آیا تکنولوژی بلاک چین (Blockchain) در حفظ ناشناس بودن هویت کاربران به اندازه کافی کارآمد است؟ نظر کارشناسان در این زمینه متفاوت است. برخی از آنها معتقدند که این تکنولوژی مطابق با انتظارات عمل نکرده است.
از راه اندازی اولین بلاک چین بیش از ۱۰ سال میگذرد و از آن زمان تاکنون، بلاک چین که در ابتدا تنها در نقش ستون فقرات بیت کوین بود، به یک پدیده تکنولوژیک جهانی مبدل شده است.
به تعبیری، این دفتر کل توزیع شده (DLT) حتی از خود بیت کوین نیز محبوبتر شد. حتی سرسختترین منتقدان ارز دیجیتال مانند دولت چین و موسسه JPMorgan Chase متعلق به Jamie Dimon نیز، پتانسیل تکنولوژی بلاک چین را شناسایی کردهاند. این در حالی است که شرکتهای بزرگی مثل مایکروسافت و Accenture، آن را مطابق با نیازهای خود پذیرفتهاند.
با این حال، دیدگاه دیگری نیز در مورد تکنولوژی بلاک چین وجود دارد. یکی از این دیدگاهها مبنی بر این فرض است که این تکنولوژی در زمینههایی که قصد تغییر و ایجاد تحول در آنها را داشت، متوقف شده است. حریم خصوصی یکی از این زمینهها است.
در فرهنگ رایج، بیت کوین هنوز هم به عنوان یک ارز دیجیتال شناخته میشود که به کاربران اجازه میدهد تا کاملا زیر نظر بمانند. در واقعیت، بیشتر ارزهای دیجیتال مبتنی بر بلاک چین عمومی، صرفا نام مستعاری از خود ارائه میدهند. در همین حین، ردیابی جریان معاملات ارز دیجیتال برای کارگزاران اجرای قانون آسانتر شده است. در نتیجه، بلاک چین واقعا چه میزانی از حریم خصوصی را ارائه میکند؟
افراد مشغول در فدرال دیگر از چیزی نمیترسند
در سال ۲۰۱۲، در آغاز کار بلاک چین و کریپتو، یک گزارش داخلی FBI به کارمندان سرویسهای امنیتی هشدار داد که، بیت کوین ابزاری برای تولید، انتقال، شستشو و سرقت وجوه غیرقانونی با حفظ ناشناسی هویت است.
کلمه “برخی”، در اینجا یک کلمه کلیدی است؛ زیرا بر اساس وایت پیپر بیت کوین، خطر در این نقطه است که اگر صاحب کلید فاش شود، ارتباط موجود میتواند منجر به فاش شدن سایر معاملات متعلق به همان مالک نیز بشود. بنابراین، بیت کوین همانند بسیاری از ارزهای دیجیتال دیگر که مبنی بر بلاک چین های عمومی هستند، به صورت مستعار بوده و کاملا ناشناس نیست. این به این معناست که چنین ارزهایی تنها میتوانند حد مشخصی از حریم خصوصی را ارائه دهند.
به حتم، با گذشت زمان، مقامات با موفقیت شروع به ردیابی مجرمانی کردند که با استفاده از بیت کوین، مسیرهای خود را پوشش میدادند. یکی از موارد بسیار مشهور در این زمینه، دستگیری Ross Ulbricht، یک تبعه آمریکایی بود که بازار معروف جاده ابریشم (Silk Road) در دارک وب را اداره میکرد. مطابق با اظهارات مامور ویژه سابق Ilhwan Yum، در دادگاه و در هنگام محاکمه، او توانسته بود بیش از ۷۰۰۰۰۰ بیت کوین را از Silk Road ردیابی کند که همگی در واقع متعلق به کیف پولهای شخصی Ulbricht بودند. به سرعت، پس از این اتفاق، خرید چیزهای مختلف با بیت کوین در دارک وب، دیگر به آسانی انجام نمیشد.
اما ممکن است به استدلال برخی از افراد، این چیزی باشد که نصیب افراد بدطینت میشود و از طرف دیگر شهروندان مطیع قانون نباید از چیزی بترسند.
