Görüş: Enterprise Blockchains Redux: Bankayı bozmadan NIST uyumlu olmama

AEA Mainnet İlgi Grubu Üyesi Andreas Freund'un Görüşü

Blok zincirleri, kripto pazarlarının iniş ve çıkışlarından bağımsız olan ve doğrudan tüketiciye ve bazı B2B kullanım durumları dışında blok zincirinin daha uzun vadeli benimsenmesini engelleyebilecek nadiren konuşulan bir soruna sahiptir: Blok zinciri kriptografik algoritmaları, NIST uyumlu değildir. FISMA'ya (Federal Bilgi Güvenliği Yönetimi Yasası) uyum sağlamada önemli bir faktör! Ve NIST/FISMA uyumluluğu veya ABD dışındaki eşdeğeri, işletmeler hükümetlerle veya düzenli olarak hükümetlerle iş yapan işletmelerle iş yapan işletmelerle uğraştığında büyük bir şeydir.

Blok zincirleri neden tipik olarak NIST uyumlu değil? Bunun ana nedeni, Blockchains'in 2008'deki Büyük Durgunluğun ardından hükümet tarafından işletilen ve onaylanan herhangi bir şeye duyulan derin güvensizlikten doğmuş olmasıdır; hükümet onaylı kriptografik algoritmalar dahil. Her halükarda, bugün yaygın olarak kabul edilen SHA-3 karma algoritması, Ethereum gibi Blockchain'lerin karma algoritmalar konusunda seçimlerini yapmasından sonra 2015 yılına kadar kesinleşmedi. Bu nedenle, Ethereum gibi çoğu Blok Zinciri, yalnızca NIST onaylı değil, aynı zamanda NIST'in kullanılmamasını önerdiği algoritmalar kullanıyor. IBM'in LinuxONE'ında çalışan Simba-Chain veya Fabric gibi NIST uyumlu Blok Zincirleri olduğunu unutmayın. Ancak, yüksek maliyetlidirler ve üretimde yönetilmesi zordur.[1]  işletmelerin danışmanlık ve uygulama ücretlerine on milyonlarca dolar harcadıktan sonra öğrendiği gibi. Maliyet sorununu birleştirmek, seçilen kullanım senaryolarının başlangıçta Blockchains için uygun olmadığı için genellikle beklenen iş sonuçlarını vermemeleridir! Aşağıdaki tartışma için ana çıkarım, herhangi bir yeni Enterprise Blockchain yaklaşımının, yeni iş sponsorlarını çekmek için yalnızca NIST uyumluluğunu değil, aynı zamanda hem maliyet hem de yönetim karmaşıklığını etkin bir şekilde ele alması gerektiğidir.

Bu, NIST uyumluluğu, maliyet ve yönetim karmaşıklığı bir endişe olduğunda bir kuruluşta Blockchain için her şeyin umutsuz olduğu anlamına mı geliyor?

Neyse ki, cevap hayır, umutsuz değil. Önemsiz değil, ama umutsuz değil.

Bunun ne anlama geldiğini anlamak için Blockchain tabanlı uygulamaların hangi özelliklerini özetleyelim yapabilmek var:

• Veri bütünlüğü: Sadece buna ihtiyacınız varsa, bir Blockchain kullanmayın. Daha ucuz alternatifler var.
• Kanıtlanabilir Zaman Damgası: Tedarik zincirleri gibi denetim izleri için çok daha ilginç ve kullanışlı.
• Tek hata noktası yok: Düşük bir fiyata %100 kullanılabilirliğe ihtiyacınız varsa.
• Sansür direnci: Örneğin, veri oluşturma veya herhangi bir 3. şahıstan bağımsız olarak (temelde) geri dönüşü olmayan işlemlerin yürütülmesi sırasında tanımlanmayan 3. şahıslar tarafından denetlenmesi gereken verilere erişim.
• Çift Harcama Koruması: Yalnızca bir Blockchain üzerindeki dijital varlıklarla uğraşıyorsanız geçerlidir. Başka bir deyişle, gerçekten DeFi ile ilgileniyorsunuz.
• Blockchain Güvenlik Garantilerini Devralma: Uygulama ölçeklenebilirliğine, ancak yüksek güvenliğe ihtiyacınız varsa, bu çok ilginç. Buna birazdan geleceğiz.

