1. صفحه نخست
  2. وبلاگ ایدکو
  3. امنیت ارزهای دیجیتال بخش اول

امنیت ارزهای دیجیتال بخش اول

10 اردیبهشت 1403 241 بازدید
امنیت ارزهای دیجیتال بخش اول

امنیت ارزهای دیجیتال درواقع گویای حفاظت از سه بُعد مهم و اساسی است:

مورد اول محافظت از کیف پول‌ها و حساب‌های کاربری، مورد دوم حفاظت از کلیه تراکنش‌ها و مورد سوم حفاظت از شبکه‌ها و سایر سیستم‌های مرتبط.

اگر بخواهیم به طور خلاصه مطرح کنیم، هدف از امنیت در این حوزه، حفاظت از دارایی‌های دیجیتال، دستگاه‌ها و سرویس‌ها در برابر اختلال عملکرد، سوء استفاده و یا سرقت توسط کاربران غیرمجاز می‌باشد. همچنین امنیت در این حوزه در رابطه با داشتن اطلاعات با بالاترین قابلیت اطمینان در زمان درست و صحیح است.

از سال 2009 و ظهور اولین ارز دیجیتال یعنی بیت کوین و معرفی آن به دنیا، تحقیقاتی در رابطه با تحلیل و بررسی امنیت کریپتوکارنسی‌ها انجام شده است؛ که بدون شک، کافی نیست. هدف ما، ایجاد درک تئوری و همچنین تجربی نسبت به حوزه امنیت و مخصوصاً تمرکز بر روی راهکارهای فنی و ابعاد انسانی این موضوع است. به همین جهت در این مقاله سعی شده تا اندکی به این موضوع پرداخته شود و بدین منظور، سرفصل‌هایی به این شرح تدوین شده اند: معماری امنیت ارزهای دیجیتال – معرفی انواع کیف پول‌ها – مدل‌های امنیت – روش‌های امن انتقال دیتا – حملات مهندسی شده اجتماعی و اقدامات متقابل علیه آنها. در نهایت، به بررسی و نتیجه گیری خواهیم پرداخت.

معماری امنیت چیست؟

معماری امنیت می‌تواند به صورت یک سیستم کلی و عام تعریف شود که جهت حفاظت از زیرساخت IT و تکنولوژی‌های مورد نیاز برای ساخت پلت فرم‌های امن، تعریف شود. برهمین اساس، معماری امنیت یک مفهوم پیچیده است که شامل مولفه‌هایی از نرم افزار، سخت افزار و سیستم عامل‌ها بوده و همچنین روش‌های ساخت، اصلاح و ارزیابی این مولفه‌ها را هم در برمی‌گیرد. اگر فراتر از این موضوع بنگریم، عناصر ضروری بیشتری از معماری امنیت، شامل مقررات و سناریوهای امنیتی، پروسه‌ها و روش‌های اجرای آن‌ها وجود دارد که یک بخش جدا نشدنی از این معماری محسوب می‌شوند.

زمانی که صحبت از معماری فعلی ارزهای دیجیتال می‌شود، تمام افکار معطوف معماری غیرمتمرکز بیت کوین می‌شود. بلاک چین و شبکه اولین ارز دیجیتال، یعنی بیت کوین، به عنوان معماری اصلی ارزهای دیجیتال، ایفای نقش می‌کنند.

بیت کوین در حال حاضر معروف‌ترین ارز دیجیتال است که از بلاک چین استفاده کرده و معماری آن، مراحل و هزینه‌های تراکنش‌ها را به وسیله حذف شخص ثالث، کاهش می‌دهد و سرعت انجام تراکنش را بالا می‌برد. براساس مفاهیم بلاک چینی، معماری SOS بیت کوین توسط شبکه بیت کوین پشتیبانی می‌شود؛ که شامل فونداسیون بیت کوین، پردازنده‌های پرداخت بیت کوین و فروشگاه‌های الکترونیکی است که از زبان مدل سازی سیستم‌ها، با یک مسیر برگشت ناپذیر از تمام تراکنش‌های بیت کوین، استفاده می‌کند؛ این مسیر برگشت ناپذیر عبارت است که مسیر پرداخت از فردی که عملیات پرداخت را انجام می‌دهد و به کسی که دریافت کننده محسوب شده، ختم می‌گردد.

