نظر آندریاس فروند، عضو گروه علاقه مندی EEA Mainnet
بلاک چین ها به ندرت در مورد مشکلی صحبت می کنند که مستقل از فراز و نشیب بازارهای رمزنگاری است و می تواند مانع پذیرش طولانی مدت بلاک چین خارج از موارد استفاده مستقیم به مصرف کننده و برخی موارد استفاده B2B شود: الگوریتم های رمزنگاری بلاک چین مطابق با NIST نیستند که یک عامل اصلی در دستیابی به انطباق با FISMA (قانون مدیریت امنیت اطلاعات فدرال)! و انطباق با NIST/FISMA، یا معادل آن در خارج از ایالات متحده، زمانی که شرکتها با دولتها یا شرکتهایی که به طور منظم با شرکتهایی که با دولتها سروکار دارند سروکار دارند، بسیار مهم است.
چرا بلاک چین ها معمولاً مطابق با NIST نیستند؟ خب، دلیل اصلی این است که بلاک چین ها از بی اعتمادی عمیق نسبت به هر چیزی که توسط دولت اداره می شود و در پی رکود بزرگ سال 2008 مورد تایید قرار می گیرد، متولد شده اند. از جمله الگوریتم های رمزنگاری تایید شده توسط دولت. در هر صورت، الگوریتم هش SHA-3 که امروزه به طور گسترده پذیرفته شده است تا سال 2015 پس از اینکه بلاک چین هایی مانند اتریوم قبلاً انتخاب خود را در مورد الگوریتم های هش انجام داده بودند، نهایی نشد. بنابراین، بیشتر بلاک چینها مانند اتریوم از الگوریتمهایی استفاده میکنند که نه تنها مورد تایید NIST نیستند، بلکه توصیه میکند از آنها استفاده نکنید. توجه داشته باشید، بلاک چین های سازگار با NIST مانند Simba-Chain یا Fabric وجود دارند که بر روی LinuxONE IBM کار می کنند. با این حال، هزینه بالایی دارند و مدیریت آنها در تولید دشوار است[1] همانطور که شرکت ها پس از صرف ده ها میلیون دلار برای هزینه های مشاوره و اجرا یاد گرفتند. تشدید مشکل هزینه این است که آنها اغلب نتایج مورد انتظار تجاری را به همراه ندارند زیرا موارد استفاده انتخابی برای شروع بلاک چین مناسب نبودند! نکته اصلی برای بحث زیر این است که هر رویکرد جدید بلاک چین سازمانی باید نه تنها به انطباق با NIST بلکه همچنین هزینه و پیچیدگی مدیریت را به طور موثر برای جذب حامیان مالی جدید مورد توجه قرار دهد.
آیا این بدان معناست که وقتی انطباق با NIST، هزینه و پیچیدگی مدیریت یک نگرانی است، همه چیز برای بلاک چین در یک شرکت ناامیدکننده است؟
خوشبختانه پاسخ منفی است، ناامیدکننده نیست. بی اهمیت نیست، اما ناامید کننده نیست.
برای درک این که این به چه معناست، اجازه دهید ویژگی های برنامه های کاربردی مبتنی بر بلاک چین را مرور کنیم می توان دارند:
- یکپارچگی داده: اگر فقط به آن نیاز دارید، از بلاک چین استفاده نکنید. جایگزین های ارزان تری وجود دارد.
- مهر زمانی قابل اثبات: بسیار جالب تر و مفیدتر برای مسیرهای حسابرسی، به عنوان مثال در سراسر زنجیره تامین.
- بدون یک نقطه از شکست: در صورت نیاز 100٪ در دسترس بودن، با قیمت پایین.
- مقاومت در برابر سانسور: دسترسی به دادههایی که برای مثال نیاز به ممیزی توسط اشخاص ثالث دارند که لزوماً در زمان ایجاد دادهها شناسایی نشدهاند یا تراکنشهای برگشتناپذیر (عمداً) مستقل از شخص ثالث را اجرا میکنند.
- حفاظت از خرج دوگانه: فقط در صورتی مرتبط است که با دارایی های دیجیتالی در بلاک چین سروکار دارید. به عبارت دیگر، شما واقعاً به DeFi علاقه دارید.
- به ارث بردن ضمانت های امنیتی بلاک چین: این یکی بسیار جالب است، اگر به مقیاس پذیری برنامه نیاز دارید، اما امنیت بالایی دارد. ما تا اندکی به آن خواهیم رسید.
