Анализ применения технологии блокчейн в целях обеспечения безопасности банковских операций

Дипломная работа
Содержание скрыть

Блокчейн — одна из самых перспективных технологических отраслей (наряду с Big Data, Machine learning, искусственным интеллектом), сравнимая по масштабу, степени влияния и распространению в будущем с тем эффектом, который в 1990-2000-е годы произвел интернет. По оценкам Всемирного банка, к концу 2017-го года уже 10% мирового ВВП будет храниться в блокчейне.

Снижение издержек, повышение уровня безопасности и более высокая прозрачность транзакций — три главных сильных стороны блокчейна. И в связи с потребностью банков, бизнеса и общества в этих трех аспектах, любая теоретическая работа или разработка в этой области становится достаточно актуальной.

Данная работа состоит из двух глав. Первая — теоретическая. В ней будет исследовано понятие блокчейн, какие связанные с ним проблемы поднимаются на теоретическом уровне, где технология может быть применена. Вторая — проектная. В ней будет проведен анализ того, насколько применение блокчейна обеспечивает безопасность банковских операций.

Цель работы — определить, насколько применение блокчейна обеспечивает безопасность банковских операций и провести сравнению с уровнем безопасности при текущих способах проведения банковских операций. блокчейн банковский операция безопасность

Задачи работы:

1) изучение понятия «блокчейн»

2) изучение текущего состояния блокчейна в банковской индустрии

3) определение целесообразности внедрения блокчейна в банковскую индустрию

ГЛАВА 1. ТЕОРЕТИЧЕСКОЕ ОПИСАНИЕ ТЕХНОЛОГИИ «БЛОКЧЕЙН»

1.1 Краткая историческая справка

Внимание к блокчейну привлекла возросшая популярность основанных на нем криптовалют. В 2009 году Сатоси Накамото опубликовал код биткоина, и криптовалюта торговалась по курсу 0,003 доллара за 1000 единиц — на текущий момент (12.05.2017) она выросла в несколько сотен тысяч раз, пробив отметку в 1800 долларов за 1 единицу.

Однако понятие и сферы применения блокчейна гораздо шире криптовалют. Особенности технологии распределенного реестра позволяют использовать его в большом числе отраслей — от систем передачи файлов в торрент-трекерах и до более надежной защиты авторских прав, например, в искусстве и выборов.

Естественно, технология блокчейна привлекла внимание банковского сектора. Если часть центральных банков со скепсисом относится к свободному хождению криптовалют на основе блокчейна, то сама технология вызывает большой интерес. Центральные банки развитых (США, Великобритания, Евросоюз) и развивающихся (Китай, Россия и др.) совместно с коммерческими банками создают рабочие группы по изучению блокчейна. В то же время крупнейшие европейские банки во главе с HSBC объявили о создании консорциума по разработке платформы на основе блокчейн для внутренних операцией между собой; Bank of America совместно с Microsoft занимается созданием онлайн блокчейн-платформы; а в России в создании «маркетчейна» принимают участие крупные коммерческие банки — «Сбербанк», «Тинькофф», «Альфа» и др.

38 стр., 18764 слов

Закрепление и углубление полученных теоретических знаний и выработка ...

... спроса на использование Интернет-технологий в ООО «Грин Вэй Тур» и определение оптимальных видов Интернет-технологий для повышения эффективности продвижения туристических продуктов потребителям в данной туристической организации. Целью исследования «Выпускная квалификационная работа» (WQ) является ...

Рисунок 1. Динамика затрат банков на изучение и внедрение блокчейна

Практическая часть работы будет посвящена изучению и анализу второго преимущества в контексте российского банковского сектора. Тема была несколько сужена, поскольку на момент ее выбора (декабрь 2016 года) ни один зарубежный банк не представил работающий на основе блокчейн продукт — на тот момент только велись активные разработки, ход и результаты которых не разглашались. По оценке генерального директора IBM по банкингу и финансовым рынкам Ликхита Уагла, в 2017 году число зарубежных банков, представивших свои блокчейн-проекты увеличится с 0 до 60.

В то же время «Сбербанк» уже реализовал несколько проектов на основе блокчейна. Первый — с «М.Видео», где участвовала дочерняя компания «Сбербанк факторинг». Второй — система документооборота с участием ФАС, «Аэрофлота», ОАК, «Русский уголь» и «ФортеИнвест».

1.2 Понятие технологии блокчейн

Винченцо Морабито — автор одной из самых известных книг о блокчейне «Business innovation through blockchain» — определяет технологию как распределенную децентрализованную защищенную шифром базу, публичный депозитарий информации, в котором каждая совершенная транзакция записывается и становится известна всем участникам сети. Любая транзакция в реестре признается действительной, только если ее одобряет более чем половина участников сети. Это означает, что ни один участник системы или агент извне не могут провести валидную транзакцию без согласия других пользователей.

Любая транзакция по своей сути — передача прав собственности. Природа практически любой такой операции подразумевает отсутствии взаимного доверия между участниками транзакции, для чего необходимо присутствие в сделке третьей стороны, которая бы гарантировала ее исполнение. Концепция блокчейна позволяет участникам системы достигать договоренностей о транзакции без участия и подтверждения со стороны посредника. Таким образом, необходимость в посреднике отпадает, что в теории позволяет изменить все сферы человеческой жизни, где так или иначе происходит обмен между лицами, не обладающими взаимным доверием.

