فصل 11: "امنیت بیت کوین"

تامین امنیت بیت کوین چالش برانگیز است زیرا بیت کوین یک مرجع انتزاعی به ارزش نیست، مانند موجودی در حساب بانکی. بیت کوین بسیار شبیه پول نقد دیجیتال یا طلا است. احتمالاً این جمله را شنیده اید که "تصرف نه دهم قانون است."خب، در بیت کوین، مالکیت ده دهم قانون است. داشتن کلید برای باز کردن قفل بیت کوین معادل در اختیار داشتن پول نقد یا تکه ای فلز گرانبها است. شما می توانید آن را گم کنید، آن را به اشتباه بیاندازید، آن را به سرقت ببرید، یا به طور تصادفی مقدار نامناسبی را به کسی بدهید. در هر یک از این موارد، کاربران هیچ چاره ای ندارند، درست مثل اینکه پول نقد را در یک پیاده رو عمومی رها کرده اند.

با این حال، بیت کوین دارای قابلیت هایی است که پول نقد، طلا و حساب های بانکی از آن برخوردار نیستند. یک کیف پول بیت کوین، حاوی کلیدهای شما، می تواند مانند هر فایلی پشتیبان گیری شود. می توان آن را در چندین نسخه ذخیره کرد، حتی برای تهیه نسخه پشتیبان بر روی کاغذ چاپ کرد. نمی‌توانید از پول نقد، طلا یا حساب‌های بانکی «پشتیبان‌گیری» کنید. بیت کوین به اندازه کافی با هر چیزی که قبلاً آمده است متفاوت است که ما باید در مورد امنیت بیت کوین نیز به روشی جدید فکر کنیم.

اصول امنیتی

اصل اصلی در بیت کوین عدم تمرکز است و پیامدهای مهمی برای امنیت دارد. یک مدل متمرکز، مانند بانک سنتی یا شبکه پرداخت، به کنترل دسترسی و بررسی برای دور نگه داشتن بازیگران بد از سیستم بستگی دارد. در مقایسه، یک سیستم غیرمتمرکز مانند بیت کوین مسئولیت و کنترل را به عهده کاربران می گذارد. از آنجایی که امنیت شبکه مبتنی بر اثبات کار است نه کنترل دسترسی، شبکه می تواند باز باشد و برای ترافیک بیت کوین نیازی به رمزگذاری نیست.

در یک شبکه پرداخت سنتی، مانند سیستم کارت اعتباری، پرداخت بدون پایان است زیرا حاوی شناسه خصوصی کاربر (شماره کارت اعتباری) است. پس از شارژ اولیه، هر کسی که به شناسه دسترسی داشته باشد می‌تواند وجوه را "کشش" کند و بارها و بارها از مالک هزینه کند. بنابراین، شبکه پرداخت باید سرتاسر با رمزگذاری ایمن شود و باید اطمینان حاصل کند که هیچ استراق سمع یا واسطه ای نمی تواند ترافیک پرداخت را در حین حمل و نقل یا زمانی که ذخیره می شود (در حالت استراحت) به خطر بیندازد. اگر بازیگر بدی به سیستم دسترسی پیدا کند، می‌تواند تراکنش‌های جاری و توکن‌های پرداخت را که می‌توانند برای ایجاد تراکنش‌های جدید استفاده شوند، به خطر بیاندازد. بدتر از آن، زمانی که داده‌های مشتری به خطر می‌افتد، مشتریان در معرض سرقت هویت قرار می‌گیرند و باید برای جلوگیری از استفاده جعلی از حساب‌های به خطر افتاده اقدام کنند.

بیت کوین به طور چشمگیری متفاوت است. تراکنش بیت کوین فقط یک مقدار خاص را برای یک گیرنده خاص مجاز می کند و قابل جعل یا تغییر نیست. هیچ اطلاعات خصوصی مانند هویت طرفین را فاش نمی کند و نمی توان از آن برای مجاز کردن پرداخت های اضافی استفاده کرد. بنابراین، شبکه پرداخت بیت کوین نیازی به رمزگذاری یا محافظت در برابر استراق سمع ندارد. در واقع، شما می توانید تراکنش های بیت کوین را از طریق یک کانال عمومی باز، مانند وای فای ناامن یا بلوتوث، بدون از دست دادن امنیت پخش کنید.

