Цифровые псевдонимы: еще ONE способ сделать работу из дома безопасной

Недавнее решение компании по обработке цифровых платежей Block (SQ) закрыть свои офисы в Сан-Франциско, чтобы позволить сотрудникам работать удаленно, подчеркивает растущую тенденцию с начала пандемии COVID-19: Великая миграция из офисной работы в удаленную. Но по разным причинам эта миграция сталкивается с сопротивлением со стороны других работодателей.

ONE из основных причин настаивать на том, чтобы сотрудники появлялись в офисе в компаниях, ориентированных на потребителей (не только в крупных технологических компаниях, но и в страховании, здравоохранении и всех прочих), являются базы данных, которые они ведут на клиентов. Несмотря на рост целой отрасли, посвященной их защите, утечки этих баз данных продолжаются. По данным Исследовательского центра по кражам личных данных (ITRC), количество зафиксированных утечек данных в 2021 году увеличилось на17%по сравнению с 2020 годом.

Дэвид Чаум, пионер в области криптографии и технологий сохранения конфиденциальности и безопасного голосования, является создателем и основателем сети xx. В 1995 году его компания DigiCash создала и внедрила eCash, первую цифровую валюту, которая использовала революционный протокол слепой подписи Чаума. Эта публикация является частью CoinDeskНеделя «Будущее работы» ряд.

Учитывая то, что ONE комментатор называет «укоренившимся отсутствием прозрачности» со стороны затронутых компаний, эта оценка, вероятно, занижена. IBM (IBM), тем временем, оцениваетсредняя стоимость об утечке данных на сумму более 4 миллионов долларов. (Стоит отметить, что некоторые из самых дорогостоящих утечек в прошлом году произошли в сфере Криптовалюта/блокчейна, хотя в основном это были ограбления, а не кражи личной информации.)

В ответ на эти угрозы некоторые компании создают «воздушный зазор» вокруг серверов, на которых хранятся их базы данных потребителей. Они требуют, чтобы сотрудники, которые работают с ними или просто предоставляют свежие записи от клиентов, взаимодействовали с ними только по локальным каналам связи, полностью отключенным от Интернета. Насколько хорошо это будет работать, еще предстоит увидеть.

В любом случае, такие решения не решают основную проблему. В 1980-х годах, на заре компьютеризации и Интернета, я начал беспокоиться обо всей информации, хранящейся организациями о людях, и делящейся ими. Почти все эти записи были (и до сих пор есть) начаты универсальным уникальным идентификатором, таким как водительские права, номер государственного ID или номер социального страхования.

Читать дальше: «Я присоединился ко всем четверым»: легендарный криптограф Дэвид Чаум о будущем Web3

Эти записи потенциально можно объединить, чтобы создать то, что я называю «виртуальным досье» на каждого человека, в котором его медицинская, финансовая, юридическая и трудовая история, а также такие данные, как номера кредитных карт и адреса выставления счетов, можно было бы просматривать вместе, просто получая доступ к отдельным записям через эти идентификаторы.

Случайные числа, непрозрачные конверты

Чтобы справиться с этой угрозой, которая теперь, к сожалению, стала реальностью, я разработал протокол, называемый цифровыми слепыми подписями, вариацию на тему хорошо известной и широко используемой техники цифровой подписи. Чтобы понять, как это работает, используя бумажную аналогию, представьте себе случайно пронумерованную карточку внутри непрозрачного конверта, который снаружи проштампован печатью, похожей на печати, которые когда-то использовались для запечатывания писем WAX.

Оттиск печати выдавливает подпись на карте внутри, но после того, как конверт был удален, у подписавшего нет возможности определить, какой именно номер был на подписанной карте. Ослепление скрывает номер открытого текста, преобразуя его в шифротекст таким образом, что его можно цифровым способом «выдавить» с подписью. Удаление конверта в аналогии эквивалентно тому, что шифротекст позже расшифровывается [расшифровывается] для получения теперь подписанной формы номера открытого текста.

