ФСБ России усложняет жизнь блокчейн-компаниям

Вывод:

• Корпоративные блокчейн-решения в России должны получить сертификацию своих криптографических элементов в ФСБ, контрразведывательном агентстве.
• Процесс может занять несколько лет и обойтись в 100 000 долларов.
• Некоторые блокчейны, разработанные за рубежом, T могут удовлетворить это требование без форка.
• Системы российского производства могут оказаться изолированными от мирового рынка из-за недоверия к российским государственным стандартам криптографии.

Технологии блокчейн была создана без границ. Но в реальном мире границы все еще накладывают ограничения на эту Технологии.

Все, что связано с криптографией в России, находится под надзором Федеральной службы безопасности (ФСБ), которая является преемницей КГБ. По словам экспертов российского рынка корпоративных блокчейнов, у ФСБ есть процесс сертификации для блокчейн-компаний, который может стоить более 100 000 долларов и занять больше года.

В прошлом году Ассоциация Финтех, консорциум под руководством Банка России,сообщилиполучение сертификации для Masterchain, блокчейна для банков. Процесс занял около трех лет, и это еще не конец истории.

Читать дальше: «Разочарованный» блокчейном Центробанка, крупнейший банк России ищет альтернативы

Ассоциация финтеха работает над получением еще одного сертификата от ФСБ, на этот раз для конкретного продукта на Мастерчейне. В дальнейшем любая новая итерация и реализация кода с использованием криптографических элементов должна будет пройти через этот процесс.

Другие российские корпоративные блокчейн-проекты, включая WAVES и Exonum от Bitfury, также все еще работают над получением сертификации, и им также может потребоваться больше года.

Процесс сертификации ФСБ бросает вызов безграничности Технологии блокчейна двумя способами. На глобальном уровне Россия пытается заставить криптографическое сообщество принять свой алгоритм шифрования в качестве стандарта. Внутри страны индустрия блокчейна пытается выяснить, что делать с продуктом, который иностранные партнеры могут не захотеть принять.

Неофициальный должен

Хотя нет закона, прямо гласящего, что блокчейн-компании должны быть сертифицированы ФСБ, у компаний есть серьезные стимулы делать это. Во-первых, по данным российскогозаконЧтобы документы, подписанные в электронном виде, имели юридическую силу, они должны быть подписаны сертифицированными государством электронными подписями.

«Если мы говорим о финансовых услугах, то сертификация обязательна, иначе транзакции между участниками [блокчейн-системы] T будут иметь никакого юридического значения. А цифровая подпись должна быть встроена в блокчейн-систему», — пояснил Анатолий Конкин, руководитель направления DLT Ассоциации Финтех.

По словам Ивана Маслова, руководителя отдела развития Bitfury в России, сертификация также может помочь убедить крупных клиентов, в частности государственные учреждения в России, в том, что создаваемая вами система безопасна.

Читать дальше: WAVES и сложная задача быть российским Криптo

«Если вы создаете систему для государственного органа, ее необходимо сертифицировать», — сказал Маслов.

«Это дополнительное конкурентное преимущество для поставщиков [корпоративного блокчейна], которое позволяет им обещать, что система будет удовлетворять всем требованиям безопасности», — отметил Дмитрий Плахов, руководитель технического комитета Центра технологий распределенного реестра Санкт-Петербургского государственного университета.

По словам Саши Иванова, генерального директора WAVES, ситуация не уникальна для России: «Использование локальной криптографии для блокчейн-проектов государственного уровня — это реальность, с которой нам придется иметь дело, будь то российские, китайские или западные проекты».

Он добавляет, что процесс сертификации в Европе может занять меньше времени, чем в России, но принцип тот же.

Русский стандарт

Однако для компаний, работающих в сфере блокчейн, процесс сертификации FSB создает особые проблемы. Технологии блокчейн должна быть прозрачной, гибкой и проверяемой системой, но наличие сертифицированных криптографических модулей поднимает вопросы о прозрачности и надежности.

