Güven(sizlik) Protokolü

Güvensiz olan blokzinciri değil, onun üzerinde çalıştığı dijital ağlar.

Internetin de kuruluşuna öncülük eden ABD Savunma Bakanlığı’na (Pentagon) bağlı DARPA kurumunun blokzinciri konusunda yaptırmış olduğu bir araştırma kısaca şu mesajı veriyor: Blokzinciri güvenli ama onun üzerinde çalıştığı dijital ağlar güvensiz.

Trail of Bits kurumunun araştırmasında öncelikle merkezileşmenin boyutları tanımlanıyor. Buna göre altı farklı merkezileşme söz konusu: Yetkili Merkezileşme, Fikir Birliği Merkezileşmesi, Motivasyonel Merkezileşme, Topolojik Merkezileşme, Ağ Merkezileşmesi ve Yazılım Merkezileşmesi.

Yetkili merkezileşme, kısaca sistemi yıkmak için gerekli olan asgari düğüm-uç (node) adedine işaret ediyor. Buna Nakamoto Katsayısı da deniyor. Fikir birliği (consensus) merkezileşmesinde ise odak PoW gibi konsensüs modelinde. Bir grup madenci (örneğin bir çiftlik) tüm blokzincirini kontrol edecek büyüklüğe ulaşabilir mi? Motivasyonel merkezileşmede katılımcıların kötü niyetli davranışlarda bulunmaktan nasıl caydırılacağı konusu önem kazanıyor. Yani bir katılımcının hatalı ya da yanlış veri yayınlayarak sisteme zarar vermesi nasıl önlenebilir? Bu caydırma modelleri merkezileştirilebilir mi? Bu tür kötü niyetli katılımcıların hakları iptal edilebilir mi? Bunu hangi otorite, nasıl yapabilir?

Topolojik merkezileşmede odak konsensüs ağının bozulmaya ne kadar dayanıklı olduğudur. Bir blonzinciri ağında hayatı köprü vazifesi gören bir düğüm kümesi var mı? Öyle ki o kısım işlevsizleştiğinde tüm blokzincirinin çalışmaya devam etmesi için çatallanmaktan başka bir çıkış yolu olamasın. Ağ merkezileşmesinde ise temel nokta blokzinciri ağını oluşturan düğüm ya da uçların (node) dengeli bir coğrafik dağılıma sahip olup olmadığıdır. Keza art niyetli bir internet servis sağlayıcısı (ISS) veya devlet tüm blokzinciri trafiğini engellemeye veya filtrelemeye karar verirse ne olur? Blokzinciri çalışmaya devam edebilir mi? Yoksa işlemler aksar mı? Yazılım merkezleşmesi ise kaynak koda odaklı. Blokzincirinin güvenliği, üzerinde çalıştığı yazılımın güvenliğine ne ölçüde bağlı? Yazılımdaki herhangi bir hata (istemeden veya kasıtlı olarak), blokzincirinin değişmezlerini geçersiz kılabilir mi?

Bu kapsamda raporun bazı temel çıktıları şöyle sıralanıyor:

    • Blokzinciri kullanmak onu geliştiren yazılım ekibine güvenmeyi gerektiriyor. Aksi durumda blokzinciri altyapısının merkezi yazılım altyapıları düzeyinde bir güven(sizlik) özelliğine sahip olduğunu kabul etmek gerekiyor.
    • Her blokzincirinde, onu dolayısıyla da geçmiş işlemleri değiştirme yetkisine sahip bir grup yetkili vardır.
    • Bir blokzincirini yıkacak düzeyde kapasiteye ulaşmak için gerekli olan düğüm-uç (node) sayısı oldukça azdır. Bitcoin için dört, Ethereum için üç düğüm yeterlidir.
    • Bitcoin blokzincirini oluşturan düğümlerin büyük bir kısmı madencilik sürecine dahil olmamaktadır. Ayrıca düğüm sahiplerinin etik dışı davranışlarda bulunduğunda karşılaşacakları bir cezai yaptırım yoktur.
    • Popüler blokzincirlerini oluşturan düğümlerin coğrafik olarak dengeli dağılmasını sağlayan pratik bir çözüm henüz üretilememiştir.
    • Bitcoin blokzincirini oluşturan düğümler arasındaki veri iletimi şifreli değildir. Bu da herhangi bir aracının (ISP ya da devlet kurumu) trafiği kesintiye uğratmasına imkân verebilir (örneğin belli bir noktadan başlatılan Bitcoin transfer işlemleri asla gerçekleşmeyebilir).
    • Bitcoin blonzinciri trafiğinin yüzde 60’ı üç ISP üzerinden gerçekleşmektedir. En çok işlem yapan IP adresleri Almanya, Fransa ve ABD merkezlidir. Bitcoin düğümlerinin üçte biri ABD’de, dörtte biri Almanya’da ve onda biri Fransa’dadır.

Herkese Bilim Teknoloji Dergisi; “Dijital Kültür” Köşesi (Sayı 332 11.08.2022)