана, поскольку она использует SHA-256 для закрытия транзакции, а SHA-256 является приемлемым алгоритмом хеширования в соответствии с NIST. У Java есть много реализаций SHA-256, и есть одобренные NIST библиотеки. Corda поддерживает многочисленные цифровые подписи. RSA поддерживается с SHA-256 в качестве алгоритма хеширования. Для ECC P-256 также поддерживается с SHA-256 в качестве алгоритма хеширования. Все они были утверждены NIST.
Hyperledger Fabric, Ethereum и Multichain не отвечали требованиям по ряду причин, либо потому, что используемые стандарты шифрования не были утверждены NIST, либо там, где они были, они были написаны на языках программирования и библиотеках, которые NIST не одобрил.
У Hyperledger Fabric была сертифицированная NIST криптография транзакций и криптография цифровой подписи, но, поскольку она была реализована на языке go-lang, который является языковой реализацией, не утвержденной NIST, она не прошла.
У Эфириума было больше проблем. Ethash, который используется для Proof of Work, не соответствует требованиям NIST, и в отчете отмечалось, что переход к Proof of Stake является «движущейся целью», которую было трудно оценить. Для цифровых подписей Ethereum использует кривую secp256k1, которая не была проверена NIST
Multichain подошел близко. С криптографией, утвержденной NIST для запечатывания транзакций, но с поддержкой только для secp256k1.19 для цифровых подписей, которая не была проверена NIST.
Преимущество Corda в соблюдении требований правительства заключается в комбинации использования протоколов шифрования, утвержденных NIST, а также в результате их реализации на установленном 25-летнем языке, с которым NIST знаком, а именно на Java.
С точки зрения Hyperledger Fabric, есть хороший аргумент в пользу того, что go-lang - это новый современный язык, который существует уже на двенадцать лет меньше, чем Java, и поэтому использование Java более устоялось, поэтому вполне естественно, что NIST, представляющий консервативный характер правительства (большая часть которого до сих пор работает на проверенном и проверенном коде COBOL 1970-х годов) будет сосредоточена на устоявшемся языке.
Для Hyperledger Fabric еще не все потеряно, поскольку вполне возможно, что в будущем NIST потратит время на проверку алгоритмов шифрования, написанных на языке go-lang, которые могут открыть Hyperledger Fabric для использования в федеральном правительстве. Однако это не является чем-то легким, поскольку в NIST имеется обширный каталог уязвимостей, связанных с различными языками и структурами, при этом уровне внимания к деталям утверждение, вероятно, будет строгим и долгим усилием.
Corda может быть победителем, но есть важное предостережение - Corda соответствует стандартам NIST, только если используются «традиционные библиотеки Java». Чтобы понять этот важный нюанс, необходимо учитывать тот факт, что Corda фактически построена с использованием Kotlin, относительно языка Java, который совместим с Java.
Так почему же NIST не смог утвердить код шифрования, написанный на новом языке, таком как go-lang, а новый язык, такой как Kotlin, оказался приемлемым?
Ответ NIST одобрен только для библиотек шифрования, написанных на Java, которые Kotlin, будучи близким родственником Java, может использовать. Если пользователи используют библиотеки Kotlin для шифрования, Corda может не пройти тест NIST.
К счастью, в отличие от Hyperledger Fabric, у Corda может быть и то и другое - преимущества нового мощного языка и безопасность устоявшегося.
Новые Технологические Границы
Отчет IEEE посвящен криптографии, но это не полная картина, когда речь заходит о безопасности.
Двумя другими аспектами безопасности блокчейнов, которые получают все больше и больше, являются формально проверенные смарт-контракты и Trusted Execution Environments (TEE).
Умные контракты, написанные на официально проверенных языках, имеют то преимущество, что можно математически рассчитать со 100% -ной уверенностью, что результат умного контракта обеспечит для данного ввода.
Это делает их более безопасными в использовании, чем их «недетерминированные» аналоги, потому что может быть уверенность в том, что они будут делать. За пределами блокчейна формально проверенные языки обычно используются для критических систем, таких как атомные электростанции. Однако в то же время этот стиль языка программирования может накладывать ограничения на то, что может делать блокчейн, что может сделать их непригодными для определенных типов работы.
Будет интересно посмотреть, сформирует ли NIST взгляд на официально проверенные языки в ближайшие несколько лет.
С другой стороны, Trusted Execution Environment - это быстро развивающаяся технология безопасности, которая обеспечивает безопасный и конфиденциальный запуск кода, даже если компьютер, на котором он работает, не защищен. Это также обеспечивает безопасное место для хранения ключей шифрования и других конфиденциальных данных.
Это область рынка, в которой за последние несколько лет крупные производители микросхем, провайдеры облачных вычислений и провайдеры блочных цепочек получили большие инвестиции. Intel INTC и AMD создали процессоры, поддерживающие этот тип вычислений, которые затем предлагаются через облачных поставщиков, таких как Microsoft MSFT Azure и IBM IBM Data Cloud. Microsoft недавно анонсировала свою среду конфиденциальных вычислений, которая предоставляет строительные блоки для интеграции блокчейнов, использующих конфиденциальные вычисления. R3 также недавно анонсировала бета-программу для своей инициативы в области конфиденциальных вычислений под названием conclave.
Остаются некоторые противоречия относительно того, насколько безопасны эти среды, поскольку производители микросхем ЦП занимают часть загадки безопасности и поэтому требуют доверия к производителю чипов.
Блокчейн в федеральном правительстве уже
Хотя оценка IEEE может показаться чем-то вроде теоретического упражнения, стоит помнить, что федеральное правительство США уже внедрило блокчейн и, как таковое, является мировым лидером в космосе; Департамент здравоохранения и социальных служб, филиал федерального правительства, получил «Разрешение на выполнение» с использованием нового блокчейна, ориентированного на закупки (HHS Accelerate), цель которого - сэкономить правительству более 30 миллионов долларов на расходах на закупки в течение следующего пять лет.
Федеральное правительство, похоже, серьезно относится к блокчейну.
Уникальность