Блокчейн — информационный массив, имеющий следующие характеристики:

  • Функционирующая по принципу peer-to-peer децентрализованная распределенная система
  • Определенные участники могут вносить изменения
  • Используется цифровая подпись и криптографические алгоритмы для аутентификации, верификации пользователя и предоставлении права вносить изменения и отслеживать факты транзакций
  • Структура системы делает практически невозможным внесение изменений в уже состоявшиеся записи (совершенные транзакции)
  • Структура системы приводит к тому, что участники системы становятся быстро осведомленными о том, что кто-то пытается внести изменения в совершенные транзакции
  • Финансовые транзакции — часть технологии
  • Непосредственные участники и широкая аудитория могут отслеживать транзакции

Рисунок 2.Централизованная и децентрализованная системы

Блокчейн — это цепочка блоков транзакций, реализованная на основе распределенной базы данных. Ключевым элементом является журнал транзакций, при этом проведение транзакций — единственный способ изменить состояние реестра. Чтобы транзакция считалась состоявшейся и подтвержденной (необходимо согласие больше половины участников сети), ее формат и подписи должны быть проверены, и в случае валидации она (или группа транзакций) записывается в блок.

4 стр., 1781 слов

Система бронирования «Сирена»

... версии системы СИРЕНА: сетевая инфраструктура СИРЕНА-2.3 с блоком бронирования авиабилетов СИРИН и сетевая инфраструктура СИРЕНА-2000 с блоком реализации авиабилетов СИРЕНА-ТРЭВЕЛ. Между этими сетями и системами бронирования работают ... транзакций, и др. В итоге на территории СССР было образовано несколько десятков компьютерных центров системы «СИРЕНА», связанных друг с другом разветвленной сетью ...

Блок включает в себя список транзакций и заголовок (header), который содержит собственный хеш, хеш предыдущего блока, хеш транзакций и дополнительную информацию. Связь между блоками за счет наличия в каждом (за исключением первого) хеша предыдущего означает, что невозможно внести изменения в блок, не изменив всю цепочку с первого блока — нельзя удалить какую-то транзакцию или вставить ее между уже совершенных. Хеш-функции и электронная подпись — два важнейших элемента блокчейна, обеспечивающие связность и авторизацию.

Децентрализация блокчейна обеспечивает его устойчивость — даже если часть узлов выйдет из строя на некоторое время, система все равно продолжит функционировать. Суть децентрализации и распределения заключается в том, что каждый участник сети имеет на своем жестком диске полную копию текущего реестра, что делает невозможным его компрометацию.

При проведении транзакции на вход подается информация о ней, а на выходе генерируется хеш, который записывается в хеш-сумму. Таким образом, если в блоке попытаются изменить хотя бы один бит, все участники системы (узлы) будут оповещены об этом.

Несмотря на то, что блокчейн — распределенная система, и каждый участник может проводить транзакцию, не все они равноправны. Участники системы делятся на операторов (майнер/валидатор), проводящих транзакцию; регуляторов сети, отвечающих за регистрацию и рядовых участников.

Рисунок 3. Структура участников блокчейна

Условия применения (согласно отчету «Сбербанка» на форуме «Блокчейн и открытые платформы»):

1) Наличие в сети определенного минимального количества числа независимых операторов (не менее 50%)

2) Большинство операций проходит напрямую

3) Каждый владеет минимум одной ключевой парой public-private для несимметричного шифрования

4) Открытость истории всех транзакций для всех операторов

5) Конфиденциальна только сами транзакции, а не факт их совершения

6) В текущей ситуации увеличение числа операторов не приводит к повышению производительности системы — появление решений, увеличивающих горизонтальную масштабируемость, ожидается через год

1.3 Принцип работы блокчейна

Базовая идея уже была описана выше, здесь будет обозначен весь процесс.

Первый шаг — определение транзакции. Отправитель создает транзакцию, в которой содержится информация об адресе получателя, предмете транзакции (сумма средств, товар и т.д.) и криптографическая цифровая подпись, верифицирующая валидность транзакции и ее правомочность.

Аутентификация транзакции. Узлы сети оповещаются о транзакции и проверяют валидность транзакции путем дешифрования электронной подписи. Если транзакция проходит проверку, то она встает в режим ожидания на включение в блок.

Создание блока. Один из узлов сети один раз за определенный интервал времени (10 минут в случае Биткоина) собирает находящиеся в режиме ожидания транзакции, формирует из них блок и отправляет на подтверждение другим участникам сети на предмет проверки и присоединения к цепочке.

Валидация блока. Узлы, ответственные за валидацию блоков, получают просьбу свалидировать созданный блок. Они запускают повторяющийся процесс, который требует одобрения от других узлов-операторов для того, чтобы признать блок действительным.

Присоединения блока к цепочке. Когда все транзакции в блоке одобряются, новый блок становится присоединенным к общей цепочке.

1.4 Преимущества и ограничения блокчейна

Винченцо Марабито обозначил преимущества и возможные ограничения. Сначала список преимуществ.

Уполномоченные пользователи. Блокчейн дает пользователям возможность контролировать информацию, а также транзакции, частью которых они являются.

Прочность, надежность, долговечность. Блокчейн не зависит от централизованной компьютерной архитектуры, что приводит к тому, что выпадение отдельных узлов на нарушит работу всей системы.

Прозрачный и неизменный процесс. Транзакции в блокчейне можно отследить и невозможно (экономически невыгодно) изменить.

Более быстрые и дешевые транзакции. Блокчейн имеет потенциал значительно снизить время и издержки, путем отказа от посредников и третьих лиц.

Однако внедрение технологии не проходит беспрепятственно, поскольку влечет за собой часть проблем, вызванных самой структурой и принципами технологии — среди таких процесс верификации транзакции и ограничение на число транзакций в определенный промежуток времени. Помимо этого, есть еще несколько, которые могут быть помехой внедрению блокчейна.

Статус государства, как регулятора. В настоящий момент валюты, используемые в финансовых транзакциях, регулируются государствами. Если блокчейн широко распространится в финансовых институтах, то государственные органы должны будут определиться, как им его регулировать, иначе его статус останется неопределенным. На данный момент норм и законов, регулирующих его работу, нет.