احتمالا اینطور نیست؛ زیرا کاربران حد وسط ارز دیجیتال نیز ممکن است مورد توجه مسئولان قرار بگیرند. در سال ۲۰۱۸، صرافی برتر آمریکایی به نام Coinbase، تقریبا به ۱۳۰۰۰ نفر از مشتریان خود اطلاع داد که در قبال تقاضای IRS، اطلاعات خصوصی آنان را به ایالات متحده تحویل داده است. این دادهها شامل شمارههای امنیت اجتماعی، نامها، تاریخهای تولد، آدرسها و گزارش سوابق معاملات از سال ۲۰۱۳ تا ۲۰۱۵ میشد.
در سال ۲۰۱۸، محققانی از قطر مقالهای را منتشر کردند که نشان میداد شناسایی کاربران ناشی و تازه کار از طریق معاملات سالانه بیت کوین آنها، حتی برای افرادی که در سرویسهای اطلاعاتی کار نمیکنند، بسیار آسان است.
پس از جمع آوری هزاران آدرس قابل مشاهده کیف پول بیت کوین و جستجو ارتباط مستقیم بین آنها با سرویسهای پنهان و حساس Tor مثل Silk Road و The Pirate Bay، آنها توانستند ۱۲۵ کاربر منحصر به فرد را به همراه حسابهای عمومی این افراد پیدا کنند.
جعلی و مستعار بودن، به اندازه کافی خوب نیست
بلاک چین های عمومی برای حفظ حریم خصوصی ایجاد نشدهاند. Pavlo Radchuk، رهبر امنیتی بلاک چین در هاکن، که به خودی خود توصیفی از اکوسیستم هکرهای کلاه سفید است، در مصاحبه با کوین تلگراف توضیح داد که یک کاربر فعال بیت کوین یا اتریوم میتواند از راههای مختلفی ردیابی شود؛ مثل استفاده کردن از دستور برنامه نویسی: اگر حساب کاربری با استفاده از کریپتو در یک وب سایت خریدی انجام داد، اکنون این وب سایت دارای آدرس IP مربوط به این حساب کاربری است که شامل آدرس فیزیکی تحویل، نام گیرنده و غیره میشود.
جعلی و یا همان مستعار بودن اسامی، در زمینه محافظت از هویت یک شخص به وضوح کافی نیست. Ghassan Karame، مدیر و محقق اصلی گروه امنیتی آزمایشگاههای NEC اروپا، در گفتگو با کوین تلگراف این موضوع را تایید کرد و توضیح داد:
مشکل اصلی در زمینه مستعار بودن اسامی این است که این روش، مشخصات کاربر از قبیل میزان مبلغ معاملات، عادتهای مخارج، زمان پرداخت و غیره را پنهان نمیکند. همچنین این روش سعی در مخفی کردن ارتباط بین مشخصات کاربر و IP کاربر را ندارد. تمامی این مشکلات در نهایت منجر به این میشوند تا تغییر نام کاربر در سیستمهایی که تنها به روش جعلی بودن ساده تکیه میکنند، نسبتا ساده باشد.
Hartej Sawhney، مدیر عامل و بنیانگذار آژانس امنیت سایبری Zokyo Labs، موضوعی خشنتر را به تصویر میکشد که در طی آن، فرد مهاجم تنها با دانستن آدرس قربانی، میتواند با استفاده از نیروی جسمی به چیزی که میخواهد برسد: یک دزد با کمی تلاش میتواند آدرس یک IP را ردیابی کند، به خانه شما بیاید و سپس با استفاده از روشهای دزدی کردن در رمزنگاری، کلیدهای شما را به دست بیاورد.
Catherine Tucker، پروفسور مدیریت در MIT Sloan و یکی از بنیانگذاران آزمایشگاه Cryptoeconomics در مصاحبه با کوین تلگراف گفت: ما فکر نمیکنیم بلاک چین از مزایای حفظ حریم خصوصی که هوادارانش انتظار داشتند، برخوردار باشد.
این اظهار با استناد به مقاله سال ۲۰۱۸ اوست که با همکاری Susan Athey، پروفسور اقتصاد در دانشکده تجارت استنفورد، و Christian Catalini، پروفسور همکار او در MIT، که در کالیبرای فیسبوک نیز کار میکند، نوشته شده است.
