Facebook之后,我们需要区块链的身份信息系统

(作者简介:Kaliya Young是互联网身份信息研讨会和HumanFirst.Tech的创始人,也是区块链和身份信息系统领域的独立专家,长期为政府部门和创业公司提供咨询。) 数据分析公司Cambridge Analytics选举期间的丑闻被曝光后,掀起了一场“卸载Facebook”的运动,那么问题来了:“我们还有其它选择吗?” 这里的答案不是“其它社交平台”,而是另一个以人为本的、建立在开源标准之上的、足以承载新生态系统的新一代互联网基础设施。 Self-Sovereign Identity(自主权身份信息系统)可以让每个人重新把自己的数字身份信息的权益掌握到自己手中。换句话说,我们对自己的数字身份权益的掌控程度,应当与我们对自己身体的掌控程度一样高。这是因为一个事实,即作为人类,无论出生在什么地方,无论有什么特质,我们都有天生的尊严。 有了身份信息自主权,任何个人不依赖于第三方,如脸书,来为他们颁发一个身份标识。人们可以创建、拥有和控制他们自己的身份标识,并且掌控在什么情况下、与谁共享哪部分信息。 在目前的条件下,我们并不拥有和控制我们自己的身份标识。我们受制于另一方的条款,不管是一家公司(谷歌、脸书、领英、推特等)或是一个政府。这些社会的组成部分在身份信息系统的生态中是可以发挥其作用的,但新兴起的具有自主权的身份信息工具将改变现在权力不平衡的状态。大型企业或组织应当服务于民众,而不是民众服务于它们。 个人通过自己所控制的设备或服务,可以收集、存储、管理和披露自己的身份信息和个人数据,这是我整个职业生涯的努力方向和终极目标。下面我将解释一些关键性的技术突破,它们会共同促进身份信息自主权的实现,这些在五年前是不可想象的。 到目前为止,如果想在互联网上为自己创建身份标识,只能在分层命名空间中实现。 具体来说,在目前的私有命名空间中,你是处于公司服务条款管辖之下的。公司不需任何原因,可以随时终止你的数字身份,你还没有任何法律追索权。无论是谷歌的电邮地址、还是推特、脸书、领英、Instagram的账号,几乎所有网站,只要你创建了用户名和密码,你的身份就控制在对方的命名空间之下。 在这个层次之上,还有全球的命名空间。这个层次的命名空间也有很多。最常见的两种是:由互联网编号分配机构(IANA)管理的IP地址体系,和由互联网名称与数字地址分配机构(ICANN)管理的网站域名体系。这些体系一起形成了今天互联网的命名空间。 你可以从类似Godaddy这样公司手中购买一个域名,支付10到15美元一年,然后你就在全球域名系统中拥有了“命名空间”。这有点像你通过电话公司,在全球电话号码系统中租用一个号码。 在上面的例子中,公司实际上是在租用一个命名空间。如果公司付款逾期30天,或者下一年没有更新域名,这个的域名可能被其他人租用。最后,个人是在公司建立的命名空间里建立自己的身份标识。 与此相对应的另一条路径,是建立一个专门用来标识真人的全球性命名空间。 这条路径很合理,十多年前就出现过,但到目前为止还未能实现。一家原名叫OneName,后来改名叫Cordance的公司,曾经尝试在2006年与Neustar合作共同推出iNames系统。在2013年它们又将该系统的更名为CloudNames。然而时到今日,有没有形成良好的土壤,让真正的身份信息自主权得以生长呢? 达到这个目标首先需要面临的挑战,是要让身份标识在全网具有唯一性,可识别性和可解析性。 在互联网标准化联盟(W3C)的主持下开发的分布式身份标识(DID)规范是所有解决方案的基础。它奠定了DID的格式以及DID的描述体(DDO)的格式,这些文档包含了验证标识的所有权需要的一切元数据。分布式身份标识有很多种不同的类型和途径,但它们的描述体都遵循同样的基本框架。 下面的介绍比较偏技术,请原谅。DDO的包括: 我们现在拥有了创建全网唯一性身份标识的方法,可它们存储在哪里?人们又如何访问它呢? 分布式账本(又称为区块链)是实现这一切的伟大创新。网络上的计算机彼此保持同步,维护一个在无数台机器上复制的镜像账本和数据库。数据库中的条目会定期的(每隔一到十分钟,视具体情况而定)被加密并“封存”,使得它们几乎不可能被篡改。因此,当你创建一个分布式身份标识,并将其存储在区块链之上时,没有任何第三方可以将其删除,只有你或你的代理可以将其更新。 现在我们有了一个全网可解析的分布式命名空间,接下来,我们需要用密码学钥匙增加其安全性。 