La custodia sicura di Bitcoin: aspetti tecnologici, funzionali e regolamentari - Cyber Security 360

CRIPTOVALUTE

La custodia sicura di Bitcoin: aspetti tecnologici, funzionali e regolamentari

Molta strada è stata fatta nel percorso di maturazione degli standard di sicurezza di Bitcoin, ma molta ne resta ancora da fare, specialmente in Europa, per sviluppare un quadro regolamentare adeguato, mentre si intravedono all’orizzonte sviluppi innovativi di tecniche crittografiche che potranno rendere la custodia ancora più sicura. Il punto

28 Set 2021
A
Ferdinando Ametrano

Docente Università Milano-Bicocca e amministratore delegato CheckSig

La custodia sicura di Bitcoin si ottiene curando sia aspetti strettamente tecnologici, sia aspetti funzionali e di processo. È inevitabile che la comprensione dei primi sia in qualche modo preliminare per poter comprendere gli ultimi: il lettore dovrà quindi avere un’attitudine curiosa, metodica e paziente per cogliere i diversi passaggi qui affrontati.

Le considerazioni che seguono si applicano in linea di massima con pochi adattamenti anche ai numerosi crypto-asset che sono venuti dopo Bitcoin, avendo questi mutuato la maggioranza delle scelte tecnologiche architetturali.

Custodia sicura di Bitcoin: le tecnologie utilizzate

La sicurezza di Bitcoin è basata su un libro mastro, chiamato blockchain, dove sono registrate tutte le transazioni e i criteri con cui possono essere trasferiti i Bitcoin esistenti.

La sicurezza delle singole transazioni è affidata, invece, alla crittografia asimmetrica, basata su una coppia di chiavi: una pubblica e una privata o segreta. Le due chiavi sono matematicamente collegate e svolgono un ruolo complementare in un protocollo di firma digitale: la chiave privata è utilizzata per generare firme digitali, la chiave pubblica è utilizzata da chiunque per verificare la genuinità delle firme digitali prodotte dalla corrispondente chiave privata. La chiave pubblica deriva dalla chiave privata ma la chiave privata non può essere derivata dalla chiave pubblica.

Esistono, poi, anche gli indirizzi: un indirizzo deriva da una chiave pubblica ma la chiave pubblica non può essere derivata dall’indirizzo. Insomma, la derivazione procede dalla chiave privata verso la pubblica per arrivare poi all’indirizzo ma non può essere percorsa in senso inverso.

La chiave privata è cruciale perché permette la spesa dei Bitcoin associati all’indirizzo corrispondente.

È possibile generare arbitrariamente chiavi private e le loro corrispondenti chiavi pubbliche e indirizzi, senza dover chiedere alcun tipo di autorizzazione.

Anche per questo, Bitcoin è un bene al portatore: se si perde una chiave privata, i Bitcoin associati sono persi per sempre e nessuno, tantomeno una autorità centrale, può recuperarli.

Immaginiamo che Alice voglia trasferire dei Bitcoin da un suo indirizzo verso un indirizzo controllato da Bob. Alice dovrà:

  1. comporre un messaggio transazionale che include la quantità di Bitcoin che vuole trasferire, la sua chiave pubblica e l’indirizzo di Bob;
  2. firmare con la sua chiave privata questo messaggio che sarà poi inoltrato alla rete Bitcoin.

Tutti i nodi della rete Bitcoin, avendo accesso alla chiave pubblica di Alice, potranno indipendentemente verificare che:

  1. la quantità di Bitcoin che Alice vuole trasferire è realmente associata al suo indirizzo: l’indirizzo deriva infatti dalla chiave pubblica e sulla blockchain (il registro pubblico delle transazioni) si può verificare quanti Bitcoin sono associati ad un certo indirizzo;
  2. la firma del messaggio transazionale è valida e quindi il messaggio non è stato modificato ed è stato firmato proprio con la chiave privata associata all’indirizzo da cui si vogliono trasferire i Bitcoin.

