С развитием технологий растут и методы взлома злоумышленниками, поэтому вопрос обеспечения криптобезопасности становится на первое место.
Криптобезопасность основана на средствах криптографической защиты информации (СКЗИ), которые преобразуют информацию при помощи алгоритмов криптографии. Цель СКЗИ заключается в выполнении ряда задач:
- Обеспечить целостность, конфиденциальность и достоверность при обработке, хранении и передаче информации;
- Защитить информацию;
- Обработать информацию, идентифицирующую и аутентифицирующую пользователей;
Методы криптографии разделяются на два вида: асимметричные и симметричные. Симметричные предусматривают для шифрования и расшифровывания использование одного и того же ключа.
Криптографическая целостность информации обеспечивается двумя основными методами:
- Хэширование – труднообратимое преобразование блоков в битовую строку на основе заданного алгоритма, реализуемого хэш-функцией;
- Электронная цифровая подпись (ЭЦП) – атрибут цифровых документов, полученный при помощи криптографического декодирования с закрытым ключом.
Факты и статистика
На основании статистики, приведенной Hi-Tech Crime Trends 2017, представленной на ежегодном форуме CyberCrimeCon, в результате кибератак на криптовалютный сектор нанесенный ущерб составляет более $168 млн. В сравнении с банковскими атаками, приносящими хакерам до $1,5 млн, взлом криптовалютных бирж приносит до $72 млн дохода. В среднем сумма, потерянная инвесторами, составляет $75,000.
Привлекательной средой криптовалютного рынка для киберпреступников является анонимность.
10% инвестированных средств в ICO похищены киберпреступниками. Суммарный ущерб от кибератак составляет $225 млн согласно данных Chainalysis.
Специалисты Group-IB считают, что вопросы криптобезопасности для ICO-стартапов стоят на втором месте. Для хакеров крупные блокчейн-проекты более привлекательны, поэтому такие проекты подвергаются атакам в первую очередь. При атаках на криптоиндустрию используются знакомые методы: фишинги, DDos-атаки и обнаружение уязвимостей в исходном коде smart-contracts.
В результате кибератак совершены следующие действия:
- Угон средств с депозитов криптовалютных бирж;
- Утечки пользовательской информации, компрометирование кошельков.
Инновационные технологии в сфере криптобезопасности
В настоящее время криптовалютные сервисы превосходят по степени защищенности традиционные финансовые системы. Транзакции в сети блокчейн безопаснее операций с банковскими картами и через платежные сервисы.
Перечислим некоторые технологии, реализованные в области криптобезопасности.
Мультиподписи
Мультиподписные аккаунты усиливают безопасность кошельков. Технология мультиподписей реализована в bitcoin-кошельке MultiBit, разработанном при помощи библиотеки Bitcoinj на языке Java. Данная библиотека содержит инструментарий для настройки мультиподписей и позволяет создавать сервисы на базе этой библиотеки.
Защитный механизм мультиподписей обладает недостатками: технология оппонирует принципам децентрализации, подключая к сделкам лица со стороны. Также механизм имеет усложненный интерфейс для использования.
HD Wallet
Детерминированные кошельки пришли на смену первоначальным bitcoin-кошелькам, адреса которых генерировались в случайном порядке. В результате чего возникал избыток адресов. Это затрудняло процесс восстановления в случае утраты.
При генерации адресов в иерархически-детерминированных кошельках используется фраза, воспроизводящая секретные ключи к адресному массиву. В случае утраты, для восстановления доступа к кошельку достаточно помнить изначальную фразу.
Это облегчает взаимодействие с другими кошельками, обеспечивая репликацию. Ярким примером HD-кошельков служит аппаратный кошелек Trezor. Аппаратные кошельки демонстрируют надежность, безопасность и простоту эксплуатации по отношению к CAP (стандартным аутентификатором), повсеместно используемых в банковских системах.
Биометрическая аутентификация
Биометрические методы защиты позволяют сочетать надежность и простоту эксплуатации. Кошельки Breadwallet на устройствах Apple поддерживают Touch ID для аутентификации пользователей.
Существую мнения, что биометрические методы безопасности уязвимы к копированию биометрических данных (отпечатков пальцев, рисунка радужной оболочки глаза и т.д.).
Компромиссное решение
Система безопасности Bitcoin Authenticator использует в работе QR-код и набор из 12 ключевых слов. Проблема этих методов заключается в игнорировании правил безопасности. Известно немало случаев утраты доступа к кошелькам из-за потери ключевых фраз и другой важной информации.
Помимо развития технологий в сфере криптобезопасности, пользователи должны прийти к пониманию, ответственности и развивать грамотность по отношению к вопросам цифровой безопасности при использовании криптовалютных сервисов. Непонимание принципов безопасности также приводит к потере средств, попадающих в руки криптопреступников и мошенников. Пользователи во время всеобщего ажиотажа отдают свои средства в SCAM-ICO, используют нелегитимные сервисы обменников, фишинговые сайты-клоны для перехвата доступа. На устройства пользователей загружаются вирусное ПО, которые получают доступ к кошелькам и биржевым депозитам.
Современные системы содержат уязвимости для сохранения анонимности сетей. Хакеры способны деанонимизировать ветки транзакций. В целях обеспечения анонимности в будущем планируется разрабатывать методы доказательств с нулевым разглашением.
Подводя итоги и отвечая на вопрос: “Что такое криптобезопасность?” – криптобезопасность включает в себя методы защиты и шифрования безопасности, неотъемлемым атрибутов которых является понимание и ответственность подходов к использованию инструментов при работе цифровыми сервисами.
