آیا بلاک چین افشای داده های شخصی را متوقف خواهد کرد؟

اگر شما یکی از ۲.۴ میلیارد کاربر فعال فیسبوک هستید، احتمال اینکه داده های شما افشا شود حدود ۱۷ درصد می باشد و اخیرا گزارش شده که ۴۱۹ میلیون اکانت در معرض خطر هستند. این یعنی مگر اینکه اوضاع تغییر کند و گرنه یک نفر از هر شش کاربر فعال احتمال دارد کنترل داده های شخصی خود را از دست دهد. باز هم اهمیتی ندارد که حکومت و یا یک شرکت داده های شخصی را کنترل کند و یا اینکه سیستم های آنها چقدر ایمن باشند، افشای داده های شخصی همیشه روی می دهد. اما مشکلات اساسی متمرکز سازی چه هستند و چگونه ما می توانیم داده های خود را از مجرمان، بازاریابان طمع کار و حکومت های فاسد نجات دهیم؟

افشای داده ها امری اجتناب ناپذیر است!

در دو هفته گذشته اخبار زیادی در مورد افشای داده ها گزارش شد. اخیرترین آنها که مورد بحث قرار گرفت، پایگاه داده ۴۱۹ میلیون اکانت فیسبوک می باشد که برای دانلود بر روی اینترنت پیدا شده بود و با جزئیاتی مانند نام، شماره تلفن، جنس و کشور سکونت تکمیل شده بود. مدتی قبل، Mastercard به طور رسمی درباره ۹۰۰۰۰ اکانت به خطر افتاده مقامات اتحادیه اروپا گزارش داد.

زمانی که من در اکراین زندگی می کردم، به یک بانک رفتم تا برای کارت اعتباری درخواست دهم. من از منشی پرسیدم که چرا از من درخواست هیچ مدرک درآمدی نکرده تا به من محدوده اعتبار بدهد و او در جواب گفت که آنها از قبل پایگاه داده صندوق پانسیون را بررسی کرده اند. برای هر حقوقی به مقدار معینی توسط صندوق پانسیون دولتی مالیات تعیین می شود، پس با دیدن مالیات های پرداخت شده من، انها می توانستند درآمد من را محاسبه کنند. من فکر کردم اوه خدای من، آنها حتی سعی نمی کنند این حقیقت را پنهان کنند که آنها از یک پایگاه داده دزدیده شده استفاده می کنند که داده های شخصی هر فردی در کشور در آن است.

خوشبختانه نیازی به اثبات این نیست که امنیت داده های شخصی را نمی توان توسط هر شخصی تامین کرد. در بعضی از موارد، حق حریم شخصی نادیده گرفته می شود و این در حالی است که در مواردی دیگر، کاربران هرگز در مورد این تخلفات باخبر نخواهند شد. برای بعضی از افراد، این گونه نقض حریم خصوصی تندرستی و آزادی را تهدید می کند. مانند همان مثال حکومت چین که زیرساخت آیفون را هک کرد تا اویغور ها را دستگیر کند.

و دلیل این امر متمرکز سازی است. دسته های بزرگی از مجموعه داده های شخصی بر روی سرور های فراهم کننده سرویس متمرکز هستند که این امر چنین داده هایی را آسیب پذیر می کند.

آیا بلاک چین می تواند کمک کند؟

جواب واضح نیست اما بله می تواند کمک کند. ما لازم است اساسا هر چیزی را در مورد نحوه مدیریت داده های شخصی تغییر دهیم. و این تنها می تواند با کمک بلاک چین و همکاری حکومتی انجام شود.

در خلال چند سال گذشته، تلاش های مبتنی بر ICO باعث متحول کردن صنعت آی دی دیجیتال شد. من نمی خواهم هیچ یک از این پروژه ها را ذکر کنم. شاید بعضی از آنها حسن نیت داشته اند اما در کل برای حل مسائل جهانی و ملی خام به نظر می رسیدند.

