El FSB de Rusia les dificulta la vida a las empresas blockchain

La comida para llevar:

• Las soluciones blockchain empresariales en Rusia deben obtener la certificación de sus elementos criptográficos ante el FSB, la agencia de contraespionaje.
• El proceso puede tardar varios años en completarse y costar hasta 100.000 dólares.
• Algunas cadenas de bloques desarrolladas en el extranjero no pueden satisfacer el requisito sin una bifurcación.
• Los sistemas fabricados en Rusia podrían terminar aislados del mercado global debido a la desconfianza en los estándares de criptografía del gobierno ruso.

La Tecnología blockchain se creó para no tener fronteras. Sin embargo, en el mundo real, las fronteras aún imponen límites a esta Tecnología.

Todo lo relacionado con la criptografía en Rusia está bajo la supervisión del Servicio Federal de Seguridad (FSB), sucesor del KGB. El FSB cuenta con un proceso de certificación para empresas de blockchain, que podría costar más de 100.000 dólares y tardar más de un año, según expertos en el mercado ruso de blockchain empresarial.

El año pasado, la Asociación Fintech, un consorcio dirigido por el Banco de Rusia,reportadoObteniendo la certificación de Masterchain, su blockchain para bancos. El proceso tardó unos tres años en completarse, y aún no es el final.

Sigue leyendo: Decepcionado por la tecnología blockchain del Banco Central, el mayor banco de Rusia busca alternativas.

La Asociación Fintech está trabajando para obtener otro certificado del FSB, esta vez para un producto específico en Masterchain. De ahora en adelante, cualquier nueva iteración e implementación del código que utilice elementos criptográficos deberá pasar por este proceso.

Otros proyectos rusos de blockchain empresarial, incluidos WAVES y Exonum de Bitfury, también siguen trabajando para obtener la certificación, y es posible que también necesiten más de un año.

El proceso de certificación del FSB está desafiando la característica sin fronteras de la Tecnología blockchain de dos maneras. A nivel mundial, Rusia intenta que la comunidad criptográfica acepte su algoritmo de cifrado como estándar. Dentro del país, la industria blockchain intenta determinar qué hacer con un producto que los socios extranjeros podrían ser reacios a adoptar.

Imprescindible no oficial

Si bien no existe una ley que establezca directamente que las empresas de blockchain deben estar certificadas por el FSB, las empresas tienen fuertes incentivos para hacerlo. En primer lugar, según RussianleyLos documentos que se firman electrónicamente deben utilizar firmas electrónicas certificadas por el estado para ser documentos legalmente vinculantes.

“Si hablamos de servicios financieros, la certificación es imprescindible; de ​​lo contrario, las transacciones entre los participantes del sistema blockchain T de validez legal. La firma digital debería estar integrada en el sistema blockchain”, explicó Anatoly Konkin, director de DLT en la Asociación Fintech.

La certificación también podría ayudar a convencer a los grandes clientes, en particular a las agencias gubernamentales en Rusia, de que el sistema que están construyendo es seguro, dice Ivan Maslov, jefe de desarrollo de Bitfury en Rusia.

Sigue leyendo: WAVES y la difícil tarea de ser una marca de Cripto rusa

“Si se crea un sistema para un organismo gubernamental, debe estar certificado”, afirmó Maslov.

“Es una ventaja competitiva adicional para los proveedores [de blockchain empresarial], que les permite prometer que el sistema satisfará todos los requisitos de seguridad”, dijo Dmitri Plakhov, jefe del comité técnico del Centro de Tecnología de Libro Mayor Distribuido de la Universidad Estatal de San Petersburgo.

La situación no es exclusiva de Rusia, señala Sasha Ivanov, CEO de WAVES: “El uso de criptografía local para proyectos blockchain a nivel gubernamental es una realidad con la que tendremos que lidiar, ya sean proyectos rusos, chinos u occidentales”.

El proceso de certificación en Europa, añade, puede llevar menos tiempo que en Rusia, pero el principio es el mismo.

Estándar ruso

Sin embargo, para las empresas de blockchain, el proceso de certificación del FSB presenta desafíos especiales. Se supone que la Tecnología blockchain es un sistema transparente, ágil y auditable, pero contar con módulos criptográficos certificados plantea dudas sobre su transparencia y fiabilidad.