A questo punto, un qualunque nodo della rete può aggiornare la blockchain con questa nuova transazione. Tutti sapranno che quel quantitativo di Bitcoin non è più associato all’indirizzo controllato da Alice, ma è stato trasferito all’indirizzo controllato da Bob: solo la chiave privata di Bob potrà trasferire ulteriormente i Bitcoin in questione.

Bitcoin: sono davvero anonimi? Ecco cosa dimostra il caso Colonial Pipeline

I wallet per la custodia sicura di Bitcoin

Siccome il registro transazionale blockchain è pubblico, per motivi di privacy (e anche di sicurezza) è opportuno utilizzare un indirizzo diverso, e quindi una coppia chiave privata/pubblica diversa, per ogni transazione.

Per gestire la molteplicità di indirizzi e chiavi si utilizzano soluzioni genericamente chiamate wallet: si tratta usualmente di un software che utilizza un seme (quasi sempre nella forma di una frase composta da diverse parole, nei diversi standard BIP39 o Electrum) da tenere segreto e da cui deriva un albero di chiavi (incluse le chiavi private) e indirizzi associati secondo lo standard noto come BIP32.

Quando le componenti segrete di un wallet non sono mai state esposte su Internet si parla di cold wallet. Quando lo sono, ad esempio su un server che deve firmare in automatico delle transazioni, si parla invece di hot wallet.

I software wallet sono talvolta rafforzati da componenti hardware (Hardware Security Module) che difendono le informazioni segrete all’interno di un secure element: le chiavi private sono utilizzate per firmare le transazioni, ma non lasciano mai il secure element, non vengono viste direttamente dal software e non possono quindi essere copiate o trafugate. Gli hardware wallet, se usati correttamente, sono per definizione cold wallet.

Le configurazioni di sicurezza più avanzate

Soluzioni mirate alla sicurezza nella conservazione delle chiavi private possono talvolta ritorcersi contro chi detiene Bitcoin.

Un uso tecnicamente ingenuo può rendere l’accesso alle chiavi private improvvisamente impossibile allo stesso “legittimo proprietario”, che dimentica un seme, un PIN o perde un dispositivo hardware. Inoltre, il passaggio generazionale diventa impossibile se il defunto non ha documentato la sua prassi di sicurezza; ma documentarla avrebbe rappresentato un rischio operativo perché avrebbe consentito ad altri di appropriarsi dei Bitcoin.

Per questo spesso si preferisce affidare il controllo dei Bitcoin ad una molteplicità di attori diversi, con schemi multi-firma m-di-n (in inglese m-of-n multi-sig): m di n chiavi private devono firmare la transazione. Ad esempio, il caso 1-di-2 è analogo ad un conto bancario tradizionale cointestato a firma disgiunta, mentre il caso 2-di-2 è analogo ad un conto cointestato a firma congiunta. Usualmente, si evitano le configurazioni 1-di-n, perché rendono l’accesso ad un singolo wallet su n sufficiente per trafugare i Bitcoin, vanificando il rafforzamento che si vuole ottenere coinvolgendo più attori nel controllo dei Bitcoin.

Anche se difese dal secure element di un dispositivo hardware, le componenti private di un wallet (o il dispositivo hardware medesimo) restano a rischio furto, perdita, smarrimento, guasto. Per limitare questi rischi, le configurazioni di sicurezza più avanzate prevedono schemi multi-firma con ridondanze: ad esempio, in un 2-di-3 la perdita di uno dei tre wallet non comporta la perdita dei Bitcoin associati, che sono trasferibili con i due wallet rimanenti. Allo stesso tempo, non c’è un singolo attore che controlla i Bitcoin.

Approcci alternativi alla custodia sicura di Bitcoin

Si parla spesso anche di approcci multi-party computation come alternativa al multi-firma.

In questo caso i Bitcoin sono spendibili da una singola chiave, che viene suddivisa in n componenti ma può essere ricostruita con solo m componenti.

