Esquizofrenia arquitectónica Facebook Libra

Dos años después, volví al blog por una publicación que difiere de las habituales conferencias aburridas sobre Haskell y las matemáticas. En los últimos años, me he ocupado de la tecnología financiera en la UE, y parece que ha llegado el momento de escribir sobre un tema al que los medios técnicos prestaron poca atención.

Facebook lanzó recientemente lo que llama la "nueva plataforma de servicios financieros" llamada Libra. Se posiciona como un sistema de pago digital basado en una canasta de monedas internacionales que se administran en una "cadena de bloques" y se almacenan en un grupo de efectivo administrado desde Suiza. Los objetivos del proyecto son ambiciosos y conllevan consecuencias geopolíticas a gran escala.

El Financial Times y el New York Times tienen muchos artículos razonables sobre supuestos monetarios y económicos irrazonables en el corazón del sistema financiero propuesto. Pero no hay suficientes especialistas capaces de análisis desde un punto de vista técnico. No muchas personas trabajan en la infraestructura financiera y hablan públicamente sobre su trabajo, por lo que este proyecto no está demasiado cubierto en los medios técnicos, aunque sus interiores están abiertos a todo el mundo. Me refiero al código abierto en los repositorios de Libra y Calibra Organization .

Lo que está abierto al mundo es un artefacto esquizofrénico arquitectónico con el reclamo del papel de una plataforma segura para la infraestructura de pago global.

Si se sumerge en la base del código, entonces la implementación real del sistema está completamente en desacuerdo con el objetivo establecido, y de las maneras más extrañas. Estoy seguro de que este proyecto tiene una interesante historia corporativa. Por lo tanto, es lógico suponer que se desarrolló con cierto entusiasmo, pero en realidad veo un conjunto realmente extraño de soluciones arquitectónicas que rompen todo el sistema y ponen en peligro a los usuarios.

No reclamaré una opinión objetiva sobre Facebook como empresa. Pocas personas en la industria de TI la miran con simpatía. Pero una comparación de sus declaraciones y el código publicado muestra claramente que el propósito declarado es un engaño fundamental. En resumen, este proyecto no empodera a nadie. Permanecerá completamente bajo el control de una empresa cuyo negocio publicitario está tan enredado en escándalos y corrupción que no tiene más remedio que intentar diversificar los pagos y la calificación crediticia para sobrevivir. Un objetivo claro a largo plazo es actuar como intermediario de datos e intermediario en el acceso de los consumidores al crédito en función de sus datos personales en las redes sociales. Esta es una historia completamente aterradora y sombría, que no presta la atención que merece.

La única gracia salvadora de esta historia es que el artefacto que crearon es tan divertido que no se ajusta a la tarea que solo puede verse como un acto de orgullo. Hay varios errores arquitectónicos básicos en este proyecto:

Resolver el problema de los generales bizantinos en una red con control de acceso es un diseño inconsistente

La tarea de los generales bizantinos es un campo de investigación bastante limitado de sistemas distribuidos. Describe la capacidad de un sistema de red para soportar fallas arbitrarias de componentes cuando se toman acciones correctivas críticas para el funcionamiento del sistema. Una red resistente debe resistir varios tipos de ataques, incluidos reinicios, fallas, cargas maliciosas y votaciones maliciosas en las elecciones de liderazgo. Esta es la solución principal para la arquitectura de Libra, y aquí no tiene ningún sentido.

La sobrecarga de la complejidad del tiempo de esta estructura adicional depende del algoritmo. Existe mucha literatura sobre las variedades de los protocolos Paxos y Raft con la solución del problema de los generales bizantinos, pero todas estas estructuras introducen costos generales adicionales para la comunicación a través de $$$O (n ^ 2)$para mantener un quórum. Para Libra, elegimos el algoritmo con el costo de comunicación más alto posible $$$O (n ^ 2)$en caso de falla de liderazgo. Y existe una sobrecarga adicional por la posible reelección de líderes para varios tipos de eventos de falla de red.