Tucker افزود: تغییر ناپذیر بودن نماد تجاری تکنولوژی بلاک چین ، دارای عواقب مربوط به حیطه حریم خصوصی زیادی است. او همچنین گفت که لزوما مناسب نیست تا اطلاعات حساسی مثل سوابق مراقبتهای بهداشتی بر روی بلاک چین ذخیره شوند و این درست برخلاف چیزی است که تعدادی از کسب و کارهای نوپا یا در اصطلاح استارت آپهای صنعتی در تلاش برای دستیابی به آن هستند:
در نهایت، زمانی که صحبت در مورد حریم خصوصی دادهها به میان میآید، نگرانی من بیشتر معطوف به نوع دادههایی است که اگر در دسترس عموم قرار بگیرند، برای من عواقب اقتصادی مداومی به همراه داشته باشند. همانند مشخصات مربوط به ژنوم من، عوامل اساسی سلامت من، چیزهایی که نمیتوانم آنها را تغییر دهم. من در مورد دادههایی که یک تبلیغ کننده به زبان میآورد نگران نیستم، ممکن است من روزی نیاز به یک جفت کفش داشته باشم، اینها اطلاعات و دادههای موقت هستند که ممکن است فردا تغییر کنند و احتمال عواقب مداوم آنها وجود ندارد. خطر بلاک چین این است که ممکن است ما در حال ایجاد دادههای غیرقابل تغییری برای یک شخص باشیم، که از عواقب آن برای آن فرد در ۱۰ سال آینده آگاه نیستیم.
بلاک چین های مجاز یا خصوصی
اما در مورد بلاک چین های مجاز که که فقط به افراد مرتبط و شرکت کنندگان بازار اجازه دسترسی میدهند چطور؟
هری هالپین، مدیر عامل بخش ترکیب اینترنتی حفظ حریم خصوصی شرکت NYM Technologies، در پاسخ به کوین تلگراف این گونه گفت: من مطمئن نیستم که بین یک بلاک چین مجاز و یک پایگاه داده مشترک تفاوت چندانی وجود داشته باشد.
او همچنین افزود: همه چیز به این بستگی دارد که چه کسی اجازه دسترسی دارد و در فدراسیون شما چه افرادی حضور دارند.
Karame در ادامه توضیح داد که بلاک چین های مجاز بیشتر به آستانه تحمل فروپاشی یا همان کرش کردن سیستم و همچنین آستانه تحمل گسستگی یا در اصطلاح بیزانسی (BFT) متکی هستند. از طرفی، این دو زمینه بهتر از گواه اثبات کار و گواه اثبات سهام مورد مطالعه قرار گرفتهاند.
او همچنین افزود:
همانطور که از نام آن پیداست، CFT تنها قادر به تحمل کردن و مدیریت کردن فروپاشیها یا در اصطلاح کرش کردنهاست و در غیر این صورت، هیچ امنیتی در برابر سایر رفتارهای غیرمجاز ارائه نمیدهد. از طرف دیگر سیستمهای BFT، تحمل کاملی در برابر واکنشها و رفتارهای بیزانسی دارند. CFT و BFT هر دو، اجماع نهایی را ارائه میدهند. این امر به این معناست که خروجی تایید شده چنین سیستمهایی، نهایی است؛ اکثر بلاک چینهای غیرمجاز فقط ضمانت اجماع نهایی را ارائه میکنند. معنی این موضوع این است که معامله یک شخص ممکن است در آینده رد شود، به طور مثال هنگامی که در یک بلوک فورک اتفاق میافتد.
در حالی که تکنولوژی بلاک چین به نوعی غیر قابل هک کردن تلقی میشد (به این معنا که در یک سطح سیستماتیک و منظم در معرض خطر قرار نگرفته باشد)، در هنگامی که صحبت از نقض امنیتی به میان میآید، صنعت کریپتو اساسا یک زمین استخراج یا در اصطلاح ماین حساب میشود.
بیشتر از ۲۹۲ میلیون دلار و بیش از ۵۰۰۰۰۰ بخش از دادههای مشتریان تنها در سال ۲۰۱۹ از صرافیهای ارز دیجیتال به سرقت رسیدهاند (در سال ۲۰۱۹ بیشترین میزان هک برای ارزهای دیجیتال اتفاق افتاد ولی با این وجود، میزان وجوه به سرقت رسیده در مقایسه با سالهای گذشته بسیار کمتر بود).
اگر تکنولوژی بلاک چین بسیار ایمن است، چرا فعالان این صنعت هک میشوند؟ مهاجمان در این حیطه از تکنیکهای متفاوتی استفاده میکنند.