Apparentemente l’approccio sembra simile ad un multi-firma m-di-n, ma in realtà al momento della firma viene ricostituita l’unica chiave che, se trafugata in quel momento, consente il furto dei Bitcoin. Inoltre, mentre in una configurazione 2-di-3 multi-firma si riconoscono sempre, dalle chiavi specificamente utilizzate, i due attori che hanno firmato la transazione, in un 2-di-3 multi-party non è possibile sapere quali dei tre attori siano stati coinvolti nella firma che avviene sempre con l’unica chiave ricostruita.

L’approccio multi-party, noto da decenni come Shamir secret sharing, è da sempre considerato meno sicuro del multi-firma per i due motivi appena esposti: la debolezza di una unica chiave e l’impossibilità di verificare chi ha contribuito a ricostruirla.

La recente popolarità di approcci multi-party computation è dovuta alla mancanza di supporto multi-firma per molti crypto-asset tecnologicamente immaturi (ad esempio Ether); purtroppo, operatori tecnologicamente ambigui la usano irresponsabilmente anche per Bitcoin, sebbene sia subottimale dal punto di vista della sicurezza e dell’audit.

La pericolosità del fai-da-te sulla sicurezza dei Bitcoin

In ambito crypto-asset, il fai-da-te sulla sicurezza diventa rapidamente pericoloso perché tecnicamente complesso e operativamente pericoloso.

Chi possiede pochi gioielli li tiene usualmente in casa: potremmo dire che questo comportamento è analogo a custodire i propri Bitcoin con un software wallet a firma singola gestito personalmente; quando i gioielli sono tanti, si preferisce di solito una cassaforte o meglio ancora una cassetta di sicurezza: questo è l’equivalente di un hardware wallet o di una configurazione multi-firma; invece, quando si possiedono lingotti d’oro, allora ci si rivolge a servizi di custodia professionale: lo stesso vale per i crypto-asset.

Eppure, in ambito Bitcoin si sente spesso la frase “not your keys, not your coins” per sottolineare che la gestione diretta delle chiavi private è l’unica garanzia di possesso reale, che il controllo è l’unica forma di possesso.

Si parla di sovranità finanziaria (financial sovereignt) e si incita ognuno ad essere la sua propria banca (be your own bank).

Queste osservazioni radicali sono pertinenti e condivisibili, specialmente in alcune situazioni o momenti della storia: se si fugge da regimi dittatoriali come quello cinese, nordcoreano o venezuelano, è cruciale la possibilità di attraversare il confine avendo semplicemente memorizzato le dodici parole che costituiscono un seme BIP39.

In regimi più liberali questi rischi esiziali non ci sono e i rischi associati alla custodia fai-da-te diventano più rilevanti: non solo per l’imperizia tecnica che può portare alla perdita dei beni, ma per il rischio di aggressione legato a tentativi di furto e, non da ultimo, per la difficoltà di trasferire i Bitcoin nel passaggio generazionale ereditario.

Custodia sicura di Bitcoin: la proprietà e il controllo

La risposta definitiva ai bitcoiner più radicali la fornisce Pieter Wuille, oggi probabilmente il più rilevante sviluppatore del protocollo Bitcoin: “Proprietà e controllo non sono la stessa cosa. Non intendo solo in senso legale: sarei sorpreso se molta gente ritenesse che il possesso di qualcosa sia necessariamente collegato al suo controllo”.

Servizi di custodia professionale non prevedono che il possessore dei bitcoin debba gestire chiavi private e lo liberano da qualsiasi responsabilità operativa. Questo approccio risolve i problemi di passaggio generazionale, in quanto il dossier di custodia entra a pieno titolo nell’asse ereditario. Servizi di custodia professionale sono inoltre essenziali per gli investitori istituzionali che, per ragioni regolamentari, non possono detenere direttamente i loro beni.

Le soluzioni di custodia sono usualmente a più livelli, con ogni livello configurato in multi-firma: hot wallet più cold wallet è la soluzione a maggior diffusione. La maggioranza dei Bitcoin è detenuta nel cold wallet, una parte minoritaria nell’hot wallet: quest’ultimo è utilizzato solo per velocizzare e facilitare il prelievo di Bitcoin da parte dell’utente finale.

