信息化觀察網(wǎng)

2019年11月，安全公司Risk Based Security去年將違規(guī)行為稱為“有記錄的最差年份”，受影響的記錄接近80億條。第三方對(duì)個(gè)人數(shù)據(jù)的控制使隱私不再是給定的東西。

區(qū)塊鏈技術(shù)的出現(xiàn)似乎預(yù)示著數(shù)據(jù)安全的新時(shí)代。但是，隨著該技術(shù)在Internet上變得越來越普遍，人們對(duì)其安全存儲(chǔ)數(shù)據(jù)的能力提出了疑問。正如區(qū)塊鏈分析公司Chainalysis最近聲稱的那樣，原因在于完全的透明性可能不利于保密性。

從前的隱私

隨著人們的生活越來越數(shù)字化，數(shù)據(jù)保護(hù)和隱私問題變得至關(guān)重要。對(duì)于某些公司而言，在線采取的任何行動(dòng)都是點(diǎn)金礦。數(shù)據(jù)被收集并編譯到數(shù)據(jù)庫(kù)中，然后由瀏覽器和社交媒體巨頭出售或拍賣給出價(jià)最高的人。Brave瀏覽器的首席政策和產(chǎn)業(yè)關(guān)系官Johnny Ryan在2月21日接受Cointelegraph采訪時(shí)說：

“RTB（實(shí)時(shí)出價(jià)，一種在線廣告拍賣）是世界上最大的數(shù)據(jù)泄露事件。個(gè)人數(shù)據(jù)正在廣播給數(shù)千家公司。”

瑞安（Ryan）的話語與越來越多的數(shù)據(jù)泄露事件相呼應(yīng)，突顯了一個(gè)事實(shí)，即大多數(shù)現(xiàn)代商業(yè)模型都是基于用戶個(gè)人數(shù)據(jù)的收集和銷售，因?yàn)镃hrome之類的瀏覽器和Facebook之類的社交網(wǎng)絡(luò)會(huì)將數(shù)據(jù)出售給付費(fèi)者。

Facebook和多媒體設(shè)計(jì)平臺(tái)Canva是最著名的數(shù)據(jù)泄露者之一，2019年受影響的數(shù)據(jù)分別為5.4億和1.39億用戶。頂級(jí)企業(yè)家和億萬富翁也受到了影響，例如，亞馬遜首席執(zhí)行官Jeff Bezos在2018年使用WhatsApp時(shí)遭到黑客攻擊。

因?yàn)樗羌械?/strong>

統(tǒng)計(jì)數(shù)據(jù)表明，集中式公司泄漏用戶信息的頻率比人們想象的要多。為了方便起見，通常不理會(huì)數(shù)據(jù)安全性，因?yàn)楣驹V諸于Dropbox和Google Docs等第三方資源，其安全性經(jīng)常受到質(zhì)疑。

第三方公司收集的大多數(shù)數(shù)據(jù)都在具有多米諾效應(yīng)單點(diǎn)故障功能的集中式數(shù)據(jù)庫(kù)中。更糟糕的是，數(shù)據(jù)泄露要么未被發(fā)現(xiàn)，要么未被泄露。

最簡(jiǎn)單的檢查方法是在網(wǎng)站“我被打死”上輸入電子郵件，該電子郵件提供有關(guān)在網(wǎng)上找到用戶的個(gè)人身份信息的次數(shù)的統(tǒng)計(jì)信息。根據(jù)該網(wǎng)站的統(tǒng)計(jì)，違規(guī)帳戶總數(shù)已達(dá)到近95億。

區(qū)塊鏈?zhǔn)怯脩綦[私的靈丹妙藥嗎？

區(qū)塊鏈通常被認(rèn)為是面向機(jī)密性的，因此可以成為解決傳統(tǒng)存儲(chǔ)系統(tǒng)出現(xiàn)的問題的理想解決方案。例如，私有區(qū)塊鏈可以基于權(quán)限提供對(duì)數(shù)據(jù)的嚴(yán)格強(qiáng)制訪問。

