مقالات

ذخیره سازی داده‌ها در بلاک چین: امنیت حریم خصوصی در برابر شفافیت

در نوامبر سال ۲۰۱۹، شرکت امنیتی Risk based Security سال گذشته را “بدترین سال سوابق” نامگذاری کرد که روی بیش از ۸ میلیارد ثبت تأثیر گذاشت. کنترل شخص ثالث بر داده های شخصی باعث می شود حریم خصوصی مانند گذشته ثابت نباشد.

به نظر می رسد ظهور فناوری بلاکچین دوره جدیدی را در امنیت داده ها به وجود آورده است. با این حال از آنجا که این فناوری در اینترنت رایج تر شده است، سؤالاتی در مورد توانایی آن برای ذخیره ایمن داده ها بوجود آمده است. شرکت تحلیلی Chainalysis ادعا کرده، دلیل این امر شفافیت کاملی است که محرمانه بودن را به خطر می اندازد.

روزی روزگاری حریم خصوصی

حریم خصوصی

با زندگی ای که روز به روز دیجیتالی تر می شود، اهمیت مسائل مربوط به امنیت داده ها و حریم خصوصی بیشتر می شود. هر اقدام آنلاین مانند ذره ای طلا برای برخی از شرکت ها است. داده ها در پایگاه های داده جمع می شوند تا توسط مرورگرها و غول های رسانه های اجتماعی به بالاترین پیشنهاد فروخته شوند. جانی رایان مدیر ارشد روابط سیاسی و صنعتی مرورگر Brave در مصاحبه ای با Cointelegraph در ۲۱ فوریه گفت:

RTB (مزایده در زمان واقعی و حراجی برای تبلیغات آنلاین) بزرگترین افشای داده در جهان است. داده های شخصی به هزاران شرکت فروخته می شوند.

سخنان رایان در مورد افزایش روز افزون افشای داده ها نگرانی بزرگی به وجود آورده و این واقعیت را نشان می دهد که بیشتر مدل های تجاری مدرن، مبتنی بر جمع آوری و فروش داده های شخصی کاربران هستند؛ زیرا مرورگرهایی مانند Chrome و شبکه های اجتماعی مانند فیسبوک داده ها را به کسانی که هزینه آن را پرداخت می کنند، می فروشند.

فیسبوک و پلتفرم طراحی چندرسانه ای Canva معروف ترین این شرکت ها هستند که به ترتیب اطلاعات ۵۴۰ میلیون و ۱۳۰ میلیون کاربر را در سال ۲۰۱۹ در اختیار دارند. کارآفرینان و میلیاردرهای برتر نیز تحت تاثیر قرار گرفته اند، به عنوان مثال جف بزوس مدیر عامل شرکت آمازون ، در سال ۲۰۱۸ و هنگام استفاده از WhatsApp هک شد.

زیرا متمرکز است

آمارها نشان می دهد که اطلاعات کاربر را بیشتر از شرکت های متمرکز بیرون می آید. امنیت داده ها به خاطر راحتی انجام نمی شود زیرا هرچه شرکت ها به منابع شخص ثالثی مانند دراپ باکس(Dropbox) و Google Docs متوسل شوند، امنیت آن بیشتر مورد تردید قرار می گیرد.

بیشتر داده های جمع آوری شده توسط شرکت های شخص ثالث در بانک های اطلاعاتی متمرکز می شوند، نقطه شکست آنها اثر دومینویی دارد. حتی بدتر اینکه یا به افشای داده ها توجه نمی شود یا از بروز اخبار آن جلوگیری می شود.

ساده ترین راه برای بررسی این است که یک ایمیل در وب سایت Have I Been Pwned وارد کنید و این سایت نشان می دهد که چند بار اطلاعات قابل  شناسایی کاربر به صورت آنلاین پیدا شده است. طبق آمار سایت تعداد کل حساب های افشا شده تقریبا ۹.۵ میلیارد است.

آیا بلاکچین راه چاره حریم خصوصی کاربر است؟

بلاک چین عموما محرمانه محور است بنابراین می تواند به یک راهکار ایده آل برای مشکلات سیستم های ذخیره سازی سنتی تبدیل شود. برای مثال بلاک چین های خصوصی می توانند بر اساس مجوزها دسترسی جدی به داده ها را فراهم کنند.