Si stanno però diffondendo soluzioni cold wallet più frozen wallet che privilegiano la sicurezza a scapito di una liquidità istantanea. È infatti inevitabile che una maggiore sicurezza renda il processo di prelievo meno fluido; viceversa, la facilità di prelievo può essere ottenuta solo con standard di sicurezza più rilassati.

Le soluzioni di custodia professionali possono essere valutate con diversi criteri. Essendo un settore di mercato molto giovane è generalmente ancora caratterizzato da tratti di immaturità.

Ad esempio, paradossalmente, il criterio più rilevante per valutare la qualità di un servizio di custodia è oggi trascurato dalla quasi totalità degli operatori di mercato: la prova delle riserve detenute (proof-of-reserve).

Si tratta di fornire una prova periodica di non aver perso il controllo dei beni in custodia.

Se, infatti, gli scandali degli ultimi anni hanno coinvolto borse di scambio che hanno perso i crypto-asset gestiti sulle loro piattaforme, è facile immaginare che gli scandali dei prossimi anni potranno coinvolgere custodi professionali che hanno già perso o perderanno, accidentalmente o per malversazione, i beni a loro affidati, senza che nessuno se ne accorga tempestivamente.

La trasparenza del processo di custodia

Un altro criterio è la trasparenza del processo di custodia. Molte aziende lo tengono segreto, citando ragioni di sicurezza, ma in ambito crittografico la security-by-obscurity (sicurezza tramite oscurità) è unanimemente condannata da tutti gli esperti in quanto intrinsecamente insicura.

Infatti, uno schema crittografico che non regga lo scrutinio pubblico degli esperti non può essere considerato affidabile. In un certo senso si può dire che se un servizio di custodia non fornisce elementi di trasparenza sul processo, è perché se ne vergogna.

Abbiamo già accennato perché sia opportuno diffidare di schemi multi-party computation utilizzati dai custodi che offrono servizi per diversi crypto-asset. Questi schemi rendono più fragile proprio la custodia di quel Bitcoin che, leader di mercato indiscusso per volumi scambiati e capitalizzazione, reclama il titolo di oro digitale, promette una maggiore durabilità nel tempo e si candida ad essere il bene di rifugio del XXI secolo. E che quindi meriterebbe processi di custodia e sicurezza senza compromessi.

Gli ultimi mesi hanno invece visto un deciso rafforzamento per quanto riguarda altri due criteri di valutazione: le coperture assicurative e le attestazioni SOC.

Coperture assicurative sui processi di custodia

A fine 2019 le coperture assicurative sui processi di custodia erano rarissime; oggi sono diffuse tra tutti gli operatori qualificati.

Le coperture riguardano sempre e solo il livello hot in soluzioni hot+cold o il livello cold in soluzioni cold+frozen. È il custode, infatti, l’assicuratore ultimo che, solo, può fornire garanzie per il livello di sicurezza più profondo.

A titolo comparativo, anche nella custodia di oro fisico a livello istituzionale (Fort Knox, Bank of England) non è il contenuto del caveau blindato a essere assicurato, ma i trasferimenti da e verso quel caveau. Analogamente in ambito crypto-asset, un assicuratore terzo rispetto al custode assicurerà solo il livello più esposto, dove vengono conservati una frazione marginale dei beni.

Come per le garanzie assicurative, a fine 2019 tra i fornitori dei servizi di custodia si registrava l’assenza sostanziale di attestazioni SOC.

Emesse da primarie società di consulenza, queste attestazioni documentano l’adeguatezza, sicurezza, robustezza e resilienza dei processi operativi del custode. Oggi sono molto più diffuse, sia le attestazioni SOC 1 relative agli aspetti tecnici e di processo, sia quelle SOC 2 relative agli aspetti di organizzazione interna; entrambe sono poi disponibili sia nella versione Type 1 relativa a una osservazione puntuale nel tempo, sia nella versione Type 2 relativa ad una osservazione continuativa.

