现如今,人们越来越重视自己的身份信息。但令人担忧的是,我们的个人数据正在被一些第三方应用或机构所滥用。正是在这样的背景下,区块链技术出现了,其最核心的应用之一就是保护我们的网络身份以及数据安全。
区块链技术保护个人数据的方式非常简单:数据以加密的形式存储在一个去中心化的网络中,通过使用私钥向其他方提供这些数据信息,这类似于我们通过私钥把加密货币发送给其他人。
Coinbase等加密货币巨头最近正在去中心化ID(身份标识)领域布局,保护网络身份的相关应用已经在加密货币行业中得到了强有力的论证和支持。
然而,尽管上述应用在逻辑上是合理的,但在大规模使用区块链保护个人数据之前,仍面临着许多挑战。一部分是技术层面的,而另一些则是商业层面上的。致力于夯实这一领域的公司分别站在了不同的角度来处理这些问题,但在解决这些问题时,选择偏离“完全”去中心化的理想似乎是必要的。
而且,即使克服了技术方面的挑战,Facebook可以为公众提供各种吸引人的“免费品”和完善的服务,这导致人们仍然不愿离开像Facebook这样的平台。
控制权和隐私性
电子商务和ID平台Nuggets的CEO兼创始人Alastair Johnson表示:目前的一个现实问题是,人们无法真正控制属于自己的数据。人们的个人数据——支付卡详细信息、家庭地址、电子邮件地址、密码和其他个人信息——平均分布在大约100个在线账户上。人们可以访问这些数据,但他们并不拥有这些数据。
相比之下,区块链技术的使用能让用户享有控制权,用户有权利决定他们与谁共享自己的身份数据。这主要是通过使用“去中心化的身份认证(decentralized identifiers,简称为DIDs)”来实现的。
Coinbase在8月15日宣布收购专注于ID领域的初创公司Distributed Systems。Coinbase将为自己的加密货币交易平台开发一个去中心化的登录系统,从而让用户保留自己的ID所有权。
Coinbase表示:去中心化ID会让你让你证明自己的身份、或者你和社会保障局的关系证明,而不需要复制那个身份。
通过这样的设置,像Cambridge Analytica这样的丑闻就不可能再发生,同时它还将赋予个体前所未有的权力,这样会使现在的巨头公司更尊重用户,因为他们手中不再握有人们的敏感数据了。
个人数据储存和控制在了一系列由零售商、营销公司、公用事业公司和数据报告公司等机构的中心化数据库中。如果要在网上购物,个人必需授权这些不同的机构来连接他们持有的信息片段才能进行交易。
然而,虽然个人用户目前依赖于数百家不同公司进行存储和传输的数据来获得对服务的访问权,但区块链技术的引入完全颠覆了这种平衡。
这只是区块链的一个应用场景,其实,使用区块链技术在确认身份数据方面还有很多额外的好处。
首先,它提高了隐私性,个人ID不会被那些需要验证的机构或组织泄露。
这是通过使用零知识证明(ZKPs)来实现的。ZKPs是一种加密方法,它可以在不真正共享证明索赔数据的情况下证明索赔。ZKPs由Sovrin公司实施,并计划由Civi、Verif-y和Blockpass等初创公司使用。通过使用ZKPs,这些公司将使身份验证的过程更简单、更高效,同时也为在区块链上存储生物识别身份提供了可能。在验证完我们的信息后,这些公司不需要存储身份数据,这反过来又消除了潜在的漏洞,因为这些机构通常会将他们收到的任何数据保存在一个中心化的数据库中。
虽然并非所有去中心化的ID平台都使用了ZKPs,但其他平台仍将使用功能类似的方法。例如,SelfKey使用了一种它所描述的“数据最小化”的技术,这种技术“允许身份所有者提供尽可能少的信息来满足第三方或验证者的要求”。这回避了开发诸如ZKPs等先进技术的需要,当然该技术也引发了人们对如何定义“最小化“的争议。SelfKey写道,“这样可以让人们只选择披露最少的信息。”但是,如果没有更准确的关于“最小”和“选择”的规范,可以想象ZKPs或者类似的功能可能最终会披露出更多的用户数据。
安全
除了提供更强大的用户控制和隐私外,基于区块链的身份验证平台要比中心化的平台更安全。这是因为数据信息会分布在多个节点中,它们不会像传统的身份系统(如政府数据库、社交网络)那样出现单点故障。虽然区块链上的一个或两个节点有可能会变得不活跃,但这不影响用户的使用,而加密技术可以防止任何敏感信息的泄露。
通过消除单点故障,去中心化的ID平台几乎不会被黑客攻破。攻击者将不得不逐个获取每个人的私钥,而不是一下子就能攻破一个中心化的数据库,因为后者将所有用户信息存储在一个位置上。
