11 January 2018

Поможет ли блокчейн оптимизировать IAM-решения?

Gemalto Russia corporate blogInformation Security
Технология блокчейн, все еще находящаяся на ранних этапах своего развития, представляет собой децентрализованную базу данных, в которой каждая участвующая система (или так называемая нода – “node”) хранит точную копию всех имеющихся данных. Подобно звеньям одной цепи, каждый блок информации неразрывно связан с предыдущим, образуя постоянно растущую цепочку блоков информации. Эти блоки информации всегда остаются неизменными, благодаря чему технология блокчейн идеально подходит для архивирования и хранения информации, выполняя роль распределенного реестра.



Технология децентрализованной базы данных позволяет «сторонам, которые не доверяют полностью друг другу, прийти к соглашению о существовании, статусе и появлении новых фактов, которые известны всем сторонам».

Известность блокчейна прежде всего обусловлена его:

  • способностью архивировать данные без возможности их удаления или модификации;
  • способностью поддерживать псевдо-анонимные транзакции;
  • отсутствием зависимости от центрального органа, которая достигается благодаря децентрализованной структуре блокчейна;
  • применимостью в самых различных отраслях, в том числе в секторе финансовых услуг, здравоохранении, в госсекторе, в индустрии потребительских услуг – в качестве примера можно привести проект цифрового гражданства на основе блокчейна в Эстонии, использование блокчейна для сделок с недвижимостью в Дубае, или применение блокчейна Банком Ирландии.

Возможно, наиболее известное воплощение технологии блокчейн на данный момент – криптовалюта биткойн (Bitcoin). Это первая в мире форма валюты, эмиссия которой осуществляется не централизованно, и которая не контролируется правительством или государством. Термин «криптовалюта», употребляемый сегодня в отношении таких электронных валют как биткойн, получил свое название из-за того, что в таких валютах активно используется шифрование.

Можно ли рассматривать блокчейн в качестве ответа на быстрый рост числа цифровых учетных записей, с которым всем нам приходится иметь дело в нашей повседневной жизни? На сегодняшний день уже более 20 компаний используют инфраструктуры на базе блокчейна для различных функций управления идентификацией и доступом пользователей (Identity and Access Management, IAM).

Тем не менее, перспективы подобного использования остаются под вопросом, в том числе по следующим причинам:

  • Это база данных, но не механизм контроля доступа
    Распределенные реестры, такие как блокчейн, отлично подходят для хранения и архивирования информации с гарантией того, что эта информация всегда останется неизменной. Главная идея здесь заключается в том, что у вас остается надежный и защищенный репозиторий важной информации, например, денежных транзакций, медицинских записей или сделок с недвижимостью. Управление правами доступа и контекстуальный контроль авторизации в режиме реального времени все же обычно осуществляются не базами данных.
  • Право на забвение, предусмотренное в «Общих положениях о защите данных»
    Поскольку блоки информации в блокчейне не могут быть удалены или отредактированы, это фактически противоречит «праву на забвение, которое позволяет пользователям контролировать, каким образом хранятся их персональные данные. Одно из возможных решений заключается в том, чтобы публиковать различные атрибуты учетной записи удостоверения раздельно, чтобы их нельзя было связать друг с другом, например: возраст, имя, адрес. Кроме того, было предложено публиковать такие атрибуты с применением шифрования (cryptographically-valid) – таким образом, чтобы прочесть их смогла только та сторона, с которой осуществляется транзакция.
  • «Протухающие» хэши
    Учитывая, что блоки шифруются с помощью криптографических хэш-функций, может ли кто-либо гарантировать, что уже через несколько лет эти хэш-функции не будут взломаны с целью получения доступа к информации или взлома данных? Достаточно вспомнить алгоритмы хэширования MD5 или SHA-1, которые некоторое время назад считались весьма криптостойкими, но спустя какое-то время были официально признаны не такими надежными. И вновь, чтобы избежать рисков, здесь может пригодиться идея разделения и анонимизации отдельных атрибутов удостоверений.
  • Распределенные блоки данных
    Все участники частной или публичной блокчейн системы имеют копию всех блоков информации. И хотя блоки информации действительно шифруются или кодируются с помощью хэш-функции, учитывая все вышеизложенное, можно ли считать, что такой защиты будет достаточно? С другой стороны, поскольку в блокчейне используются пары открытых и закрытых ключей PKI для подписания блоков информации и аутентификации, хранение ключей в виде аппаратных токенов PKI или в аппаратных модулях безопасности может обеспечить дополнительный уровень защиты для закрытых ключей. Раздельное хранение атрибутов удостоверения в виде раздельных блоков также позволяет минимизировать подобные риски.
  • Подтверждение и верификация удостоверений
    Кто будет отвечать за подтверждение валидности атрибутов удостоверения, которое вы предоставляете в блокчейн? Например, кто подтвердит тот факт, что вы действительно являетесь тем, за кого себя выдаете? В таком контексте весьма удобными могут быть государственные цифровые удостоверения, подобные тем, которые предусмотрены в принятом Евросоюзом регламенте eIDAS, и которые выпускаются многими государствами Евросоюза, и в таких системах для работы с учетными записями также используется инфраструктура открытых ключей PKI. Добавление еще одного фактора, например, учитывающего особенности поведения, биометрию, аутентификации на основе знаний или на основе контекста, способно повысить уровень доверия. Кроме того, можно задействовать других поставщиков услуг, например социальные сети, телекоммуникационных провайдеров или банки, которые в состоянии подтвердить некоторые из этих атрибутов информацией, которой они располагают, и таким образом выступить в роли доверенной третьей стороны для верификации отдельных атрибутов: вашего адреса, номера телефона, возраста и т.д.

Как видно, указанные выше опасения отнюдь не отрицают возможности применения блокчейна в управлении идентификацией и доступом пользователей, и это направление можно считать очень перспективным при должном планировании.
Tags:безопасностьаутентификацияблокчейн
Hubs: Gemalto Russia corporate blog Information Security
Comments 5
Ads
Top of the last 24 hours