Para un sistema que opera en un consorcio de corporaciones transnacionales altamente reguladas, donde todos los usuarios tienen un código firmado por Facebook y el acceso a la red está controlado por Facebook, simplemente no tiene sentido considerar participantes maliciosos a nivel de consenso. No está claro por qué, en general, este sistema resuelve el problema de los generales bizantinos, y no solo mantiene una pista de auditoría consistente para verificar el cumplimiento. La posibilidad de que el host Libra, administrado por Mastercard o Andressen Horrowitz, de repente comience a ejecutar código malicioso, es un escenario de planificación extraño y se resuelve mejor simplemente asegurando la integridad del protocolo y los medios no técnicos (es decir, legales).

En testimonio para el Congreso, el producto es declarado competidor de nuevos protocolos de pago internacionales como WeChat, Alipay y M-Pesa. Sin embargo, ninguno de estos sistemas está diseñado para funcionar en grupos de validadores para resolver el problema de los generales bizantinos. Simplemente están diseñados en un bus tradicional de alto rendimiento que realiza el cableado de acuerdo con un conjunto fijo de reglas. Este es un enfoque natural para el diseño de un sistema de pago. Un sistema de pago bien diseñado simplemente no resuelve el problema del doble gasto y los tenedores.

La sobrecarga del algoritmo de consenso no resuelve ningún problema y solo limita el rendimiento del sistema sin otra razón que el culto a la carga de la cadena de bloques pública, que no está destinada para este caso de uso.

Libra no tiene privacidad de transacción

De acuerdo con la documentación, el sistema está diseñado teniendo en cuenta el seudónimo , es decir, las direcciones utilizadas en el protocolo se obtienen de claves públicas en curvas elípticas y no contienen metadatos sobre las cuentas. Sin embargo, en ninguna parte de la descripción de la estructura de gestión de la organización o en el protocolo en sí indica cómo los datos económicos que participan en las transacciones se ocultarán a los validadores. El sistema está diseñado para la replicación a gran escala de transacciones para una serie de partes externas que, de acuerdo con las leyes de secreto bancario europeas y americanas existentes, no deberían dedicarse a los detalles económicos.

Las políticas de datos en diferentes países son difíciles de coordinar, especialmente dadas las leyes y regulaciones dispares en diferentes jurisdicciones que tienen diferentes puntos de vista culturales sobre protección de datos y privacidad. El protocolo en sí está completamente abierto por defecto a los miembros del consorcio, lo cual es una falla técnica clara que no cumple con los requisitos para los que fue desarrollado.

Libra HotStuff BFT no puede lograr el ancho de banda requerido para el sistema de pago

En el Reino Unido, los sistemas de compensación como BAC son capaces de realizar alrededor de 580 millones de transacciones por mes. Al mismo tiempo, los sistemas altamente optimizados como Visa pueden procesar 150,000,000 de transacciones por día. El rendimiento depende del tamaño de la transacción, el enrutamiento de la red, la carga del sistema y las comprobaciones de AML (esquemas contra el lavado de dinero, lavado de dinero).

Libra está tratando de resolver problemas que para las transferencias nacionales no son realmente problemas, ya que los estados nacionales han modernizado su infraestructura de compensación en la última década. Para los consumidores minoristas en la Unión Europea, mover dinero no es un problema en absoluto. En una infraestructura tradicional, esto se puede hacer con un teléfono inteligente estándar en segundos. Para las grandes transferencias corporativas, existen varios mecanismos y reglas relacionadas con el movimiento de grandes volúmenes de dinero.

No hay razones técnicas por las que los pagos transfronterizos tampoco se puedan realizar de manera instantánea, con la excepción de las diferencias en las normas y requisitos entre las jurisdicciones respectivas. Si las medidas preventivas necesarias (debida diligencia del cliente, verificación de sanciones, etc.) se llevan a cabo varias veces en diferentes etapas de la cadena de transacciones, esto puede conducir a un retraso en la transacción. Sin embargo, este retraso es puramente una función de la ley reguladora y su aplicación, no de la tecnología.