توجه داشته باشید که هیچ یک از موارد بالا در مورد حریم خصوصی داده ها، یکی از جواهرات گرانبها مورد نیاز برنامه های کاربردی سازمانی صحبت نمی کند. اما نگران نباشید، میتوانید بدون استفاده از دادههای حساس به کسبوکار در همه جا در فضای باز به حریم خصوصی دادهها دست پیدا کنید. ما هم تا اندکی به آن خواهیم رسید.
قبل از اینکه از خودمان پیشی بگیریم، بیایید در اینجا مکث کنیم و در مورد چگونگی ارتباط این ویژگی ها با انطباق با NIST بحث کنیم. در نگاه اول، نه چندان زیاد، اما اجازه دهید هر یک از ویژگی ها را مرور کنیم و مفاهیم آن را با جزئیات بیشتری مورد بحث قرار دهیم. با این حال، ابتدا لازم به ذکر است که برای دریافت مجوزهای Authority-To-Operate (ATO) از یک دولت، به عنوان مثال دولت ایالات متحده[2]، استفاده از الگوریتمهای رمزنگاری غیر منطبق با NIST یا الگوریتمهایی که NIST درباره آنها نظری نداده است، خوب است، تا زمانی که این الگوریتمها برای امنیت برنامه و حفظ حریم خصوصی دادههای آن اساسی نباشند. به عنوان مثال، شما باید ثابت کنید که یک قرارداد در یک روز خاص اجرا شده است و از آن زمان تغییری نکرده است. با استفاده از بلاک چین، میتوان اثر انگشت رمزنگاری را با استفاده از هش رمزنگاری (تأیید شده توسط NIST) قرارداد، و سپس آن هش را روی یک بلاک چین (عمومی) لنگر انداخت که پس از گنجاندن در یک بلوک، یک مهر زمانی قابل اثبات را از طریق ترکیبی از شماره بلوک، هش بلوک و مهر زمانی. اگر بلاک چین مجددا سازماندهی شود، مثلاً از طریق یک حمله 51 درصدی، باز هم میتوان معامله را با هش قرارداد، و بلوک آن دریافت کرد و هر دو را در یک بلاک چین (عمومی) دیگر گنجاند. بنابراین، امنیت بلاک چین اصلی (عمومی) در مورد استفاده اساسی نیست.
با در نظر گرفتن این موضوع، بیایید دوباره به هر مشخصه نگاه کنیم، با تمرکز بر تأثیر آن بر انطباق NIST یک برنامه کاربردی با استفاده از فناوری بلاک چین:
- یکپارچگی داده: این یکی آسان است زیرا همیشه میتوانید یک کپی از دادههای مربوطه را که به عنوان مثال از طریق هش رمزنگاری در بلاک چین لنگر انداختهاید، با شکل دیگری از حفاظت از یکپارچگی دادهها مانند اعتبارنامه تأییدشده W3C با الگوریتم امضای رمزنگاری تأیید شده توسط NIST داشته باشید. .
- مهر زمانی قابل اثبات: کمی سخت تر اما شدنی است. اگر زنجیره مورد استفاده به خطر بیفتد، باز هم میتوان بلوک را با تراکنش مربوطه شامل یک هش رمزنگاری مطابق با NIST از یک سند و مهر زمانی آن گرفت و کل بلوک را با تراکنش از طریق هش رمزنگاری منطبق با NIST دیگری در بلاک چین دیگر لنگر انداخت. هیچ آسیب واقعی وارد نشده است
- بدون یک نقطه از شکست: بسیار خوب، پس این کمی مشکل است زیرا NIST توصیه هایی در مورد الگوریتم های اجماع ایجاد نکرده است. این بدان معناست که تا زمانی که مدل اجماع دارای یک پایه آکادمیک مستحکم باشد، به عنوان مثال یک اثبات ریاضی امنیت، میتوان آن را با موفقیت استدلال کرد و ما آن را در سطل سازگار با NIST قرار میدهیم.
- مقاومت در برابر سانسور: به نظر آسان می رسد، اما از آنجایی که به این معنی است که داده ها به راحتی برای (تقریبا) همه شرکت کنندگان قابل مشاهده خواهند بود، باید دقت زیادی در استفاده از روش های مبهم سازی مناسب برای داده های قرار داده شده در یک بلاک چین انجام شود تا با موفقیت استدلال شود که حریم خصوصی داده ها حفظ می شود. . بنابراین آن یکی کمی مشکل است اما می توان بر آن غلبه کرد. محکم بمان، همین الان بالا می آیی.
