当今的许多网站都要求用户创建一个帐户或使用来自Google或Facebook等身份提供商(IDP)的现有帐户进行身份验证。这导致了三个主要问题,毛球科技整理如下:
首先,该帐户仅存储在网站的后端,因此用户基本上只是借用该帐户,从而使网站的维护者可以限制、阻止甚至删除该帐户。因此,用户几乎无法控制其在该网站上的身份。其次,网站需要将帐户信息存储在其数据库中,这会创建对网络攻击具有吸引力的数据孤岛,并且需要为用户提供管理它的功能,并保护其免受未经授权的第三方访问。如果用户不重复使用来自Google等IDP的帐户,则用户必须创建另一个身份并需要记住密码。该网站必须提供和维护一个安全的基础设施。第三,了解用户的行为对于广告提供商等第三方来说是有利可图的信息,他们为此付出了很多。因此,用户的每一步都受到密切监控和分析,以尽可能准确地定位用户的广告。用户通常没有任何方法来阻止这种数据利用。
Paradigm研究员Samczsun等人成立Web3紧急安全响应系统:8月7日消息,Paradigm研究员Samczsun在ETHSecurity社区发文称,为了防止用户在寻求安全帮助时无意间通知恶意行为者,他与一小群受信任的白帽黑客、审计员等合作开发一个原型Web3 911系统。
如果用户有紧急情况需要帮助或联系安全人员,可在Telegram通过@seal_911_bot向其发送消息。[2023/8/7 21:29:53]
SSI的潜力
自我主权身份(SSI)旨在为用户提供一种替代传统数字身份的方式,在这种情况下,用户可以完全控制并且其他服务需要请求访问此身份信息。结果,用户可以自己决定与他人共享哪些信息以及共享多长时间。
美国财政部金融研究办公室论文:CBDC将减少银行挤兑的威胁:7月12日消息,美国财政部金融研究办公室发表一篇关于CBDC以及稳定性的论文。研究人员认为,“为应对CBDC而对私人金融安排进行的调整可能会稳定金融体系,而不是破坏金融系统。”
新的研究反驳了CBDC会危及传统银行业的担忧,即CBDC会刺激存款人将钱从银行取出,从而加剧银行挤兑。(The Block)[2022/7/13 2:10:12]
SSI依赖于通常基于或与区块链技术兼容的加密密钥对。这允许在两方或多方之间建立私有和加密的消息通道。以可验证凭证形式的身份证明不存储在区块链上,而仅存储在持有人的设备上。
微软研究基于以太坊区块链的激励系统以打击盗版:8月16日消息,在微软研究部门发布的一篇新论文中,在阿里巴巴和卡内基梅隆大学的研究人员的参与下,这家总部位于雷德蒙德的软件巨头研究了一种基于区块链的激励系统,以支持反盗版活动。Argus建立在以太坊区块链上,旨在提供一种无需信任的激励机制,同时保护从开放匿名盗版记者群体中收集的数据。Argus可以使用论文中详述的相应水印算法将盗版内容回溯到源头,也称为“泄露证明”,每份泄露内容的报告都涉及一个信息隐藏程序。该论文详细介绍了以太坊网络费用问题,并解释说,该团队优化了多项加密操作,“以便将盗版报告的成本降低到相当于发送大约14笔ETH转移交易以在公共以太坊网络上运行的成本,这将否则对应于数千笔交易。”(Cointelegraph)[2021/8/16 22:17:22]
这些凭证可以与第三方完全、部分或与其他凭证一起共享,并经过加密签名,允许零知识证明。为了避免身份关联,用户可以为与他人的每个连接创建新的标识符,并在他们的钱包中管理它们。因此,SSI被认为是高度隐私保护的。
研究:以太坊天价手续费转账地址或与庞氏局PlusToken有关:对于“以太坊天价手续费转账事件”,加密货币研究员FrankTopbottom表示,其中两笔交易都连接到一个发件人的地址,动机也很可能也是一致的。第二笔交易发送者通过大量的一次性随机地址向Upbit热钱包送资金,这可能与加密货币混合器(mixer)有关,并且牵扯到韩国个人或实体交易所。在有关该混合器的交易追踪期间,发现了与庞氏局PlusToken的联系。PlusToken的ETH转账过程可能被错误标记为交易所的地址,其实是通过混合器从各个PlusToken钱包中收取了资金,为了混淆对该地址的调查,还发布了一个未知的WOR代币,此代币随后从混合器地址中分发,分发结束后,该代币不再使用。两次交易的地址可能是一个僵尸程序,而僵尸程序的大部分交易是到多家韩国交易所的取款和存款。据此前报道,PeckShield分析称以太坊天价手续费转账与韩国庞氏局交易所GoodCycle有关。[2020/6/19]
此外,在毛球科技看来,SSI不仅适用于个人,还适用于任何数字参与者,如物联网设备、公司或数字代理。他们都同意标准化的技术和格式,这些技术和格式可以无缝集成到需要某种形式的数字身份的互联网各个领域。
技术
区块链和其他分布式账本技术在SSI中发挥着重要作用。它能够以对抗审查的方式创建去中心化标识符。
此外,区块链作为信任根,发行人可以在其上发布其DID或撤销注册表,以简化验证者的验证过程。但是,底层技术不需要是区块链,因此通常被概括为可验证数据注册表。
SSI的中心是去中心化标识符(DID)标准。DID是身份的表示,并链接到DID文档,该文档包含有关此DID的授权公钥和建立连接所必需的服务端点的信息。
DID方法描述了如何在特定区块链上生成DID。如今,近100种DID方法已注册——其中包括比特币和以太坊等流行的区块链以及HyperledgerIndy等仅专注于自我主权身份的区块链。
VerifiableCredentials是SSI生态系统中的第二个标准,可以证明信息到特定的DID。可验证凭证的一个经典示例可能是ID的数字版本。政府机构向用户颁发证书,其中包含姓名、地址、出生日期和有关此人的更多详细信息。然后签署此文件并将其颁发给将其存储在其设备中的凭证持有人。
第三方验证者,例如,银行请求此信息以可验证凭证的形式为用户开设银行账户。用户接受请求并将请求的信息呈现给验证者。验证者自动验证签名和共享属性,如果满足所有条件,则为用户开立银行账户。
剩下的挑战
不幸的是,人类习惯丢失自己的东西以及所有可以帮助恢复它的东西。在区块链世界,丢失密钥就意味着数字身份的丢失,所以在区块链世界,应该尽可能地避免丢失密钥。
此外,法律也应该立法依法保护私钥,因为它是基础设施的重要组成部分。密钥不能通过互联网安全地发送,因为只要有一个不良行为者就足以破坏身份并使其无用。
根据克里斯托弗艾伦的说法,保护私钥的一种方法就是制定一项法律。禁止强迫个人出示私钥。
同时,毛球科技认为,公众采用也是一个悬而未决的问题。该技术的大部分已准备好供公众使用,但由政府以可验证凭证的形式提供可信信息,并由市场将其使用到他们的解决方案中。
结论
自我主权身份拥有成为互联网上缺失的身份层所需的一切。它建立在专门为SSI生态系统开发的DID和相关格式以及可验证凭证等标准之上,并允许用户创建任意数量的标识符并向其声明信息。
用户将有机会控制他们的标识符和他们声称的信息,这是一种在互联网上进行交互的创新和保护隐私的方式。
但是,仍然缺少完全安全的密钥备份和恢复机制,以及用户设备上的关键私钥存储基础设施。一旦这些障碍消除,用户和网站就可以接受和支持SSI技术了。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。