" 5 декабря IBM объявила о выпуске IBM Hyper Protect Offline Signing Orchestrator (OSO), решения для холодного хранения цифровых активов с воздушным зазором.
Сотрудничая с управляющим цифровыми активами Metaco — партнером IBM и дочерней компанией Ripple — и банками первого уровня, IBM разработала службу сквозного шифрования активов для устранения распространенных уязвимостей, обнаруженных в типичных решениях для холодного хранения.
Согласно объявлению:
«Когда дело доходит до автономного или физически изолированного холодного хранилища, существуют ограничения, в том числе привилегированный доступ администратора, эксплуатационные расходы и ошибки, а также невозможность реального масштабирования. Все эти ограничения обусловлены одним основным фактором — человеческим взаимодействием».
Холодное хранение
IBM разработала OSO для устранения этих уязвимостей, удалив ручные функции инициирования и проведения транзакций. Подобно сейфу с временным освобождением, который нельзя открыть по запросу, OSO можно настроить на отправку транзакций из холодного хранилища в блокчейн и наоборот только в определенное время или только посредством авторизации через многостороннюю схему управления.
Это, согласно сообщению в блоге и сопутствующим исследованиям, предотвращает наиболее распространенные формы инсайдерских атак, включая физический доступ, административные манипуляции и атаки с принуждением. Если злоумышленник каким-либо образом получит доступ к системе, физически или удаленно, он сможет инициировать транзакцию только в утвержденное время, и ему придется ждать, пока транзакция будет одобрена для выполнения, чтобы получить/украсть активы.
Для обеспечения устойчивости OSO к атакам цифровые активы можно размещать в контейнерах для хранения с «воздушным зазором». Хранилище считается изолированным, если оно не подключено к Интернету или какому-либо устройству, способному подключиться к Интернету. Это гарантирует, что удаленные атаки не смогут получить доступ к активам, пока они находятся в состоянии покоя.
Безопасность транзакций блокчейна
Администраторам, управляющим решениями холодного хранения в типичной парадигме «воздушного зазора», обычно приходится вручную переносить физические устройства хранения данных, такие как ноутбуки или USB-накопители, на автономное оборудование, чтобы подписывать транзакции. Этот ручной процесс приводит к человеческой ошибке — незлонамеренной форме атаки, которая может быть столь же дорогостоящей, как и преднамеренный эксплоит.
OSO реализует механизм политик, который может обеспечивать связь между двумя разными приложениями без одновременного подключения к обоим. Поскольку он работает через виртуальный разделенный сервер через службу конфиденциальных вычислений IBM, он также не имеет прямого подключения к внешней сети. Это предотвращает человеческие ошибки в ручных процессах, а также удаленный доступ (взлом) — даже во время транзакций.