Вопросы безопасности и privacy. Несмотря на существование решений в области безопасности с использованием сложных алгоритмов шифрования, проблемы кибербезопасности остаются одним из главных факторов, влияющий на решение общества о передаче персональных данных с помощью блокчейнов.

Уязвимость программного обеспечения. Баги в коде программного обеспечения существуют всегда, и это является особой уязвимостью для злоумышленников. Раз уж программное обеспечение становится более сложным и завязанным на взаимодействиях между пользователями, его надежность падает, в то время как количество уязвимостей увеличивается. И хотя технологии быстро улучшаются, программный код, написанный человеком, никогда не будет идеальным — блокчейн не исключение. Вдобавок, целостность программного обеспечение и сети фундаментально важны для превращения блокчейна в инфраструктурную технологию. Если блокчейн переплетется со всеми главными финансовыми системами мира, то мощные атаки на него могут привести к катастрофическим последствиям.

Вопросы интеграции. Когда организация внедряет новую технологию для модернизации своих бизнес-процессов, она сталкивается с проблемой регулирования изменений для интеграции новой системы в соответствии с старой системой. В данной ситуации внедрение блокчейна ничем не отличается — это приведет к появлению сложной задачи, как грамотно спланировать переход от текущих систем к блокчейну.

Понимание технологии. Один из наибольших операционных рисков заключается в том, что относительно небольшое число людей понимает, как он работает. Программисты и хакеры обладают экспертными знаниями в написании программного обеспечения, понимании базовых функций и могут работать с этим. Однако компаниям следует быть озабоченными внедрением технологии, о которой известно мало. Например, недавно, немецкий автомобильный концерн «Фольксваген» признал, что разработанная ими программа намеренно вводила в заблуждение относительно уровня вредных выбросов их автомобиля. В следствии этого возник всерьез конфликт, где против компании помимо регуляторов оказалась и большая часть общества, что вынудило топ-менеджмент уйти в отставку. Подобные проблемы с блокчейном будут иметь гораздо большее последствие на финансовые рынки.

Затраты на внедрение. Сокращение издержек, которые обещает внедрение блокчейна, воодушевляет, однако внедрение потребует высоких первоначальных затрат, которые нельзя не принимать во внимание.

Децентрализация является одним из ключевых элементов блокчейна. С ее появлением отпадает необходимость в использовании централизованных систем и электронных платформ типа Google Drive. С использованием децентрализации и зашифрованных протоколов обмена информации сообщения могут отправляться, храниться и пересылаться без какого-либо вмешательства со стороны государства.

Децентрализованные базы данных позволяют децентрализовать и защитить способ обмена информацией. Если необходимо, информация может быть опубликована и распространена через большое число компьютеров зашифрованным способом, таким образом исключая возможность редактирования со стороны кого-либо. Примером децентрализованной базы данных является Anonymous Decentralized Cloud Storage System, которая использует блокчейн в коллаборации с другой peer-to-peer системой, позволяя тем самым пользователям использовать дополнительное место на жестких дисках. Это выглядит как централизованная платформы, основанные на облачных вычислениях, но с технологической точки зрения порядок действий на этих платформах разный.

В целях защиты от атаки 51% (когда один участник сети завладевает более чем половиной вычислительной мощности системы) размер блока (на примере Биткоин) остается не более 1 мегабайта, что позволяет поддерживать децентрализацию, но значительно ограничивает скорость транзакций — 3,3 в секунду, в то время как та же Visa проводит 22 тысячи в секунду. Расширение пропускной способности хотя бы до 10 транзакций в секунду потребовало бы увеличение размера блока до 1,6 гигабайт, что, во-первых, вызвало бы проблемы у маломощных майнеров, а, во-вторых, затруднило бы распространение блоков по узлам.

1.5 Smart contracts (умные контракты)

Блокчейн может автоматизировать сообщения с помощью специальных фрагментов кода, называемых умными контрактами. Эти контракты используют логику «if-this-then-that» — «если это, тогда — то». Процесс функционирования умных контрактов не предполагает какое-либо вовлечение людей. Это означает, что эти контракты децентрализованы, что позволяет им функционировать без посредников и регуляторов в виде третьих лиц. Умные контракты не написаны в соответствиях с юридическими формулировками, но так как это, по сути, компьютерные программы, то они подчиняются жестким правилам.

Вдобавок, умные контракты могут быть запрограммированы так, чтобы отражать бизнес-логику, основанную на данных, что может включать в себя:

  • сосредоточение главного внимания на возвращение структурированной ноты
  • обеспечение по кредиту
  • голосование

Рисунок 4.Представление бизнес-логики в smart contracts

Таблица 3. Описание бизнес-логики в smart contracts

Номер на блок-схеме

Текст на блок-схеме

Описание

1

Условия контракта

Стороны сделки устанавливают обязанности и правила.

Активы под доверительным распоряжением smart contracts

Условия для использования логики контракта («if…then»)

2

События

События запускают действие контракта

События ссылаются на произведенные транзакции или полученную информацию

3

Бизнес-логика

Бизнес-логика диктует движение активов, основываясь на выполняемых условиях

4a

Предмет контракта

Активы переводятся получателю, обозначенному в условиях контракта

4b

Регистрация соглашения

Изменение собственника активов отражается в реестре

Однако, существует несколько вопросов относительно умных контактов:

  • Гибкость. Cмарт-контракты верят всему, что относится к переговорам, может быть определено вначале переговоров участниками, что иногда неточно.
  • Обязательство. Результатом отсутствия посредников и регуляторов может быть определенный уровень сложностей
  • Обеспечение исполнения обязательств.

В текущих условиях практически невозможно решить все транзакционные отношения путем перехода к смарт-контрактам.