Самый простой способ соответствовать требованиям ФСБ — использовать решение от лицензированного поставщика, но код таких решений не является открытым и не может быть проверен. Это не обязательно, и, например, Masterchain использует собственные элементы криптографии, сказал Конкин. Однако лицензированная ФСБ компания Криптo PRO курировала все создание Masterchain.

КриптоПРО также является ONE из лицензированных поставщиков криптографических решений ГОСТ, сертифицированных ФСБ.

Маслов из Bitfury объясняет, что для того, чтобы Exonum соответствовал требованиям российских государственных органов, с которыми работает компания, Bitfury использовала программное обеспечение, разработанное ONE из сертифицированных ФСБ поставщиков. Программное обеспечение отвечает за шифрование данных, хеширование и обеспечение безопасности каналов для подключения узлов, сказал Маслов, но архитектор блокчейна должен решить, какие функции следует использовать.

Процесс далеко не прозрачен. Когда компания получает документ от ФСБ о том, что ее продукция сертифицирована, большая часть этого документа засекречена.

Если решение блокчейна будет с открытым исходным кодом, то его сертифицированная версия T будет. Например, сертифицированная версия Exonum от Bitfury не будет с открытым исходным кодом, хотя сам Exonum является таковым, сказал Маслов. «Открытый код не может быть сертифицирован. Вам нужно сертифицировать определенную его версию, но если кто-то может изменить ее ONE щелчком мыши, это трудно контролировать», — добавляет он.

Читать дальше: Москва заявила, что наймет «Лабораторию Касперского» для создания блокчейна для голосования с помощью программного обеспечения Bitfury

Кроме того, процесс сертификации осложняется необходимостью проверки не только кода, но и его реализаций. Несмотря на то, что Masterchain уже был сертифицирован как платформа, ему также пришлось получить отдельный сертификат для каждого приложения, которое он строит на основе, сказал Конкин. Для ONE из этих приложений, которое хранит цифровые ипотечные облигации, сертификация уже завершена. Но для ONE проекта, межбанковского аккредитива, процесс все еще продолжается.

Сертификация затрагивает каждую часть архитектуры блокчейна. Артем Калихов, директор по продукту Wave Enterprise, пояснил, что процесс сертификации подразумевает проверку всей архитектуры блокчейна. Это включает «не только использование криптографических функций, но и информационную безопасность, корректность алгоритма консенсуса. Необходимо изучить различные модели угроз для системы».

Задача еще больше усложняется тем фактом, что ФСБ ранее T имела дела с блокчейн-системами, за исключением Мастерчейна, и ей приходится иметь дело с новыми концепциями архитектуры блокчейна.

«Сейчас они занимаются блокчейном, консенсусом, смарт-контрактами», — сказал Калихов.

Процесс сертификации требует довольно много ресурсов компании. Обычно два или более человека в компании должны работать над этим полный рабочий день, писать технические документы и общаться с ФСБ, сказал Маслов. Продукт, который проходит сертификацию, по сути, замораживается на период сертификации, и любые обновления должны проходить процесс снова, сказал он.

Игра алгоритмов

Сертификация ФСБ требует от международных блокчейн-компаний использовать российские стандарты, однако за рубежом к этим российским стандартам могут относиться с подозрением.

Исторически Россия придерживалась собственного криптографического стандарта, так называемого ГОСТ, как и Китай, избегая мирового рынка криптографических решений и не доверяя иностранцам продажу им средств шифрования.

Эта стратегия была подтверждена такими историями, как история швейцарского производителя шифровальных машин Криптo AG, который, как оказалось, на протяжении десятилетий контролировался АНБ и продавал взломанные машины по всему миру, как сообщала Washington Post. сообщили.

Процесс сертификации также затрудняет выход глобальных блокчейн-проектов на российский рынок.

«Криптографические алгоритмы, созданные за рубежом, T могут быть признаны легитимными в России по закону», — заявил Алексей Лукацкий, советник по безопасности компании CISCO. «Согласно требованиям ФСБ, разработчик криптографического решения должен находиться в России и иметь лицензию ФСБ, что невыполнимо для иностранных компаний».

Еще одна проблема заключается в том, что российская сертификация может привести к отсечению блокчейн-проектов от мирового сообщества разработчиков.

