Ang Mga Pasaporte ng Immunity na Nakabatay sa Blockchain ay T Lutasin ang Mga CORE Isyu sa Privacy : Ulat

Ang mga kasalukuyang desentralisadong pamantayan ng digital na pagkakakilanlan ay madaling makompromiso at walang Privacy sa kanilang CORE: Ito ang pangunahing argumentong ibinibigay ng isang bagong papel iniharap ni Harry Halpin, isang visiting professor sa research university KU Leuven, sa Mozilla-hosted Security Standardization Research Conference (SSR20).

Ang mga panukala para sa mga pasaporte ng bakuna o kaligtasan sa sakit, na mag-uugnay sa mga paggalaw ng isang tao sa kanilang katayuan ng kaligtasan sa COVID-19, ay muling lumitaw na may mga magagandang balita tungkol sa mga bakuna. Ang International Air Transport Association (IATA) inihayag ito ay "nasa huling yugto ng pag-unlad" ng isang digital passport app na tatanggap at magbe-verify kung may nakatanggap ng bakuna sa COVID-19. Ang app ay sinasabing gumamit ng blockchain Technology upang patotohanan ang data nang hindi nag-iimbak sa isang sentralisadong paraan. Samantala, ang World Health Organization ay tumitingin sa posibleng "mga sertipiko ng e-bakuna" para sa paglalakbay.

"Ang mga sistema ng pagkakakilanlan batay sa mga pandaigdigang natatanging identifier ay likas na laban sa Privacy, at ang paglalagay sa kanila sa isang blockchain ay hindi nagbabago sa pangunahing dichotomy na ito," sabi ni Halpin, ang may-akda ng papel na "Vision: A Critique of Immunity Passports and W3C Decentralized Identifiers" at ang CEO ng NYM, isang Privacy startup na bumubuo ng isang mixnet.

"Sa katunayan, ang paglalagay ng data na ito sa isang blockchain ay may posibilidad na lumala ang mga problema sa Privacy , at hindi malinaw na ang pagwagayway ng kamay tungkol sa mga zero-knowledge proofs ay talagang nagbabago sa sitwasyon."

Mga pasaporte ng bakuna o kaligtasan sa sakit

Ang ideya ng mga pasaporte ng kaligtasan sa sakit ay nasa loob ng maraming buwan. Ang ideya ay kung ang isang tao ay may COVID-19, sila ay magiging immune sa loob ng isang yugto ng panahon at maaaring ma-verify ang kanilang katayuan sa digital na paraan. Ang mga alalahanin sa naturang mga panukala ay napakarami, kabilang ang mga paraan ng pag-imbak ng naturang sensitibong impormasyon, kung paano ito nabe-verify at kung paano ito nababawasan o nakakaapekto sa mga karapatan ng mga tao.

Ang mga bansa tulad ng Chile at El Salvador, sa katunayan, ay nagsagawa ng mga naturang hakbang. Halimbawa, ang mga pass ng Chile ay hindi kasama quarantine ang mga naka-recover mula sa COVID-19 o nagpositibo sa pagkakaroon ng antibodies, na hinahayaan silang bumalik sa trabaho, ayon sa ang Washington Post. Maaaring mag-aplay ang mga residente ng Chile para sa mga pasaporte na ito kung T sila nagpakita ng mga sintomas para sa sakit at handa silang magpasuri.

Ang ID2020 Alliance, isang pampublikong-pribadong pakikipagsosyo sa mga kasosyo kabilang ang Microsoft, Accenture at Hyperledger, ay mayroon na nagsimulang mag-certify ilang panukalang ID bilang isang “magandang ID” na iaalok sa mga pamahalaan. Ang sertipikasyon ay nangangahulugan na ang Technology ay sumusunod sa 41 teknikal na mga kinakailangan inilagay sa pamamagitan ng ID2020.

Read More: Ipinaliwanag ang Immunity Pass: Dapat ba Tayong Mag-alala Tungkol sa Privacy?

