Twitter non verrebbe violato se fosse supportato dalla tecnologia Blockchain

La legge di Murphy afferma: “Tutto ciò che può andare storto andrà storto”. Succede sempre con i servizi centralizzati. Un anno fa, abbiamo visto come mezzo milione di account Facebook sono trapelati online, esponendo dati personali. Lo vedremo molte volte di più con altri servizi. Il recente hack di Twitter lo sottolinea ancora una volta. Gli account di Elon Musk, Bill Gates, Jeff Bezos, Kanye West, Kim Kardashian, Mike Bloomberg, Joe Biden, Barack Obama, tra gli altri, sono stati violati per spingere un’offerta fraudolenta con Bitcoin (BTC).

Scrivendo per la BBC, il commentatore di sicurezza informatica Joe Tidy ha affermato: “Il fatto che così tanti utenti diversi siano stati compromessi contemporaneamente implica che questo è un problema con la stessa piattaforma di Twitter.” Tutti gli account erano vulnerabili; era solo una questione di scelta per gli hacker: usare le celebrità è meglio “appoggiare” le truffe.

Il problema è che anche se Twitter o qualsiasi altro servizio con un’architettura simile continua a costruire i muri di sicurezza informatica attorno al suo sistema, diventerà più complicato e costoso, ma non più sicuro. L’attuale paradigma dei servizi centralizzati non può offrire una soluzione più sicura per l’autenticazione degli utenti.

Di recente ho scritto di nuove tecnologie che potrebbero proteggere i dati e l’identità digitale, usando l’esempio dell’Australia e dell’esperienza europea e di come i certificati a chiave pubblica potrebbero essere protetti con la tecnologia blockchain contro il denial-of-service distribuito e il man-in-the-middle attacchi. Sebbene la mia analisi fosse abbastanza tecnica e approfondita, forse sarebbe meglio fare un passo indietro e setacciare alcuni dettagli generali ma pertinenti che possono migliorare la protezione dei dati.

Ecco alcuni termini da utilizzare quando chiedi al tuo fornitore di servizi, al tuo negozio online o al tuo governo se stanno proteggendo i tuoi dati personali:

  • Identificatori decentralizzati, o DIDs, è un quadro generale di W3C con vari metodi per creare e gestire gli identificatori personali in modo decentralizzato. In altre parole, gli sviluppatori di servizi online non hanno bisogno di creare qualcosa di nuovo se vogliono utilizzare il potenziale delle tecnologie decentralizzate. Possono utilizzare questi metodi e protocolli.
  • Protocollo di divulgazione selettiva, o SDP, che è stato presentato l’anno scorso all’Hackathon EOS dal co-fondatore di Vareger Mykhailo Tiutin e dal suo team, è un metodo decentralizzato per l’archiviazione dei dati personali (utilizzando DID) con protezione crittografica su una blockchain. Con SDP, l’utente può divulgare informazioni accuratamente selezionate in una determinata transazione.
  • Identità autosufficiente, o SSI, è un concetto che, in termini semplici, consente agli utenti di essere i proprietari sovrani dei propri dati personali e identità, non di terze parti. Implica che puoi memorizzare i dati personali sul tuo dispositivo, non sul server di Twitter o di qualcun altro. Per illustrare la potenza del concetto SSI, pensa a questa affermazione: è più facile hackerare un sistema centralizzato che memorizza milioni di account che hackerare milioni di dispositivi personali. Ma la questione è molto più profonda. Se dovessimo mai affrontare una dittatura digitale, la radice di questo problema sarà l’assenza del diritto di controllare e vietare a terzi (incluso il governo) di archiviare e gestire i tuoi dati personali. Il terribile sperimentare con gli uiguri in Cina è un esempio calzante. I cittadini non hanno il diritto legale di dire no al governo che raccoglie i loro dati personali. Ovviamente, il governo cinese ha creato account senza il suo consenso per ottenere registrazioni di ciò che considera un comportamento inappropriato.

Per mettere le cose in prospettiva, esaminiamo una situazione ipotetica.

Caso d’uso: Alice e la sua identità digitale

Alice genera la sua coppia crittografica: una chiave privata e una pubblica. La chiave privata crittografa le transazioni, utilizzando una firma digitale; la chiave pubblica li decrittografa. La chiave pubblica viene utilizzata per verificare se Alice ha effettuato l’accesso, ha firmato il contratto, ha firmato la transazione blockchain, ecc.

