کاربر جدید هستید؟ ثبت نام کنید

ورود فقط با ip ایران و بدون فیلترشکن مجاز است


ورود

رمز ورود را فراموش کرده اید؟ X

قبلا ثبت نام کرده اید؟


ثبت نام

(close)

بلاکچین هنوز در ارائه‌ی محرمانگی ناموفق است

13
ارد
بلاکچین هنوز در ارائه‌ی محرمانگی ناموفق است
  • Author
    developer test
  • نظر ها
    0 Comments
  • Category

آیا فناوری بلاکچین به اندازه‌ی کافی ناشناس است؟ متخصصین نظرات متفاوتی دارند، چون برخی معتقدند که این فناوری انتظارات را برآورده نکرده است.

اولین بلاکچین بیش از 10 سال پیش راه‌اندازی شد و از آن موقع، از فقط زیرساختِ بیت‌کوین بودن، به یک پدیده‌ی فناوری در جهان بدل شده است. در برخی موارد نیز، دفترکل توزیع‌شده بیش از خود بیت‌کوین مطرح شده است. حتی بزرگ‌ترین منتقدین رمزارز از جمله دولت چین و جیمی دیمِن، از  جی‌پی مورگان چیس، نیز قابلیت‌های فناوری بلاکچین را پذیرفته‌اند. شرکت‌هایی به بزرگی مایکروسافت و اکسنچر (Accenture) نیز از آن برای برطرف کردن نیازهایشان استفاده می‌کنند.

اگرچه، می‌توان از دیدگاهی دیگر نیز فناوری بلاکچین را بررسی کرد. یکی از آنها بر اساس این فرضیه است که این فناوری در نواحی خاصی، که در آنها اختلال ایجاد می‌کرده، متوقف شده است. محرمانگی یکی از این حوزه‌هاست.

در باور عموم مردم، بیت‌‌کوین هنوز یک ارز دیجیتال است که به کاربران کمک می‌کند مخفی باقی بمانند. در واقعیت اما، بیشتر رمزارزهایی که براساس بلاکچین‌های عمومی هستند، ناشناسی کمی عرضه می‌کنند. در عین حال، پیگیری تراکنش‌های رمزارزها نیز برای مأموران قضایی ساده‌تر می‌شود. به همین دلیل، سطح محرمانگی‌ای که بلاکچین عرضه می‌کند، واقعاً چقدر است؟

مأمورین فدرال دیگر نمی‌ترسند

در 2012، که شروع کار بلاکچین و کریپتو بود، یک گزارش خصوصی FBI لو رفت که در آن به کارمندان امنیتی هشدار داده می‌شد که بیت‌کوین ابزاری را “برای ایجاد، انتقال، پولشویی و سرقتِ سرمایه‌های غیرقانونی با ناشناسی کمی” فراهم می‌کند. کلمه‌ی “کمی” اینجا کلیدی است، چون مطابق با وایت پیپر اصلی، “ریسک اصلی این است که اگر مالک یک کلید پیدا شود، این ارتباط می‌تواند تمام تراکنش‌های متعلق به آن مالک را فاش کند.” بنابراین، بیت‌کوین و بسیاری دیگر از رمزارزهای مبتنی بر بلاکچین عمومی، وابسته به نام مستعار هستند و کاملاً ناشناس نیستند. به عبارت دیگر، تنها سطح محدودی محرمانگی از سوی آنها ارائه می‌شود.

با گذشت زمان، مقامات کم‌کم موفق شدند مجرمینی را پیدا کنند که از بیت‌کوین برای مخفی کردن جرایم خود استفاده کرده بودند. یکی از مطرح‌ترینِ این موارد، دستگیری شهروند امریکایی راس اولبریکت، بود که بازار وب مشهورِ “سیلک‌رود” را اداره می‌کرد. ایلهون یوم، مأمور سابق FBI، در دوره‌ی محاکمه‌ی او در دادگاه گفت که توانسته بیش از 700,000 بیت‌کوین را از سیلک‌رود به کیف‌ پول‌های شخصی اولبریکت ارتباط دهد. ناگهان، دیگر خرید در دارک‌نت به کمک بیت‌کوین مطمئن به‌نظر نمی‌رسید.

