Le FSB russe complique la vie des entreprises de blockchain

À emporter:

• Les solutions blockchain d'entreprise en Russie doivent obtenir la certification de leurs éléments cryptographiques auprès du FSB, l'agence de contre-espionnage.
• Le processus peut prendre plusieurs années et coûter jusqu’à 100 000 $.
• Certaines blockchains développées à l'étranger ne peuvent T satisfaire à cette exigence sans un fork.
• Les systèmes fabriqués en Russie pourraient finir par être isolés du marché mondial en raison de la méfiance envers les normes de cryptographie du gouvernement russe.

La Technologies blockchain a été créée pour être sans frontières. Mais dans le monde réel, les frontières imposent encore des limites à cette Technologies.

En Russie, tout ce qui touche à la cryptographie est placé sous la supervision du Service fédéral de sécurité (FSB), successeur du KGB. Le FSB dispose d'un processus de certification pour les entreprises blockchain, qui peut coûter plus de 100 000 dollars et prendre plus d'un an, selon les experts du marché russe de la blockchain d'entreprise.

L'année dernière, la Fintech Association, un consortium dirigé par la Banque de Russie,signaléObtention de la certification pour Masterchain, sa blockchain destinée aux banques. Le processus a duré environ trois ans, et l'histoire n'est pas terminée.

Sur le même sujet : « Déçue » par la blockchain de la Banque centrale, la plus grande banque russe envisage des alternatives

La Fintech Association travaille actuellement à l'obtention d'une nouvelle certification du FSB, cette fois pour un produit spécifique sur Masterchain. À l'avenir, toute nouvelle itération et implémentation du code utilisant des éléments cryptographiques devra suivre ce processus.

D'autres projets de blockchain d'entreprise russes, notamment WAVES et Exonum de Bitfury, travaillent également encore à obtenir leur certification – et ils pourraient également avoir besoin de plus d'un an.

Le processus de certification du FSB remet en cause le caractère transfrontalier de la Technologies blockchain de deux manières. À l'échelle mondiale, la Russie tente d'obtenir de la communauté cryptographique qu'elle accepte son algorithme de chiffrement comme norme. À l'intérieur du pays, l'industrie blockchain tente de déterminer l'avenir d'un produit que les partenaires étrangers pourraient hésiter à adopter.

Non officiel doit

Bien qu'aucune loi n'impose explicitement aux entreprises blockchain d'être certifiées par le FSB, elles sont fortement incitées à le faire. Premièrement, selon les autorités russesloi, les documents signés électroniquement doivent utiliser des signatures électroniques certifiées par l'État pour être des documents juridiquement contraignants.

« S'agissant de services financiers, la certification est indispensable, sans quoi les transactions entre les participants [au système blockchain] T aucune valeur juridique. La signature numérique doit être intégrée au système blockchain », a expliqué Anatoly Konkin, responsable de la DLT à la Fintech Association.

La certification pourrait également aider à convaincre les gros clients, en particulier les agences gouvernementales en Russie, que le système que vous construisez est sécurisé, déclare Ivan Maslov, responsable du développement de Bitfury en Russie.

Sur le même sujet : WAVES et la tâche délicate d'être une marque Crypto russe

« Si vous créez un système pour un organisme gouvernemental, il doit être certifié », a déclaré Maslov.

« C’est un avantage concurrentiel supplémentaire pour les fournisseurs [de blockchain d’entreprise], qui leur permet de promettre que le système satisfera à toutes les exigences de sécurité », a déclaré Dmitri Plakhov, chef du comité technique du Centre pour la technologie des registres distribués de l’Université d’État de Saint-Pétersbourg.

La situation n'est pas propre à la Russie, note Sasha Ivanov, PDG de WAVES: « L'utilisation de la cryptographie locale pour les projets de blockchain au niveau gouvernemental est une réalité à laquelle nous devrons faire face, qu'il s'agisse de projets russes, chinois ou occidentaux. »

Le processus de certification en Europe, ajoute-t-il, pourrait prendre moins de temps qu'en Russie, mais le principe est le même.

norme russe

Pour les entreprises blockchain, le processus de certification FSB pose toutefois des défis particuliers. La Technologies blockchain est censée être un système transparent, agile et vérifiable, mais la certification de modules cryptographiques soulève des questions de transparence et de fiabilité.

Le moyen le plus simple de se conformer aux exigences du FSB est d'utiliser une solution proposée par un fournisseur agréé. Cependant, le code de ces solutions n'est pas open source et ne peut être audité. Ce n'est pas obligatoire, et Masterchain, par exemple, utilise ses propres éléments de cryptographie, a précisé Konkin. Cependant, Crypto PRO, une société agréée par le FSB, a supervisé l'intégralité du développement de Masterchain.

