ФСБ Росії ускладнює життя блокчейн-компаніям

Винос:

• Корпоративні блокчейн-рішення в Росії повинні пройти сертифікацію своїх криптографічних елементів у ФСБ, контррозвідувальному агенстві.
• Процес може тривати кілька років і може досягати 100 000 доларів США.
• Деякі блокчейни, розроблені за кордоном, T можуть задовольнити вимоги без форка.
• Системи російського виробництва можуть опинитися ізольованими від світового ринку через недовіру до російських урядових стандартів криптографії.

Технології блокчейн була створена, щоб бути без меж. Але в реальному світі кордони все ще обмежують цю Технології.

Все, що стосується криптографії в Росії, підпадає під нагляд Федеральної служби безпеки, або ФСБ, яка є спадкоємицею КДБ. ФСБ має процес сертифікації блокчейн-компаній, який може коштувати понад 100 000 доларів і тривати більше року, за словами експертів російського ринку корпоративних блокчейнів.

Минулого року Fintech Association, консорціум під керівництвом Банку Росії, повідомили отримання сертифікату для Masterchain, його блокчейн для банків. Процес зайняв близько трьох років, але це ще не кінець історії.

Читайте також: «Розчарований» блокчейном Центрального банку, найбільший банк Росії дивиться на альтернативи

Асоціація Fintech працює над отриманням ще одного сертифіката від FSB, цього разу для певного продукту на Masterchain. У майбутньому будь-яка нова ітерація та реалізація коду з використанням криптографічних елементів має проходити через цей процес.

Інші російські корпоративні блокчейн-проекти, включаючи WAVES і Exonum від Bitfury, також все ще працюють над отриманням сертифікації – і їм також може знадобитися більше року.

Процес сертифікації FSB двома способами кидає виклик безмежній функції Технології блокчейн. У всьому світі Росія намагається змусити криптографічну спільноту прийняти її алгоритм шифрування як стандарт. Усередині країни блокчейн-індустрія намагається з’ясувати, що робити з продуктом, який іноземні партнери можуть неохоче використовувати.

Неофіційний повинен

Хоча немає закону, який би прямо вказував, що блокчейн-компанії повинні бути сертифіковані FSB, компанії мають сильні стимули для цього. По-перше, за рос закон, документи, які підписані електронним способом, повинні мати державний сертифікований електронний підпис, щоб мати юридичну силу.

"Якщо ми говоримо про фінансові послуги, то сертифікація є обов'язковою, інакше транзакції між учасниками [блокчейн-системи] T матимуть жодного юридичного значення. А цифровий підпис має бути вбудований у систему блокчейну", - пояснив Анатолій Конкін, керівник DLT Fintech Association.

Сертифікація також може допомогти переконати великих клієнтів, зокрема державні органи в Росії, що система, яку ви створюєте, безпечна, говорить Іван Маслов, керівник відділу розвитку Bitfury в Росії.

Читайте також: WAVES і складне завдання бути російським Крипто

«Якщо ви створюєте систему для державного органу, вона повинна бути сертифікована», — сказав Маслов.

«Це додаткова конкурентна перевага для постачальників [корпоративних блокчейнів], яка дозволяє їм обіцяти, що система задовольнить усі вимоги безпеки», — сказав Дмитро Плахов, голова технічного комітету Center for Distributed Ledger Tech Санкт-Петербурзького державного університету.

Ситуація не є унікальною для Росії, зазначає Саша Іванов, генеральний директор WAVES: «Використання локальної криптографії для державних блокчейн-проектів — це реальність, з якою нам доведеться мати справу, будь то російські, китайські чи західні проекти».

Процес сертифікації в Європі, додає він, може займати менше часу, ніж у Росії, але принцип той самий.

Російський стандарт

Однак для блокчейн-компаній процес сертифікації FSB створює особливі труднощі. Технології блокчейн повинна бути прозорою, гнучкою системою, яка піддається перевірці, але наявність сертифікованих криптографічних модулів викликає сумніви щодо прозорості та надійності.