اما ممکن است کسی بگوید که این سهم آدم بدهاست و شهروندان مطیع قانون دلیلی برای ترسیدن ندارند. احتمالاً مسئله همیشه این طور نیست، چون کاربران متوسط رمزارز نیز ممکن است برای مقامات جالب باشند. در 2018، کوین‌بیس، صرافی مطرح امریکایی به تقریباً 13,000 کاربر خود اطلاع داد که اطلاعات شخصی‌شان را به دستور IRS به ایالات متحده می‌دهد. این اطلاعات شامل شماره‌ی تأمین اجتماعی، نام، تاریخ تولد، آدرس و تاریخچه‌ی تراکنش‌ها از 2013-2015 بودند.

در 2018، محققین قطری مقاله‌ای را منتشر کردند که در آن گفته می‌شد چقدر شناسایی کاربران بی‌دقت از طریق تراکنش‌های بیت‌کوین چند سال پیش‌شان ساده است. حتی لازم نبود که مأمور اطلاعات باشی. آنها توانستند با جمع‌آوری هزاران آدرس عمومی بیت‌کوین و یافتنِ ارتباط مستقیم بین آنها و خدمات مخفی حساس به Tor مانند سیلک‌رود و پایرت‌بی، 125 کاربر جداگانه را به همراه اکانت‌های عمومی‌شان پیدا کنند.

نام مستعار کافی نیست

پاولو رادکوک، رئیس بخش امنیت Hacken به کوین‌تلگراف گفت: «بلاکچین‌های عمومی برای محرمانگی ساخته نشده‌اند». به گفته‌ی او Hacken “اکوسیستمی از هکرهای کلاه سفید است.” او توضیح داد که یک کاربر فعال بیت‌کوین یا اتریوم را می‌توان به روش‌های مختلف پیگیری کرد: «مثلاً اگر یک حساب (با کریپتو) چیزی را از یک وبسایت بخرد. حالا وبسایت، آدرس IP مرتبط با حساب، آدرس تحویل فیزیکی، نام گیرنده و … را دارد.»

قصان کرم، مدیر و محقق ارشد در گروه امنیتیِ آزمایشگاه‌هایNEC  اروپاست. او در مصاحبه‌ای با کوین‌تلگراف گفت که وقتی می‌خواهیم از هویت کسی مراقبت کنیم، نام مستعار “مسلماً کافی نیست.” او توضیح داد:

«مسئله‌ی اصلی در نام مستعار این است که پروفایل کاربر از جمله مبلغ تراکنش، عادت‌های خرید، زمان پرداخت‌ها و … را پنهان نمی‌کند. نام مستعار هم‌چنین ارتباط بین پروفایل کاربر و IP او را پنهان نمی‌کند. تمام این معضلات تعیین هویت کاربران را، در سیستم‌هایی که تنها به نام مستعار متکی هستند، به نسبت ساده‌تر می‌کنند.»

هارتج سانی، مدیرعامل و از بنیانگذاران سازمان امنیت سایبری Zokyo Labs است. او تصویری وخیم‌تر را وقتی ترسیم می‌کند که آدرس قربانی کافی است تا مجرمین به زور متوسل شده و آن چیزی را که می‌خواهند به‌دست آوردند: «یک سارق با کمی تلاش می‌تواند آدرس IPتان را به‌دست آورد، سری به خانه‌تان بزند و با استفاده از رمزنگاری Rubberhose کلیدهایتان را به‌دست آورد.»

کاترین تاکر، یک استاد مدیریت در MIT Sloan و از بنیانگذاران آزمایشگاه Cryptoeconomics است. او با اشاره به مقاله‌ی 2018 خود گفت: «ما باور نداریم که بلاکچین مزایای محرمانگی را، که برخی از حامیانش در ابتدا انتظارش را داشتند، داشته باشد.» او این مقاله را به کمک سوزان آتی، استاد اقتصاد دانشگاهِ بیزینس استنفرد و کریسشن کاتالینی، یکی دیگر از اساتید دانشگاه MIT نوشته است. کاتالینی در پروژه‌ی کالیبرای فیسبوک مشارکت می‌کند.

