АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
2219276 статей на русском языкеО РУВИКИ

Конфиденциальность и блокчейн

Экспертиза РАН

Logo-ran.pngLogo-ran-black.png
Проводится экспертиза
Российской академией наук
Подробнее
Times2.svg

Экспертиза РАН

Arrow-Right.png
Logo-ran.png
Проводится экспертиза
Российской академией наук
Подробнее

Конфиденциальность и блокчейн — область изучения и практики, посвящённая вопросам конфиденциальности при использовании блокчейна — распределённой базы данных, записывающей транзакции между двумя сторонами в неизменяемом реестре[1]. Блокчейн документирует и подтверждает псевдонимную (несвязанную с реальной личностью) собственность всех транзакций в проверяемой и устойчивой форме[2]. После проверки и криптографической верификации транзакции другими участниками сети (узлами) она становится частью блокчейна в виде «блока»[1]. Каждый блок содержит информацию о времени совершения транзакции, предыдущих операциях и деталях самой транзакции[1]. Записанные блоки организованы в хронологическом порядке и не могут быть изменены[1] Эта технология приобрела известность после появления биткойна, первой реализации блокчейна, положившей начало и другим криптовалютам, а также различным приложениям.[3]

Благодаря децентрализованной архитектуре блокчейна проверка и хранение данных не осуществляется единственным контролирующим субъектом, как это происходит в централизованных системах[4]. Достоверность операций подтверждается большинством участников сети (узлов), и операции добавляются по принципу консенсуса. Блокчейн обеспечивает безопасность и подлинность данных с помощью криптографии[5]. При расширении использования цифровых технологий участились утечки данных[6]. Информация пользователей часто хранится и обрабатывается ненадлежащим образом, что угрожает персональной конфиденциальности[5]. Сторонники блокчейна выделяют его способность повысить конфиденциальность пользователей, защиту данных и контроль над собственными данными[5].

Блокчейн и защита конфиденциальности

Приватные и публичные ключи

Ключевой аспект конфиденциальности в блокчейнах связан с использованием приватных и публичных ключей. Системы блокчейна используют асимметричную криптографию для защиты транзакций между пользователями[7]. У каждого пользователя есть пара ключей: публичный и приватный[7]. Эти ключи представляют собой случайные строки чисел, связанные между собой криптографическим образом[7]. Математически невозможно вычислить приватный ключ по публичному[7]. Данная архитектура повышает безопасность и защищает от взломов.[7] Публичные ключи могут свободно распространяться по сети, поскольку сами по себе не раскрывают личных данных.[7] Каждый пользователь получает адрес, формируемый из публичного ключа с помощью хеш-функции.[7] Через эти адреса можно отправлять и получать цифровые активы, такие как криптовалюта.[7] Поскольку блокчейн является общедоступным для всех участников сети, пользователи могут просматривать историю транзакций и активность в системе.[7]

Отправители и получатели транзакций идентифицируются по адресам;[7] реальные личности не раскрываются.[7] Публичные адреса действуют как псевдонимы, не содержащие личной информации.[7] Рекомендуется не использовать один и тот же публичный адрес повторно,[7] чтобы злоумышленник не мог отследить цепочку транзакций по данному адресу.[7] Приватные ключи обеспечивают защиту идентичности и безопасности через цифровые подписи.[7] Доступ к средствам и личным кошелькам в блокчейне осуществляется только с помощью приватного ключа,[7] который служит дополнительным фактором аутентификации.[7] Для отправки средств пользователю необходимо подписать транзакцию, используя приватный ключ, что защищает от кражи.[7]

Одноранговая сеть

undefined

Технология блокчейн возникла благодаря появлению биткойна.[8] В 2008 году некий пользователь (или группа пользователей) под псевдонимом Сатоси Накамото опубликовал работу с описанием принципов блокчейна[8]. В ней впервые была описана децентрализованная сеть с одноранговыми транзакциями, где используются криптовалюты или электронные деньги[8]. В современных транзакциях пользователи доверяют центральным структурам хранение данных и выполнение операций[5].

