Безопасен ли блокчейн для личной информации? Нам говорят, что блокчейн — это конфиденциально, безопасно и вообще круто. Мы в нём всё подписываем и шифруем. Но так ли всё круто, как поёт в одах блокчейну хайп? И, если мы кладем в блокчейн информацию, которую кто-либо не должен знать, то где гарантия что информация в безопасности, что завтра наш шифр не подберут и не получат к ней доступ?
Даже взглянув с примитивной точки зрения, что IT развивается неимоверными темпами можно предположить, что то, что сегодня безопасно — будет завтра взломано. Вы спросите, а как же сейчас: мы же везде (в IT-инфраструктуре) используем пароли для доступа, чем более важная (читай более «секретная») информация, тем сложнее пароль можно же придумать, что бы его сложнее было подобрать, а хэш и цифровая подпись — вершина эволюции криптографии? И будете… неправы!))
Во-первых не забывайте, что человечество регулярно покоряет всё новые и новые вершины в самых различных сферах. А во-вторых блокчейн в данном вопросе уязвим больше, чем классические варианты:
- Пароль в блокчейне (ваш приватный ключ или цифровая подпись) создается единожды, т.е. при любой его компрометации (использовали вы его на сайте-копии, его стащил троян или просто где-то засветили) доступ к данным будет навсегда открыт. В любой же классической системе пароль всегда можно заменить, более того там, где более важна конфиденциальность – система сама обязывает владельца менять пароли с определенной периодичностью!
- В блокчейне возможность подбора пароля не ограничивается количеством попыток и его подборка – лишь дело времени (в классическом же IT-варианте – всегда есть место гаранту, например серверу (почтовый сайт, банк он-лайн и т.д.). Когда сервер видит, что пароль пользователя подбирается, он может предпринять соответствующие меры (вывести капчу или задать секретный вопрос, просто заблокировать аккаунт до выяснения причин или потребовать подтверждения владения (например по телефону, другой почте и т.д.))
Эти два фактора: неизменяемость «пароля» и неограниченная возможность его подбора делают все данные блокчейна крайне уязвимыми (вопрос только в ресурсах, необходимых для их добычи).
Если информация лежит у третьих лиц (ответственных за её хранение, как то банки, гос.структуры, юридические конторы, медицинские учреждения, различные реестры и т.д.) и шифруются классическим методом, то во-первых способы шифрования информации будут обновляться в ногу со временем, т.к. каждая организация, хранящая наши личные (читай «секретные» данные) отвечает перед законом за их конфиденциальность (хотя бы теоретически), а во-вторых сам физический доступ к даже зашифрованной БД посторонних лиц будет затруднен.
В блокчейне с конфиденциальностью противоположная ситуация. Рано или поздно ваш блокчейн будет доступен третьим лицам и это лишь вопрос времени. Это как в криптографии – метод шифрования рано или поздно будет доступен всем, поэтому важно сохранить ключ шифрования, который в случае компрометации можно поменять. А в блокчейне ни удалить информацию, ни перекодировать уже нет никогда технической возможности.
А представьте, если ваша конфиденциальная информация стоит определенных материальных благ для третьих лиц? Сейчас эти третьи лица теоретически могут добыть её у «хранителей информации» (тех самых гарантов), но гаранты будут нести за утечку ответственность (репутационную, законодательную, материальную и т.д.), и это регулируется (извините) регулятором (будут проблемы с утечкой конфиденциальных данных усугубляться – будет повышаться ответственность и наказание, будет активизироваться и выявление таких случаев). Сложно купить, например, данные у налоговой о вашем конкуренте (нужно найти человека, который к ним имеет доступ, найти подход к этому человеку и в конце-концов оплатить его услуги). Это не только дорого, но и страшно, т.к. на любой стадии к вам могут прийти люди в погонах и, законно, отправить покорять сибирские просторы. А что будет если вы доверите эту информацию блокчейну? Третьим лицам нужно купить мощный компьютер, скачать блокчейн и тупо запустить переборку ключей. Вопрос лишь времени и денег! Вы добьетесь того же гораздо меньшими усилиями и не будете рисковать своей головой (даже если к июлю сего года в законодательстве будет прописано, что «ай-яй-яй – чужие блокчейны взламывать нельзя!» — что происходит на вашем личном компьютере отключенным от сети – никто никогда и никогда не узнает!)
P.S. И на десерт: если принять к сведению закон Мура*, то при приходе блокчейна в нашу жизнь домашние компьютеры будут иметь возможность подобрать любые ключи для информации, сохраненной в блокчейнах некоторое количество лет назад.
Т.е., например, сохранилась информация в блокчейн о том, что вы к какому-либо врачу ходили, а через 10 лет любой школьник об этом будет знать без каких-либо затрат ресурсов, подобрав пароль к этому блокчейну за 5 минут на домашнем компьютере (или через 20 лет на телефоне).
P.P.S. Я совершенно не против технологии блокчейн, даже наоборот, я считаю это, действительно, прорывной технологией! Но надо понимать, что как и любая технология она имеет лишь свой ограниченный круг применения, необходимо понимать её возможности и её уязвимости, а пихать (уж извините, другого слова не подобрать) её везде где только можно – НЕЛЬЗЯ!
* Несмотря на то, что Мур в 2007-м году заявил о том, что закон не будет скоро действовать из-за атомных ограничений, всё-равно вычислительные мощности растут с каждым годом и будут продолжать расти хотя бы благодаря увеличению количеству процессорных ядер в технике.
Автор: LomaevSV