Định luật Murphy nêu rõ: “Bất cứ điều gì có thể xảy ra sai trái sẽ trở thành sai lầm.” Nó luôn xảy ra với các dịch vụ tập trung. Một năm trước, chúng ta đã thấy nửa triệu tài khoản Facebook bị rò rỉ trực tuyến, làm lộ dữ liệu cá nhân. Chúng ta sẽ thấy điều đó nhiều hơn nữa với các dịch vụ khác. Vụ hack Twitter gần đây nhấn mạnh điều này một lần nữa. Tài khoản của Elon Musk, Bill Gates, Jeff Bezos, Kanye West, Kim Kardashian, Mike Bloomberg, Joe Biden, Barack Obama, và những người khác, đã bị tấn công để đẩy một đề nghị lừa đảo bằng Bitcoin (BTC).
Viết cho BBC, nhà bình luận an ninh mạng Joe Tidy được khai quang: “Thực tế là rất nhiều người dùng khác nhau đã bị xâm phạm cùng một lúc ngụ ý rằng đây là một vấn đề với chính nền tảng của Twitter”. Tất cả các tài khoản đều dễ bị tấn công; đó chỉ là vấn đề lựa chọn của các tin tặc: Sử dụng những người nổi tiếng tốt hơn để “xác nhận” các trò gian lận.
Vấn đề là ngay cả khi Twitter hoặc bất kỳ dịch vụ nào khác có kiến trúc tương tự tiếp tục xây dựng các bức tường an ninh mạng xung quanh hệ thống của nó, nó sẽ trở nên phức tạp và tốn kém hơn, nhưng không an toàn hơn. Mô hình dịch vụ tập trung hiện tại không thể cung cấp giải pháp an toàn hơn để xác thực người dùng.
Gần đây, tôi đã viết về các công nghệ mới có thể bảo vệ dữ liệu và danh tính kỹ thuật số, sử dụng ví dụ về kinh nghiệm của Úc và Châu Âu và cách các chứng chỉ khóa công khai có thể được bảo vệ bằng công nghệ blockchain chống lại sự từ chối dịch vụ phân tán và người trung gian các cuộc tấn công. Mặc dù phân tích của tôi khá kỹ thuật và kỹ lưỡng, có lẽ tốt hơn là bạn nên lùi lại một bước và lược qua một số chi tiết chung nhưng thích hợp có thể tăng cường bảo vệ dữ liệu.
Dưới đây là một số thuật ngữ để bạn sử dụng khi hỏi nhà cung cấp dịch vụ, cửa hàng trực tuyến của bạn hoặc chính phủ của bạn về việc họ có đang bảo vệ dữ liệu cá nhân của bạn hay không:
- Số nhận dạng phi tập trung, hoặc DID, là một khuôn khổ chung của W3C với nhiều phương pháp khác nhau để tạo và quản lý số nhận dạng cá nhân theo cách phi tập trung. Nói cách khác, các nhà phát triển dịch vụ trực tuyến không cần phải tạo ra thứ gì đó mới nếu họ muốn sử dụng tiềm năng của các công nghệ phi tập trung. Họ có thể sử dụng các phương pháp và giao thức này.
- Giao thức tiết lộ có chọn lọc, hoặc SDP, được trình bày vào năm ngoái tại EOS Hackathon bởi người đồng sáng lập Vareger, Mykhailo Tiutin và nhóm của ông, là một phương pháp phi tập trung để lưu trữ dữ liệu cá nhân (sử dụng DID) với sự bảo vệ bằng mật mã trên blockchain. Với SDP, người dùng có thể tiết lộ các phần thông tin được lựa chọn cẩn thận trong bất kỳ giao dịch cụ thể nào.
