EEA 메인넷 이익 그룹 회원인 Andreas Freund의 의견
블록체인은 암호화 시장의 흥망성쇠와 독립적이며 소비자 직접 거래 및 일부 B2B 사용 사례 이외의 장기적인 블록체인 채택을 방해할 수 있는 문제에 대해 거의 이야기하지 않았습니다. 블록체인 암호화 알고리즘은 NIST와 호환되지 않습니다. FISMA(연방 정보 보안 관리법) 준수를 달성하는 주요 요소! 그리고 NIST/FISMA 규정 준수 또는 미국 외의 이에 상응하는 규정은 기업이 정부와 거래하거나 정기적으로 정부와 거래하는 기업을 거래할 때 큰 문제입니다.
블록체인이 일반적으로 NIST를 준수하지 않는 이유는 무엇입니까? 주요 이유는 블록체인이 2008년 대공황 이후 정부가 운영하고 승인한 모든 것에 대한 깊은 불신에서 태어났기 때문입니다. 정부가 승인한 암호화 알고리즘을 포함합니다. 어쨌든 오늘날 널리 받아들여지는 SHA-3 해싱 알고리즘은 이더리움과 같은 블록체인이 이미 해싱 알고리즘을 선택한 후인 2015년이 되어서야 확정되었습니다. 따라서 이더리움과 같은 대부분의 블록체인은 NIST에서 승인하지 않았을 뿐만 아니라 NIST에서 사용하지 말 것을 권장하는 알고리즘을 사용하고 있습니다. IBM의 LinuxONE에서 작동하는 Simba-Chain 또는 Fabric과 같은 NIST 호환 블록체인이 있습니다. 그러나 비용이 많이 들고 생산 관리가 어렵습니다.[1] 기업이 컨설팅 및 구현 비용에 수천만 달러를 지출한 후 알게 된 것처럼. 비용 문제를 복잡하게 만드는 것은 선택한 사용 사례가 처음부터 블록체인에 적합하지 않았기 때문에 예상되는 비즈니스 결과를 얻지 못하는 경우가 많다는 것입니다! 아래 논의의 주요 내용은 새로운 엔터프라이즈 블록체인 접근 방식이 NIST 준수뿐만 아니라 새로운 비즈니스 후원자를 유치하기 위해 비용 및 관리 복잡성을 효과적으로 해결해야 한다는 것입니다.
NIST 규정 준수, 비용 및 관리 복잡성이 우려되는 기업에서 블록체인에 대한 모든 것이 절망적이라는 뜻입니까?
다행히도 대답은 '아니오'입니다. 희망이 없는 것은 아닙니다. 사소하지는 않지만 희망이 없는 것은 아닙니다.
이것이 의미하는 바를 이해하기 위해 블록체인 기반 애플리케이션의 특징을 요약해 보겠습니다. 있다:
- 데이터 무결성: 그것만 필요하다면 블록체인을 사용하지 마세요. 더 저렴한 대안이 있습니다.
- 입증 가능한 타임스탬프: 예를 들어 공급망 전반에 걸친 감사 추적에 훨씬 더 흥미롭고 유용합니다.
- 단일 장애 지점 없음: 100% 가용성이 필요한 경우 저렴한 가격으로.
- 검열 저항: 예를 들어 데이터 생성 시 반드시 식별되지 않은 제3자가 감사해야 하는 데이터에 대한 액세스 또는 제3자와 독립적으로 (기본적으로) 되돌릴 수 없는 트랜잭션을 실행합니다.
- 이중 지출 보호: 블록체인에서 디지털 자산을 다루는 경우에만 관련이 있습니다. 다시 말해, 당신은 정말로 DeFi에 빠져 있습니다.
- 블록체인 보안 보장 상속: 애플리케이션 확장성과 높은 보안이 필요한 경우 매우 흥미롭습니다. 우리는 조금 후에 그것에 도달할 것입니다.
위의 내용 중 어느 것도 엔터프라이즈 애플리케이션 요구 사항의 귀중한 보석 중 하나인 데이터 개인 정보 보호에 대해 이야기하지 않습니다. 그러나 걱정하지 마십시오. 비즈니스에 중요한 데이터를 공개적으로 어디에나 배치하지 않고도 데이터 개인 정보를 보호할 수 있습니다. 우리도 잠시 후에 그것에 도달할 것입니다.
