區塊鏈身份管理：引發數據安全革命

從 2013 年洩露的 30 億個雅虎電子郵件帳戶到 1.43 億美國人從 Equifax 徵信機構竊取的信用和身份數據（以及無數其他攻擊），大規模數據洩露已經變得再熟悉不過了。

這些攻擊的頻率和嚴重程度，加上受害者的高水平安全性和技術複雜性，引發了公眾的憤怒和質疑，是否有可能對未來的違規行為提供足夠的保護。 國際數據安全公司金雅拓在其 2017 年上半年的漏洞級別指數報告中總結了這一觀點：“越來越多的組織正在接受這樣一個事實，即儘管盡了最大的努力，但安全漏洞是不可避免的。”

雖然比特幣和以太坊等加密貨幣和加密貨幣網絡繼續成為頭條新聞，但區塊鏈技術的未來應用可能最終解決一系列影響企業和個人的有害問題。

隨著區塊鏈技術的興起，一些人已經看到了解決這個問題的有希望的未來解決方案。 正如 Toptal Insights 最近的一篇文章所解釋的，區塊鏈技術是指點對點分佈式、不可變的信息分類帳。 每個信息“塊”都包含每筆交易的完整準確記錄，一旦驗證就無法更改，並且受到加密保護。 該技術的一個決定性特徵是其分佈式的點對點結構，從理論上講，它不需要像 Yahoo 或 Equifax 這樣的中介來存儲數據。 雖然比特幣和以太坊等加密貨幣和加密貨幣網絡繼續成為頭條新聞，但區塊鏈技術的未來應用可能最終解決一系列影響企業和個人的有害問題。

關於身份保護，一些人認為區塊鏈技術可以潛在地消除對中介的需求，並允許個人完全控制他們的數字身份，而另一些人則認為公司仍然可以處理個人數據，但使用區塊鏈技術來訪問和驗證這些數據無需使用容易被黑客入侵的服務器。 本文將更深入地探討這些解決方案中的每一個，重點介紹每種方法的一個示例。 在此過程中，我們將了解每家公司所採用的方法、它們面臨的挑戰以及它們的相對優點。

問題：集中化

要了解區塊鏈技術如何用作身份管理解決方案，首先要從基本層面了解當前系統的弱點是如何表現出來的，這一點很重要。

互聯網最初被設計為點對點、分散的連接網絡，這意味著任何用戶都可以在不依賴中介的情況下與任何其他用戶進行通信和連接。 然而，隨著互聯網變得越來越私有化，第三方中介出現並成為互聯網結構的基礎。

服務器可能（並且，正如我們所知，已經）被黑客入侵，而個人數據集中在一小部分公司手中會增加這些違規行為繼續發生的風險。

一小部分公司控制了從頒發網站安全證書到巡查萬維網訪問到管理個人在線身份的所有事情。 這種集中控制使這些公司能夠從每個使用互聯網的人那裡收集大量的個人數據，這些數據位於服務器上。 這些服務器可能（而且，正如我們所知，已經）被黑客入侵，而個人數據集中在一小部分公司手中會增加未來發生此類類似違規行為的風險。

區塊鏈身份管理：一種理論解決方案

區塊鏈技術通過使人們能夠將數據存儲在區塊鏈上而不是可破解的服務器上，為所概述的問題提供了潛在的解決方案。 信息一旦存儲在區塊鏈上，就會受到加密保護，無法更改或刪除，因此即使理論上不可能，也很難造成大規模數據洩露。

雖然將數據存儲在區塊鏈上作為一種通用的高級解決方案似乎很清楚，但實現它有多種理論方法。 一種策略是通過使個人能夠將他們的身份和數據直接存儲在用戶在線隨身攜帶的區塊鏈上，從而消除對中介的需求。 由於用戶的數字身份以加密方式直接存儲在互聯網瀏覽器的區塊鏈上，理論上用戶不再需要向任何第三方提供敏感數據。 另一種方法是允許用戶將他們的個人數據編碼到第三方可以訪問的區塊鏈上。 這種方法並沒有完全消除對中介的需求，而是消除了中介將敏感個人數據直接存儲在其服務器上的需求。

以下是兩個突出這些策略的案例研究。

Blockstack：構建一個新的和改進的互聯網

2013 年，Ryan Shea 和 Muneeb Ali 創立了 Blockstack（最初稱為 Onename 應用程序）。 使用區塊鏈技術，Blockstack 旨在通過消除對數字中介的需求並允許個人保留對其數據的完全控制來解決上述安全挑戰。 個人可以不用依賴外部第三方來存儲數據，而是可以使用 Blockstack 的瀏覽器來運行去中心化的應用程序，用戶信息被加密並存放在用戶的個人設備上。

