A nova moeda digital do Banco Central do Brasil, o DREX (Real Digital), promete trazer diversos benefícios para a economia brasileira tornando as transações financeiras mais rápidas, eficientes e inteligentes.
O DREX é uma CBDC (Central Bank Digital Currency – CBDC), uma versão digital do Real (BRL/R$). Com a moeda digital oficial, será possível realizar transações programáveis: pagamentos podem ser vinculados a certas condições, como recebimento de um pagamento ou de um produto, possibilitando maior automação no sistema financeiro e menores custos de verificação. Operações financeiras podem ser vinculadas entre si para criação de novos produtos e casos de uso benéficos para a população.
Piloto DREX
Desde 2020, o BACEN estudou a utilização da tecnologia de registro distribuído (Distributed Ledger Tecnology – DLT) para realizar transações. Em abril de 2023, foi iniciado o Piloto do Real Digital para testar e viabilizar o projeto de CBDC, com duração pelo menos até o segundo trimestre de 2024.
Para o piloto, o Banco Central selecionou a plataforma DLT Hyperledger Besu, desenvolvida pela fundação Linux. A tecnologia permite a colaboração e o compartilhamento de dados entre diferentes partes de uma rede fechada que chamamos de rede permissionada. Além disso, a compatibilidade com EVM (Ethereum Virtual Machine – tecnologia que possibilitou a execução de contratos inteligentes em redes blockchain) e o fato de ser de código aberto (open-source), são fatores que fundamentaram a escolha da plataforma. A plataforma apresenta uma arquitetura modular, suporte a contratos inteligentes e um foco na privacidade e interoperabilidade, tornando-a uma escolha robusta e promissora para a realização do projeto. Ela interliga os diferentes bancos selecionados para o piloto através da Rede do Sistema Financeiro Nacional (RSFN).
O principal desafio no piloto é simular operações com o DREX endereçando os temas essenciais do projeto que são Programabilidade (Oportunidade de criar serviços e soluções baseadas em Smart Contracts), Descentralização (diferentes validadores e participantes) e Privacidade das transações. Mas o tema da Segurança é também essencial para o piloto: uma das diretrizes é a adoção de padrões de resiliência e segurança cibernética equivalentes aos aplicáveis a infraestruturas críticas do mercado financeiro.
É neste contexto que a DINAMO Networks, com suas soluções de segurança criptográfica em hardware (HSM – Hardware Security Module), participa do piloto DREX, fornecendo suas soluções de segurança digital para a proteção de chaves criptográficas utilizadas e das transações na rede Hyperledger Besu do piloto.
Segurança e integridade da rede
Dentre os componentes de uma rede Besu, existem nós (nodes) participantes, conectados entre si com o objetivo de propor novas transações e armazenar as informações da cadeia. A tecnologia utiliza uma estrutura de armazenamento onde os dados e transações são gravados em blocos interligados de forma segura. Um protocolo de consenso entre os nós, permite a validação das transações e a sincronização das informações. No caso do piloto DREX, esse protocolo é chamado de QBFT, protocolo de consenso por autoridade (PoA – Proof of Authority), que permite que um conjunto de nós validadores assume a responsabilidade pela validação das transações realizadas pelos demais membros e autorize a inclusão de novos membros na rede.
Permissionamento de nó: Somente nós autorizados podem se conectar a outros nós na rede podendo usar TLS (Transport Layer Security, um protocolo de segurança criptográfica das comunicações em uma rede de computadores) para a comunicação e propagação das mensagens. São utilizados certificados, que podem ser emitidos por uma autoridade confiável, para gerenciar identidades de nós e contas e fazer a autenticação segura. O uso de certificados ICP Brasil contribuiria para elevar ainda mais o nível de segurança da rede, seguindo um processo semelhante ao já implementado no SPB e PIX.
Proposta de novos blocos: Para evitar ataques maliciosos como inclusão de transações fraudulentas ou alteração de blocos anteriores, apenas os blocos propostos por validadores autorizados são aceitos. A proposta de novos blocos é feita de forma segura com as chaves criptográficas dos nós validadores da rede.
Assinatura de blocos: Os blocos são em seguida assinados por cada nó (validadores e participantes) utilizando uma chave privada que garante e preserva sua identidade. A chave do nó precisa ser custodiada com segurança, cada participante do piloto terá que assinar blocos de forma segura.