تاکر اضافه کرد که ویژگی عدم تغییرپذیری فناوری بلاکچین پیشامدهای محرمانگی عمده‌ای را به همراه دارد. او می‌گوید که اطلاعات حساس، مانند سوابق پزشکی، برای ذخیره شدن در یک بلاکچین مناسب نیستند. این برخلاف کاری است که بسیاری از استارت‌آپ‌های صنعت در حال انجام آن هستند:

«در نهایت، وقتی صحبت از محرمانگی اطلاعات می‌شود، من بیشتر نگران انواع داده‌ای می‌شوم که اگر در معرض عموم قرار بگیرد، از نظر اقتصادی پیامدهایی ماندگار برایم داشته باشد. مثل ژنوم، عامل‌های زیرین سلامتی‌ام، چیزهایی که نمی‌توانم تغییرشان دهم. نگران داده‌هایی نیستم که به یک تبلیغ‌کننده می‌گوید که من روزی به خرید یک جفت کفش نیاز دارم. این داده‌ها موقتی هستند. یعنی ممکن است فردا تغییر کنند و احتمالاً پیامدهای ماندگار ندارند. و تهدید بلاکچین این است ما داده‌هایی غیرقابل تغییر را ایجاد می‌کنیم و اصلاً انتظار نداریم این داده‌ها 10 سال بعد برای شخص چه پیامدهایی را به‌همراه دارند.»

اما این مسئله درباره‌ی بلاکچین‌های دارای مجوز چگونه است؟ بلاکچین‌هایی که تنها به احزاب و اعضای بازار مرتبط مجوز اعطاء می‌کنند. هَری هالپین، مدیرعامل میکس‌نت NYM Technologies به کوین‌تلگراف گفت: «مطمئن نیستم که بلاکچین دارای‌مجوز و دارای پایگاه داده مشکل تفاوت چندانی با هم داشته باشند.» او افزود: «همه‌ی اینها به اشخاصی بستگی دارد که به آن دسترسی دارند یا اینکه چه کسانی عضو آن هستند.» کرم توضیحات بیشتری داد و عنوان کرد که بلاکچین‌های دارای مجوز بیشتر به تحمل‌پذیری خطای بیزانس (BFT) یا خرابی (CFT) وابسته هستند. این موارد بیشتر از گواه اثبات کار یا گواه اثبات سهام مورد مطالعه قرار گرفته‌اند. او افزود:

«CFT، همان طور که از نامش پیداست، تنها خرابی‌ها را تحمل می‌کند و امنیت بیشتری در مقابل رفتارهای نامناسب ارائه نمی‌کند. سیستم‌های BFT، از سوی دیگر، تحمل‌پذیری خطای کامل را برای رفتار بیزانس از خود نشان می‌دهند. هم BFT و هم CFT اجماع پایانی عرضه می‌کنند. یعنی خروجیِ تصدیق چنین سیستم‌هایی نهایی است. بیشتر بلاکچین‌های دارای مجوز تنها تضمینِ اجماعِ نهایی را عرضه می‌کنند. یعنی تراکنش یک شخص می‌تواند بعداً در آینده آزاد شود، مثلاً در مواقعی که فورک صورت می‌گیرد.»

اگرچه فناوری بلاکچین مقاوم در برابر هک فرض می‌شود (یعنی هنوز در سطح سیستمی آسیب ندیده است)، اما در رابطه با نقض‌های امنیتی، صنعت کریپتو همانند یک میدان مین است. تنها در 2019، بیش از 292 میلیون دلار سرمایه و 500,000 قطعه از اطلاعات مشتریان از صرافی‌های رمزارز به‌سرقت رفتند. (2019 تاکنون، بزرگ‌ترین سال هک در صنعت رمزارز بوده، اگرچه میزان سرمایه‌های دزدی نسبت به سال‌های گذشته بسیار کمتر بوده است.)

اگر فناوری بلاکچین امنیت بالایی دارد، پس چرا اعضای صنعت هک می‌شوند؟ هکرها از تکنیک‌های متنوعی استفاده می‌کنند، اگرچه بسیاری از نقض‌های امنیتی کمی مهندسی اجتماعی دربردارند؛ یعنی کمی همکاری از سوی قربانی، مثلاً باز کردن یک ایمیل آلوده، استفاده از وای‌فای عمومی برای لاگین به کیف‌ پول‌های رمزارز، نصب برنامه‌های بدخواه و … . متدهای رایج دیگری مانند حمله‌ی ربودن کلیپ‌بورد، کریپتوجکینگ و پیدا کردن باگ نیز مورد استفاده قرار می‌گیرند، اما در بیشتر موارد، هکرها مردم یا سرورهای شرکت را هدف قرار می‌دهند، نه بلاکچین‌ها را.