مدل امنیتی غیرمتمرکز بیت کوین، قدرت زیادی را در دست کاربران قرار می دهد. با این قدرت، مسئولیت حفظ محرمانه بودن کلیدها نیز به وجود می آید. برای اکثر کاربران انجام این کار آسان نیست، به خصوص در دستگاه های محاسباتی همه منظوره مانند تلفن های هوشمند متصل به اینترنت یا لپ تاپ ها. اگرچه مدل غیرمتمرکز بیت کوین از نوع مصالحه انبوهی که در کارت‌های اعتباری دیده می‌شود جلوگیری می‌کند، بسیاری از کاربران نمی‌توانند به اندازه کافی کلیدهای خود را ایمن کنند و یک به یک هک شوند.

توسعه سیستم های بیت کوین ایمن

مهمترین اصل برای توسعه دهندگان بیت کوین عدم تمرکز است. اکثر توسعه دهندگان با مدل های امنیتی متمرکز آشنا هستند و ممکن است وسوسه شوند که این مدل ها را در برنامه های بیت کوین خود اعمال کنند که نتایج فاجعه باری به همراه دارد.

امنیت بیت کوین بر کنترل غیرمتمرکز کلیدها و اعتبارسنجی تراکنش مستقل توسط ماینرها متکی است. اگر می خواهید از امنیت بیت کوین استفاده کنید، باید اطمینان حاصل کنید که در مدل امنیتی بیت کوین باقی مانده اید. به زبان ساده: کنترل کلیدها را از دست کاربران نگیرید و تراکنش ها را از زنجیره بلوکی خارج نکنید.

به عنوان مثال، بسیاری از مبادلات اولیه بیت کوین، تمام سرمایه های کاربر را در یک کیف پول "گرم" با کلیدهای ذخیره شده در یک سرور متمرکز می کردند. چنین طراحی کنترل را از کاربران حذف می کند و کنترل کلیدها را در یک سیستم واحد متمرکز می کند. بسیاری از این سیستم‌ها هک شده‌اند و عواقب فاجعه‌باری برای مشتریانشان به همراه داشته است.

یکی دیگر از اشتباهات رایج این است که تراکنش‌ها را «خارج از بلاک چین» در تلاشی نادرست برای کاهش هزینه‌های تراکنش یا تسریع پردازش تراکنش‌ها انجام دهیم. یک سیستم "خارج از بلاک چین" تراکنش ها را در یک دفتر کل داخلی و متمرکز ثبت می کند و فقط گاهی آنها را با بلاک چین بیت کوین همگام می کند. این عمل مجدداً امنیت غیرمتمرکز بیت کوین را با رویکردی اختصاصی و متمرکز جایگزین می کند. هنگامی که تراکنش‌ها خارج از بلاک چین هستند، دفاتر متمرکز نامناسب امن می‌توانند جعل شوند، وجوه را منحرف کنند و ذخایر را خالی کنند، بدون توجه.

مگر اینکه شما آماده سرمایه گذاری شدید در امنیت عملیاتی ، چندین لایه کنترل دسترسی و ممیزی (همانطور که بانک های سنتی انجام می دهند) قبل از گرفتن بودجه خارج از زمینه امنیتی غیرمتمرکز بیت کوین ، باید با دقت فکر کنید. حتی اگر بودجه و رشته ای برای اجرای یک مدل امنیتی قوی داشته باشید ، چنین طرحی صرفاً الگوی شکننده شبکه های مالی سنتی را که به دلیل سرقت هویت ، فساد و اختلاس است ، تکرار می کند. برای استفاده از الگوی امنیتی غیرمتمرکز بیت کوین ، باید از وسوسه معماری های متمرکز که ممکن است احساس آشنایی داشته باشند اما در نهایت امنیت بیت کوین را واژگون می کنند ، خودداری کنید.

