Blockchain ve službách bezpečnosti

2. 11. 2019

Sdílet

 Autor: Adobe Stock
Blockchain má potenciál zlepšit šifrování a autentizaci, což by mohla být dobrá zpráva pro bezpečnost IoT a ochranu před útoky DDoS.

Blockchain je decentralizovaná, distribuovaná elektronická (účetní) kniha založená na modelu, který nabízí absolutní bezpečnost a důvěryhodnost.

Transakce se pomocí kryptografie zaznamenávají chronologicky a veřejně a každá je časově označena a spojena s předchozí. Tyto digitální „bloky“ lze zaktualizovat jen na základě dohody všech účastníků, přičemž zachycení, úprava a vymazání dat je téměř nemožné.

Výsledkem je, že od proslulého Gartnerem definovaného „vrcholu cyklu humbuku (peak of the hype cycle)“, dosaženého v roce 2016, se blockchain stal dost významnou prioritou oborových lídrů, zejména v oblasti finančních služeb, energetiky a výroby.

Autentizace plateb bitcoinem je možná nejcitovanějším případem použití, ale tuto technologii lze využít i pro případy, jako jsou sítě pro distribuci obsahu a inteligentní rozvodné systémy.

 

Použití pro kyberbezpečnost

Blockchain má potenciál zlepšit vše – od integrity dat a digitálních identit až po zvýšení bezpečnosti zařízení IoT za účelem prevence útoků DDoS. Mohl by tedy být přínosem pro triádu důvěrnosti, integrity a dostupnosti (CIA – Confidentiality, Integrity, Availability) a nabízet lepší odolnost, šifrování, audit a transparentnost.

„Blockchain zaplňuje mezery, které jsme zanechali v důsledku nedostatku důvěryhodnosti a špatné implementace zabezpečení,“ uvádí Bill Buchanan, uznávaný počítačový vědec a profesor na Fakultě počítačů na univerzitě Edinburgh Napier.

„V roce 2018 musíme používat šifrování jako výchozí stav. V současné době nelze ověřit, zda nikdo nečetl e-mail, který vám byl zaslán, a že nebyl ani změněn. Často ani nelze ověřit odesílatele.“ 

„Pomocí metod blockchain můžeme řádně ověřit a podepsat své transakce,“ uvádí Buchanan. „Přestože existuje kolem kryptoměn určitý humbuk, dokáže implementace metod blockchainu ve skutečnosti vytvořit důvěryhodnější infrastrukturu pro naše digitální služby.“

Nejdůležitější uplatnění bude podle Buchanana transformace veřejného sektoru a vytvoření infrastruktury více zaměřené na občany. Umožní to občanům vlastnit svou vlastní identitu a poté ověřit každou transakci.

„Mohli bychom schválit prvky našich veřejných služeb, jako jsou například vyplácení příspěvků, používání inteligentních smluv a podepsaných prohlášení,“ tvrdí Buchanan. 

Níže uvádíme případy použití blockchainu pro zabezpečení v reálném světě.

 

1. Zabezpečení hraničních zařízení pomocí autentizace

Jak IT přesouvají svou pozornost k údajně „inteligentním“ hraničním zařízením s daty a konektivitou, dochází k tomu i u zabezpečení.

Koneckonců rozšíření sítě může být dobré pro IT efektivitu, produktivitu a spotřebu energie (tj. dobré pro zdroje cloudu a datových center), ale představuje to bezpečnostní výzvu pro ředitele zabezpečení informací, ředitele IT a širší firemní sféru.

Mnoho z nich následně hledá způsoby, jak používat blockchain k zabezpečení zařízení IoT a průmyslových zařízení IoT (IioT), protože tato technologie posiluje autentizaci, zlepšuje distribuci a toky dat a pomáhá při správě záznamů.

Například start-up Xage Security, založený koncem loňského roku, tvrdí, že jeho technologická platforma využívající blockchain je odolná vůči neoprávněným změnám a umí zajišťovat distribuci privátních dat a autentizaci pro celé sítě zařízení.

Dále tato firma tvrdí, že podporuje jakoukoli komunikaci, může pracovat na hranici s nepravidelnou konektivitou a zabezpečovat nesčetné množství různých průmyslových systémů.

Společnost tvrdí, že už spolupracuje s firmou ABB Wireless na projektech napájení a automatizace, které vyžadují distribuované zabezpečení, a také se společností Dell na zajišťování bezpečnostních služeb pro platformy Dell IoT Gateway a EdgeX pro energetický průmysl.

