پس از گذشت یک دهه، بلاک چین هنوز نمی‌تواند حریم خصوصی را تامین کند!

آیا تکنولوژی بلاک چین (Blockchain) در حفظ ناشناس بودن هویت کاربران به اندازه کافی کارآمد است؟ نظر کارشناسان در این زمینه متفاوت است. برخی از آنها معتقدند که این تکنولوژی مطابق با انتظارات عمل نکرده است.

از راه اندازی اولین بلاک چین بیش از ۱۰ سال می‌گذرد و از آن زمان تاکنون، بلاک چین که در ابتدا تنها در نقش ستون فقرات بیت کوین بود، به یک پدیده تکنولوژیک جهانی مبدل شده است.

به تعبیری، این دفتر کل توزیع شده (DLT) حتی از خود بیت کوین نیز محبوب‌تر شد. حتی سرسخت‌ترین منتقدان ارز دیجیتال مانند دولت چین و موسسه JPMorgan Chase متعلق به Jamie Dimon نیز، پتانسیل تکنولوژی بلاک چین را شناسایی کرده‌اند. این در حالی است که شرکت‌های بزرگی مثل مایکروسافت و Accenture، آن را مطابق با نیازهای خود پذیرفته‌اند.

با این حال، دیدگاه دیگری نیز در مورد تکنولوژی بلاک چین وجود دارد. یکی از این دیدگاه‌ها مبنی بر این فرض است که این تکنولوژی در زمینه‌هایی که قصد تغییر و ایجاد تحول در آنها را داشت، متوقف شده است. حریم خصوصی یکی از این زمینه‌ها است.

در فرهنگ رایج، بیت کوین هنوز هم به عنوان یک ارز دیجیتال شناخته می‌شود که به کاربران اجازه می‌دهد تا کاملا زیر نظر بمانند. در واقعیت، بیشتر ارزهای دیجیتال مبتنی بر بلاک چین عمومی، صرفا نام مستعاری از خود ارائه می‌دهند. در همین حین، ردیابی جریان معاملات ارز دیجیتال برای کارگزاران اجرای قانون آسان‌تر شده است. در نتیجه، بلاک چین واقعا چه میزانی از حریم خصوصی را ارائه می‌کند؟

افراد مشغول در فدرال دیگر از چیزی نمی‌ترسند

در سال ۲۰۱۲، در آغاز کار بلاک چین و کریپتو، یک گزارش داخلی FBI به کارمندان سرویس‌های امنیتی هشدار داد که، بیت کوین ابزاری برای تولید، انتقال، شستشو و سرقت وجوه غیرقانونی با حفظ ناشناسی هویت است.

کلمه “برخی”، در اینجا یک کلمه کلیدی است؛ زیرا بر اساس وایت پیپر بیت کوین، خطر در این نقطه است که اگر صاحب کلید فاش شود، ارتباط موجود می‌تواند منجر به فاش شدن سایر معاملات متعلق به همان مالک نیز بشود. بنابراین، بیت کوین همانند بسیاری از ارزهای دیجیتال دیگر که مبنی بر بلاک چین های عمومی هستند، به صورت مستعار بوده و کاملا ناشناس نیست. این به این معناست که چنین ارزهایی تنها می‌توانند حد مشخصی از حریم خصوصی را ارائه دهند.

به حتم، با گذشت زمان، مقامات با موفقیت شروع به ردیابی مجرمانی کردند که با استفاده از بیت کوین، مسیرهای خود را پوشش می‌دادند. یکی از موارد بسیار مشهور در این زمینه، دستگیری Ross Ulbricht، یک تبعه آمریکایی بود که بازار معروف جاده ابریشم (Silk Road) در دارک وب را اداره می‌کرد. مطابق با اظهارات مامور ویژه سابق Ilhwan Yum، در دادگاه و در هنگام محاکمه، او توانسته بود بیش از ۷۰۰۰۰۰ بیت کوین را از Silk Road ردیابی کند که همگی در واقع متعلق به کیف پول‌های شخصی Ulbricht بودند. به سرعت، پس از این اتفاق، خرید چیزهای مختلف با بیت کوین در دارک وب، دیگر به آسانی انجام نمی‌شد.

اما ممکن است به استدلال برخی از افراد، این چیزی باشد که نصیب افراد بدطینت می‌شود و از طرف دیگر شهروندان مطیع قانون نباید از چیزی بترسند.

