Die US-Marine sucht private Partner für die Forschung und Entwicklung ihrer proprietären Sicherheitstechnologie auf Blockchain-Basis namens PARANOID.
Es handelt sich um eine Lösung zum Schutz der Software, die die Lieferkette verwaltet, und die die Blockchain nutzt, um die Sicherheit der Softwareentwicklungsumgebungen zu gewährleisten und die fertige Software zu überprüfen.
Bis jetzt ist es noch ein Prototyp (TRL5) und besteht aus einer Blockchain-Infrastruktur basierend auf Hyperledger, einer Serveranwendung, einem Plug-in für Visual Studio und Visual Studio Code und einer Offline-Software-Verifizierungsanwendung.
Summary
Marina USA: Die Öffnung für Privatpersonen des Blockchain-Projekts Paranoid
Nach Angaben der im Pressemitteilung veröffentlichten Informationen sucht die Marine nach einer Zusammenarbeit mit der Privatindustrie, um diese Software zu entwickeln, die Rückverfolgbarkeit und Nachweisbarkeit bei der Softwareentwicklung ermöglicht.
Die Software ist mittlerweile ein integraler Bestandteil sowohl von Militärflugzeugen als auch von Fahrzeugen und Waffensystemen geworden, daher ist eine Lösung erforderlich, die eine sichere Software-Lieferkette gewährleistet. Aus diesem Grund wurde Paranoid entwickelt.
Jetzt wäre das Ziel der Marine sogar, diese Innovation zu vermarkten, obwohl Paranoid ursprünglich nur entwickelt wurde, um die sichere Entwicklung insbesondere von Avionik-Software für die Luftfahrtprogramme der Naval Aviation Enterprise (NAE) zu unterstützen.
Diese Lösung ist jedoch theoretisch auf jede Organisation oder jedes Unternehmen anwendbar, das eine vollständige Rückverfolgbarkeit mit sicherer Nachweisbarkeit für die Softwareentwicklung benötigt, um Angriffe zu verhindern, die während der Entwicklung selbst auftreten könnten.
Paranoid ist über TechLink, den nationalen Partner für Technologietransfer des Verteidigungsministeriums, für private Unternehmen verfügbar, aber die Marine bietet privaten Entwicklern auch eine kooperative Forschungs- und Entwicklungsvereinbarung (CRADA) an, die die Zusammenarbeit zwischen Regierungsbehörden und privaten Unternehmen ermöglicht.
Der Senior Technology Manager von TechLink, Nida Shaikh, hat erklärt:
„Ein idealer CRADA-Partner wäre ein Unternehmen, das daran interessiert ist, eine Lösung zum Schutz der Software-Supply-Chain zu entwickeln. Dies würde Unternehmen im Bereich der Softwareentwicklung einschließen, die bereit wären, PARANOID zu installieren und zu testen, um Feedback und Skalierbarkeit zu gewährleisten.“
Was ist Paranoid
Diese neue Technologie wurde von der NAWCAD, also der Aircraft Division des Naval Air Warfare Center in Lakehurst, New Jersey, erfunden.
Das Problem, das gelöst werden musste, war die Überprüfung der Sicherheit in allen Phasen des Softwareentwicklungsprozesses, von der Erstellung und Änderung des Rohquellcodes über dessen Kompilierung bis hin zur Erstellung einer endgültigen Anwendung und deren Versand an den Endbenutzer.
Die Tatsache ist, dass jeder dieser Schritte theoretisch unzählige Möglichkeiten für Cyberangriffe bietet, sowohl von innen als auch von außen, wie zum Beispiel das heimliche Einfügen von schädlichem Code oder das Austauschen einer Datei gegen eine andere.
Die PARANOID-Methode löst das Problem, indem sie die Integrität der Software während ihres gesamten Lebenszyklus dank der Blockchain gewährleistet.
Der bereits vorhandene Prototyp, der im sogenannten Technology Readiness Level 5 (TRL5) funktioniert, integriert sich mit bereits vorhandenen Open-Source-Entwicklungsumgebungen wie Visual Studio und Visual Studio Code und verknüpft die Aktionen der Entwickler mit Blockchain-Transaktionen.
Laut den Erfindern von PARANOID hat sich diese Methodik auf der Blockchain als praktikabler Ansatz erwiesen, um eine umfassende Rückverfolgbarkeit und eine starke Nachweisbarkeit der Integrität des Entwicklungssystems für mission-critical Software zu unterstützen.
Der Vorteil ist, dass die Blockchain ein unveränderliches Register ist, das von allen direkt und ohne Zwischenhändler eingesehen werden kann. Jede Änderung der Blöcke würde sofort erkannt werden.
Alle Computer, die teilnehmen, besitzen eine Kopie dieses Registers, sodass sie es überprüfen können, ohne auf Vermittler zurückgreifen zu müssen, und alle Transaktionen werden gemäß dem öffentlichen Protokoll überprüft und aktualisiert.
Mit PARANOID ist jede Entwicklung einer kritischen Software eine Transaktion auf der Blockchain, sodass unvorhergesehene Änderungen oder andere Cyberangriffe sofort erkannt werden.
Das Ziel ist es, unbefugte Änderungen am Quellcode wirksam zu verhindern, aber auch den unbefugten Austausch oder das Einfügen von Dateien, Objekten, ausführbaren Dateien und Testpaketen zu verhindern.
Die Blockchain jenseits der Kryptowährungen
Das erste Exemplar einer öffentlichen und dezentralisierten Blockchain erschien im Januar 2009 mit dem Mining des ersten Blocks von Bitcoin, durchgeführt von Satoshi Nakamoto.
Ursprünglich wurde diese Technologie nur im Bereich der criptovalute verwendet, aber später wurde erkannt, dass ihre Eigenschaften sie auch für andere Anwendungsbereiche hervorragend geeignet machten, darunter beispielsweise auch die NFT.
Im Spezifischen erweist sich eine öffentliche und dezentralisierte Blockchain als unangreifbar und unveränderlich, weil jeder persönlich überprüfen kann, dass alle Transaktionen korrekt sind.
Im Fall von Paranoid wird jedoch keine öffentliche Blockchain verwendet, aus offensichtlichen Gründen, sondern eine permissioned DLT (Hyperledger), die jedoch eine sehr ähnliche Rolle spielt.
Tatsächlich wird jeder, der an den mit Paranoid verwalteten Software arbeitet, direkten Zugang zur Kette der Software-Transaktionen haben, um persönlich und ohne Zwischenhändler zu überprüfen, dass alle Transaktionen korrekt sind.
Es ist vorstellbar, dass es verschiedene Zugriffsebenen gibt und dass die Daten unterschiedlicher Software nicht einmal zwischen den verschiedenen Entwicklungsteams geteilt werden, und da Paranoid bereits im TRL5 verwendet wird, ist es vorstellbar, dass diese Technologie tatsächlich gut funktioniert.
Es sei daran erinnert, dass es nicht notwendig ist, den Code selbst auf der Blockchain zu registrieren, sondern es genügt, einen Validierungshash des Codes zu registrieren, so dass aus dem Hash in keiner Weise auf den Code zurückgeschlossen werden kann, er aber mit absoluter Sicherheit zur Validierung verwendet werden kann, so dass man selbst und ohne Zwischenhändler überprüfen kann, dass die verwendete Software genau der auf der Blockchain zertifizierten entspricht.
