Ο νόμος του Murphy αναφέρει: “Οτιδήποτε μπορεί να πάει στραβά θα πάει στραβά.” Συμβαίνει πάντα με κεντρικές υπηρεσίες. Πριν από ένα χρόνο, είδαμε πώς διαρρέθηκαν μισό εκατομμύριο λογαριασμοί Facebook στο διαδίκτυο, εκθέτοντας προσωπικά δεδομένα. Θα το δούμε πολλές φορές περισσότερο με άλλες υπηρεσίες. Το πρόσφατο hack Twitter το υπογραμμίζει και πάλι. Οι λογαριασμοί των Elon Musk, Bill Gates, Jeff Bezos, Kanye West, Kim Kardashian, Mike Bloomberg, Joe Biden, Barack Obama, μεταξύ άλλων, παραβιάστηκαν για να προωθήσουν μια δόλια προσφορά με το Bitcoin (BTC).
Γράφοντας για το BBC, σχολιαστής κυβερνοασφάλειας Joe Tidy έκρινε: “Το γεγονός ότι πολλοί διαφορετικοί χρήστες έχουν παραβιαστεί ταυτόχρονα σημαίνει ότι πρόκειται για πρόβλημα με την ίδια την πλατφόρμα του Twitter.” Όλοι οι λογαριασμοί ήταν ευάλωτοι. Ήταν απλώς θέμα επιλογής για τους χάκερ: Η χρήση διασημοτήτων είναι καλύτερο να «εγκρίνουμε» απάτες.
Το πρόβλημα είναι ότι ακόμη και αν το Twitter ή οποιαδήποτε άλλη υπηρεσία με παρόμοια αρχιτεκτονική συνεχίσει να χτίζει τα τείχη ασφάλειας στον κυβερνοχώρο γύρω από το σύστημά του, θα γίνει πιο περίπλοκο και ακριβό, αλλά όχι ασφαλέστερο. Το τρέχον παράδειγμα κεντρικών υπηρεσιών δεν μπορεί να προσφέρει ασφαλέστερη λύση για τον έλεγχο ταυτότητας των χρηστών.
Πρόσφατα έγραψα για νέες τεχνολογίες που θα μπορούσαν να προστατεύσουν τα δεδομένα και την ψηφιακή ταυτότητα, χρησιμοποιώντας το παράδειγμα της Αυστραλίας και της ευρωπαϊκής εμπειρίας και πώς τα πιστοποιητικά δημόσιου κλειδιού θα μπορούσαν να προστατευτούν με την τεχνολογία blockchain από την κατανεμημένη άρνηση υπηρεσίας και το man-in-the-middle επιθέσεις. Αν και η ανάλυσή μου ήταν αρκετά τεχνική και διεξοδική, ίσως θα ήταν καλύτερο να κάνουμε ένα βήμα πίσω και να χτενίσω μερικές γενικές αλλά σχετικές λεπτομέρειες που μπορεί να ενισχύσουν την προστασία των δεδομένων.
Ακολουθεί κάποια ορολογία που μπορείτε να χρησιμοποιήσετε όταν ρωτάτε τον παροχέα υπηρεσιών σας, το ηλεκτρονικό σας κατάστημα ή την κυβέρνησή σας σχετικά με το εάν προστατεύουν τα προσωπικά σας δεδομένα:
- Αποκεντρωμένα αναγνωριστικά, ή DIDs, είναι ένα γενικό πλαίσιο από Π3C με διάφορες μεθόδους για τη δημιουργία και διαχείριση προσωπικών αναγνωριστικών με αποκεντρωμένο τρόπο. Με άλλα λόγια, οι προγραμματιστές διαδικτυακών υπηρεσιών δεν χρειάζεται να δημιουργήσουν κάτι νέο εάν θέλουν να χρησιμοποιήσουν τις δυνατότητες αποκεντρωμένων τεχνολογιών. Μπορούν να χρησιμοποιήσουν αυτές τις μεθόδους και πρωτόκολλα.
