区块链会阻止个人数据泄漏吗?
如果您是24亿活跃的Facebook用户之一,那么您的数据被泄露的可能性大约为17%,因为最近有4.19亿个帐户被曝光。这意味着,除非发生变化,否则每六个活跃用户可能会失去对其个人数据的控制权。一次又一次,无论政府或公司管理个人数据或系统的安全性如何,个人数据泄漏都会一直发生。但是,集中化的根本问题是什么我们如何从犯罪分子,贪婪的营销人员和腐败政府中拯救我们的数据
泄漏是不可避免的
过去两周给我们带来了关于泄漏的巨大消息。有关上述4.19亿Facebook帐户数据库的最新信息可在互联网上下载,并附有姓名,电话号码,性别和居住国家等详细信息。不久前,万事达卡正式向欧盟当局报告了大约9万个暴露账户。
有一次,当我住在乌克兰时,我去了一家银行申请信用卡。我问店员为什么她没有要求任何收入证明给我一个信用额度。她回答说他们已经检查了养老基金的数据库。任何工资都由国家养老基金征收一定的税额,因此通过查看我的纳税,他们可以计算我的收入。“哦,我的上帝,”我想道,“他们甚至都没有试图掩盖这样一个事实:他们正在使用一个被窃取的数据库,其中包含了该国每个人的个人数据。”
希望没有必要证明任何人都不能承诺个人数据的安全性。在某些情况下,个人隐私权将被忽略,而在其他情况下,用户可能永远不会知道违规行为(感谢小费,爱德华斯诺登)。对于一些人来说,这些侵犯隐私的行为威胁到幸福和自由,例如中国政府黑客入侵iPhone的基础设施,以捕获生活在中国的维吾尔人。
其原因是集中化。大量的个人数据集集中在服务提供商的服务器上,这使得这些数据容易受到攻击。
区块链能帮忙吗
答案并不明显 - 但是,它可以提供帮助。我们需要在管理个人数据方面从根本上改变一切。它只能在区块链和政府合作的帮助下完成。
在过去几年中,最初的硬币提供(ICO)驱动的尝试被“破坏”数字ID行业。我不想提及任何这些项目。也许他们中的一些人有真诚的意图,但他们似乎在解决全球和国家层面的问题上还为时过早。
与个人数据管理变化有关的两个新术语是DID,它代表“分散的数字标识符”,以及可验证的凭证(距离成为标准仅一步之遥)。数字身份基金会(DIF)和万维网联盟(W3C)正在制定主权数字身份的新标准。W3C社区概述了一套旨在编写信息和通信技术新页面的一般概念,标准和方法。
最近开发为原型的符合DID标准的方法即使对于一些DID爱好者来说也是未知的。这个概念如下:用户在他们的设备上本地存储个人数据,从而与目前的状态管理的基于云的注册表的范例相矛盾,这些注册表具有部分限制的访问权限。用户永远不需要披露他们的所有数据,但只能部分地披露,只有在合理的情况下。使用Merkle树和数字签名的根执行认证,这些根存储在区块链中。服务提供商(网络服务,政府等)不会存储个人数据,但可以在与您互动时随时验证您的数字身份。
由Vareger的Mykhailo Tiutin撰写的概念如下。首先,数据可以而且必须存储在用户的设备上而不是第三方服务器上。在许多情况下,数据甚至不应该离开用户的设备或被披露 - 但是在公开时,代理仅接收所讨论的交互所需的一小部分个人数据。
例如,你走进一家酒类商店。您和收银员都有具有预安装身份验证服务的移动设备。美国法律禁止向21岁以下的人出售酒精。从技术上讲,出纳员不需要知道您的姓名,社会安全号码甚至是您的生日 - 只要您是否超过21岁,按照法。对于设计这个系统的工程师来说,问题是“你是否超过21岁”只是一个布尔变量0 =否,1 =是。
要设计这个系统,需要做一些事情:Merkle树,其中叶子是个人数据(名称,生日,地址,照片等)的哈希值和根,它是由信任服务提供商签名的加密字符串(TSP)。
