Управление идентификацией в блокчейне: начало революции в области безопасности данных

От 3 миллиардов учетных записей электронной почты Yahoo, скомпрометированных в 2013 году, до кредитных и личных данных 143 миллионов американцев, украденных из кредитного бюро Equifax (и множества других атак), массовые утечки данных стали слишком привычными.

Частота и серьезность этих атак в сочетании с высоким уровнем безопасности их жертв и технологической сложностью вызвали как общественное возмущение, так и вопросы о том, возможна ли вообще достаточная защита от будущих взломов. Gemalto, международная компания по обеспечению безопасности данных, резюмировала это мнение в своем отчете об индексе уровня уязвимостей за первую половину 2017 года: «Все больше и больше организаций признают тот факт, что, несмотря на все их усилия, нарушения безопасности неизбежны».

В то время как криптовалюты и криптовалютные сети, такие как Биткойн и Эфириум, продолжают появляться в заголовках, будущие приложения технологии блокчейн могут в конечном итоге решить ряд пагубных проблем, которые затрагивают как бизнес, так и людей.

Некоторые видят многообещающее будущее решение этой проблемы в развитии технологии блокчейн. Как объясняется в недавней статье Toptal Insights, технология блокчейн относится к одноранговому распределенному неизменному реестру информации. Каждый «блок» информации содержит полную и точную запись каждой транзакции, которая не может быть изменена после проверки и защищена криптографически. Определяющей характеристикой этой технологии является ее распределенная одноранговая структура, которая теоретически устраняет необходимость в посредниках, таких как Yahoo или Equifax, для хранения данных. В то время как криптовалюты и криптовалютные сети, такие как Биткойн и Эфириум, продолжают появляться в заголовках, будущие приложения технологии блокчейн могут в конечном итоге решить ряд пагубных проблем, которые затрагивают как бизнес, так и людей.

Что касается защиты личных данных, некоторые утверждают, что технология блокчейна потенциально может устранить потребность в посредниках и позволить людям полностью контролировать свою цифровую личность, в то время как другие предполагают, что компании по-прежнему могут обрабатывать персональные данные, но использовать технологию блокчейн для доступа и проверки этих данных. без использования легко взламываемых серверов. В этой статье каждое из этих решений будет рассмотрено более подробно, с упором на один пример каждого подхода. При этом мы получим представление о подходе каждой компании, их проблемах и относительных достоинствах.

Проблема: централизация

Чтобы понять, как технология блокчейна может служить решением для управления идентификацией, важно сначала понять на базовом уровне, как проявляются недостатки в текущей системе.

Интернет изначально был разработан как одноранговая децентрализованная сеть соединений, что означает, что любой пользователь может общаться и подключаться к любому другому пользователю, не полагаясь на посредника. Однако по мере того, как Интернет становился все более приватизированным, появились сторонние посредники, которые стали играть более важную роль в структуре Интернета.

Серверы могут (и, как мы знаем, были) взломаны, а концентрация персональных данных в руках небольшой группы компаний увеличивает риск продолжения этих взломов.

Небольшая группа компаний получила контроль над всем: от выдачи сертификатов безопасности веб-сайтов до патрулирования доступа во всемирную паутину и курирования индивидуальных онлайн-идентификаций. Эта централизация контроля позволила этим компаниям накапливать огромные объемы личных данных, размещенных на серверах, от всех, кто использует Интернет. Эти серверы могут (и, как мы знаем, были) взломаны, а концентрация персональных данных в руках небольшой группы компаний увеличивает риск подобных взломов в будущем.

Управление идентификацией в блокчейне: теоретическое решение

Технология блокчейна обеспечивает потенциальное решение обозначенной проблемы, позволяя людям хранить данные в блокчейне, а не на серверах, которые можно взломать. Информация, однажды сохраненная в блокчейне, защищена криптографически и не может быть изменена или удалена, что делает массовые утечки данных очень трудными, если не теоретически невозможными.

Хотя хранение данных в блокчейне как общее решение высокого уровня кажется очевидным, существует несколько теоретических подходов к его реализации. Одна из стратегий заключается в том, чтобы устранить необходимость в посредниках, позволив людям хранить свои удостоверения и данные непосредственно в блокчейне, который пользователь всегда носит с собой в Интернете. Поскольку цифровые идентификаторы пользователей криптографически хранятся непосредственно в цепочке блоков в интернет-браузере, теоретически пользователям больше не нужно будет предоставлять конфиденциальные данные какой-либо третьей стороне. Другой подход заключается в том, чтобы позволить пользователям кодировать свои личные данные в блокчейне, к которому могут получить доступ третьи лица. Такой подход не устраняет полностью потребность в посредниках, а скорее устраняет необходимость для посредников хранить конфиденциальные личные данные непосредственно на своих серверах.

Ниже приведены два тематических исследования, посвященных этим стратегиям.

