O FSB da Rússia está dificultando a vida das empresas de blockchain

A lição:

• Soluções de blockchain empresarial na Rússia precisam obter a certificação de seus elementos criptográficos junto ao FSB, a agência de contraespionagem.
• O processo pode levar vários anos para ser concluído e custar até US$ 100.000.
• Alguns blockchains desenvolvidos no exterior T conseguem atender ao requisito sem um fork.
• Os sistemas fabricados na Rússia podem acabar isolados do mercado global devido à desconfiança nos padrões de criptografia do governo russo.

A Tecnologia blockchain foi criada para ser sem fronteiras. Mas no mundo real, as fronteiras ainda impõem limites a essa Tecnologia.

Tudo relacionado à criptografia na Rússia fica sob a supervisão do Serviço Federal de Segurança, ou FSB, que é o sucessor do KGB. O FSB tem um processo de certificação para empresas de blockchain, que pode custar mais de US$ 100.000 e levar mais de um ano, de acordo com especialistas no mercado russo de blockchain empresarial.

No ano passado, a Fintech Association, um consórcio liderado pelo Banco da Rússia,relatadoobtendo a certificação para Masterchain, seu blockchain para bancos. O processo levou cerca de três anos para ser concluído, e ainda não é o fim da história.

Leia Mais: ‘Decepcionado’ com o Blockchain do Banco Central, o maior banco da Rússia busca alternativas

A Fintech Association está trabalhando para obter outro certificado do FSB, dessa vez para um produto específico na Masterchain. Daqui para frente, qualquer nova iteração e implementação do código usando elementos criptográficos precisa passar por esse processo.

Outros projetos de blockchain empresarial russos, incluindo WAVES e Exonum da Bitfury, ainda estão trabalhando para obter a certificação – e também podem precisar de mais de um ano.

O processo de certificação do FSB está desafiando o recurso sem fronteiras da Tecnologia blockchain de duas maneiras. Globalmente, a Rússia está tentando fazer com que a comunidade criptográfica aceite seu algoritmo de criptografia como um padrão. Dentro do país, a indústria blockchain está tentando descobrir o que fazer com um produto que parceiros estrangeiros podem estar relutantes em adotar.

Não oficial deve

Embora não haja nenhuma lei que declare diretamente que as empresas de blockchain devem ser certificadas pelo FSB, as empresas têm fortes incentivos para fazê-lo. Primeiro, de acordo com a Rússialei, documentos assinados eletronicamente devem usar assinaturas eletrônicas certificadas pelo estado para serem documentos juridicamente vinculativos.

“Se estamos falando de serviços financeiros, a certificação é essencial, caso contrário, as transações entre os participantes [do sistema blockchain] T terão qualquer significado legal. E a assinatura digital deve ser incorporada ao sistema blockchain”, explicou Anatoly Konkin, chefe de DLT na Fintech Association.

A certificação também pode ajudar a convencer grandes clientes, em particular agências governamentais na Rússia, de que o sistema que você está construindo é seguro, diz Ivan Maslov, chefe de desenvolvimento da Bitfury na Rússia.

Leia Mais: WAVES e a difícil tarefa de ser uma marca Cripto russa

“Se você está criando um sistema para um órgão governamental, ele deve ser certificado”, disse Maslov.

“É uma vantagem competitiva adicional para fornecedores [de blockchain empresarial], que lhes permite prometer que o sistema atenderá a todos os requisitos de segurança”, disse Dmitri Plakhov, chefe do comitê técnico do Centro de Tecnologia de Contabilidade Distribuída da Universidade Estadual de São Petersburgo.

A situação não é exclusiva da Rússia, observa Sasha Ivanov, CEO da WAVES: “Usar criptografia local para projetos de blockchain de nível governamental é uma realidade com a qual teremos que lidar, sejam projetos russos, chineses ou ocidentais.”

O processo de certificação na Europa, ele acrescenta, pode levar menos tempo do que na Rússia, mas o princípio é o mesmo.

Padrão russo

Para empresas de blockchain, no entanto, o processo de certificação FSB traz desafios especiais. A Tecnologia blockchain deve ser um sistema transparente, ágil e auditável, mas ter módulos criptográficos certificados levanta questões sobre transparência e confiabilidade.