Yukarıdakilerin hiçbirinin, kurumsal uygulama gereksinimlerinin paha biçilmez mücevherlerinden biri olan veri gizliliğinden bahsetmediğini unutmayın. Ancak endişelenmeyin, işle ilgili hassas verileri her yerde açıkta bırakmadan veri gizliliği elde edebilirsiniz. Buna da birazdan geleceğiz.

Kendimizi aşmadan önce, burada duralım ve bu özelliklerin NIST uyumluluğu ile nasıl ilişkili olduğunu tartışalım. İlk bakışta çok fazla değil, ama her bir özelliği gözden geçirelim ve etkilerini biraz daha ayrıntılı olarak tartışalım. İlk olarak, bir hükümetten, örneğin ABD hükümetinden İşletme Yetkisi (ATO) izinleri almak için şunu belirtmekte fayda var.[2], NIST uyumlu olmayan kriptografik algoritmaların veya NIST'in hakkında fikir oluşturmadığı algoritmaların kullanılması, bu algoritmalar uygulamanın güvenliği ve verilerinin gizliliği için temel olmadığı sürece uygundur. Örneğin, bir sözleşmenin belirli bir günde yapıldığını ve o zamandan beri değiştirilmediğini kanıtlamanız gerekir. Bir Blockchain kullanarak, sözleşmenin (NIST onaylı) bir kriptografik karmasını kullanarak bir kriptografik parmak izi oluşturacak ve daha sonra, bir bloğa dahil edildiğinde, kombinasyon yoluyla kanıtlanabilir bir zaman damgası sağlayan bir (genel) Blockchain'de bu karmayı tutturacaktır. blok numarası, blok karması ve zaman damgası. Blok zinciri, örneğin bir %51 saldırısı yoluyla yeniden düzenlenmiş olsaydı, işlemi sözleşme hash'i ve onun bloğu ile almak ve her ikisini de başka bir (genel) Blockchain'e dahil etmek hala mümkün olurdu. Bu nedenle, orijinal (genel) Blockchain'in güvenliği, kullanım durumu için temel değildir.

Bunu akılda tutarak, Blockchain teknolojisini kullanan bir uygulamanın NIST uyumluluğu üzerindeki etkisine odaklanarak her bir özelliğe tekrar bakalım:

• Veri bütünlüğü: NIST onaylı kriptografik imza algoritmasına sahip kurcalanmaya karşı açık W3C Doğrulanabilir Kimlik Bilgisi gibi başka bir veri bütünlüğü koruması ile Blockchain üzerindeki bir kriptografik karma aracılığıyla sabitlediğiniz ilgili verilerin bir kopyasına her zaman sahip olabileceğiniz için bu kolaydır. .
• Kanıtlanabilir Zaman Damgası: Biraz daha zor ama yapılabilir. Kullanılan zincirin güvenliği ihlal edilmişse, örneğin bir belgenin NIST uyumlu kriptografik karmasını ve zaman damgasını içeren ilgili işlemle blok yine de alınabilir ve tüm bloğu işlemle birlikte başka bir NIST uyumlu kriptografik karma yoluyla başka bir Blockchain üzerinde sabitleyebilir; gerçek bir zarar yok.
• Tek hata noktası yok: Tamam, bu biraz zor çünkü NIST konsensüs algoritmaları hakkında öneriler oluşturmadı. Bu, fikir birliği modelinin sağlam bir akademik temele sahip olduğu, örneğin matematiksel bir güvenlik kanıtı olduğu sürece, başarılı bir şekilde tartışılabileceği anlamına gelir ve biz onu NIST uyumlu olmayan kovaya koyarız.
• Sansür direnci: Bu kulağa kolay gibi geliyor, ancak verilerin (neredeyse) tüm katılımcılar tarafından kolayca görülebileceği anlamına geldiğinden, veri gizliliğinin korunduğunu başarılı bir şekilde savunmak için bir Blockchain'e yerleştirilen veriler için doğru gizleme yöntemlerini kullanmaya büyük özen gösterilmelidir. . Yani bu biraz zor ama üstesinden gelinebilir. Sıkı tutunun, hemen geliyor.
• Çift Harcama Koruması: Şimdi bu gerçekten zor çünkü önceki noktaları deterministik işlem yürütme, işlem doğrulama ve tümü karmaşık bir şekilde kullanılan kriptografik algoritmalara dayanan blok oluşturma ile birleştiriyor. Ayrıntılara girmeden, Blockchain tabanlı uygulamanızda kilit bir özellik olarak çift harcama korumasına ihtiyacınız varsa, NIST uyumluluğu konusunda şansınız kalmaz… dijital varlığınız Blockchain üzerinde doğduysa! O noktaya da birazdan döneceğiz.
• Blockchain Güvenlik Garantilerini Devralma: Bu çok açık görünüyor. Güvenliğiniz kritik olarak temeldeki Blok Zincirinin güvenliğine dayanıyorsa ve bu Blok Zinciri güvenliği için NIST uyumlu olmayan algoritmalara güveniyorsa; hikayenin sonu. Yine, o kadar hızlı değil. Soru, ne için güvenlik garantisi? Bir Blockchain üzerinde doğan dijital varlıklar içinse, cevap Çift Harcama koruması ile aynıdır. Ancak, dijital varlıklar önce Blockchain'den yaratılırsa ve ancak daha sonra Blockchain'e kopyalanırsa, bu dijital varlığın güvenliği artık temel olarak Blockchain'e bağlı değildir ve kanıtlanabilir zaman damgası ile aynı argümana sahibiz. kendimizi NIST bilmecesinden çıkarmak için!

Yukarıdaki etki değerlendirmesi, o uygulamanın özel kullanım durumu gereksinimleri göz önüne alındığında, artık bir Blockchain uygulamasının NIST uyumluluk gereksinimlerine karşı bir kontrol listesi işlevi görebilir.

Devam etmeden ve NIST uyumlu olmayan Blockchain tabanlı bir uygulama için bir uygulama planı vermeden önce, veri gizliliği hakkında konuşalım. Yukarıdaki kriterler ve mevcut veri gizliliği düzenlemeleri göz önüne alındığında, NIST uyumlu şifreleme algoritmaları kullanıldığında bile bir Blockchain'e şifrelenmiş veri koymak bile aptalca bir fikir olarak nitelendirilir. Yani alternatif nedir?

Cevap: Sıfır Bilgi Kanıtları (ZKP'ler)

ZKP'ler, temel hassas verileri ifşa etmeden açıklamalar yapmakla ilgilidir, örneğin ACME şirketinin hesap bakiyesi 100,000 doların üzerindedir veya bu indirim kodu bu siparişe uygun şekilde uygulanmıştır.

Kullanışlı birçok ZKP türü vardır – Merkle Proofs, Pedersen Taahhütleri, Kurşun Geçirmezler, ZK-SNARK'lar, ZK-STARK'lar vb. Anahtar, ZKP'leri kullanırken NIST uyumlu veya NIST uyumlu olmayan şifreleme algoritmaları kullanmaktır. Aksi takdirde, bunun için gidin! ZKP'ler, işletmelerin hem dahili hem de düzenleyici veri gizliliği gereksinimlerini karşılamaları için harika bir araçtır.

Şimdi, (değil) NIST uyumlu Blockchain tabanlı kurumsal uygulamanın nasıl oluşturulacağı konusunda mantıklı bir öneride bulunabilecek bir noktadayız - bir plan.