Mezitím jako další příklad z reálného světa použila vláda ostrova Man ve Velké Británii jinou cestu. Testuje technologii blockchain, aby se zjistilo, zda dokáže zabránit kompromitaci zařízení IoT (podepisováním unikátních identit fyzických položek k potvrzení autenticity).

Tato vylepšení jsou také integrována na úrovni čipových sad. Start-up Filament nedávno oznámil nový čip navržený tak, aby umožnil průmyslovým zařízením IoT pracovat s několika technologiemi blockchain.

Myšlenka stojící za čipem Blocklet spočívá v kódování dat senzorů IoT přímo do blockchainu s cílem „poskytnout bezpečný základ pro decentralizovanou interakci a výměnu“.

 

2. Zlepšená důvěrnost a integrita dat

Přestože byl Blockchain původně vytvořen bez specifického řízení přístupu (v důsledku veřejné distribuce), některé jeho implementace nyní řeší potřebu důvěrnosti dat a řízení přístupu.

Je to evidentní kritická potřeba ve věku, kde se mohou data snadno zmanipulovat či falšovat. Úplné šifrování dat blockchain zaručuje, že tato data nebudou během přenosu přístupná neoprávněným stranám (velmi malá či žádná příležitost pro útoky MITM – člověk uprostřed).

Tato integrita dat se rozšiřuje na zařízení IoT a IIoT. Například IBM poskytuje pro svou platformu Watson IoT možnost spravovat data IoT v soukromé účetní knize blockchain, která je integrována do cloudových služeb Big Blue.

Služba Blockchain Data Integrity od Ericssonu zase poskytuje plně auditovatelná, kompatibilní a důvěryhodná data pro vývojáře aplikací, kteří pracují na platformě Predix PaaS společnosti GE.

 

3. Zabezpečení soukromých zpráv

Start-upy jako Obsidian používají blockchain k zabezpečení soukromých informací zasílaných v rámci chatů, aplikací pro předávání zpráv a sociálních médií.

Na rozdíl od komplexního šifrování používaného službami, jako jsou WhatsApp a iMessage, používá messenger firmy Obsidian blockchain k zabezpečení metadat uživatelů. Ti tak nepotřebují použít e-mail ani žádnou jinou metodu autentizace, aby mohli messenger používat.

Metadata se náhodně distribuují v rámci celé účetní knihy, a proto je není možné získat z jednoho bodu, který by mohl být zkompromitován.

Jiný příklad – inženýři agentury DARPA (Defense Advanced Research Projects Agency) prý experimentují s technologií blockchain za účelem vytvořit službu pro zasílání zpráv, která je bezpečná a neproniknutelná vůči cizím útokům.

Technologie Blockchain zakořeněná v zabezpečené autentizované komunikaci dává naději na dozrání této oblasti v blízké budoucnosti.

 

4. Posílení, nebo dokonce náhrada PKI

Infrastruktura veřejných klíčů (PKI) je kryptografie s veřejným klíčem, která zabezpečuje e-maily, aplikace pro zasílání zpráv, weby a další formy komunikace.

Většina implementací však spoléhá na centralizovanou certifikační autoritu (CA) třetí strany, která vydává, odvolává a ukládá páry klíčů, na něž se mohou zločinci zaměřit, aby zkompromitovali šifrovanou komunikaci a zfalšovali identity.

Publikování klíčů pomocí blockchainu by teoreticky vyloučilo riziko šíření falešných klíčů a umožnilo aplikacím ověřit identitu lidí, se kterými by komunikace probíhala.

CertCoin je jednaou z prvních implementací PKI využívajících blockchain. Projekt zcela odstraňuje centrální autority a využívá blockchain jako distribuovanou účetní knihu domén a jejich veřejných klíčů. Navíc CertCoin poskytuje veřejnou a auditovatelnou infrastrukturu PKI, která také nemá jediný bod selhání.

Start-up REMME přiděluje každému zařízení vlastní certifikát SSL založený na blockchainu, který útočníkům znemožňuje falšovat certifikáty.

Další je společnost Pomcor zaměřená na výzkum technologií, která publikovala projekt PKI založený na blockchainu – využívá blockchain k ukládání hašů vydaných a odvolaných certifikátů (přestože je v tomto případě stále nutná certifikační autorita).