Ang COVID-19 Credentials Initiative (CCI) ay isa pang grupo na binubuo ng higit sa 300 katao mula sa 100 organisasyon na naghahanap na "mag-deploy at/o tumulong sa pag-deploy ng mga nabe-verify na proyektong kredensyal na nagpapanatili ng privacy upang mabawasan ang pagkalat ng COVID-19 at palakasin ang ating mga lipunan at ekonomiya." Ang proyekto LOOKS ng mga pagkakataon kung saan ang Verifiable Credentials (VCs), ang digital na katumbas ng lisensya sa pagmamaneho, ay maaaring gamitin upang tugunan ang pampublikong krisis sa kalusugan. Sa kanilang puso, ipinapakita ng mga VC ang pinakamababang halaga ng impormasyon na maaaring kailanganin ng isang entity upang payagan sila, halimbawa, ng access sa isang workspace sa gitna ng pandemya, habang nililimitahan kung aling iba pang mga uri ng impormasyon ang ibinabahagi.

Ang mga bakuna ay nagpapakita ng parehong bagong pagkakataon pati na rin ang mga bagong tanong tungkol sa data Privacy at sensitivity pagdating sa anumang anyo ng pass. Ngunit tulad ng sinabi ni Halpin sa papel, "ang pinakatanyag na mga scheme ng pasaporte ng kaligtasan sa sakit ay nagsasangkot ng isang stack ng hindi kilalang mga pamantayan, tulad ng Decentralized Identifiers (DIDs) at Verifiable Credentials (VCs) mula sa World Wide Web Consortium (W3C)."

Sinabi ni Halpin na ang mga kredensyal ng kaligtasan sa sakit ay "posibleng mapanganib dahil ang mga may hawak ng kredensyal ng kaligtasan sa sakit ay maaaring maging isang 'elite ng kaligtasan sa sakit' na may mas mataas na stratification ng lipunan mula sa mga walang mga sertipiko, lumalabag sa mga umiiral na batas sa diskriminasyon sa maraming bansa."

Halimbawa, hindi mahirap isipin na ang mga mayayamang populasyon ang unang makaka-access ng mga bagong aprubadong bakuna, makatanggap ng mga pasaporte o sertipiko ng kaligtasan sa sakit, at samakatuwid ay nakakakuha ng access sa paglalakbay, trabaho at iba pang benepisyong matatanggap nito.

Mga Desentralisadong Identifier, Mga Nabe-verify na Kredensyal at W3C

Inilatag ng World Wide Web Consortium (W3C), isang membership-driven standards body, ang mga pamantayan para sa mga DID at VC, kung saan nakabatay ang marami sa mga panukalang ito sa pagpapanatili ng privacy. Ang katawan ay kilala rin para sa mga pamantayan tulad ng mga unang bersyon ng HTML. Ipinagtanggol ni Halpin na ang mga pamantayang ito ay may depekto sa pagsasabing pinapanatili nila ang Privacy.

Sa pangkalahatan, ang isang digital na pagkakakilanlan ay nakikita bilang isang natatanging identifier na konektado sa isang hanay ng mga variable, tulad ng pangalan ng isang tao, pagkamamamayan o, sa kasong ito, immunity status. Ang layunin ng maraming kumpanya sa blockchain space ay ang paglikha ng isang "self-sovereign identity," na nagbibigay sa mga tao ng kakayahang kontrolin ang paraan na ma-access ng iba ang kanilang mga identifier, nang hindi ibinibigay ang kanilang personal na pagkakakilanlan o impormasyon, kumpara sa pag-asa sa isang sentralisadong gobyerno o kumpanya.

Read More: Mula Australia hanggang Norway, Nahihirapan ang Contact Tracing na Makamit ang mga Inaasahan

Isipin ito ng BIT bilang a Bitcoin wallet address, na nagbibigay-daan sa isang user na magbayad sa iyo nang hindi kinakailangang malaman ang iyong pangalan, halimbawa. Ihambing ang transaksyong ito sa pagpapadala ng pera sa bank account ng isang tao: Kailangang malaman ng bangko kung sino ka pati na rin ang indibidwal na pinadalhan mo ng pera.

Ang isang CORE bahagi ng paglutas ng problemang ito ay ang tila isang sentral na database ay kailangan upang malutas o ma-verify ang mga natatanging identifier na ito. Ang Technology ng Blockchain ay tila nalutas ang pangangailangang ito sa pamamagitan ng pagpayag na maimbak ang impormasyon sa isang desentralisadong paraan, at nag-udyok ng muling pagkabuhay ng interes, kasama ang W3C na FORTH ng mga pamantayan para sa ideyang ito.

Mga VC at DID: Higit sa lahat tungkol sa pagsasama ng data

Sa CORE ng kritika ni Halpin sa mga VC ay ginawa ang mga ito para sa pagsasama ng data sa halip na sa Privacy. Ang mga pamantayan ay maaaring batay sa Semantic Web (isang extension ng internet batay sa mga pamantayang itinakda ng W3C), na may layuning gawing nababasa ng mga makina ang data.