В крупных корпорациях большая часть данных пользователей сосредоточена на единичных устройствах, что создаёт риски в случае взлома, утери или небрежного обращения.[5] Блокчейн устраняет необходимость доверять центральной стороне.[8] В сети блокчейна узлы или устройства могут самостоятельно подтверждать подлинность транзакций без третьей стороны.[8] Транзакции (например, перевод криптовалюты) рассылаются всем узлам сети,[8] а включение их в блокчейн предварительно требует валидации.[8] Узлы проверяют прошлые операции отправителя, чтобы исключить двойную трату средств.[8]

После подтверждения блока применяются протоколы консенсуса, такие как доказательство работы (Proof-of-work) и доказательство доли владения (Proof-of-stake), реализуемые майнерами.[8][9] После валидации информация публикуется в блокчейне в виде блока[6]. Созданный блок не может быть изменён[1]. Благодаря отсутствию центральной инстанции приватность пользователей увеличивается.[5] Одноранговые сети позволяют контролировать свои данные, уменьшая риски их продажи или манипулирования третьими сторонами.[5]

Криптографические методы защиты конфиденциальности

Доказательства с нулевым разглашением (ZKP)

Доказательство с нулевым разглашением (англ. zero-knowledge proof, ZKP) — криптографический метод, позволяющий одной стороне (доказателю) убедить другую сторону (проверяющего) в истинности утверждения, не раскрывая каких-либо подробностей, кроме факта его истинности. При этом доказывающий не сообщает ничего о содержании транзакции. В блокчейн-системах ZKP внедряются, например, через ZK-SNARK-и, для увеличения приватности.[10]. В обычных публичных блокчейнах, например Биткойне, блок содержит открытые данные: адреса отправителя и получателя, сумму[10]. Комбинируя их с кластерными методами, можно попытаться связать псевдонимные адреса с реальными личностями. Доказательства с нулевым разглашением сокращают достоверность подобных методов, поскольку ничего, кроме факта валидности, не раскрывается[10]. Характерным примером внедрения ZK-доказательств является криптовалюта Zcash.

Кольцевые подписи

Другой метод сокрытия движения средств в публичном блокчейне — кольцевая подпись (Ring signature), применяемая, например, в Monero.

Микширование (миксинг)

Криптовалютные миксеры также используются для повышения приватности даже в псевдонимных криптовалютах. Кроме внешних сервисов, микширование может быть встроено непосредственно в саму блокчейн-систему (как, например, в Dash).

Популярный сервис микширования Tornado Cash был внесён в санкционный список министерством финансов США в августе 2022 года, после обвинения в отмывании 455 миллионов долларов, якобы похищенных группой Lazarus. Для граждан и компаний США использование сервиса стало незаконным[11]. В апреле 2024 года нацелено расследование на Samourai Wallet — инструмент Coinjoin для биткойна, его основатели были арестованы по обвинению в содействии отмыванию денег[12].

Сравнение систем приватности блокчейнов

Частные блокчейны

Частные (разрешённые) блокчейны отличаются от публичных блокчейнов, которые доступны для скачивания и проверки любым желающим. Критики публичных блокчейнов отмечают, что наличие открытого доступа к истории транзакций снижает уровень приватности[9]. В частных блокчейнах доступ возможен только для одобренных узлов, которые способны видеть транзакции и участвовать в протоколах достижения консенсуса[9]. Такие блокчейны обеспечивают дополнительный уровень приватности[5]. Также отмечается, что в силу ограниченного доступа и специального отбора узлов частные блокчейны могут давать пользователям большую конфиденциальность.[9] При этом возникает ряд недостатков:[8] например, именно специально назначенные актёры отвечают за подтверждение блоков и транзакций.[7] Несмотря на возможную эффективность и безопасность, часть исследователей отмечает, что концентрация контроля делает такие системы не по-настоящему децентрализованными.[7]

Гибридные блокчейны

Гибридные блокчейны предоставляют гибкость в определении того, какие данные остаются конфиденциальными, а какие — публично доступными.[13] Такой подход помогает соответствовать требованиям GDPR и хранить данные на выбранных облачных инфраструктурах в зависимости от местных нормативов по защите информации. Гибридный блокчейн совмещает черты как частных, так и публичных сетей, однако архитектура у конкретных продуктов может отличаться. Биткойн и Эфириум обе являются публичными сетями, но их архитектура различна[14].

