А вам нравится «BIS Journal»?

Присоединяйтесь к обществу профессионалов по информационной безопасности.

«BIS Journal» рекомендует!
Нажмите МНЕ НРАВИТСЯ!

28 ноября, 2016«BIS Journal» № 4(23)/2016

Дыгин Денис

эксперт, член рабочей группы Государственной Думы Федерального Собрания РФ по вопросу правового регулирования выпуска и оборота криптовалюты (Технический комитет по стандартизации ТК 26)

Лавриков Иван

эксперт ISO/IEC JTC 1 SC 27 (Технический комитет по стандартизации ТК 26)

Маршалко Григорий

эксперт ISO/IEC JTC 1 SC 27, член рабочей группы Государственной Думы Федерального Собрания РФ по вопросу правового регулирования выпуска и оборота криптовалюты (Технический комитет по стандартизации ТК 26)

Шишкин Василий

эксперт ISO/IEC JTC 1 SC 27, кандидат физико-математических наук (Технического комитета по стандартизации ТК 26)


Электронные валюты: технические и нормативные вопросы функционирования и обеспечения безопасности

От формы денег к роли государства

Широко обсуждаемый в настоящее время феномен «электронных валют» или, как их еще называют, «криптовалют», зачастую трактуется различными авторами неоднозначно. Под электронной (крипто-) валютой различные авторы, да и финансовые институты, часто понимают и универсальный финансовый инструмент, и средство накопления, и товар, и, что наиболее распространено, электронные денежные средства, которые используются как "альтернативная" или "дополнительная" валюты.
 
На основе информации, содержащейся в доступных источниках, можно сделать вывод, что идея создания криптовалют возникла в 1998 году. В работах Вэй Дай рассматривается возможность построения денежной системы для общества, пребывающего в состоянии так называемой "криптографической анархии" (англ. crypto-anarchy), концепция которой была сформулирована в 80-х годах прошлого века Тимоти Меем в "Манифесте криптографического анархиста". Правительства, регулирующие и надзорные органы в данном обществе являются избыточными элементами. Идеология "криптографической анархии" основывается на вере в стойкость используемых криптографических механизмов, широкое распространение которых, по мнению автора, и позволит обеспечить невозможность проведения со стороны государства (или другого контролирующего органа) ревизионных мероприятий в отношении содержания или характера передаваемой между субъектами информации, равно как и личностей указанных субъектов. Подобная концепция, с одной стороны, позволила сформулировать условия задачи (в том числе, криптографической) по построению систем выработки и обмена "денежными единицами" без участия контролирующих органов (сейчас уже сложно представить себе общество без денег или их эквивалента). С другой стороны, сформировался определённый круг лиц, заинтересованных в создании и использовании подобных систем (в частности, лиц, стремящихся скрыть свою финансовую деятельность). Существенное развитие информационно-телекоммуникационных систем открыло дополнительные возможности оборота таких "денежных средств", поскольку расширило круг лиц, которые могут их использовать.

Если отойти от вопроса регулирования финансовой составляющей и рассмотреть непосредственно технические аспекты, то становится очевидным, что реализация криптовалюты представляет собой некоторую информационную систему, в которой пользователи обрабатывают определенный тип информации. Данные информационные системы обычно предназначены для эмиссии, обмена и учёта некоторого цифрового актива. При этом ключевыми представляются механизмы осуществления транзакций между пользователями системы, подтверждения транзакций (и обеспечения невозможности отказа от совершённой транзакции), хранения истории транзакций. Для реализации данных механизмов обычно реализуются функции:
  • регистрации пользователей системы (с проведением или без проведения процедуры (упрощённой) идентификации);
  • эмиссии и/или изъятия из обращения используемого цифрового актива;
  • передачи информации, её обработки, хранения и подтверждения подлинности.        
Вне зависимости от законодательного отношения к криптовалютам, можно утверждать, что циркулирующая в системе криптовалюты (или какой-либо другой системы, построенной по сходному принципу) информация обладает определённой ценностью для пользователя. В связи с этим, важнейшим аспектом является обеспечение безопасности информации при её передаче, обработке и хранении. Следует отметить, что в настоящее время в Российской Федерации уже существует устоявшаяся законодательная и нормативная база в области защиты информации. Она определяет широкий спектр вопросов как в чисто техническом (например, использование определенных алгоритмов, форматов данных и т.п.), так и в организационном (сертификация систем, учет носителей и т.п.) планах.

В частности, в системе, как правило, циркулирует информация о пользователях, например, сведения, используемые при идентификации, и история транзакций. Особенно остро вопрос обеспечения безопасности подобной системы может встать в случае, если потребуется реализация механизмов аутентификации пользователей в системе. Таким образом, при реализации данных систем необходимо принимать во внимание положения Федерального Закона от 27 июля 2006 года № 152-ФЗ "О персональных данных".