1.6 Сферы применения блокчейна

Особые характеристики блокчейна дают ему широкое поле для применения, однако не во всех случаях внедрения технологии будет полезно для компании. Согласно отчету Гидеона Гриспена (основатель и SEO CoinSciences, компании, которая разрабатывает платформу MultiChain), интеграция блокчейна в компанию имеет смысл только при выполнении определенных предпосылок:

  • Использование базы данных с общим доступом
  • Изменяют базу число участников, которое большие единицы
  • Между участниками отсутствует доверие
  • Необходимость в отсутствии посредников
  • Взаимозависимость операций, потребность в создании цепочек
  • Наличие внутренних регламентов проведения операций
  • Обеспеченность активов, для циркуляции которых используется блокчейн

По мнению Гриспена, первые пять пунктов являются обязательными вводными условиями для внедрения блокчейна — в противном случае можно обойтись обычными базами данных типа Oracle, MySQL и так далее.

Если же условия соблюдаются, то в первую очередь блокчейн применим в финансовом секторе. SWIFT в 2016 году опубликовала отчет, где было сказано о перспективности применения блокчейна в межбанковских операциях. В октябре 2016-го крупнейшие российские коммерческие банки и VISA представили «Мастерчейн» (блокчейн-платформа ЦБ), разработанный на платформе Ethereum. Благодаря этой интеграции планируется повысить оперативность обмена данными и сверки информации о клиентах, а также повысить прозрачность.

В отчете международного экономического форума за 2016 год были высоко оценены перспективы блокчейна в области клиринга — автоматизация операций и снижение риска для участников (в первую очередь нивелируются скачки курсов валют).

В целом применение блокчейна возможно далеко за пределами финансовых институтов — в любой области, где так или иначе существует учет и передача правил собственности (естественно для действительной потребности в блокчейне необходимо, чтобы выполнялись условия, описанные Гриспеном) — страхование, авторское право, интернет-вещей и так далее. Уже сейчас в мире реализовано несколько крупных блокчейн-проектов вне финансового сектора.

Стартап Agriledger занимается учетом урожая, собранного фермерами — запись в блокчейне позволяет избежать расхищения в промежуточных звеньях цепочки между ними и конечными пунктами розничной торговли.

Стартап Everledger занимается учетом бриллиантов — это позволяет создать подтверждение подлинности камней и невозможность, в случае кражи, переписать право собственности на себя.

1.7 Методы подтверждения

В теории возможна ситуация, когда участник провел транзакцию, а потом захотел ее вернуть. Для этого он может создать свою версию блокчейна, куда эта транзакция не будет включена. Из-за этого участники системы не будут иметь информации касательно валидного состояния реестра. Для этой цели было разработано несколько средств защиты от несанкционированных вмешательств в работу блокчейна.

Доказательство работы (proof of work) — протокол защиты системы. Любой, желающий записать блок в базу данных, должен выполнить определенную сложно вычислимую задачу, построенную на принципе односторонней функции. Процесс вычисления занимает длительный срок, в то время как принимающая сторона быстро проверяет полученный результат.

Первую систему доказательства работы продемонстрировал Адам Бек в 1997 году- это была система Hashcash, которая использовалась для сокращения количества спама и DoS-атак. Перед отправкой сообщения к заголовку добавлялась некоторая отметка, подтвердить валидность которой можно только полным перебором. Таким образом, перед отправкой каждого сообщения проходило некоторое время, что существенно снижало число сообщений, которые можно разослать в течение суток (хеш-вычислений, что снижает число отправляемых в сутки сообщений до 1750).

Проверка вычислений на принимающей стороне происходит быстро — за счет однократного вычисления SHA-1 с заранее подготовленной меткой. В блокчейне proof-of-work используется, чтобы убедиться в том, что майнер, пытающийся добавить блок в цепочку, фактически выполнил расчеты.

Возможная уязвимость proof-of-work существует на теоретическом уровне — она пока не нашла подтверждения. В теории алгоритмов существует гипотеза, что время на поиск решения и время на проверку истинности решения примерно равны, но пока это задача не близка к решению и входит в список семи задач тысячелетия.

Консенсус доказательства работы (proof-of-work consensus).

Майнер создает блок с транзакциями и высчитывает хеш заголовков блока (block header).

Затем этот хеш сопоставляется c предполагающейся целью или с последним блоком системы. Если хеш не совпадает, то вычисления повторяются, но с использованием приспособленного криптографического псевдослучайного числа, который называют «nounce». Такой метод используется для того, чтобы изменять значение, подающееся на вход криптографической функции до тех пор, пока соответствие хеша не будет достигнуто. Определенное значение «nounce» может быть использовано только один раз, а для следующей попытки генерируется новый — обычно с помощью простого инкремента на единицу. Новый блок может быть добавлен в цепочку, только после того, как наступает соответствие между хешами.

Proof-of-stake (доказательство доли) — протокол защиты, альтернативный proof-of-work, в котором необходимо в качестве доказательства подтвердить хранение определенной суммы на счете. С более высокой вероятностью при формировании следующего блока система выберет майнера с большим количеством средств на счете, при этом вероятность этого выбора не зависит от мощности его процессоров. Поэтому энергозатраты в этой транзакции — каждая минута. Для того, чтобы подорвать надежность системы один из участников должен собрать в своих руках более 50% всех средств системы, что очень затратно.

Proof-of-stake имеет больше преимуществ по сравнению с proof-of-work. Главное — более низкие временные затраты (нет необходимости в длительных вычислениях), однако это не избавляет от возможных проблем. Также нет доказательств эффективности в защите от рисков, возникающий в криптовалютах.

Два существенных плюса этого протокола — атака на систему стоит очень дорого, и если какой-то участник ее все же проведет, то сам существенно от этого пострадает, поскольку нарушит устойчивость системы. Аргументы против — метод дает мотивацию накапливать средства на отдельных счетах, что ставит под вопрос децентрализацию; в случае образование небольшого пула участников, сосредоточивших в своих руках большинство средств, эта группа может навязать свои условия функционирования системы.