احتمالا اینطور نیست؛ زیرا کاربران حد وسط ارز دیجیتال نیز ممکن است مورد توجه مسئولان قرار بگیرند. در سال ۲۰۱۸، صرافی برتر آمریکایی به نام Coinbase، تقریبا به ۱۳۰۰۰ نفر از مشتریان خود اطلاع داد که در قبال تقاضای IRS، اطلاعات خصوصی آنان را به ایالات متحده تحویل داده است. این داده‌ها شامل شماره‌های امنیت اجتماعی، نام‌ها، تاریخ‌های تولد، آدرس‌ها و گزارش سوابق معاملات از سال ۲۰۱۳ تا ۲۰۱۵ می‌شد.

در سال ۲۰۱۸، محققانی از قطر مقاله‌ای را منتشر کردند که نشان می‌داد شناسایی کاربران ناشی و تازه کار از طریق معاملات سالانه بیت کوین آنها، حتی برای افرادی که در سرویس‌های اطلاعاتی کار نمی‌کنند، بسیار آسان است.

پس از جمع آوری هزاران آدرس قابل مشاهده کیف پول بیت کوین و جستجو ارتباط مستقیم بین آنها با سرویس‌های پنهان و حساس Tor مثل Silk Road و The Pirate Bay، آنها توانستند ۱۲۵ کاربر منحصر به فرد را به همراه حساب‌های عمومی این افراد پیدا کنند.

جعلی و مستعار بودن، به اندازه کافی خوب نیست

بلاک چین های عمومی برای حفظ حریم خصوصی ایجاد نشده‌اند. Pavlo Radchuk، رهبر امنیتی بلاک چین در هاکن، که به خودی خود توصیفی از اکوسیستم هکرهای کلاه سفید است، در مصاحبه با کوین تلگراف توضیح داد که یک کاربر فعال بیت کوین یا اتریوم می‌تواند از راه‌های مختلفی ردیابی شود؛ مثل استفاده کردن از دستور برنامه نویسی: اگر حساب کاربری با استفاده از کریپتو در یک وب سایت خریدی انجام داد، اکنون این وب سایت دارای آدرس IP مربوط به این حساب کاربری است که شامل آدرس فیزیکی تحویل، نام گیرنده و غیره می‌شود.

جعلی و یا همان مستعار بودن اسامی، در زمینه محافظت از هویت یک شخص به وضوح کافی نیست. Ghassan Karame، مدیر و محقق اصلی گروه امنیتی آزمایشگاه‌های NEC اروپا، در گفتگو با کوین تلگراف این موضوع را تایید کرد و توضیح داد:

مشکل اصلی در زمینه مستعار بودن اسامی این است که این روش، مشخصات کاربر از قبیل میزان مبلغ معاملات، عادت‌های مخارج، زمان پرداخت و غیره را پنهان نمی‌کند. همچنین این روش سعی در مخفی کردن ارتباط بین مشخصات کاربر و IP کاربر را ندارد. تمامی این مشکلات در نهایت منجر به این می‌شوند تا تغییر نام کاربر در سیستم‌هایی که تنها به روش جعلی بودن ساده تکیه می‌کنند، نسبتا ساده باشد.

Hartej Sawhney، مدیر عامل و بنیان‌گذار آژانس امنیت سایبری Zokyo Labs، موضوعی خشن‌تر را به تصویر می‌کشد که در طی آن، فرد مهاجم تنها با دانستن آدرس قربانی، می‌تواند با استفاده از نیروی جسمی به چیزی که می‌خواهد برسد: یک دزد با کمی تلاش می‌تواند آدرس یک IP را ردیابی کند، به خانه شما بیاید و سپس با استفاده از روش‌های دزدی کردن در رمزنگاری، کلیدهای شما را به دست بیاورد.

Catherine Tucker، پروفسور مدیریت در MIT Sloan و یکی از بنیان‌گذاران آزمایشگاه Cryptoeconomics در مصاحبه با کوین تلگراف گفت: ما فکر نمی‌کنیم بلاک چین از مزایای حفظ حریم خصوصی که هوادارانش انتظار داشتند، برخوردار باشد.

این اظهار با استناد به مقاله سال ۲۰۱۸ اوست که با همکاری Susan Athey، پروفسور اقتصاد در دانشکده تجارت استنفورد، و Christian Catalini، پروفسور همکار او در MIT، که در کالیبرای فیسبوک نیز کار می‌کند، نوشته شده است.