- Nhận dạng cá nhân toàn quyền, hay SSI, là một khái niệm, nói một cách dễ hiểu, cho phép người dùng là chủ sở hữu chính quyền của dữ liệu cá nhân và danh tính của họ, không phải bên thứ ba. Điều này ngụ ý rằng bạn có thể lưu trữ dữ liệu cá nhân trên thiết bị của mình, không phải trên máy chủ của Twitter hay bất kỳ ai khác. Để minh họa sức mạnh của khái niệm SSI, hãy nghĩ về tuyên bố này: Việc hack một hệ thống tập trung lưu trữ hàng triệu tài khoản sẽ dễ dàng hơn là hack hàng triệu thiết bị cá nhân. Nhưng vấn đề còn sâu hơn nhiều. Nếu chúng ta từng đối mặt với chế độ độc tài kỹ thuật số, thì gốc rễ của vấn đề này sẽ là việc không có quyền kiểm soát và cấm các bên thứ ba (bao gồm cả chính phủ) lưu trữ và vận hành dữ liệu cá nhân của bạn. Khủng khiếp thí nghiệm với người Duy Ngô Nhĩ ở Trung Quốc là một trường hợp điển hình. Công dân không có quyền hợp pháp để nói không với việc chính phủ thu thập dữ liệu cá nhân của họ. Tất nhiên, chính phủ Trung Quốc đã tạo tài khoản mà không có sự đồng ý của họ để có được hồ sơ về những gì họ coi là hành vi không phù hợp.
Để đưa mọi thứ vào viễn cảnh, chúng ta hãy xem xét một tình huống giả định.
Trường hợp sử dụng: Alice và danh tính kỹ thuật số của cô ấy
Alice tạo cặp mật mã của mình: khóa riêng tư và khóa công khai. Khóa riêng tư mã hóa các giao dịch, sử dụng chữ ký điện tử; khóa công khai giải mã chúng. Khóa công khai được sử dụng để xác minh xem Alice đã đăng nhập, ký hợp đồng, ký giao dịch blockchain, v.v..
Để bảo vệ khóa cá nhân, cô ấy sẽ lưu trữ nó trên một thiết bị phần cứng an toàn có bảo vệ bằng mã PIN, chẳng hạn như trên thẻ thông minh, mã thông báo xác thực USB hoặc ví tiền điện tử phần cứng. Tuy nhiên, địa chỉ tiền điện tử là đại diện của khóa công khai, có nghĩa là Alice có thể sử dụng nó làm ví tiền và mã thông báo của mình.
Mặc dù khóa công khai là ẩn danh, cô ấy cũng có thể tạo danh tính kỹ thuật số đã được xác minh. Cô ấy có thể yêu cầu Bob chứng nhận danh tính của mình. Bob là một cơ quan cấp chứng chỉ. Alice sẽ đến thăm Bob và xuất trình ID của cô ấy. Bob sẽ tạo một chứng chỉ và xuất bản nó trên một blockchain. “Chứng chỉ” là một tệp thông báo cho mọi người biết: “Khóa công khai của Alice là hợp lệ.” Bob sẽ không xuất bản nó trên máy chủ của mình giống như cách mà các cơ quan cấp chứng chỉ truyền thống khác làm hiện nay. Nếu một máy chủ tập trung đã từng bị vô hiệu hóa trong một cuộc tấn công DDoS, thì không ai có thể xác nhận liệu danh tính kỹ thuật số của Alice có hợp lệ hay không. Trong cuộc tấn công MITM, ai đó có thể giả mạo danh tính của cô ấy. Điều này sẽ không thể xảy ra nếu chứng chỉ hoặc ít nhất là tổng băm của nó được xuất bản trên chuỗi.
Với một ID đã được xác minh, cô ấy có thể thực hiện các giao dịch chính thức, chẳng hạn như đăng ký một công ty. Nếu Alice là một doanh nhân, cô ấy có thể muốn công bố các địa chỉ liên hệ của mình, chẳng hạn như số điện thoại. Sử dụng blockchain là một lựa chọn an toàn hơn vì khi dữ liệu được công bố trên phương tiện truyền thông xã hội, tin tặc có thể đột nhập vào tài khoản và thay thế nó để chuyển hướng cuộc gọi đến một số khác. Không điều nào trong số này có thể xảy ra trên một blockchain.