Le attestazioni SOC rappresentano oggi l’indispensabile evidenza che un crypto-custodian accetta di sottoporsi ad un audit esterno.

Nel mondo finanziario tradizionale è consolidato il concetto di terzietà nella custodia dei titoli e dei beni, di solito svolto dalle cosiddette banche depositarie. Inoltre, è ormai acquisita la consapevolezza regolamentare che non è opportuno un custode svolga anche attività di scambio o intermediazione.

Purtroppo in ambito crypto-asset questo conflitto di interessi è spesso presente: le borse di scambio svolgono un ruolo ancora dominante anche nel segmento dei servizi di custodia. Il regolatore non è ancora intervenuto in questo ambito, sia per mancanza di comprensione tecnica sia per la, non troppo nascosta, speranza di poter evitare la legittimazione del fenomeno crypto-asset.

Custodia sicura di Bitcoin: differenze tra UE e USA

Le cose sembrano però essere finalmente cambiate negli Stati Uniti, almeno dall’ultimo trimestre 2019. L’Office of the Comptroller of the Currency, l’ufficio indipendente del Tesoro che regola e supervisiona le banche, ha autorizzato tutte le banche ad erogare servizi di custodia per crypto-asset ed ha persino attribuito la licenza bancaria ad un crypto-custodian.

Sembra purtroppo difficile che l’Europa possa recuperare il divario, con grave danno per l’industria europea del settore, visto l’atteggiamento conservatore sia del dibattito politico-culturale sia di quello genuinamente regolamentare.

Se si guarda agli Stati Uniti, si può cogliere un’altra tendenza caratterizzante la custodia di crypto-asset: il ricorso da parte del mondo finanziario tradizionale a startup specializzate.

Oro fisico e oro digitale: servono differenti competenze

Bitcoin è digitale come le azioni Facebook o i Titoli di Stato italiani, ma non si è mai sentito che qualcuno abbia rubato il 3% dei titoli azionari di una azienda o dei titoli obbligazionari di uno stato. Questo perché i titoli sono nominativamente intestati, mentre Bitcoin non lo è, essendo un bene al portatore, simile all’equivalente digitale dell’oro.

Ma chi volesse rubare oro fisico avrebbe significative difficoltà logistiche, legate al trasporto e conservazione di quanto sottratto a Fort Knox o Bank of England; l’oro digitale, invece, è leggerissimo e le sue transazioni, i suoi trasferimenti, sono irreversibili.

Insomma, Bitcoin e i crypto-asset hanno caratteristiche straordinariamente diverse da quelle dei beni usualmente custoditi dalle banche depositarie o difesi dalla pratiche di cyber-security degli istituti finanziari tradizionali.

Sono necessarie competenze specifiche che il mondo finanziario non ha. Infatti, dopo aver aperto ai suoi utenti la possibilità di investire in Bitcoin e affini, PayPal ha acquisito Curv, società di custodia israeliana. La più antica banca depositaria statunitense, Bank of New York Mellon, ha investito in Fireblocks, ai cui servizi intende ricorrere per offrire crypto-custody ai suoi clienti. Al momento in cui scriviamo, il gestore di fondi Galaxy Digital sta considerando l’acquisizione di BitGo, altro crypto-custodian.

Conclusione

Molta strada è stata fatta nel percorso di maturazione degli standard di sicurezza: lo sviluppo di soluzioni di custodia professionale ne rappresentano l’apice.

Come abbiamo visto, il processo di custodia si qualifica fondamentalmente sugli aspetti tecnici, ma deve sapersi sposare con rilevanti aspetti amministrativi, assicurativi, e regolamentari.

Molta strada resta ancora da fare, specialmente in Europa, per sviluppare un quadro regolamentare adeguato.

Ed è ancora rara la cultura tecnologica che permetta di discriminare tra soluzioni di custodia approssimative e quelle che, invece, sono l’implementazione efficace delle migliori prassi.

E già si intravedono all’orizzonte sviluppi innovativi di tecniche crittografiche che potranno rendere la custodia ancora più sicura.

Ci sarà modo di parlarne e scriverne in futuro.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4