ریشه اعتماد

معماری امنیتی سنتی مبتنی بر مفهومی به نام ریشه اعتماد است که یک هسته قابل اعتماد است که به عنوان پایه و اساس امنیت سیستم یا برنامه کلی استفاده می شود. معماری امنیتی در اطراف ریشه اعتماد به عنوان مجموعه ای از دایره های متمرکز ، مانند لایه هایی در پیاز ، ایجاد شده است و اعتماد به خارج از مرکز را گسترش می دهد. هر لایه با استفاده از کنترل های دسترسی ، امضاهای دیجیتالی ، رمزگذاری و سایر افراد ابتدایی امنیتی بر روی لایه داخلی قابل اعتماد تر ساخته می شود. با پیچیده تر شدن سیستم های نرم افزاری ، آنها به احتمال زیاد دارای اشکالات هستند که باعث می شود آنها در برابر سازش امنیتی آسیب پذیر باشند. در نتیجه ، هرچه یک سیستم نرم افزاری پیچیده تر شود ، امنیت آن سخت تر است. ریشه مفهوم اعتماد تضمین می کند که بیشتر اعتماد در قسمت کمترین پیچیده سیستم و در نتیجه حداقل آسیب پذیر ، بخش هایی از سیستم قرار می گیرد ، در حالی که نرم افزار پیچیده تر در اطراف آن لایه بندی شده است. این معماری امنیتی در مقیاس های مختلف تکرار می شود ، ابتدا ریشه اعتماد را در سخت افزار یک سیستم واحد ایجاد می کند ، سپس آن ریشه اعتماد را از طریق سیستم عامل به خدمات سیستم سطح بالاتر گسترش می دهد ، و در نهایت در بسیاری از سرورها که در محافل متحد المرکز قرار گرفته اندکاهش اعتماد

معماری امنیتی بیت کوین متفاوت است. در بیت کوین ، سیستم اجماع یک دفترچه عمومی قابل اعتماد ایجاد می کند که کاملاً غیر متمرکز است. یک blockchain به درستی معتبر از بلوک پیدایش به عنوان ریشه اعتماد استفاده می کند و زنجیره ای از اعتماد را تا بلوک فعلی ایجاد می کند. سیستم های بیت کوین می توانند و باید از blockchain به عنوان ریشه اعتماد خود استفاده کنند. هنگام طراحی یک برنامه پیچیده بیت کوین که شامل خدمات در بسیاری از سیستم های مختلف است ، باید معماری امنیتی را با دقت بررسی کنید تا مشخص شود که اعتماد در کجا قرار دارد. در نهایت ، تنها چیزی که باید صریحاً به آن اعتماد کرد ، یک blockchain کاملاً معتبر است. اگر درخواست شما به صراحت یا ضمنی به هر چیزی جز blockchain اعتماد کند ، این باید منبع نگرانی باشد زیرا آسیب پذیری را معرفی می کند. یک روش خوب برای ارزیابی معماری امنیتی برنامه شما ، در نظر گرفتن هر یک از مؤلفه های جداگانه و ارزیابی یک سناریوی فرضی است که در آن این مؤلفه کاملاً به خطر افتاده و تحت کنترل یک بازیگر مخرب است. هر مؤلفه برنامه خود را به نوبه خود بگیرید و در صورت به خطر انداختن این مؤلفه ، تأثیرات بر امنیت کلی را ارزیابی کنید. اگر برنامه شما در هنگام به خطر انداختن اجزای دیگر امن نیست ، این نشان می دهد که شما به آن مؤلفه ها اعتماد نادرستی دارید. یک برنامه بیت کوین بدون آسیب پذیری فقط باید در برابر سازش مکانیسم اجماع بیت کوین آسیب پذیر باشد ، به این معنی که ریشه اعتماد آن بر اساس قوی ترین قسمت معماری امنیتی بیت کوین است.