Blockstack 更廣泛、更基本的使命很容易定義，但雄心勃勃：創建一個新的、去中心化的互聯網。 在 Blockstack 的技術白皮書開始時，“互聯網是 40 年前設計的，並且正在顯示出老化的跡象。” Blockstack 旨在用一個更安全且實際上更接近互聯網設計者最初設想的系統來取代我們目前所認為的互聯網。

“互聯網早於我們所說的網絡……而那是為了去中心化而設計的，”Shea 說。 《紐約時報》雜誌最近的一篇文章對互聯網的原始架構提供了有用的解釋。 互聯網最初是使用開放協議設計的——計算機之間通過互聯網進行的通信是免費的，不屬於任何中心化機構。

但正如《紐約時報》所描述的，互聯網的架構師“未能包含一些後來被證明對網絡文化的未來至關重要的關鍵元素。” 特別是，“他們沒有創建在網絡上建立人類身份的安全開放標準。” 由於沒有在互聯網結構中內置標記個人身份的機制，私營公司介入以填補這一空白。

“即使是互聯網的最初設計者現在也同意他們錯過了核心架構中的某些關鍵內容。 大多數這些事情基本上都圍繞著安全。”

隨著某些應用程序（例如 Google 和 Facebook）使人們能夠在線建立和交流個人身份並獲得普及，互聯網變得越來越集中在一小群強大的參與者周圍。 這種權力集中已經產生了明顯的經濟影響，並且與 Blockstack 最相關的是，對個人數據的存儲、傳輸和使用方式產生了深遠的影響。

“即使是互聯網的最初設計者現在也同意他們錯過了核心架構中的某些關鍵內容，”阿里說。 “這些事情中的大部分基本上都圍繞著安全。”

Blockstack 通過將個人身份直接構建到 Blockstack 瀏覽器中來修復原始互聯網的上述設計缺陷，允許人們直接通信而無需使用第三方，例如 Facebook。 通過其去中心化身份系統、域名系統和存儲網絡，Blockstack 旨在讓人們對其數字足跡擁有完全的所有權。 這樣做，理論上可以在未來避免大規模的集中式數據洩露，因為不再需要第三方存儲數據或促進通信。

“在過去的幾年裡，發生了許多違規行為，隨著時間的推移，這些違規行為變得越來越大，越來越嚴重，”Shea 說。 “在接下來的幾年裡，我們會看到更多這樣的東西，每個人都會非常非常清楚地知道，一旦你允許數據流出，它就不能放回盒子裡。”

區塊鏈技術構成了 Blockstack 產品和願景的基礎。 如上述白皮書所述，區塊鏈“為操作提供存儲介質，並就操作的編寫順序達成共識”。 Blockstack 專門使用比特幣（網絡，而不是貨幣）作為其底層區塊鏈，Blockstack 架構的其餘部分都在此基礎上構建。 簡而言之，區塊鏈技術使 Blockstack 的互聯網能夠保持去中心化和安全。

然而，正如白皮書中所描述的，Blockstack 在使用區塊鏈技術時面臨的一個關鍵挑戰是區塊鏈可能會受到單個實體的控制——換句話說，它可能會從去中心化變為中心化。

擴展 Blockstack 網絡是另一個障礙。 事實上，Blockstack 新互聯網的成功取決於積極的網絡效應——有多少人使用它，更具體地說，有多少應用程序為它開發。 目前，Blockstack 社區有近 15,000 名開發者，註冊域名超過 76,000 個。 Blockstack 最終將需要一個更大的生態系統來實現其既定目標。

Blockstack 已經籌集了傳統的風險投資資金，並且最近完成了其首次代幣發行，其中 5000 萬美元的 Blockstack 代幣分配給了合格的投資者，另外 5000 萬美元將分配給可以選擇在以後購買代幣的非合格投資者。 雖然仍處於相對起步階段，但 Blockstack 提出了一種潛在的革命性解決方案，不僅可以解決當前身份管理和安全方面的問題，還可以解決當前互聯網的壟斷權力結構。

