首页 > 世链号 > 区块链可以防止个人数据泄露吗?
数链块  

区块链可以防止个人数据泄露吗?

摘要:不管政府或企业如何管理个人数据或者是他们的系统有多安全,个人数据泄露事件从未断过。

据最新新闻,Facebook 4.19亿帐号被泄露,如果你是24亿活跃用户之一,那么你的数据泄露概率约为17%。这意味着,除非有变,六分之一的活跃用户可能失去个人数据的控制权。不管政府或企业如何管理个人数据或者是他们的系统有多安全,个人数据泄露事件从未断过。但中心化存在哪些基本问题呢?我们如何从犯罪分子、贪婪的商人和腐败政府手中抢救数据呢?

泄露无法避免

在前两周发生的重大数据泄露事件--4.19亿Facebook帐户数据库泄露中,我们发现可以在网上下载泄露帐户清单,其中包含姓名、电话号码、性别和居住国等详细信息。而不久前,万事达卡官方公布向欧盟当局提供了大约90,000个帐户。

以前我住在乌克兰的时候,到银行申请信用卡,我问柜员为什么不要求我提供收入证明来设置我的信用额度。她说他们已经查过退休基金数据库。所有工资在达到一定的金额后必须由国家退休基金征税,所以他们在看到我所缴纳的税费后,可以算出我的收入。我当时想的是“这也太疯狂了”。“他们光明正大的使用被盗的含有国民个人数据的数据库。”

好在不用证明“任何人都无法保证个人数据安全”。有时候,个人隐私权会被忽略,而有时候,用户可能永远都不知道这些泄露事件(Edward Snowden说,感谢您的提示)。

究其原因,还是中心化所致。大型个人数据集群集中在服务供应商的服务器上,这让数据容易受到攻击。

区块链有何作用?

并没有一个明确的答案,但肯定可以起到一定的作用。我们需要从根本上去改变有关个人数据管理方式的一切。而这只能在区块链和政府合作的情况下才能实现。

在前几年,尝试以首次代币发行(ICO)为动力来“扰乱”数字ID产业。但我不想再提到任何ICO项目。有些项目很真诚,但如果要解决国家层面和全球层面的问题,还是显得太过稚嫩。

个人数据管理有两个新词DID,即“去中心化数字标识符”和可验证凭据(距标准一步之遥)。主权数字身份的新标准设计单位是数字身份基金(DIF)和万维网联盟(W3C)。W3C社区列出了一套一般概念、标准和方法大纲,旨在续写信息通讯技术的新篇章。

甚至是一些DID狂热者也不知道最近已被制定成原型的符合DID的方法。其概念如下:用户在本地设备上存储个人数据,但与国家管理的云注册机构限制部分访问的当前范式相矛盾。用户从来都不需要披露所有数据,而是仅披露部分,且仅合理时披露。采用默克尔树和存储在区块链上的数字签名根进行验证。服务供应商(web服务、政府等)不会存储个人数据,但可以随时联系你进行数字身份验证。Vareger的Mykhailo Tiutin提出了一种概念,其原理如下:首先,数据能够且必须存储在用户的设备上而非第三方服务器。很多情况下,数据甚至都不该离开用户的设备或不该披露,如需披露,机构仅收到规定所需的部分个人数据。

区块链

 基于默克尔树的部分个人数据披露方法
例如,你走进酒铺后,你和收银员都有预安装了身份验证服务的移动设备。美国法律禁止向21周岁以下的人售酒。从技术上来说,收银员不需要知道你的姓名、社会保险号甚至生日,只需要知道你的法定年龄是否超过21周岁。那么对于设计这个系统的工程师来说,“你超过21周岁了吗”这个问题只是0=否、1=是的布尔变量而已。