Para los consumidores, no hay ninguna razón por la cual un acuerdo en el Reino Unido no se resuelva en cuestión de segundos. Las transacciones minoristas en la UE realmente se están ralentizando en los cheques KYC (Conozca a su cliente) y las restricciones ALD impuestas por los gobiernos y los reguladores, que son igualmente aplicables a los pagos de Libra. Incluso si Facebook supera los obstáculos a las transferencias internacionales y la transferencia de datos privados, el modelo propuesto está a cientos de años-hombre del rendimiento de las transacciones globales y es probable que se procese desde cero.

El idioma de Libra Move es incorrecto

El documento técnico hace declaraciones audaces sobre un nuevo lenguaje no verificado llamado Move. Estas declaraciones son bastante dudosas desde el punto de vista de la teoría de los lenguajes de programación (PLT).

Move es un nuevo lenguaje de programación para implementar lógica de transacción personalizada y "contratos inteligentes" en la cadena de bloques Libra. Como Libra tiene como objetivo servir algún día a miles de millones de personas, Move está diseñado con la máxima prioridad en seguridad.

Una característica clave de Move es la capacidad de definir tipos arbitrarios de recursos con una semántica inspirada en la lógica lineal.

En blockchains públicos, los contratos inteligentes se topan con la lógica de las redes públicas con cuentas de depósito en garantía, lavado de dinero, el tema de los tokens de venta libre y los juegos de azar. Todo esto se hace en un lenguaje increíblemente mal diseñado llamado Solidez, que desde un punto de vista académico hace que el autor de PHP parezca un genio. Curiosamente, el nuevo lenguaje de Facebook no parece tener nada que ver con estas tecnologías, ya que en realidad es un lenguaje de secuencias de comandos diseñado para tareas corporativas oscuras.

En los libros contables privados distribuidos, los contratos inteligentes son uno de esos términos que los consultores dispersan sin prestar especial atención a definiciones u objetivos claros. Los consultores de software corporativo generalmente ganan dinero con la ambigüedad, y los contratos inteligentes son la apoteosis del oscurantismo corporativo porque pueden definirse literalmente como cualquier cosa.

Después de las declaraciones sobre su seguridad, debemos mirar la semántica del lenguaje. La corrección en la teoría de los lenguajes de programación generalmente consiste en dos pruebas diferentes: "progreso" y "preservación", que determinan la consistencia de todo el espacio de reglas de evaluación para un lenguaje. Más específicamente, en la teoría de tipos, una función es "lineal" si usa su argumento exactamente una vez, y "afín" si la usa no más de una vez. El sistema de tipo lineal proporciona una garantía estática de que la función lineal declarada es verdaderamente lineal, asignando tipos a todas las subexpresiones de funciones y rastreando ubicaciones de llamadas. Esta es una propiedad sutil para prueba, y no es fácil de implementar para todo el programa. La escritura lineal sigue siendo un área de investigación muy académica, influenciada por la singularidad de los tipos en Clean y la propiedad de tipos en Rust. Hay algunas sugerencias preliminares para agregar tipos lineales al compilador Haskell de Glasgow.

La declaración Move sobre el uso de tipos lineales parece una inmersión irracional en el compilador, ya que no existe tal lógica de verificación de tipos . Hasta donde se puede juzgar, el documento técnico cita literatura canónica de Girard y Pierce, y en la implementación real no hay nada de eso.

Además, la semántica formal de un lenguaje supuestamente seguro no se encuentra en ninguna parte ni en la implementación ni en el documento. El lenguaje es lo suficientemente pequeño como para encontrar una prueba completa de la corrección de la semántica en Coq o Isabelle. En realidad, el compilador de extremo a extremo de la conversión completa con la transferencia de evidencia a bytecode se puede implementar utilizando herramientas modernas inventadas en la última década. Sabemos cómo hacerlo, comenzando con el trabajo de George Nekula y Peter Lee en 1996.