信托提供者可以是政府(例如,内政部),银行或朋友 - 即双方相互信任的人。根和签名以及TSP的数字ID存储在区块链中。
商店中的场景如下:您取出智能手机,打开身份验证应用程序,然后选择要向收银员设备披露的数据。在这种情况下:根,提供者的数字签名,您的图片和“Over 21”布尔值。没有名字,没有地址,没有SSN。收银员将在她的设备上看到验证结果。设备将显示从客户设备发送的照片,并将检查图片是否由TSP验证。但是因为你可以拿走别人的智能手机,收银员会检查屏幕上的图片是否与买家的脸相符。除根和签名之外的任何数据都不会存储在区块链中 - 所有内容都会保留在智能手机上。当然,卖家可能会尝试将您的照片保存在他们的设备上,但我们稍后会讨论。
该方案的优点是可以存在具有单独TSP的多个根。例如,您可以拥有一个用于教育证明的根目录,您的教育机构将成为证明您的学分和毕业证书的提供者。对于相同的数据,也可以有多个信任提供者。例如,作为一个人,您可以在三个不同的国家/地区验证一个身份,但管理多个数字身份证已成为一场噩梦 - 您需要记住许多密码和授权方法 - 但使用DID,您可以拥有一个通用ID 。
您还可以在社交媒体,论坛和在线商店中创建假名。在那里,如果您愿意,您可以成为“小猫”或只是无名的身份证。假名可以通过零知识协议链接到TSP的签名,这意味着有一个数字证据证明您的身份已经过验证,但它对Web服务是隐藏的。
关于如何保护身份的方法和方案有很多,但核心思想是所有数据都应该由你控制 - 在大多数情况下,你根本不需要披露你的数据(通过零知识证明协议)和在某些情况下,您只需要部分披露。
他们会存储您的数据吗
W3C和不同的爱好者几年来一直在研究DID和可验证证书概念,但不幸的是,我们还没有看到任何大规模采用,主要的障碍是政府。
要实现这一点,需要做两件事:
政府自己停止集中个人数据。
如上所述,没有人 - 包括政府 - 将保证您数据的安全性。有一天,它会暴露出来,如果泄漏不会损失你的钱或威胁你的生命,你应该算是幸运的。
因此,首先,政府必须停止存储个人数据。实践中的这种转变是确保个人数据安全的唯一方法。对于“亲州”思想家而言,这种说法可能令人瞩目,但DID和可验证证书方法可确保了解您的客户或KYC,而不会暴露个人数据。除非有恶意,否则政府无需收集个人数据。
联邦一级的某些活动需要使用数字身份证:注册公司,申报税款,投票等。在这些时刻,必须以可接受的确定性水平验证身份证,这将由区块链和基础设施提供。信托服务提供商。
2.新的隐私法规对个人数据存储和第三方罚款规定了如此高的标准,使存储在经济上变得不可行。
“PDPR”必须成为继通用数据保护条例(GDPR)之后的第二步,其中“P”代表“个人”。虽然美国和其他国家正试图从GDPR中恢复,但“个人数据保护条例”的概念是已在欧盟讨论过。
这方面的一个主要因素是政治家必须有勇气采用最严格的规则并征收可以应用的最高罚款。
这只有一个目的:每当任何公司,银行或公务员想知道存储某人的个人数据是否是个好主意时,他们需要仔细考虑他们的理由是否足够,因为我们知道每当个人数据是集中,有一天它将不可避免地暴露出来。
相反,存储在用户设备上的数据将产生更多障碍。从一台设备窃取5亿个帐户比从5亿个独立设备窃取更容易。
每个人都应该有权控制其个人数据的公共可用性,并自行决定他们想要分享的内容。因此,需要制定新的法规和技术,以阻止集中存储个人数据的做法。如果没有,那么放松并习惯失去自己 - 一次“我同意”按钮。
声明:本站所提供的资讯信息不代表任何投资暗示, 本站所发布文章仅代表个人观点,仅供参考。