دو اصطلاح جدید در ارتباط با تغییرات مدیریت داده های شخصی ایجاد شده اند که یکی از آنها DID می باشد که خلاصه عبارت decentralized digital identifiers (شناسه های دیجیتال غیر متمرکز) است و دیگری Verifiable Credentials (اعتبار نامه های قابل تایید) می باشد که تا تبدیل شدن به استاندارد یک قدم فاصله دارد. استاندارد های جدید برای هویت دیجیتال مستقل توسط بنیاد هویت دیجیتال (DIF) و کنسرسیوم شبکه گسترده جهانی (W3C) در حال ابداع می باشند. جامعه W3C مجموعه ای از مفاهیم عمومی، استاندارد ها و روش ها را به منظور رقم زدن برگ جدیدی در فناوری ارتباطات و اطلاعات تعریف کرده است.

روش های مطابق با DID که اخیرا به عنوان یک نمونه اولیه توسعه پیدا کرده اند ممکن است حتی برای برخی از هواداران DID ناشناخته باشد. این مفهوم به این صورت است که کاربران داده های شخصی را به صورت محلی بر روی ابزار های خود ذخیره می کنند و این در تناقض با الگوی حال حاضر دفاتر متمرکز بر کلود مدیریت شده توسط حکومت هستند که دسترسی نسبتا محدودی دارند. کاربران هرگز لازم نیست که همه داده ها را افشا کنند بلکه تنها به صورت ناقص و در زمانی که تصدیق شود این امر صورت می گیرد. احراز هویت با استفاده از یک درخت Merkle و ریشه های امضا شده دیجیتال انجام می شود که بر روی بلاک چین ذخیره شده اند. فراهم کنندگان سرویس (سرویس های شبکه، حکومت ها و غیره) داده های شخصی را ذخیره نمی کنند اما می توانند هویت دیجیتال شما را در هر لحظه ای که با شما تعامل داشته باشند، تایید نمایند.

روش افشای ناقص داده های شخصی بر اساس یک درخت Merkle 

این مفهوم توسط Mykhailo Tiutin با استفاده از کار های Vareger نگاشته شد و به این صورت است که ابتدا داده ها را می توان و باید بجای یک سرور شخص ثالث بر روی ابزار کاربر ذخیره کرد. در بسیاری از موارد، این داده ها حتی ابزار کاربر را ترک نمی کنند و یا فاش نمی شوند اما در صورتی که فاش شوند، عامل تنها کسری از داده های شخصی مورد نیاز برای تعامل مورد بحث را دریافت می کند.

به عنوان مثال، شما وارد یک مغازه مشروبات الکلی می شوید. هم شما و هم صندوق دار دارای دستگاه های موبایل با سرویس تایید هویت از قبل نصب شده می باشید. در قوانین ایالات متحده فروش الکل به افراد زیر ۲۱ سال ممنوع می باشد. از لحاظ فنی، صندوق دار لازم نیست که نام شما، شماره امنیت اجتماعی شما و حتی تولد شما را بداند؛ او تنها لازم است بداند که آیا شما بالای ۲۱ سال هستید یا نه. برای مهندسی که این سیستم را طراحی می کند، این سوال که آیا شما بیش از ۲۱ سال دارید تنها یک متغییر بولی می باشد که خیر= ۰ و بله=۱ می باشد.

برای طراحی این سیستم، فرد تنها به چند چیز نیاز دارد: یک درخت Merkle که برگ ها، هش های داده های شخصی می باشند (نام، تولد، آدرس، عکس و غیره) و ریشه که یک رشته رمزنگاری شده است توسط یک فراهم کننده سرویس ایمن (TSP) امضا می شود.