Ang mga detalye ng argumento ay medyo teknikal ngunit tumama sa ilang mahahalagang punto. Ang ONE ay ang mga W3C VC ay karaniwang nilagdaan lamang na mga digital na dokumento. Gumagamit sila ng serialization, o ang proseso kung saan ang code at data ay na-convert sa isang form kung saan ito maipapadala, na ang tanging use case ay data fusion. Ang pagsasanib ng data ay ang proseso ng pagsasama ng data mula sa maraming mapagkukunan.

Sa madaling salita, sa isang teknikal na antas, ang modelo ng data ng mga pamantayan ay T binuo na may Privacy sa CORE nito . Sa halip, isa itong opsyonal na add-on.

"Ang Semantic Web ay kapaki-pakinabang para sa pagsasanib ng data sa mga database, na kapaki-pakinabang para sa bukas na pampublikong data," sabi ni Halpin. "Kapag pinagsama mo ang Semantic Web sa personal na data at mga kakaibang pagkakakilanlan sa buong mundo tulad ng mga DID, maaari itong magamit sa mga kaso ng paggamit tulad ng pagsubaybay sa mga imigrante ng [US] Department of Homeland Security. Sa totoo lang, T akong makitang anumang dahilan kung bakit ang mga resulta ng corona test ay ikakabit sa isang DID, at ang tanging sagot na tila posible ay ang mapanganib na pagsasanib ng data ng gobyerno."

Read More: Ang 'Immunity Passport' ng COVID-19 ay Pinag-isa ang 60 Mga Kumpanya sa Self-Sovereign ID Project

Ang DHS ay mayroon ginawaran ng kontrata sa Digital Bazaar upang gumana sa mga pamantayan ng digital na pagkakakilanlan ng W3C.

Isinulat ni Halpin na ang modelong ito batay sa pagsasama ng data ay maaaring samantalahin ng pagbubukod ng lagda at mga pag-atake sa pagpapalit ng lagda. Sa ganitong pag-atake, inaalis ng masamang aktor ang lagda ng isang nilagdaang mensahe o digital na dokumento, at pinapalitan ito ng isa pang lagda, at sa gayon ay nililinlang ang isang verifier na tanggapin ang di-wastong mensahe bilang wasto.

Ang ibig sabihin nito ay ang mga VC ay maaaring dayain upang ipakita na na-verify na sila kapag hindi. Sa kaso ng isang pasaporte ng kaligtasan sa sakit o sertipiko, nangangahulugan ito na maaaring mapatunayan ng isang tao ang naturang dokumento bilang tumpak kapag ito ay maaaring mali o kahit na ganap na gawa-gawa.

Lumalaki ang hindi pagkakaunawaan

Si Elizabeth Renieris ay isang data Privacy lawyer at isang Technology & Human Rights Fellow sa Carr Center for Human Rights Policy sa Harvard Kennedy School sa Cambridge, Mass. Siya dati co-authored ng isang papel tungkol sa etikal, panlipunan at teknikal na alalahanin sa paligid ng mga pasaporte ng kaligtasan sa COVID-19 at nagbitiw mula sa technical advisory board ng ID2020 sa mga alalahanin tungkol sa direksyon ng organisasyon.

Ayon kay Renieris, ang pinakamalaking problema sa mga detalye ng DID ay ang mga ito ay isang format lamang ng data, isang bagay na hindi gaanong nauunawaan ng komunidad at para sa mga kumpanyang kumikita na nagtutulak sa salaysay na ito.

"Hindi ito naka-embed ng anumang mga protocol ng seguridad o mga kontrol sa pag-access at walang paraan upang patunayan na ang may hawak ng isang kredensyal ay kahit na ang paksa ng kredensyal na iyon," sabi niya sa isang email. "Ito ay nagbubukas ng pinto sa napakalaking pandaraya."

Ipinapangatuwiran ni Halpin na ang mga DID ay likas din, salungat sa Privacy. Sa gitna ng mga argumento tungkol sa Privacy ay kung paano i-LINK ang ONE entity sa isang aksyon. Kung ang layunin ng isang kalaban ay kilalanin ka, kung gayon ang pagtatalaga sa iyo ng isang pandaigdigang natatanging identifier na muling ginagamit ay magiging mas madali upang matuklasan ang iyong pagkakakilanlan.