在设计这个系统之前,工程师需要了解一些东西:默克尔树,其中树叶是个人数据(姓名、身体、地址、照片等)的哈希,树根是信任服务提供商(TSP)签署的加密字符串。

信任提供商可以是政府(例如内政部)、银行或朋友,即双方共同信任的人。根和签名以及TSP的数字ID都存储在区块链上。

区块链

 部分披露的DID示例
那么上述商店里面的场景就应该如下:你拿出智能手机,打开身份验证APP,选择你想要收银员设备可以看到的数据。这时候已经有根、供应商数字签名、照片和“21周岁以上”的布尔,但没有姓名、没有地址、没有社会保险号。收银员可在自己的设备上看到验证结果、客户设备发过来的照片,然后核对照片是否经TSP认证。但是,因为你可能拿了别人的智能手机,所以收银员会确认屏幕上的照片是否与顾客自己的脸相匹配。除了根和签名外,没有数据存储在区块链上,一切信息都保存在你的智能手机上。当然,商家可能试图将你的照片保存在他们的设备上,这种情况我们稍后讨论。

这种方案的优点是有很多根采用了单独的TSP。例如,你可以有教育证明根,而教育机构是证明你的学分和毕业情况的提供商。同样的数据可以有多个信任供应商。例如,一个人的身份证明可在三个国家进行验证,但管理多个数字ID会造成很大的负担,因为你需要记住很多授权密码和方法。但有了DID,只需一个通用ID即可。

区块链一套拥有多个信任服务提供商的统一数字身份 
你还可以在社交媒体、论坛和在线商店上使用假名。可以是“猫咪”或仅仅是一个没有名字的ID,任何你想设置的都可以。假名可以通过零知识协议链接到TSP签名,也就是已经有身份已验证的数字证明,但是隐藏在web服务上。

区块链基于已验证数字身份的一套假名 
有很多身份保护方法和方案,但核心理念都是所有数据的控制权都属于自己。大部分情况下,你根本没有(通过零知识证明协议)披露自己的数据,而有时候仅需披露部分即可。

他们会存储你的数据吗?

W3C和很多狂热者努力研究DID和可验证凭证概念几年了,但不幸的是,我们还没有看到大量的采用,其中最大的阻碍就是政府。

区块链 个人数据的中心化存储vs.区块链上的去中心化身份方案
要实现大量的采用,首先需要实现两件事:

1.政府停止收集个人数据。

如上所述,没有人可以保证数据的安全,包括政府。如果某一天你的数据被泄露,但没有造成金钱损失,也没有威胁到生命安全,那么算你走运。

所以,首先,政府必须停止存储个人数据。将这一点落实到位是确保个人数据安全的唯一方法。这种说法会让“爱国”思想家大吃一惊,但DID和可验证凭证方法确保了解你的客户(KYC),但不会曝光个人数据。政府无须收集个人数据,除非是针对具有非法企图的人。

某些联邦级别的活动必须要有数字ID,例如注册公司、报税、选举。在这些情况下,ID验证后的确定性必须达到可接受程度。

2.新的隐私法规制定了高标准的个人数据存储和第三方罚款规定,存储的经济可行性更差了。

“PDPR”必须成为继《通用数据保护条例》(GDPR)之后的法规,其中“P”代表“个人”。美国和其他国家试图走出GDPR所带来的各种影响,但欧盟已经在讨论“个人数据保护条例”的概念。

实施该条例的关键点在于政治家必须有勇气采用最严格的的规定,施加可以实行的最高罚款。

这样做的唯一目的是:当任何公司、银行或公职人员想知道存储某个人数据是否是一个好想法时,他们需要认真考虑理由是否充足,因为我们知道个人数据采用中心化存储时,总有一天会不可避免地被泄露。

相反,要泄露存储在用户个人设备上的数据,障碍更多,因为相比5亿台独立设备,更容易从一台设备上盗取5亿个账户。

每个人都有权控制个人数据的公开程度,有权决定自己要分享的内容。因此,新的法规和技术一般都要求停止中心化存储个人数据。如果没有,那就只好接受现状,习惯数据不断被泄露的新闻。在使用任何服务提供商的任何服务时,点击“我同意”即可。



来源:AXEL_Network

 
免责声明
世链财经作为开放的信息发布平台,所有资讯仅代表作者个人观点,与世链财经无关。如文章、图片、音频或视频出现侵权、违规及其他不当言论,请提供相关材料,发送到:2785592653@qq.com。
风险提示:本站所提供的资讯不代表任何投资暗示。投资有风险,入市须谨慎。
世链粉丝群:提供最新热点新闻,空投糖果、红包等福利,微信:juu3644。