A maneira mais fácil de cumprir com os requisitos do FSB é usar uma solução de um fornecedor licenciado – mas o código dessas soluções não é de código aberto e não pode ser auditado. Isso não é obrigatório, e a Masterchain, por exemplo, está usando seus próprios elementos de criptografia, disse Konkin. No entanto, uma empresa licenciada pelo FSB chamada Cripto PRO tem supervisionado toda a criação da Masterchain.

A CryptoPRO também é uma das fornecedoras licenciadas de soluções de criptografia GOST (GOvernment Standard), certificadas pelo FSB.

Maslov, da Bitfury, explica que para tornar o Exonum compatível com os requisitos dos órgãos governamentais russos com os quais a empresa está trabalhando, a Bitfury usou um software feito por um dos provedores certificados pelo FSB. O software é responsável pela criptografia de dados, hash e canais de segurança para os nós se conectarem, disse Maslov, mas cabe ao arquiteto do blockchain decidir quais funções devem ser usadas.

O processo está longe de ser transparente. Quando uma empresa recebe um documento do FSB dizendo que seu produto agora está certificado, a maior parte desse documento é classificada.

Se a solução blockchain for de código aberto, sua versão certificada T será. Por exemplo, a versão certificada do Exonum da Bitfury não será de código aberto, embora o próprio Exonum seja, disse Maslov. “O código aberto não pode ser certificado. Você precisa certificar uma certa versão dele, mas se alguém pode alterá-lo com um clique, é difícil controlar isso”, ele acrescenta.

Leia Mais: Moscou disse que contratará Kaspersky para construir blockchain de votação com software Bitfury

Além disso, o processo de certificação é complicado pela necessidade de verificar não apenas o código, mas também suas implementações. Embora a Masterchain já fosse certificada como uma plataforma, ela também teve que obter um certificado separado para cada aplicativo que está construindo em cima, disse Konkin. Para um desses aplicativos, que armazena títulos hipotecários digitais, a certificação já está completa. Mas para ONE, o projeto de carta de crédito interbancário, o processo ainda está em andamento.

A certificação toca cada parte da arquitetura do blockchain. Artem Kalikhov, diretor de produto da Wave Enterprise, explicou que o processo de certificação envolve toda a arquitetura do blockchain sendo examinada. Isso inclui “não apenas o uso das funções criptográficas, mas também a segurança da informação, a correção do algoritmo de consenso. Diferentes modelos de ameaça para o sistema devem ser estudados.”

A tarefa fica ainda mais complicada pelo fato de que o FSB T lidou com sistemas de blockchain antes, excluindo o Masterchain, e precisa lidar com os novos conceitos de arquitetura de blockchain.

“Agora eles estão descobrindo blockchain, consenso, contratos inteligentes”, disse Kalikhov.

O processo de certificação exige muitos recursos da empresa. Normalmente, duas ou mais pessoas na empresa precisam trabalhar nele em tempo integral, escrevendo os artigos técnicos e se comunicando com o FSB, disse Maslov. O produto que está sendo certificado basicamente fica congelado durante o período de certificação, e quaisquer atualizações precisam passar pelo processo novamente, disse ele.

Um jogo de algoritmos

A certificação do FSB exige que empresas internacionais de blockchain usem padrões russos, mas esses padrões russos podem ser vistos com suspeita no exterior.

Historicamente, a Rússia manteve seu próprio padrão criptográfico, o chamado GOST, assim como a China, mantendo-se longe do mercado global de soluções criptográficas e não confiando em estrangeiros para vender-lhes ferramentas de criptografia.

Esta estratégia foi confirmada por histórias como a da Cripto AG, uma fabricante suíça de máquinas de código, que acabou por ser controlada pela NSA durante décadas e vendeu máquinas comprometidas em todo o mundo, como o Washington Post. relatado.

O processo de certificação também dificulta o sucesso de projetos globais de blockchain na Rússia.

“Algoritmos criptográficos criados no exterior T podem ser reconhecidos como legítimos na Rússia pela lei”, disse Alexey Lukatsky, consultor de segurança da CISCO. “De acordo com os requisitos do FSB, um desenvolvedor de solução criptográfica deve estar sediado na Rússia e ter uma licença do FSB, o que é inviável para empresas estrangeiras.”

Outro problema é que a certificação russa pode fazer com que os projetos de blockchain sejam excluídos da comunidade global de desenvolvedores.