پرایوسی کوین‌ها می‌توانند سطحی از محرمانگی را تضمین کنند

قابلیت عدم‌تغییرپذیری به این معنا نیست که فناوری بلاکچین نمی‌تواند سطح محرمانگی بیشتری را عرضه کند. خدمات متمرکز بر محرمانگی متعددی وجود دارند که مونرو (XMR) و زی‌کش (ZEC) از مطرح‌ترین‌ها هستند. هر دو کوین با پنهان کردن تراکنش‌ها و گیرنده‌هایشان با استفاده از متدهای مختلف، از محرمانگی کاربران محافظت می‌کنند. کرم می‌گوید که اگرچه پرایوسی کوین‌ها “سطح خوبی از محرمانگی را ارائه می‌کنند”، اما هنوز کاملاً کاربرانشان را ناشناس نمی‌کنند و ردی از خود باقی می‌گذارند:

«این سیستم‌ها به نوعی هستند که گیرنده و فرستده را مخفی، تراکنش‌ها را غیرقابل ارتباط به اشخاص و مبلغ را نیز پنهان می‌کنند. چون زمان انجام تراکنش هنوز به صورت عمومی قابل مشاهده است، پس این‌ها “محرمانگی کامل” ارائه نمی‌کنند. این اطلاعاتِ زمانی می‌تواند اطلاعاتی را درباره‌ی موقعیت جغرافیایی کاربران فاش کند.»

جاناتان لوین، مدیرعامل و از بنیانگذاران شرکت تحقیقاتی کریپتو Chainalysis است. این شرکت یکی از منابع اصلی اطلاعات تراکنش‌های کریپتو برای سازمان‌های ایالات متحده محسوب می‌شود. لوین در مجموعه‌ای از ایمیل‌ها به کوین‌تلگراف گفت که معمولاً، حتی روش‌هایی برای پیگیری فناوری‌های متمرکز بر محرمانگی وجود دارند: «اگرچه غیرممکن نیست، اما رسیدن به ناشناسی بسیار مشکل است چون انسان‌ها باید آن را پیاده‌سازی کرده و از آن استفاده کنند.»

به‌علاوه، قانون‌گذاران از پرایوسی کوین‌ها و ناشناسی‌شان راضی نیستند. برخی مناطق نیز، مانند کره‌ی جنوبی و لهستان، با عنوان کردن دستورالعمل‌هایی از گروه ویژه‌ی اقدام مالی، صرافی‌های محلی را مجبور به حذف این کوین‌ها کرده‌اند. چنین اقداماتی این کوین‌ها را بیشتر زیرزمینی می‌کند و موجب افزایش سطح نارضایتی می‌شود. به‌علاوه، مطابق با گفته‌های هالپین در گفت‌وگو با کوین‌تلگراف، بلاکچین‌های خصوصی مانند زی‌کش و مونرو “همگی امسال باگ‌هایی اساسی داشته‌اند”. این یعنی حتی ریسک فاش شدن اطلاعات در آنها نیز وجود دارد.

بلاکچین‌های دیگر نیز از مشکلات قانونی در امان نیستند

نیر شِتری، استاد دانشگاه گرینبورو در کارولینای شمالی است که درباره‌ی نقش بلاکچین در تقویت امنیت سایبری و محافظت از محرمانگی آموزش دیده است. او می‌گوید تنها محصولات رایج بلاکچین، که قابلیت‌های محرمانگی عرضه می‌کنند، از سوی قانون‌گذاران تحت نظر نیستند. در واقع، دولت چین در فوریه‌ی 2019،  در این حوزه قوانینی را معرفی کرده است. او به کوین‌تلگراف گفت:

«این قوانین کاربران را برای استفاده از خدمات بلاکچین ملزم به ارائه‌ی نام اصلی، شماره ملی، شماره موبایل یا اطلاعات ثبت‌شده‌ی شرکت می‌کنند. در نتیجه محرمانگی کاربر ممکن نیست. خدمات بلاکچین مجبورند سریعاً “اطلاعات غیرقانونی” را حذف و از انتشار آنها در میان کاربران جلوگیری کنند. ارائه‌دهندگان خدمات بلاکچین نیز باید بک‌آپ‌های 6 ماهه‌ی اطلاعات کاربران را نگهداری کنند. به‌علاوه، مقامات قضایی باید بتوانند در صورت نیاز به این اطلاعات دسترسی داشته باشند.»