«Нет и T будет платформ, на которых можно было бы встроить российскую криптографию и KEEP при этом полную техническую поддержку», — рассказал инженер CryptoPRO Дмитрий Пичулин CoinDesk.

В настоящее время большинство блокчейн-решений основаны на алгоритмах хеширования, созданных на основе расширенного стандарта шифрования, или AES, установленного Национальным институтом стандартов и Технологии США.

Для международно признанных стандартов существует множество библиотек, которые могут использовать разработчики, в то время как для национальных стандартов существует меньше возможностей для свободного развития. Библиотеки для ГОСТ найти сложнее, говорит эксперт по кибербезопасности Сергей Прилуцкий.

Например, для языка Go, который используется для сборки на Hyperledger Fabric, нет библиотеки ГОСТ, сказал Прилуцкий. «Поэтому разработчикам приходится переносить [свой код] с C++ на Go. Но в этом случае есть опасность внести в систему серьезные уязвимости», — добавил он.

Кроме того, сам алгоритм Криптo ГОСТ был воспринят мировым криптографическим сообществом с опасением. Когда алгоритм, названный «Кузнечик» («кузнечик» по-русски), был представлен Международной организации по стандартизации (ИСО) прошлым летом, он получил холодный прием, вице-президент сообщили, так как эксперты из других стран обнаружили потенциальные уязвимости в шифре.

По словам французского криптографа Паскаля Пайе, исследование показало, что «российские стандарты могут содержать нечто LOOKS на бэкдор, который, если подтвердится, позволит России нарушить конфиденциальность коммуникаций», — сказал он в интервью Vice.

Ткани больше нет?

Блокчейн-продукты с иностранными корнями могут быть вытеснены с российского рынка. Возьмем, к примеру, Hyperledger Fabric от IBM. Hyperledger был самой популярной платформой для корпоративного блокчейна, и такие гиганты, как РЖД, Сбербанк и Газпромнефть, использовали его в качестве платформы выбора для проверки концепций блокчейна. Но, возможно, уже нет.

Раньше существовал способ встроить криптографию ГОСТ в Fabric без ее разветвления, то есть без того, чтобы она была несовместима с основным кодом ветки, с помощью плагинов, а КриптоПРО дажесозданныйнекоторые для использования российскими компаниями. Однако, самая последняя версия Fabric,выпущенныйконец января, больше не поддерживает плагины.

Читать дальше: Познакомьтесь с российским олигархом, запускающим Криптo токен, обеспеченный металлом

Инженер IBM Крис Феррис, который является председателем технического руководящего комитета Hyperledger, сообщил через своего представителя, что все еще возможно встроить альтернативную криптографию, но «это потребует перекомпиляции двоичных файлов». Что касается плагинов, то их поддержка «не была устойчивой и требовала значительных обходных путей для управления зависимостями», добавил Феррис.

У российских разработчиков также есть возможность найти способ безопасно встроить криптографию ГОСТ в Fabric и обеспечить качественную техническую поддержку и регулярные обновления кода, по сути заменив сообщество Hyperledger.

Некоторые компании уже работают над коммерческими форками Hyperledger Fabric. ONE из них — CryptoPRO, которая уже добавленего ответвленная версия под названием CryptoPRO HLF 1.0 была внесена в национальный реестр программного обеспечения.

Пичулин говорит, что это пока не коммерческий продукт, но он может ONE стать. «Спрос есть, техническая поддержка и обновления — в наших планах».

Тем не менее, проблема сертификации в сочетании с российским законодательством, требующим, чтобы все данные россиян хранились внутри страны, могут еще больше изолировать Россию от мирового рынка Технологии .

По словам Прилуцкого, криптографические элементы глубоко укоренены в CORE любого продукта, что делает системы, основанные на разных стандартах, несовместимыми.

Он добавил:

«Открытые решения на основе западных [криптографических] стандартов, доступные в сотнях стран, T могут быть использованы в России из-за требований сертификации, а блокчейны с российской криптографией не подходят для участников мирового рынка — им не доверяют».