شکل 1. معماری امنیت بلاک چین مبتنی بر کریپتوکارنسی

اساساً بلاک چین چیزی بیش از یک دیتابیس نیست که برای استفاده مالکان دارایی‌های دیجیتال از آن، راه اندازی و مدیریت می شود. به عبارت ساده تر، بلاک چین یک تکنولوژی است که پشتیبان ارزهای دیجیتال محسوب می‌شود و درواقع یک دفتر کل غیرقابل تغییر و مشترک است که پروسه ثبت تراکنش‌ها و ردیابی دارایی ها در یک شبکه تجاری را آسان می‌سازد.

تراکنش‌هایی که از طریق بلاک چین ارزیابی و تأیید می‌شوند، تغییر ناپذیر هستند و در عین حال، تاریخچه زمانی آن‌ها برای طیف وسیعی از کاربران بلاک چین قابل دسترس است. منحصر به فرد بودن هر بلاک در زنجیره، برای معماری بلاک چین یک امر ذاتی بوده و در عین حال، اقدامات مشکوک برای جابه‌جایی بلاک‌های دیتا و تغییرهای آن‌ها، باعث قطع ارتباط شده و آن بلاک، نامعتبر می‌گردد. ارزهای دیجیتالی وجود دارند که براساس بلاک چین کار می‌کنند، مثلا بیت کوین و دوج کوین.

شبکه دیگری به نام بلاک چین 2 وجود دارد که به عنوان قراردادهای هوشمند و دارایی‌های هوشمند مورد استفاده قرار می‌گیرند و برخی از ارزهای دیجیتال مبتنی بر آن هستند مانند: ارز دیجیتال BNB smart chain.

همچنین بلاک چین دیگری به نام بلاک چین 3 وجود دارد که کاربردهای عامه‌تری مختص نهادهای بهداشت و درمان تا نهادها و پروژه های علمی و دولتی دارد.

بلاک چین به عنوان یک دفتر کل امن و رمزگذاری شده و همچنین یک سیستم قابل اطمینان از تبادل ارزهای دیجیتال نگریسته می‌شود. امنیت معماری بلاک چین با استفاده از روشی به نام اثبات ضرب سکه، بیشتر می‌شود. بر همین اساس، به منظور حصول اطمینان از امنیت سایبری و دارایی دیجیتال، تکنولوژی بلاک چین باید بیشتر و به نحو تخصصی تر مورد بهره برداری قرار گیرد. یکی از راهکارهای موجود برای این منظور و همچنین جهت حفاظت امن و یکپارچه از دیتا، بهره برداری از پروتکل فراپایدار (metastable) بلاک چین است که وظیفه حصول اطمینان از امنیت بیشتر پلتفرم‌های بلاک چینی را بر عهده دارد.

مطابق با اسناد بانک جهانی، یک دفتر کل توزیع شده به یک تکنولوژی نوین و تکامل یافته برای ثبت و به اشتراک گذاری دیتا در چندین پلتفرم اطلاق می‌شود که با نام لجر (ledger) از آن یاد شده و قادر است تراکنش‌ها و دیتای مربوط به آنها را ثبت کند، به اشتراک بگذارد و در یک شبکه توزیع شده متشکل از چندین شبکه دیگر، آنها را با هم همگام یا سینک کند. تکنولوژی دفتر کل توزیع شده (DLT) به نظر می‌رسد که یک رویکرد امید بخش برای رفع محدودیت‌های زیاد در روش‌های تبادل دیتا و بهره برداری از اپلیکیشن‌ها باشد و در عین حال، بسیار امن، شفاف و غیرقابل دستکاری است.

شکل 2. تکنولوژی دفتر کل توزیع شده (DLT)

راهکارها و جایگزین‌های پیچیده کمی مبتنی بر DLT مانند هشگراف، هولوچین، تانگل و ساید چین وجود دارد که برحسب الگوریتم‌ها و روش‌های ذخیره دیتا با هم فرق دارند، اما باز هم این بلاک چین است که ارزهای دیجیتال مبتنی بر آن عمل می‌کنند. برحسب الگوریتمی که به یک بلاک جدید اجازه ایجاد شدن و استخراج شدن در بلاک چین را می‌دهد، می‌توان مکانیزم‌های اثبات سهام، اثبات کار و یا اثبات ظرفیت را تشخیص داد. مکانیزم اثبات سهام مخصوص ارزهایی مانند EOS و کاردانو و یا ترون بوده، مکانیزم اثبات کار در اکثر ارزهای معروف مانند بیت کوین، لایت کوین و اتریوم مورد استفاده بوده و مکانیزم اثبات ظرفیت در ارزهایی مانند ریپِل و سیگنوم استفاده می‌شود. علاوه بر این، الگوریتم اثبات توکن سوزی هم یک الگوریتم دیگر است که به ماینر اجازه می‌دهد تا بدون مصرف انرژی زیاد، توکن سوزی کند و بدین ترتیب از پرداخت هزینه‌های مضاعف، جلوگیری می‌شود. هدف تمام الگوریتم‌های ذکر شده، تأیید و ارزیابی تراکنش‌ها و در نتیجه، حصول اطمینان از ایمنی و شفافیت بلاک چین مربوطه می‌باشد.

