较早前国泰航空泄漏了940万用户个人资料,碰巧最近我在研究DID(Decentralized IDentifier)去中心化身份认证,因此决定讲讲区块链怎样解决个人私隐问题。

长久以来,企业都会因为不同的理由储存客户资料,例如电子商城储存客户的送货地址,航空公司储存乘客的护照号码,银行储存客户的信贷纪录等。

储存客户资料的理由众多,当中自然有妥当的亦有不妥当的。但作为客户通常无论你有多不愿意都好,如果你想使用企业的服务,就必须妥协地提供个人资料,完全没有选择的余地。

有些企业甚至会在你不知情的情况下出卖你的个人私隐,原因是这些资料将有助各种商品服务销售活动的转化率:例如保险公司可以透过得悉你家庭成员的人数而在电话销售中提供你将会感兴趣的保险产品。

Bitcoin是去中心化的电子货币,我们不再需要经过第三方(银行)核实我们的户口结余;其实DID概念跟Bitcoin差不多,就是将中心化的个人资料保管处理去掉,直接由用家自行储存个人资料并控制资料的流向。

因此企业再无需要为储存敏感资料而大费周章,花钱维护资料库安全;也再不用为了怕泄露客户资料而担惊受怕。

然而,正如一般加密货币一样,由于资料的拥有权证明来自电子密钥,一旦丢失, 个人资料例如履历、病历、证书等就有机会一起消失。

因为个人资料没有任何保管方代为储存,当然也没有资料备份。这种做法自然需要普罗大众对密钥保存、区块链原理有一定的认知,否则只能预期各大企业的客服热线响过不停,服务丢失密钥或不明白如何使用的客户激增,是以DID的应用现阶段还是难于实现的原因。

要处理上述问题折衷的做法,是由客户授权区块链系统,定期将完整的个人资料以严谨的方式加密并储存到一个只能写入的资料库。

读取资料库需要有客户同意,并有监管机构的批准才可以进行。

虽然这样可以稍微减轻客户自己需要承担的责任,就算丢失密钥也可以取回资料,但这种做法其实也有不少问题:首先这无疑削弱了资料自主、去中心化的原意;另外,最安全的个人资料保安就是完全不储存个人资料,无论以任何形式储存风险依然存在。

同一加密技术在今天虽然安全,但没有人保证明天就没有更新的软件或硬件技术可以打破。

最安全的个人资料保安就是完全不储存个人资料,无论以任何形式储存风险依然存在。

而更重要的是其实这种做法大概跟现有的中心化储存系统差不了多少,企业仍然需要负上资讯安全的责任。

话虽如此,其实外国有不少案例,例如civic.com、DTCO等都开始应用DID。作为世界金融中心的香港,处理信贷记录、楼契记录这些经常需要让服务方读取的资料,是否也应该积极考虑DID呢

非常不幸地最近笔者更因揭发某跑步比赛报名系统泄漏个人资料而上了本地报章。无独有偶,上周笔者出席Techcrunch在数码港举行的Blockchain Hackathon比赛并担任评判,绝大部份参赛者的题目都是和个人资料有关。

看来有很多人和我一样,认为个人资料应该得到更妥善的保存方式。尽管如此,就算是黑客松比赛的参赛者,其实绝大部份都没有听说过DID这个概念,因此这次的文章还是想讲讲DID。

身份之所以存在,因为有其他人需要知道你是谁,他们会因为你的身份而作出相应的回应。换句话说,如果世界上只有一个人,那么身份就不需要存在,因为一即是全,全即是一。

就如现实中,当你面对女友和面对妈妈时,虽然她们都是女人,但由于她们的身份不一,你会向她们提供不同的东西,并展现两种截然不同的性格(这个话题可能过于沉重了)。

网上身份亦一样,虽然你仍然是你,但银行所认知的你,和facebook所认知的你,可以是两个不同的人,因此他们想获得你的身份资料亦不一样:银行想知道你的收入多少、信贷纪录如何;facebook想知你有多少朋友、最近去过哪里等。

因此DID的其中一个重要概念,就是一个人或机构会拥有多重身份,而每个身份都会对应一个对方的其中一个身份。

持有人(Owner)拥有众多的身份,而每个身份各自都有一个颁发者(Issuer):例如身份证的颁发者是入境处,银行户口的颁发者是银行。

当我们到银行办手续,需要证明自己的身份(Claim),银行-验证者(Verifier)最理想的认证方法就是向颁发者-入境处查询身份证上的资料是否真确。

网上身份可以透过数码签章等核实其真确性,而利用去中心的区块链网络,我们可以通过颁发者和持有人共同签章,产生可验证声明(Verifiable Claim)让银行可以即时确认持有人的身份是否真确。

个人资料将会在确认身份后,由持有人直接交予验证者,不需要任何中央管理的数据库代为处理,解决了个人资料外泄的问题。

现时Linux Foundation的开源区块链项目Hyperledger家族中,有一个产品专门处理去中心化身份认证,名叫Indy。

正式应用Indy的例子其实不少,其中一个比较成熟的是Sovrin,其网络成员包括大学、金融机构、IBM及Cisco等。

总而言之我们可以预期在不久将来个人的电子身份再不需要由中心化的伺服器保存,在DID普及后我们也不再需要担心个人资料被不法之徒盗用。