Нельзя забывать, что любое решение в области безопасности разрабатывается в рамках некоторой теоретической модели, поэтому, в случае, если реальная ситуация его использования будет отличаться от такой модели, то, как показывает современная практика исследований, оно уже не может дать полной гарантии защищённости. Действительно, использование криптографических систем с теоретически обоснованными свойствами не всегда приводит к требуемому результату.

Рассмотрим простой пример. Пусть есть руководитель, наделённый возможностью ставить электронную подпись под документом, и его секретарь, который данный документ для подписи предоставляет. В случае если секретарь является доверенным лицом, то руководитель может быть уверен в том, что содержание предоставленного документа соответствует представлению о нём. В противном случае, секретарь может модифицировать содержание документа и, при отсутствии у руководителя достаточного количества времени для изучения всех подготавливаемых документов, получить для него электронную подпись руководителя. Отметим, что при разработке схем электронной подписи подобные угрозы также могут быть приняты во внимание, но, во-первых, создание мер противодействия им может привести к существенному усложнению используемого математического аппарата и удорожанию системы в целом, а во-вторых, подобное требование может просто не учитываться, исходя из действующего в законодательстве определения электронной подписи. 

Приведенный пример наглядно демонстрирует, что само по себе использование криптографического алгоритма и протокола не является достаточным для всестороннего обеспечения безопасности. Именно поэтому возникает большой набор дополнительных организационных и технических требований, цель которых – максимально приблизить реальные условия использования криптографического алгоритма к условиям теоретической модели. В совокупности все сказанное и составляет то понятие, которое принято называть информационной безопасностью. 

Таким образом, только при комплексном применении, методы защиты (законодательные, организационно-технические, криптографические и др.) позволяют гарантировать безопасность информации. Именно поэтому, например, в рамках Федерального Закона от 06 апреля 2011 года № 63-ФЗ "Об электронной подписи", который является законодательным методом защиты, указываются требования к криптографическим методам, а также к их технической реализации и применяемым организационным мерам. Более того, в случае электронной подписи конкретные механизмы обеспечения безопасности определяются свойствами конкретного нормативного понятия/процесса.

Насколько озвученные моменты учитывались при создании криптовалют – вопрос открытый. Проведенные к настоящему времени исследования показывают, что модели угроз, которые исходно рассматривались, далеко не в полной мере отвечают угрозам, возникающим при применении криптовалют в глобальной мировой информационно?телекоммуникационной среде. Равно как и внедрение механизмов взаимодействия с подобными валютами в современные информационно-телекоммуникационные системы также не было рассмотрено. Анализируя научные публикации, связанные с рассматриваемой областью и подготовленные за последние четыре года, можно сделать вывод о том, что только сейчас начинает зарождаться общая формализованная методология создания и оценки безопасности систем подобного назначения. Результаты этих исследований во многом являются вызовами для безопасности и стабильности функционирования существующих в настоящее время систем криптовалют. Предстоит пройти долгий путь до того момента, когда специалисты в области криптографии и информационной безопасности создадут такой же строгий аппарат оценки свойств криптовалют, какой существует в настоящее время, например, для криптографических примитивов.

Сейчас же вдохновлённые идеями "криптографической анархии" разработчики технологий криптовалют не до конца отдают себе отчёт в том, что использование только криптографических механизмов не всегда может обеспечить требуемый уровень безопасности в конкретных приложениях. Более того, для полноценного перехода общества в состояние "криптографической анархии", в целом, потребовалась и до сих пор требуется разработка новых криптографических механизмов, а их состоятельность покажет только время и дополнительные независимые, всесторонние технические, математические и криптографические исследования. С другой стороны, условия применения классических механизмов в системах подобного типа, в ряде случаев, совершенно не согласуются с задачами, для которых указанные механизмы создавались.
 
В заключение отметим, что вопрос о повсеместном использовании электронных (крипто-) валют, связан не только с необходимостью разработки строгого понятийного и научного аппаратов, позволяющих осуществлять адекватное описание и оценку уровня безопасности разрабатываемых решений, но и с концептуальным переосмыслением роли и функций государственных и/или регулирующих институтов в условиях существования такого независимого от них объекта, как криптовалюта, а в конечном итоге, возможно, роли и функций государства как такового.

_______________________

Статья подготовлена по результатам выступления авторов на «Международной научно-практической конференции "Электронная валюта в свете правовых и экономических вызовов", прошедшей в июне 2016 года в Государственной Думе Федерального Собрания РФ.

Поделитесь с друзьями:

Мы в социальных сетях

События

Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31