Tucker افزود: تغییر ناپذیر بودن نماد تجاری تکنولوژی بلاک چین ، دارای عواقب مربوط به حیطه حریم خصوصی زیادی است. او همچنین گفت که لزوما مناسب نیست تا اطلاعات حساسی مثل سوابق مراقبت‌های بهداشتی بر روی بلاک چین ذخیره شوند و این درست برخلاف چیزی است که تعدادی از کسب و کارهای نوپا یا در اصطلاح استارت آپ‌های صنعتی در تلاش برای دستیابی به آن هستند:

در نهایت، زمانی که صحبت در مورد حریم خصوصی داده‌ها به میان می‌آید، نگرانی من بیشتر معطوف به نوع داده‌هایی است که اگر در دسترس عموم قرار بگیرند، برای من عواقب اقتصادی مداومی به همراه داشته باشند. همانند مشخصات مربوط به ژنوم من، عوامل اساسی سلامت من، چیزهایی که نمی‌توانم آنها را تغییر دهم. من در مورد داده‌هایی که یک تبلیغ کننده به زبان می‌آورد نگران نیستم، ممکن است من روزی نیاز به یک جفت کفش داشته باشم، این‌ها اطلاعات و داده‌های موقت هستند که ممکن است فردا تغییر کنند و احتمال عواقب مداوم آنها وجود ندارد. خطر بلاک چین این است که ممکن است ما در حال ایجاد داده‌های غیرقابل تغییری برای یک شخص باشیم، که از عواقب آن برای آن فرد در ۱۰ سال آینده آگاه نیستیم.

بلاک چین های مجاز یا خصوصی

اما در مورد بلاک چین های مجاز که که فقط به افراد مرتبط و شرکت کنندگان بازار اجازه دسترسی می‌دهند چطور؟

هری هالپین، مدیر عامل بخش ترکیب اینترنتی حفظ حریم خصوصی شرکت NYM Technologies، در پاسخ به کوین تلگراف این گونه گفت: من مطمئن نیستم که بین یک بلاک چین مجاز و یک پایگاه داده مشترک تفاوت چندانی وجود داشته باشد.

او همچنین افزود: همه چیز به این بستگی دارد که چه کسی اجازه دسترسی دارد و در فدراسیون شما چه افرادی حضور دارند.

Karame در ادامه توضیح داد که بلاک چین های مجاز بیشتر به آستانه تحمل فروپاشی یا همان کرش کردن سیستم و همچنین آستانه تحمل گسستگی یا در اصطلاح بیزانسی (BFT) متکی هستند. از طرفی، این دو زمینه بهتر از گواه اثبات کار و گواه اثبات سهام مورد مطالعه قرار گرفته‌اند.

او همچنین افزود:

همانطور که از نام آن پیداست، CFT تنها قادر به تحمل کردن و مدیریت کردن فروپاشی‌ها یا در اصطلاح کرش کردن‌هاست و در غیر این صورت، هیچ امنیتی در برابر سایر رفتارهای غیرمجاز ارائه نمی‌دهد. از طرف دیگر سیستم‌های BFT، تحمل کاملی در برابر واکنش‌ها و رفتارهای بیزانسی دارند. CFT و BFT هر دو، اجماع نهایی را ارائه می‌دهند. این امر به این معناست که خروجی تایید شده چنین سیستم‌هایی، نهایی است؛ اکثر بلاک چین‌های غیرمجاز فقط ضمانت اجماع نهایی را ارائه می‌کنند. معنی این موضوع این است که معامله یک شخص ممکن است در آینده رد شود، به طور مثال هنگامی که در یک بلوک فورک اتفاق می‌افتد.

در حالی که تکنولوژی بلاک چین به نوعی غیر قابل هک کردن تلقی می‌شد (به این معنا که در یک سطح سیستماتیک و منظم در معرض خطر قرار نگرفته باشد)، در هنگامی که صحبت از نقض امنیتی به میان می‌آید، صنعت کریپتو اساسا یک زمین استخراج یا در اصطلاح ماین حساب می‌شود.

بیشتر از ۲۹۲ میلیون دلار و بیش از ۵۰۰۰۰۰ بخش از داده‌های مشتریان تنها در سال ۲۰۱۹ از صرافی‌های ارز دیجیتال به سرقت رسیده‌اند (در سال ۲۰۱۹ بیش‌ترین میزان هک برای ارزهای دیجیتال اتفاق افتاد ولی با این وجود، میزان وجوه به سرقت رسیده در مقایسه با سال‌های گذشته بسیار کمتر بود).

اگر تکنولوژی بلاک چین بسیار ایمن است، چرا فعالان این صنعت هک می‌شوند؟ مهاجمان در این حیطه از تکنیک‌های متفاوتی استفاده می‌کنند.