Найпростіший спосіб відповідати вимогам FSB — використовувати рішення від ліцензованого постачальника, але код таких рішень не є відкритим кодом і не підлягає перевірці. Це не є обов’язковим, і Masterchain, наприклад, використовує власні елементи криптографії, сказав Конкін. Однак компанія під назвою Крипто PRO, яка отримала ліцензію ФСБ, контролювала створення Masterchain.

КриптоПРО також є ONE із ліцензованих постачальників криптографічних рішень за ГОСТом (державним стандартом), сертифікованих FSB.

Маслов з Bitfury пояснює, що для забезпечення сумісності Exonum з вимогами російських державних органів, з якими працює компанія, Bitfury використовувало програмне забезпечення, створене ONE із сертифікованих ФСБ провайдерів. Програмне забезпечення відповідає за шифрування даних, хешування та захист каналів для підключення вузлів, сказав Маслов, але архітектор блокчейну вирішує, які функції слід використовувати.

Процес далеко не прозорий. Коли компанія отримує документ від ФСБ про те, що її продукція сертифікована, більша частина цього документа є засекреченою.

Якщо рішення блокчейну є відкритим кодом, його сертифікована версія T буде. Наприклад, сертифікована версія Exonum від Bitfury не буде відкритою, хоча сам Exonum є, сказав Маслов. "Відкритий код не може бути сертифікований. Вам потрібно сертифікувати певну його версію, але якщо хтось може змінити його ONE клацанням миші, це важко контролювати", - додає він.

Читайте також: Москва заявила, що найме Kaspersky для створення голосового блокчейну за допомогою програмного забезпечення Bitfury

Крім того, процес сертифікації ускладнюється необхідністю перевіряти не тільки код, а й його реалізацію. Незважаючи на те, що Masterchain вже була сертифікована як платформа, вона також повинна була отримати окремий сертифікат для кожного додатка, який вона створює на основі, сказав Конкін. Для ONE з цих програм, яка зберігає цифрові іпотечні облігації, сертифікація вже завершена. Але для іншого ONE, проекту міжбанківського акредитива, процес ще триває.

Сертифікація стосується кожної частини архітектури блокчейну. Артем Каліхов, директор із продуктів Wave Enterprise, пояснив, що процес сертифікації включає в себе ретельну перевірку всієї архітектури блокчейна. Це включає "не тільки використання криптографічних функцій, але й інформаційну безпеку, правильність алгоритму консенсусу. Потрібно вивчати різні моделі загроз для системи".

Завдання ще більше ускладнюється тим фактом, що FSB раніше T займалася блокчейн-системами, за винятком Masterchain, і їй доводиться боротися з новими концепціями архітектури блокчейну.

«Зараз вони з’ясовують блокчейн, консенсус, розумні контракти», — сказав Каліхов.

Процес сертифікації вимагає досить значних ресурсів компанії. Зазвичай двоє або більше людей в компанії повинні працювати над цим повний робочий день, пишучи технічні документи та спілкуючись із ФСБ, сказав Маслов. Продукт, який проходить сертифікацію, фактично заморожується на період сертифікації, і будь-які оновлення повинні пройти цей процес знову, сказав він.

Гра в алгоритми

Сертифікація ФСБ вимагає, щоб міжнародні блокчейн-компанії використовували російські стандарти, але за кордоном ці російські стандарти можуть сприймати з підозрою.

Історично Росія зберегла свій власний криптографічний стандарт, так званий ГОСТ, як і Китай, тримаючись подалі від світового ринку криптографічних рішень і не довіряючи іноземцям продавати їм засоби шифрування.

Ця стратегія була підтверджена такими історіями, як історія про Крипто AG, швейцарського виробника кодових машин, який десятиліттями контролювався АНБ і продавав скомпрометовані машини по всьому світу, як Washington Post. повідомили.

Процес сертифікації також ускладнює роботу глобальних блокчейн-проектів у Росії.

«Криптографічні алгоритми, створені за кордоном, T можуть бути визнані легітимними в Росії за законом», — сказав Олексій Лукацький, радник з безпеки CISCO. «Згідно з вимогами ФСБ, розробник криптографічного рішення повинен перебувати в Росії та мати ліцензію ФСБ, що неможливе для іноземних компаній».