Gerçek dağıtım ve işletme maliyetleri kamuya açık değildir ancak yazarların ABD doları cinsinden sekiz ve güzel rakamlar arasında yer alan bilgilerine dayanmaktadır ve işletme maliyetleri tipik olarak %15 – 25 aralığındadır - ayrıca bazı referanslara bakın okuyun ve okuyun. Bu maliyet aralıkları, ERP sistemleri gibi büyük ölçekli kurumsal sistem uygulamaları ve operasyonları için tipiktir.

FISMA Yasası ve OMB A-130 genelgesinden yola çıkarak, federal verilere erişim, aktarma, depolama, işleme gibi faaliyetleri gerçekleştirmek için bir bilgi sistemi kullanma riskinin belirlenmesini ve kabul edilmesini sağlamak kurumların sorumluluğundadır. ATO bu tür sistemler için onaylanmıştır.

Şekilde gösterildiği gibi, en üstte geleneksel bir kurumsal yazılım yığını ile başlıyoruz – ilk önce uygulama katmanı, ardından uygulama soyutlama katmanı ve ardından ara katman katmanı – gerekli tüm uyumlulukla (ör. yerleşik NIST uyumluluğu). Yığının en altında halka açık bir Blockchain var çünkü bu, işletmelerin karmaşık konsorsiyumlar oluşturması, çok para harcaması ve yeni ürünlerin geliştirilmesiyle çok daha hızlı hareket etmelerine izin verme ihtiyacını ortadan kaldırıyor. Ara katman yazılımı ve genel Blockchain katmanı arasında, gizlilik ve hıza odaklanan “sihirli” işleme katmanı bulunur. Yığın, gizliliği koruyan ZKP'leri kullanacağından ve öncelikli olarak halka açık Blockchain'de oluşturulan dijital varlıkları kullanmayacağından, halka açık Blockchain'lerin kullanımıyla ilgili önceki endişeler aniden ortadan kalktı. Şeklin solundaki yukarı ve aşağı okların gösterdiği gibi, en üst katmandan en alta, yani genel Blockchain'e doğru gidildikçe yığın güvenliği artar. Diğer üç temel özellikte tam tersi gerçekleşir – gizlilik, hız ve kontrol; tek bir işletmenin tüm veriler üzerinde tam kontrole sahip olduğu alt katmandan üst katmana doğru artarlar ve bu nedenle en hassas veriler için bile yüksek hız / ölçeklenebilirliği korurken gizliliği sağlayabilirler. Ancak bu, yığının altına doğru gizlilik, hız ve kontrolün düşük olduğu anlamına gelmez, yalnızca yığının üst katmanlarında alttan daha yüksek olduğu anlamına gelir.

Şimdi, bu “sihirli” işleme katmanı/ağ ne olacak?

İşte bu katmanın kurumsal gereksinimleri karşılamak için mevcut teknolojiyi kullanarak yapabilecekleri:

• Veri gizliliği
  • İşlemlerin Sıfır Bilgi Kanıtları
  • Güçlü şifreleme (gerektiğinde)
  • En son kriptografi teknikleri, örneğin kuantum güvenli algoritmalar
• Güvenlik
  • Blockchain'e sabitlenmiş doğru ZKP'leri kullanırken halka açık Blockchain'den güvenlik garantilerini devralır
  • Dijital varlık verileri, gerektiğinde kullanılmak üzere halka açık Blockchain üzerindeki ZKP'ler aracılığıyla doğrudan elde edilebilir.
• doğrulanabilirliği
  • Herkese açık Blockchain üzerindeki kanıtları herkes doğrulayabilir
  • Kanıtlar, tüm varlık işlemlerini ve tüm varlık işlem geçmişini yinelemeli olarak doğrulayabilir
  • Kamuya açık Blockchain'de kanıtlar doğrulanana kadar hiçbir şey kesinleşmez.
• hız
  • İşlemlerin paralelleştirilmesi
  • İşlemleri (özyinelemeli) Kanıtlarla gruplayarak toplama
  • İşlem başına daha az maliyet