راه حل های زیادی مانند رمزگذاری همگن(homomorphic encryption) ارائه شده است که اجازه می دهد محاسبات با داده های رمزگذاری شده و بدون رمزگشایی اولیه انجام شود. این روش که در ابتدا در شبکه انیگما(Enigma) دانشگاه MIT مورد استفاده قرار گرفت، داده ها را به قطعات کوچک تقسیم کرده، آنها را رمزگذاری و بصورت تصادفی در بخش های کوچک در شبکه توزیع می کند. هیچ یک از نودهای شبکه نمی توانند این داده ها را بخوانند، اما کاربران می توانند آن را رمزگشایی کنند.

اینگونه امنیت و حریم خصوصی حفظ می شود و تنها به کاربرانی که کلیدهای رمزگشایی و اعتبار مناسب دارند اجازه دسترسی داده می شود. تکنیک های رمزنگاری مانند گواه دانش صفر و zk-SNARK ها از رمزگذاری همگن استفاده می کنند. به عنوان نمونه زی کش (ZEC) از این تکنیک استفاده می کند.

جوهره فناوری بلاک چین این است که نیاز به شخص ثالث را برطرف کرده و اینگونه امنیت بیشتری را تضمین می کند. معرفی ویژگی هایی مانند کنترل هویت غیرمتمرکز حاکی از کاهش چشمگیر سرقت هویت است.

به عنوان مثال در مه ۲۰۱۹، مایکروسافت اعلام کرد که قصد دارد از فناوری رجیستری توزیع شده برای ایجاد یک سیستم شناسایی غیرمتمرکز به نام Decentralized ID یا DID بر اساس برنامه Microsoft Authenticator استفاده کند. توسعه دهندگان بر این باورند که فناوری بلاک چین برای ذخیره سازی اطلاعات شخصی بی نقص است زیرا نیاز به موافقت برای استفاده از داده های شخصی را برطرف می کند. در نتیجه هویت کاربران کپی نشده و در میان ارائه دهندگان خدمات مختلف مانند شرکت های رسانه های اجتماعی یا فروشگاه های آنلاین توزیع نمی شود.

 SDS، بخش فناوری اینترنت سامسونگ نیز به طور مشابه گواه دانش صفر QEDIT را در بلاک چین Nexledger خود ادغام کرده است. تیم SDS معتقد است که این ادغام به طرفین شاغل در بلاک چین های شرکتی اجازه می دهد تا تراکنش ها را در یک دفترکل مشترک بدون افشای اطلاعات محرمانه ثبت و تائید کنند.

اصل ذخیره اطلاعات شخصی برای محافظت از داده های کاربر توسط جف پالور(Jeff Pulver) آمریکایی مخترع VoIP معرفی شد. سفارش Pulver در ۱۲ فوریه ۲۰۰۴ توسط کمیسیون ارتباطات فدرال تصویب شد و این امکان را برای مردم فراهم کرد تا آزادانه از برنامه های ارتباطی مانند WhatsApp استفاده کنند.

در سال ۲۰۱۸، پالور پیشنهاد داد از شبکه ارتباطی با قابلیت بلاک چین بر اساس لایه های جدید تائید هویت و راهکار های غیرمتمرکز استفاده شود. گفته می شود که راهکار جدید با نام Debrief امن ترین شبکه ارتباطی است که به صورت همتا به همتا برای تماس صوتی و تصویری، پیام رسانی و ذخیره سازی غیر متمرکز فایل ها در دسترس است. این فناوری قصد ندارد اطلاعات محرمانه کاربران را بر خلاف خدماتی مانند فیسبووک یا زوم (Zoom)افشا کند.

راز یک سیستم ذخیره سازی غیر متمرکز و پروتکل تأیید اعتبار بلاک چین ها این است که برای هکرها غیرقابل نفوذ، نهفته است. پالور ادعا می کند که الگوریتم های رمزگذاری داده Debrief اجازه نمی دهد داده ها پس از قرار دادن در شبکه ویرایش یا دستکاری شوند.

هر گیرنده در شبکه همان اطلاعاتی را که در زمان واقعی وارد می شود دریافت می کند. بنابراین هکری که بتواند اطلاعات را از طریق کامپیوتر یک گیرنده ویرایش کند، سایر رایانه های موجود در شبکه نیز باید این تغییر را تأیید کنند که آنها هرگز این کار را انجام نخواهند داد. پالور در آن زمان توضیح داد: “با امتناع از كنترل متمرکز،  ما پیوند ضعیف  اشخاص ثالث را از این معادله خارج خواهیم كرد.”

MedRec، پروژه ای که توسط MIT راه اندازی شده است نیز هدف مشابهی را در صنعت مراقبت های بهداشتی دنبال می کند. این پروژه از فناوری بلاک چین استفاده می کند تا امکان تبادل ایمن اطلاعات مراقبت های بهداشتی بین بیماران و ارائه دهندگان خدمات فراهم شود. در نتیجه بیماران می توانند کنترل کامل داده های شخصی خود را حفظ کرده و به مراکز ارائه دهنده خدمات دسترسی پیدا کنند.