Ще одна проблема полягає в тому, що російська сертифікація може призвести до того, що блокчейн-проекти будуть відрізані від світової спільноти розробників.

«Немає і T буде жодних платформ, на яких можна було б вбудувати російську криптографію та KEEP повну технічну підтримку», — сказав інженер CryptoPRO Дмитро Пічулін для CoinDesk.

Наразі більшість рішень блокчейну базуються на алгоритмах хешування, побудованих на розширеному стандарті шифрування або AES, встановленому Національним інститутом стандартів і Технології США.

Для міжнародно визнаних стандартів є кілька бібліотек, які розробники можуть використовувати, тоді як для національних стандартів є менше можливостей для вільного створення. Бібліотеки для ГОСТу знайти складніше, каже експерт з кібербезпеки Сергій Прилуцький.

Наприклад, немає бібліотеки ГОСТ для мови Go, яка використовується для створення на Hyperledger Fabric, сказав Прилуцький. "Тож розробникам доводиться переносити [свій код] із C++ на Go. Але в цьому випадку існує небезпека введення серйозних уразливостей у систему", – додав він.

Крім того, сам Крипто ГОСТ викликав побоювання у світовій криптографічній спільноті. Коли минулого літа алгоритм, названий Kuznyechik («коник» російською), був представлений Міжнародній організації зі стандартизації (ISO), він був прийнятий холодно, віце повідомили, оскільки експерти з інших країн виявили в шифрі потенційні вразливості.

За словами французького криптографа Паскаля Пайє, дослідження показало, що «російські стандарти можуть містити щось LOOKS на бекдор, який, якщо це підтвердиться, дозволить Росії порушити конфіденційність комунікацій», — сказав він Vice.

Немає більше тканини?

Блокчейн-продукти з іноземним корінням можуть бути витіснені з російського ринку. Візьмемо приклад Hyperledger Fabric від IBM. Hyperledger був найпопулярнішим фреймворком для корпоративного блокчейну, і такі гіганти, як «Російські залізниці», «Сбербанк» і «Газпромнефть», використовували його як платформу вибору для перевірки концепції блокчейну. Але, можливо, вже ні.

Раніше існував спосіб вбудувати криптографію GOST у Fabric без її розгалуження – тобто, не роблячи її несумісною з основним кодом гілки – за допомогою плагінів і навіть CryptoPRO створений деякі для використання російськими компаніями. Однак остання версія Fabric, звільнений кінець січня, більше не підтримує плагіни.

Читайте також: Зустрічайте, російський олігарх запускає Крипто із металевою підтримкою

Інженер IBM Кріс Ферріс, який є головою Технічного керівного комітету Hyperledger, сказав через представника, що все ще можливо створити альтернативну криптографію, але «це вимагатиме перекомпіляції двійкових файлів». Щодо плагінів, їхня підтримка «не була стабільною та потребувала значних обхідних шляхів для керування залежностями», додав Ферріс.

Також існує можливість для російських розробників знайти спосіб безпечно вбудувати криптографію GOST у Fabric і забезпечити якісну технічну підтримку та регулярні оновлення коду, по суті замінивши спільноту Hyperledger.

Деякі компанії вже працюють над комерційними форками Hyperledger Fabric. ONE із них є КриптоПРО, який вже додано його розгалужену версію під назвою CryptoPRO HLF 1.0 до національного реєстру програмного забезпечення.

Пічулін каже, що це ще не комерційний продукт, але може ONE стати. «Попит є, технічна підтримка й оновлення — на нашому порядку денному».

Тим не менш, проблема сертифікації в поєднанні з російським законом, який вимагає, щоб усі дані росіян зберігалися всередині країни, може ще більше ізолювати Росію від світового ринку Технології .

Криптографічні елементи глибоко вкорінені в CORE будь-якого продукту, що робить системи, засновані на різних стандартах, несумісними, каже Прилуцький.

Він додав:

«Рішення з відкритим вихідним кодом, засновані на західних [криптографічних] стандартах, доступні в сотнях країн, T можуть використовуватися в Росії через вимоги сертифікації, а блокчейни з російською криптографією не є стартом для гравців світового ринку — їм не довіряють».