美国海军正在寻找私人合作伙伴来研究和开发其名为PARANOID的区块链安全专有技术。
这是一个保护管理供应链的软件的解决方案,利用区块链来确保软件开发环境的安全并验证成品软件。
目前它仍然只是一个原型(TRL5),由基于Hyperledger的区块链基础设施、服务器应用程序、Visual Studio和Visual Studio Code的插件以及离线软件验证应用程序组成。
Summary
Marina USA: L’apertura ai privati del progetto blockchain Paranoid
根据几天前发布的新闻稿,海军正在寻求与私营行业合作开发这种软件,该软件可以在软件开发过程中实现可追溯性和可证明性。
软件现已成为军用飞机、车辆和武器系统不可或缺的一部分,因此需要一个能够确保软件供应链安全的解决方案。为此,开发了Paranoid。
现在海军的目标甚至是将这一创新商业化,尽管最初Paranoid的开发仅仅是为了支持Naval Aviation Enterprise (NAE) 航空项目中特别是航空软件的安全开发。
不过,这个解决方案理论上适用于任何需要完全可追溯性和确定性证明的软件开发的组织或公司,从而防止在开发过程中可能发生的攻击。
Paranoid 可通过 TechLink(国防部的国家技术转让合作伙伴)为私营企业提供,但海军也向私人开发人员提供合作研究与开发协议 (CRADA),以促进政府机构与私营企业之间的合作。
TechLink 的高级技术经理 Nida Shaikh 表示:
“一个理想的CRADA合作伙伴将是一个有兴趣开发解决方案以保护软件供应链的公司。这将包括软件开发领域的公司,他们愿意安装和测试PARANOID以获取反馈和可扩展性。”
什么是 Paranoid
这项新技术是由NAWCAD,即新泽西州莱克赫斯特海军航空战中心的Aircraft Division发明的。
需要解决的问题是验证软件开发过程中的所有步骤的安全性,从创建和修改原始源代码到编译,再到创建最终应用程序并将其发送给最终用户。
事实是,这些步骤中的每一个理论上都包含无数的机会来发动网络攻击,无论是从内部还是外部,例如偷偷插入恶意代码或用另一个文件交换文件。
PARANOID方法通过区块链在整个生命周期内保证软件的完整性,从而解决了问题。
现有的原型,在所谓的技术成熟度等级5 (TRL5) 中运行,与现有的开源开发环境集成,如 Visual Studio 和 Visual Studio Code,并将开发人员的操作与区块链交易联系起来。
根据PARANOID的发明者,这种区块链方法已被证明是一种可行的方法,可以支持全面的可追溯性和强有力的系统完整性证明,用于关键任务软件的开发系统。
优点是区块链是一个不可更改的账本,所有人都可以直接查询,无需中介。任何对区块的更改都会立即被发现。
所有参与的计算机都持有此账本的副本,因此可以在不依赖中介的情况下进行验证,所有交易都根据公共协议进行验证和更新。
使用 PARANOID,每个关键软件的开发都是区块链上的交易,因此任何意外修改或其他网络攻击都会立即被发现。
目标是有效防止源代码的未经授权修改,同时防止文件、对象、可执行文件和测试包的未经授权替换或插入。
区块链超越加密货币
第一个公共和去中心化的区块链样本于2009年1月随着第一个Bitcoin区块的挖掘而出现,由Satoshi Nakamoto完成。
最初,这项技术仅在加密货币领域使用,但后来人们发现其特性也使其非常适合其他类型的用途,例如NFT。
具体来说,一个公共和去中心化的区块链是不可攻击和不可修改的,因为任何人都可以亲自验证所有交易的正确性。
在Paranoid的情况下,虽然没有使用公共区块链,出于显而易见的原因,但使用了一个许可的DLT (Hyperledger),然而它的作用非常相似。
实际上,任何使用Paranoid管理的软件的工作人员都将直接访问软件的交易链,从而能够亲自并且无需中介验证所有交易是否正确。
可以想象,会有不同的访问级别,并且不同软件的数据不会在不同的开发团队之间共享,并且由于Paranoid已经在TRL5中使用,可以想象这项技术确实运行良好。
需要记住的是,不需要在区块链上注册代码本身,只需注册代码的验证哈希,这样从哈希中无法以任何方式追溯到代码,但可以绝对确定地使用它来验证,从而可以亲自且无需中介验证所使用的软件是否与在区块链上认证的软件完全一致。