Цифрові псевдоніми: ще ONE спосіб зробити роботу вдома безпечною

Нещодавнє рішення компанії з обробки цифрових платежів Block (SQ) закрити свої офіси в Сан-Франциско, щоб дозволити співробітникам працювати віддалено, підкреслює зростаючу тенденцію з початку пандемії COVID-19: Велика міграція з офісної роботи до віддаленої роботи. Але з різних причин ця міграція зустрічає опір з боку інших роботодавців.

ONE з головних причин, щоб наполягати на тому, щоб співробітники з’являлися в офісах компаній, які орієнтуються на споживачів – не лише великих технологічних, а й страхових, медичних та інших – це бази даних клієнтів, які вони зберігають. Незважаючи на зростання цілої індустрії, яка займається їх захистом, злам цих баз даних не припиняється. За даними Центру дослідження крадіжок особистих даних (ITRC), кількість зафіксованих витоків даних у 2021 році зросла на 17% понад 2020 рік.

Девід Чаум, піонер у сфері криптографії та технологій для збереження конфіденційності та безпечного голосування, є творцем і засновником мережі xx. У 1995 році його компанія DigiCash створила та впровадила eCash, першу цифрову валюту, яка використовувала революційний протокол сліпого підпису Чаума. Ця публікація є частиною CoinDesk Майбутнє робочого тижня серії.

Враховуючи те, що ONE коментатор називає «вкоріненою непрозорістю» з боку постраждалих компаній, ця оцінка, ймовірно, низька. Тим часом IBM (IBM) оцінює середня вартість витоку даних на суму понад 4 мільйони доларів. (Варто зазначити, що деякі з найдорожчих зломів минулого року були у сфері Криптовалюта/блокчейнів, хоча це були переважно пограбування, а не крадіжки особистої інформації.)

У відповідь на ці загрози деякі компанії створюють безпеку «повітряного щілини» навколо серверів, на яких зберігаються їхні бази даних споживачів. Вони вимагають від співробітників, які працюють над ними та з ними – або просто постачають свіжі записи від клієнтів – взаємодіяти з ними лише через локальні комунікації, повністю відключені від Інтернету. Наскільки добре це працюватиме, ще належить побачити.

У будь-якому випадку такі рішення не вирішують основної проблеми. У 1980-х роках, на початку розвитку комп’ютеризації та Інтернету, я почав хвилюватися про всю інформацію, яку організації зберігають про окремих осіб і якими вони користуються. Майже всі ці записи очолювали (і досі є) універсальним унікальним ідентифікатором, таким як водійські права, державний номер ID або номер соціального страхування.

Читайте також: «Я стрибнув з усіма 4»: легендарний криптограф Девід Чаум про майбутнє Web3

Ці записи потенційно можна об’єднати, щоб створити те, що я назвав «віртуальним досьє» на кожну особу, у якому її медичну, фінансову, юридичну та трудову історію, а також такі речі, як номери кредитних карток і платіжні адреси, можна переглядати разом, просто зайшовши на окремі записи за допомогою цих ідентифікаторів.

Випадкові числа, непрозорі конверти

Щоб усунути цю загрозу, яка зараз, на жаль, стала реальністю, я розробив протокол під назвою «цифрові сліпі підписи» — варіацію добре відомої та широко використовуваної техніки цифрового підпису. Щоб зрозуміти, як це працює, використовуючи паперову аналогію, уявіть довільно пронумеровану картку всередині непрозорого конверта, на якому ззовні проштамповано печатку, як колись печатки, якими колись запечатували листи WAX.

Відбиток печатки тисне картку всередині з підписом, але після видалення конверта підписувач не має можливості визначити, який саме номер був на підписаній картці. Засліплення приховує номер відкритого тексту, перетворюючи його на зашифрований текст таким чином, щоб на ньому можна було цифрово «тиснути» підпис. Видалення конверта в аналогії еквівалентно шифртексту, який пізніше розшифровується [розкривається], щоб отримати підписану форму номера відкритого тексту.