Read More: 'Decentralized ID at All Costs': Iniwan ng Adviser ang ID2020 Dahil sa Blockchain Fixation

"Kung T ka gumagamit ng 'Globally Unique Identifier' (GUID), maaari ka pa ring kumonekta sa iyong mga aksyon online, ito ay isang GUID na nagpapadali," sabi ni Halpin sa isang mensahe. "Ang cookie sa isang browser tulad ng Google ay isang natatanging identifier na itinalaga sa iyo ng Google upang i-LINK ang iyong mga aksyon sa mga web page. Sa mga DID, nagbigay ka lang ng cookie na magagamit ng sinumang kumpanya. Mabuti iyon para sa ilang mga kaso ng paggamit ngunit malamang na hindi para sa sensitibong medikal na data."

T ito inaayos ng Blockchain

Ang mga argumento para sa desentralisasyon at ang mga benepisyo ng blockchain ay nagsisimula ring magkahiwalay kapag isinasaalang-alang ang mga pinahintulutang ledger at mga sentralisadong server na kasangkot, ayon kay Renieris.

Ang apela ng Technology ng blockchain ay ang desentralisadong katangian nito, immutability at pseudonymous hash.

Ngunit sa mga praktikal na kaso ng paggamit, ang sabi ni Halpin, T nito inaayos ang mga bahid sa pinagbabatayan na mga pamantayan ng DID at VC. Sa halip, nagpapakilala ito ng mga karagdagang kumplikado at kahinaan.

Halimbawa, ang isang papel na inilathala noong Hunyo 2020 ay naglatag ng isang kongkretong panukala para sa mga pasaporte ng kaligtasan sa sakit, na pinamagatang “Covid-19 Antibody Test/Vaccination Certification: May app para diyan.” Inilalarawan nito ang isang distributed ledger na tinatawag na OpenEthereum, isang tinidor ng Ethereum ng Open University at pinapatakbo ng isang consortium.

"Kabaligtaran sa Ethereum ngunit katulad ng iba pang mga chain na nakabatay sa DID tulad ng Sovrin, ito ay nakabatay sa "proof-of-authority" (ibig sabihin, isang pinahihintulutang blockchain kung saan maaaring sumulat ang sinumang validator o korum ng mga validator sa chain, ngunit hindi ang iba pang mga aktor tulad ng mga user)," sulat ni Halpin.

Ang mga gumagamit ng iminungkahing app ay maaaring pumili kung saan iimbak ang kanilang data, di-umano'y bawiin ang kanilang data at tanggalin ito kung pipiliin nila, at mag-imbak ng personal na impormasyon sa isang hash.

Inilatag ni Halpin ang ilang mga paraan kung saan ang mga paghahabol na ito ay nag-iiwan ng maraming bagay na naisin. Ang pagpayag sa mga tao na pumili kung saan iimbak ang kanilang data ay nangangahulugan na maaari nilang ilagay ito sa mga hindi secure na device gaya ng kanilang mga smartphone. Walang garantiyang T makokopya ng ibang mga system ang data. At, sa wakas, ang istraktura ng data ng system ay lumilikha ng mga problema para sa pag-scale nito, ayon kay Halpin.

"Ang pinaka-kongkretong panukala sa pasaporte ng kaligtasan sa sakit ay mapanganib na naglalagay ng hash ng personal na data sa blockchain. Kahit na ang paggamit ng Technology ng blockchain sa pamamagitan ng pagtukoy ng resolusyon ng isang on-chain na pagmamapa ng isang identifier sa isang susi sa mga system tulad ng Sovrin ay nagtatapos sa pagiging isang pag-redirect sa mga sentralisadong server, na nagpapabagabag sa pag-angkin ng blockchain na nagpo-promote ng desentralisasyon," isinulat ni Halpin.

"Dahil ang paggamit ng Technology ng blockchain ay tila hindi kinakailangan para sa mga layunin ng mga pasaporte ng kaligtasan sa sakit at malamang na humahadlang sa halip na makatutulong sa Privacy, ang mga pasaporte ng kaligtasan sa sakit - at mas malawak ang parehong mga W3C DID at VC - ay gumagamit ng blockchain para sa kapakanan ng blockchain."

Ang Privacy ay kailangang nasa CORE ng gayong mga sistema, hindi isang opsyonal na pag-iisip, aniya.