L'FSB russo sta rendendo la vita più difficile alle aziende blockchain

La conclusione:

• Le soluzioni blockchain aziendali in Russia devono ottenere la certificazione dei loro elementi crittografici dall'FSB, l'agenzia di controspionaggio.
• Il completamento del processo può richiedere diversi anni e una spesa fino a 100.000 dollari.
• Alcune blockchain sviluppate all'estero T riescono a soddisfare questo requisito senza un fork.
• I sistemi di fabbricazione russa potrebbero finire isolati dal mercato globale a causa della sfiducia negli standard crittografici del governo russo.

La Tecnologie Blockchain è stata creata per essere senza confini. Ma nel mondo reale, i confini impongono ancora dei limiti a questa Tecnologie.

Tutto ciò che riguarda la crittografia in Russia ricade sotto la supervisione del Federal Security Service, o FSB, che è il successore del KGB. L'FSB ha un processo di certificazione per le aziende blockchain, che potrebbe costare oltre $ 100.000 e richiedere più di un anno, secondo gli esperti del mercato blockchain aziendale russo.

L'anno scorso, la Fintech Association, un consorzio guidato dalla Banca di Russia,segnalatoottenere la certificazione per Masterchain, la sua blockchain per le banche. Il processo ha richiesto circa tre anni per essere completato, e non è ancora la fine della storia.

Continua a leggere: “Delusa” dalla blockchain della banca centrale, la più grande banca russa guarda alle alternative

La Fintech Association sta lavorando per ottenere un altro certificato dal FSB, questa volta per un prodotto specifico su Masterchain. In futuro, qualsiasi nuova iterazione e implementazione del codice che utilizza elementi crittografici dovrà passare attraverso questo processo.

Anche altri progetti blockchain aziendali russi, tra cui WAVES ed Exonum di Bitfury, stanno ancora lavorando per ottenere la certificazione, e potrebbero richiedere più di un anno.

Il processo di certificazione dell'FSB sta sfidando la caratteristica senza confini della Tecnologie blockchain in due modi. A livello globale, la Russia sta cercando di far accettare alla comunità crittografica il suo algoritmo di crittografia come standard. All'interno del paese, l'industria blockchain sta cercando di capire cosa fare con un prodotto che i partner stranieri potrebbero essere riluttanti ad adottare.

Non ufficiale deve

Sebbene non ci sia una legge che stabilisca direttamente che le aziende blockchain debbano essere certificate dall'FSB, le aziende hanno forti incentivi a farlo. Innanzitutto, secondo la Russianlegge, i documenti firmati elettronicamente devono utilizzare firme elettroniche certificate dallo Stato per essere documenti giuridicamente vincolanti.

"Se parliamo di servizi finanziari, la certificazione è un must, altrimenti le transazioni tra i partecipanti [del sistema blockchain] T avranno alcun significato legale. E la firma digitale dovrebbe essere integrata nel sistema blockchain", ha spiegato Anatoly Konkin, responsabile DLT presso la Fintech Association.

La certificazione potrebbe anche aiutare a convincere i grandi clienti, in particolare le agenzie governative in Russia, che il sistema che stai costruendo è sicuro, afferma Ivan Maslov, responsabile dello sviluppo di Bitfury in Russia.

Continua a leggere: WAVES e il difficile compito di essere un marchio Cripto russo

"Se si crea un sistema per un ente governativo, questo deve essere certificato", ha affermato Maslov.

"Si tratta di un ulteriore vantaggio competitivo per i fornitori [di blockchain aziendale], che consente loro di promettere che il sistema soddisferà tutti i requisiti di sicurezza", ha affermato Dmitri Plakhov, capo del comitato tecnico del Center for Distributed Ledger Tech presso l'Università statale di San Pietroburgo.

La situazione non è esclusiva della Russia, osserva Sasha Ivanov, CEO di WAVES: "L'utilizzo della crittografia locale per progetti blockchain a livello governativo è una realtà con cui dovremo confrontarci, che si tratti di progetti russi, cinesi o occidentali".

Il processo di certificazione in Europa, aggiunge, potrebbe richiedere meno tempo rispetto alla Russia, ma il principio è lo stesso.

Standard russo

Per le aziende blockchain, tuttavia, il processo di certificazione FSB comporta sfide particolari. La Tecnologie blockchain dovrebbe essere un sistema trasparente, agile e verificabile, ma avere moduli crittografici certificati solleva questioni di trasparenza e affidabilità.

