Как Вы уже наверное поняли, мы не могли пройти мимо данной темы, хотя бы потому, что находясь на территории Красного Октября, мы буквально каждый день становимся свидетелями данной картины — накипело …
Итак по сути — что есть и чего хотелось бы ….
Сама по себе технология BlockChain или правильнее использовать понятие Распределенных Реестров — это собирательный термин, объединяющий как саму базу(ы) данных, содержащую сведения о владельцах, так и ряд технологий, включая Blockchain (цепочку блоков транзакций) и технологию распределенного реестра. Эта технология лежит в основе цифровых валют, например, Bitcoin. Именно этой сфере уделяется больше всего внимания, а в данный момент — идет «хайп».
Blockchain (технология распределенных реестров) считается эффективной, поскольку записи или транзакции в блоках этой базы данных, куда можно только добавлять новые записи, не могут быть изменены без редактирования предыдущих боков в цепочке. Новые блоки присоединяются к уже существующим и защищаются зашифрованной цифровой подписью, достоверность которой подтверждается глобальной вычислительной сетью. Изменение блока повлечет за собой недействительность всех связанных с ним блоков, и, поскольку создается множество копий этой базы данных или реестра, система сразу же определяет неавторизованные изменения.
Данная технология является естественным развитием уже существующих наработок. Например, первое массовое появление систем с распределенными вычисления произошло в 2005-2007 годах, когда стартовал проект Apache Nutch, потом в Yahoo! и позднее в Google были успешно реализованы прототипы данной системы для поисковых задач в интернете, названной Hadoop. Данная технология позволят вести вычисления на нескольких серверах(узлах) или кластере серверов одновременно, оптимально распределяя ресурсы при этом не допуская ошибок.
Технология BlockChain является поистине революционной, но нужно понимать ограничения и возможные ошибки применения данной системы. И возможно, как в свое время интернет изменил способы коммуникаций, технология Blockchain изменит наше понимание о ценности активов и поможет построить цифровые аналоги прав на активы, верификация которых будет обходиться без посредников.
В технологии распределенных реестров есть большие преимущества для упрощения и удешевления сложных процессов, где верифицируются документы одной организации или небольшого числа других, например:
- Юридические документы по корпоративным банковским сделкам;
- Проверка подлинности принадлежности акций, опционов и других ценных бумаг или администрирование новых типов ценных бумаг (это направление сейчас развивается в виде ICO);
- Работа нотариусов и проверка доверенностей (которые возможно сильно изменяться в будущем);
- Управление логистикой и системой поставок;
- Проверка подлинности банкнот;
- Проверка подлинности официальных документов, составление государственных справок и тд.
Сегодня первопроходцы пытаются найти практические применения данной системы для различных задач, но часто упускают существующие проблемы BlockChain.
Одной из часто упоминаемых задач, где ожидается революционный результат, является удаленная идентификация пользователей онлайн и создание надежной защиты от онлайн фрода. Нужно понимать, что решение задачи удаленной идентификации или предотвращения Identity Theft решит проблему онлайн фрода на 20-30%. Проведенное нами тестирование и feasibility study, показали, что решение задачи удаленной идентификации на основе технологии распределенных реестров столкнется с рядом важных проблем связанных с текущей формой технологии BlockChain:
- Проблема ложных данных. Сама по себе система BlockChain не проверяет подлинность данных, она скорее защищает имеющиеся данные от неавторизованных изменений. В этой ситуации, при изначальном внесении ложных данных, система будет защищать ложные данные. Это создает существенную уязвимость для модели «staff fraud». Предположим, создана система удаленной идентификации с использованием механизмов BlockChain. Допустим, в большом банке есть сотрудник, у которого есть 10 состоятельных клиентов и 10 друзей. В момент обновления или создания идентификационных параметров для клиентов, сотрудник приглашает своих друзей для внесения их параметров в качестве идентификаторов. После их внесения, система будет считать, что клиенты — это друзья сотрудника. Далее у сотрудника и его друзей появляется возможность устроить «чёс» по Банку и другим финансовым организациям в дистанционном формате;
- Взлом персональных кабинетов участников сети. Частые взломы кабинетов участников крипто-бирж показали, что эта проблема является одной из наиболее важных угроз;
- Синтетические счета. Тип атак, когда из разных BlockChain систем используются части верифицированных данных. Этот тип атак основывается на наличие у человека в среднем 5+ email адресов, 3+ банковских карты и больше 1 сим карты и их постоянные изменения невозможно учесть перманентно в одной системе. В ближайшем будущем будет сложно выстроить единую систем, которая будет контролировать все контактные данные, включая такие случаи, как создание фиктивных компаний на 30-50 человек, с корпоративной почтой, телефонами и т.д.