Этот подписанный, неослепленный номер служит цифровым псевдонимом, содержащим учетные данные — цифровую подпись организации-эмитента. Дальнейшее усовершенствование техники позволяет пользователю показывать неподдельные учетные данные нескольким организациям, использующим разные псевдонимы. Таким образом, держатель индивидуального удостоверения может, например, доказать нескольким кредиторам, что его кредитный рейтинг находится в определенном диапазоне, без того, чтобы эти доказательства можно было связать с помощью идентификатора и не раскрывая ничего больше.

Таким же образом, люди могут доказать, что, например, они заплатили налоги, что они живут в определенном переписном округе, что они получили определенную вакцинацию или что они дали отрицательный результат на какую-то инфекцию в течение определенного периода, что у них есть действующая лицензия на определенную торговлю или профессию, что у них нет судимости и FORTH. Ни в коем случае никакие из этих учетных данных не могут быть связаны друг с другом или с любой другой информацией о человеке. Организации могут хранить псевдонимные учетные данные, которые они получают от людей, чтобы человек и организация могли поддерживать постоянные отношения, если это необходимо.

Читать дальше: Политика конфиденциальности в Интернете — неотъемлемое право | Мнение

Если организация требует некоторую комбинацию учетных данных, дополнительные проверенные криптографические методы могут превратить один псевдоним в множественные учетные данные («multicred») по мере необходимости, опять же без ущерба для Политика конфиденциальности владельца псевдонима. В частности, различные индивидуальные учетные данные могут быть «отпечатаны» на одном и том же псевдониме несколькими различными организациями с использованием многосторонних вычислений.

Защита личной информации

В общих чертах, многопартийное вычисление позволяет группе сторон коллективно выполнять любые согласованные вычисления, так что каждая сторона может выбрать Secret входы и проверить, что полученный результат верен и что все Secret входы оптимально защищены. В этом случае ни один из подписавших не может Словарь личность или подпись любого из других, но каждый из них может легко проверить, что его собственная подпись на multicred действительна.

Переход на эти цифровые псевдонимы, не связанные ни с их владельцем, ни друг с другом, сделает бессмысленными усилия хакеров и фишеров по доступу к огромным запасам личной информации, поскольку эта информация больше не будет идентифицируемой личной. Конечно, людям по-прежнему понадобятся номера социального страхования и водительские права, но большинству организаций не нужно будет их регистрировать, не говоря уже об использовании их в качестве идентификаторов для записей о лицах, с которыми они вели бизнес.

Читать дальше: Web 3 — это больше, чем просто развлечения и игры. Это приложение для работы | Мнение

Таким образом, сотрудникам, которые поддерживают и защищают эти псевдонимные коллекции данных, больше не нужно работать в цифровых воздушных зазорах иликлетки Фарадея. Они могут работать из дома, поскольку ни компания, ни злоумышленники, использующие украденные записи, не могут создать «портреты данных» отдельных клиентов или заказчиков.

Переход на систему псевдонимных цифровых учетных данных принесет пользу организациям, поскольку сократит постоянно растущие затраты на ведение и защиту записей по сути ненужных данных, а также зачастую даже более существенные долгосрочные издержки, связанные с утечками.

И это был бы шаг к тому, что, по моему мнению, должно стать основополагающим принципом Web3 и настоящей демократии в будущем: люди должны контролировать всю свою личную информацию.

Дальнейшее чтение из серии «Будущее недели труда» на CoinDesk:

Бум Криптo рабочих мест

Возможно, рынок и медвежий, но в Криптo компаниях все еще много вакансий.

Расчет заработной платы, Web3 и возможность в 62 млрд долларов

Криптo может ускорить и удешевить оплату труда работников. Эта статья является частью серии «Будущее работы».

Вы нанимаете не тех: делайте это как Web3

Приняв более открытую, гибкую модель, традиционным компаниям будет легче привлекать талантливых сотрудников и в итоге получить более увлеченных и мотивированных сотрудников.