Примеры применения блокчейна для защиты конфиденциальности

Финансовые транзакции

После появления блокчейна и биткойна криптовалюты приобрели широкую популярность[8]. Криптовалюты — это цифровые активы, которые могут использоваться как альтернатива фиатным деньгам.[1] Современные финансовые системы сталкиваются с проблемами приватности и угрозами.[8] Централизация информации — препона для эффективного хранения данных.[8] При переводе средств требуется посредник.[8] Блокчейн уменьшает необходимость доверия к централизованному посреднику, а криптографические функции позволяют пользователям отправлять средства напрямую.[8] Благодаря анонимности, к блокчейну обращаются и для незаконных покупок, осуществляемых с использованием биткойна, отследить которые весьма трудно.[15]. Благодаря псевдонимным ключам, транзакции практически невозможно привязать к конкретному человеку[15]. Многие банки уже разрабатывают модели с использованием этой технологии[8].

Медицинские данные

В последние годы было зафиксировано множество утечек медицинских данных (свыше 100 млн записей).[5] Борясь с этим, организации иногда делают медицинские данные недоступными для пациентов.[6]. При передаче информации между разными поставщиками происходит потеря или искажение данных[5]. Иногда единственная актуальная копия истории болезни оказывается потерянной.[6] Медицинские записи содержат персональные сведения (имя, номер социального страхования, адрес и др.).[6] По мнению ряда экспертов, существующая система передачи медицинских данных может нарушать приватность пациентов ради упрощения обмена данными.[6]

С развитием блокчейна наблюдается тенденция переноса хранения медицинских данных в эту среду.[6] Вместо хранения данных в бумажных или электронных медицинских карточках вводятся EHR на блокчейне.[6] Здесь доступ к записям и их контроль остаются за пациентом с помощью приватного и публичного ключей.[6] Пациенты смогут самостоятельно предоставлять или ограничивать доступ к своим записям.[6] Неизменяемость реестра предотвращает утрату или фальсификацию информации.[6] Транзакции медицинских данных помечаются метками времени, что обеспечивает актуальность сведений.[6]

Юридические документы

Нотариальное заверение документов позволяет повысить конфиденциальность.[8] Сейчас документы подтверждаются третьими лицами либо нотариусами.[8] Нотариальные услуги порой дороги, передача документов занимает время и сопряжена с рисками потери.[8] Разработчики предлагают использовать блокчейн для хранения юридически важных документов.[8] Записи в блокчейне нельзя изменить, а доступ получают только те, кому владелец разрешил это делать.[8] Данные защищены от потерь и несанкционированного доступа.[15] Другой вариант применения — смарт-контракты, при которых условия исполняют автоматически сами узлы сети, без посредников, что повышает приватность[15].

Логистика и перевозки

Организации и частные лица заказывают товары, требующие доставки. Обычно процесс сопровождается договорами перевозки (накладными). Смарт-накладная (умная накладная) реализуется на основе блокчейна, позволяя экономить на бумажной работе. Кроме того товары отслеживаются онлайн, а обновление статуса происходит в реальном времени. Только заказчик и исполнитель перевозки имеют доступ к полной информации, что способствует конфиденциальности.[16]

Законодательство о блокчейне и конфиденциальности

GDPR

С принятием в апреле 2016 года Общего регламента по защите данных (GDPR) в Евросоюзе встал вопрос о соответствии блокчейна этим нормам[17]. GDPR применяется к обработке персональных данных резидентов ЕС независимо от местонахождения оператора. Персональные данные включают любую информацию, идентифицирующую человека[17]. Поскольку идентификация в блокчейне строится на публичных и приватных ключах, последний может подпадать под определение персональных данных (так как обеспечивает псевдонимность)[17]. Особое значение имеет право быть забытым, то есть право на удаление данных[17] GDPR разрешает пользователям требовать удаления устаревших или нерелевантных данных, однако из-за неизменяемости блокчейна это вызывает сложности: блоки, включённые в сеть, удалить невозможно.[8][17]