فراهم کننده اعتماد می تواند حکومت باشد (به عنوان مثال ویزر امور داخلی) یا یک بانک و یا یک دوست باشد یعنی فردی که طرفین متقابلا به هم اعتماد دارند. ریشه و امضا به علاوه آی دی دیجیتال TSP، بر روی بلاک چین ذخیره می شوند.

مثالی از DID با افشای ناقص به صورت عملی 

اوضاع در این مغازه به این صورت می باشد که شما گوشی هوشمند خود را بیرون می آورید و اپلیکیشن تایید هویت خود را باز می کنید. سپس انتخاب می کنید که می خواهید کدام داده ها برای دستگاه صندوق دار افشا شود. در این مورد، ریشه، امضای دیجیتال فراهم کننده، تصویر شما و متغیر بولی “بالی ۲۱ سال” می باشد. نام، آدرس و یا SSN موجود نمی باشد. صندوق دار نتیجه تایید هویت را بر روی ابزار خود می بیند. این ابزار عکس فرستاده شده از ابزار مشتری را نمایش می دهد و بررسی می شود که آیا تصویر توسط TSP تایید شده است. اما به دلیل اینکه شما می توانید گوشی هوشمند فرد دیگری را بردارید، صندوق دار بررسی می کند که آیا عکس روی صفحه با صورت خریدار تطابق دارد. هیچ داده ای بجز ریشه و امضا بر روی بلاک چین ذخیره نمی شود و همه چیز بر روی گوشی هوشمند خودتان باقی می ماند. البته فروشنده ممکن است سعی کند که تصویر شما را بر روی ابزار خود ذخیره کند که در مورد آن بعدا صحبت خواهیم کرد.

مزیت این طرح این است که ریشه های متعددی می توانند با TSP های جداگانه موجود باشند. به عنوان مثال، شما می توانید ریشه ای برای مدرک آموزش داشته باشید که در آن موسسه آموزشی شما فراهم کننده خواهد بود و گواهی ها و فارغ التحصیلی شما را تایید می کند. برای همین داده ها ممکن است فراهم کنندگان اعتماد متعددی موجود باشد. به عنوان مثال، به عنوان یک شخص، شما می توانید هویتی داشته باشید که در سه کشور مختلف تایید شده باشد اما مدیریت هویت های دیجیتال مختلف تبدیل به یک کابوس شده است. شما باید تعداد زیادی رمز عبور و روش های احراز هویت را به یاد داشته باشید اما با استفاده از DID می توانید یک هویت جهانی داشته باشید.

مجموعه ای از هویت دیجیتال یکپارچه با فراهم کنندگان متعدد سرویس اعتماد 

شما همچنین می توانید در رسانه های اجتماعی، فوروم ها و فروشگاه های آنلاین یک نام مستعار برای خود ایجاد کنید. در این مکان ها شما اگر بخواهیید می توانید یک آی دی بی نام داشته باشید. نام های مستعار را می توان از طریق پروتکل های zero-knowledge به امضای TSP مرتبط کرد که این یعنی یک مدرک دیجیتال وجود دارد که هویت شما تایید شده است اما از سرویس شبکه مخفی شده است.

مجموعه ای از نام های مستعار براساس یک هویت دیجیتال تایید شده 

روش ها و طرح های زیادی در مورد نحوه محافظت از هویت وجود دارد اما ایده اساسی این است که همه داده ها باید در کنترل خودتان باشند. در اکثر موارد، شما نباید داده های خود را اصلا افشا کنید (توسط پروتکل های گواه روش ها و طرح های زیادی در مورد نحوه محافظت از هویت وجود دارد اما ایده اساسی این است که همه داده ها باید در کنترل خودتان باشند. در اکثر موارد، شما نباید داده های خود را اصلا افشا کنید (توسط پروتکل های گواه zero-knowledge) و در بعضی موارد، شما لازم است که تنها به صورت ناقص داده ها را افشا کنید.