提供了許多解決方案，例如同態(tài)加密，它允許對(duì)加密數(shù)據(jù)進(jìn)行計(jì)算而無需預(yù)先解密。這種方法最初是在麻省理工學(xué)院的Enigma網(wǎng)絡(luò)上使用的，該網(wǎng)絡(luò)將數(shù)據(jù)分為多個(gè)部分，對(duì)其進(jìn)行加密，然后將其隨機(jī)分配到網(wǎng)絡(luò)中的一小部分。沒有網(wǎng)絡(luò)節(jié)點(diǎn)可以讀取此數(shù)據(jù)，但是用戶可以對(duì)其解密。

這樣就保留了安全性和保密性，并且只有具有匹配解密密鑰和適當(dāng)憑據(jù)的用戶才被授予訪問權(quán)限。零知識(shí)證明和zk-SNARK等加密技術(shù)已經(jīng)使用了同態(tài)加密-Zcash（ZEC）是應(yīng)用此類技術(shù)的一個(gè)示例。

區(qū)塊鏈技術(shù)的精髓在于它消除了對(duì)第三方的需求，從而確保了更高的安全性。諸如分散式身份控制之類功能的引入預(yù)示著身份盜用的顯著減少。

例如，在2019年5月，Microsoft宣布打算使用分布式注冊(cè)表技術(shù)基于Microsoft Authenticator應(yīng)用程序創(chuàng)建一個(gè)名為Decentralized ID或DID的分散式身份識(shí)別系統(tǒng)。開發(fā)人員認(rèn)為，區(qū)塊鏈技術(shù)非常適合存儲(chǔ)個(gè)人信息，因?yàn)樗鼰o需同意使用私人數(shù)據(jù)。結(jié)果，用戶的身份將不會(huì)在社交媒體公司或在線商店等不同的服務(wù)提供商之間重復(fù)和分發(fā)。

同樣，三星的互聯(lián)網(wǎng)技術(shù)部門SDS最近將QEDIT的零知識(shí)證明集成到了面向企業(yè)的Nexledger區(qū)塊鏈中。SDS團(tuán)隊(duì)認(rèn)為，該集成將使其能夠?yàn)槭褂霉緟^(qū)塊鏈的各方提供記錄和驗(yàn)證共享賬本上的交易的信息，而不會(huì)泄露機(jī)密數(shù)據(jù)。

VoIP的開創(chuàng)者Jeff Pulver引入了存儲(chǔ)個(gè)人信息以保護(hù)用戶數(shù)據(jù)的原理。聯(lián)邦通訊委員會(huì)于2004年2月12日通過了《粉餅令》，使人們可以自由使用WhatsApp等通訊應(yīng)用。

在2018年，Pulver提供了使用基于區(qū)塊鏈的通信網(wǎng)絡(luò)的通信網(wǎng)絡(luò)，該網(wǎng)絡(luò)基于新的身份驗(yàn)證層和去中心化解決方案。據(jù)說這種稱為Debrief的新解決方案是可用于對(duì)等音頻和視頻呼叫，消息傳遞和分散文件存儲(chǔ)的最安全的業(yè)務(wù)通信網(wǎng)絡(luò)。該技術(shù)旨在不像Facebook或Zoom這樣的服務(wù)公開用戶的機(jī)密信息。

秘密在于分散的存儲(chǔ)系統(tǒng)和安全的區(qū)塊鏈身份驗(yàn)證協(xié)議，這是黑客無法滲透的。Pulver聲稱，一旦將Debrief的數(shù)據(jù)加密算法放在網(wǎng)絡(luò)上，便不允許對(duì)其進(jìn)行編輯或篡改。

網(wǎng)絡(luò)上的每個(gè)接收者都收到與實(shí)時(shí)輸入相同的信息。因此，為了使黑客篡改或編輯一個(gè)收件人計(jì)算機(jī)上的信息，網(wǎng)絡(luò)上的其他計(jì)算機(jī)將不得不驗(yàn)證更改，而他們永遠(yuǎn)不會(huì)這樣做。Pulver當(dāng)時(shí)解釋說：“通過避免集中控制，我們將消除等式中的薄弱環(huán)節(jié)-第三方。”