В апреле 2025 года Европейский совет по защите данных разработал Руководство 02/2025 о сочетании блокчейна и требований GDPR.[18]. В документе разобраны проблемы, связанные с несочетаемостью неизменяемости блокчейна и права на удаление, а также предложены рекомендации для согласования требований конфиденциальности с особенностями распределенного реестра[19]. Например, рекомендуется чётко разграничивать роли операторов данных и использовать принципы минимизации данных и проектирования с учётом конфиденциальности.

Налоговая служба США (IRS)

Из-за колебания курсов криптовалют многие рассматривают их приобретение как инвестицию. С 2018 года IRS сталкивается с трудностями: владельцы биткойнов часто не указывают доходы от операций с криптовалютой, особенно в случае многочисленных мелких транзакций[20]. В ответ IRS потребовала применять общие налоговые принципы, считая приобретение криптовалюты аналогом покупки акций или инвестиций[20]. Невыполнение требований по декларированию может привести к штрафам[20]. Для борьбы с уклонением Coinbase обязали сообщать о пользователях, переведших или получивших более 20 тысяч долларов США в течение года[20]. Применение блокчейна усложняет контроль: децентрализация не позволяет аккумулировать всю информацию, а псевдонимность адресов затрудняет идентификацию нарушителей и может способствовать отмыванию средств.[20]

Blockchain Alliance

В связи с использованием криптовалют и анонимности блокчейна для преступной деятельности ФБР и министерство юстиции США создали организацию Blockchain Alliance.[15] Эта структура отслеживает соблюдение законодательства в области блокчейна и способствует ведению диалога между государством и частным сектором.[15] Подобные инициативы помогают бороться с мошенничеством, взломами криптовалютных кошельков и хищением средств.[21]. Но, поскольку идентификация по публичному адресу невозможна, зачастую раскрыть преступника сложно[21].

Принципы справедливой обработки информации

Блокчейн позиционируется как инструмент реализации принципов справедливой обработки информации, гарантирующих конфиденциальность[5] Приватные и публичные ключи позволяют пользователям самостоятельно контролировать данные. Третьи лица не могут получить доступ или использовать их без разрешения.[5] Если персональные данные хранятся в блокчейне, сами владельцы решают, когда и как предоставить их другим. В блокчейне автоматически формируется аудит-трек, обеспечивающий точность транзакций.[5]

Проблемы приватности в блокчейне

Прозрачность

Хотя блокчейн позволяет пользователям контролировать данные без посредников, ряд его свойств может нарушать приватность.[22] Публичные блокчейны децентрализованы и доступны для анализа всем участникам. Используя блок-эксплореры, можно получать полную финансовую историю адресов и, совместно с OSINT-технологиями, создавать профили пользователей или выявлять потенциальных жертв мошенничества[23].

Децентрализация

Децентрализованный характер блокчейна затрудняет выявление злоумышленников. В отсутствие центрального администратора хакер, обладающий приватным ключом пользователя, может отправить ложную транзакцию, и остановить её уже невозможно[21]. Блокчейн-реестры неизменяемы: совершённую мошенническую операцию нельзя отменить[21]

Приватные ключи

Приватные ключи — способ подтверждения владения и управления криптовалютой.[21] Доступ к чужому приватному ключу позволяет распоряжаться всеми активами пользователя.[21] Поэтому хранить ключи нужно безопасно.[21] Сохранение приватного ключа на компьютере, флешке или телефоне — риск, если устройство украдено или скомпрометировано.[21] При утрате устройства доступ к средствам навсегда утрачен.[21] Бумажные носители уязвимы для потери, кражи или порчи.[21]

Примеры провалов приватности

MtGox

В 2014 году биржа MtGox, крупнейшая на тот момент в мире (Токио, Япония), подверглась крупнейшей атаке в истории блокчейна.[24]. На её счетах размещалась более половины биткойн-рынка[24]; в феврале 2014 года хакеры похитили $450 млн в bitcoin[24]. Несмотря на отслеживание транзакций по публичному реестру, личность злоумышленников не установили[21]. Подобная анонимность демонстрирует двойственный характер приватности в блокчейне.[21]

