Twitter не был бы взломан, если бы он был поддержан технологией Blockchain

[Bit]

Недавний взлом Twitter показал, что централизованная инфраструктура все еще уязвима, но DID, SSI и блокчейны могут изменить парадигму.

Закон Мерфи гласит: «Все, что может пойти не так, пойдет не так». Это всегда происходит с централизованными службами. Год назад мы увидели, как полмиллиона учетных записей Facebook просочились в интернет, раскрывая личные данные. Мы увидим это во много раз больше с другими сервисами. Недавний взлом на Твиттере еще раз подчеркивает это. Учетные записи Элона Маска, Билла Гейтса, Джеффа Безоса, Канье Уэста, Ким Кардашьян, Майка Блумберга, Джо Байдена, Барака Обамы и других были взломаны, чтобы подтолкнуть мошенническое предложение с биткойнами ( BTC ).

В статье для BBC комментатор по кибербезопасности Джо Тиди высказал мнение: «Тот факт, что очень много разных пользователей были скомпрометированы одновременно, означает, что это проблема самой платформы Twitter». Все аккаунты были уязвимы; это был просто выбор для хакеров: использование знаменитостей лучше для «поддержки» мошенников.

Проблема заключается в том, что даже если Twitter или любой другой сервис с аналогичной архитектурой продолжит строить стены кибербезопасности вокруг своей системы, он станет более сложным и дорогим, но не более безопасным. Текущая парадигма централизованных сервисов не может предложить более безопасного решения для аутентификации пользователей.

Недавно я писал о новых технологиях, которые могут защитить данные и цифровую идентификацию, на примере Австралии и европейского опыта, а также о том, как сертификаты открытых ключей могут быть защищены с помощью технологии блокчейна от распределенного отказа в обслуживании и посредника атаки. Хотя мой анализ был довольно техническим и тщательным, возможно, было бы лучше сделать шаг назад и обдумать некоторые общие, но соответствующие детали, которые могут улучшить защиту данных.

Вот некоторая терминология, которую вы можете использовать, когда спрашиваете своего поставщика услуг, интернет-магазин или правительство о том, защищают ли они ваши личные данные:

• Децентрализованные идентификаторы или DID, являются общей структурой W3C с различными методами для создания и управления персональными идентификаторами децентрализованным способом. Другими словами, разработчикам онлайн-сервисов не нужно создавать что-то новое, если они хотят использовать потенциал децентрализованных технологий. Они могут использовать эти методы и протоколы.
• Протокол избирательного раскрытия или SDP, который был представлен в прошлом году на EOS Hackathon соучредителем Vareger Михаилом Тютиным и его командой, представляет собой децентрализованный метод хранения личных данных (с использованием DID) с криптографической защитой на блокчейне. С помощью SDP пользователь может раскрывать тщательно отобранные фрагменты информации в любой конкретной транзакции.
• Самостоятельная идентичность или SSI, - это концепция, которая, проще говоря, позволяет пользователям быть суверенными владельцами своих личных данных и идентичности, а не сторонними лицами. Это означает, что вы можете хранить личные данные на своем устройстве, а не на Твиттере или чьем-либо сервере. Чтобы проиллюстрировать всю мощь концепции SSI, подумайте о следующем утверждении: проще взломать одну централизованную систему, хранящую миллионы учетных записей, чем взломать миллионы персональных устройств. Но проблема гораздо глубже. Если мы когда-либо столкнемся с цифровой диктатурой, корень этой проблемы будет в отсутствии права контролировать и запрещать третьим лицам (включая правительство) хранить и использовать ваши личные данные. Страшный экспериментс уйгурами в Китае это тому пример. Граждане не имеют законного права отказать правительству в сборе их личных данных. Конечно, китайское правительство создало учетные записи без их согласия, чтобы получить записи о том, что оно считает неподобающим поведением.

Чтобы представить вещи в перспективе, давайте рассмотрим гипотетическую ситуацию.