بیشتر موارد در تناقض با چیزی که گفته شد، مربوط به زمینه مهندسی اجتماعی هستند؛ برای مثال می‌توان به مشارکت یک قربانی، مثل باز کردن یک ایمیل آلوده، استفاده کردن از Wi-Fi عمومی برای ورود به کیف پول‌های ارز دیجیتال، نصب برنامه‌های مخرب و غیره اشاره کرد. به روش‌های کارآمدتری نیز در این زمینه می‌توان اشاره کرد مثل ربودن کلیپ بورد، ربودن کریپتو و بهره گیری از اشکالات یا در اصطلاح باگ‌های موجود.

با این حال در اکثر موارد، هکرها افراد و سرورهای شرکتی را هدف قرار می‌دهند و نه بلاک چین ها را.

کوین‌های حفظ حریم خصوصی می‌توانند تا حدی ناشناس ماندن هویت شما را تضمین کنند

تغییر ناپذیری در این زمینه، به این معنا نیست که تکنولوژی بلاک چین نمی‌تواند حفظ حریم خصوصی بیشتری را ارائه کند؛ چند سرویس حریم خصوصی محور وجود دارند که رایج‌ترین آنها همراه با ارز (Monero (XMR و با ارز (Zcash (ZEC هستند. هر دو این مثال‌ها، با استفاده از روش‌های مختلف در زمینه پنهان کردن معاملات و هویت دریافت کنندگان، هدف محافظت از حریم خصوصی کاربران را دنبال می‌کنند.

Karame در این حیطه می‌گوید که با وجود این که کوین‌های حفظ حریم خصوصی واقعا سطح مناسبی از حریم خصوصی را ارائه می‌دهند، اما هنوز هم قادر به ناشناس کردن کامل هویت کاربران نیستند و ردی از خود به جا می‌گذارند:

چنین سیستم‌هایی برای ناشناس بودن فرستنده، ناشناس بودن گیرنده، عدم وجود ارتباط بین معاملات و همچنین پنهان کردن میزان مبلغ پرداخت تنظیم شده‌اند. آنها حریم خصوصی مطلق را ارائه نمی‌دهند و این به معنای در دسترس بودن زمان انجام معاملات است. این اطلاعات زمانی، می‌تواند اطلاعات موقعیت جغرافیایی کاربران را نیز فاش کند.

به صورت معمول، حتی روش‌هایی برای ردیابی تکنولوژی‌هایی که بر روی ناشناس بودن تمرکز دارند نیز وجود دارد. همانطور که Jonathan Levin، بنیان‌گذار و مدیر امنیتی شرکت تجزیه و تحلیل بلاک چین و کریپتو به نام Chainalysis، یکی از منابع اولیه داده‌های معاملات کریپتو متعلق به آژانس‌های ایالات متحده، در یک تبادل ایمیلی با کوین تلگراف تایید کرد: با وجود این که این امر غیرممکن نیست، اما دستیابی به ناشناس بودن بسیار دشوار است؛ زیرا انسان‌ها نیاز به دست داشتن در اجرا و استفاده کردن از آن دارند.

علاوه بر این، تنظیم کننده‌ها به طور کلی از کوین‌های حفظ حریم خصوصی و میزان ناشناس بودنی که این کوین‌ها ارائه می‌کنند راضی نیستند.

برخی از حوزه‌های قضایی، مثل کره جنوبی و لهستان، تا جایی پیش رفته‌اند که با استناد به دستورالعمل‌های تعیین شده توسط کار گروه اقدام مالی، صرافی‌های بومی را مجبور به حذف این کوین‌ها می‌کنند.

این موضوع باعث سقوط بیشتر این کوین‌ها شده و به نوعی بدنامی را برای آنها به همراه دارد. فراتر از این، همانطور که هالپین در گفتگو با کوین تلگراف به آن اشاره کرد، بلاک چین های خصوصی مثل Monero و Zcash به کلی در سال گذشته اشکالات اساسی داشتند؛ به این معنی که هنوز هم در معرض خطر دید و ردیابی قرار می‌گیرند.