麻省理工學(xué)院發(fā)起的MedRec項(xiàng)目也追求類似的目標(biāo)，但在醫(yī)療保健行業(yè)中。該項(xiàng)目使用區(qū)塊鏈技術(shù)來實(shí)現(xiàn)患者和服務(wù)提供商之間醫(yī)療信息的安全交換。結(jié)果，患者可以保留對(duì)其個(gè)人數(shù)據(jù)的完全控制權(quán)，并授予服務(wù)提供商訪問權(quán)限，而不是相反。

MedRec已經(jīng)與研究合作伙伴進(jìn)行了一系列的試驗(yàn)測(cè)試，目前正在著手對(duì)該系統(tǒng)進(jìn)行微調(diào)。MedRec的使用可以減少醫(yī)療保健數(shù)據(jù)泄露，并促進(jìn)新的符合《健康保險(xiǎn)攜帶和責(zé)任法案》的電子健康記錄解決方案的開發(fā)。

通用汽車還支持區(qū)塊鏈技術(shù)。2018年，該公司為自動(dòng)駕駛汽車申請(qǐng)了專利，該專利將數(shù)據(jù)存儲(chǔ)在分布式分類帳中，并且可以與連接到該系統(tǒng)的其他車輛和實(shí)體共享數(shù)據(jù)，從而確保交通安全并符合運(yùn)輸行業(yè)的多項(xiàng)法規(guī)。

數(shù)據(jù)隱私與區(qū)塊鏈不同

Grant Thornton的數(shù)字取證和調(diào)查小組的合伙人Vijay Rathour與Cointelegraph談到了區(qū)塊鏈技術(shù)和數(shù)據(jù)安全性時(shí)，將該技術(shù)與玻璃制成的銀行金庫(kù)進(jìn)行了比較：“它們非常安全。它們是單向保險(xiǎn)庫(kù)-即，您可以將珍貴的物品放入其中，而不能取出。內(nèi)容可以被全世界看到。”

然而，根據(jù)拉特霍爾（Rathhour）的說法，即使在承認(rèn)所有這些特質(zhì)之后，也可以使用銀行金庫(kù)來存放血錢或被盜資產(chǎn)。簡(jiǎn)而言之，金庫(kù)的有效性并不意味著其內(nèi)部也很不錯(cuò)。Rathour進(jìn)一步解釋：

“[存儲(chǔ)在區(qū)塊鏈上的數(shù)據(jù)]是否適當(dāng)?shù)啬涿耍课蚁胱屛业淖o(hù)照在玻璃銀行金庫(kù)中對(duì)全世界可見嗎？不。但是我可能會(huì)喜歡將我的護(hù)照的加密版本安全地保存在此區(qū)塊鏈中的“云”中的好處。”

區(qū)塊鏈具有許多固有的優(yōu)勢(shì)，使其在隱私方面完美匹配，并且提供有用的數(shù)據(jù)保護(hù)功能，使其能夠符合通用數(shù)據(jù)保護(hù)法規(guī)。同時(shí)，還有其他方面使其不適用。

盡管不變性有利于數(shù)據(jù)隱私，但有兩個(gè)絆腳石：首先，不變性與信息存儲(chǔ)法沖突。其次，無法糾正區(qū)塊鏈上的錯(cuò)誤或不準(zhǔn)確性。在與Cointelegraph的對(duì)話中，奧地利政府網(wǎng)絡(luò)安全平臺(tái)主席Thomas Stubbings建議：

“的確，區(qū)塊鏈的關(guān)鍵特征是通過使其不可變來保護(hù)數(shù)據(jù)的完整性。但是，如果不再需要，不需要或更正數(shù)據(jù)，則該功能可能會(huì)成為問題。幾乎不可能將其刪除。這帶來了一種新的隱私問題。”

加密分析公司Chainalysis的聯(lián)合創(chuàng)始人兼首席戰(zhàn)略官喬納森·萊文（Jonathan Levin）最近表示，完全透明也不完全是天賜之物，因?yàn)閰^(qū)塊鏈技術(shù)可用于追蹤個(gè)人并將個(gè)人信息鏈接到他們。萊文告訴Cointelegraph：

“完全匿名和完全透明的兩個(gè)極端是糟糕的。完全匿名打開了非法活動(dòng)的大門……另一方面，完全透明意味著根本沒有隱私。”

