Twitter Tidak Akan Diretas Sekiranya Disokong oleh Teknologi Blockchain

Undang-undang Murphy menyatakan: “Apa sahaja yang boleh salah akan menjadi salah.” Ia selalu berlaku dengan perkhidmatan terpusat. Setahun yang lalu, kami melihat bagaimana setengah juta akaun Facebook dibocorkan dalam talian, mendedahkan data peribadi. Kami akan melihatnya berkali-kali lebih banyak dengan perkhidmatan lain. Hack Twitter baru-baru ini menggarisbawahi ini sekali lagi. Akaun Elon Musk, Bill Gates, Jeff Bezos, Kanye West, Kim Kardashian, Mike Bloomberg, Joe Biden, Barack Obama, antara lain, diretas untuk mendorong tawaran palsu dengan Bitcoin (BTC).

Menulis untuk BBC, pengulas keselamatan siber Joe Tidy berpendapat: “Kenyataan bahawa begitu banyak pengguna yang berbeza telah dikompromikan pada masa yang sama menunjukkan bahawa ini adalah masalah dengan platform Twitter itu sendiri.” Semua akaun terdedah; itu hanya pilihan untuk penggodam: Menggunakan selebriti lebih baik “menyokong” penipuan.

Masalahnya adalah bahawa walaupun Twitter atau perkhidmatan lain dengan seni bina yang serupa terus membangun tembok keselamatan siber di sekitar sistemnya, ia akan menjadi lebih rumit dan mahal, tetapi tidak lebih selamat. Paradigma perkhidmatan terpusat semasa tidak dapat menawarkan penyelesaian yang lebih selamat untuk pengesahan pengguna.

Baru-baru ini saya telah menulis mengenai teknologi baru yang dapat melindungi data dan identiti digital, menggunakan contoh pengalaman Australia dan Eropah dan bagaimana sijil kunci awam dapat dilindungi dengan teknologi blockchain daripada penolakan perkhidmatan penolakan dan man-in-the-middle yang diedarkan serangan. Walaupun analisis saya cukup teknikal dan teliti, mungkin lebih baik mengambil langkah mundur dan menyusun beberapa perincian umum tetapi berkaitan yang dapat meningkatkan perlindungan data.

Berikut adalah beberapa istilah untuk anda gunakan semasa bertanya kepada penyedia perkhidmatan anda, kedai dalam talian anda atau kerajaan anda mengenai apakah mereka melindungi data peribadi anda:

  • Pengecam desentralisasi, atau JPS, adalah kerangka umum oleh W3C dengan pelbagai kaedah untuk membuat dan mengurus pengecam peribadi dengan cara yang terdesentralisasi. Dengan kata lain, pembangun perkhidmatan dalam talian tidak perlu membuat sesuatu yang baru sekiranya mereka ingin menggunakan potensi teknologi yang terdesentralisasi. Mereka dapat menggunakan kaedah dan protokol ini.
  • Protokol pendedahan selektif, atau SDP, yang dipersembahkan tahun lalu di EOS Hackathon oleh pengasas bersama Vareger, Mykhailo Tiutin dan pasukannya, adalah kaedah terdesentralisasi untuk menyimpan data peribadi (menggunakan JPS) dengan perlindungan kriptografi pada blockchain. Dengan SDP, pengguna dapat mendedahkan maklumat yang dipilih dengan teliti dalam transaksi tertentu.
  • Identiti berdaulat diri, atau SSI, adalah konsep yang, dalam istilah mudah, membolehkan pengguna menjadi pemilik data dan identiti peribadi mereka, bukan pihak ketiga. Ini menunjukkan bahawa anda boleh menyimpan data peribadi pada peranti anda, bukan di pelayan Twitter atau orang lain. Untuk menggambarkan kekuatan konsep SSI, fikirkan pernyataan ini: Lebih mudah untuk menggodam satu sistem terpusat yang menyimpan berjuta-juta akaun daripada menggodam berjuta-juta peranti peribadi. Tetapi persoalannya jauh lebih mendalam. Sekiranya kita menghadapi kediktatoran digital, akar masalah ini adalah ketiadaan hak untuk mengawal dan melarang pihak ketiga (termasuk pemerintah) menyimpan dan mengendalikan data peribadi anda. Yang mengerikan eksperimen dengan orang Uighur di China adalah contohnya. Warganegara tidak memiliki hak hukum untuk mengatakan tidak kepada pemerintah yang mengumpulkan data peribadi mereka. Sudah tentu, kerajaan China membuat akaun tanpa persetujuan mereka untuk mendapatkan rekod mengenai apa yang dianggapnya sebagai tingkah laku yang tidak sesuai.

Untuk meletakkan sesuatu dalam perspektif, mari kita melalui situasi hipotesis.

Kes penggunaan: Alice dan identiti digitalnya

Alice menghasilkan pasangan kriptografi: kunci peribadi dan awam. Kunci peribadi menyulitkan transaksi, menggunakan tandatangan digital; kunci awam menyahsulitkannya. Kunci awam digunakan untuk mengesahkan sama ada Alice masuk, menandatangani kontrak, menandatangani transaksi blockchain, dll.