شِتری می‌گوید قانون جامع محافظت از داده‌ی (GDPR) اتحادیه‌ی اروپا، که بر داده‌های بلاکچین نظارت می‌کند، نگرانی دیگری بابت محرمانگی فناوری بلاکچین ایجاد می‌کند: « GDPRفرض می‌کند که یک کنترل‌کننده‌ی داده وجود دارد. مالکین داده، حقوق محافظت از داده‌ی خود را در برابر یک کنترل‌کننده مطرح می‌کنند. قابلیت نامتمرکز بلاکچین به این معناست که هیچ مرکز کنترلی وجود ندارد.» به‌علاوه، قوانین در رابطه با شیوه‌ی تعیینِ کنترل‌کننده واضح نیستند و به همین دلیل مشخص نیست که در صورت سوءاستفاده از اطلاعات شخصی، چه کسی واقعاً مسئول است. شِتری در نهایت عنوان کرد که قابلیت عدم تغییرپذیری نیز موجب نگرانی است:

«وقتی یک بلاک اضافه می‌شود، حذف یا تغییر داده‌های آن بسیار سخت یا حتی غیرممکن است. مشکل بودن حذف داده‌های بلاکچین، بندهای کاهش و محدود کردنِ هدف را در GDPR نقض می‌کند. ایده‌ی اصلی اینجا این است که اطلاعات شخصی نباید بیش‌تر از زمان لازم برای رسیدن به هدفی نگهداری شوند که به دلیل آن جمع‌آوری شده‌اند.»

 

بلاکچین هنوز در ارائه‌ی محرمانگی ناموفق است

علیرغم مشکلات، بلاکچین پیشرفت کرده است

با گذشت تقریباً 10 سال، محرمانگی هنوز موضوعی بحث‌برانگیر در فناوری بلاکچین است. کرم، از آزمایشگاه‌های NEC اروپا، می‌گوید که هنوز این حوزه “پیشرفت‌های بسیاری داشته است”: «محرمانگی با گذشت زمان در بیشتر بلاکچین‌ها، چه بدون مجوز و چه دارای مجوز، افزایش یافته و محرمانگی کاربران جزئی، که از این پلتفرم‌ها استفاده می‌کنند، نیز شامل آن می‌شود.»

در واقع، کوین‌های متمرکز بر محرمانگی مانند زی‌کش، دَش (DASH) و مونرو از اوایل 2010 مطرح شدند و سطح جدیدی از محرمانگی را برای کاربران رمزارز مطرح کردند. خدمات ترکیبی رمزارزها نیز از سال پیش مطرح شدند (آنها با ایجاد آدرس‌های موقتی کیف‌ پول، اطلاعات کاربر را پنهان می‌کنند)، که البته برخی دولت‌ها در حال بررسی آنها هستند.

جدا از تمام این‌ها، چه‌قدر یک شخص می‌تواند، در عصر دیجیتالی که داده ارز اصلی محسوب می‌شود، ناشناس شود؟ لِوین قبلاً به کوین‌تلگراف گفته بود: «شفافیتِ کامل، لزوماً مکانی ایده‌آل نیست.» چون محرمانگی می‌تواند به عوامل بد این قدرت را بدهد که رفتارهای غیرقانونی مانند پولشویی و معاملات غیرقانونی انجام دهند. در واقع، علی‌رغم مشکلات مربوط به محرمانگی، بلاکچین هنوز یک فناوری جدید باقی می‌ماند و موارد استفاده‌ی خوب آن بسیار بیشتر از نمونه‌های بحث‌برانگیزش است.

 

منبع: Cointelegraph


نظر شما

نظر شما

7 روز هفته ، 24 ساعته پاسخگوی شما هستیم
دیجی اکسچنج