Desde el punto de vista de la teoría de los lenguajes de programación, es imposible verificar la afirmación de que Move es un lenguaje confiable y seguro, ya que estas afirmaciones se reducen exclusivamente a agitar y comercializar, y no a evidencia real. Esta es una situación alarmante para un proyecto de desarrollo del lenguaje que se propone para confiar miles de millones de dólares en el procesamiento de transacciones.

La criptografía de libra es incorrecta

La construcción de sistemas criptográficos confiables es un problema de ingeniería muy complejo, y siempre es mejor tratar el código peligroso con una buena dosis de paranoia saludable. Hay avances importantes en esta área, como el proyecto Microsoft Everest, que construye una pila TLS segura verificable. Ya existen herramientas para crear primitivas verificables. Aunque es costoso, claramente no va más allá de las posibilidades económicas de Facebook. Sin embargo, el equipo decidió no participar en el proyecto, declarado como una base confiable para el sistema financiero global.

El proyecto libra se basa en varias bibliotecas bastante nuevas para crear criptosistemas experimentales, que solo aparecieron en los últimos años. Es imposible decir si las dependencias de las siguientes herramientas son seguras o no, ya que ninguna de estas bibliotecas ha sido auditada y no tiene políticas de divulgación estándar. En particular, para algunas bibliotecas principales no hay certeza con respecto a la protección contra ataques en canales de terceros y ataques de tiempo.

1. ed25519-dalek
   
2. curva25519-dalek

La biblioteca de libra es aún más experimental y va más allá del modelo estándar utilizando métodos muy nuevos, como funciones aleatorias verificables (VRF), pares bilineales y firmas de umbral. Estos métodos y bibliotecas pueden ser razonables, pero combinarlos en un solo sistema plantea serias preocupaciones sobre el área de superficie de ataque. La combinación de todas estas nuevas herramientas y técnicas aumenta enormemente la complejidad de la evidencia de seguridad.

Se debe suponer que toda esta pila criptográfica es vulnerable a varios ataques, hasta que se demuestre lo contrario. El conocido modelo de Facebook 'Move Fast and Break Things' no se puede aplicar a las herramientas criptográficas que procesan los datos financieros de los clientes.

Libra no puede implementar mecanismos de protección al consumidor

Una característica distintiva del sistema de pago es la capacidad de revertir la transacción si el pago es cancelado por una demanda o conduce a una falla accidental o del sistema. Libra está diseñado para ser "completamente completado" y no incluye un tipo de transacción para cancelar un pago. En el Reino Unido, todos los pagos de £ 100 a £ 30,000 se rigen por la Ley de Crédito al Consumidor. Esto significa que el sistema de pago comparte la responsabilidad con el vendedor en caso de un problema con los bienes comprados o si el beneficiario no prestó el servicio. Reglas similares se aplican en la UE, Asia y América del Norte.

El diseño actual de Libra no incluye un protocolo para cumplir con estas leyes y no tiene un plan claro para su creación. Peor aún, desde un punto de vista arquitectónico, la estructura final de los datos del núcleo autenticados, basada en el estado de la unidad Merkle, no permite ningún mecanismo para crear dicho protocolo sin rediseñar el núcleo.

---

Después de realizar un examen técnico de este proyecto, podemos concluir que simplemente no pasará la prueba en ninguna revista respetada sobre investigación de sistemas distribuidos o ingeniería financiera. Para tratar de cambiar la política monetaria global, es necesario realizar una gran cantidad de trabajo técnico para crear una red confiable y un procesamiento seguro de los datos de los usuarios, en los que el público y las autoridades reguladoras puedan confiar.

No veo ninguna razón para creer que Facebook en su proyecto hizo el trabajo necesario para superar estos problemas técnicos o que tiene algunas ventajas técnicas sobre la infraestructura existente. La afirmación de que una empresa necesita flexibilidad regulatoria para aprender sobre las innovaciones no es excusa para no hacerlas primero.