Per proteggere la chiave privata, la memorizzerà su un dispositivo hardware sicuro con protezione PIN, ad esempio, su una smart card, un token di autenticazione USB o un portafoglio di criptovaluta hardware. Tuttavia, un indirizzo di criptovaluta è una rappresentazione di una chiave pubblica, il che significa che Alice può usarlo come suo portafoglio di monete e token.

Sebbene la chiave pubblica sia anonima, può anche creare un’identità digitale verificata. Può chiedere a Bob di certificare la sua identità. Bob è un’autorità di certificazione. Alice visiterà Bob e mostrerà il suo documento d’identità. Bob creerà un certificato e lo pubblicherà su una blockchain. “Certificato” è un file che annuncia al pubblico: “La chiave pubblica di Alice è valida”. Bob non lo pubblicherà sul suo server come fanno ora le altre autorità di certificazione tradizionali. Se un server centralizzato venisse mai disabilitato in un attacco DDoS, nessuno sarebbe in grado di confermare se l’identità digitale di Alice è valida o meno. Nell’attacco MITM qualcuno può falsificare la sua identità. Ciò sarebbe impossibile se il certificato o almeno la sua somma hash fossero pubblicati in catena.

Con un ID verificato, può eseguire transazioni ufficiali, ad esempio la registrazione di un’azienda. Se Alice è un’imprenditrice, potrebbe voler pubblicare i suoi contatti, ad esempio un numero di telefono. L’uso di una blockchain è una scelta più sicura perché quando i dati vengono pubblicati sui social media, un hacker può entrare in un account e sostituirlo per reindirizzare le chiamate a un altro numero. Niente di tutto questo sarebbe possibile su una blockchain.

Se Alice va in un negozio di liquori, può usare il suo DID verificato. Il venditore, Dave, utilizzerà la sua app per verificare e confermare il DID di Alice invece del suo documento di identità cartaceo. Alice non ha bisogno di rivelare il suo nome e la data di nascita. Condividerà con l’app di Dave il suo identificativo, che Bob ha certificato, la sua foto e un “Above 21 y.o.” dichiarazione. Dave considera attendibile questo record perché Bob è un’autorità di certificazione.

Alice può creare vari pseudonimi per acquisti online, social media e scambi di crittografia. Se perde la sua chiave privata, chiederà a Bob di aggiornare il suo record sulla blockchain per annunciare che “la chiave pubblica di Alice non è valida”. Pertanto, se qualcuno l’ha rubata, tutti coloro che interagiscono con la sua chiave pubblica sapranno che non dovrebbero credere alle transazioni firmate con questa chiave.

Naturalmente, questo è uno scenario semplificato, ma non è irrealistico. Inoltre, alcuni di questi processi esistono già. Ad esempio, l’estone e-Residency card non è altro che una smart card con la chiave privata dell’utente. Con questa carta, puoi registrare a distanza una società in Estonia o persino firmare contratti. Essendo integrate in un mercato più ampio, le firme digitali estoni sono riconosciute in tutta l’Unione europea. Sfortunatamente, i suoi governi non proteggono ancora i certificati su blockchain.

Sapere è potere. Gli utenti dovrebbero sapere che la loro sicurezza informatica non è solo nelle loro mani, come si potrebbe dire. I giganti del software e dei social media dovrebbero fare il passaggio per migliorare gli standard di sicurezza e gli utenti dovrebbero richiederlo.

I punti di vista, i pensieri e le opinioni qui espressi sono esclusivamente dell’autore e non riflettono o rappresentano necessariamente i punti di vista e le opinioni di Cointelegraph.

Oleksii Konashevych è l’autore del Cross-Blockchain Protocol for Government Databases: The Technology for Public Registries and Smart Laws. Oleksii è un dottorato di ricerca. borsista nel programma di dottorato internazionale congiunto in diritto, scienza e tecnologia finanziato dal governo dell’UE. Oleksii ha collaborato con il Blockchain Innovation Hub dell’Università RMIT, ricercando l’uso della tecnologia blockchain per l’e-governance e l’e-Democracy. Si occupa anche di tokenizzazione di titoli immobiliari, ID digitali, registri pubblici e voto elettronico. Oleksii è stato coautore di una legge sulle petizioni elettroniche in Ucraina, collaborando con l’amministrazione presidenziale del paese e servendo come manager del gruppo non governativo e-Democracy dal 2014 al 2016. Nel 2023, Oleksii ha partecipato alla stesura di un disegno di legge contro il riciclaggio di denaro e questioni fiscali per le risorse crittografiche in Ucraina.