Untuk melindungi kunci peribadi, dia akan menyimpannya pada peranti perkakasan yang selamat dengan perlindungan PIN, misalnya, pada kad pintar, token pengesahan USB atau dompet cryptocurrency perkakasan. Walaupun begitu, alamat cryptocurrency adalah perwakilan kunci awam, yang bermaksud Alice dapat menggunakannya sebagai dompet duit syiling dan tokennya.

Walaupun kunci awam tidak dikenali, dia juga dapat membuat identiti digital yang disahkan. Dia boleh meminta Bob mengesahkan identitinya. Bob adalah pihak berkuasa perakuan. Alice akan melawat Bob dan menunjukkan kad pengenalannya. Bob akan membuat sijil dan menerbitkannya di blockchain. “Sijil” adalah fail yang mengumumkan kepada masyarakat umum: “Kunci awam Alice adalah sah.” Bob tidak akan menerbitkannya di pelayannya dengan cara yang sama seperti yang dilakukan oleh pihak berkuasa perakuan tradisional lain sekarang. Sekiranya pelayan terpusat pernah dilumpuhkan dalam serangan DDoS, tidak ada yang dapat mengesahkan sama ada identiti digital Alice itu sah atau tidak. Dalam serangan MITM seseorang dapat memalsukan identitinya. Ini tidak mustahil sekiranya sijil atau sekurang-kurangnya jumlah hashnya diterbitkan dalam talian.

Dengan ID yang disahkan, dia dapat melakukan transaksi rasmi, misalnya, mendaftarkan syarikat. Sekiranya Alice adalah seorang usahawan, dia mungkin ingin menerbitkan kenalannya, seperti nombor telefon. Menggunakan blockchain adalah pilihan yang lebih selamat kerana apabila data diterbitkan di media sosial, penggodam dapat masuk ke dalam akaun dan menggantinya untuk mengalihkan panggilan ke nombor lain. Perkara ini tidak mungkin dilakukan pada blockchain.

Sekiranya Alice pergi ke kedai arak, dia boleh menggunakan JPS yang disahkan. Penjual, Dave, akan menggunakan aplikasinya untuk mengesahkan dan mengesahkan JPS Alice dan bukannya kad pengenalannya. Alice tidak perlu mendedahkan nama dan tarikh lahirnya. Dia akan berkongsi dengan aplikasi Dave pengecamnya, yang disahkan oleh Bob, gambarnya dan “Di atas 21 tahun.” penyataan. Dave mempercayai rekod ini kerana Bob adalah pihak berkuasa sijil.

Alice boleh mencipta pelbagai nama samaran untuk membeli-belah dalam talian, media sosial dan pertukaran crypto. Sekiranya dia kehilangan kunci peribadinya, dia akan meminta Bob untuk mengemas kini rekodnya di blockchain untuk mengumumkan bahawa “kunci awam Alice tidak sah.” Oleh itu, jika seseorang mencurinya, setiap orang yang berinteraksi dengan kunci awamnya akan mengetahui bahawa mereka tidak boleh mempercayai transaksi yang ditandatangani dengan kunci ini.

Sudah tentu, ini adalah senario yang dipermudahkan, tetapi tidak realistik. Lebih-lebih lagi, beberapa proses ini sudah ada. Contohnya, orang Estonia e-Residensi kad tidak lebih daripada kad pintar dengan kunci peribadi pengguna. Dengan kad ini, anda boleh mendaftar syarikat dari jarak jauh di Estonia atau bahkan menandatangani kontrak. Disatukan ke dalam pasaran yang lebih besar, tandatangan digital Estonia dikenali di seluruh Kesatuan Eropah. Malangnya, pemerintahnya masih tidak melindungi sijil di blockchain.

Pengetahuan adalah kuasa. Pengguna harus tahu bahawa keselamatan siber mereka bukan hanya di tangan mereka, seperti yang orang katakan. Raksasa perisian dan media sosial harus melakukan peralihan untuk meningkatkan standard keselamatan, dan pengguna harus menuntutnya.

Pandangan, pemikiran dan pendapat yang dinyatakan di sini adalah pengarang semata-mata dan tidak semestinya menggambarkan atau mewakili pandangan dan pendapat Cointelegraph.

Oleksii Konashevych adalah pengarang Protokol Cross-Blockchain untuk Pangkalan Data Kerajaan: Teknologi untuk Pendaftaran Awam dan Undang-undang Pintar. Oleksii adalah Ph.D. rakan dalam program Ijazah Doktor Antarabangsa Bersama dalam bidang Undang-Undang, Sains dan Teknologi yang dibiayai oleh kerajaan EU. Oleksii telah bekerjasama dengan Pusat Inovasi Blockchain Universiti RMIT, meneliti penggunaan teknologi blockchain untuk e-pemerintahan dan e-demokrasi. Dia juga mengusahakan tokenisasi hak milik harta tanah, ID digital, daftar awam dan e-voting. Oleksii mengarang undang-undang mengenai e-petisyen di Ukraine, bekerjasama dengan pentadbiran presiden negara itu dan berkhidmat sebagai pengurus Kumpulan e-Demokrasi bukan kerajaan dari 2014 hingga 2016. Pada tahun 2023, Oleksii turut serta dalam menyusun rang undang-undang mengenai Anti Pencucian Wang dan masalah percukaian untuk aset kripto di Ukraine.