MedRec مجموعه ای از تست های آزمایشی را با شرکای تحقیقاتی خود انجام داده است و هم اکنون در حال کار بر روی تنظیم دقیق سیستم است. استفاده از MedRec می تواند افشای داده های مراقبت های بهداشتی را کاهش داده و راهکار های جدید قابلیت انتقال بیمه سلامت، مطابق با قانون ثبت الکترونیکی داده های مربوط به سلامت را توسعه دهد.

General Motors نیز از فناوری بلاک چین حمایت می کند. در سال ۲۰۱۸، این کمپانی یک ثبت اختراع در مورد اتومبیل های بدون سرنشین انجام داد که داده ها را در یک دفترکل توزیع شده ذخیره کرده و آن را با سایر وسایل نقلیه و نهاد های متصل به سیستم به اشتراک می گذارد؛ این محصول از ایمنی ترافیک و رعایت مقررات صنعت حمل و نقل اطمینان حاصل کرد.

حریم خصوصی داده ها با بلاک چین سازگار نیست

ویجای راتور(Vijay Rathour) عضو گروه شرکت تحقیقات پزشکی Grant Thornton در گفتگو با Cointelegraph در مورد فناوری بلاک چین و امنیت داده ها، این فناوری را با گاوصندوق های شیشه ای بانک مقایسه کرد:

آنها امنیت بالایی دارند اما مانند گاوصندوق یک طرفه هستند: یعنی شما می توانید اشیاء گرانبهایی در آنها قرار دهید اما آن را بیرون نیاورید. تمام جهان میتواند محتواها را مشاهده کند.

هرچند به گفته راتور، حتی پس از شناختن همه این خصوصیات می توان از گاو صندوق های برای نگه داشتن پول کثیف و یا دارایی های سرقت شده استفاده کرد. به بیان ساده تر کارآیی گاوصندوق ها به معنای خوب بودن آنها نیست. راتور در ادامه توضیح داد:

آیا داده های ذخیره شده در بلاک چین ناشناس است؟ آیا می خواهم گذرنامه من در یک گاو صندوق شیشه ای برای جهان قابل مشاهده باشد؟ خیر. اما احتمالا از مزایای نسخه رمزگذاری شده گذرنامه ام که در امنیت ابری این بلاک چین نگهداری می شود، لذت می برم.

بلاک چین چندین مزیت ذاتی دارد که برای حفظ حریم خصوصی ایده آل است. همچنین با استفاده از آئین نامه عمومی حفاظت از داده ها، از ویژگی های مناسبی در زمینه حافظت از داده ها برخوردار است. در همین حال جنبه های دیگری نیز دارد که آن را غیرقابل اجرا می کند.

اگرچه تغییر ناپذیری برای حفظ حریم خصوصی داده ها مناسب است اما دو مانع وجود دارد: اول اینکه تغییر ناپذیری با قوانین ذخیره اطلاعات در تضاد است. دوم، خطاها یا بی دقتی در بلاک چین قابل اصلاح نیست. توماس استوبینگز(Thomas Stubbings) رئیس پلتفرم امنیت سایبری دولت اتریش، در گفتگو با Cointelegraph پیشنهاد کرد:

در واقع ویژگی اصلی بلاک چین محافظت از یکپارچگی داده ها از طریق غیرقابل تغییر کردن آنها است. با این حال اگر داده ها دیگر تصحیح نشوند دقیقاً همین ویژگی مشکل ساز می شود. حذف آن تقریبا غیرممکن است. این ویژگی نوع جدیدی از مشکلات را برای حریم خصوصی ایجاد می کند.

جاناتان لوین(Jonathan Levin) بنیانگذار و مدیر ارشد استراتژی شرکت Chainalysis اظهار داشته است که شفافیت کامل نیز موهبت الاهی نیست زیرا فناوری بلاک چین می تواند برای ردیابی افراد استفاده شده و اطلاعات شخصی آنها را با هم پیوند دهد. لوین به Cointelegraph گفت:

نهایت ناشناس بودن کامل و شفافیت کامل بد است. ناشناس بودن کامل درهای فعالیت غیرقانونی را باز می کند؛ از طرف دیگر شفافیت کامل به معنای عدم حریم خصوصی است.

