Brak ochrony prywatności jest grzechem pierworodnym wszystkich publicznych łańcuchów bloków – od oryginalnej białej księgi Bitcoina Satoshiego po najnowocześniejszą, modułową i równoległą sieć, która wykonuje 100 milionów transakcji na sekundę z czasem końcowym wynoszącym zertosekundę.
Ogólnie rzecz biorąc, prywatność użytkowników jest sprzeczna z naturą publicznych łańcuchów bloków: aby księga publiczna mogła działać, niektóre dane transakcyjne muszą być udostępniane węzłom i uczestnikom sieci. Skrót umożliwiający szybkie udostępnienie tych systemów w trybie online polega po prostu na domyślnym upublicznieniu wszystkiego.
Jednak ta ostateczna przejrzystość naraża użytkowników na inwigilację, przymus i niezamierzone konsekwencje, takie jak wyciek sygnałów handlowych. Jest to nieopłacalne z komercyjnego punktu widzenia i szkodzi prawu do decydowania o swoim przeznaczeniu. Prawdziwa samokontrola nie może istnieć, jeśli użytkownicy nie kontrolują swoich danych; prywatność polega na przywróceniu użytkownikom wolności wyboru tego, co robią i czego nie ujawniają światu zewnętrznemu.
Oto siedem fatalnych błędów, które są powszechne w narzędziach do ochrony prywatności w kryptografii:
Grzech 1 – Systemy scentralizowane
W zdecentralizowanym świecie centralizacja jest lenistwo. Łatwiej (szybciej i taniej) jest uruchomić księgę w wewnętrznej bazie danych SQL banku, niż wysyłać transakcje nawet na najbardziej wydajnych blockchainach.
Jednak decentralizacja jest równoznaczna z odpornością. To jest powód, dla którego kryptowaluty mają jakąkolwiek wartość rynkową. Bez tego użytkownicy byliby w lepszej sytuacji, gdyby scentralizowane instytucje mogły zaoszczędzić na szybkości i kosztach.
Jest to jeszcze ważniejsze w przypadku protokołów prywatności, gdzie centralizacja oznacza, że programiści zapewniają sobie uprzywilejowany dostęp do danych użytkowników.
Twórcy protokołów powinni nigdy przyznajcie sobie klucze administratora, które mogą blokować lub deanonimizować użytkowników. (RAILGUN wykorzystuje mechanizmy takie jak Przeglądanie kluczy aby w razie potrzeby zapewnić niedyskryminacyjną przejrzystość kontrolowaną przez użytkownika).
Innym wektorem centralizacji jest wielosygnał progowy, szczególnie w przypadku protokołów mających na celu ominięcie niepewnych mostów. Nawet przy „prawidłowym” skonfigurowaniu multi-podpisu 3 z 5 jest prawdopodobnie gorszy pod względem założeń zaufania niż Twój bank sąsiedzki.
A kiedy multi-sig nie jest poprawnie skonfigurowany….
Grzech 2 – Żądza pozyskiwania drewna
Narzędzia do ochrony prywatności powinny podejmować wszelkie środki, aby zapewnić brak śledzenia aktywności użytkownika, w szczególności danych osobowych, takich jak adresy IP i aktywność przeglądania.
Protokoły dotyczące prywatności powinny być projektowane w oparciu o wszechogarniającą filozofię, która wykorzystuje jedynie chwilowy brak oceny w celu deanonimizacji użytkowników.
Na przykład Railway Wallet (który ma zintegrowaną technologię prywatności RAILGUN) domyślnie pośredniczy w wywołaniach RPC dla wszystkich użytkowników, dzięki czemu nawet jeśli ktoś nie korzysta z VPN (co powinien 🙁), jego adres IP nie wycieka do węzłów RPC.
Grzech 3 – Stan zaszyfrowany
Dlaczego nie ustawić całego systemu jako prywatnego? To kuszące… ale w pełni zaszyfrowany stan jest pod pewnymi względami równie niepożądany, jak bycie w pełni publicznym.
Stan szyfrowania tworzy czarną skrzynkę, w której użytkownicy i obserwatorzy nie wiedzą, co robi dApp. Eliminuje najważniejszą funkcję bezpieczeństwa blockchainów: publiczną kontrolę.
Jeśli aplikacja dApp jest prywatna, jak sprawdzić, czy ekonomia i aktorzy działają prawidłowo? Jak właściwie zareagować na exploit lub złośliwą próbę, jeśli nie wiesz, czy coś się wydarzyło?
Prywatność użytkowników jest dobra – podobnie jak przejrzystość protokołu.
Grzech 4 – Uzależnienie od konkretnych producentów
Bycie „bez zaufania” oznacza, że nie musisz ufać stronie trzeciej (tj. firmie, agentowi lub kasjerowi bankowemu), aby mieć pewność, że protokół działa. Siłą szyfrowania opartego na wiedzy zerowej jest to, że tworzy mniej zależności, w tym od producentów.
