A kriptoadatvédelem legnagyobb hibái
Általánosságban elmondható, hogy a felhasználói adatvédelem ellentétes a nyilvános blokkláncok természetével. A nyilvános főkönyv működéséhez bizonyos tranzakciós adatokat meg kell osztani a node-okkal és a hálózat résztvevőivel. Az ilyen rendszerek gyors online üzembehelyezését egyszerűen úgy oldható meg, hogy alapértelmezés szerint mindent nyilvánossá tesznek.
Ez az átláthatóság azonban a felhasználók szempontjából kitettséget jelent a felügyeletnek, a kényszerítésnek és az olyan nem szándékolt következményeknek, mint a kereskedési jelek kiszivárgása. Ez kereskedelmileg életképtelen és a saját sorsunk meghatározásához való jogunkat rontja. A valódi önrendelkezés nem létezhet, ha a felhasználók nem rendelkeznek az adataik felett; az adatvédelem a felhasználók szabadságának visszaállításáról szól, hogy szabadon dönthessenek arról, mit tesznek és mit nem tesznek közzé a külvilág számára.
Íme hét végzetes hiba, amely a kriptoszektor adatvédelmi törekvéseit tönkreteszi:
1. Centralizált rendszerek
Egy decentralizált világban a központosítás lustaság. Egyszerűbb (gyorsabb és olcsóbb) egy főkönyvet egy bank belső SQL-adatbázisán futtatni, mint tranzakciókat küldeni még a legnagyobb teljesítményű blokkláncokon is.
A decentralizáció azonban egyenlő a rugalmassággal. Ez az oka annak, hogy a kriptovalutáknak piaci értéke van. Enélkül a felhasználók jobban járnának már inkább a központosított intézmények által kínált sebességgel és költségmegtakarítással.
Ez még fontosabb az adatvédelmi protokollok esetében, ahol a centralizáció azt jelenti, hogy a fejlesztők kiváltságos hozzáférést biztosítanak maguknak a felhasználók adataihoz.
A protokollok készítői soha nem adhatnak maguknak olyan admin kulcsokat, amelyekkel befagyaszthatják vagy deanonimizálhatják a felhasználókat.
Egy másik központosítási vektor a multi-sig küszöbértékek, különösen a nem biztonságos hidak megkerülésére törekvő protokollok esetében. Még ha „megfelelően” is van beállítva, egy 3/5-ös multi-sig vitathatatlanul rosszabb a bizalmi feltételezések tekintetében, mint bármelyik bank.
És ha a multi-sig nem megfelelően van beállítva….
2. A logolás iránti vágy
Az adatvédelmi eszközöknek minden intézkedést meg kell tenniük annak érdekében, hogy ne lehessen nyomon követni a felhasználói tevékenységet, különösen a személyazonosításra alkalmas adatokat, például az IP-címeket és a böngészési tevékenységet.
Az adatvédelmi protokollokat olyan mindenre kiterjedő filozófiával kell megtervezni, amely csak a pillanatnyi ítélőképesség hiányát használja fel a felhasználók deanonimizálására.
Például a Railway Wallet (amely integrált RAILGUN adatvédelmi technológiát tartalmaz) alapértelmezés szerint minden felhasználó számára proxyt biztosít az RPC-hívásokhoz, így még ha valaki nem is használ VPN-t (amit kellene ?), az IP-je nem szivárog ki az RPC-csomópontokhoz.
3. Titkosított állapot
Miért ne lehetne az egész rendszer privát? Csábító… de a teljesen titkosított állapot bizonyos szempontból ugyanolyan nem kívánatos, mint a teljesen nyilvános.
A titkosított állapot egy fekete dobozt hoz létre, ahol a felhasználók és a megfigyelők nem tudják, mit csinál a dApp. Megszünteti a blokkláncok legjelentősebb biztonsági jellemzőjét: a nyilvános ellenőrizhetőséget.
Ha a dApp privát, hogyan lehet ellenőrizni, hogy a gazdaság és a szereplők helyesen járnak-e el? Hogyan reagálsz megfelelően egy támadásra vagy rosszindulatú tevékenységre, ha nem tudod, hogy történt-e valami?
A felhasználói adatvédelem jó – és a protokoll átláthatósága is.
4. Függés az egyes gyártóktól
A „bizalommentesség” azt jelenti, hogy nem kell bíznod egy harmadik félben (azaz egy vállalatban, ügynökben vagy bankpénztárosban), hogy a protokoll működik. A zero knowledge alapú titkosítás erőssége, hogy kevesebb függőséget teremt, beleértve a gyártóktól való függőséget is.