印度在过去一年的时间里多次遭到黑客攻击,印度政府希望将其AADHAAR数据库(世界上最大的生物特征识别系统,包含超过10亿人的记录)转变成区块链的形式。区块链的透明性和不可变性意味着用户能够看到他们的数据何时被访问,以及由谁访问,从而对任何潜在的黑客提供一定的威慑。类似地,这种透明性和不可变性只能在极端情况下才会被破坏,即一个作恶者假定控制了区块链节点的51%,这将在理论上允许它访问数据,然后删除非法访问的相应记录。
虽然在目前,AADHAAR并不是基于区块链的,同时迪拜政府在国际机场使用区块链身份的项目也仍在建设中。爱沙尼亚则有一个政府主导的ID系统,它使用的是分布式分类帐本技术(DLT)。它的KSI(无钥匙签名基础设施)区块链构成了各种电子服务的主干,包括电子健康记录系统、电子处方数据库、电子法律和电子法院系统、电子警察数据、电子银行、电子商务注册和电子土地注册。
同样,使用KSI区块链比以前的系统提供了更大的透明性,因为它可以检测用户数据何时被访问,何时被更改,在检测数据滥用方面,比传统平台也要快得多。
那些违规行为能够在基于区块链的身份系统上被迅速检测到,是由于它们是公开的并允许大范围专业人士的审查。
标准化和互操作性
现如今,世界上的数字身份系统都是相互分离的,这就迫使人们不得不在新的网站或者新的设备上不断创造出新的账户和数据。这导致了个人数据激增至危险水平,从而加大了使数据泄露和网络犯罪的可能性。例如,在2011年至2017年期间,仅在美国,身份盗窃的成本就达到了1060亿美元,而当时消费者平均拥有118个网络账户。
基于区块链的数字身份系统提供了一种解决方案。许多初创企业(包括Polkadot、Cosmos和Aion)正在构建互操作性平台,将独立的区块链连接在一起。它们通过实现一个能被所有其他需要身份验证的平台所接受的身份标准,来建议一个巨大的生态系统,这样就可以大大减少人们被迫产生的大量数据。相反,用户将使用一个基于区块链的ID来创建一个帐户,然后使用该ID向其他服务和系统进行注册。
区块链的互操作性仍然是一个新兴领域,不同的组织正在寻求不同的方法来实现它。
扩容问题
区块链身份系统可行性的最大问题是其可扩展性。根据其定义,身份服务应该能够为数百万人提供服务,因此,任何构成此类服务基础的区块链都必须具有极强的可扩展性。然而到目前为止,最受欢迎的去中心化应用程序区块链(DApps)——以太坊——在去年几乎被一款受欢迎的游戏CryptoKitties给弄崩溃了。这就是为什么上面提到的大多数平台并不是建立在任何一个最有名的区块链上,而是建立在专有账本上的原因,其中一些账本是不符合去中心化区块链的传统定义的。
例如:爱沙尼亚的KSI区块链并不是使用非对称密钥加密的成熟区块链,而是基于Merkle的分类账本。同时,Sovrin网络通过一组有限的“验证器节点”来达成共识,可以说这使得它不像其他区块链那样去中心化。
综上所述,这种权衡表明,如果一个身份平台想要提高可扩展性,那么它需要在某些方面减少去中心化——并且可能会因此变得更不安全。但从实际的角度来看,更重要的是重新定义什么是“区块链”,因为目前人们最熟悉的区块链无法胜任大规模保护和传送我们个人数据的任务。
既得利益者
这就是为什么即使是当前最先进的项目都在规划2020年以后的路线图,因为一个可行的身份平台需要新的分布式账本来平衡加密算法的透明性和个人隐私的需求。而且,即使上述任何一个平台在短时间内都能实现这一目标,它们也将面临另一个巨大的障碍:现有的既得利益者(包括Facebook等社交媒体巨头)以及各国政府的主导地位。
政府的倡议
例如,近年来,英国和澳大利亚政府在建立自己的中心化身份验证系统上投入了数百万美元,这使得它们不太可能轻易的让位于一些去中心化的替代方案。同样,Facebook想把自己改造成一个真正的去中心化平台(用户将个人数据保密)的举动将是不可想象的。因为Facebook通过将我们的数据卖给出价最高的竞标者,每年能获得数十亿美元的利润。它还被广泛用于用户的在线识别,因此它不太可能轻易放弃对区块链平台的主导地位。
也就是说,现在只有少数国家和州政府(如新加坡、伊利诺斯州)一直在试用基于区块链的身份系统。
公众情绪可能是这种改变的一个关键因素,在Facebook–Cambridge Analytica的丑闻之后,公众情绪已经发生了变化。
此外,即使区块链技术在加密货币领域之外仍未得到证实,只要它在隐私和安全方面显示出优于以往系统的优势,会开始赢得用户的信任。
评论
查看更多