- حفاظت از خرج دوگانه: اکنون این یکی واقعا سخت است زیرا نکات قبلی را با اجرای تراکنش قطعی، اعتبارسنجی تراکنش و تشکیل بلوک ترکیب می کند که همه به طور پیچیده ای بر الگوریتم های رمزنگاری استفاده شده متکی هستند. بدون پرداختن به جزئیات، اگر به حفاظت از هزینه مضاعف به عنوان یک ویژگی کلیدی در برنامه مبتنی بر بلاک چین نیاز دارید، در مورد انطباق با NIST شانسی ندارید ... اگر دارایی دیجیتال شما در بلاک چین متولد شده باشد! ما نیز در یک ثانیه به آن نقطه باز خواهیم گشت.
- به ارث بردن ضمانت های امنیتی بلاک چین: این به نظر واضح است. اگر امنیت شما به شدت به امنیت بلاک چین متکی است و آن بلاک چین برای امنیت خود به الگوریتم های غیر منطبق با NIST متکی است. پایان داستان. باز هم نه چندان سریع. سوال این است که تضمین های امنیتی برای چه چیزی؟ اگر مربوط به داراییهای دیجیتالی است که در یک بلاک چین به وجود آمدهاند، پاسخ همان است که برای محافظت از دو برابر خرج کردن. اما، اگر داراییهای دیجیتال ابتدا از بلاک چین ایجاد شوند، و تنها پس از آن بر روی بلاک چین تکرار شوند، امنیت آن دارایی دیجیتال دیگر اساساً به بلاک چین مرتبط نیست و ما همان استدلال را داریم که برای زمانبندی قابل اثبات وجود دارد. خودمان را از معمای NIST بیرون بکشیم!
ارزیابی تأثیر فوق اکنون می تواند به عنوان یک چک لیست در برابر نیازهای انطباق با NIST یک برنامه بلاک چین، با توجه به الزامات مورد استفاده خاص آن برنامه، عمل کند.
قبل از حرکت و ارائه یک طرح برنامه کاربردی برای یک برنامه کاربردی مبتنی بر بلاک چین که مطابق با NIST نیست، اجازه دهید در مورد حریم خصوصی داده ها صحبت کنیم. با توجه به معیارهای فوق و مقررات موجود در مورد حفظ حریم خصوصی داده ها، قرار دادن حتی داده های رمزگذاری شده بر روی یک بلاکچین به عنوان یک ایده احمقانه واجد شرایط است، حتی در صورت استفاده از الگوریتم های رمزگذاری مطابق با NIST. خب جایگزینش چیست؟
پاسخ: اثبات دانش صفر (ZKPs)
منظور از ZKP ها بیانیه ها بدون افشای داده های حساس اساسی است، به عنوان مثال موجودی حساب شرکت ACME بیش از 100,000 دلار است یا این کد تخفیف به درستی برای این سفارش اعمال شده است.
انواع مختلفی از ZKPهای مفید وجود دارد - اثبات مرکل، تعهدات پدرسن، ضد گلوله، ZK-SNARK، ZK-STARK و غیره. نکته کلیدی این است که هنگام استفاده از ZKP از الگوریتم های رمزنگاری منطبق با NIST یا غیر منطبق با NIST استفاده کنید. در غیر این صورت، آن را ادامه دهید! ZKP ها ابزاری عالی برای شرکت ها برای برآورده کردن الزامات حریم خصوصی داده های داخلی و نظارتی هستند.
اکنون ما در مکانی هستیم تا یک توصیه معقول در مورد نحوه ساخت یک برنامه کاربردی سازمانی مبتنی بر بلاک چین (نه-نه) مطابق با NIST ارائه دهیم - یک طرح.
هزینههای واقعی استقرار و عملیاتی بهطور عمومی در دسترس نیستند، اما بر اساس دانش نویسندگان، بین هشت عدد و ارقام خوب به دلار با هزینههای عملیاتی معمولاً در محدوده 15 تا 25 درصد است - همچنین به برخی از منابع مراجعه کنید. اینجا کلیک نمایید و اینجا کلیک نمایید. این محدودههای هزینه نمونهای از پیادهسازیها و عملیاتهای سیستم سازمانی در مقیاس بزرگ مانند سیستمهای ERP هستند.