A integridade da rede depende da segurança dos certificados e chaves utilizadas pelos nós da rede. O uso da tecnologia de HSM proporciona proteção avançada contra os ataques físicos e lógicos, garantindo integridade e confidencialidade das chaves criptográficas e certificados envolvidos. Ele faz parte das melhores práticas de cibersegurança e já integra diversas operações do Banco Central do Brasil. Como caso de uso, citamos o Sistema de Pagamento Brasileiro (SPB) e PIX, incluindo as principais instituições financeiras mundiais.
Custódia das chaves de ativos (carteiras) e segurança das Transações
Os ativos que transitarão pela rede são protegidos pelas chaves privadas das carteiras detentoras. Os ativos serão o próprio Real Digital, o Real tokenizado ou outros ativos tokenizados (no caso do piloto, Títulos Públicos Federais).
A tecnologia de HSM também se aplica à proteção e custodia de chaves de ativos tokenizados nas carteiras digitais (wallets). O HSM garante a proteção institucional e escalável das chaves privadas, utilizadas pelas instituições ou pelos usuários finais para acesso aos tokens e ativos.
Uso do HSM para segurança, controle de acessos e performance
Para todos os casos de uso descrito acima, a integração do HSM com a rede Hyperledger Besu é realizada através de protocolos padrões de comunicação (PKCS#11) ou via plugins específicos.
A utilização da tecnologia de HSM dentro desse cenário assegura a conformidade legal e aprimora a reputação dos participantes, porque auxilia na adesão às regulamentações e diretrizes de segurança tais como a LGPD, a ISO 27001 ou a resolução 4893 do Banco Central (política de segurança cibernética).
Mesmo quando se utiliza uma plataforma em nuvem, é recomendado seguir as orientações da CSA (Cloud Security Alliance), como o EKM-04, que enfatiza que as chaves criptográficas empregadas em todo o processo de transação financeira não devem ser armazenadas no mesmo ambiente onde os dados estão alojados. Portanto, a sugestão é que essas chaves sejam preferencialmente mantidas em dispositivos HSM ou em HSM em nuvem externos à infraestrutura da nuvem, com mecanismos de redundância e alta disponibilidade.
O controle de acessos e a implementação de políticas de segurança são facilitadas pela gestão centralizada das chaves criptográficas. A tecnologia de HSM permite assegurar que somente indivíduos e aplicações autorizados tenham permissão para acessar e utilizar essas chaves.
Além dos requisitos de segurança, a tecnologia HSM permite processar altos volumes de transações e assinaturas digitais com alta performance (throughput) e arquitetura escalável, importantíssimo para as validações das transações e operações do DREX.
Infraestrutura de segurança para os participantes do DREX
Segurança, desempenho e conformidade são temas de suma importância para o avanço do DREX. A tecnologia de HSM é uma solução eficaz e comprovada para proteger as chaves criptográficas e garantir a integridade das transações financeiras.
Neste contexto, a DINAMO Networks participa do piloto do DREX, desenvolvendo a integração do HSM com a rede Hyperledger Besu.
A DINAMO faz oficialmente parte do grupo Tecban – BASA – Banco Arbi, e já provê outros participantes do piloto com sua tecnologia.
Com o constante desejo de contribuir para a modernização dos serviços financeiros no país a DINAMO Networks está disponibilizando sua infraestrutura de HSM para os integrantes do piloto DREX, seja para a infraestrutura de segurança da rede ou das carteiras e transações.
Sobre a DINAMO Networks
A DINAMO Networks é especialista em criptografia, proteção de dados e sigilo de informações. Ela tem participado, além do DREX, dos principais projetos de segurança do País como: Anonimização de Dados para conformidade a Lei Geral de Proteção de Dados (LGPD), assinatura e processamento do PIX, Sistema de Pagamento Brasileiro (SPB), Processamento de Cartões, entre vários outros.
Por meio da sua expertise tecnológica, possui a maior biblioteca de API´s de segurança de alto nível que são baseadas no uso dos equipamentos especializados de segurança criptográfica, os Hardware Security Modules – HSMs, ou, cofre digitais, que também são fabricados pela empresa e têm certificação internacional FIPS 140-2, nível 3. Eles são utilizados pelos principais bancos brasileiros, incluindo o Banco Central do Brasil (em especial para a criptografia do PIX) e pelas empresas dos mais diversos segmentos de forma On-Premise ou Cloud.