网络安全评论员Joe Tidy在为BBC撰写的文章指出,推特被黑事件意味着推特平台自身有问题,即使推特继续在其系统周围构建网络安全墙,它也会变得更加复杂和昂贵,但并不安全。当前的中心化服务范式无法为用户的身份验证提供更安全的解决方案。随后,Tidy以澳大利亚和欧洲的经验为例,通过介绍如何使用区块链技术保护公钥证书免受分布式拒绝服务和中间人攻击,建议软件和社交媒体巨头应做出改变以提高安全标准。
墨菲定律指出:“任何可能出错的地方都会出错。” 它总是在集中式服务中发生。一年前,我们看到了一半的Facebook帐户是如何在网上泄漏的,从而暴露了个人数据。我们将在其他服务中看到更多次。最近的Twitter骇客再次强调了这一点。黑客入侵了埃隆·马斯克(Elon Musk),比尔·盖茨(Bill Gates),杰夫·贝佐斯(Jeff Bezos),坎耶·韦斯特(Kanye West),金·卡戴珊(Kim Kardashian),迈克·布隆伯格(Mike Bloomberg),乔·拜登(Joe Biden),巴拉克·奥巴马(Barack Obama)等帐户,他们利用比特币(BTC)提出了欺诈性要约。
网络安全评论员乔·提迪(Joe Tidy)为英国广播公司(BBC)撰写的文章指出:“事实上,许多不同的用户同时遭到入侵,这意味着这是Twitter平台本身的问题。” 所有账户都是脆弱的;对于黑客来说,这只是一个选择问题:使用名人更好地“认可”欺诈。
问题是,即使Twitter或具有类似体系结构的任何其他服务继续在其系统周围构建网络安全墙,它也会变得更加复杂和昂贵,但并不安全。当前的集中式服务范式无法为用户的身份验证提供更安全的解决方案。
我最近以澳大利亚和欧洲的经验为例,写了关于可以保护数据和数字身份的新技术,以及如何利用区块链技术保护公钥证书免受分布式拒绝服务和中间人的攻击攻击。尽管我的分析是非常技术和透彻的,但最好还是退后一步,梳理一些通用但相关的细节,以加强数据保护。
在向服务提供商,在线商店或政府询问是否保护您的个人数据时,可以使用以下术语:
分散标识符(DID)是W3C的通用框架,具有多种方法以分散方式创建和管理个人标识符。换句话说,在线服务的开发人员如果想利用分散技术的潜力,就无需创建新的东西。他们可以利用这些方法和协议。
选择性披露协议(SDP)是去年由Vareger联合创始人Mykhailo Tiutin及其团队在EOS Hackathon上提出的,是一种分散式方法,用于在区块链上存储具有密码保护的个人数据(使用DID)。使用SDP,用户可以在任何特定交易中披露经过精心选择的信息。
简单来说,自我主权身份(SSI)是一个概念,它允许用户成为其个人数据和身份的主权所有者,而不是第三方。这意味着您可以将个人数据存储在设备上,而不是存储在Twitter或其他任何人的服务器上。为了说明SSI概念的强大功能,请考虑以下语句:入侵一个存储数百万个帐户的集中式系统比入侵数百万个个人设备更容易。但是问题更加深远。如果我们面临数字独裁统治,那么问题的根源将是缺乏控制和禁止第三方(包括政府)存储和操作您的个人数据的权利。可怕的实验维吾尔族人在中国就是一个很好的例子。公民没有合法权利拒绝政府收集其个人数据。当然,中国政府未经其同意就创建了帐户,以获取其认为不当行为的记录。
为了使事情更直观,让我们经历一个假设的情况。
用例:爱丽丝和她的数字身份
爱丽丝生成她的加密对:私钥和公钥。私钥使用数字签名对交易进行加密;公钥将它们解密。公钥用于验证Alice是否已登录,签署了合同,签署了区块链交易等。
为了保护私钥,她会将其存储在具有PIN保护的安全硬件设备上,例如,存储在智能卡,USB认证令牌或硬件加密货币钱包中。不过,加密货币地址是公钥的表示,这意味着爱丽丝可以将其用作她的硬币和令牌钱包。
尽管公钥是匿名的,但她也可以创建经过验证的数字身份。她可以要求鲍勃证明自己的身份。Bob是证书颁发机构。爱丽丝将拜访鲍勃并出示身份证。Bob将创建一个证书并将其发布在区块链上。“证书”是一个向公众发布的文件:“爱丽丝的公钥有效。” Bob不会像现在其他传统证书颁发机构那样在其服务器上发布它。如果曾经在DDoS攻击中禁用集中式服务器,则没有人能够确认Alice的数字身份是否有效,这可能导致某人窃取她的证书并伪造其身份。如果证书或其至少哈希值是在链上发布的,这将是不可能的。