بیشتر موارد در تناقض با چیزی که گفته شد، مربوط به زمینه مهندسی اجتماعی هستند؛ برای مثال میتوان به مشارکت یک قربانی، مثل باز کردن یک ایمیل آلوده، استفاده کردن از Wi-Fi عمومی برای ورود به کیف پولهای ارز دیجیتال، نصب برنامههای مخرب و غیره اشاره کرد. به روشهای کارآمدتری نیز در این زمینه میتوان اشاره کرد مثل ربودن کلیپ بورد، ربودن کریپتو و بهره گیری از اشکالات یا در اصطلاح باگهای موجود.
با این حال در اکثر موارد، هکرها افراد و سرورهای شرکتی را هدف قرار میدهند و نه بلاک چین ها را.
کوینهای حفظ حریم خصوصی میتوانند تا حدی ناشناس ماندن هویت شما را تضمین کنند
تغییر ناپذیری در این زمینه، به این معنا نیست که تکنولوژی بلاک چین نمیتواند حفظ حریم خصوصی بیشتری را ارائه کند؛ چند سرویس حریم خصوصی محور وجود دارند که رایجترین آنها همراه با ارز (Monero (XMR و با ارز (Zcash (ZEC هستند. هر دو این مثالها، با استفاده از روشهای مختلف در زمینه پنهان کردن معاملات و هویت دریافت کنندگان، هدف محافظت از حریم خصوصی کاربران را دنبال میکنند.
Karame در این حیطه میگوید که با وجود این که کوینهای حفظ حریم خصوصی واقعا سطح مناسبی از حریم خصوصی را ارائه میدهند، اما هنوز هم قادر به ناشناس کردن کامل هویت کاربران نیستند و ردی از خود به جا میگذارند:
چنین سیستمهایی برای ناشناس بودن فرستنده، ناشناس بودن گیرنده، عدم وجود ارتباط بین معاملات و همچنین پنهان کردن میزان مبلغ پرداخت تنظیم شدهاند. آنها حریم خصوصی مطلق را ارائه نمیدهند و این به معنای در دسترس بودن زمان انجام معاملات است. این اطلاعات زمانی، میتواند اطلاعات موقعیت جغرافیایی کاربران را نیز فاش کند.
به صورت معمول، حتی روشهایی برای ردیابی تکنولوژیهایی که بر روی ناشناس بودن تمرکز دارند نیز وجود دارد. همانطور که Jonathan Levin، بنیانگذار و مدیر امنیتی شرکت تجزیه و تحلیل بلاک چین و کریپتو به نام Chainalysis، یکی از منابع اولیه دادههای معاملات کریپتو متعلق به آژانسهای ایالات متحده، در یک تبادل ایمیلی با کوین تلگراف تایید کرد: با وجود این که این امر غیرممکن نیست، اما دستیابی به ناشناس بودن بسیار دشوار است؛ زیرا انسانها نیاز به دست داشتن در اجرا و استفاده کردن از آن دارند.
علاوه بر این، تنظیم کنندهها به طور کلی از کوینهای حفظ حریم خصوصی و میزان ناشناس بودنی که این کوینها ارائه میکنند راضی نیستند.
برخی از حوزههای قضایی، مثل کره جنوبی و لهستان، تا جایی پیش رفتهاند که با استناد به دستورالعملهای تعیین شده توسط کار گروه اقدام مالی، صرافیهای بومی را مجبور به حذف این کوینها میکنند.
این موضوع باعث سقوط بیشتر این کوینها شده و به نوعی بدنامی را برای آنها به همراه دارد. فراتر از این، همانطور که هالپین در گفتگو با کوین تلگراف به آن اشاره کرد، بلاک چین های خصوصی مثل Monero و Zcash به کلی در سال گذشته اشکالات اساسی داشتند؛ به این معنی که هنوز هم در معرض خطر دید و ردیابی قرار میگیرند.