- Επιλεκτικό πρωτόκολλο αποκάλυψης, Ή το SDP, το οποίο παρουσιάστηκε πέρυσι στο EOS Hackathon από τον συνιδρυτή της Vareger, Mykhailo Tiutin και την ομάδα του, είναι μια αποκεντρωμένη μέθοδος για την αποθήκευση προσωπικών δεδομένων (χρησιμοποιώντας DID) με κρυπτογραφική προστασία σε ένα blockchain. Με το SDP, ο χρήστης μπορεί να αποκαλύψει προσεκτικά επιλεγμένα κομμάτια πληροφοριών σε οποιαδήποτε συγκεκριμένη συναλλαγή.
- Αυτο-κυρίαρχη ταυτότητα, ή SSI, είναι μια έννοια που, με απλούς όρους, επιτρέπει στους χρήστες να είναι οι κυρίαρχοι κάτοχοι των προσωπικών τους δεδομένων και ταυτότητας, και όχι τρίτων. Αυτό σημαίνει ότι μπορείτε να αποθηκεύσετε προσωπικά δεδομένα στη συσκευή σας, όχι στο διακομιστή Twitter ή σε οποιονδήποτε άλλον. Για να απεικονίσετε τη δύναμη της έννοιας SSI, σκεφτείτε αυτήν τη δήλωση: Είναι πιο εύκολο να εισπράξετε ένα κεντρικό σύστημα που αποθηκεύει εκατομμύρια λογαριασμούς παρά να εισπράξετε εκατομμύρια προσωπικές συσκευές. Αλλά το ζήτημα είναι πολύ βαθύτερο. Εάν αντιμετωπίσουμε ποτέ μια ψηφιακή δικτατορία, η ρίζα αυτού του προβλήματος θα είναι η απουσία του δικαιώματος ελέγχου και απαγόρευσης τρίτων (συμπεριλαμβανομένης της κυβέρνησης) να αποθηκεύουν και να χειρίζονται τα προσωπικά σας δεδομένα. Το τρομερό πείραμα με τους Ουιγούρους στην Κίνα είναι μια συγκεκριμένη περίπτωση. Οι πολίτες δεν έχουν το νόμιμο δικαίωμα να πω όχι στην κυβέρνηση που συλλέγει τα προσωπικά τους δεδομένα. Φυσικά, η κινεζική κυβέρνηση δημιούργησε λογαριασμούς χωρίς τη συγκατάθεσή τους για να αποκτήσει αρχεία σχετικά με αυτό που θεωρεί ακατάλληλη συμπεριφορά.
Για να βάλουμε τα πράγματα σε προοπτική, ας περάσουμε μια υποθετική κατάσταση.
Περίπτωση χρήσης: Η Αλίκη και η ψηφιακή της ταυτότητα
Η Αλίκη δημιουργεί το κρυπτογραφικό της ζεύγος: ένα ιδιωτικό και δημόσιο κλειδί. Το ιδιωτικό κλειδί κρυπτογραφεί συναλλαγές, χρησιμοποιώντας ψηφιακή υπογραφή. το δημόσιο κλειδί τα αποκρυπτογραφεί. Το δημόσιο κλειδί χρησιμοποιείται για την επαλήθευση εάν η Alice έχει συνδεθεί, υπογράψει τη σύμβαση, υπέγραψε τη συναλλαγή blockchain κ.λπ..
Για να προστατεύσει το ιδιωτικό κλειδί, θα το αποθηκεύσει σε μια ασφαλή συσκευή υλικού με προστασία PIN, για παράδειγμα, σε μια έξυπνη κάρτα, ένα διακριτικό ελέγχου ταυτότητας USB ή ένα πορτοφόλι κρυπτογράφησης υλικού. Παρ ‘όλα αυτά, μια διεύθυνση κρυπτογράφησης αποτελεί αναπαράσταση ενός δημόσιου κλειδιού, που σημαίνει ότι η Αλίκη μπορεί να τη χρησιμοποιήσει ως πορτοφόλι νομισμάτων και διακριτικών.
