Паспорти імунітету на основі блокчейну T вирішують CORE проблем Політика конфіденційності : звіт

Існуючі децентралізовані стандарти цифрової ідентифікації є вразливими до компромісу та не мають Політика конфіденційності в CORE: це центральний аргумент, висунутий новий папір представлений Гаррі Халпіном, запрошеним професором дослідницького університету KU Leuven, на організованій Mozilla науково-дослідній конференції стандартизації безпеки (SSR20).

Пропозиції щодо паспортів вакцин або імунітету, які б прив’язували пересування людини до її статусу імунітету щодо COVID-19, знову з’явилися на сплив із багатообіцяючими новинами про вакцини. Міжнародна асоціація повітряного транспорту (IATA) оголосив це «на завершальній стадії розробки» програми для цифрових паспортів, яка отримуватиме та перевірятиме, чи хтось отримав вакцину проти COVID-19. Додаток нібито використовувати Технології блокчейн для автентифікації даних без централізованого зберігання. Тим часом Всесвітня організація охорони здоров'я є дивлячись на можливі «електронні сертифікати вакцинації» для подорожей.

«Системи ідентифікації, засновані на глобальних унікальних ідентифікаторах, за своєю природою суперечать Політика конфіденційності, і розміщення їх у блокчейні не змінює цю фундаментальну дихотомію», — сказав Халпін, автор статті «Бачення: Критика паспортів імунітету та децентралізованих ідентифікаторів W3C» і генеральний директор NYM, стартапу з Політика конфіденційності, що розробляє мікснет.

«Насправді розміщення цих даних у блокчейні посилює проблеми з Політика конфіденційності , і незрозуміло, чи махання рукою про докази нульового знання справді змінює ситуацію».

Паспорт вакцини або імунітету

Ідея паспортів імунітету існує вже кілька місяців. Ідея полягає в тому, що якщо хтось хворіє на COVID-19, він матиме імунітет протягом певного періоду часу та зможе перевірити свій статус цифровим способом. Такі пропозиції викликають численні занепокоєння, зокрема способи зберігання такої конфіденційної інформації, спосіб її перевірки та те, як вона обмежує або впливає на права людей.

Такі країни, як Чилі та Сальвадор, фактично вжили таких заходів. Перепустки Чилі, наприклад, звільняються від карантин тих, хто одужав від COVID-19 або дав позитивний результат тесту на наявність антитіл, дозволяючи їм повернутися до роботи, відповідно до Washington Post. Жителі Чилі можуть подати заявку на отримання цих паспортів, якщо у них T симптомів захворювання та вони готові пройти тестування.

Альянс ID2020, державно-приватне партнерство з такими партнерами, як Microsoft, Accenture і Hyperledger, уже відбулося почали атестувати деякі пропозиції ID як «хороший ID», який можна запропонувати урядам. Сертифікація означає, що Технології відповідає 41 технічні вимоги висунутий ID2020.

Читайте також: Роз’яснення пропусків імунітету: чи варто хвилюватися про Політика конфіденційності?

The Ініціатива повноважень щодо COVID-19 (CCI) це ще одна група, що складається з понад 300 людей із 100 організацій, які прагнуть «розгорнути та/або допомогти розгорнути проекти облікових даних із збереженням конфіденційності, які можна перевірити, щоб пом’якшити поширення COVID-19 і зміцнити наші суспільства та економіку». Проект LOOKS випадки, коли верифіковані облікові дані (VC), цифровий еквівалент водійських прав, можуть бути використані для вирішення проблеми громадського здоров’я. По суті, VC показують мінімальний обсяг інформації, який може знадобитися суб’єкту, щоб дозволити їм, скажімо, доступ до робочого простору під час пандемії, водночас обмежуючи доступ до інших видів інформації.

Вакцини створюють як нову можливість, так і нові питання щодо Політика конфіденційності та чутливості даних, коли йдеться про будь-яку форму пропуску. Але, як зазначає Халпін у статті, «найвідоміші схеми паспортів імунітету включали низку маловідомих стандартів, таких як децентралізовані ідентифікатори (DID) і верифіковані облікові дані (VC) від Консорціуму Всесвітньої павутини (W3C)».

Хелпін стверджує, що сертифікати імунітету «можливо небезпечні, оскільки власники сертифікатів імунітету можуть стати «елітою імунітету» з посиленим соціальним розшаруванням від тих, хто не має сертифікатів, порушуючи існуючі закони про дискримінацію в багатьох країнах».