Gondoljunk például arra, ha olyan adatvédelmi rendszert hoznak létre, amely az Intel által a CPU-ikba épített Software Guard Extensions-ra támaszkodik. A rendszer biztonsága egy potenciális egyetlen hibaponton múlik: azon, hogy az Intel helyesen implementálta-e a termékét.
Az Intelt arra ösztönzik, hogy megfelelően járjon el, de az SGX-re való támaszkodás állandó sebezhetőséget és szükségtelen bizalmi feltételezést teremt. Vannak a gatekeeping-by-design megfontolások is, mivel az SGX speciális hardvert igényel, amely viszonylag drága és nehezen karbantartható. Ezzel szemben a a proof-of-stake validátor egy Raspberry Pi-n is futtatható.
5. Szélhámoskodás
A kriptovaluták védelme egy meggyőző narratíva, de ez nem elég erős értékjavaslat ahhoz, hogy egy teljesen új blokklánc vagy rollup építését indokolja (kivéve, ha a speciális lánc szigorú technikai innovációt hoz).
Az adatvédelmi rendszerek akkor a leghatásosabbak, ha olyan láncokon állnak rendelkezésre, ahol felhasználók és pénzügyi tevékenység létezik. Jobb híján a DeFi az Ethereum, az EVM és néhány más környezet, például a Solana körül gyűlt össze. A Solidity a király, és ezért részesült a biztonsági kutatások előnyeiből.
Egy újszerű végrehajtási környezet felpörgetése és a fejlesztők és felhasználók elcsábítása időt és gyakran fenntarthatatlan ösztönzőket igényel. Eközben több milliárd dollárnyi érték már most is a nyilvános láncokon ül, amelyeknek kétségbeesetten szükségük van az adatvédelemre.
A dedikált adatvédelmi láncok további biztonsági kérdéseket is felvetnek, például a hidak igénybevételét – amelyekről újra és újra bebizonyosodott, hogy a blokklánchálózatok legkevésbé biztonságos elemei. További aggályok közé tartozik a konszenzus, az érvényesítés és a szekvenciák központosítása.
6. Fejlesztések komplexitása
A fejlesztőkről gyakran azt gondolják, hogy zsenik (és néhányan azok is). A kriptográfia azonban elég bonyolult ahhoz, hogy a fejlesztőket arra kényszerítsék, hogy megtanuljanak és használjanak egy saját nyelvet, eszköztárat vagy ökoszisztémát, ami szükségtelenül bonyolult és kontraproduktív.
Az olyan nyelveken, mint a Solidity vagy a Vyper programnyelveken írt szerződések áthordozhatóak az EVM-et támogató hálózatok között. A Rust és más WebAssembly láncok esetében ez nem így van. Mindegyiknek saját szabványai vannak a futásidőre vonatkozóan. A fejlesztők szempontjából ez azt jelenti, hogy minden lánc számára külön szerződéses kódbázisokat kell fenntartani, annak ellenére, hogy ugyanazt a nyelvet használják.
Ennek eredményeképpen a termék kevésbé hozzáférhető.
7. Éretlen technológia
A „Varázslatos internetpénz” egy valóban kiváló mém. A kriptofejlesztők azonban olyan pénzügyi technológiát építenek, amelynek valós következményei vannak, és valódi pénzt kezel.
Az adatvédelmi technológiának kettős feladata van: figyelembe kell vennie a „pénz valódiságát” és magát az „adatvédelmet” – azaz biztonságosnak kell lennie a pénzügyi kizsákmányolásokkal ÉS mindennel szemben, ami a felhasználókat deanonimizálhatja. A technológiával kapcsolatos jelentős mennyiségű tudományos kutatás nem véletlenül létezik.
Különösen az adatvédelmi technológiákat kell harcban tesztelni és átgondolni, a biztonsági cégek átfogó auditjaival, a személyes adatok védelmezőinek értékeléseivel, a fehér kalaposok által végzett penetrációs tesztekkel stb.
Máskülönben hogyan várhatjuk el az emberektől – különösen a remélt új, mainstream felhasználóktól -, hogy kockáztassák identitásukat és pénzüket egy komplex technológiai platformon?
Konklúzió
A nyilvános blokkláncok „dox-by-design” elvet követik. Nem könnyű feladat a láncon belüli adatvédelmi rendszereket kiépíteni, miközben meg kell őrizni azokat az okokat, amelyek miatt a kriptográfia használata egyáltalán indokolt, mint például az ellenőrizhetőség és a decentralizáció.
A kiválasztott adatvédelmi eszköz adatvédelmi szintjének értékeléséhez nagyszerű forrás a Web3 Privacy Now kezdeményezés, amely kategorizálta és pontozta a különböző kripto adatvédelmi eszközöket.