Úgy tűnik, a blockchain lesz a modern IT-megoldások svájci bicskája. A DARPA (Defense Advanced Research Projects Agency) 1,8 millió dollárt ad arra, hogy matematikailag is bizonyítsák:  jól működik egy észt alapítású biztonsági cég blockchain technológiára épített integritásellenőrző rendszere.

A porjektet a fejlesztő Guardtime és egy amerikai kutató cég, a Galois viszi.

Az ötlet jónak tűnik

A 2007-ben, Észtországban alapított Guardtime (https://guardtime.com/en) arra keresett megoldást, hogy a rendszerekben hosszasan rejtve maradó APT (Advanced Persistent Threats) jellegű támadások ellen valamiféle automatikus védelmet nyújtson. Az ilyen támadásokkal kapcsolatos problémák ráadásul az IoT terjedése miatt hatványozódhatnak. Aztán kiderült, hogy egy ilyen rendszer nagyon sok mindenre alkalmas.

Az burjánzó IoT eszközök pedig minden korábbinál nagyobb kihívás elé állítják az adatok integritását biztosító védelmeket. Erre ugyan ott vannak a PKI (Public Key Infrastructure) rendszerek, amelyek biztosítják, hogy egy nyílt hálózatban egyértelműen be lehessen azonosítani bárkit, és ellenőrizhető vele az adatok integritása is, azaz az, hogy a hálózaton közlekedő adatokat senki sem módosítja jogtalanul, vagy ha megteszi, annak egyértelműen és azonnal nyoma marad.

Az észt startup azonban gondolt egy merészet, és azt mondta, hogy hagyjuk el a nyilvános kulcsot. Építsük fel az integritásmonitoringot a blockchainre. Az ugyanis egy olyan elosztott adatbázis, ahol a rendszer minden felhasználójánál a teljes adatbázist tárolódik, és ha valami változás történik a rendszerben (tranzakció), az minden adatbázisban átvezetődik. A rendszerben így egy változást nem lehet nem megtörténté tenni.

Az észtek mindenre modern megoldást keresnek

Nem véletlen, hogy az ötlet Észtországban fogant. Mike Gault, a Guardtime vezérigazgatója és egyik alapító viccesen úgy jellemezte az észt állam elektronizáltságát egy nyilatkozatában, hogy csak házasodni és elválni nem lehet online, egyébként semmiért sem kell bemenni a kormányhivatalokba. Így aztán nyitottak voltak arra is, hogy a Guardtime technológiáját vezessék be az egészségügyi nyilvántartások biztosítására.

Gyakorlatilag ezen a módon biztosítják azt, hogy a mintegy 1,3 millió lakosú országban az egészségügyi rendszert ne lehessen manipulálni, és bármikor hiteles adatokhoz juthasson mind az állampolgár, mind pedig az állam, hogy mire mennyit költöttek, ki milyen ellátást kapott, és azt valóban megkapta-e és így tovább.

A nagy vállalatok is érdeklődnek

A Guardtime-nak tavaly mintegy 25 millió dollár bevétele volt. Bár még nagyon az elején tartanak az ötlet termékesítésének, olyan partnereik vannak, mint a Lockheed Martin vagy az Ericsson, és most a DARPA is belépett a sorba.

Ha a módszer beválik, valószínűleg forradalmi változásokat hozhat a folyamatok elektronizálhatóságában. Olyan lehetőségeket biztosít ugyanis, amely a biztonsági folyamatok egészére kihat a kockázatelemzéstől a kriminalisztikai tevékenységig (forensic).

Az IoT kapcsán az egyik kulcselem lehet, hogy például a digitális bizonyítékok megbízhatóságának biztosítására nem kell külső eszközt beiktatni: felügyeleti eszközöket, biztonsági kulcsot vagy megbízható harmadik felet. Ha például elterjednek az önvezető autók, ez kulcsfontosságú lehet. Egy ütközésnél ugyanis egyértelműen beazonosítható lesz, hogy ki a felelős – a jármű gyártója, a szoftver fejlesztője vagy a telekommunikációs kapcsolatot biztosító szolgáltató – anélkül, hogy az érintettekkel kapcsolatban fel kellene tenni a kérdést, hogy megbízható adatokat adnak-e át.

Szintén fontos elem a kölcsönös ellenőrizhetőség, a blockchain szelleméből adódóan egy adott rendszerben, akár egy vállalati hálózatban is, minden fél – például a rendszergazda és a felhasználó – bizonyító erejűen visszakövetheti, hogy egy probléma kinek a hibájából következett be.