نمونه های بی شماری از مبادلات بیت کوین هک شده برای تأکید بر این نکته است زیرا معماری و طراحی امنیتی آنها حتی تحت نظارت گاه به گاه شکست می خورد. این پیاده سازی های متمرکز به صراحت در مؤلفه های بی شماری در خارج از blockchain بیت کوین ، مانند کیف پول های داغ ، بانکهای اطلاعاتی متمرکز ، کلیدهای رمزگذاری آسیب پذیر و طرح های مشابه سرمایه گذاری کرده بودند.

امنیت کاربر بهترین شیوه های

انسان هزاران سال است که از کنترل امنیت فیزیکی استفاده کرده است. در مقایسه ، تجربه ما با امنیت دیجیتال کمتر از 50 سال قدمت دارد. سیستم عامل های مدرن با هدف عمومی بسیار ایمن نیستند و به ویژه برای ذخیره پول دیجیتال مناسب نیستند. رایانه های ما از طریق اتصالات اینترنتی همیشه در معرض تهدیدات خارجی قرار می گیرند. آنها هزاران مؤلفه نرم افزاری را از صدها نویسنده اجرا می کنند ، اغلب با دسترسی نامعلوم به پرونده های کاربر. یک قطعه از نرم افزار Rogue ، در میان هزاران نفر که در رایانه شما نصب شده اند ، می توانند صفحه کلید و پرونده های شما را به خطر بیاندازند و هر بیت کوین ذخیره شده در برنامه های کیف پول را سرقت می کنند. سطح نگهداری رایانه مورد نیاز برای نگه داشتن ویروس رایانه ای و عاری از تروجان فراتر از سطح مهارت همه است بلکه اقلیت کوچکی از کاربران رایانه است.

علیرغم ده ها سال تحقیق و پیشرفت در امنیت اطلاعات ، دارایی های دیجیتالی هنوز در برابر یک دشمن مصمم آسیب پذیر هستند. حتی سیستم های بسیار محافظت شده و محدود ، در شرکت های خدمات مالی ، سازمان های اطلاعاتی و پیمانکاران دفاعی اغلب نقض می شوند. بیت کوین دارایی های دیجیتالی ایجاد می کند که دارای ارزش ذاتی هستند و می توانند فوراً و غیرقابل برگشت به صاحبان جدید هدایت شوند. این یک انگیزه گسترده برای هکرها ایجاد می کند. تاکنون ، هکرها پس از به خطر انداختن آنها ، مجبور بودند اطلاعات هویت یا نشانه های حساب - مانند کارت های اعتباری و حساب های بانکی - را تبدیل کنند. علیرغم دشواری در شمشیربازی و شستشوی اطلاعات مالی ، ما شاهد سرقت های همیشه در حال وقوع هستیم. بیت کوین این مشکل را تشدید می کند زیرا نیازی به حصارکشی یا شستشو نیست. این ارزش ذاتی در یک دارایی دیجیتال است.

خوشبختانه ، بیت کوین همچنین انگیزه هایی را برای بهبود امنیت رایانه ایجاد می کند. در حالی که قبلاً خطر سازش رایانه مبهم و غیرمستقیم بود ، بیت کوین این خطرات را روشن و آشکار می کند. نگه داشتن بیت کوین بر روی رایانه ، ذهن کاربر را بر نیاز به امنیت رایانه بهبود یافته متمرکز می کند. به عنوان یک نتیجه مستقیم از گسترش و افزایش اتخاذ بیت کوین و سایر ارزهای دیجیتال ، ما شاهد تشدید هم در تکنیک های هک و راه حل های امنیتی هستیم. به زبان ساده ، هکرها اکنون یک هدف بسیار آبدار دارند و کاربران انگیزه روشنی برای دفاع از خود دارند.