Nếu Alice đến một cửa hàng rượu, cô ấy có thể sử dụng DID đã xác minh của mình. Người bán, Dave, sẽ sử dụng ứng dụng của mình để xác minh và xác nhận DID của Alice thay vì ID giấy của cô ấy. Alice không cần tiết lộ tên và ngày sinh của mình. Cô ấy sẽ chia sẻ với ứng dụng của Dave số nhận dạng của mình, được Bob chứng nhận, ảnh của cô ấy và “Trên 21 tuổi”. tuyên bố. Dave tin tưởng hồ sơ này vì Bob là tổ chức phát hành chứng chỉ.
Alice có thể tạo nhiều bút danh khác nhau để mua sắm trực tuyến, mạng xã hội và trao đổi tiền điện tử. Nếu mất khóa riêng, cô ấy sẽ yêu cầu Bob cập nhật hồ sơ của anh ấy trên blockchain để thông báo rằng “Khóa công khai của Alice không hợp lệ”. Do đó, nếu ai đó lấy cắp nó, tất cả những người tương tác với khóa công khai của cô ấy sẽ biết rằng họ không nên tin vào các giao dịch được ký bằng khóa này.
Tất nhiên, đây là một kịch bản đơn giản hóa, nhưng nó không phải là không thực tế. Hơn nữa, một số quy trình này đã tồn tại. Ví dụ, người Estonia e-Residency thẻ không có gì khác hơn là một thẻ thông minh với khóa cá nhân của người dùng. Với thẻ này, bạn có thể đăng ký từ xa một công ty ở Estonia hoặc thậm chí ký hợp đồng. Được tích hợp vào một thị trường lớn hơn, chữ ký số Estonia được công nhận trên toàn Liên minh Châu Âu. Thật không may, chính phủ của nó vẫn không bảo vệ chứng chỉ trên blockchain.
Kiên thức là sức mạnh. Người dùng nên biết rằng an ninh mạng của họ không chỉ nằm trong tay họ, như người ta vẫn nói. Những gã khổng lồ về phần mềm và truyền thông xã hội phải thay đổi để cải thiện các tiêu chuẩn bảo mật và người dùng nên yêu cầu nó.
Các quan điểm, suy nghĩ và ý kiến được thể hiện ở đây là của riêng tác giả và không nhất thiết phản ánh hoặc đại diện cho quan điểm và ý kiến của Cointelegraph.
Oleksii Konashevych là tác giả của Giao thức Cross-Blockchain cho Cơ sở dữ liệu Chính phủ: Công nghệ Đăng ký Công cộng và Luật Thông minh. Oleksii là một Tiến sĩ. thành viên trong chương trình Liên kết Bằng Tiến sĩ Quốc tế về Luật, Khoa học và Công nghệ do chính phủ EU tài trợ. Oleksii đã hợp tác với Trung tâm Đổi mới Blockchain của Đại học RMIT, nghiên cứu việc sử dụng công nghệ blockchain cho quản trị điện tử và dân chủ điện tử. Ông cũng làm việc về mã hóa quyền sở hữu bất động sản, ID kỹ thuật số, đăng ký công khai và bỏ phiếu điện tử. Oleksii đồng tác giả luật về kiến nghị điện tử ở Ukraine, cộng tác với chính quyền tổng thống của đất nước và là người quản lý Nhóm dân chủ điện tử phi chính phủ từ năm 2014 đến năm 2016. Năm 2019, Oleksii tham gia soạn thảo dự luật về Chống rửa tiền và các vấn đề về thuế đối với tài sản tiền điện tử ở Ukraine.