앞서 나가기 전에 여기서 잠시 멈추고 이러한 특성이 NIST 규정 준수와 어떤 관련이 있는지 논의하겠습니다. 얼핏 보면 별거 아닌 것 같지만, 각각의 특징을 살펴보고 그 의미에 대해 조금 더 자세히 알아보겠습니다. 그러나 먼저 미국 정부와 같은 정부로부터 ATO(Authority-To-Operating) 허가를 얻으려면 언급할 가치가 있습니다.[2], NIST 비준수 암호화 알고리즘 또는 NIST가 의견을 형성하지 않은 알고리즘을 사용하는 것은 괜찮습니다. 단, 해당 알고리즘이 애플리케이션 보안 및 데이터 개인정보 보호에 기본적이지 않은 경우입니다. 예를 들어, 계약이 특정 날짜에 실행되었고 그 이후로 변경되지 않았음을 증명해야 합니다. 블록체인을 사용하면 계약의 (NIST 승인) 암호화 해시를 사용하여 암호화 지문을 형성한 다음 해당 해시를 블록에 포함되면 다음 조합을 통해 입증 가능한 타임스탬프를 제공하는 (공개) 블록체인에 고정합니다. 블록 번호, 블록 해시 및 타임스탬프. 블록체인이 예를 들어 51% 공격을 통해 재구성된 경우에도 계약 해시와 해당 블록을 사용하여 트랜잭션을 가져오고 두 가지 모두를 다른 (공개) 블록체인에 포함할 수 있습니다. 따라서 원래(공개) 블록체인의 보안은 사용 사례의 기본이 아닙니다.
이를 염두에 두고 블록체인 기술을 사용하는 애플리케이션의 NIST 규정 준수에 미치는 영향에 초점을 맞춰 각 특성을 다시 살펴보겠습니다.
- 데이터 무결성: NIST 승인 암호화 서명 알고리즘을 사용하는 변조 방지 W3C 검증 가능한 자격 증명과 같은 다른 형태의 데이터 무결성 보호와 함께 블록체인의 암호화 해시를 통해 고정한 관련 데이터의 복사본을 항상 가질 수 있기 때문에 이것은 쉽습니다. .
- 입증 가능한 타임스탬프: 조금 어렵지만 가능합니다. 활용된 체인이 손상된 경우에도 문서의 NIST 호환 암호화 해시 및 타임스탬프가 포함된 관련 트랜잭션으로 블록을 잡고 다른 블록체인의 다른 NIST 호환 암호화 해시를 통해 트랜잭션과 전체 블록을 고정할 수 있습니다. 실제 피해는 없습니다.
- 단일 장애 지점 없음: 좋습니다. NIST가 합의 알고리즘에 대한 권장 사항을 구성하지 않았기 때문에 이것은 약간 까다롭습니다. 즉, 합의 모델이 견고한 학문적 기반(예: 보안의 수학적 증거)을 갖고 있는 한 성공적으로 주장할 수 있으며 NIST 비호환 버킷에 넣습니다.
- 검열 저항: 이것은 쉬운 것처럼 들리지만 데이터가 (거의) 모든 참가자에게 쉽게 표시된다는 것을 의미하기 때문에 블록체인에 저장되는 데이터에 대해 올바른 난독화 방법을 사용하여 데이터 프라이버시가 유지된다고 성공적으로 주장할 수 있도록 세심한 주의를 기울여야 합니다. . 그래서 조금 까다롭지만 극복할 수 있습니다. 꽉 잡아, 바로 올거야.
- 이중 지출 보호: 이제 이것은 사용된 암호화 알고리즘에 모두 복잡하게 의존하는 결정론적 트랜잭션 실행, 트랜잭션 유효성 검사 및 블록 형성과 이전 요점을 결합하기 때문에 정말 어렵습니다. 세부 사항에 대해 설명하지 않고 블록체인 기반 애플리케이션의 핵심 기능으로 이중 지출 보호가 필요한 경우 NIST 규정 준수와 관련하여 운이 좋지 않은 것입니다. 디지털 자산이 블록체인에서 탄생했다면! 우리도 잠시 후에 그 지점으로 돌아올 것입니다.
- 블록체인 보안 보장 상속: 이것은 분명한 것 같습니다. 귀하의 보안이 기본 블록체인의 보안에 크게 의존하고 해당 블록체인의 보안이 NIST를 준수하지 않는 알고리즘에 의존하는 경우 이야기의 끝. 다시 말하지만 그렇게 빠르지 않습니다. 문제는 무엇에 대한 보안 보장입니까? 블록체인에서 태어난 디지털 자산에 대한 것이라면 답은 이중 지출 보호와 동일합니다. 그러나 디지털 자산이 블록체인에서 먼저 생성된 다음 블록체인에 복제되는 경우 해당 디지털 자산의 보안은 더 이상 기본 블록체인에 기본적으로 연결되지 않으며 증명 가능한 타임스탬프에 대한 주장과 동일합니다. NIST의 난제에서 벗어나기 위해!