برگرفته از قانون FISMA و بخشنامه A-130 OMB، این مسئولیت آژانس ها است که اطمینان حاصل کنند که خطر استفاده از یک سیستم اطلاعاتی برای انجام فعالیت هایی مانند دسترسی، انتقال، ذخیره سازی، پردازش داده های فدرال تعیین و پذیرفته شده است. ATO برای چنین سیستم هایی تایید شده است.
همانطور که شکل نشان میدهد، ما با یک پشته نرمافزار سازمانی سنتی در بالا شروع میکنیم - ابتدا لایه برنامه، سپس لایه انتزاع برنامه و سپس لایه میانافزار - با تمام انطباقهای مورد نیاز به عنوان مثال داخلی مطابق با NIST. در انتهای پشته، ما یک بلاک چین عمومی داریم، زیرا نیاز شرکت ها به ایجاد کنسرسیوم های پیچیده، خرج کردن پول زیادی را از بین می برد و به آنها اجازه می دهد تا با توسعه محصولات جدید با سرعت بیشتری حرکت کنند. بین لایه میانافزار و بلاک چین عمومی، لایه پردازش «جادویی» است که بر حریم خصوصی و سرعت تمرکز دارد. از آنجایی که پشته از ZKP های حفظ حریم خصوصی استفاده می کند و در درجه اول از دارایی های دیجیتال ایجاد شده در بلاک چین عمومی استفاده نمی کند، نگرانی های قبلی در مورد استفاده از بلاک چین های عمومی ناگهان از بین رفته است. همانطور که فلش های بالا و پایین در سمت چپ شکل نشان می دهد، با رفتن از لایه بالایی به پایین، یعنی بلاک چین عمومی، امنیت پشته افزایش می یابد. دقیقا برعکس این سه ویژگی کلیدی دیگر اتفاق می افتد - حریم خصوصی، سرعت و کنترل. آنها از لایه پایین به لایه بالایی افزایش می یابند که در آن یک شرکت واحد کنترل کامل همه داده ها را دارد و بنابراین می تواند حریم خصوصی را تضمین کند و در عین حال سرعت / مقیاس پذیری بالا را حتی برای حساس ترین داده ها حفظ کند. با این حال، این بدان معنا نیست که حریم خصوصی، سرعت و کنترل به سمت پایین پشته پایین است، بلکه فقط به این معنی است که در لایههای بالای پشته بالاتر از پایین است.
حال، در مورد آن لایه/شبکه پردازش «جادویی» چطور؟
در اینجا چیزی است که آن لایه می تواند با استفاده از فناوری موجود برای برآوردن نیازهای سازمانی انجام دهد:
- حریم خصوصی داده ها
- مدارک با دانش صفر مبادلات
- رمزگذاری قوی (در صورت نیاز)
- آخرین تکنیک های رمزنگاری مانند الگوریتم های کوانتومی امن
- دوربین های مداربسته
- هنگام استفاده از ZKP های مناسب که بر روی بلاک چین لنگر انداخته اند، تضمین های امنیتی را از بلاک چین عمومی به ارث می برد.
- دادههای داراییهای دیجیتال میتوانند مستقیماً از طریق ZKP در بلاک چین عمومی در دسترس باشند تا در صورت لزوم از آنها استفاده شود
- اثباتپذیری
- هر کسی میتواند مدارک را در بلاک چین عمومی تأیید کند
- اثبات ها می توانند به صورت بازگشتی همه معاملات دارایی و کل تاریخ معاملات دارایی را تأیید کنند
- تا زمانی که شواهد در بلاک چین عمومی تایید نشود، هیچ چیز نهایی نمی شود
- سرعت
- موازی سازی معاملات
- جمع کردن تراکنشها با دستهبندی آنها با اثباتهای (باز گشتی).
- هزینه کمتر برای هر تراکنش
به طور خلاصه، لایه پردازش "جادویی" دارد
- همان تضمین های امنیتی که بلاک چین عمومی استفاده می کند،
- 100-1000 برابر مقیاس پذیری بیشتر،
- در دسترس بودن داده های تضمین شده،
- حفظ حریم خصوصی همیشه،
- کارمزد تراکنش بسیار کمتر،
- قابلیت تأیید تمام شواهد توسط هر کسی در بلاک چین عمومی
- اجازه می دهد تا برای KYC و AML
این خیلی خوب به نظر می رسد که درست باشد. آیا چنین فناوری قبلاً وجود دارد؟ پاسخ مثبت است، و شرکتهایی مانند Starkware، Aztec، zkSync و دیگران در حال کار بر روی آمادهسازی فناوریهای ZK-Rollup "Layer 2" خود هستند. تمرکز تمام این تلاشها روی اتریوم عمومی است زیرا بالاترین تضمینهای امنیتی (تعداد ماینرها/ اعتبارسنجیها و قفلشده با ارزش کل (TVL)) را همراه با پشتیبانی رمزنگاری مورد نیاز در لایه اجرایی آن ارائه میکند.
