Libra de Facebook carece de componentes fundamentales para la seguridad de las claves Cripto

Steven Sprague es ONE de los principales promotores de la industria en la aplicación de Tecnología informática confiable. Steven fue presidente y director ejecutivo de Wave Systems Corp. durante 14 años antes de incorporarse a la junta directiva.

Recientemente, Facebook lanzó Libra con el objetivo declarado de "transformar la economía global".

Es un objetivo ambicioso. Sin embargo, después de unrevisión de la documentación técnicaAl describir el protocolo Libra y su ecosistema planificado, creo que la empresa omitió los componentes fundamentales de la seguridad del usuario.

• Protección de la clave privada
• Prueba del consentimiento del usuario
• Cumplimiento descentralizado
• Privacidad global

Nuestro trabajo como líderes técnicos es brindar una visión y una arquitectura para integrar protecciones y evidencia reales en la experiencia del consumidor; para ofrecer un nuevo modelo de cumplimiento demostrable que reduzca costos y siente las bases para la automatización global.

El «Internet del Dinero» debe apoyar el objetivo principal de garantizar que todas las transacciones en la red Libra tengan un propósito, estén intencionadas y cumplan con las normas. Visualizo un futuro donde la calidad de la intención registrada para una transacción en línea sea tan sólida, si no superior, que la de las compras físicas en tiendas físicas.

El Internet del Dinero debe ser transfronterizo, abierto y global. Debe gestionar transacciones de todos y de todo tipo. Para que esto sea posible, será necesario formar grupos o comunidades en torno al cumplimiento y los controles requeridos. La prueba de la implementación de estos controles debe formar parte de cada instrucción enviada a una cadena de bloques y quedar registrada para siempre mediante los cálculos de la blockchain. Quienes necesiten saberlo podrán obtener la evidencia de cumplimiento.

El nuevo modelo de cumplimiento normativo del consumidor debería funcionar como un certificado médico actual. Un tercero de confianza analiza los datos de salud de mi hijo en tiempo real y proporciona un resultado de cumplimiento normativo a la escuela, lo que resulta en una ausencia justificada por enfermedad. Si las escuelas utilizaran el mismo modelo de cumplimiento normativo que internet, tendrían acceso directo en tiempo real a los datos médicos de los niños y usarían inteligencia artificial para decidir si su hijo debe quedarse en casa o no. El modelo descentralizado de permisos permite el florecimiento de un mercado global con Privacidad integrada.

Creo que el permiso en la cadena de bloques es un hash del manifiesto de controles ejecutados antes de enviar una instrucción a la cadena. El manifiesto es un árbol de Merkle de controles, que garantiza que cada paso sea demostrable únicamente con la evidencia del hash. La potencia del árbol de Merkle reduce la evidencia a tan solo unos pocos bytes, fácilmente empaquetados dentro de una transacción.

El manifiesto puede luego compartirse de forma segura con la parte receptora o con aquellos que necesitan conocer la evidencia completa de los controles requeridos.

Dinero global, cumplimiento basado en grupos

Independientemente de que Libra tenga éxito o no en su misión de proporcionar la “Internet del dinero”, la Criptomonedas representa la capacidad de tener dinero sin fronteras que pueda depender del cumplimiento basado en transacciones en tiempo real.

En última instancia, puede que solo haya unas pocas monedas globales con transacciones inmutables, pero habrá un número infinito de grupos creados en torno al cumplimiento en diferentes niveles, que establecerán redes virtuales comerciales transfronterizas globales diseñadas para realizar negocios seguros y demostrables en un mercado específico.

La Privacidad y la auditabilidad de las redes comerciales son importantes, y el «Internet del Dinero» debe proporcionar una plataforma abierta que satisfaga las necesidades de todos. El uso de una instrucción inteligente para proporcionar evidencia demostrable de identidad, cumplimiento normativo y controles ofrece un modelo flexible y escalable.

La evidencia de cumplimiento se puede compartir de forma segura.

Los controles descentralizados están en manos del propietario de la clave privada, ofreciendo múltiples servicios aislados para cumplir con los requisitos del mercado y regulatorios. Al separar los controles de identidad y el cumplimiento normativo, se proporciona al mercado la opción y la competencia necesarias para impulsar la innovación. Se sientan las bases para que la automatización y los sistemas basados en IA proporcionen monitoreo y cumplimiento normativo basado en evidencia, con menor necesidad de información personal identificable real o fuga de datos.

Los gobiernos y los reguladores seguirán manteniendo el acceso que necesitan para hacer cumplir las normas y los requisitos de presentación de informes vigentes.

¿Quién controla realmente tus llaves?

En el Criptomonedas, a veces podemos perder el rumbo. Para facilitar el uso de los servicios, almacenamos las claves del usuario en un servidor u otro sistema de almacenamiento centralizado para facilitar la experiencia.

Sin embargo, en el espíritu de innovación, creo que tenemos que desechar las viejas formas de protección al consumidor para revolucionar un sistema desesperadamente obsoleto.

Almacenar las claves localmente y crear oportunidades para que cualquier consumidor use múltiples dispositivos para realizar copias de seguridad, recuperar y afirmar sus claves es el primer paso hacia el progreso.

En la propuesta de Libra, lo que también me llamó la atención fue la falta de redundancia para el almacenamiento de la clave privada. Es nuestra responsabilidad minimizar los riesgos generados por la cadena de suministro. Para maximizar la protección del usuario, las claves privadas deben almacenarse y utilizarse de forma que se minimice el impacto de las fallas del subsistema de seguridad.

Creo que el consumidor requerirá múltiples protecciones redundantes para la clave privada.

Como ejemplo, Rivetz se ha asociado con Telefónica para desarrollar el programa C.L.I.P. que define y promueve un método de combinación criptográfica de múltiples elementos de hardware para ofrecer cadenas de suministro separadas para protecciones que se utilizan de forma cooperativa para asegurar la clave privada del consumidor.

Un llamado a la seguridad

El futuro es descentralizado y las tecnologías blockchain marcarán el comienzo del "Internet del Dinero". Los dispositivos seguros y la informática confiable brindarán a los usuarios la protección, el cumplimiento normativo, el control, la Privacidad y la libertad que necesitan para el futuro digital. Las comunidades privadas de cumplimiento normativo proporcionarán evidencia digital según sea necesario.

Como industria, espero que podamos unirnos para brindar verdadera protección al consumidor a cada ciudadano digital. La seguridad es invisible, y podemos ofrecer una experiencia más sencilla y segura para todos.

Sprague ha publicado un informe técnico completo sobre la seguridad de Libra y Calibra. Puede consultarse aquí.aquí.

Imagen de llavesvía Shutterstock