Наприклад, неважко уявити, що заможні верстви населення першими отримають доступ до нещодавно схвалених вакцин, отримають імунні паспорти чи сертифікати, а отже, отримають доступ до подорожей, роботи та інших переваг, які це принесе.

Децентралізовані ідентифікатори, верифіковані облікові дані та W3C

Консорціум Всесвітньої павутини (W3C), орієнтований на членство орган зі стандартизації, розробив стандарти для DID і VC, на яких базується багато з цих пропозицій щодо збереження конфіденційності. Тіло також відоме такими стандартами, як ранні версії HTML. Халпін стверджує, що ці стандарти є помилковими, оскільки стверджують, що вони зберігають Політика конфіденційності.

Як правило, цифрова ідентифікація розглядається як унікальний ідентифікатор, пов’язаний із набором змінних, як-от ім’я особи, громадянство або, у цьому випадку, статус імунітету. Метою багатьох компаній у просторі блокчейнів є створення «самосуверенної ідентичності», яка дає людям можливість контролювати те, як їхні ідентифікатори можуть бути доступні іншим, не відмовляючись від своєї особистої особистості чи інформації, на відміну від покладення на централізований уряд чи компанію.

Читайте також: Від Австралії до Норвегії пошук контактів намагається виправдати очікування

Подумайте про це BIT як про Bitcoin адреса гаманця, яка дозволяє користувачеві платити вам, наприклад, навіть не знаючи вашого імені. Порівняйте цю транзакцію з надсиланням грошей на чийсь банківський рахунок: банку потрібно знати як ви, так і особу, якій ви надсилаєте гроші.

CORE частиною вирішення цієї проблеми було те, що, здавалося, була потрібна центральна база даних для вирішення або перевірки цих унікальних ідентифікаторів. Технології блокчейн, здавалося, вирішила цю потребу, дозволивши децентралізованому зберіганню інформації, і викликала відродження інтересу, разом із W3C, щоб FORTH стандарти для цієї ідеї.

VC і DID: в основному про інтеграцію даних

CORE критики Хелпіна щодо венчурних капіталів полягає в тому, що вони створені для інтеграції даних, а не для Політика конфіденційності. Стандарти можуть базуватися на Semantic Web (розширенні Інтернету на основі стандартів, встановлених W3C), з метою зробити дані доступними для читання машинами.

Деталі аргументу є досить технічними, але вражають пару ключових моментів. ONE полягає в тому, що VC W3C - це просто підписані цифрові документи. Вони використовують серіалізацію або процес, за допомогою якого код і дані перетворюються у форму, де їх можна передати, єдиним випадком використання якого є об’єднання даних. Об’єднання даних – це процес інтеграції даних із кількох джерел.

Іншими словами, на технічному рівні стандартна модель даних T побудована з Політика конфіденційності в її CORE. Натомість це додаткове доповнення.

«Семантичний веб корисний для об’єднання даних між базами даних, що корисно для відкритих загальнодоступних даних», — сказав Халпін. "Якщо ви об'єднуєте семантичний веб з особистими даними та глобальними унікальними ідентифікаторами, такими як DID, його, ймовірно, можна буде використовувати в таких випадках, як відстеження іммігрантів Міністерством внутрішньої безпеки [США]. Я, чесно кажучи, T бачу жодної причини, чому результати тестів на корону будуть додаватися до DID, і єдина відповідь, яка здається правдоподібною, це небезпечне злиття даних з іншими конфіденційними даними урядами".

Читайте також: «Паспорт імунітету» від COVID-19 об’єднує 60 компаній у проекті самосуверенної ID

DHS має надано контракт до Цифровий базар працювати над стандартами цифрової ідентифікації W3C.

Хелпін пише, що цю модель, засновану на інтеграції даних, можна використати за допомогою атак виключення підпису та заміни підпису. Під час такої атаки зловмисник видаляє підпис підписаного повідомлення або цифрового документа та замінює його іншим підписом, тим самим обманом змушуючи верифікатор прийняти недійсне повідомлення як дійсне.

Це означає, що венчурних капіталістів можна обманом змусити показати, що вони підтверджені, хоча це не так. У випадку паспорта імунітету чи сертифіката це означає, що хтось може перевірити такий документ як точний, коли він може бути неправильним або навіть повністю сфабрикованим.