Консенсус доказательства доли (proof-of-stake consensus).

Только участники с наибольшей долей в системе принимают участие в создании блоков. Активное участие в блокчейн-системе дает право на генерацию новых блоков. Блоки создаются по принципу, близкому к тому, что действует при proof-of-work, за исключением того, что операции с хешированием происходят на ограниченной области поиска (search space), а не требующей большого объема вычислений неограниченной области поиска.

Гибрид proof-of-work и proof-of-stake был впервые предложен Скоттом Надалем и Sunny King в брошюре «PPCoin: Peer-to-Peer Crypto-Currency with Proof-of-Stake».

Таблица 1. Главные характеристики proof-of-work, proof-of-stake и гибрида

Схема

Низкое время ожидания

Низкие энергозатраты в долгосрочном периоде

Proof-of-work

Нет

Нет

Proof-of-stake

Да

Да

Гибрид

Да

Да

ибридный подход предполагает использование proof-of-work для майнинга и распределения на начальной стадии, и это делает возможным распределение монет майнерам через сеть. Proof-of-stake же обеспечивает высокий уровень эффективности пользования энергией. Более того, создание блоков с помощью гибридной схемы зависит от модели, называемой «coinage», что является произведением общего числа монет, находящегося в распоряжении майнера, и сроком нахождения средств у текущего владельца. Когда наступает момент присоединения блока к цепи, то выбирается блок с наибольшим значением «coinage». Низкий уровень потребления энергии — главное преимущество этой схемы.

Для успешной атаки на блокчейн с гибридной системой защиты, атакующий должен владеть 51% мощности системы и 51% средств в системе, что практически невозможно и защищает блокчейн от компрометации.

1.8 Типы блокчейн-систем

Приватные блокчейны — те, в которых блоки создаются централизованно, и все права на проведение операций принадлежат одной организации. Агенты извне могут только следить за транзакциями, в то время как проводить аудит, управлять базами и т.д. могут только доверенные узлы.

Преимущества приватных блокчейнов:

  • Более низкая стоимость транзакции — достигается за счет того, что валидность проверяется несколькими высокопроизводительными узлами, а не множеством пользовательских устройств, как в публичных блокчейнах.
  • Показатель TPS (транзакций в секунду) значительно выше, чем у публичных блокчейнов.
  • Больший контроль над системой со стороны компании. Приватный блокчейн позволяет быстро обновлять функциональность.
  • Создание блоков в приватном блокчейне зачастую не требует proof-of-work.

Имеется установленное число обработчиков транзакций, у каждого есть открытый и секретный ключ. Создатели блоков известны и определяются по цифровой подписи в заголовке.

Принцип работы приватных блокчейнов в следующем. Операторы формируют блоки по очереди с фиксированными временными интервалами — порядок либо определен, либо перемешивается после окончания цикла. Если участник не успел сформировать блок за определенное время, то он пропускает круг. Таким образом, если участниками транзакций являются только операторы данного приватного блокчейна, можно построить надежный протокол создания блоков без необходимости использования proof-of-work.

При этом proof-of-work все же может быть подключен для повышения доверия к системе со стороны внешних участников (если в этом есть необходимость).

Без данного проверочного механизма уровень доверия к приватному блокчейну равнозначен уровню доверия к организации, которая его создала и эксплуатирует. С его внедрением конечные пользователи могут полагаться уже на объективные математические законы, которые свидетельствуют о высокой экономической стоимости атаки на систему.

В публичных блокчейнах любой пользователь может создать блок транзакций — достаточно пройти соответствующий механизм верификации (proof-of-work или proof-of-stake).

Эффективность системы достигается за счет обновлений протокола, предотвращающих преступные изменения. За счет этого достигается ее децентрализация — нет необходимости в ядре, в главном контролирующем органе.

Преимущества публичных блокчейнов:

  • Обладают важным свойством сетевых эффектов. Взаимосвязь между двумя системами, функционирующими на блокчейне приводит к тому, что пользователь одного с высокой вероятностью станет пользователем второго.

— Разрешается проблема передачи «товаров». В классической системе продавец — покупатель посредник необходим, чтобы гарантировать передачу денег в одном направлении и «товаров» — в другом (за это естественно полагается комиссия).

Однако наличие валюты и системы доменных имен позволяет исключить это звено за счет использования смарт-контрактов.

Блокчейн консорциума — блокчейн, контролируемый определенным числом заранее выбранных организаций/физических лиц (узлов), являющийся частично децентрализованным, поскольку проводить транзакции в нем могут только обозначенные участники системы. Для того, чтобы транзакция стала валидной, не обязательно, чтобы все участники системы ее подтвердили — достаточно обговоренной заранее доли (обычно 2/3 и больше).

Право на чтение может быть как открытым, так и ограниченным только для непосредственных участников.

Таблица 2. Сравнение приватных и публичных блокчейнов

Публичные блокчейны

Приватные блокчейны

Участники необязательно известны

Участники обязательно известны

Участники необязательно проверенные

Участники обязательно проверены

Любой без специального разрешения может отслеживать транзакции

Только одобренные участники могут отслеживать транзакции

Любой без специального разрешения может вносить изменения

Только одобренные участники могут вносить изменения

1.9 Инструменты безопасности

Двумя основополагающими элементами блокчейна, обеспечивающими его безопасность являются хеш-функции и электронная подпись.

Хеширование — это процесс преобразование массива входных данных произвольной длины в битовую строку фиксированной длины, которая подается на выход. Правильно составленная хеш-функция обеспечивает защиту от коллизий — невозможность получить два одинаковых хеша при различных начальных данных — и обладает эффектом лавины, когда любое изменение в массиве входных данных влечет за собой изменения в появляющейся на выходе битовой строке.