紐約大學(xué)專業(yè)服務(wù)學(xué)院的合規(guī)專家兼兼職講師Teemu Alexander Puutio告訴Cointelegraph，有幾種方法可以從加密安全的分類賬中泄漏數(shù)據(jù)。他重申，比特幣（BTC）是匿名的，因此可以跟蹤和識(shí)別其用戶，并添加：

“例如，最近使用網(wǎng)絡(luò)流量分析來達(dá)到95％的識(shí)別準(zhǔn)確率，并且從理論上講簡(jiǎn)單的觀察方法和貝葉斯概率分析已使研究人員能夠在幾個(gè)月內(nèi)識(shí)別出數(shù)千個(gè)帳戶。由于存儲(chǔ)在區(qū)塊鏈上的數(shù)據(jù)通常是不可變的，并且至少在驗(yàn)證者網(wǎng)絡(luò)中完全公開，這一事實(shí)進(jìn)一步加劇了這些擔(dān)憂。

Puutio還提到了2019年1月發(fā)布的一項(xiàng)調(diào)查，該調(diào)查發(fā)現(xiàn)只有一小部分區(qū)塊鏈平臺(tái)能夠?qū)崿F(xiàn)高水平的數(shù)據(jù)安全性。

區(qū)塊鏈的基本特征之一-無法選擇性刪除信息-可能是一把雙刃劍。它的不利方面之一涉及以下事實(shí)：需要51％的大多數(shù)節(jié)點(diǎn)來編輯數(shù)據(jù)，這極大地簡(jiǎn)化了GDRP第17條規(guī)定的實(shí)施，該規(guī)定賦予了“被遺忘的權(quán)利”。

Stubbings告訴Cointelegraph，有一種稱為“區(qū)塊鏈中毒”的新威脅，它利用插入永遠(yuǎn)無法刪除的個(gè)人身份信息來使區(qū)塊鏈不符合GDPR。他說：

“這可能導(dǎo)致區(qū)塊鏈中最壞的情況變得無法使用……這個(gè)問題是很新的，甚至歐盟隱私專家也不清楚如何處理，尤其是因?yàn)闆]有人擁有公共區(qū)塊鏈，所以它只是許多節(jié)點(diǎn)。那么，誰負(fù)責(zé)？沒有人？每個(gè)擁有節(jié)點(diǎn)的人？這是一個(gè)棘手的問題，它可能阻礙（否則非常有前途的）區(qū)塊鏈作為一種有價(jià)值的安全工具的發(fā)展。”

最后，從GDPR的角度來看，數(shù)據(jù)一致性成為必須克服的主要障礙，以使區(qū)塊鏈技術(shù)成為可行的解決方案。

區(qū)塊鏈技術(shù)是好的，但是...

世界仍然是集中的，在少數(shù)操作員的控制下，數(shù)據(jù)可能會(huì)丟失。政府正在加緊制定法規(guī)，但是它們不足以確保用戶數(shù)據(jù)的安全性。Rathour告訴Cointelegraph，總結(jié)了區(qū)塊鏈技術(shù)在數(shù)據(jù)安全中的作用：

“區(qū)塊鏈?zhǔn)呛玫模欠胖?，保存和管理其中存?chǔ)的數(shù)據(jù)仍然存在藝術(shù)和科學(xué)。就像數(shù)據(jù)庫(kù)，云計(jì)算機(jī)和許多其他機(jī)械選項(xiàng)可供負(fù)責(zé)保存我們的數(shù)據(jù)的人使用。”

盡管需要分散數(shù)據(jù)存儲(chǔ)的大量用戶將使區(qū)塊鏈技術(shù)成為事實(shí)上的存儲(chǔ)介質(zhì)，但不變性因素使其無法符合GDPR要求。在成為多合一數(shù)據(jù)存儲(chǔ)解決方案之前，區(qū)塊鏈技術(shù)還有一段路要走。完全不變性和透明性是同一枚硬幣的兩個(gè)方面，并且硬幣仍在旋轉(zhuǎn)。

最后，如《安全性和隱私權(quán)》作者在《安全性與隱私權(quán)》一書的作者所建議的那樣，“開發(fā)輕量級(jí)的加密算法以及其他實(shí)用的安全性和隱私性方法，將是區(qū)塊鏈及其應(yīng)用程序未來發(fā)展中的關(guān)鍵啟用技術(shù)。”