Il modo più semplice per conformarsi ai requisiti FSB è utilizzare una soluzione di un fornitore autorizzato, ma il codice di tali soluzioni non è open source e non può essere verificato. Ciò non è obbligatorio e Masterchain, ad esempio, utilizza i propri elementi crittografici, ha affermato Konkin. Tuttavia, una società autorizzata FSB denominata Cripto PRO ha supervisionato l'intera creazione di Masterchain.

CryptoPRO è anche ONE dei fornitori autorizzati di soluzioni crittografiche GOST (GOvernment STandard) certificate dall'FSB.

Maslov di Bitfury spiega che per rendere Exonum compatibile con i requisiti degli enti governativi russi con cui l'azienda sta lavorando, Bitfury ha utilizzato un software realizzato da ONE dei provider certificati FSB. Il software è responsabile della crittografia dei dati, dell'hashing e della protezione dei canali per la connessione dei nodi, ha affermato Maslov, ma spetta all'architetto della blockchain decidere quali funzioni utilizzare.

Il processo è tutt'altro che trasparente. Quando un'azienda riceve un documento dal FSB che afferma che il suo prodotto è ora certificato, la maggior parte di quel documento è classificato.

Se la soluzione blockchain è open source, la sua versione certificata T lo sarà. Ad esempio, la versione certificata di Exonum di Bitfury non sarà open source, anche se Exonum stesso lo è, ha detto Maslov. "Il codice aperto non può essere certificato. Devi certificarne una certa versione, ma se qualcuno può cambiarla con ONE clic, è difficile controllarlo", aggiunge.

Continua a leggere: Mosca avrebbe assunto Kaspersky per costruire una blockchain per il voto con il software Bitfury

Inoltre, il processo di certificazione è complicato dalla necessità di controllare non solo il codice, ma anche le sue implementazioni. Anche se Masterchain era già certificata come piattaforma, doveva anche ottenere un certificato separato per ogni app su cui stava costruendo, ha detto Konkin. Per ONE di queste app, che memorizza obbligazioni ipotecarie digitali, la certificazione è già completa. Ma per un ONE, il progetto della lettera di credito interbancaria, il processo è ancora in corso.

La certificazione tocca ogni parte dell'architettura blockchain. Artem Kalikhov, direttore del prodotto di Wave Enterprise, ha spiegato che il processo di certificazione comporta l'esame approfondito dell'intera architettura della blockchain. Ciò include "non solo l'uso delle funzioni crittografiche, ma anche la sicurezza delle informazioni, la correttezza dell'algoritmo di consenso. Devono essere studiati diversi modelli di minaccia per il sistema".

Il compito è ulteriormente complicato dal fatto che l'FSB non ha T avuto a che fare con sistemi blockchain prima d'ora, ad eccezione di Masterchain, e deve confrontarsi con i nuovi concetti dell'architettura blockchain.

"Adesso stanno capendo la blockchain, il consenso, i contratti intelligenti", ha detto Kalikhov.

Il processo di certificazione richiede parecchie risorse aziendali. Di solito, due o più persone in azienda devono lavorarci a tempo pieno, scrivendo i documenti tecnici e comunicando con l'FSB, ha detto Maslov. Il prodotto che sta ottenendo la certificazione viene sostanzialmente congelato per il periodo di certificazione e qualsiasi aggiornamento deve passare di nuovo attraverso il processo, ha detto.

Un gioco di algoritmi

La certificazione FSB richiede alle aziende internazionali di blockchain di utilizzare gli standard russi, ma tali standard russi potrebbero essere visti con sospetto all'estero.

Storicamente, la Russia ha mantenuto il proprio standard crittografico, il cosiddetto GOST, così come ha fatto la Cina, tenendosi alla larga dal mercato globale delle soluzioni crittografiche e non fidandosi degli stranieri che le vendevano strumenti di crittografia.

Questa strategia è stata confermata da storie come quella di Cripto AG, un produttore svizzero di macchine per la codifica, che si è rivelato essere controllato dalla NSA per decenni e ha venduto macchine compromesse in tutto il mondo, come riportato dal Washington Post segnalato.

Il processo di certificazione rende inoltre più difficile per i progetti blockchain globali avere successo in Russia.

"Gli algoritmi crittografici creati all'estero T possono essere riconosciuti come legittimi in Russia dalla legge", ha affermato Alexey Lukatsky, consulente per la sicurezza presso CISCO. "Secondo i requisiti dell'FSB, uno sviluppatore di soluzioni crittografiche dovrebbe avere sede in Russia e avere una licenza dell'FSB, il che è irrealizzabile per le aziende straniere".

Un ulteriore problema è che la certificazione russa potrebbe comportare l'esclusione dei progetti blockchain dalla comunità globale degli sviluppatori.