Blockstack: создание нового и улучшенного Интернета

В 2013 году Райан Ши и Муниб Али основали Blockstack (первоначально называвшееся приложением Onename). Используя технологию блокчейна, Blockstack стремится решить вышеупомянутые проблемы безопасности, устраняя необходимость в цифровых посредниках и позволяя людям сохранять полный контроль над своими данными. Вместо того, чтобы полагаться на внешние третьи стороны для хранения данных, люди могут использовать браузер Blockstack для запуска децентрализованных приложений, а информация о пользователях шифруется и хранится на личных устройствах пользователей.

Более широкую, фундаментальную миссию Blockstack легко определить, но вряд ли она может быть более амбициозной: создать новый децентрализованный интернет. Технический документ Blockstack начинается так: «Интернет был разработан 40 лет назад и показывает признаки старения». Blockstack стремится заменить то, что мы в настоящее время считаем Интернетом, системой, которая будет более безопасной и на самом деле более тесно связанной с тем, что изначально представляли себе разработчики Интернета.

«Интернет предшествовал тому, что мы называем сетью… и она была разработана с расчетом на децентрализацию», — говорит Ши. В недавней статье журнала New York Times Magazine дается полезное объяснение оригинальной архитектуры Интернета. Первоначально Интернет был разработан с использованием открытых протоколов — связь между компьютерами через Интернет была бесплатной и не принадлежала какому-либо централизованному органу.

Но, как описывает New York Times, архитекторы Интернета «не смогли включить некоторые ключевые элементы, которые позже окажутся критически важными для будущего онлайн-культуры». В частности, «они не создали безопасный открытый стандарт, устанавливающий личность человека в сети». Без встроенного в структуру Интернета механизма маркировки личности, эту пустоту заполнили частные компании.

«Даже оригинальные дизайнеры Интернета теперь согласны с тем, что они упустили некоторые ключевые моменты в базовой архитектуре. Большинство из этих вещей в основном вращаются вокруг безопасности».

По мере того, как определенные приложения, такие как Google и Facebook, позволяли людям устанавливать и сообщать о себе в Интернете и приобретали популярность, Интернет становился все более централизованным вокруг небольшой группы влиятельных игроков. Эта концентрация власти имела очевидные экономические последствия и, что наиболее важно для Blockstack, глубокое влияние на то, как личные данные хранятся, передаются и используются.

«Даже первые разработчики Интернета теперь согласны с тем, что они упустили некоторые ключевые моменты базовой архитектуры», — говорит Али. «Большинство из этих вещей в основном вращаются вокруг безопасности».

Blockstack исправляет вышеупомянутый недостаток дизайна оригинального Интернета, встраивая индивидуальную идентификацию непосредственно в браузер Blockstack, позволяя людям общаться напрямую без использования третьих лиц, таких как Facebook. С помощью своей децентрализованной системы идентификации, системы доменных имен и сети хранения Blockstack стремится предоставить людям полное право собственности на свой цифровой след. При этом теоретически в будущем можно будет избежать массовых централизованных утечек данных, поскольку больше не будет необходимости в хранении данных третьими сторонами или облегчении связи.

«За последние несколько лет было много нарушений, и со временем эти нарушения становились все более масштабными и серьезными», — говорит Ши. «В ближайшие годы мы увидим больше таких всплывающих на поверхность, и всем станет очень, очень ясно, что, как только вы позволяете данным выйти наружу, их нельзя положить обратно в коробку».

Технология Blockchain формирует основу продукта и видения Blockstack. Как описано в вышеупомянутом официальном документе, блокчейн «предоставляет среду хранения для операций и обеспечивает консенсус в отношении порядка, в котором операции были написаны». Blockstack специально использует Биткойн (сеть, а не валюту) в качестве базовой цепочки блоков, на которой построена остальная часть архитектуры Blockstack. Проще говоря, технология блокчейна позволяет интернету Blockstack оставаться децентрализованным и безопасным.

Тем не менее, как описано в официальном документе, ключевая проблема, с которой сталкивается Blockstack при использовании технологии блокчейна, — это риск того, что блокчейн может перейти под контроль одного лица — другими словами, что он может перейти от децентрализованного к централизованному.

Масштабирование сети Blockstack представляет собой еще одно препятствие. Действительно, успех нового Интернета Blockstack зависит от положительных сетевых эффектов — от того, сколько людей его использует и, в частности, от того, сколько приложений для него разработано. В настоящее время в сообществе Blockstack насчитывается около 15 000 разработчиков, и зарегистрировано более 76 000 доменных имен. В конечном итоге Blockstack потребуется гораздо более крупная экосистема для достижения заявленной цели.

Blockstack привлекла обычное венчурное финансирование и недавно завершила первичное размещение монет, при этом токены Blockstack на сумму 50 миллионов долларов были выделены аккредитованным инвесторам, а еще 50 миллионов долларов будут выделены неаккредитованным инвесторам, у которых есть возможность приобрести токены позднее. Хотя Blockstack все еще находится в зачаточном состоянии, он представляет собой потенциально революционное решение не только текущих проблем в области управления идентификацией и безопасностью, но и монополизированной структуры власти в современном Интернете.