در طول سه سال گذشته ، به عنوان یک نتیجه مستقیم از پذیرش بیت کوین ، ما شاهد نوآوری فوق العاده ای در حوزه امنیت اطلاعات در قالب رمزگذاری سخت افزار ، کیف پول کلیدی و سخت افزار ، فناوری چند علامت گذاری و سپردن دیجیتال هستیم. در بخش های بعدی بهترین روشهای مختلف را برای امنیت کاربران عملی بررسی خواهیم کرد.

ذخیره سازی بیت کوین فیزیکی

از آنجا که بیشتر کاربران نسبت به امنیت فیزیکی نسبت به امنیت اطلاعات بسیار راحت تر هستند ، روشی بسیار مؤثر برای محافظت از بیت کوین ، تبدیل آنها به فرم فیزیکی است. کلیدهای بیت کوین چیزی بیش از تعداد طولانی نیستند. این بدان معنی است که آنها می توانند به صورت فیزیکی مانند چاپ شده روی کاغذ یا بر روی یک سکه فلزی ذخیره شوند. تأمین کلیدها به سادگی ایمن کردن جسمی کپی چاپی کلیدهای بیت کوین می شوند. مجموعه ای از کلیدهای بیت کوین که روی کاغذ چاپ شده است ، "کیف پول کاغذ" نامیده می شود و بسیاری از ابزارهای رایگان وجود دارد که می تواند برای ایجاد آنها استفاده شود. من شخصاً اکثریت قریب به اتفاق بیت کوین (99 ٪ یا بیشتر) را که روی کیف پول های کاغذی ذخیره شده اند ، رمزگذاری شده با BIP-38 ، با نسخه های متعدد در گاوصندوق نگه می دارم. نگه داشتن آفلاین بیت کوین ذخیره سازی سرد نامیده می شود و یکی از مؤثرترین تکنیک های امنیتی است. یک سیستم ذخیره سازی سرد یکی از مواردی است که کلیدها بر روی سیستم آفلاین تولید می شوند (کسی که هرگز به اینترنت وصل نشده است) و به صورت آفلاین یا روی کاغذ یا رسانه های دیجیتال مانند چوب حافظه USB ذخیره می شود.

کیف پول سخت افزار

در دراز مدت ، امنیت بیت کوین به طور فزاینده ای به شکل کیف پول های ضد دستکاری سخت افزاری خواهد بود. بر خلاف یک تلفن هوشمند یا رایانه رومیزی ، یک کیف پول سخت افزار بیت کوین فقط یک هدف دارد: نگه داشتن بیت کوین ایمن. بدون داشتن نرم افزاری با هدف کلی برای سازش و با رابط های محدود ، کیف پول های سخت افزاری می توانند سطح امنیتی تقریباً بی پروا را به کاربران Nonexpert ارائه دهند. من انتظار دارم که ببینم کیف پول های سخت افزاری به روش غالب ذخیره سازی بیت کوین تبدیل می شوند. برای نمونه ای از چنین کیف پول سخت افزاری ، به Trezor مراجعه کنید.

تعادل خطر

اگرچه بیشتر کاربران به درستی نگران سرقت بیت کوین هستند ، اما یک خطر حتی بزرگتر نیز وجود دارد. پرونده های داده همیشه از بین می روند. اگر آنها حاوی بیت کوین باشند ، ضرر بسیار دردناک تر است. در تلاش برای تأمین کیف پول بیت کوین ، کاربران باید بسیار مراقب باشند که خیلی دور نروند و در نهایت از دست دادن بیت کوین. در ژوئیه 2011 ، یک پروژه مشهور آگاهی و آموزش بیت کوین تقریباً 7000 بیت کوین را از دست داد. در تلاش خود برای جلوگیری از سرقت ، صاحبان یک سری پیچیده از پشتیبان های رمزگذاری شده را پیاده سازی کرده بودند. در پایان آنها به طور تصادفی کلیدهای رمزگذاری را از دست دادند و نسخه های پشتیبان را بی ارزش کردند و ثروت خود را از دست دادند. مانند پنهان کردن پول با دفن آن در بیابان ، اگر بیت کوین خود را خیلی خوب ایمن کنید ، ممکن است دیگر نتوانید آن را پیدا کنید.