如何证明你拥有一个分布式身份标识(DID)呢?答案是老派的公钥设施(PKI)。 对外行人来说:公钥和私钥是在数学上相关的两组代码。公钥可以公之于众,而私钥应该保密,只有所有者可以使用它。假如说我想给你发一条只有你才能看到的信息,我就得用你的公钥、我的公钥和私钥,必须有这三条元素才能加密这条信息,并发送出去。然后,你必须有你的公钥和私钥、我的公钥,这三条元素才能解密这条信息。这是一切加密信息通道的基础架构。 现在,我们已经了解了如何在全网建立唯一的、有控制权和保障措施的数字身份标识。接下来,能否为我们与不同实体之间的关系各自建立唯一的身份标识呢? 在如今糟糕的身份信息体系中,你在多处使用相同的身份标识,因此有人可以将你所有活动联系在一起。 政府颁发的统一身份标识被到处使用,例如美国的社保号码或印度的Aadhaar号码,这里存在严重的隐私问题,也给系统制造了巨大的弱点。只要了解某人的个人信息,你就可以充当那个人采取行动。而收集这些个人信息易如反掌,姓名和出生日期是公开的,而社保号码也被广泛共享,无论是通过合法途径获得,还是通过黑市上拍卖黑客的战利品。 但是现在,用分布式身份标识(DID)基础设施,个人可以创建具有全网唯一性的身份标识,通过公钥机制(PKI),使个人和机构之间的安全信息通道成为可能。 假如说,你使用的银行的数据库遭到入侵,您的私钥暴露,那么只有这个帐户会受到影响。这个私钥在其它地方是没有用的——不像今天的社保号码。该银行还可以重新建立新的公钥和私钥和你安全连接。这种技术无法防止数据泄露,但它却降低了数据泄露的影响,因为每个不同关系都有各自独特的标识,而不是在多个地方使用相同的标识。 上面我已经介绍了平时用户接触不到的底层基础设施。接下来,我们来讲如何应用。 在我们的新系统中,每个人都有成百上千个独特的身份标识,用于与不同的人、应用程序和服务提供商连接。记住这么多不同的标识听起来像一场噩梦,但幸运的是,软件可以帮助我们管理这些密钥。将会有很多公司提供这类应用程序和云服务,个人也可以在不同的供应商之间选择。此外,人们仍然可以将数据管理权委托给信任的代理人——可能是青少年的父母、老年人的成年子女、或某人的律师或会计师。最终的控制权始终是在个人(或代理人)的手上。你可以更换服务提供商,就像我们从一家银行取回我们的钱,存到另一家银行一样。在这种环境设置中,我们赋予了人们以非常安全的方式管理许很多应用的能力。 在过去,任何信息的验证问题,都需要通过检验者与信息源联系,才能核对信息的真实性。 举个例子:你想去酒吧喝点酒,酒保一般都会看你的驾照,以及你驾照上的出生日期。但如果那是一张数字驾照呢?酒保就需要联系颁发证件的相关部门来确定证件上的信息是否属实。这恰恰是你不愿意看到的,因为如此一来,信息源就会知道你所有的行踪和动作。换句话说,就像有无数的天眼在监视着你。 而在另一种状况中,如果信息源的证明是存储在一个分布式的公共账本中的,那么检验者就可以在不联系信息源的情况下,确认信息的真实性。 这还不是最厉害的,接下来的技术让我们在验证信息的时候,又可以让信息不被看到。 如何证明信息的真实性,又不披露信息呢?回到上面的例子,如何证明你的年龄超过21岁,而又不披露你的生日(以及你证件上的其他信息,如姓名、地址等)呢?强大的密码学和数学工具可以帮你忙。 当你发出一份零知识证明(ZKP)信息时,检验者可以通过检验信息加密的编码方式,来验证信息的真实性。然后,你可以通过该证明,向对方披露你想披露的信息。在这种情况下,检验者验证了信息的真实性,但你的信息不用被完全披露,你的隐私得到了保护。 当所有这些技术汇集到一起时,一个具有自主权的身份信息体系(Self-sovereign identity)便成为了可能。请注意这个术语相对来说比较新,当我们15年前开始这条道路时,我们习惯称其为“以用户为中心的身份体系”。 这种开放标准的设施平台为新一代的互联网奠定了基础,类似Facebook这样的平台将成为过去。在这种新一代的互联网基础设施之上,人们将拥有对自己身份信息的控制权,并根据自己设定的条件连接到应用工具和服务商。下一代Facebook的替代方案,必定要建立在有身份信息自主权的基础设施之上。

原创文章,作者:davidfnck,如若转载,请注明出处:http://ipfshare.com/index.php/2018/04/22/facebook-alternative/