Случай использования: Алиса и ее цифровая идентификация
Алиса генерирует свою криптографическую пару: закрытый и открытый ключ. Закрытый ключ шифрует транзакции, используя цифровую подпись; открытый ключ расшифровывает их. Открытый ключ используется для проверки того, вошла ли Алиса, подписала ли контракт, подписала ли транзакцию блокчейна и т. д.

Чтобы защитить закрытый ключ, она будет хранить его на защищенном аппаратном устройстве с защитой PIN-кодом, например, на смарт-карте, USB-токене аутентификации или аппаратном криптовалютном кошельке. Тем не менее, адрес криптовалюты является представлением открытого ключа, что означает, что Алиса может использовать его в качестве своего кошелька для монет и токенов.

Хотя открытый ключ является анонимным, она также может создавать подтвержденную цифровую идентификацию. Она может попросить Боба подтвердить ее личность. Боб является центром сертификации. Алиса навестит Боба и покажет свое удостоверение личности. Боб создаст сертификат и опубликует его в блокчейне. «Сертификат» - это файл, который объявляет широкой публике: «Открытый ключ Алисы действителен». Боб не будет публиковать его на своем сервере так, как это делают другие традиционные центры сертификации. Если централизованный сервер когда-либо был отключен во время DDoS-атаки, никто не сможет подтвердить, является ли цифровая идентификация Алисы действительной или нет, что может привести к тому, что кто-то украдет ее сертификат и подделает ее личность. Это было бы невозможно, если бы сертификат или хотя бы его хеш-сумма были опубликованы в сети.

С подтвержденным идентификатором она может выполнять официальные транзакции, например, регистрируя компанию. Если Алиса является предпринимателем, она может опубликовать свои контакты, например, номер телефона. Использование блокчейна - более безопасный выбор, потому что когда данные публикуются в социальных сетях, хакер может взломать учетную запись и заменить ее, чтобы перенаправить вызовы на другой номер. Ничего из этого не было бы возможно на блокчейне.

Если Алиса идет в винный магазин, она может использовать свой проверенный DID. Продавец, Дейв, будет использовать свое приложение для проверки и подтверждения DID Алисы вместо ее бумажного удостоверения личности. Алисе не нужно раскрывать свое имя и дату рождения. Она поделится с приложением Дейва своим идентификатором, который Боб сертифицировал, своей фотографией и заявлением «старше 21 года». Дейв доверяет этой записи, потому что Боб является центром сертификации.

Алиса может создавать различные псевдонимы для онлайн-покупок, социальных сетей и крипто-обменов. Если она потеряет свой закрытый ключ, она попросит Боба обновить его запись в блокчейне, чтобы объявить, что «открытый ключ Алисы недействителен». Поэтому, если кто-то украл его, каждый, кто взаимодействует с ее открытым ключом, будет знать, что он не должен верить транзакциям, подписанным с этим ключом.

Конечно, это упрощенный сценарий, но он не является нереальным. Более того, некоторые из этих процессов уже существуют. Например, эстонская карта e-Residency - это не более чем смарт-карта с закрытым ключом пользователя. С помощью этой карты вы можете удаленно зарегистрировать компанию в Эстонии или даже подписать контракт. Будучи интегрированными в более крупный рынок, эстонские цифровые подписи признаются во всем Европейском Союзе. К сожалению, его правительства до сих пор не защищают сертификаты на блокчейнах.

Знание - сила. Пользователи должны знать, что их кибербезопасность находится не только в их руках, как можно сказать. Гиганты в области программного обеспечения и социальных сетей должны внести свой вклад в улучшение стандартов безопасности, и пользователи должны требовать этого.


Автор:

Цитата:

Алексей Конашевич, является автором протокола кросс-блокчейна для правительственных баз данных: технология для публичных реестров и интеллектуальных законов. Алексей является кандидатом наук. Научный сотрудник Объединенной международной докторской программы в области права, науки и технологий, финансируемой правительством ЕС... В 2019 году Алексей участвовал в разработке законопроекта о борьбе с отмыванием денег и вопросах налогообложения криптоактивов в Украине.