متنوع سازی خطر

آیا می توانید کل ارزش خالص خود را به صورت نقدی در کیف پول خود حمل کنید؟بیشتر افراد در نظر می گیرند که کاربران بی پروا و در عین حال بیت کوین اغلب همه بیت کوین خود را در یک کیف پول واحد نگه می دارند. در عوض ، کاربران باید این خطر را در بین کیف پول های بیت کوین متعدد و متنوع گسترش دهند. کاربران محتاط فقط بخش کوچکی از بیت کوین خود را در یک کیف پول آنلاین یا تلفن همراه به عنوان "تغییر جیب" در یک بخش کوچک ، شاید کمتر از 5 ٪ از بیت کوین خود نگه می دارند. بقیه باید بین چند مکانیسم ذخیره سازی مختلف مانند کیف پول دسک تاپ و آفلاین (ذخیره سرد) تقسیم شود.

چند و حکومتی

هر زمان که یک شرکت یا شخصی مقادیر زیادی بیت کوین را ذخیره کند ، باید از یک آدرس بیت کوین چند منظوره استفاده کند. با نیاز به بیش از یک امضا برای پرداخت هزینه ، وجوه امن را به وجوه امن می رساند. کلیدهای امضای باید در تعدادی از مکان های مختلف و تحت کنترل افراد مختلف ذخیره شوند. به عنوان مثال ، در یک محیط شرکتی ، کلیدها باید به طور مستقل تولید شوند و توسط چندین مدیر شرکت نگهداری شوند تا اطمینان حاصل شود که هیچ شخص مجرد نمی تواند بودجه را به خطر بیندازد. آدرس های چند نشانگر همچنین می توانند افزونگی را ارائه دهند ، جایی که یک فرد مجرد دارای چندین کلید است که در مکان های مختلف ذخیره می شود.

قابلیت زنده ماندن

یک مورد مهم امنیتی که اغلب مورد غفلت قرار می گیرد ، در دسترس بودن است ، به خصوص در زمینه ناتوانی یا مرگ دارنده کلیدی. به کاربران بیت کوین گفته می شود که از رمزهای عبور پیچیده استفاده می کنند و کلیدهای خود را ایمن و خصوصی نگه می دارند و آنها را با کسی به اشتراک نمی گذارند. متأسفانه ، این عمل برای خانواده کاربر تقریباً غیرممکن است که اگر کاربر برای باز کردن قفل آنها در دسترس نباشد ، می توانند هرگونه وجوهی را بازیابی کنند. در بیشتر موارد ، در واقع ، خانواده های کاربران بیت کوین ممکن است کاملاً از وجود صندوق های بیت کوین بی خبر باشند.

اگر بیت کوین زیادی دارید ، باید جزئیات دسترسی را با یک خویشاوند یا وکیل مورد اعتماد به اشتراک بگذارید. یک طرح زنده ماندن پیچیده تر می تواند با دسترسی و برنامه ریزی املاک چند امضاء از طریق یک وکیل تخصصی به عنوان "مجری دارایی دیجیتال" تنظیم شود.

نتیجه

بیت کوین یک فناوری کاملاً جدید ، بی سابقه و پیچیده است. با گذشت زمان ، ما ابزارها و شیوه های امنیتی بهتری را توسعه خواهیم داد که استفاده از آن توسط افراد غیرقانونی آسان تر است. در حال حاضر ، کاربران بیت کوین می توانند از بسیاری از نکات مورد بحث در اینجا استفاده کنند تا از یک تجربه بیت کوین ایمن و بدون دردسر لذت ببرند.< SPAN> اگر بیت کوین زیادی دارید ، باید جزئیات دسترسی را با یک خویشاوند یا وکیل مورد اعتماد به اشتراک بگذارید. یک طرح زنده ماندن پیچیده تر می تواند با دسترسی و برنامه ریزی املاک چند امضاء از طریق یک وکیل تخصصی به عنوان "مجری دارایی دیجیتال" تنظیم شود.