Хеш-функции гарантируют неизменность блоков транзакций — невозможно внести изменение в отдельный блок, не изменив всю цепочку. Это происходит из-за того, что каждый новый блок ссылается на хеш предыдущего в реестре. Индивидуальный хеш блока зависит от всех его транзакций, но вместо того, чтобы последовательно передавать транзакции хеш-функции, они собираются воедино хеш-значение при помощи двоичного дерева Меркла с хешами. Таким образом, хеши используются как замена указателям в обычных структурах данных: связанных списках и двоичных деревьях.

За счет использования хешей общее состояние блокчейна можно выразить одним-единственным числом: хешем самого нового блока. Поэтому свойство неизменности хеша одного блока гарантирует неизменность всего блокчейна.

Рисунок 5. Структура блокчейна и формирование хеша

В цифровых подписях в блокчейнах используются два ключа — закрытый и открытый. Первый используется для формирования цифровой подписи и является засекреченным. Второй — для проверки подлинности подписи. Открытый ключ можно вычислить на основании закрытого, а вот обратное действие на практике нереализуемо из-за слишком большого объема вычислений.

Рисунок 6. Различие в обращении к системе через электронную подпись в блокчейне и в обычных случаях

1.10 Вызовы в области безопасности блокчейна

Выделяются несколько фундаментальных вопросов, касательно безопасности операций на блокчейне.

1.10.1 Распределенный или растиражированный?

Один из главных поводов для критики со стороны специалистов по эксплуатации (field engineer) является вопрос репликации и дублирования. Распределенная система или сеть полагается на два процесса главным образом для того, чтобы обеспечить последовательность и стабильность среди всех участников системы. Дублирование производит поиск по всем узлам с целью отразить в них все последние изменения. Репликация в свою очередь распознает один узел, как оригинал, и проводит апдейт остальных в соответствии с ним. Процесс репликации критиковался за чрезмерную сложность и большие затраты компьютерных мощностей и временных ресурсов.

1.10.2 Монополия майнеров

Процесс майнинга поддерживается и осуществляется участниками сети. И хотя система предполагается как децентрализованная, где участники не знают друг друга, есть опасения по поводу монополизации майнинга и создании нескольких групп путем кооперации участников. Более того, недавние исследования показывают, что блокчейн не способствует к полной соревновательности (incentive-compatible).

Это означает, что сеть создает майнерам стимул следовать установленным протоколам — таким образом, работать с допущением, что они будут честны или примут данные инициативы. В то время как меньшинство не может завладеть большим процентом компьютерных мощностей, рациональные майнеры предпочтут действовать в одиночку. Этот процесс продолжается постепенно до тех пор, пока меньшинство не станет большинством и не завладеет большинством мощностей, однако это маловероятно ввиду первоначальной предпосылки — отсутствие доверия между участниками.

1.10.3 Двойное расходование

Это следствие непостоянного состояния узла (обычно блоки закрываются раз в 10 минут, поэтому теоретически есть возможность совершить несколько транзакций на одни и те же средства в течение этих 10 минут).

Двойное расходование — ситуация, когда участник стремится несколько раз провести транзакцию с одними и теми же средствами (оно может быть умышленное и неумышленное).

Когда несколько узлов совместно владеют одними и теми же средствами, только одна транзакция с этими средствами будет валидной. При умышленной атаке двойного расходования атакующий может перевести средства жертве только с целью создать затем обратную транзакцию самому себе. Проблема двойного расходования избегается таким образом, что при закрытии блока валидной признается самая первая транзакция — остальные же не учитываются.

Однако потеря средств все же может произойти, если пользователь удовлетворяется слишком малым числом подтверждений (длиной цепочки после первого подтверждения, недостаточной для отторжения блоков, включающих транзакции с повторным расходованием).

1.11 Проблемы с безопасностью, связанные с применением и внедрением блокчейна

В вышедшем в марте 2017-го года отчете Федеральной резервной системы США по внедрению DLT (технологии распределенного реестра) выделяется несколько препятствий, стоящих на пути внедрения блокчейна в банковской индустрии — платежах, клиринге и взаиморасчете. Ниже выделены те, которые так или иначе связаны с безопасностью (Finance and Economics Discussion SeriesDivisions of Research & Statistics and Monetary A?airsFederal Reserve Board, Washington, D.C., 2017).

1.11.1 Криптографический ключ и управление доступом к данным

Важной проблемой бизнеса при использовании децентрализованных распределенных реестров является управление криптографическими ключами и доступом к данным. Ведь при потере ключей пользователи могут моментально понести невосполнимые денежные и ресурсные потери и подвергнуться компрометации учетных данных. Потеря ключа может привести к экономическим потерям, связанным с захватом учетной записи и мошенничеством. Компрометация ключей может сделать данные нечитаемыми или недоступными, что приведет к постоянной потере средств, защищенных криптографией. Возможность связать открытые ключи с физической личностью или юридическим лицом, также является важным аспектом в области цифровой подписи, связанным с соблюдением конфиденциальности, где к пользователям предъявляются юридические требования, такие как соблюдение требований борьбы с отмыванием денежных средств.

Способность сохранять секретный характер закрытых ключей и достигать желаемых свойств безопасности шифрования с открытым ключом является сложной и комплексной задачей, которая зависит от множества факторов, включая неуязвимость криптографии и протоколов, используемых для генерации ключей, хранения, распространения, аннулирования и уничтожения ключей. Отвечая на эти проблемы, многочисленные органы по стандартизации и регулирующие органы разработали подробные рекомендации и минимальные требования к использованию криптографических ключей на предприятиях (в бизнесе) и дизайну систем управления криптографическими ключами.