Teemu Alexander Puutio، یک متخصص در زمینه قانونگذری و مدرس دانشکده خدمات حرفه ای دانشگاه نیویورک به Cointelegraph گفت که روش های مختلفی برای استخراج اطلاعات از دفترکل رمزنگاری امن وجود دارد. وی تاکید کرد که بیت کوین (BTC) نام مستعار است و اینگونه می توان کاربران آن را ردیابی و شناسایی کرد.وی افزود:

به عنوان مثال اخیرا از آنالیز ترافیک شبکه برای دستیابی به دقت ۹۵ درصدی در شناسایی استفاده شده است و روش های تئوری بررسی و آنالیز احتمالی Bayesian به محققان اجازه داده که هزاران حساب را در طی چند ماه شناسایی کنند. این نگرانی ها بیشتر به این خاطر است که داده های ذخیره شده در بلاک چین ها، حداقل برای شبکه تأیید کننده تغییر ناپذیر و کاملا عمومی هستند.

Puutio همچنین به یک نظرسنجی که در ژانویه ۲۰۱۹ منتشر شده اشاره کرد که نشان می داد تنها بخش کوچکی از پلتفرم های بلاک چین قادر به دستیابی به سطح بالای امنیت داده ها هستند.

یکی از ویژگی های اساسی بلاک چین یعنی عدم توانایی در حذف انتخابی اطلاعات مانند یک شمشیر دو لبه است. یکی از جنبه های منفی آن این است که به ۵۱ درصد از نودها برای ویرایش داده ها نیاز است و این مساله اجرای برنامه های ماده ۱۷ GDRP را پیچیده می کند و به آنها حق پاک کردن می دهد.

استوبینگز به Cointelegraph گفته است كه تهدید جدیدی به نام “مسمومیت بلاک چین” وجود دارد كه با استفاده از تسلیم کردن اطلاعات قابل شناسایی شخصی كه قابل حذف نیستند، از مزایای استفاده از بلاک چین های نقض کننده GDPR استفاده می كند. وی گفت:

این امر در بدترین حالت در یک بلاک چین غیرقابل استفاده اتفاق می افتد؛ مشکل کاملا جدید است و حتی کارشناسان حفظ حریم خصوصی اتحادیه اروپا از نحوه برخورد با آن شناخت کامل ندارند، به خصوص اینکه هیچ کس صاحب بلاک چین های عمومی نیست و فقط تعدادی نود وجود دارد. بنابراین چه کسی مسئول است؟ هیچکس؟ هر کسی که نود دارد؟ این یک مسئله دشوار است و ممکن است مانع از تحول بلاک چین به عنوان یک ابزار امنیتی با ارزش شود.

در پایان از دیدگاه GDPR، یکپارچگی داده ها به عنوان مانع اصلی رسیدن فناوری بلاک چین به یک راهکار مناسب دیده می شود.

فناوری بلاک چین خوب است اما …

جهان هنوز متمرکز است و داده ها که در کنترل تعداد انگشت شماری از اپراتورها هستند؛ احتمال از دست رفتن آنها وجود دارد، دولت ها در حال پیگیری قانونگذاری هستند اما آنها برای تضمین ایمنی و امنیت داده های کاربر کافی نیستند. راتور با حساب کردن نقش فناوری بلاک چین در امنیت داده به Cointelegraph گفت:

بلاک چین ها خوب هستند اما هنوز هم توانایی قرار دادن و نگهداری و انتخاب داده های آنها وجود دارد. درست مانند پایگاه های داده، کامپیوترهای ابری و بسیاری از گزینه های مکانیکی دیگر که اطلاعات ما را نگهداری می کنند.

گرچه انبوهی از کاربران که خواستار ذخیره سازی داده های غیرمتمرکز هستند، فناوری بلاک چین را به یک وسیله ذخیره سازی بالفعل تبدیل می کنند اما عامل تغییر ناپذیری آن با الزامات GDPR مطابق نیست. فناوری بلاک چین هنوز راهی برای پیشبرد راهکار همه جانبه ذخیره سازی داده را دارد. تغییر ناپذیری کامل و شفافیت دو روی یک سکه هستند و این سکه هنوز در حال چرخش است.

در پایان، همانطور که نویسندگان امنیت و حریم خصوصی در بررسی بلاک چین پیشنهاد داده اند، توسعه الگوریتم های رمزنگاری سبک و همچنین سایر روش های کاربردی امنیتی و حریم خصوصی، کلید توسعه بلاک چین و برنامه های کاربردی آن خواهد بود.

منبع
cointelegraph

نوشته های مشابه

0 دیدگاه
Inline Feedbacks
View all comments
دکمه بازگشت به بالا