Civic: Целевое решение для защиты личных данных

Civic, основанная в 2016 году, продвигает другое решение для управления идентификацией на основе блокчейна. Вместо того, чтобы устранять необходимость в третьих лицах и создавать совершенно новую интернет-экосистему, как стремится сделать Blockstack, Civic стремится работать в рамках существующей структуры и уделяет особое внимание управлению идентификацией и безопасности. С помощью технологии блокчейн Civic позволяет отдельным лицам и компаниям подтверждать свою личность без необходимости хранить эти данные на централизованных серверах с возможностью взлома.

Недавняя статья Forbes объясняет этот процесс. Сначала человек регистрируется в приложении Civic, которое проверяет личность пользователя с помощью официальных (например, правительственных) записей. Затем Civic криптографически шифрует эту информацию и сохраняет ее в блокчейне. Оттуда другие лица, запрашивающие такие личные данные, могут сверить информацию, которую предоставляет физическое лицо, с информацией в блокчейне Civic, что избавляет любую сторону от необходимости хранить конфиденциальные данные на централизованном сервере.

Винни Лингхэм, генеральный директор и соучредитель Civic, также объясняет этот процесс в своем блоге, где он часто пишет о криптовалюте и будущем технологии блокчейна:

«По сути, Civic проверяет вашу личную информацию и личность, сохраняет ее на вашем мобильном телефоне, и только вы можете видеть или использовать эту информацию. Он никогда не хранится на наших серверах! Это означает, что если Civic когда-нибудь взломают, ваша информация никогда не будет раскрыта, потому что у нас ее просто нет».

Civic сталкивается со многими из тех же препятствий, что и Blockstack: его блокчейн может в конечном итоге потерпеть неудачу, и его успех зависит от принятия пользователями. Но какой подход более перспективен?

Некоторые могут предпочесть решение, предложенное Blockstack, поскольку чрезвычайно амбициозная цель создания совершенно нового Интернета имеет глубокие последствия далеко за пределами области безопасности или управления идентификацией. Blockstack предлагает элегантное решение многих самых насущных проблем в Интернете. Его подход может коренным образом изменить экономику Интернета и способ виртуального взаимодействия людей.

Но относительно ограниченный, целенаправленный охват цели Civic может быть таким же или даже более привлекательным для других. Civic не стремится полностью изменить или заменить архитектуру Интернета. Избегая этой цели и вместо этого сосредотачиваясь на конкретной проблеме управления идентификацией — сложной и амбициозной проблеме самой по себе, но более узкой, чем создание нового Интернета, — некоторые могут утверждать, что у Civic больше шансов успешно выполнить то, что у нее есть. вознамерился сделать.

Рост и развитие этого пространства — и сам факт существования этих потенциальных решений — должны вселить в тех из нас, кто заботится о безопасности наших личных данных, чувство надежды на лучшее будущее в сфере защиты личных данных.

Вопрос о том, какой подход в конечном итоге окажется более успешным, остается нерешенным. Тем не менее, рост и развитие этого пространства — и сам факт существования этих потенциальных решений — должен дать тем из нас, кто обеспокоен безопасностью наших личных данных, надежду на лучшее будущее в области защиты личных данных.

Важность токенов

Blockstack и Civic предлагают решения для управления идентификацией, основанные на использовании технологии блокчейн для децентрализации и защиты личных данных. Они также используют токены (собственные криптовалюты) для подпитки и стимулирования использования своих платформ. В случае Blockstack разработчики используют токены при создании приложений в сети Blockstack, а пользователи используют токены при регистрации имен пользователей Blockstack. Что касается Civic, пользователи могут получать токены за использование приложения Civic.

Эти токены служили источником финансирования для каждого предприятия: на данный момент 50 миллионов долларов для Blockstack (доступ к ним будет получен после достижения ряда вех роста) и 33 миллиона долларов для Civic. Но поскольку регулирующие органы и целые страны принимают жесткие меры в отношении торговли криптовалютами, полное влияние на такие проекты, как Blockstack и Civic, остается открытым вопросом.

Как отметил Муниб Али в интервью в декабре 2017 года, Комиссия по ценным бумагам и биржам (SEC) в основном оставалась в стороне во время недавнего ажиотажа вокруг криптовалюты: «Я действительно чувствую, что SEC очень умно подходит к этому вопросу… они просто активно наблюдают за , и до сих пор все шаги, которые они предприняли… на самом деле кажутся правильными», — сказал Али.

Тем не менее, нормативно-правовая среда остается неопределенной, и возможность того, что токены могут не продаваться так свободно в будущем, вырисовывается как потенциальный риск, который не следует игнорировать для таких предприятий, как Blockstack и Civic.

Тем не менее, этот риск не должен препятствовать изучению управления идентификацией на основе блокчейна. Конечно, важно отметить, что технология блокчейн не является панацеей. Действительно, как сказал Али в ранее упомянутом интервью, технология блокчейна очень хорошо работает в некоторых типах приложений и может быть совершенно неуместной в других. Безопасность данных и управление идентификацией представляют собой варианты использования, хорошо подходящие для этой технологии, и области, остро нуждающиеся в улучшении в будущем.