Цей підписаний незасліпований номер служить цифровим псевдонімом, який містить облікові дані – цифровий підпис організації, що видає. Подальше вдосконалення техніки дозволяє користувачеві показувати непідробні облікові дані багатьом організаціям, використовуючи різні псевдоніми. Таким чином окремий власник облікових даних може, наприклад, довести кільком кредиторам, що їхній кредитний рейтинг знаходиться в межах певного діапазону, при цьому ці докази не зв’язуються через ідентифікатор і не розкривають нічого іншого.

Таким же чином особи можуть довести, що, наприклад, вони сплатили податки, що вони проживають у певному переписному районі, що вони отримали певне щеплення або що вони дали негативний результат на певну інфекцію протягом певного періоду, що вони мають дійсну ліцензію на певну справу чи професію, що вони не мають судимості FORTH. Ні в якому разі жодні з цих облікових даних не можна пов’язувати між собою або з будь-якою іншою інформацією про особу. Організації можуть зберігати облікові дані під псевдонімом, які вони отримують від окремих осіб, щоб особа та організація могли підтримувати постійні стосунки, якщо це потрібно.

Читайте також: Політика конфіденційності в Інтернеті є невід’ємним правом | Погляди

Якщо певна комбінація облікових даних потрібна організації, додаткові перевірені криптографічні методи можуть за потреби перетворити один псевдонім на кілька облікових даних («multicred»), знову ж таки без шкоди для Політика конфіденційності власника псевдоніма. Зокрема, різні індивідуальні облікові дані можуть бути «штамповані» під одним псевдонімом кількома різними організаціями за допомогою багатосторонніх обчислень.

Захист особистої інформації

Загалом, багатосторонні обчислення дозволяють групі сторін колективно виконувати будь-які узгоджені обчислення, так що кожна сторона може вибрати Secret вхідні дані та перевірити, що кінцевий вихід є правильним і де всі Secret вхідні дані оптимально захищені. У цьому випадку жоден із підписантів не зможе Навчання особу чи підпис будь-кого з інших, але кожен з них може легко перевірити, чи їхній власний підпис на мультикредиті дійсний.

Перехід на ці цифрові псевдоніми, які неможливо пов’язати ні з власником, ні з одним, зробить безглуздими спроби хакерів і фішерів отримати доступ до великої кількості особистої інформації, оскільки ця інформація більше не буде особистою. Звичайно, особам все одно знадобляться номери соціального страхування та водійські права, але більшості організацій не потрібно буде їх записувати, не кажучи вже про те, щоб використовувати їх як ідентифікатори для записів про осіб, з якими вони вели бізнес.

Читайте також: Web 3 — це більше, ніж розваги та ігри; Це для роботи | Погляди

Таким чином, співробітникам, які підтримують і захищають ці колекції псевдонімних даних, більше не потрібно працювати в цифрових повітряних проміжках або Клітки Фарадея. Вони можуть працювати вдома, тому що ні компанія, ні зловмисники, які використовують викрадені записи, не можуть створити «портрети даних» окремих клієнтів або клієнтів.

Перехід на систему псевдонімних цифрових облікових даних принесе користь організаціям, оскільки зменшить постійно зростаючі витрати на підтримку та захист записів фактично непотрібних даних і часто ще більші довгострокові витрати на порушення.

І це було б кроком до того, що, на мою думку, має бути основоположним принципом Web3 і справжньої демократії в майбутньому: люди повинні контролювати всю свою особисту інформацію.

Подальше читання серії Future of Work Week від CoinDesk:

Бум вакансій у Крипто

Це може бути ведмежий ринок, але в Крипто все ще є багато робочих місць.

Нарахування заробітної плати, Web3 і можливість отримати 62 мільярди доларів

Крипто може пришвидшити та здешевити оплату праці працівників. Ця стаття є частиною серії «Майбутнє роботи».

Ви наймаєте неправильно: робіть це більше, як Web3

Прийнявши більш відкриту, плавну модель, традиційним фірмам було б легше залучити таланти та отримати більш пристрасну, залучену робочу силу.