DLTمشکل نظارت مستقیم و متمرکز را از طریق پروتکل تأیید همتا به همتا و ذخیره دیتا در چند نقطه به جای یک نقطه، حل می‌کند. بلاک چین‌های مختلفی هستند که برحسب استراتژی‌های دادن مجوز، با هم فرق دارند. این بلاک چین‌ها می‌توانند عمومی، خصوصی، ائتلافی و هیبرید باشند. بلاک چین‌های عمومی برای همه قابل دسترس و باز هستند، آن‌ها نیازی به مجوز ندارند و سابقه تراکنش‌ها و ماینینگ را به طور نامحدود قابل دسترس می‌کنند. نمونه‌هایی از بلاک چین‌های عمومی عبارتند از بیت کوین، لایت کوین، اتریوم، دوج کوین و مونرو می‌باشد. بلاک چین‌های خصوصی یا بلاک چین‌هایی که مستلزم مجوز هستند، به گروه های کوچکتر و کنترل شده‌تری از کاربران با رابطهای کاربری بیشتر، محدود می‌شوند (مثلاً انترپرایز، هایپرلجر، ریپل). در نهایت، بلاک چین‌های هیبرید، عناصر عمومی و خصوصی را با سابقه باز و قراردادهای هوشمند جهت تأیید و احراز هویت، ایجاد می‌کند. در عین حال بلاک چین‌های ائتلافی یا متحد شامل زنجیره‌ای غیرمتمرکز از کاربرانی است که به یک سازمان تعلق دارند و با نودهای از پیش تعیین شده، مدیریت می‌شوند. تمام این موارد، نمونه های متفاوتی از بلاک چین‌ها بودند که ماینینگ متفاوت، احراز هویت متفاوت، ذخیره سازی متفاوت و در نهایت، راهکارهای متفاوتی برای انجام تراکنش دارند.

برهمین اساس، بلاک چین یک ساختار امن و پایدار تلقی شده و در عین حال، معماری شبکه آن قابل تغییر می‌باشد. برای مثال، این ساختار به عنوان یک جایگزین مطمئن برای حفره‌های امنیتی اینترنت اشیا (IOT) نگریسته می‌شود. هدف الگوریتم ائتلافی بلاک چین، حصول اطمینان از امنیت کل ساختار است. هدف یک پروتکل بلاک چین ائتلافی، از بین بردن خطاهای احتمالی و تضمین امنیت بلاک چین می‌باشد.

نمونه‌هایی ازالگوریتم‌های امنیت بلاک چین، الگوریتم‌های ائتلافی (مثلا اثبات سهام، اثبات سهام واگذار شده، اثبات کار و غیره) می‌باشند که به مشکلات سیستم توزیع رسیدگی می‌کنند و برای سناریوهای مختلف به کار گرفته می‌شوند. برای مثال، کاربرد الگوریتم اثبات کار، رسیدن به یک ائتلاف و اتحاد در یک شبکه، با استفاده از سیکل‌های حقیقی پردازنده جهت ایجاد بلاک‌های جدید در بلاک چین می‌باشد و بدین وسیله، عمل احراز هویت را انجام داده و از سابقه بلاک چین حفاظت کرده و از ایجاد هزینه‌های اضافی جلوگیری می‌کند.

بیت کوین یک سیستم پول الکترونیکی مبتنی بر یک اثبات کار چند بار مصرف (PoW) است که از کنترل‌های کریپتوگرافی با یک تعداد سکه‌های محدود و تراکنش‌های برگشت ناپذیر و بدون اعتبارسنجی متمرکز استفاده می‌کند که درواقع همین پروتکل است که به کاربر امکان می‌دهد تا ناشناخته و مخفی بماند. معماری اصلی بلاک چین شامل 4 لایه است