Je dokonce možné, že lze PKI zcela nahradit. Snaží se o to estonský start-up Guardtime zaměřený na zabezpečení dat. Tato firma používá blockchain k vytvoření bezklíčové podpisové infrastruktury (KLI – Keyless Signature Infrastructure), což má být náhrada za PKI.

Guardtime se rozrostl na „největší světovou společnost zabývající se technologií blockchain – posuzováno podle obratu, počtu zaměstnanců a skutečných zákazníků“ – a zabezpečila pomocí této technologie cca milion zdravotních záznamů v Estonsku.

„V současné době se spoléháme při vytváření naší důvěryhodné infrastruktury na PKI, ale to je často defektní, zejména když kyberzločinci nyní vytvářejí vlastní digitální certifikáty,“ varuje Buchanan.

„Pomocí metod blockchainu lze podepisovat transakce využívající identity vytvořené samotnými občany,“ dodává Buchanan.

5. Bezpečnější DNS

Botnet Mirai ukázal, jak je pro zločince snadné kompromitovat klíčovou internetovou infrastrukturu. Útokem na poskytovatele služeb DNS (Domain Name System) pro většinu významných webů útočníci dokázali odříznout přístup ke službám Twitter, Netflix, PayPal a dalším.

Použití technologie blockchainu k ukládání záznamů DNS by teoreticky mohlo zlepšit zabezpečení odstraněním jediného napadnutelného cíle.

Nebulis je nový projekt, který zkoumá koncept distribuované služby DNS, jež by hypoteticky nikdy nemohla selhat v důsledku záplavy žádostí o přístup. Nebulis využívá k registraci a překladu názvů domén blockchain Ethereum a IPFS (Interplanetary Filesystem – meziplanetární souborový systém), distribuovanou alternativu k protokolu HTTP.

„V jádru internetu existují klíčové služby, jako je DNS, které umožňují rozsáhlé výpadky a také útoky na organizace,“ upozorňuje Buchanan. „Proto by důvěryhodnější infrastruktura DNS, využívající blockchain, výrazně podpořila základní infrastrukturu internetu.“

 

6. Omezení útoků DDoS

Start-up Gladius uvádí, že jeho decentralizovaný systém účetních knih pomáhá chránit před útoky distribuovaného odepření služby (DDoS), což je významné tvrzení, když útoky přesahují 100 Gb/s.

Tato firma prohlašuje, že její decentralizovaná řešení mohou chránit před takovými útoky tím, že „vám umožňují připojení ke chráněným sdíleným prostředkům poblíž vás za účelem lepší ochrany a zrychlení vašeho obsahu“.

Zajímavé je, že Gladius tvrdí, že tato decentralizovaná síť dovoluje uživatelům pronajmout si volnou šířku pásma za peníze navíc, přičemž tato nadbytečná šířka pásma „se rozděluje na uzly, které přivádějí šířku pásma k webovým stránkám napadeným útokem DDoS, aby se zajistilo, že budou stále přístupné“.

Gladius také uvádí, že v méně rušném čase (bez útoků DDoS) jeho síť „urychluje přístup k internetu tím, že funguje jako síť pro doručování obsahu“.

 

Blockchain není všelékem

Blockchain však přesto není všelékem, počínaje technickou složitostí a řadou systémů až po realizaci tak nemůže zaručit 100 % bezpečnost. Buchanan má starosti o aspekty, jako jsou limity použitelné rychlosti transakcí a „napětí ohledně toho, zda by informace měly být uložené v rámci blockchainu, nebo mimo něj“.

„Rok 2018 by měl být rokem použití kryptografie pro všechna data a blockchain poskytne základnu, aby to bylo možné i mezi organizacemi,“ uvádí Buchanan.

Klíčovým úkolem bude odklon od zastaralých infrastruktur IT a jejich přestavba s využitím jádra vybudovaného kolem blockchainu. Základním prvkem bude vytvoření klíčových párů, s veřejným a privátním klíčem, pro identifikaci jednotlivců.

„Bohužel se naše infrastruktura pro vynucování práva stále zaměřuje na tradiční metody IT a posun směrem k blockchainu by znamenal zvýšené napětí mezi soukromím a právy společnosti chránit sebe sama,“ dodává Buchanan.

bitcoin_skoleni

 

Tento příspěvek vyšel v Security Worldu 1/2018. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.