- Конкуренция за доступ к информации и к клиентам. Это формат косвенной атаки, когда есть единая система идентификации, распределенная между основными участниками рынка. Предположим, что после идентификации клиента банком А, он попадает в банк Б — в этом случае банку Б будет выгодно открыть как можно больше счетов для клиента для его переманивания из банка А. Эта ситуация приведет к том, что в данной системе будут регистрировать только новых клиентов, не верифицируя уже существующих;
- Себестоимость. Если сравнивать стоимость автоматической транзакции в централизованной системе и децентрализованной, ты разница может превышать 10-100 раз в пользу централизованной. Этот же аспект касается производительности систем;
- Низкий уровень hit rate. Для обеспечения устойчивой защиты от фрода при идентификации необходимый уровень нахождения идентификационных данных по онлайн пользователям составляет 95%+. Например, при размере онлайн аудитории в 100 млн человек, необходимо, чтобы их минимальный набор данных для идентификации (этот набор должен быть на практике существенно шире): паспортные данные, контактные данные и данные в социальных сетях был как минимум для 95 млн человек. Наборов по паспортным и контактным данным будет не достаточно, т.к. они, к сожалению, широко доступны в deep-net и в dark-net. На текущий момент если объединить данные социальных сетей, всех кредитных бюро и государственных услуг (самого большого источника паспортных данных), то итоговый уровень нахождения всех связанных данных не превысит 50-60%.
- 51% Attack. Это тип атаки, когда система контролирующая значительную часть узлов или майнинговых мощностей сети, может изменить значения ячеек или реестров в сети с большой вероятностью. На текущий момент, практически в каждой сети есть 2-3 игрока, мощности которых превышают 40%.
Первые из трех перечисленных проблем основаны на важном допущении: BlockChain система может контролировать выпуск и использование всех параметров идентификации только внутри самой системы и при одновременном создании. Четвертая проблема связана с тем, что BlockChain система является открытой и в ней нет конкуренции за доступ к информации — информационные реестры хранятся в большом числе узлов.
Помимо данных проблем, само по себе наличие системы, содержащей большой объем персональных данных с имеющимся выходом в открытой интернет приводит к считанному времени до его взлома и попаданию этих данных в сеть.
Потребность в системе удаленной идентификации однозначно высока. Скорее всего, данная система будет создана на основе централизованного подхода или на основе распределенных реестров для небольшого числа участников. При этом, в открытой части системы для пользователей, не будет самих персональных данных — возможно будут только их маски (например, вместо email@email.ru будет e***l@e***l.ru) или хэшированные данные. Данная система должна будет управляться независимым оператором или небольшим числом участников, которые не будут коммерчески заинтересованы в доступе к персональным данным, а будут заинтересованы в количестве пользователей. Возможно, с решением существующих проблем, мы увидим успешную реализацию данной задачи на основе BlockChain.
Учитывая темпы развития данного направления, возможности и потенциальные ошибки во внедрении данных технологий, хотелось бы увидеть более значимую роль основных финансовых институтов и государства в продвижении и обучении пользователей различным аспектам данных технологий.