سایر بلاک چین ها از مشکلات نظارتی و تنظیمی مصون نیستند

Nir Kshetri، پروفسور دانشگاه Carolina-Greensboro شمالی که در زمینه نقش‌های بلاک چین در رشته تقویت امنیت سایبری حفاظت از حریم خصوصی تحصیل کرده است، افزود: این تنها محصولات مربوط به بلاک چین نیست که مورد بررسی مقررات قرار می‌گیرد. در واقع دولت چین، در این زمینه در فوریه ۲۰۱۹، مقرراتی را معرفی و وضع کرد. Kshetri به کوین تلگراف گفت:

طبق این مقررات کاربران باید از اسامی واقعی و همچنین شماره کارت ملی، شماره تلفن‌های همراه و یا شماره ثبت شرکت برای بهره‌مند شدن از خدمات بلاک چین استفاده کنند. بنابراین ناشناس بودن هویت کاربران در این حالت، مجاز نیست. خدمات بلاک چین باید تمامی اطلاعات غیر قانونی را به سرعت حذف کنند تا این اطلاعات بین کاربران پخش نشود. ارائه دهندگان خدمات بلاک چین نیز موظف هستند تا به مدت شش ماه از نسخه پشتیبانی داده‌های کاربران نگهداری کنند. علاوه بر این، نهادهای اعمال قانون نیز باید در زمان لزوم بتوانند به این اطلاعات دسترسی داشته باشند.

قانون مقررات عمومی محافظت از داده‌های اتحادیه اروپا، که سعی در نظارت بر داده‌های بلاک چین دارد نیز، یکی دیگر از نگرانی‌های تکنولوژی بلاک چین در حوزه حفظ حریم خصوصی است. Kshetri ادامه داد: GDPR فرض می‌کند که یک کنترل کننده داده‌های واحد وجود دارد؛ شاخصه غیرمتمرکزسازی بلاک چین، به معنای عدم وجود یک مرکز واحد کنترل است.

علاوه بر این، مقررات در زمینه نحوه کنترل داده‌های بلاک چین واضح نیستند و در صورت بروز سوءاستفاده از این داده‌ها، مشخص نیست که چه کسی به صورت قانونی پاسخگو خواهد بود. Kshetri در نتیجه گفت که تغییرناپذیری نیز دلیلی برای نگرانی است:

هنگام افزوده شدن یک بلوک، حذف و یا تغییر داده‌های درون بلوک بسیار دشوار و یا حتی غیرممکن است. سختی‌های حذف داده‌های بلاک چین، در تناقض با به حداقل رسانی داده‌ها و دیدگاه‌های محدودیت هدف GDPR می‌باشد. ایده اصلی اینجاست که داده‌های شخصی، نباید بیشتر از زمان مورد نیاز، با توجه به هدفی که این داده‌ها برای آن جمع آوری شده‌اند نگهداری شوند.

با وجود تمام مشکلات، بلاک چین پیشروی کرده است

تقریبا تا ۱۰ سال آینده، حریم خصوصی به عنوان یک موضوع بحث برانگیز برای تکنولوژی بلاک چین پابرجا خواهد ماند. به گفته Karame از آزمایشگاه‌های NEC، با وجود تمامی این قضایا، باز هم پیشرفت‌های زیادی در این زمینه رخ داده است. او می‌گوید: با گذشت زمان، میزان حفظ حریم خصوصی در اکثر بلاک چین ها، چه مجاز و چه غیرمجاز، افزایش یافته است. این امر حتی شامل حال مشتری‌های گذری و در اصطلاح سبک، که به این پلتفرم‌ها متصل می‌شوند نیز شده است.

در حقیقت، کوین هایی مثل Zcash، Dash  و Monero که بر روی ناشناس بودن متمرکز هستند، از اواسط دهه ۲۰۱۰ ظهور کردند و سطحی تماما جدید را در زمینه حفظ حریم خصوصی به کاربران ارز دیجیتال معرفی کردند. همچنین خدمات ترکیبی برای ارز دیجیتال موجود هستند که در سال گذشته، رشد آنها تسریع شد (آنها با ساختن آدرس‌های موقت کیف پول، اطلاعات مشتری را مخفی نگه می‌دارند). گرچه برخی دولت‌ها نیز در حال حاضر از این خدمات بهره می‌برند.

با این حال، در عصر دیجیتالی که در آن داده‌ها ارز اصلی به حساب می‌آیند، تا چه حدی یک نفر می‌تواند ناشناس بودن هویت خود را حفظ کند؟ همانطور که Levin پیش از این به کوین تلگراف گفته بود: شفافیت کامل، لزوما موجب به وجود آمدن فضایی ایده آل نمی‌شود؛ زیرا حریم خصوصی می‌تواند افراد ناهنجار را در راستای تسهیل عمل به رفتار غیرمجاز مثل پولشویی و مبادلات غیرقانونی تقویت کند. به حتم، با وجود برخی مشکلات مربوط به حیطه حفاظت از حریم خصوصی، بلاک چین همچنان یک تکنولوژی نوآورانه، با موارد استفاده گسترده و بحث برانگیز هرچند در زمینه‌های کمتر، به حساب می‌آید.