В рубрику "Блокчейн и криптовалюта" | К списку рубрик | К списку авторов | К списку публикаций
С развитием информационных технологий проблема защиты персональных данных становится все более сложной. Особое внимание они приобретают в современных бизнес-процессах, основывающихся на концепции KYC (Know Your Customer).
В контексте технологий цепной записи данных (блокчейн) и распределенных реестров необходимо рассматривать следующие аспекты защиты персональных данных:
Большинство современных подходов к управлению персональными данными, зафиксированных в национальном и международном законодательстве, основано на наличии оператора, на которого возлагается ответственность за их обработку (в том числе в части защиты и соблюдения законодательства). Такой подход является прямым следствием централизованной архитектуры существующих информационных систем.
В свою очередь, то, что обычно понимается под технологией блокчейн (распределенного реестра), идеологически восходит к небезызвестному "Манифесту криптоанархиста" Тимоти Мэя, в котором декларировалась возможность создания самоуправляемого, не зависимого от контролирующих органов общества на основе использования криптографических механизмов и анонимизации (разделения цифрового представления человека (аватара) и его физического представления).
Данная идея была использована при разработке криптовалюты Биткоин на основе общедоступной, реплицированной базы данных – так называемого блокчейна, в которой хранятся все данные о состоянии системы (произведенные транзакции) и которая позволяет каждому из пользователей самостоятельно контролировать корректность производимых действий.
Описанная архитектура, с одной стороны, не предполагает наличия упомянутого оператора персональных данных, а с другой стороны, перед ней в принципе не стоит задача обработки персональных данных в силу фактического отсутствия механизмов идентификации пользователей (в том смысле, в каком пользователи идентифицируются в классических системах).
Проведенные в последние годы исследования выявили, что архитектура системы "Биткоин", да и многих других систем криптовалют, даже тех, которые изначально декларировали анонимность, не позволяет добиться полной защиты данных о пользователе. При этом, учитывая открытость реестра транзакций, данный факт существенно увеличивает угрозы безопасности как персональных данных, так и в целом неприкосновенности частной жизни.
Вместе с тем интерес бизнеса к технологиям цепной записи данных (блокчейн), наоборот, ставит задачу обработки персональных данных, идентификации пользователей в рамках выполнения требований национального и международного законодательства при использовании данной технологии, что в каком-то смысле противоречит первоначальной концепции ее применения.
Это требует переосмысления подходов к обработке данных не только по сравнению с классическими системами, но также и по сравнению с блокчейн-системами первых поколений, таких как "Биткоин" и "Эфереум".
Рассмотрим в качестве примера один из наиболее часто упоминаемых вариантов применения технологии блокчейн – сиcтемы, предназначенные для удаленной идентификации пользователей через оператора, проведшего первичную идентификацию.
В случае если персональные данные хранятся в общем реестре, то, очевидным образом, потребуется их шифрование, при этом возникают серьезные проблемы, связанные с управлением ключами (например, ограниченным сроком действия сертификатов ключей электронной подписи) и контролем доступа пользователей к данным. Отметим, что компрометация ключей вследствие потенциальной общедоступности реестра в данном случае является катастрофической для безопасности персональных данных.
Другой подход предполагает хранение персональных данных у операторов персональных данных, которые, в свою очередь, заносят в блокчейн некоторый идентификатор, позволяющий проверить наличие таких данных. При проверке персональных данных клиента оператор вычисляет по ним соответствующий идентификатор и производит поиск по базе с тем, чтобы проверить наличие идентификатора, внесенного оператором, проведшим первичную идентификацию клиента.
Традиционно для подобного решения в реестр записывается хэш-значение от данных, хранящихся у пользователя, – это, с учетом свойств криптографических хэш-функций, позволяет с вероятностью, близкой к единице, однозначно идентифицировать данные. Однако применение подобного простого механизма в случае персональных данных недопустимо. Поясним этот тезис подробнее. По своей природе персональные данные, используемые в конкретных информационных системах, являются ограниченными по числу возможных вариантов записей (имя, фамилия, адрес и т.д. из некоторого диапазона, определяемого областью применения системы). При этом для того, чтобы проводить корректные сравнения, формат записей должен быть жестко структурирован. Это позволяет злоумышленнику, используя в том числе информацию из открытых баз данных, социальных сетей и т.п., пытаться определять персональные данные в достаточно небольшом числе вариантов, проверяя корректность подбора с помощью значения хэш-функции, занесенного в реестр. При этом чем меньше максимальный размер реестра (например, муниципальная база данных), тем более эффективной будет атака в силу ограниченного объема допустимых значений. Именно поэтому ни ЕС в своем GDPR, ни Роскомнадзор не рассматривают хэширование как метод обезличивания персональных данных.
Показательно, что в этом примере требования к обезличиванию вступают в противоречие с одним из основных свойств блокчейна – наличием однозначной связи между объектами (блоками, транзакциями, данными).
В других сферах применения технологии блокчейн ситуация может быть еще более сложной: так, например, предлагаемые рядом экспертов системы электронного голосования с использованием технологии блокчейн подразумевают проведение серьезных исследований по оценке адекватности используемых в них механизмов ано-нимизации данных в целях соблюдения требований Конституции Российской Федерации о тайном голосовании (других требований национального и/или международного законодательства).
Все сказанное требует как построения достаточно сложных архитектур блокчейн-систем, обрабатывающих персональные данные, так и использования специфических криптографических механизмов: протоколов привязки к биту, протоколов доказательства c нулевым разглашением, процедур управления и т.п. В этой связи интересно отметить, что в архитектуре разработанных в последнее время блокчейн-систем, обрабатывающих, например, идентификационные данные пользователей (такие как Sovrin, uPort), в большинстве случаев решения указанных проблем все равно вводятся некоторые "промежуточные" операторы, работающие с персональными данными или с их идентификаторами, что потенциально сводит на нет декларируемые преимущества децентрализации.
Немаловажным является и вопрос удаления из блокчейна информации по требованию суда (так называемое право на забвение). Несмотря на то что в настоящее время предложен ряд схем так называемого редактируемого блокчейна, для большинства систем подобное требование подразумевает перезапись всего реестра, начиная с первой указанной судом записи. И хотя с технологической точки зрения такая операция не вызывает проблем, потребуется серьезная кооперация пользователей системы для обновления локальных копий реестра. По всей видимости, для открытых блокчейнов, когда пользователи находятся в разных юрисдикциях, подобная кооперация будет затруднительной.
В заключение еще раз необходимо отметить вопрос открытости реестра. Проведенные к настоящему моменту исследования, а также ряд уже существующих коммерческих продуктов показывают принципиальную возможность деанонимизации пользователей даже в анонимных/псевдонимных системах. Учитывая множественные случаи грабежей пользователей криптовалют, это несет серьезные угрозы неприкосновенности частной жизни и ставит в том числе вопросы оценки безопасности используемых и разрабатываемых систем.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2018