Применение требований и инструкций к децентрализованным распределенным реестрам станет важным шагом для того, чтобы технология стала жизнеспособной. Помимо специфических вопросов управления ключами государственным структурам и бизнесу, внедряющим децентрализованные распределенные реестры, будет необходимо изучить другие стороны информационной безопасности, которые выходят далеко за пределы криптографии.

1.11.2 Разработка стандартов

Разработка стандартов — еще одна значимый аспект для удачной интеграции децентрализованных распределенных реестров. Стандарты важны для обеспечения базового уровня взаимодействия между различными реализациями децентрализованных распределенных реестров и традиционными системами. Если организации в конечном счете принимает участие в системе с несколькими децентрализованными распределенными реестрами, открытые отраслевые стандарты также могут помочь снизить затраты на внедрение и интеграцию и обеспечить последовательность ожиданий относительно того, как информация, основанная на децентрализованных распределенных реестрах, структурирована и доступна. Действительно, отрасль рассматривает пути достижения общих стандартов.

Одна из сложностей, однако, состоит в том, что большинство приложений децентрализованных распределенных реестров в настоящий момент все еще находятся в стадии разработки и тестирования. И на данный момент в отрасли не хватает достаточной информации для разработки соответствующих стандартов. Это характерно для появляющихся технологий на этапе подтверждения концепции.

Помимо совместимости, API-интерфейсы могут потребоваться для того, чтобы децентрализованных распределенных реестров системы могли обращаться к внешним системам с просьбой добиться усовершенствований, которые не являются ключевыми для самой децентрализованных распределенных реестров системы. Надежный набор API-интерфейсов также может помочь организациям реализовать операционную эффективность децентрализованных распределенных реестров, не требуя значительных изменений в ИТ архитектуре в краткосрочной перспективе.

С этой точки зрения технология децентрализованных распределенных реестров — это не просто конечный продукт, но ее можно рассматривать, по крайней мере, частично, как разработчиков платформы, на которой может основываться конечный продукт. Создание открытых API-интерфейсов, языков программирования отраслевых стандартов и наборы средств разработки программного обеспечения, снижает барьеры для организаций и их команд разработчиков входить в отрасль децентрализованных распределенных реестров, выступая в качестве потенциального катализатора для интероперабельности.

1.11.3 Управление информацией

Технология децентрализованных распределенных реестров вносит необходимость того, что пользователи обмениваются общей информацией в реестре, которую очень сложно изменить. Очень значимо, чтобы общая информация была правильной и корректной. Это требование может быть трудно выполнимым, если много пользователей могут редактировать записи в реестре. Например, решения относительно того, кто может создавать новые записи и как информация, которая вводится в систему, проверяется на точность, являются фундаментальными. Кроме того, разработчики децентрализованных распределенных реестров должны определить, как обрабатываются и разрешаются ошибки и известные мошеннические действия в отношении учетных записей.

Дополнительным вызовом является определение информации, которой необходимо поделиться. Этот вопрос особенно сложно решать, когда в цепочке распространения информации (в том числе о клиентах) принимают участие конкуренты. Должно быть также приведено в соответствие с законами и положениями о конфиденциальности. Участники должны будут согласовать объем распространяемой информации и вопрос о том, должен ли полный набор информации быть доверен центральному учреждению, например, клиринговому. Неспособность договориться об уровне этой «дифференцированной конфиденциальности» может стать одной из проблем в достижении критической массы пользователей.

1.11.4 Финансовые и денежные инструменты

Токен — компактное устройство, используемое для обеспечения информационной безопасности своего владельца. Используется для идентификации пользователя и предоставления защищенного удаленного доступа к информации.

«Некоторые из опрошенных рассматривают электронные представления ценных бумаг, которые могут быть проведены и переданы по соглашениям технологии распределенного реестра. Ценные бумаги могут быть первоначально выпущены в электронной форме или в бумажной форме, и независимости от метода эмиссии традиционные варианты разработки применимы к записям ценных бумаг с правом входа, которые «обездвижены» или «дематериализованы» с помощью соответствующей записи (хранителя) ценных бумаг. Затем необходимо сделать выбор того или иного типа безопасной записи, которая выдаётся непосредственно конечному владельцу с передачей требуемого обеспечения изменения в регистрации ценной бумаги, или же ценные бумаги могут храниться в взаимозаменяемой форме, которую можно удерживать и передавать через посредников». [5, с. 29]

Со временем технология распределенных реестров предоставит возможности для пересмотра традиционных вариантов проектирования, хранения и передачи ценных бумаг. Например, одной из новых разработок является концепция «токенизации», где закодированные данные предназначены для представления ценной бумаги в каком-либо типе реестра для обеспечения быстрой и легкой передачи между владельцами или их посредниками, но не самой ценной бумаги или совокупности прав и обязанностей, которые представляет собой ценная бумага.

«Один аспект, который не изменится, состоит в том, что сами ценные бумаги по определению будут оставаться обязательствами конечного эмитента ценных бумаг. Посредники, которые проводят электронные ценные бумаги в своих книгах, по-видимому, по-прежнему будут иметь права и обязанности в отношении этих ценных бумаг. Если системы с токенами, представляющие ценные бумаги развиты, и токены не спроектированы, чтобы быть ценными бумагами, то могут возникнуть вопросы о статусе токенов, о том, что они представляют, и о том, как они обрабатываются, когда вклады или переводы проходят неверно. Связанные с этим вопросы существуют для физических товаров, хотя правовые рамки могут быть разными, и роль физических базовых активов должна быть принята во внимание». [5, с. 30]

ГЛАВА 2. АНАЛИЗ «БЛОКЧЕЙНА» В КОНТЕКСТЕ БЕЗОПАСНОСТИ

В качестве темы для анализа была выбрана безопасность, которую может обеспечить внедрения блокчейна для банковских операций. Для этой цели сначала необходимо определиться с тем, что подпадает под понятие «банковская операция».