Αν και το δημόσιο κλειδί είναι ανώνυμο, μπορεί επίσης να δημιουργήσει μια επαληθευμένη ψηφιακή ταυτότητα. Μπορεί να ζητήσει από τον Μπομπ να πιστοποιήσει την ταυτότητά της. Ο Μπομπ είναι αρχή έκδοσης πιστοποιητικών. Η Αλίκη θα επισκεφθεί τον Μπομπ και θα δείξει την ταυτότητά της. Ο Μπομπ θα δημιουργήσει ένα πιστοποιητικό και θα το δημοσιεύσει σε ένα blockchain. Το “Πιστοποιητικό” είναι ένα αρχείο που ανακοινώνει στο ευρύ κοινό: “Το δημόσιο κλειδί της Αλίκης είναι έγκυρο.” Ο Μπομπ δεν θα το δημοσιεύσει στον διακομιστή του με τον ίδιο τρόπο που κάνουν και άλλες παραδοσιακές αρχές έκδοσης πιστοποιητικών. Εάν ένας κεντρικός διακομιστής απενεργοποιήθηκε ποτέ σε μια επίθεση DDoS, κανείς δεν θα μπορούσε να επιβεβαιώσει εάν η ψηφιακή ταυτότητα της Alice είναι έγκυρη ή όχι. Στην επίθεση MITM κάποιος μπορεί να πλαστογραφήσει την ταυτότητά της. Αυτό θα ήταν αδύνατο εάν το πιστοποιητικό ή τουλάχιστον το άθροισμα κατακερματισμού του δημοσιεύονταν στην αλυσίδα.
Με ένα επαληθευμένο αναγνωριστικό, μπορεί να εκτελεί επίσημες συναλλαγές, για παράδειγμα, εγγράφοντας μια εταιρεία. Εάν η Αλίκη είναι επιχειρηματίας, μπορεί να θέλει να δημοσιεύσει τις επαφές της, όπως έναν αριθμό τηλεφώνου. Η χρήση ενός blockchain είναι μια ασφαλέστερη επιλογή, επειδή όταν δημοσιεύονται δεδομένα στα μέσα κοινωνικής δικτύωσης, ένας χάκερ μπορεί να εισέλθει σε έναν λογαριασμό και να τον αντικαταστήσει για να ανακατευθύνει κλήσεις σε άλλο αριθμό. Κανένα από αυτά δεν θα ήταν δυνατό σε ένα blockchain.
Εάν η Αλίκη πάει σε κάβα, μπορεί να χρησιμοποιήσει το επαληθευμένο DID της. Ο πωλητής, Dave, θα χρησιμοποιήσει την εφαρμογή του για να επαληθεύσει και να επιβεβαιώσει το DID της Alice αντί για το αναγνωριστικό της. Η Αλίκη δεν χρειάζεται να αποκαλύψει το όνομα και την ημερομηνία γέννησής της. Θα μοιραστεί με την εφαρμογή του Dave το αναγνωριστικό της, το οποίο πιστοποίησε ο Bob, την εικόνα της και ένα “Above 21 yoo”. δήλωση. Ο Ντέιβ εμπιστεύεται αυτό το ρεκόρ επειδή ο Μπομπ είναι αρχή έκδοσης πιστοποιητικών.