سایر بلاک چین ها از مشکلات نظارتی و تنظیمی مصون نیستند
Nir Kshetri، پروفسور دانشگاه Carolina-Greensboro شمالی که در زمینه نقشهای بلاک چین در رشته تقویت امنیت سایبری حفاظت از حریم خصوصی تحصیل کرده است، افزود: این تنها محصولات مربوط به بلاک چین نیست که مورد بررسی مقررات قرار میگیرد. در واقع دولت چین، در این زمینه در فوریه ۲۰۱۹، مقرراتی را معرفی و وضع کرد. Kshetri به کوین تلگراف گفت:
طبق این مقررات کاربران باید از اسامی واقعی و همچنین شماره کارت ملی، شماره تلفنهای همراه و یا شماره ثبت شرکت برای بهرهمند شدن از خدمات بلاک چین استفاده کنند. بنابراین ناشناس بودن هویت کاربران در این حالت، مجاز نیست. خدمات بلاک چین باید تمامی اطلاعات غیر قانونی را به سرعت حذف کنند تا این اطلاعات بین کاربران پخش نشود. ارائه دهندگان خدمات بلاک چین نیز موظف هستند تا به مدت شش ماه از نسخه پشتیبانی دادههای کاربران نگهداری کنند. علاوه بر این، نهادهای اعمال قانون نیز باید در زمان لزوم بتوانند به این اطلاعات دسترسی داشته باشند.
قانون مقررات عمومی محافظت از دادههای اتحادیه اروپا، که سعی در نظارت بر دادههای بلاک چین دارد نیز، یکی دیگر از نگرانیهای تکنولوژی بلاک چین در حوزه حفظ حریم خصوصی است. Kshetri ادامه داد: GDPR فرض میکند که یک کنترل کننده دادههای واحد وجود دارد؛ شاخصه غیرمتمرکزسازی بلاک چین، به معنای عدم وجود یک مرکز واحد کنترل است.
علاوه بر این، مقررات در زمینه نحوه کنترل دادههای بلاک چین واضح نیستند و در صورت بروز سوءاستفاده از این دادهها، مشخص نیست که چه کسی به صورت قانونی پاسخگو خواهد بود. Kshetri در نتیجه گفت که تغییرناپذیری نیز دلیلی برای نگرانی است:
هنگام افزوده شدن یک بلوک، حذف و یا تغییر دادههای درون بلوک بسیار دشوار و یا حتی غیرممکن است. سختیهای حذف دادههای بلاک چین، در تناقض با به حداقل رسانی دادهها و دیدگاههای محدودیت هدف GDPR میباشد. ایده اصلی اینجاست که دادههای شخصی، نباید بیشتر از زمان مورد نیاز، با توجه به هدفی که این دادهها برای آن جمع آوری شدهاند نگهداری شوند.
با وجود تمام مشکلات، بلاک چین پیشروی کرده است
تقریبا تا ۱۰ سال آینده، حریم خصوصی به عنوان یک موضوع بحث برانگیز برای تکنولوژی بلاک چین پابرجا خواهد ماند. به گفته Karame از آزمایشگاههای NEC، با وجود تمامی این قضایا، باز هم پیشرفتهای زیادی در این زمینه رخ داده است. او میگوید: با گذشت زمان، میزان حفظ حریم خصوصی در اکثر بلاک چین ها، چه مجاز و چه غیرمجاز، افزایش یافته است. این امر حتی شامل حال مشتریهای گذری و در اصطلاح سبک، که به این پلتفرمها متصل میشوند نیز شده است.
در حقیقت، کوین هایی مثل Zcash، Dash و Monero که بر روی ناشناس بودن متمرکز هستند، از اواسط دهه ۲۰۱۰ ظهور کردند و سطحی تماما جدید را در زمینه حفظ حریم خصوصی به کاربران ارز دیجیتال معرفی کردند. همچنین خدمات ترکیبی برای ارز دیجیتال موجود هستند که در سال گذشته، رشد آنها تسریع شد (آنها با ساختن آدرسهای موقت کیف پول، اطلاعات مشتری را مخفی نگه میدارند). گرچه برخی دولتها نیز در حال حاضر از این خدمات بهره میبرند.
با این حال، در عصر دیجیتالی که در آن دادهها ارز اصلی به حساب میآیند، تا چه حدی یک نفر میتواند ناشناس بودن هویت خود را حفظ کند؟ همانطور که Levin پیش از این به کوین تلگراف گفته بود: شفافیت کامل، لزوما موجب به وجود آمدن فضایی ایده آل نمیشود؛ زیرا حریم خصوصی میتواند افراد ناهنجار را در راستای تسهیل عمل به رفتار غیرمجاز مثل پولشویی و مبادلات غیرقانونی تقویت کند. به حتم، با وجود برخی مشکلات مربوط به حیطه حفاظت از حریم خصوصی، بلاک چین همچنان یک تکنولوژی نوآورانه، با موارد استفاده گسترده و بحث برانگیز هرچند در زمینههای کمتر، به حساب میآید.