به طور طبیعی، این تنها رویکرد ممکن برای یک برنامه مبتنی بر بلاک چین برای دریافت ATO دولتی نیست. با این حال، این یک رویکرد نسبتاً ساده و در حال حاضر کاملاً درک شده است.
پس نت نت اینجا چیست؟
شرکت ها در حال حاضر دارند
- A چارچوب برای ارزیابی نیازهای مورد استفاده در مقابل ویژگی های بلاک چین، و اینکه چگونه می توان این نیازها را توسط برنامه های کاربردی سازمانی مبتنی بر بلاک چین که می توانند ATO دولتی دریافت کنند، برآورده کرد.
- A طرح برای ساختن برنامه های کاربردی سازمانی مبتنی بر بلاک چین به گونه ای که به آنها اجازه می دهد ATO دولتی دریافت کنند و در عین حال، همانطور که در شکل بالا نشان داده شده است، مزایای اضافی را نیز در اختیار داشته باشند:
- اعتماد بالاتر از طریق بلاک چین های عمومی، قابلیت تأیید عمومی و رمزنگاری حریم خصوصی اعمال می شود
- هزینه کمتر از طریق ممیزی آسان تر (تأیید ZKP ها سریع و ارزان است) و دسته بندی تراکنش های فانتزی (تجمیع) در برنامه لایه 2
- پردازش سریعتر از طریق موازیسازی محاسبات، تراکنشهای بیشتر از طریق جمعآوریها، و ردپای کوچکتر بلاک چین، زیرا قرار است بلاکچینهای عمومی با طراحی کند باشند تا امنیت بیشتری ایجاد کنند.
- انعطاف پذیری و انتخاب بیشتر از طریق توانایی داشتن دارایی های سنتی برای پشتیبانی از دارایی های رمزنگاری شده در بلاک چین، ادغام ساده تر بین لایه 2 و یک بلاک چین عمومی، و گسترش آسان دارایی های لایه 2 به عنوان مثال در اکوسیستم های DeFi موجود.
در پایان، ذکر این نکته مهم است که در مثال دولت ایالات متحده، دریافت ATO برای یک سیستم اطلاعاتی فقط به مصنوعات رمزنگاری و ماژولهای رمزنگاری محدود نمیشود. اینها بخش مهمی از کنترلهای امنیتی را نشان میدهند که در طول فرآیند مدیریت ریسک لازم برای به دست آوردن ATO شناسایی میشوند، همانطور که در NIST SP 800-37 Rev 2 و NIST FIPS-199 با جزئیات ذکر شده و توضیح داده شده است. این فرآیند همچنین شامل عناصری مانند احراز هویت/مجوز کاربر تحت سناریوهای مختلف استفاده، کنترلهای تغییر سیستم و فرآیند، بازیابی فاجعه و تداوم کسبوکار است.
آیا انطباق ATO/NIST برای برنامه های بلاک چین مربوط به کسب و کار شما است؟ گروه کاری EEA ATO نظرات شما را می خواهد. لطفا تماس بگیرید .
ما را دنبال در توییتر, لینک و فیس بوک برای به روز ماندن در مورد همه چیز EEA.
- بیت کوین
- بلاکچین
- انطباق با بلاک چین
- کنفرانس بلاکچین
- بلاگ
- coinbase
- coingenius
- اجماع
- کنفرانس رمزنگاری
- معدنکاری رمز گشایی
- کریپتو کارنسی (رمز ارزها )
- غیر متمرکز
- DEFI
- دارایی های دیجیتال
- شرکت اتریوم اتحاد
- ethereum
- فراگیری ماشین
- رمز غیر قابل شستشو
- افلاطون
- افلاطون آی
- هوش داده افلاطون
- پلاتوبلاک چین
- PlatoData
- بازی پلاتو
- چند ضلعی
- اثبات سهام
- W3
- زفیرنت