Özetle, “sihirli” işleme katmanı,

• kullanılan genel Blockchain ile aynı güvenlik güvenceleri,
• 100 – 1000 kat daha fazla ölçeklenebilirlik,
• garantili veri kullanılabilirliği,
• gizlilik her zaman korunur,
• çok daha düşük işlem ücretleri,
• Herkese açık Blockchain'deki herkes tarafından tüm kanıtların doğrulanabilirliği
• KYC ve AML'ye izin verir

Bu gerçek olamayacak kadar iyi geliyor. Böyle bir teknoloji zaten var mı? Cevap evet ve Starkware, Aztec, zkSync ve diğerleri gibi şirketler, ZK-Rollup “Katman 2” teknolojilerini tamamen kurumsal kullanıma hazır hale getirmek için çalışıyor. Tüm bu çabaların odak noktası, yürütme katmanında yerleşik gerekli şifreleme desteğiyle birlikte en yüksek güvenlik garantilerini (madenci/doğrulayıcı sayısı ve toplam değer kilitli (TVL)) sunduğu için genel Ethereum'dur.

Doğal olarak, Blockchain tabanlı bir uygulamanın bir devlet ATO'su elde etmesi için olası tek yaklaşım bu değildir. Ancak, oldukça basit ve artık iyi anlaşılmış bir yaklaşımdır.

Peki buradaki net-net nedir?

İşletmeler artık

• A yapı Kullanım senaryosu ihtiyaçlarını Blockchain özelliklerine karşı değerlendirmek ve bu ihtiyaçların bir devlet ATO'su alabilen Blockchain tabanlı kurumsal uygulamalar tarafından nasıl karşılanabileceğini değerlendirmek.
• A planı Blockchain tabanlı kurumsal uygulamaları, yukarıdaki şekilde gösterildiği gibi bir devlet ATO'su edinmelerine izin verecek ve ayrıca ek faydalar sağlayacak şekilde oluşturmak:
  • Daha Yüksek Güven halka açık Blockchain'ler, halka açık doğrulanabilirlik ve kriptografi tarafından zorunlu kılınan gizlilik yoluyla
  • Daha Az Maliyet Katman 2 uygulamasında daha kolay denetlenebilirlik (ZKP'lerin hızlı ve ucuz olduğunu doğrulama) ve fantezi işlem toplu işleme (toplamalar) aracılığıyla
  • Daha Hızlı İşleme bilgi işlemin paralelleştirilmesi, toplamalar yoluyla daha fazla işlem ve daha küçük bir Blockchain ayak izi sayesinde, daha fazla güvenlik sağlamak için genel Blockchain'lerin tasarım gereği yavaş olması gerekiyordu.
  • Daha Fazla Esneklik ve Seçenek Blockchain üzerindeki kripto varlıkları desteklemek için geleneksel varlıklara sahip olma yeteneği, Katman 2 ile genel Blockchain arasında daha basit entegrasyon ve katman 2 varlıklarının örneğin mevcut DeFi ekosistemlerine kolayca genişletilmesi yoluyla

Kapanışta, ABD hükümeti örneğinde, bir bilgi sistemi için ATO edinmenin yalnızca kriptografik eserler ve kripto modülleriyle sınırlı olmadığını belirtmek önemlidir. Bunlar, NIST SP 800-37 Rev 2 ve NIST FIPS-199'da ayrıntılı olarak listelendiği ve açıklandığı gibi, bir ATO elde etmek için gerekli risk yönetimi süreci sırasında tanımlanan güvenlik kontrollerinin önemli bir parçasını temsil eder. Süreç ayrıca farklı kullanım senaryoları altında kullanıcı doğrulama/yetkilendirme, sistem ve süreç değişikliği kontrolleri, olağanüstü durum kurtarma ve iş sürekliliği gibi unsurları da içerir.

Blockchain uygulamaları için ATO/NIST uyumluluğu işinizle alakalı mı? AÇA ATO Çalışma Grubu, görüşlerinizi almak istiyor. Lütfen iletişime geçin .

Bizi takip edin:  Twitter,  LinkedIn ve  Facebook AÇA ile ilgili her konuda güncel kalmak için.