“Não há plataformas, e T haverá nenhuma, onde você possa construir a criptografia russa e KEEP o suporte técnico completo disponível antes”, disse o engenheiro da CryptoPRO, Dmitri Pichulin, ao CoinDesk.

Atualmente, a maioria das soluções de blockchain são baseadas em algoritmos de hash criados com base no Padrão de Criptografia Avançada, ou AES, estabelecido pelo Instituto Nacional de Padrões e Tecnologia dos EUA.

Para padrões reconhecidos internacionalmente, há várias bibliotecas que os desenvolvedores podem usar, enquanto para padrões nacionais, há menos oportunidades de construir livremente. Bibliotecas para GOST são mais difíceis de encontrar, diz um especialista em segurança cibernética Sergey Prilutsky.

Por exemplo, não há uma biblioteca GOST para a linguagem Go, que é usada para construir no Hyperledger Fabric, disse Prilutsky. “Então os desenvolvedores têm que transferir [seu código] de C++ para Go. Mas, neste caso, há um perigo de introduzir vulnerabilidades sérias em um sistema”, ele acrescentou.

Além disso, o algoritmo Cripto GOST em si tem sido visto com apreensão pela comunidade criptográfica global. Quando o algoritmo, chamado Kuznyechik (“gafanhoto” em russo), foi apresentado à Organização Internacional para Padronização (ISO) no verão passado, ele teve uma recepção fria, Vice relatado, pois especialistas de outros países encontraram vulnerabilidades potenciais na cifra.

De acordo com o criptógrafo francês Pascal Paillier, a pesquisa mostrou que “os padrões russos podem conter o que LOOKS ser um backdoor, o que, se confirmado, permitiria à Rússia quebrar a confidencialidade das comunicações”, disse ele à Vice.

Não tem mais tecido?

Produtos de blockchain com raízes estrangeiras podem ser empurrados para fora do mercado russo. Veja o exemplo do Hyperledger Fabric da IBM. O Hyperledger tem sido a estrutura mais popular para blockchain empresarial, e gigantes como Russian Railways, Sberbank e Gazpromneft o usaram como uma plataforma de escolha para provas de conceito de blockchain. Mas talvez não mais.

Anteriormente, havia uma maneira de construir a criptografia GOST no Fabric sem bifurcá-la – ou seja, sem torná-la incompatível com o código do branch principal – usando plugins, e até mesmo CryptoPROcriadoalguns para empresas russas usarem. No entanto, a versão mais recente do Fabric,lançadofinal de janeiro, não suporta mais plugins.

Leia Mais: Conheça o oligarca russo que está lançando um token Cripto lastreado em metal

O engenheiro da IBM Chris Ferris, que é o presidente do Comitê de Direção Técnica do Hyperledger, disse por meio de um porta-voz que ainda é possível construir uma criptografia alternativa, mas "isso exigiria uma recompilação dos binários". Quanto aos plug-ins, suportá-los "não era sustentável e exigia soluções alternativas significativas para gerenciar dependências", acrescentou Ferris.

Também há uma oportunidade para desenvolvedores russos encontrarem uma maneira de construir com segurança a criptografia GOST no Fabric e fornecer suporte técnico de qualidade e atualizações regulares de código, essencialmente substituindo a comunidade Hyperledger.

Algumas empresas já estão trabalhando em forks comerciais do Hyperledger Fabric. Uma delas é a CryptoPRO, que já adicionadosua versão bifurcada, chamada CryptoPRO HLF 1.0, para o registro nacional de software.

Ainda não é um produto comercial, diz Pichulin, mas pode se tornar um. “A demanda está lá, suporte técnico e atualizações estão na nossa agenda.”

Ainda assim, o desafio da certificação, combinado com a lei russa que exige que todos os dados russos sejam armazenados dentro do país, pode isolar ainda mais a Rússia do mercado global de Tecnologia .

Elementos criptográficos estão profundamente enraizados no CORE de qualquer produto, o que torna sistemas baseados em padrões diferentes incompatíveis, diz Prilutsky.

Ele acrescentou:

“As soluções de código aberto baseadas em padrões [criptográficos] ocidentais, disponíveis em centenas de países, T podem ser usadas na Rússia por causa dos requisitos de certificação, e os blockchains com criptografia russa são um obstáculo para os participantes do mercado global – eles não são confiáveis.”