Журнал "Information Security/ Информационная безопасность" #2, 2018

В случае если персональ- ные данные хранятся в общем реестре, то, очевид- ным образом, потребуется их шифрование, при этом возникают серьезные про- блемы, связанные с управ- лением ключами (например, ограниченным сроком дей- ствия сертификатов ключей электронной подписи) и контролем доступа пользо- вателей к данным. Отметим, что компрометация ключей вследствие потенциальной общедоступности реестра в данном случае является катастрофической для без- опасности персональных данных. мами первых поколений, таких как "Биткоин" и "Эфереум". Рассмотрим в качестве при- мера один из наиболее часто упоминаемых вариантов при- менения технологии блокчейн – сиcтемы, предназначенные для удаленной идентификации пользователей через операто- ра, проведшего первичную идентификацию. В случае если персональные данные хранятся в общем рее- стре, то, очевидным образом, потребуется их шифрование, при этом возникают серьезные проблемы, связанные с управ- лением ключами (например, ограниченным сроком действия сертификатов ключей электрон- ной подписи) и контролем досту- па пользователей к данным. Отметим, что компрометация ключей вследствие потенциаль- ной общедоступности реестра в данном случае является ката- строфической для безопасности персональных данных. Другой подход предполагает хранение персональных данных у операторов персональных дан- ных, которые, в свою очередь, заносят в блокчейн некоторый идентификатор, позволяющий проверить наличие таких дан- ных. При проверке персональ- ных данных клиента оператор вычисляет по ним соответствую- щий идентификатор и произво- дит поиск по базе с тем, чтобы проверить наличие идентифи- катора, внесенного оператором, проведшим первичную иденти- фикацию клиента. Традиционно для подобного решения в реестр записывает- ся хэш-значение от данных, хранящихся у пользователя, – это, с учетом свойств крипто- графических хэш-функций, поз- воляет с вероятностью, близкой к единице, однозначно иденти- фицировать данные. Однако применение подобного просто- го механизма в случае персо- нальных данных недопустимо. Поясним этот тезис подробнее. По своей природе персональ- ные данные, используемые в конкретных информационных системах, являются ограничен- ными по числу возможных вариантов записей (имя, фами- лия, адрес и т.д. из некоторого диапазона, определяемого областью применения систе- мы). При этом для того, чтобы проводить корректные сравне- ния, формат записей должен быть жестко структурирован. Это позволяет злоумышленни- ку, используя в том числе информацию из открытых баз данных, социальных сетей и т.п., пытаться определять пер- сональные данные в достаточ- но небольшом числе вариан- тов, проверяя корректность подбора с помощью значения хэш-функции, занесенного в реестр. При этом чем меньше максимальный размер реестра (например, муниципальная база данных), тем более эффективной будет атака в силу ограниченного объема допустимых значений. Именно поэтому ни ЕС в своем GDPR, ни Роскомнадзор не рассмат- ривают хэширование как метод обезличивания персональных данных. Показательно, что в этом при- мере требования к обезличи- ванию вступают в противоречие с одним из основных свойств блокчейна – наличием одно- значной связи между объектами (блоками, транзакциями, дан- ными). В других сферах применения технологии блокчейн ситуация может быть еще более сложной: так, например, предлагаемые рядом экспертов системы элек- тронного голосования с исполь- зованием технологии блокчейн подразумевают проведение серьезных исследований по оценке адекватности исполь- зуемых в них механизмов ано- нимизации данных в целях соблюдения требований Кон- ституции Российской Федера- ции о тайном голосовании (дру- гих требований национального и/или международного законо- дательства). Все сказанное требует как построения достаточно слож- ных архитектур блокчейн- систем, обрабатывающих пер- сональные данные, так и использования специфических криптографических механиз- мов: протоколов привязки к биту, протоколов доказатель- ства c нулевым разглашением, процедур управления и т.п. В этой связи интересно отметить, что в архитектуре разработан- ных в последнее время блок- чейн-систем, обрабатывающих, например, идентификационные данные пользователей (такие как Sovrin, uPort), в большин- стве случаев решения указан- ных проблем все равно вво- дятся некоторые "промежуточ- ные" операторы, работающие с персональными данными или с их идентификаторами, что потенциально сводит на нет декларируемые преимущества децентрализации. Немаловажным является и вопрос удаления из блокчейна информации по требованию суда (так называемое право на забвение). Несмотря на то что в настоящее время предложен ряд схем так называемого редактируемого блокчейна, для большинства систем подобное требование подразумевает перезапись всего реестра, начи- ная с первой указанной судом записи. И хотя с технологиче- ской точки зрения такая опера- ция не вызывает проблем, потребуется серьезная коопе- рация пользователей системы для обновления локальных копий реестра. По всей види- мости, для открытых блокчей- нов, когда пользователи нахо- дятся в разных юрисдикциях, подобная кооперация будет затруднительной. В заключение еще раз необходимо отметить вопрос открытости реестра. Проведен- ные к настоящему моменту исследования, а также ряд уже существующих коммерческих продуктов показывают прин- ципиальную возможность деа- нонимизации пользователей даже в анонимных/псевдоним- ных системах. Учитывая мно- жественные случаи грабежей пользователей криптовалют, это несет серьезные угрозы неприкосновенности частной жизни и ставит в том числе вопросы оценки безопасности используемых и разрабатывае- мых систем. l • 9 БЛОКЧЕЙН И КРИПТОВАЛЮТА www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru

RkJQdWJsaXNoZXIy Mzk4NzYw