Взлом DAO

Хотя блокчейн должен решать проблемы приватности — утечки, порчи информации и др., он тоже уязвим для атак. В 2016 году проект DAO провёл сбор средств для финансирования одного из проектов,[5] во время чего системы взломали и из резервов Ethereum было похищено криптовалюту на $3,6 млн (по другим данным, это эквивалент $64–100 млн).[5]

Coinbase

Биржа Coinbase, ведущая в США платформа для хранения и операции с криптовалютами, также не раз подвергалась хакерским атакам.[21] Использование номеров телефонов и email для входа делало известных лиц и руководителей уязвимыми: хакеры получали доступ к email, подменяли коды подтверждения и похищали средства со счетов пользователей.[21]

Атаки КНДР

Согласно отчёту компании Chainalysis, в 2021 году поддерживаемые государством хакеры из Северной Кореи похитили около 400 млн долларов США в криптовалюте. Панель ООН заявила, что эти средства пошли на финансирование ракетных программ КНДР.[25][26]

Конфиденциальность и аудит в блокчейне

Появление анонимных криптовалют, таких как Zcash и Monero, подчеркнуло проблему проведения аудита: государственные органы и биржи ограничивают их использование[27]. В связи с этим вопросы аудита и приватности в блокчейне стали предметом научных исследований[28].