Rozważmy na przykład utworzenie systemu prywatności opartego na rozszerzeniach Software Guard wbudowanych przez firmę Intel w ich procesorach. Bezpieczeństwo Twojego systemu zależy od potencjalnego pojedynczego punktu awarii – zaufania firmy Intel, że prawidłowo wdrożyła swój produkt.
Motywacją firmy Intel jest odpowiednie działanie, ale poleganie na SGX stwarza ciągłą podatność na zagrożenia i niepotrzebne zakładanie zaufania. Należy również uwzględnić kwestię „gatekeepingu” już na etapie projektowania, ponieważ SGX wymaga specjalistycznego sprzętu, który jest stosunkowo drogi, mało znany i trudny w utrzymaniu. Natomiast walidator dowodu stawki można uruchomić na Raspberry Pi.
Grzech 5 – Zbójectwo
Prywatność kryptowalut to przekonująca narracja, ale nie jest to wystarczająco silna propozycja wartości, aby uzasadniać zbudowanie całkowicie nowego łańcucha bloków lub pakietu zbiorczego (chyba że łańcuch specjalistyczny wprowadzi rygorystyczną innowację techniczną).
Systemy prywatności mają największy wpływ, gdy są dostępne w sieciach, w których istnieją użytkownicy i działalność finansowa. Na lepsze lub gorsze, DeFi zebrało się wokół Ethereum, EVMi kilka innych środowisk, takich jak Solana. Solidność jest królem i dlatego skorzystała z większości badań nad bezpieczeństwem.
Stworzenie nowatorskiego środowiska wykonawczego i przyciągnięcie programistów i użytkowników wymaga czasu i często niezrównoważonych zachęt. Tymczasem wartości miliardów dolarów już znajdują się w publicznych sieciach desperacko potrzebujących prywatności.
Dedykowane łańcuchy prywatności stwarzają również dodatkowe pytania dotyczące bezpieczeństwa, takie jak wymaganie mostów – które wielokrotnie okazywały się najmniej bezpiecznym elementem sieci blockchain. Inne obawy obejmują centralizację konsensusu, walidacji i sekwencjonerów.
Grzech 6 – Złożoność konstruktora
Programistów często uważa się za geniuszy (a niektórzy nimi są). Jednak kryptografia jest na tyle trudna, że zmuszanie twórców do nauki i używania zastrzeżonego języka, zestawu narzędzi lub ekosystemu jest niepotrzebnie skomplikowane i przynosi efekt przeciwny do zamierzonego.
Umowy pisane w językach takich jak Solidity czy Vyper można przenosić pomiędzy sieciami obsługującymi EVM. Nie dotyczy to Rusta i innych łańcuchów WebAssembly. Wszystkie mają własne standardy dotyczące czasu wykonania. Z punktu widzenia konstruktora oznacza to, że dla każdego łańcucha należy utrzymywać oddzielne bazy kodów kontraktów, mimo że używają tego samego języka.
W rezultacie produkt jest mniej dostępny.
Grzech 7 – Niedojrzała technologia
„Magiczne pieniądze internetowe” to naprawdę doskonały mem. Jednak twórcy kryptowalut tworzą technologię finansową, która ma konsekwencje w świecie rzeczywistym i obsługuje prawdziwe pieniądze.
Technologia ochrony prywatności ma podwójny obowiązek: uwzględniać „rzeczywistość pieniędzy” i samą „prywatność”, tj. musi być zabezpieczona przed exploitami finansowymi ORAZ wszystkim, co może pozbawić użytkowników anonimowości. Znacząca część istniejących badań akademickich nad tą technologią pojawiła się nie bez powodu.
Żebyś nie skończył jak ODROBINA, sprawdzony aksjomat brzmi: „nigdy nie rezygnuj z kryptografii”.
W szczególności technologia ochrony prywatności powinna zostać sprawdzona w boju i przemyślana, obejmująca szeroko zakrojone audyty przeprowadzane przez firmy zajmujące się bezpieczeństwem, oceny dokonywane przez obrońców prywatności, testy piórowe przeprowadzane przez białe kapelusze itp.
W przeciwnym razie jak można oczekiwać, że ludzie – zwłaszcza wyczekiwani nowi użytkownicy głównego nurtu – będą ryzykować swoją tożsamość i pieniądze na złożonej platformie technologicznej?
Wnioski
Publiczne łańcuchy bloków są „dox-by-design”. Nie jest łatwo zbudować systemy prywatności w łańcuchu, zachowując przede wszystkim powody, dla których warto używać kryptowalut, takie jak możliwość kontroli i decentralizacja.
Świetnym źródłem do oceny poziomu prywatności wybranego narzędzia prywatności jest Prywatność w sieci Web3 Teraz inicjatywa które sklasyfikowały i oceniły różne narzędzia do ochrony prywatności w zakresie kryptowalut. Sprawdź to jako doskonały pierwszy krok w kierunku ochrony swojej tożsamości online i finansów.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://cryptoslate.com/the-seven-deadly-sins-of-crypto-privacy/