Зростання незгоди

Елізабет Реньєріс є юристом із Політика конфіденційності даних і науковим співробітником з питань Технології і прав Human в Центрі Карра з Політика в галузі прав Human при Гарвардській школі Кеннеді в Кембриджі, Массачусетс. Раніше вона був співавтором статті навколо етичних, соціальних і технічних проблем, пов’язаних із паспортами імунітету проти COVID-19 подав у відставку від технічної консультативної ради ID2020 через занепокоєння щодо напрямку організації.

За словами Реньєріса, найбільша проблема зі специфікаціями DID полягає в тому, що вони є лише форматом даних, який погано розуміється спільнотою та комерційними компаніями, які просувають цю історію.

«У нього не включено жодних протоколів безпеки чи контролю доступу, і немає способу довести, що власник облікових даних є суб’єктом цих облікових даних», — сказала вона в електронному листі. «Це відкриває двері для масового шахрайства».

Халпін стверджує, що DID також за своєю природою суперечать Політика конфіденційності. В основі аргументів щодо Політика конфіденційності лежить те, як LINK ONE сутність із дією. Якщо метою зловмисника є ідентифікувати вас, то присвоєння вам глобального унікального ідентифікатора, який повторно використовується, значно полегшить розкриття вашої особи.

Читайте також: «Децентралізований ID будь-якою ціною»: радник виходить з ID2020 через фіксацію блокчейна

«Якщо ви T використовуєте «Глобальний унікальний ідентифікатор» (GUID), ви все одно можете підключитися до своїх дій в Інтернеті, це просто GUID робить це легше», — сказав Халпін у повідомленні. "Файл cookie в такому браузері, як Google, — це унікальний ідентифікатор, який Google призначає вам, щоб LINK ваші дії на веб-сторінках. За допомогою DID ви просто надали файл cookie, який може використовувати будь-яка компанія. Це добре для деяких випадків використання, але, ймовірно, не для конфіденційних медичних даних".

Блокчейн цього T виправляє

За словами Реньєріса, аргументи на користь децентралізації та переваги блокчейну також починають тріщати по швах, коли розглядаються дозволені облікові книги та централізовані сервери.

Привабливість Технології блокчейн полягає в її децентралізованому характері, незмінності та псевдонімних хешах.

Але у випадках практичного використання, стверджує Хелпін, це T виправляє недоліки базових стандартів DID і VC. Натомість це створює додаткові складності та вразливості.

Наприклад, документ, опублікований у червні 2020 року, містить конкретну пропозицію щодо паспортів імунітету під назвою «Тест на антитіла до COVID-19/Сертифікація вакцинації: для цього є додаток». Він описує розподілену книгу під назвою OpenEthereum, форк Ethereum від Відкритого університету, який керує консорціум.

«На відміну від Ethereum , але схожий на інші ланцюжки на основі DID, такі як Sovrin, він заснований на «підтвердженні повноважень» (тобто дозволеному блокчейні, де будь-який валідатор або кворум валідаторів може писати в ланцюжок, але не інші учасники, як-от користувачі), — пише Халпін.

Користувачі запропонованого додатка могли вибрати, де зберігати свої дані, нібито відкликати свої дані та видалити їх, якщо вони вибрали, і зберігати особисту інформацію в хеші.

Халпін викладає ряд способів, якими ці твердження залишають бажати кращого. Якщо дозволити людям вибирати, де зберігати свої дані, вони можуть розміщувати їх на незахищених пристроях, таких як смартфони. Немає гарантії, що дані T будуть скопійовані іншими системами. І, нарешті, за словами Халпіна, структура даних системи створює проблеми для її масштабування.

"Найбільш конкретна пропозиція паспорта імунітету небезпечно поміщає хеш персональних даних у блокчейн. Навіть використання Технології блокчейну шляхом визначення роздільної здатності зіставлення ідентифікатора в ланцюжку з ключем у таких системах, як Sovrin, у підсумку стає перенаправленням на централізовані сервери, що підриває твердження про те, що блокчейн сприяє децентралізації", - написав Халпін.

«Оскільки використання Технології блокчейну не здається необхідним для досягнення цілей паспортів імунітету та, ймовірно, перешкоджає, а не сприяє Політика конфіденційності, паспорти імунітету – і ширше як DID, так і венчурні клієнти W3C – використовують блокчейн заради блокчейну».

Політика конфіденційності має бути CORE таких систем, а не необов’язковою думкою, сказав він.