信息化觀察網(wǎng)

上周，Twitter被黑事件再次向人們展示了中心化基礎(chǔ)架構(gòu)的脆弱性，而DID（去中心化身份）、SSI（自主身份）和區(qū)塊鏈可以改變這種模式。

正如墨菲定律所言，“任何可能出錯的地方都會出錯。”這種情況總是在中心化的服務(wù)中發(fā)生。1年前，我們剛剛見證了50萬個Facebook賬戶在網(wǎng)上泄漏，個人數(shù)據(jù)暴露無遺。最近，蓋茨、貝佐斯、馬斯克、拜登、奧巴馬等名人的Twitter賬戶被黑客攻擊發(fā)布詐騙鏈接再次凸顯了這一點。

網(wǎng)絡(luò)安全評論員Joe Tidy指出，“事實上，許多不同用戶同時遭到入侵，這意味著這是Twitter平臺本身的問題。”對于黑客來說，所有賬戶都是脆弱的，攻擊名人賬戶只是一個選擇性的問題，因為能夠更高效地進(jìn)行欺詐。

問題在于，即使Twitter或其他具有類似體系結(jié)構(gòu)的任何服務(wù)繼續(xù)在其系統(tǒng)周邊構(gòu)建網(wǎng)絡(luò)安全墻，也只會使之變得更復(fù)雜和昂貴，而依舊無法保證安全。從本質(zhì)上說，當(dāng)前的中心化服務(wù)模式無法為用戶的身份驗證提供更安全的解決方案。

目前，歐洲和澳洲已經(jīng)開始使用可以保護(hù)數(shù)據(jù)和數(shù)字身份的新技術(shù)，比如區(qū)塊鏈技術(shù)，它可以保護(hù)公鑰免受分布式拒絕服務(wù)和中間人的攻擊。

通常，在向服務(wù)提供商、在線商店或政府詢問有關(guān)是否保護(hù)用戶個人數(shù)據(jù)時，會涉及到以下術(shù)語：

DID（去中心化身份）是W3C的通用框架，可以用多種去中心化方式創(chuàng)建和管理個人識別碼。換句話說，在線服務(wù)的開發(fā)人員如果想利用去中心化技術(shù)的潛力，可以利用這些方法和協(xié)議，而無需創(chuàng)建新的東西。

SDP（選擇性披露協(xié)議）是由Vareger聯(lián)合創(chuàng)始人Mykhailo Tiutin及其團(tuán)隊在EOS 黑客馬拉松上提出的一種去中心化方法，用于在區(qū)塊鏈上存儲受加密保護(hù)的個人數(shù)據(jù)（使用DID）。通過SDP，用戶可以在任何特定交易中披露經(jīng)過精心選擇之后的信息。

SSI（自主身份）是一種概念，它允許用戶成為其個人數(shù)據(jù)和身份的主權(quán)所有者。這意味著用戶可以將個人數(shù)據(jù)存儲在設(shè)備上，而不是存儲在Twitter或其他公司的服務(wù)器上。SSI功能強大，畢竟，入侵?jǐn)?shù)百萬臺個人設(shè)備要比入侵一個存儲數(shù)百萬個賬戶的中心化系統(tǒng)困難得多。另外，如果缺乏控制和禁止第三方存儲和操作用戶個人數(shù)據(jù)的權(quán)利，人們最終將面臨數(shù)字壟斷統(tǒng)治，這不符合人類發(fā)展的目標(biāo)。

為了更直觀的了解這些概念，我們來討論一個假設(shè)的情況：Alice的數(shù)字身份。

Alice生成了私鑰和公鑰。私鑰使用數(shù)字簽名對交易進(jìn)行加密；公鑰用于驗證Alice是否已登錄、簽署了合同、簽署了區(qū)塊鏈交易等。

為了保護(hù)私鑰，Alice會將其存儲在具有PIN保護(hù)的安全硬件設(shè)備上，例如智能卡、USB認(rèn)證通證或硬件加密貨幣錢包等。同時，公鑰是加密貨幣地址，Alice可以將其用作其通證的錢包。

盡管公鑰是匿名的，但Alice可以創(chuàng)建經(jīng)過驗證的數(shù)字身份。她可以要求證書發(fā)布方Bob證明自己的身份。Alice需要訪問Bob并出示ID。Bob將創(chuàng)建證書并將其發(fā)布在區(qū)塊鏈上，“證書”向公眾證實“Alice的公鑰有效。” Bob不會像現(xiàn)在其他傳統(tǒng)證書認(rèn)證方那樣在其服務(wù)器上發(fā)布該文件。如果中心化服務(wù)器遭受DDoS攻擊并癱瘓，則沒人可以確認(rèn)Alice的數(shù)字身份是否有效，這可能導(dǎo)致其證書被竊取或者身份被偽造。如果證書是在區(qū)塊鏈上發(fā)布的，則不可能發(fā)生上述情況。

憑借已驗證的ID，Alice可以執(zhí)行正式交易，例如進(jìn)行公司注冊。如果Alice是企業(yè)家，那么她可能想發(fā)布自己的聯(lián)系方式，例如電話號碼等。使用區(qū)塊鏈?zhǔn)且环N更安全的選擇，因為當(dāng)數(shù)據(jù)在社交媒體上發(fā)布時，黑客可以入侵賬戶并將其聯(lián)系方式修改成另一個詐騙號碼。在區(qū)塊鏈上這是不可能發(fā)生的。

如果Alice去在線商店買酒，也可以使用已驗證的DID。商家將使用其應(yīng)用驗證并確認(rèn)Alice的DID，而不是其紙質(zhì)身份證。Alice不需要透露其姓名和生日。她將與商家的應(yīng)用程序共享Bob認(rèn)證的識別碼，代表其片和年齡。商家信任此記錄，因為Bob是證書認(rèn)證方。

Alice可以在社交媒體、在線購物網(wǎng)站和加密貨幣交易所上創(chuàng)建各種用戶名。如果她丟失了私鑰，可以要求Bob更新其在區(qū)塊鏈上的記錄，以宣布“Alice的公鑰無效”。因此，如果有人盜取了Alice的私鑰，那么與其公鑰進(jìn)行交互的每個人都會知道不應(yīng)相信使用此密鑰進(jìn)行的交易。

這雖然是一種簡化的情況，但并非不切實際。此外，其中一些過程已經(jīng)存在。例如，愛沙尼亞的電子居民卡就是帶有用戶私鑰的智能卡。用戶可以通過此卡在愛沙尼亞遠(yuǎn)程注冊公司，甚至簽訂合同。愛沙尼亞數(shù)字簽名已融入到更大的市場中，在整個歐盟范圍內(nèi)得到認(rèn)可。不過，可惜的是，愛沙尼亞政府仍未對區(qū)塊鏈上的證書進(jìn)行保護(hù)。

綜上，在黑客攻擊事件頻發(fā)的背景下，軟件和社交媒體巨頭應(yīng)該做出改變以提高安全標(biāo)準(zhǔn)，而用戶也應(yīng)該對巨頭們施加壓力，促進(jìn)新技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用。