Twitter netiktu uzlauzts, ja to atbalstītu Blockchain Technology

Mērfija likums nosaka: “Viss, kas var noiet greizi, noies greizi.” Tas vienmēr notiek ar centralizētiem pakalpojumiem. Pirms gada mēs redzējām, kā tiešsaistē tika nopludināts pusmiljons Facebook kontu, atklājot personas datus. Mēs to redzēsim daudzkārt vairāk ar citiem pakalpojumiem. Nesenais Twitter uzlaušana to vēlreiz uzsver. Elona Muska, Bila Geitsa, Džefa Bezosa, Kanje Vesta, Kima Kardašjana, Maika Blumberga, Džo Baidena, Baraka Obamas konti, cita starpā, tika uzlauzti, lai virzītu krāpniecisku piedāvājumu ar Bitcoin (BTC)..

Raksta BBC, kiberdrošības komentētājs Džo Tidijs uzskatīja: “Fakts, ka vienlaicīgi ir apdraudēti tik daudz dažādu lietotāju, nozīmē, ka tā ir pati Twitter platformas problēma.” Visi konti bija neaizsargāti; tas bija tikai hakeru izvēles jautājums: slavenību izmantošana ir labāka, lai “apstiprinātu” krāpšanos.

Problēma ir tāda, ka pat tad, ja Twitter vai kāds cits pakalpojums ar līdzīgu arhitektūru turpina būvēt kiberdrošības sienas ap savu sistēmu, tas kļūs sarežģītāks un dārgāks, bet ne drošāks. Pašreizējā centralizēto pakalpojumu paradigma nevar piedāvāt drošāku risinājumu lietotāju autentifikācijai.

Es nesen rakstīju par jaunām tehnoloģijām, kas varētu aizsargāt datus un digitālo identitāti, izmantojot Austrālijas piemēru un Eiropas pieredzi, un to, kā publiskās atslēgas sertifikātus varētu aizsargāt ar blokķēdes tehnoloģiju pret izplatītu pakalpojumu noliegšanu un cilvēku-vidū. uzbrukumiem. Lai gan mana analīze bija diezgan tehniska un rūpīga, varbūt labāk būtu spert soli atpakaļ un izķemmēt dažas vispārīgas, tomēr atbilstošas ​​detaļas, kas var uzlabot datu aizsardzību.

Šeit ir dažas terminoloģijas, kuras varat izmantot, vaicājot pakalpojumu sniedzējam, tiešsaistes veikalam vai valdībai par to, vai viņi aizsargā jūsu personas datus:

  • Decentralizēti identifikatori, vai DIDs, ir vispārīgs W3C ar dažādām metodēm, lai decentralizēti izveidotu un pārvaldītu personas identifikatorus. Citiem vārdiem sakot, tiešsaistes pakalpojumu izstrādātājiem nav jāizveido kaut kas jauns, ja viņi vēlas izmantot decentralizēto tehnoloģiju potenciālu. Viņi var izmantot šīs metodes un protokolus.
  • Selektīvās atklāšanas protokols, vai SDP, kuru pagājušajā gadā EOS hakatonā prezentēja Varegera līdzdibinātājs Mihailo Tiutins un viņa komanda, ir decentralizēta metode personas datu glabāšanai (izmantojot DID) ar kriptogrāfisko aizsardzību blokķēdē. Izmantojot SDP, lietotājs var atklāt rūpīgi atlasītu informāciju katrā konkrētā darījumā.
  • Pašsuverēna identitāte, vai SSI ir jēdziens, kas vienkāršā izteiksmē ļauj lietotājiem būt viņu personas datu un identitātes suverēniem īpašniekiem, nevis trešām pusēm. Tas nozīmē, ka personiskos datus varat glabāt savā ierīcē, nevis Twitter vai kāda cita serverī. Lai ilustrētu SSI koncepcijas spēku, padomājiet par šo apgalvojumu: Vienu centralizētu sistēmu, kurā glabājas miljoniem kontu, ir vieglāk uzlauzt nekā miljoniem personīgo ierīču. Bet jautājums ir daudz dziļāks. Ja mēs kādreiz saskaramies ar digitālo diktatūru, šīs problēmas pamatā ir tiesību neesamība kontrolēt un aizliegt trešajām personām (tostarp valdībai) glabāt un izmantot jūsu personas datus. Briesmīgi eksperiments ar uiguriem Ķīnā ir piemērs. Pilsoņiem nav likumīgu tiesību pateikt nē valdībai, kas vāc viņu personas datus. Protams, Ķīnas valdība bez viņu piekrišanas izveidoja kontus, lai iegūtu pierakstus par, viņuprāt, neatbilstošu rīcību.

Lai lietas nostādītu perspektīvā, pārdzīvosim hipotētisku situāciju.

Izmantošanas gadījums: Alise un viņas digitālā identitāte

Alise ģenerē savu kriptogrāfisko pāri: privāto un publisko atslēgu. Privātā atslēga šifrē darījumus, izmantojot digitālo parakstu; publiskā atslēga tos atšifrē. Publisko atslēgu izmanto, lai pārbaudītu, vai Alise ir pierakstījusies, parakstījusi līgumu, parakstījusi blokķēdes darījumu utt.