CryptoPRO est également ONEun des fournisseurs agréés de solutions de cryptographie GOST (GOvernment STandard) certifiées par le FSB.

Maslov de Bitfury explique que pour rendre Exonum compatible avec les exigences des organismes gouvernementaux russes avec lesquels l'entreprise travaille, Bitfury a utilisé un logiciel développé par ONEun des fournisseurs certifiés par le FSB. Ce logiciel est responsable du chiffrement des données, du hachage et de la sécurisation des canaux de connexion des nœuds, a précisé Maslov, mais il appartient à l'architecte blockchain de décider des fonctions à utiliser.

Le processus est loin d'être transparent. Lorsqu'une entreprise reçoit un document du FSB attestant que son produit est désormais certifié, la majeure partie de ce document est classifiée.

Si la solution blockchain est open source, sa version certifiée ne le sera T . Par exemple, la version certifiée d'Exonum de Bitfury ne sera pas open source, même si Exonum lui-même l'est, a déclaré Maslov. « Le code ouvert ne peut pas être certifié. Il faut certifier une certaine version, mais si quelqu'un peut la modifier en un clic, c'est difficile à contrôler », ajoute-t-il.

Sur le même sujet : Moscou envisage de recruter Kaspersky pour développer une blockchain de vote avec le logiciel Bitfury

De plus, le processus de certification est compliqué par la nécessité de vérifier non seulement le code, mais aussi ses implémentations. Bien que Masterchain soit déjà certifiée en tant que plateforme, elle a dû obtenir un certificat distinct pour chaque application qu'elle développe, a expliqué Konkin. Pour ONEune de ces applications, qui stocke obligations hypothécaires numériquesLa certification est déjà terminée. En revanche, pour un autre ONE, celui de lettre de crédit interbancaire, le processus est toujours en cours.

La certification concerne chaque élément de l'architecture blockchain. Artem Kalikhov, directeur produit chez Wave Enterprise, a expliqué que le processus de certification implique l'examen approfondi de l'architecture blockchain dans son intégralité. Cela inclut « non seulement l'utilisation des fonctions cryptographiques, mais aussi la sécurité des informations et l'exactitude de l'algorithme de consensus. Différents modèles de menaces pour le système doivent être étudiés. »

La tâche est encore compliquée par le fait que le FSB n'a T traité de systèmes blockchain auparavant, à l'exception de Masterchain, et qu'il doit se confronter aux nouveaux concepts de l'architecture blockchain.

« Maintenant, ils s’intéressent à la blockchain, au consensus et aux contrats intelligents », a déclaré Kalikhov.

Le processus de certification mobilise des ressources importantes pour l'entreprise. Normalement, deux personnes ou plus y travaillent à temps plein, rédigeant les documents techniques et communiquant avec le FSB, a expliqué Maslov. Le produit en cours de certification est gelé pendant la durée de la certification, et toute mise à jour doit être soumise à un nouveau processus, a-t-il précisé.

Un jeu d'algorithmes

La certification FSB exige que les entreprises internationales de blockchain utilisent les normes russes, mais ces normes russes pourraient être considérées avec suspicion à l'étranger.

Historiquement, la Russie a conservé sa propre norme cryptographique, appelée GOST, tout comme la Chine, en restant à l'écart du marché mondial des solutions cryptographiques et en ne faisant pas confiance aux étrangers pour leur vendre des outils de cryptage.

Cette stratégie a été confirmée par des histoires telles que celle de Crypto AG, un fabricant suisse de machines à code, qui s'est avéré être contrôlé par la NSA pendant des décennies et a vendu des machines compromises dans le monde entier, comme l'a rapporté le Washington Post. signalé.

Le processus de certification rend également plus difficile la réussite des projets mondiaux de blockchain en Russie.

« Les algorithmes cryptographiques créés à l'étranger T peuvent être reconnus comme légitimes en Russie par la loi », a déclaré Alexey Lukatsky, conseiller en sécurité chez CISCO. « Selon les exigences du FSB, un développeur de solutions cryptographiques doit être basé en Russie et détenir une licence du FSB, ce qui est impossible pour les entreprises étrangères. »

Un autre problème est que la certification russe pourrait entraîner l’exclusion des projets blockchain de la communauté mondiale des développeurs.