Примечания

  1. 1 2 3 4 5 6 BlockChain Technology: Beyond Bitcoin (англ.). scet.berkeley.edu. Дата обращения: 20 сентября 2025. Архивировано 21 июня 2025 года.
  2. Iansiti, Marco. The Truth About Blockchain (англ.), Harvard Business Review (1 января 2017). Архивировано 5 октября 2025 года. Дата обращения: 27 апреля 2022.
  3. Blockchain - What it is, and a non-financial use case (англ.). KTH Royal Institute of Technology. Дата обращения: 20 сентября 2025. Архивировано 15 сентября 2024 года.
  4. Nofer, Michael; Gomber, Peter; Hinz, Oliver; Schiereck, Dirk (1 июня 2017). “Blockchain”. Business & Information Systems Engineering [англ.]. 59 (3): 183—187. DOI:10.1007/s12599-017-0467-3. ISSN 1867-0202. S2CID 212620853.
  5. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 Kshetri, Nir (2017). “Blockchain's roles in strengthening cybersecurity and protecting privacy” (PDF). Telecommunications Policy [англ.]. 41 (10): 1027—1038. DOI:10.1016/j.telpol.2017.09.003.
  6. 1 2 3 4 5 6 7 8 9 10 11 12 Dagher, Gaby G. (2018). “Ancile: Privacy-Preserving Framework for Access Control and Interoperability of Electronic Health Records Using Blockchain Technology”. Sustainable Cities and Society [англ.]. 39: 283—297. DOI:10.1016/j.scs.2018.02.014.
  7. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 Joshi, Archana (2018). “A Survey on Security and Privacy Issues of Blockchain Technology”. Mathematical Foundations of Computing [англ.]. 1 (2): 121—147. DOI:10.3934/mfc.2018007.
  8. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 Crosby, Michael (2016). “Blockchain Technology: Beyond Bitcoin” (PDF). Applied Innovation Review [англ.] (2): 6—19.
  9. 1 2 3 4 Guegan, Dominique (2017). “Public Blockchain versus Private blockhain”. Documents de Travail du Centre d'Économie de la Sorbonne [англ.].
  10. 1 2 3 Wang, Yunsen (2018). “Designing Confidentiality-Preserving Blockchain-Based Transaction Processing Systems”. International Journal of Accounting Information Systems [англ.]. 30: 1—18. DOI:10.1016/j.accinf.2018.06.001. S2CID 52931003.
  11. Faife, Corin US Treasury bans Tornado Cash mixer for role in crypto money laundering (англ.). The Verge (8 августа 2022). Дата обращения: 16 августа 2022. Архивировано 29 августа 2025 года.
  12. Sun, Mengqi. Crypto Mixer Samourai Wallet’s Co-founders Arrested for Money Laundering (англ.), Wall Street Journal (24 апреля 2024). Архивировано 26 июня 2025 года. Дата обращения: 26 июня 2025.
  13. Are blockchains compatible with data privacy law? (англ.). Queen Mary University of London. Дата обращения: 20 сентября 2025. Архивировано 21 мая 2025 года.
  14. Kolb, John; AbdelBaky, Moustafa; Katz, Randy H.; Culler, David E. (5 февраля 2020). “Core Concepts, Challenges, and Future Directions in Blockchain: A Centralized Tutorial”. ACM Computing Surveys [англ.]. 53 (1): 9:1–9:39. DOI:10.1145/3366370. ISSN 0360-0300. S2CID 211041743.
  15. 1 2 3 4 5 6 Suzuki, Bryce; Taylor, T.; Marchant, G. (2018). “Blockchain: How It Will Change Your Legal Practice”. The Computer and Internet Lawyer [англ.]. 35 (7): 5—9.
  16. Crucial Factors for Implementing Warehouse Management System - SIPMM Publications (англ.). publication.sipmm.edu.sg (19 декабря 2021). Дата обращения: 26 октября 2022. Архивировано 5 сентября 2025 года.
  17. 1 2 3 4 5 Berberich, M.; Steiner, M. (2016). “Blockchain Technology and the GDPR: How to Reconcile Privacy and Distributed Ledgers?”. European Data Protection Law Review [англ.]. 2 (3): 422. DOI:10.21552/EDPL/2016/3/21.
  18. Guidelines 02/2025 on processing of personal data through blockchain technologies | European Data Protection Board (англ.). www.edpb.europa.eu. Дата обращения: 20 сентября 2025.
  19. Szczytko, Jacek Blockchain and GDPR: what do the new EDPB guidelines say? (англ.). Dudkowiak & Putyra (13 мая 2025). Дата обращения: 20 сентября 2025. Архивировано 5 сентября 2025 года.
  20. 1 2 3 4 5 Heroux, Mark (октябрь 2018). “Cryptocurrency: Compliance challenges and IRS enforcement”. Tax Adviser [англ.]. Проверьте дату в |date= (справка на английском)
  21. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 Wieczner, Jen (2017). “The 21St-Century Bank Robbery”. Fortune [англ.]. 176 (3): 34—41.
  22. Primavera De Filippi (2018). “The Interplay between Decentralization and Privacy: The Case of Blockchain Technologies”. Journal of Peer Production [англ.] (9).
  23. Follow the Bitcoin With Python, BlockExplorer and Webhose.io (англ.). bellingcat (15 сентября 2017). Дата обращения: 16 августа 2022. Архивировано 23 июня 2025 года.
  24. 1 2 3 Li, X (2017). “A survey on the security of blockchain systems”. Future Generation Computer Systems [англ.]. 107: 841—853. arXiv:1802.06993. DOI:10.1016/j.future.2017.08.020. S2CID 3628110.
  25. North Korea stole a record $400 million in cryptocurrency last year, researchers say (англ.). NBC News. Дата обращения: 4 февраля 2022. Архивировано 30 июля 2025 года.
  26. North Korea hackers stole $400m of cryptocurrency in 2021, report says (англ.), BBC News (14 января 2022). Архивировано 3 июля 2025 года. Дата обращения: 4 февраля 2022.
  27. Bittrex to Delist 'Privacy Coins' Monero, Dash and Zcash (англ.). Yahoo. Дата обращения: 20 сентября 2025. Архивировано 6 ноября 2021 года.
  28. Chatzigiannis, Panagiotis; Baldimtsi, Foteini; Chalkias, Konstantinos SoK: Auditability and Accountability in Distributed Payment Systems (англ.). SpringerLink (2021). doi:10.1007/978-3-030-78375-4_13. Дата обращения: 20 сентября 2025. Архивировано 10 марта 2025 года.

Категории