Lai aizsargātu privāto atslēgu, viņa to glabās drošā aparatūras ierīcē ar PIN aizsardzību, piemēram, viedkartē, USB autentifikācijas marķierī vai aparatūras kriptovalūtas makā. Neskatoties uz to, kriptogrāfijas valūtas adrese ir publiskās atslēgas attēlojums, kas nozīmē, ka Alise to var izmantot kā savu monētu un žetonu maku..

Lai gan publiskā atslēga ir anonīma, viņa var izveidot arī pārbaudītu digitālo identitāti. Viņa var lūgt Bobu apliecināt viņas identitāti. Bobs ir sertifikātu izdevēja iestāde. Alise apmeklēs Bobu un parādīs savu personu apliecinošu dokumentu. Bobs izveidos sertifikātu un publicēs to blokķēdē. “Sertifikāts” ir fails, kas plašākai sabiedrībai paziņo: “Alises publiskā atslēga ir derīga”. Bobs to nepublicēs savā serverī tāpat kā citas tradicionālās sertifikātu iestādes tagad. Ja DDoS uzbrukumā kādreiz tiktu atspējots centralizētais serveris, neviens nevarētu apstiprināt, vai Alises digitālā identitāte ir derīga. MITM uzbrukumā kāds var viltot viņas identitāti. Tas būtu neiespējami, ja sertifikāts vai vismaz tā jaukšanas summa tiktu publicēta ķēdē.

Ar verificētu personu apliecinošu dokumentu viņa var veikt oficiālus darījumus, piemēram, reģistrēt uzņēmumu. Ja Alise ir uzņēmēja, viņa var vēlēties publicēt savus kontaktus, piemēram, tālruņa numuru. Blokķēdes izmantošana ir drošāka izvēle, jo, kad dati tiek publicēti sociālajos medijos, hakeris var ielauzties kontā un aizstāt to, lai pāradresētu zvanus uz citu numuru. Neviens no tiem nebūtu iespējams blokķēdē.

Ja Alise dodas uz dzērienu veikalu, viņa var izmantot savu pārbaudīto DID. Pārdevējs Deivs izmantos savu lietotni, lai pārbaudītu un apstiprinātu Alises DID, nevis viņas papīra ID. Alisei nav jāatklāj viņas vārds un dzimšanas datums. Viņa ar Deiva lietotni kopīgos savu identifikatoru, kuru Bobs sertificēja, savu attēlu un tekstu “virs 21 g.v.”. paziņojums, apgalvojums. Deivs uzticas šim ierakstam, jo ​​Bobs ir sertificēšanas iestāde.

Alise var izveidot dažādus pseidonīmus iepirkšanās tiešsaistē, sociālajos tīklos un kriptogrāfijas apmaiņai. Ja viņa zaudēs savu privāto atslēgu, viņa lūgs Bobu atjaunināt savu ierakstu blokķēdē, lai paziņotu, ka “Alises publiskā atslēga nav derīga”. Tādēļ, ja kāds to nozaga, visi, kas mijiedarbojas ar viņas publisko atslēgu, zinās, ka viņiem nevajadzētu ticēt darījumiem, kas parakstīti ar šo atslēgu.

Protams, tas ir vienkāršots scenārijs, taču tas nav nereāls. Turklāt daži no šiem procesiem jau pastāv. Piemēram, igaunis e-uzturēšanās karte ir nekas cits kā viedkarte ar lietotāja privāto atslēgu. Izmantojot šo karti, jūs varat attālināti reģistrēt uzņēmumu Igaunijā vai pat parakstīt līgumus. Igaunijas digitālie paraksti tiek integrēti lielākā tirgū, un tos atzīst visā Eiropas Savienībā. Diemžēl tās valdības joprojām neaizsargā sertifikātus par blokķēdēm.

Zināšanas ir spēks. Lietotājiem būtu jāzina, ka viņu kiberdrošība nav tikai viņu rokās, kā varētu teikt. Programmatūras un sociālo mediju gigantiem vajadzētu pāriet uz drošības standartu uzlabošanu, un lietotājiem tas būtu jāpieprasa.

Šeit izteiktie viedokļi, domas un viedokļi ir tikai autora viedokļi, un tie ne vienmēr atspoguļo vai atspoguļo Cointelegraph uzskatus un viedokļus..

Oleksijs Konaševičs ir Cross-Blockchain protokola autors valdības datu bāzēm: publisko reģistru tehnoloģija un viedie likumi. Oleksii ir Ph.D. līdzdalībnieks ES valdības finansētajā kopīgajā starptautiskajā doktora grāda tiesību zinātnēs, zinātnē un tehnoloģijā programmā. Oleksii ir sadarbojies ar RMIT University Blockchain Innovation Hub, pētot blokķēdes tehnoloģijas izmantošanu e-pārvaldībā un e-demokrātijā. Viņš strādā arī ar nekustamā īpašuma nosaukumu, digitālo personu apliecinošo dokumentu, publisko reģistru un e-balsošanas marķēšanu. Oleksii ir līdzautors likumam par e-lūgumrakstiem Ukrainā, sadarbojoties ar valsts prezidenta administrāciju un no 2014. līdz 2016. gadam strādājot par nevalstiskās e-demokrātijas grupas vadītāju. 2019. gadā Oleksii piedalījās likumprojekta izstrādē par cīņu pret naudas atmazgāšanu un nodokļu jautājumi par kriptogrāfijas aktīviem Ukrainā.