« Il n'existe pas de plateformes, et il T en aura pas, sur lesquelles vous pouvez intégrer la cryptographie russe et KEEP le support technique complet disponible auparavant », a déclaré l'ingénieur de CryptoPRO, Dmitri Pichulin, à CoinDesk.

Actuellement, la plupart des solutions blockchain sont basées sur des algorithmes de hachage basés sur la norme de cryptage avancé, ou AES, établie par le National Institute of Standards and Technologies des États-Unis.

Pour les normes internationalement reconnues, il existe de nombreuses bibliothèques accessibles aux développeurs, tandis que pour les normes nationales, les possibilités de développement libre sont plus limitées. Les bibliothèques pour GOST sont plus difficiles à trouver, explique Sergey Prilutsky, expert en cybersécurité.

Par exemple, il n'existe pas de bibliothèque GOST pour le langage Go, utilisé pour développer Hyperledger Fabric, a expliqué Prilutsky. « Les développeurs doivent donc transférer [leur code] du C++ vers Go. Mais dans ce cas, il existe un risque d'introduire de graves vulnérabilités dans un système », a-t-il ajouté.

De plus, l'algorithme Crypto GOST lui-même a suscité une certaine appréhension au sein de la communauté cryptographique mondiale. Lorsque cet algorithme, baptisé Kuznyechik (« sauterelle » en russe), a été présenté à l'Organisation internationale de normalisation (ISO) l'été dernier, il a reçu un accueil mitigé. signalé, car les experts d’autres pays ont découvert des vulnérabilités potentielles dans le chiffrement.

Selon le cryptographe français Pascal Paillier, les recherches ont montré que « les normes russes pourraient contenir ce qui LOOKS à une porte dérobée, qui, si elle était confirmée, permettrait à la Russie de pouvoir briser la confidentialité des communications », a-t-il déclaré à Vice.

Plus de tissu ?

Les produits blockchain d'origine étrangère pourraient être évincés du marché russe. Prenons l'exemple d'Hyperledger Fabric d'IBM. Hyperledger a été le framework le plus populaire pour la blockchain d'entreprise, et des géants comme Russian Railways, Sberbank et Gazpromneft l'ont utilisé comme plateforme de prédilection pour les preuves de concept blockchain. Mais ce n'est peut-être plus le cas.

Auparavant, il existait un moyen d'intégrer la cryptographie GOST dans Fabric sans la forker – c'est-à-dire sans la rendre incompatible avec le code de la branche principale – en utilisant des plugins, et même CryptoPROcrééCertains sont destinés aux entreprises russes. Cependant, la version la plus récente de Fabric,libéréfin janvier, ne supporte plus les plugins.

Sur le même sujet : Découvrez l'oligarque russe qui lance un jeton Crypto adossé au métal

Chris Ferris, ingénieur chez IBM et président du comité directeur technique d'Hyperledger, a déclaré par l'intermédiaire d'un porte-parole qu'il était toujours possible d'intégrer une cryptographie alternative, mais que « cela nécessiterait une recompilation des binaires ». Quant aux plugins, leur prise en charge « n'était pas viable et nécessitait des solutions de contournement importantes pour gérer les dépendances », a ajouté M. Ferris.

Les développeurs russes ont également la possibilité de trouver un moyen d'intégrer en toute sécurité la cryptographie GOST dans Fabric et de fournir un support technique de qualité et des mises à jour de code régulières, remplaçant ainsi essentiellement la communauté Hyperledger.

Certaines entreprises travaillent déjà sur des versions commerciales d'Hyperledger Fabric. ONEune d'elles est CryptoPRO, qui a déjà été déployée. ajoutésa version bifurquée, nommée CryptoPRO HLF 1.0, au registre national des logiciels.

Ce n'est pas encore un produit commercial, explique Pichulin, mais cela pourrait le devenir. « La demande est là, et le support technique et les mises à jour sont à l'ordre du jour. »

Cependant, le défi de la certification, combiné à la loi russe exigeant que toutes les données russes soient stockées à l'intérieur du pays, pourrait isoler davantage la Russie du marché Technologies mondial.

Les éléments cryptographiques sont profondément ancrés dans le CORE de tout produit, ce qui rend les systèmes basés sur des normes différentes incompatibles, explique Prilutsky.

Il a ajouté :

« Les solutions open source basées sur les normes [cryptographiques] occidentales, disponibles dans des centaines de pays, ne peuvent T être utilisées en Russie en raison des exigences de certification, et les blockchains avec cryptographie russe sont vouées à l'échec pour les acteurs du marché mondial – elles ne sont pas fiables. »