Civic：有針對性的身份保護解決方案

Civic 成立於 2016 年，推出了一種不同的基於區塊鏈的身份管理解決方案。 Civic 並沒有像 Blockstack 的目標那樣消除對第三方的需求並創建一個全新的互聯網生態系統，而是尋求在現有框架內工作，並特別關注身份管理和安全性。 通過區塊鏈技術，Civic 使個人和公司能夠驗證他們的身份，而無需將這些數據存儲在集中的、可破壞的服務器上。

福布斯最近的一篇文章解釋了這個過程。 個人首先註冊 Civic 的應用程序，該應用程序通過官方（例如政府）記錄驗證用戶的身份。 Civic 然後對這些信息進行加密加密並將其存儲在區塊鏈上。 從那裡，請求此類個人數據的其他實體可以根據 Civic 區塊鏈上的信息驗證個人提供的信息，從而避免任何一方將敏感數據存儲在集中式服務器上。

Civic 的首席執行官兼聯合創始人 Vinny Lingham 也在他的博客上解釋了這一過程，他經常在博客中寫到關於加密貨幣和區塊鏈技術的未來：

“基本上，思域會驗證您的個人信息和身份，將其存儲在您的手機上，並且只有您可以查看或使用該信息。 它永遠不會存儲在我們的服務器上！ 這意味著，如果 Civic 被黑客入侵，您的信息將永遠不會被洩露，因為我們只是沒有它。”

Civic 面臨許多與 Blockstack 相同的障礙：其區塊鏈最終可能會失敗，其成功取決於用戶的採用。 但哪種方法更有希望？

有些人可能更喜歡 Blockstack 提出的解決方案，因為創建一個全新的互聯網這一雄心勃勃的目標所產生的深遠影響遠遠超出了安全或身份管理領域。 Blockstack 為許多互聯網上最緊迫的問題提供了一個優雅的解決方案。 它的方法有可能從根本上重新定義互聯網的經濟學和人們虛擬互動的方式。

但思域目標的相對有限、有針對性的範圍可能對其他人具有相同或更多的吸引力。 Civic 的目標不是完全改變或取代互聯網的架構。 避開這個目標，轉而專注於身份管理的具體問題——這本身就是一個複雜、雄心勃勃的問題，但比創建一個新的互聯網要窄——有些人可能會爭辯說 Civic 有更好的機會成功完成它所擁有的著手去做。

這個空間的增長和發展——以及這些潛在解決方案的存在這一事實——應該為我們這些關心我們的私人數據安全的人提供一種對身份保護更美好未來的希望。

哪種方法最終會更成功的問題仍未解決。 儘管如此，這個領域的增長和發展——以及這些潛在解決方案的存在這一事實——應該為我們這些關心我們的私人數據安全的人提供一種對身份保護更美好未來的希望。

代幣的重要性

Blockstack 和 Civic 各自提供基於使用區塊鏈技術來分散和保護個人數據的身份管理解決方案。 他們還都使用代幣（他們自己的加密貨幣）來推動和激勵他們平台的使用。 在 Blockstack 的案例中，開發人員在 Blockstack 網絡上構建應用程序時會使用令牌，而用戶在註冊 Blockstack 用戶名時會使用令牌。 對於思域，用戶可以獲得使用思域應用程序的代幣。

這些代幣已成為每家企業的資金來源——迄今為止，Blockstack 獲得了 5000 萬美元（一旦達到一系列增長里程碑即可獲得），Civic 獲得了 3300 萬美元。 但隨著監管機構和整個國家打擊加密貨幣交易，對 Blockstack 和 Civic 等項目的全面影響仍然是一個懸而未決的問題。

正如 Muneeb Ali 在 2017 年 12 月的一次採訪中指出的那樣，在最近的加密貨幣狂熱期間，美國證券交易委員會 (SEC) 在很大程度上保持觀望：“我實際上覺得 SEC 在這個領域非常聰明……他們只是在積極地觀察，到目前為止，他們採取的所有步驟……實際上似乎是正確的做法，”阿里說。

儘管如此，監管環境仍然不確定，代幣在未來可能無法自由交易的可能性迫在眉睫，成為 Blockstack 和 Civic 等企業不應忽視的潛在風險。

儘管如此，這種風險不應阻礙基於區塊鏈的身份管理的探索。 當然，重要的是要注意區塊鏈技術不是靈丹妙藥。 事實上，正如阿里在前面提到的採訪中所說，區塊鏈技術在某些類型的應用程序中運行良好，而在其他應用程序中可能完全不合適。 數據安全和身份管理代表了非常適合該技術的用例和急需改進的領域。