لایه اپلیکیشن، لایه تعمیم، لایه شبکه و لایه دیتا. هرچند، معماری بیت کوین در حال حاضر قادر نیست که به تنهایی از امنیت بسیار بالا و بدون نقص این حجم گسترده از تراکنش‌ها، اطمینان حاصل کند. برای مثال، زمانی که خروجی تراکنش‌ها افزایش پیدا می‌کند، پروتکل بیت کوین در معرض حملات پرداخت چند باره قرار می گیرند، چرا که مهاجمان می‌توانند زنجیره بلوک مورد نظر را جابجا کرده و حتی آن را با یک بلوک دیگر که ظرفیت پردازش کمتری دارند، جایگزین کنند. علاوه بر این، رکورد‌های بیت کوین، امنیت مطلق تراکنش‌ها را تأمین نمی‌کنند، چرا که روش‌هایی برای مرتبط کردن دیتای کاربر (مثلا آی پی آدرس‌های آن‌ها) به اسم مستعار آن‌ها وجود دارد. تکنیک‌هایی وجود دارد تا از امنیت بهتر دیتای کاربر، اطمینان حاصل شود (مانند مخفی کردن ارزهای دیجیتال و مقدار آن‌ها، ادغام دیتای انتقال دارایی‌ها و رمزنگاری آن‌ها و...).

جهت حفظ و نگهداری از ساختار امنیتی، سه مورد نیاز به بررسی دارد:

مورد اول عبارت است از حریم شخصی و امنیت دیتا که مرتبط با ابعاد اجتماعی است؛ مورد دوم شامل امنیت سیستم می‌باشد که مربوط به امنیت تکنولوژی و محاسبه بوده و مورد آخر هم امنیت سیستم عامل می‌باشد که هدف آن مقابله با کلاه برداری دیجیتال است. الزاماً امنیت هر کدام از لایه‌های سیستمی (زیرساخت، شبکه و اپلیکیشن) باید تضمین شود، اما جوانب دیگری هم هستند که در در عین حال جهت حصول اطمینان از قابلیت دسترسی، یکپارچگی، محرمانه بودن اطلاعات و دیتا، مهم هستند. هدف معماری امنیت اطلاعات، مطمئن شدن از این است که دیتا در دستگاه کاربر، رمزنگاری شده باشد، کاربر مورد نظر، معتبر و احراز هویت شده باشد، دسترسی‌ها به طور مقتضی و صحیح، ارزیابی شده باشند، ورود به سیستم احراز شده باشد و از رمزگشایی و ذخیره سازی دیتا در یک منبع اطلاعاتی حفاظت شده، اطمینان حاصل گردد.

براساس کلیه موارد مطرح شده در این بخش، امنیت دیجیتال یک بخش جدانشدنی از زیرساخت و شبکه دیجیتال می‌باشد. بنابراین، این موضوع نباید مستقل از کاربران، دستگاه‌ها، شبکهها و محیط‌های کاری آن‌ها بررسی شود. علاوه بر این، یک معماری امنیتی نمی‌تواند یک راهکار کلی و جامع برای سناریوهای مختلف تهدید محسوب شود.

نتیجه گیری:

روی هم رفته، معماری‌های امنیتی ارزهای دیجیتال که در طیف وسیعی از تحقیقات ارائه می‌شوند، بر روی تکنولوژی بلاک چین و مخصوصاً راهکارهای مبتنی بر شبکه بیت کوین متمرکز می‌شوند و دلیل آن هم این است که شبکه بیت کوین به دلیل دسترسی مطمئن تر به دیتا، ذخیره سازی و رمزنگاری بهتر، به عنوان یک شبکه بهتر نگریسته می‌شود. هرچند، تهدیدات امنیتی مرتبط با سیستم‌های بلاک چین از آسیب پذیر بودن شبکه‌ها، نرم افزارها و سخت افزارها و همچنین عوامل انسانی حاصل می‌شوند. برخی از راهکارها که هدف آن‌ها، بالا بردن امنیت بلاک چین بوده، عبارتند از: الگوریتم‌های ائتلافی متناظر، پروتکل فراپایدار بلاک چین، ایجاد تعادل بین امنیت خارجی – داخلی بلاک چین و شبکه و نرم افزارهای مطمئن تر.

 

میلاد فداکار

میلاد فداکار

کارشناس امنیت اطلاعات

مطالب کاربردی

هم اکنون شرکت تجارت الکترونیک ایرانیان افتخار دارد در زمینه ارائه راهکارهای امنیت اطلاعات و ارتباطات بیش از 750 سازمان و شرکت دولتی و خصوصی را در کنار خود داشته باشد. مهمترین هدف شرکت در کلیه فعالیت های خود، استفاده از آخرین دستاوردهای علمی و ایجاد رضایتمندی مشتریان است...

لینک های مفید

تماس با ما

عضویت در خبرنامه

تمامی حقوق این سایت برای شرکت گسترش خدمات تجارت الکترونیک ایرانیان محفوظ است.