Η Αλίκη μπορεί να δημιουργήσει διάφορα ψευδώνυμα για online αγορές, μέσα κοινωνικής δικτύωσης και ανταλλαγές κρυπτογράφησης. Εάν χάσει το ιδιωτικό της κλειδί, θα ζητήσει από τον Μπομπ να ενημερώσει το ρεκόρ του στο blockchain για να ανακοινώσει ότι “το δημόσιο κλειδί της Αλίκης δεν είναι έγκυρο.” Επομένως, εάν κάποιος το έκλεψε, όλοι όσοι αλληλεπιδρούν με το δημόσιο κλειδί της θα γνωρίζουν ότι δεν πρέπει να πιστεύουν ότι οι συναλλαγές έχουν υπογραφεί με αυτό το κλειδί.
Φυσικά, αυτό είναι ένα απλοποιημένο σενάριο, αλλά δεν είναι ρεαλιστικό. Επιπλέον, ορισμένες από αυτές τις διαδικασίες υπάρχουν ήδη. Για παράδειγμα, η Εσθονική e-Residency Η κάρτα δεν είναι τίποτα περισσότερο από μια έξυπνη κάρτα με το ιδιωτικό κλειδί του χρήστη. Με αυτήν την κάρτα, μπορείτε να εγγραφείτε από απόσταση μια εταιρεία στην Εσθονία ή ακόμη και να υπογράψετε συμβόλαια. Έχοντας ενσωματωθεί σε μια μεγαλύτερη αγορά, οι εσθονικές ψηφιακές υπογραφές αναγνωρίζονται σε ολόκληρη την Ευρωπαϊκή Ένωση. Δυστυχώς, οι κυβερνήσεις της εξακολουθούν να μην προστατεύουν τα πιστοποιητικά σε blockchain.
Η γνώση είναι δύναμη. Οι χρήστες πρέπει να γνωρίζουν ότι η ασφάλεια στον κυβερνοχώρο τους δεν είναι μόνο στα χέρια τους, όπως μπορεί να πει κανείς. Οι γίγαντες του λογισμικού και των κοινωνικών μέσων ενημέρωσης πρέπει να κάνουν τη στροφή προς βελτίωση των προτύπων ασφαλείας και οι χρήστες πρέπει να το απαιτήσουν.
Οι απόψεις, οι σκέψεις και οι απόψεις που εκφράζονται εδώ είναι μόνες του συγγραφέα και δεν αντικατοπτρίζουν απαραίτητα τις απόψεις και τις απόψεις του Cointelegraph.
Ολεξίκι Κόνσαβιτς είναι ο συγγραφέας του πρωτοκόλλου Cross-Blockchain για κυβερνητικές βάσεις δεδομένων: Η τεχνολογία για δημόσια μητρώα και έξυπνους νόμους. Ο Oleksii είναι διδακτορικός συνεργάτης στο Κοινό Διεθνές πρόγραμμα Διδακτορικού Δικαίου, Επιστήμης και Τεχνολογίας που χρηματοδοτείται από την κυβέρνηση της ΕΕ Η Oleksii συνεργάζεται με το Πανεπιστημιακό Κέντρο Καινοτομίας Blockchain University του RMIT, μελετώντας τη χρήση της τεχνολογίας blockchain για την ηλεκτρονική διακυβέρνηση και την ηλεκτρονική δημοκρατία. Εργάζεται επίσης για την αναγνώριση τίτλων ακινήτων, ψηφιακών αναγνωριστικών, δημόσιων μητρώων και ηλεκτρονικής ψηφοφορίας. Ο Oleksii συνέγραψε έναν νόμο για τις ηλεκτρονικές αναφορές στην Ουκρανία, συνεργάστηκε με την προεδρική διοίκηση της χώρας και διετέλεσε διευθυντής της μη κυβερνητικής Ομάδας Ηλεκτρονικής Δημοκρατίας από το 2014 έως το 2016. Το 2019, ο Oleksii συμμετείχε στη σύνταξη ενός νομοσχεδίου για την καταπολέμηση της νομιμοποίησης εσόδων από παράνομες δραστηριότητες και φορολογικά θέματα για περιουσιακά στοιχεία κρυπτογράφησης στην Ουκρανία.