<FR/EN> Is blockchain ready for use in a governmental context?

in CyberSecurity11 months ago

In French below.

When asked if I had references to studies assessing if blockchains are secure enough to be used in a governmental context, I gave the answer below. What do you think of it?

mail-app.png
It seems to me that the question has been put the wrong way round: the security of blockchain infrastructures needs to be studied on an infrastructure-by-infrastructure basis. There are a large number of very different technologies, and each of these technologies is deployed in a variety of contexts. Blockchains are just one element among many in information systems, and contribute to the security of these information systems in the same way as other elements. However, these decentralized ledgers are explicitly designed to guarantee the integrity of the information they carry, so their contribution to security is generally very largely positive, but it all depends on the context in which they are used.

The Campus Cyber working group on crypto-assets (in which I participate, along with the ANSSI, the French agency for cybersecurity) has compiled a catalog of attacks on blockchain technologies that I think will be a very useful source for your work. You can find it at https://campuscyber.fr/resources/catalogue-dattaques-sur-les-crypto-actifs/. As you can see, the attacks listed rarely target the consensus layer, which is at the heart of these technologies, and many vulnerabilities exist in the more traditional components of these ecosystems. The same working group is working on a CSPN (Certification de Sécurité de Premier Niveau) evaluation target for auditing Ethereum nodes.

The EBSI technical group's view (which I share) on the issue of security is that we need to use proven, open source technologies (so that they can be audited), and deploy them in compliance with good IT engineering practice, including a proactive approach to security risk management as with any sensitive IT project (see the ISO/IEC 27000 family of standards). There is no fundamental reason to approach blockchain technology any differently from a security point of view than database or web server technology.

As a complement, the following article provides a recent survey of security issues in blockchain: Guo, Huaqun, and Xingjie Yu. "A survey on blockchain technology and its security". Blockchain: Research and Applications 3, nᵒ 2 (June 1, 2022): 100067. https://doi.org/10.1016/j.bcra.2022.100067.


Voici la réponse que j'ai faite à une personne me demandant des références pour s'assurer que les blockchains sont suffisamment sûres pour être utilisées dans un contexte gouvernemental. Qu'en pensez-vous ?

mail-app.png
La question me semble mal posée, en effet, la sécurité des infrastructures blockchains doit s'étudier infrastructure par infrastructure. Il y a en effet un grand nombre de technologies très différentes les unes des autres et chacune de ces technologies est déployée dans des contextes variés. Les blockchains ne sont qu'un élément parmi d'autres de systèmes d'information et contribuent à la sécurité de ces systèmes d'information comme les autres éléments. Cependant, ces registres distribués sont explicitement conçus pour garantir l'intégrité de l'information qu'ils portent, leur contribution à la sécurité est donc en général très largement positive, mais tout dépend du contexte dans lequel ils sont employés.

Le groupe de travail sur les crypto-actifs du Campus Cyber (auquel je participe ainsi que l'ANSSI) a construit un catalogue d'attaques sur les technologies blockchains qui me semble une source très utile pour votre travail. Vous le trouverez à https://campuscyber.fr/resources/catalogue-dattaques-sur-les-crypto-actifs/. Vous pourrez constater à sa lecture que les attaques recensées ciblent rarement la couche de consensus qui est le cœur de ces technologies et que de nombreuses vulnérabilités existent dans les composants plus classiques de ces écosystèmes. Le même groupe de travail travaille sur une cible d'évaluation CSPN (Certification de Sécurité de Premier Niveau) pour mener des audits de nœuds Ethereum.

Le point de vue du groupe technique de l'EBSI (que je partage) sur la question de la sécurité est qu'il faut utiliser des technologies éprouvées, open source (pour pouvoir les auditer), et les déployer en respectant les bonnes pratiques de l'ingénierie informatique, incluant une approche proactive de gestion des risques de sécurité comme pour tout projet informatique sensible (voir la famille de normes ISO/IEC 27000). Rien de fondamental ne justifie d'aborder une technologie blockchain différemment du point de vue sécurité qu'une technologie de base de données ou de serveur web.

En complément, l'article suivant fait un état de l'art récent des problématiques de sécurité dans les blockchains : Guo, Huaqun, et Xingjie Yu. « A survey on blockchain technology and its security ». Blockchain: Research and Applications 3, nᵒ 2 (1 juin 2022): 100067. https://doi.org/10.1016/j.bcra.2022.100067.

 

Licence Creative Commons
This work is licensed under Licence Creative Commons Attribution - Share Alike 4.0 International.

 

Sort:  

!PIZZA

Curation par La Principauté du Bastion.


ItharaGaian
Principauté du Bastion (@hive-143869 Community)
Sélection Manuelle

BlasonPrincipautéBastionTransparentSmall.png

PIZZA!

$PIZZA slices delivered:
@itharagaian(8/10) tipped @pboulet