IBM angekündigt die Einführung von IBM Hyper Protect Offline Signing Orchestrator (OSO), einer Air-Gap-Kühlspeicherlösung für digitale Assets, am 5. Dezember.
In Zusammenarbeit mit dem Digital-Asset-Manager Metaco – einem IBM-Partner und Ripple-Tochterunternehmen – und erstklassigen Banken entwickelte IBM den End-to-End-Asset-Verschlüsselungsdienst, um häufige Schwachstellen typischer Cold-Storage-Lösungen zu beheben.
Laut Ankündigung:
„Wenn es um Offline- oder physische Air-Gap-Cold-Storage geht, gibt es Einschränkungen, einschließlich privilegiertem Administratorzugriff, Betriebskosten und Fehlern sowie der Unfähigkeit, wirklich zu skalieren. All diese Einschränkungen sind auf einen zugrunde liegenden Faktor zurückzuführen: die menschliche Interaktion.“
Kühlhaus
IBM hat OSO entwickelt, um diese Schwachstellen zu beheben, indem die manuellen Funktionen zum Initiieren und Durchführen von Transaktionen entfernt werden. Ähnlich wie ein Time-Release-Safe, der nicht auf Anfrage geöffnet werden kann, kann OSO so konfiguriert werden, dass Transaktionen nur zu bestimmten Zeiten oder nur durch die Autorisierung eines Multibody-Governance-Systems aus dem Cold Storage an die Blockchain und umgekehrt gesendet werden.
Dies verhindert, so der Blogbeitrag und begleitende Untersuchungen, die häufigsten Formen von Insider-Angriffen, darunter physischen Zugriff, administrative Manipulation und Zwangsangriffe. Wenn ein böswilliger Akteur auf irgendeine Weise physisch oder aus der Ferne auf das System zugreifen würde, könnte er eine Transaktion nur zu genehmigten Zeiten initiieren und müsste warten, bis die Transaktion zur Ausführung genehmigt wurde, um Vermögenswerte zu erhalten/zu stehlen.
Um die Widerstandsfähigkeit von OSO gegenüber Angriffen weiter zu gewährleisten, können digitale Assets in Speicherbehältern mit „Luftspalt“ abgelegt werden. Speicher gilt als Air-Gap-Speicher, wenn er nicht mit dem Internet oder einem Gerät verbunden ist, das eine Verbindung zum Internet herstellen kann. Dadurch wird sichergestellt, dass Remote-Angriffe nicht auf ruhende Assets zugreifen können.
Absicherung von Blockchain-Transaktionen
Administratoren, die Cold-Storage-Lösungen in einem typischen Air-Gap-Paradigma verwalten, müssen physische Speichergeräte wie Laptops oder USB-Laufwerke normalerweise per Hand zur Offline-Hardware tragen, um Transaktionen zu signieren. Dieser manuelle Prozess führt zu menschlichem Versagen, einer harmlosen Form des Angriffs, die genauso kostspielig sein kann wie ein absichtlicher Exploit.
OSO implementiert eine Richtlinien-Engine, die die Kommunikation zwischen zwei verschiedenen Anwendungen vermitteln kann, ohne gleichzeitig eine Verbindung zu beiden herzustellen. Da es über einen virtuellen, partitionierten Server über den Confidential Computing-Dienst von IBM betrieben wird, verfügt es auch über keine direkte externe Netzwerkkonnektivität. Dies verhindert menschliches Versagen durch manuelle Prozesse sowie Fernzugriff (Hacking) – auch während Transaktionen.
Verwandt: Bitcoin-Depotbank Nostr Assets unterbricht Einzahlungen, nachdem die maximale Kapazität erreicht ist‘