2.1 Определение понятия банковская операция

Пятая статья Федерального закона от 02.12.1990 N 395-1 (ред. от 03.07.2016) «О банках и банковской деятельности» (с изм. и доп., вступ. в силу с 01.01.2017) определяет банковскую операцию как:

1) «привлечение денежных средств физических и юридических лиц во вклады (до востребования и на определенный срок);

2) размещение указанных в пункте 1 части первой настоящей статьи привлеченных средств от своего имени и за свой счет;

3) открытие и ведение банковских счетов физических и юридических лиц;

4) осуществление переводов денежных средств по поручению физических и юридических лиц, в том числе банков-корреспондентов, по их банковским счетам;

  • (в ред. Федерального закона от 27.06.2011 N 162-ФЗ)

5) инкассация денежных средств, векселей, платежных и расчетных документов и кассовое обслуживание физических и юридических лиц;

6) купля-продажа иностранной валюты в наличной и безналичной формах;

8) выдача банковских гарантий;

9) осуществление переводов денежных средств без открытия банковских счетов, в том числе электронных денежных средств (за исключением почтовых переводов)». [2, с. 5]

Таким образом, упомянутый в первой главе проект «Сбербанка» по созданию документооборота с ФАС и отдельными компаниями хоть и является примером реализации проекта на основе блокчейна в России, но не попадает под понятие «банковская операция», которое определяет Федеральный закон о «Банках и банковской деятельности».

Для упрощения можно выделить следующие действия, которые подпадают под понятие банковской операции, и при применении к которым блокчейна в теории можно достигнуть повышения уровня безопасности:

  • Депозитам
  • Кредиты и кредитные линии частным лицам
  • Денежные переводы
  • Межбанковские переводы
  • Посредничество между компаниями (факторинг и т.д.)

2.2 Угроза безопасности

За угрозами безопасности банковских операций принимается любое несанкционированное и несогласованное с владельцами счета или участниками транзакции вмешательство в процесс. Источниками угрозы могут быть клиенты банка, банковские работники и сторонние мошенники.

Банки в публичном поле гораздо больше внимания уделяют тому, что блокчейн серьезно позволит снизить транзакционные издержки. Не будет потребности в дорогостоящем хранении бумажных носителей и серьезно сократятся временные затраты, поскольку, во-первых, сократится время проведения операций, а, во-вторых, не нужно будет тратить время на мапинг на разных версий одного документа. Однако, несмотря на то, что банки пока обсуждают сокращение издержек без внимания к безопасности как к первопричине внедрения, блокчейн может повысить уровень безопасности банковских операций, о чем будет подробнее рассказано ниже.

Важно заметить, что при текущей ситуации не видно предпосылок для использований публичного блокчейна в банковском секторе, поскольку главное отличие публичного блокчейна — анонимность. При этом банкам важно не только знать, что операцию совершил владелец счета, но и знать точные его данные — фамилия, имя и так далее, — поскольку это подпадает под требования «Знай своего клиента» (Know your customer), подразумевающей, что перед проведением любой операции банк должен провести аутентификацию и идентификацию пользователя.

2.3 Как блокчейн может повысить безопасность банковских операций

Блокчейн не защищает от самого распространенного сейчас метода мошенничества — фишинга, — когда злоумышленники не атакуют систему напрямую, а за счет вирусов крадут пароли от счетов. В случае с блокчейном это будет электронная подпись/токен/ключ и так далее — как было сказано в первой главе, потеря ключа естественно компрометирует участника системы и персональные данные.

Однако не менее серьезным, особенно в России, является мошенничество сотрудников банков в отношении счетов и кредитных линий клиентов — и это как раз то, с чем внедрение блокчейна может бороться. Ключевое отличие блокчейна от обычных децентрализованных баз в формировании блоков, которые практически невозможно скомпрометировать, и замена централизованной базы данных в отдельном банке на приватный блокчейн с определенными ограничениями на чтение и редактирование пошел бы на пользу всем — самим клиентам (сохраняют деньги), регуляторам и самому банку, поскольку вышестоящее руководство крупных банков, таких как «Сбербанк, «Тиньков», «Альфа», не заинтересовано в мошенничестве — им обычно занимаются рядовые сотрудники.

Сейчас, при использовании централизованных баз, недобросовестные сотрудники могут без ведома клиента, например, изменять условия по кредиту (повышать процентную ставку).

В случае отсутствия закрепленного на бумаге подтверждения условий, вся информация о кредитах хранится в электронном виде — и находящийся в сговоре с сотрудником IT-отдела банкир может без ведома клиента от его имени согласиться на изменения условий, и при этом зачистить или «откатить» логи, чтобы договор в базе выглядел таким образом, будто он так заключен с самого начала.

Применение блокчейна позволит избежать этой проблемы по нескольким причинам. Во-первых, никакие изменения в состоянии счета будут невозможны без подтверждения уникальной электронной подписью клиента, которая хранится у него.

Во-вторых, первоначальные условия по договору уже будут представлять из себя блок, который нельзя будет изменить — любые изменения будут рассматриваться уже в рамках нового блока, который будет содержать хэш предыдущего. В-третьих, у каждого клиента в распоряжении будет копия базы из банка (например, с ограниченным правом редактирования и с правом чтения всех), которая будет синхронизироваться в определенный промежуток времени (например, раз в сутки).

С интеграцией блокчейна станет невозможна ситуация, происходившая в 2011-2016 годах в американском банке Wells Fargo, когда сотрудники банка (с санкции топ-менеджмента, борющегося за бонусы) открывали тысячи несогласованных с клиентами кредитных линий, что привело к крупнейшему с 2008 года скандалу в банковском секторе США и миллиардным потерям клиентов.