La forma más sencilla de cumplir con los requisitos del FSB es utilizar una solución de un proveedor con licencia; sin embargo, el código de estas soluciones no es de código abierto y no puede auditarse. Esto no es obligatorio, y Masterchain, por ejemplo, utiliza sus propios elementos criptográficos, según Konkin. Sin embargo, una empresa con licencia del FSB, Cripto PRO, ha supervisado la creación completa de Masterchain.

CryptoPRO también es ONE de los proveedores autorizados de soluciones de criptografía GOST (GOvernment STandard) certificadas por el FSB.

Maslov, de Bitfury, explica que para que Exonum fuera compatible con los requisitos de los organismos gubernamentales rusos con los que trabaja, Bitfury utilizó software desarrollado por ONE de los proveedores certificados por el FSB. El software se encarga del cifrado de datos, el hash y la seguridad de los canales para la conexión de los nodos, explicó Maslov, pero es responsabilidad del arquitecto de la cadena de bloques decidir qué funciones se deben utilizar.

El proceso dista mucho de ser transparente. Cuando una empresa recibe un documento del FSB que indica que su producto ya está certificado, la mayor parte de ese documento es confidencial.

Si la solución blockchain es de código abierto, su versión certificada no lo será. Por ejemplo, la versión certificada de Exonum de Bitfury no será de código abierto, aunque Exonum sí lo sea, afirmó Maslov. «El código abierto no se puede certificar. Es necesario certificar una versión específica, pero si alguien puede modificarla con un ONE clic, es difícil controlarlo», añade.

Sigue leyendo: Moscú contratará a Kaspersky para construir una blockchain de votación con software Bitfury

Además, el proceso de certificación se complica por la necesidad de verificar no solo el código, sino también sus implementaciones. Si bien Masterchain ya estaba certificada como plataforma, también tuvo que obtener un certificado independiente para cada aplicación que desarrollaba, explicó Konkin. Para una de estas aplicaciones, que almacena... bonos hipotecarios digitalesLa certificación ya está completa. Sin ONE, el proceso para el proyecto de carta de crédito interbancaria aún está en curso.

La certificación abarca todos los aspectos de la arquitectura blockchain. Artem Kalikhov, director de producto de Wave Enterprise, explicó que el proceso de certificación implica el análisis exhaustivo de toda la arquitectura blockchain. Esto incluye «no solo el uso de las funciones criptográficas, sino también la seguridad de la información y la corrección del algoritmo de consenso. Se deben estudiar diferentes modelos de amenaza para el sistema».

La tarea se complica aún más por el hecho de que el FSB no ha trabajado antes con sistemas blockchain, excluyendo Masterchain, y tiene que lidiar con los conceptos novedosos de la arquitectura blockchain.

“Ahora están descubriendo qué es blockchain, el consenso y los contratos inteligentes”, dijo Kalikhov.

El proceso de certificación requiere una gran cantidad de recursos de la empresa. Normalmente, dos o más personas de la empresa deben trabajar a tiempo completo, redactando los documentos técnicos y comunicándose con el FSB, explicó Maslov. El producto que se certifica prácticamente se congela durante el período de certificación, y cualquier actualización debe volver a pasar por el proceso, añadió.

Un juego de algoritmos

La certificación FSB requiere que las empresas internacionales de blockchain utilicen estándares rusos, pero esos estándares rusos podrían ser vistos con sospecha en el extranjero.

Históricamente, Rusia ha mantenido su propio estándar criptográfico, el llamado GOST, al igual que China, manteniéndose alejada del mercado global de soluciones criptográficas y sin confiar en que los extranjeros les vendan herramientas de cifrado.

Esta estrategia fue reivindicada por historias como la de Cripto AG, un fabricante suizo de máquinas de código, que resultó estar controlado por la NSA durante décadas y vendió máquinas comprometidas en todo el mundo, como lo describió el Washington Post. reportado.

El proceso de certificación también dificulta que los proyectos blockchain globales prosperen en Rusia.

“Los algoritmos criptográficos creados en el extranjero no pueden ser reconocidos legalmente como legítimos en Rusia”, declaró Alexey Lukatsky, asesor de seguridad de CISCO. “Según los requisitos del FSB, un desarrollador de soluciones criptográficas debe tener su sede en Rusia y una licencia del FSB, lo cual es inviable para las empresas extranjeras”.

Otro problema es que la certificación rusa podría provocar que los proyectos blockchain queden excluidos de la comunidad global de desarrolladores.