"Non ci sono piattaforme, e T ce ne saranno, in cui è possibile integrare la crittografia russa e KEEP il pieno supporto tecnico disponibile prima", ha detto a CoinDesk l'ingegnere di CryptoPRO Dmitri Pichulin.

Attualmente, la maggior parte delle soluzioni blockchain si basa su algoritmi di hashing sviluppati sullo standard di crittografia avanzata, o AES, stabilito dal National Institute of Standards and Tecnologie degli Stati Uniti.

Per gli standard riconosciuti a livello internazionale, ci sono più librerie che gli sviluppatori possono usare, mentre per gli standard nazionali, ci sono meno opportunità di costruire liberamente. Le librerie per GOST sono più difficili da trovare, afferma un esperto di sicurezza informatica, Sergey Prilutsky.

Ad esempio, non esiste una libreria GOST per il linguaggio Go, che viene utilizzato per costruire su Hyperledger Fabric, ha affermato Prilutsky. "Quindi gli sviluppatori devono trasferire [il loro codice] da C++ a Go. Ma in questo caso, c'è il rischio di introdurre gravi vulnerabilità in un sistema", ha aggiunto.

Inoltre, l'algoritmo Cripto GOST stesso è stato visto con apprensione dalla comunità crittografica globale. Quando l'algoritmo, denominato Kuznyechik ("cavalletta" in russo), è stato presentato all'Organizzazione internazionale per la standardizzazione (ISO) la scorsa estate, ha ricevuto un'accoglienza fredda, Vice segnalato, poiché gli esperti di altri paesi hanno scoperto potenziali vulnerabilità nel cifrario.

Secondo il crittografo francese Pascal Paillier, la ricerca ha dimostrato che "gli standard russi potrebbero contenere quella che LOOKS una backdoor, che, se confermata, consentirebbe alla Russia di violare la riservatezza delle comunicazioni", ha detto a Vice.

Non c'è più tessuto?

I prodotti blockchain con radici straniere potrebbero essere spinti fuori dal mercato russo. Prendiamo l'esempio di Hyperledger Fabric di IBM. Hyperledger è stato il framework più popolare per la blockchain aziendale e giganti come le ferrovie russe, Sberbank e Gazpromneft lo hanno utilizzato come piattaforma di scelta per i proof-of-concept della blockchain. Ma forse non più.

In precedenza, esisteva un modo per costruire la crittografia GOST in Fabric senza forkarla, ovvero senza renderla incompatibile con il codice del ramo principale, utilizzando plugin e persino CryptoPROcreatoalcuni per le aziende russe da utilizzare. Tuttavia, la versione più recente di Fabric,rilasciatofine gennaio, non supporta più i plugin.

Continua a leggere: Incontra l'oligarca russo che lancia un token Cripto supportato da metallo

L'ingegnere IBM Chris Ferris, che è il presidente del comitato direttivo tecnico di Hyperledger, ha affermato tramite un portavoce che è ancora possibile costruire una crittografia alternativa, ma "richiederebbe una ricompilazione dei binari". Per quanto riguarda i plugin, supportarli "non era sostenibile e richiedeva soluzioni alternative significative per gestire le dipendenze", ha aggiunto Ferris.

C'è anche un'opportunità per gli sviluppatori russi di trovare un modo per integrare in modo sicuro la crittografia GOST in Fabric e fornire supporto tecnico di qualità e aggiornamenti regolari del codice, sostituendo di fatto la community di Hyperledger.

Alcune aziende hanno già lavorato su fork commerciali di Hyperledger Fabric. ONE di queste è CryptoPRO, che ha già aggiuntola sua versione forkata, denominata CryptoPRO HLF 1.0, al registro nazionale del software.

Non è ancora un prodotto commerciale, dice Pichulin, ma potrebbe ONE. "La domanda c'è, il supporto tecnico e gli aggiornamenti sono nella nostra agenda".

Tuttavia, la sfida della certificazione, unita alla legge russa che impone che tutti i dati russi siano conservati all'interno del Paese, potrebbe isolare ulteriormente la Russia dal mercato Tecnologie globale.

Gli elementi crittografici sono profondamente radicati nel CORE di ogni prodotto, il che rende incompatibili i sistemi basati su standard diversi, afferma Prilutsky.

Ha aggiunto:

"Le soluzioni open source basate sugli standard [crittografici] occidentali, disponibili in centinaia di paesi, T possono essere utilizzate in Russia a causa dei requisiti di certificazione, e le blockchain con crittografia russa non sono un punto di partenza per gli attori del mercato globale: non sono affidabili".