آیا آنها داده های شما را ذخیره خواهند کرد؟ 

W3C و هواداران مختلفی بر روی مفاهیم DID و Verifiable Credentials برای چند سالی کار کرده اند اما متاسفانه، هنوز هیچ گونه پذیرش عمومی را شاهد نبوده ایم و مانع اصلی در این راه حکومت ها می باشند.

برای تحقق یافتن این امر دو چیز باید اتفاق بیافتد:

۱- حکومت ها خودشان متمرکز سازی داده های شخصی را متوقف کنند.

همچنان که در بالا ذکر شد، هیچ کس از جمله حکومت ها هم امنیت داده های شما را ضمانت نخواهند کرد. روزی این داده ها به مخاطره خواهد افتاد و شما باید خوش شانس باشید که چنین انتشار داده ای باعث از دست رفتن پول شما و یا به خطر افتادن زندگی شما نشود.

بنابراین، اول از همه، حکومت ها باید ذخیره داده های شخصی را متوقف کنند. این چرخش عمل تنها روش برای تضمین امنیت داده های شخصی می باشد. این اظهارات برای افراد طرفدار حکومت ها ممکن است شوکه کننده باشد اما روش های DID و Verifiable Credentials شناخت مشتری (KYC) را بدون به خطر افتادن داده های شخصی تضمین می کنند. نیازی به یک حکومت نیست که داده های شخصی را جمع آوری کند مگر اینکه مقاصدی شوم برای این کار در میان باشد.

هویت دیجیتال برای فعالیت های خاصی در سطح فدرال لازم است که از جمله آنها می توان ثبت کردن یک شرکت، اظهار مالیات، رای گیری و غیره را نام برد. در این گونه موارد، هویت باید با سطح پذیرفته شده ای از یقین تایید شود که این توسط بلاک چین و زیرساخت فراهم کنندگان سرویس اعتماد فراهم خواهد شد.

۲- قوانین حریم خصوصی جدید چنان استاندارد های بالایی را برای انبارش داده های شخصی و جریمه های شخص ثالث ایجاد می کنند که این انبارش از لحاظ اقتصادی غیر ممکن خواهد شد.

 PDRP (قانون محافظت از داده های شخصی) باید بعد از قانون محافظت داده های عمومی (GDPR) تبدیل به اقدام بعدی شود. در حالی که ایالات متحده و کشور های دیگر در حال سعی برای بهبود از GDPR هستند، مفهوم PDPR در حال بحث در اتحادیه اروپا می باشد.

عامل اصلی در این مورد این است که سیاستمداران باید جرات داشته باشند که سخت ترین قوانین را بپذیرند و بالاترین جریمه های ممکن را اعمال نمایند. و تنها یک منظور برای این وجود دارد: هر زمانی که یک بانک، شرکت و یا خدمت همگانی به این فکر کند که آیا ذخیره داده های شخصی افراد ایده خوبی است یا نه، آنها لازم است خیلی با دقت در مورد کافی بودن دلایل خود فکر کنند زیرا ما می دانیم که هر زمان که داده های شخصی متمرکز شود، ناگزیر روزی به مخاطره خواهد افتاد.

در عوض، ذخیره داده ها بر روی ابزار کاربر موانع بیشتری را ایجاد خواهد کرد. دزدیدن ۵۰۰ میلیون اکانت از یک ابزار اسان تر از ۵۰۰ میلیون اکانت از ابزار های مستقل می باشد.

هر شخصی باید حق کنترل موجودیت عمومی داده های شخصی خود را داشته باشد و برای خودشان تصمیم بگیرند که آنها چه چیزی را به اشتراک می گذارند. بنابراین قوانین و فناوری جدید باید به سمت توقف ذخیره متمرکز داده های شخصی هدایت شود. اگر چنین نشود، باید بنشینیم و منتظر از دست رفتن داده های خود باشیم و با کلیک بر روی دکمه “من موافقم” کنترل داده های خود را به اشخاص دیگر بدهیم.