위의 영향 평가는 이제 해당 응용 프로그램의 특정 사용 사례 요구 사항을 고려할 때 블록체인 응용 프로그램의 NIST 준수 요구 사항에 대한 체크리스트 역할을 할 수 있습니다.
계속해서 NIST 비준수 블록체인 기반 애플리케이션에 대한 애플리케이션 청사진을 제공하기 전에 데이터 개인 정보 보호에 대해 이야기합시다. 위의 기준과 기존 데이터 개인 정보 보호 규정을 감안할 때 NIST 호환 암호화 알고리즘을 사용하는 경우에도 암호화된 데이터를 블록체인에 넣는 것은 어리석은 생각에 해당합니다. 그래서 대안은 무엇입니까?
답: 영지식 증명(ZKP)
ZKP는 기본 민감한 데이터를 공개하지 않고 진술을 하는 것입니다. 예를 들어 ACME 기업의 계정 잔액이 $100,000 이상이거나 이 할인 코드가 이 주문에 적절하게 적용되었습니다.
유용한 ZKP에는 Merkle Proofs, Pedersen Commitments, Bulletproofs, ZK-SNARK, ZK-STARK 등 다양한 유형이 있습니다. 핵심은 ZKP를 사용할 때 NIST 호환 또는 비 NIST 호환 암호화 알고리즘을 사용하는 것입니다. 그렇지 않으면 가십시오! ZKP는 기업이 내부 및 규제 모두에서 데이터 개인 정보 보호 요구 사항을 충족할 수 있는 훌륭한 도구입니다.
이제 우리는 (비) NIST 호환 블록체인 기반 엔터프라이즈 애플리케이션인 청사진을 구축하는 방법에 대한 합리적인 권장 사항을 제시해야 합니다.
실제 배포 및 운영 비용은 공개적으로 사용할 수 없지만 저자에 따르면 15~25% 범위에서 운영 비용이 일반적으로 XNUMX~XNUMX% 사이입니다. 일부 참고 자료도 참조하십시오. 여기에서 지금 확인해 보세요. 와 여기에서 지금 확인해 보세요.. 이러한 비용 범위는 ERP 시스템과 같은 대규모 엔터프라이즈 시스템 구현 및 운영의 전형입니다.
FISMA 법 및 OMB 회람 A-130에 따라 연방 데이터의 액세스, 전송, 저장, 처리와 같은 활동을 수행하기 위해 정보 시스템을 사용할 위험이 결정되고 수용되었는지 확인하는 것은 기관의 책임입니다. ATO는 이러한 시스템에 대해 승인되었습니다.
그림에서 볼 수 있듯이 우리는 먼저 애플리케이션 계층, 애플리케이션 추상화 계층, 미들웨어 계층 순으로 맨 위에 있는 기존 엔터프라이즈 소프트웨어 스택으로 시작하며 NIST 규정 준수와 같은 모든 필수 규정 준수가 내장되어 있습니다. 스택의 맨 아래에는 공개 블록체인이 있습니다. 기업이 복잡한 컨소시엄을 구축하고, 많은 돈을 지출하고, 신제품 개발과 함께 훨씬 더 빠르게 이동할 필요가 없기 때문입니다. 미들웨어와 퍼블릭 블록체인 레이어 사이에는 프라이버시와 속도에 중점을 둔 "매직" 처리 레이어가 있습니다. 스택은 개인 정보 보호 ZKP를 사용하고 주로 공개 블록체인에서 생성된 디지털 자산을 사용하지 않기 때문에 공개 블록체인 사용에 대한 이전의 우려가 갑자기 사라졌습니다. 그림 왼쪽의 위아래 화살표에서 알 수 있듯, 퍼블릭 블록체인은 최상위 계층에서 최하위 계층으로 갈수록 스택 보안성이 높아집니다. 프라이버시, 속도 및 제어의 다른 세 가지 주요 특성에서는 정반대의 일이 발생합니다. 단일 기업이 모든 데이터를 완전히 제어하는 하위 계층에서 상위 계층으로 증가하므로 가장 민감한 데이터에 대해서도 고속/확장성을 유지하면서 개인 정보를 보호할 수 있습니다. 그러나 이것이 프라이버시, 속도 및 제어가 스택의 맨 아래로 갈수록 낮다는 것을 의미하는 것이 아니라 스택의 맨 아래에서보다 맨 위 레이어에서 더 높다는 것을 의미합니다.
이제 "마법의" 처리 계층/네트워크는 어떻습니까?
엔터프라이즈 요구 사항을 충족하기 위해 기존 기술을 사용하여 해당 계층이 수행할 수 있는 작업은 다음과 같습니다.