“No existen plataformas, y no las habrá, en las que se pueda desarrollar la criptografía rusa y KEEP disponible todo el soporte técnico antes”, dijo el ingeniero de CryptoPRO, Dmitri Pichulin, a CoinDesk.

Actualmente, la mayoría de las soluciones blockchain se basan en algoritmos de hash creados según el estándar de cifrado avanzado, o AES, establecido por el Instituto Nacional de Estándares y Tecnología de EE. UU.

Para los estándares reconocidos internacionalmente, existen múltiples bibliotecas que los desarrolladores pueden usar, mientras que para los estándares nacionales, hay menos oportunidades para desarrollar libremente. Las bibliotecas para GOST son más difíciles de encontrar, afirma el experto en ciberseguridad Sergey Prilutsky.

Por ejemplo, no existe una biblioteca GOST para el lenguaje Go, que se utiliza para desarrollar Hyperledger Fabric, explicó Prilutsky. «Por lo tanto, los desarrolladores tienen que transferir su código de C++ a Go. Pero en este caso, existe el riesgo de introducir vulnerabilidades graves en el sistema», añadió.

Además, el propio algoritmo Cripto GOST ha sido visto con recelo por la comunidad criptográfica global. Cuando el algoritmo, llamado Kuznyechik («saltamontes» en ruso), se presentó ante la Organización Internacional de Normalización (ISO) el verano pasado, tuvo una fría acogida, según Vice reportado, ya que los expertos de otros países encontraron vulnerabilidades potenciales en el cifrado.

Según el criptógrafo francés Pascal Paillier, la investigación ha demostrado que “los estándares rusos podrían contener lo que LOOKS una puerta trasera, que, de confirmarse, permitiría a Rusia romper la confidencialidad de las comunicaciones”, declaró a Vice.

¿No más tela?

Los productos blockchain con raíces extranjeras podrían verse expulsados del mercado ruso. Tomemos como ejemplo Hyperledger Fabric de IBM. Hyperledger ha sido el framework más popular para blockchain empresarial, y gigantes como Ferrocarriles Rusos, Sberbank y Gazpromneft lo utilizaron como plataforma predilecta para pruebas de concepto de blockchain. Pero quizás ya no sea así.

Anteriormente, había una manera de construir la criptografía GOST en Fabric sin bifurcarla, es decir, sin hacerla incompatible con el código de la rama principal, mediante el uso de complementos, e incluso CryptoPRO.creadoAlgunos para uso de empresas rusas. Sin embargo, la versión más reciente de Fabric,liberadoA finales de enero, ya no se admiten complementos.

Sigue leyendo: Conozca al oligarca ruso que lanza un token Cripto respaldado por metal

El ingeniero de IBM Chris Ferris, presidente del Comité Directivo Técnico de Hyperledger, declaró a través de un portavoz que aún es posible implementar una criptografía alternativa, pero "requeriría recompilar los binarios". En cuanto a los complementos, su compatibilidad "no era sostenible y requería soluciones alternativas significativas para gestionar las dependencias", añadió Ferris.

También existe una oportunidad para que los desarrolladores rusos encuentren una forma de construir de forma segura la criptografía GOST en Fabric y brindar soporte técnico de calidad y actualizaciones de código periódicas, reemplazando esencialmente a la comunidad Hyperledger.

Algunas empresas ya han estado trabajando en bifurcaciones comerciales de Hyperledger Fabric. Una de ellas es CryptoPRO, que ya... agregadosu versión bifurcada, denominada CryptoPRO HLF 1.0, al registro nacional de software.

Todavía no es un producto comercial, dice Pichulin, pero podría llegar a ONE. «Hay demanda, y el soporte técnico y las actualizaciones son nuestra prioridad».

Aun así, el desafío de la certificación, combinado con la ley rusa que exige que todos los datos rusos se almacenen dentro del país, podría aislar aún más a Rusia del mercado Tecnología global.

Los elementos criptográficos están profundamente arraigados en el CORE de cualquier producto, lo que hace que los sistemas basados ​​en diferentes estándares sean incompatibles, dice Prilutsky.

Añadió:

“Las soluciones de código abierto basadas en estándares [criptográficos] occidentales, disponibles en cientos de países, no se pueden usar en Rusia debido a los requisitos de certificación, y las cadenas de bloques con criptografía rusa son un fracaso para los actores del mercado global: no son confiables”.