IBM annoncé le lancement d’IBM Hyper Protect Offline Signing Orchestrator (OSO), une solution de stockage à froid pour les actifs numériques, le 5 décembre.
En collaboration avec le gestionnaire d’actifs numériques Metaco – un partenaire d’IBM et une filiale de Ripple – et des banques de niveau 1, IBM a développé le service de chiffrement d’actifs de bout en bout pour remédier aux vulnérabilités courantes trouvées dans les solutions de stockage à froid typiques.
Selon l’annonce :
« Lorsqu’il s’agit de stockage frigorifique hors ligne ou physiquement isolé, il existe des limites, notamment un accès administrateur privilégié, des coûts et des erreurs opérationnels et l’incapacité d’évoluer réellement. Toutes ces limitations sont dues à un facteur sous-jacent : l’interaction humaine.
Chambre froide
IBM a conçu OSO pour remédier à ces vulnérabilités en supprimant les fonctions manuelles de lancement et d’exécution des transactions. Tout comme un coffre-fort à libération prolongée qui ne peut pas être ouvert sur demande, OSO peut être configuré pour envoyer uniquement des transactions du stockage froid vers la blockchain, et vice versa, à des moments précis ou uniquement via l’autorisation d’un système de gouvernance multi-organismes.
Selon le billet de blog et les recherches qui l’accompagnent, cela empêche les formes les plus courantes d’attaques internes, notamment l’accès physique, les manipulations administratives et les attaques par coercition. Si un acteur malveillant accédait d’une manière ou d’une autre au système, physiquement ou à distance, il ne pourrait lancer une transaction que pendant les heures approuvées et devrait attendre que la transaction soit approuvée pour exécution afin de recevoir/voler des actifs.
Garantissant davantage la résilience d’OSO aux attaques, les actifs numériques peuvent être placés dans des conteneurs de stockage « à air isolé ». Le stockage est considéré comme isolé lorsqu’il n’est pas connecté à Internet ou à tout appareil capable de se connecter à Internet. Cela garantit que les attaques à distance ne peuvent pas accéder aux actifs lorsqu’ils sont au repos.
Sécuriser les transactions blockchain
Les administrateurs gérant des solutions de stockage à froid dans un paradigme typique d’air-gappé doivent généralement transporter manuellement des périphériques de stockage physiques tels que des ordinateurs portables ou des clés USB vers du matériel hors ligne afin de signer des transactions. Ce processus manuel introduit une erreur humaine, une forme d’attaque non malveillante qui peut s’avérer tout aussi coûteuse qu’un exploit intentionnel.
OSO implémente un moteur de politique capable d’assurer la communication entre deux applications différentes sans se connecter simultanément aux deux. Comme il fonctionne via un serveur virtuel partitionné, via le service Confidential Computing d’IBM, il ne dispose pas non plus de connectivité réseau externe directe. Cela évite les erreurs humaines liées aux processus manuels ainsi que l’accès à distance (piratage), même pendant les transactions.
En rapport: Le dépositaire Bitcoin Nostr Assets suspend les dépôts après avoir atteint sa « capacité maximale »‘