- 데이터 개인 정보
- 영지식 거래 증명
- 강력한 암호화(필요한 경우)
- 최신 암호화 기술(예: 양자 보안 알고리즘)
- 보안
- 블록체인에 고정된 올바른 ZKP를 사용할 때 공개 블록체인의 보안 보장을 상속합니다.
- 디지털 자산 데이터는 필요한 경우 사용할 공용 블록체인의 ZKP를 통해 직접 사용할 수 있습니다.
- 검증 성
- 누구나 공개 블록체인에서 증명을 확인할 수 있습니다.
- 증명은 모든 자산 거래와 전체 자산 거래 내역을 재귀적으로 검증할 수 있습니다.
- 공개 블록체인에서 증명이 검증될 때까지 아무것도 확정되지 않습니다.
- 속도
- 트랜잭션 병렬화
- (재귀적) 증명으로 일괄 처리하여 트랜잭션 롤업
- 거래당 비용 절감
요약하면 "마법" 처리 계층은
- 퍼블릭 블록체인이 사용하는 것과 동일한 보안 보장,
- 100 – 1000배 더 많은 확장성,
- 보장된 데이터 가용성,
- 항상 보호되는 개인 정보,
- 훨씬 낮은 거래 수수료,
- 공개 블록체인의 모든 사람에 의한 모든 증거의 검증 가능성
- KYC 및 AML 허용
이것은 사실이라고 하기에는 너무 좋은 것 같습니다. 그런 기술이 이미 존재합니까? 대답은 예이며 Starkware, Aztec, zkSync 및 기타 회사와 같은 회사는 ZK-Rollup "레이어 2" 기술을 완전히 엔터프라이즈급으로 만들기 위해 노력하고 있습니다. 이러한 모든 노력의 초점은 실행 계층에 내장된 필수 암호화 지원과 결합된 최고의 보안 보장(채굴자/검증인 수 및 총 가치 고정(TVL))을 제공하기 때문에 공개 이더리움입니다.
당연히 블록체인 기반 애플리케이션이 정부 ATO를 획득할 수 있는 유일한 접근 방식은 아닙니다. 그러나 이는 상당히 간단하고 지금까지 잘 이해되는 접근 방식입니다.
그렇다면 여기서 net-net은 무엇입니까?
기업은 이제
- A 뼈대 사용 사례 요구와 블록체인 특성을 평가하고 정부 ATO를 획득할 수 있는 블록체인 기반 엔터프라이즈 애플리케이션으로 이러한 요구를 어떻게 충족할 수 있는지 평가합니다.
- A 청사진 정부 ATO를 획득할 수 있는 방식으로 블록체인 기반 엔터프라이즈 애플리케이션을 구축하는 동시에 위의 그림에 표시된 것처럼 추가 이점도 허용합니다.
- 더 높은 신뢰 공개 블록체인, 공개 검증 가능성 및 암호화 시행 개인 정보 보호를 통해
- 비용 절감 레이어 2 애플리케이션에서 더 쉬운 감사 기능(ZKP가 빠르고 저렴함 확인)과 멋진 트랜잭션 일괄 처리(롤업)를 통해
- 더 빠른 처리 공개 블록체인은 더 많은 보안을 제공하기 위해 설계상 느려야 하기 때문에 컴퓨팅 병렬화, 롤업을 통한 더 많은 트랜잭션, 더 작은 블록체인 공간을 통해
- 더 많은 유연성과 선택 블록체인의 암호화 자산을 뒷받침하는 기존 자산의 기능, 레이어 2와 퍼블릭 블록체인 간의 더 간단한 통합, 레이어 2 자산을 기존 DeFi 생태계로 쉽게 확장할 수 있는 기능을 통해
끝으로, 미국 정부의 예에서 정보 시스템에 대한 ATO를 획득하는 것은 암호화 아티팩트 및 암호화 모듈에만 국한되지 않는다는 점에 유의하는 것이 중요합니다. 이는 NIST SP 800-37 Rev 2 및 NIST FIPS-199에 자세히 나열되고 설명된 대로 ATO를 획득하는 데 필요한 위험 관리 프로세스 중에 식별되는 보안 제어의 중요한 부분을 나타냅니다. 이 프로세스에는 다양한 사용 시나리오에서의 사용자 인증/권한 부여, 시스템 및 프로세스 변경 제어, 재해 복구 및 비즈니스 연속성과 같은 요소도 포함됩니다.
블록체인 애플리케이션에 대한 ATO/NIST 규정 준수가 귀하의 비즈니스와 관련이 있습니까? EEA ATO 워킹 그룹은 귀하의 의견을 원합니다. 연락주세요 .
