Beendet Blockchain die Weitergabe persönlicher Daten?

Wenn Sie einer der 2,4 Milliarden aktiven Facebook-Nutzer sind, liegt die Wahrscheinlichkeit, dass Ihre Daten durchgesickert sind, bei etwa 17%, wenn man die jüngsten Nachrichten von 419 Millionen offen gelegten Konten berücksichtigt. Das bedeutet, dass jeder sechste aktive Benutzer die Kontrolle über seine persönlichen Daten verlieren kann, sofern sich nichts ändert. Unabhängig davon, ob die Regierung oder das Unternehmen personenbezogene Daten verwaltet oder wie sicher ihre Systeme sind, kommt es immer wieder zu Datenlecks. Aber was sind die grundlegenden Probleme der Zentralisierung und wie können wir unsere Daten vor Kriminellen, gierigen Vermarktern und korrupten Regierungen retten?

Undichtigkeiten sind unvermeidlich

Die letzten zwei Wochen haben uns enorme Neuigkeiten über Lecks gebracht. Die aktuellste Datenbank mit 419 Millionen Facebook-Konten wurde im Internet zum Download bereitgestellt und enthält Angaben zu Namen, Telefonnummern, Geschlecht und Wohnsitzland. Vor einiger Zeit meldete Mastercard den Behörden der Europäischen Union offiziell etwa 90.000 gefährdete Konten.

Als ich in der Ukraine lebte, ging ich einmal zu einer Bank, um eine Kreditkarte zu beantragen. Ich fragte die Angestellte, warum sie keinen Einkommensnachweis angefordert habe, um mir ein Kreditlimit zu gewähren. Sie antwortete, dass sie bereits die Datenbank der Pensionskasse überprüft hätten. Jedes Gehalt wird von der staatlichen Pensionskasse mit einem bestimmten Betrag besteuert, sodass sie anhand meiner gezahlten Steuern mein Einkommen berechnen können. "Oh mein Gott", dachte ich. "Sie versuchen nicht einmal, die Tatsache zu verbergen, dass sie eine gestohlene Datenbank mit den persönlichen Daten aller im Land verwenden."

Hoffentlich muss nicht nachgewiesen werden, dass die Sicherheit personenbezogener Daten von niemandem zugesichert werden kann. In einigen Fällen wird das Recht auf Privatsphäre ignoriert, in anderen Fällen werden Benutzer möglicherweise nie über die Verstöße informiert (danke für den Tipp, Edward Snowden). Für einige Menschen bedrohen diese Verletzungen der Privatsphäre das Wohlergehen und die Freiheit, wie die chinesische Regierung, die die Infrastruktur des iPhones hackt, um in China lebende Uiguren zu erobern.

Und der Grund dafür ist die Zentralisierung. Große Gruppen persönlicher Datensätze konzentrieren sich auf die Server von Diensteanbietern, wodurch diese Daten anfällig werden.

Kann die Blockchain helfen?

Die Antwort ist nicht offensichtlich – aber ja, es kann helfen. Wir müssen alles grundlegend ändern, was den Umgang mit personenbezogenen Daten betrifft. Und dies kann nur mit Hilfe der Blockchain und der Regierungszusammenarbeit geschehen.

In den letzten Jahren wurden erste Versuche unternommen, die Branche der digitalen Ausweise durch das Anbieten von Münzen (ICO) zu „stören“. Ich möchte keines dieser Projekte erwähnen. Vielleicht hatten einige von ihnen aufrichtige Absichten, aber sie schienen verfrüht, Probleme auf globaler und nationaler Ebene zu lösen.

Verwandte: Online-ID-Kontrolle: Blockchain-Plattformen vs. Regierungen und Facebook

Zwei neue Begriffe im Zusammenhang mit den Änderungen in der Verwaltung personenbezogener Daten sind DID, was für „dezentrale digitale Identifikatoren“ steht, und Verifiable Credentials (verifizierbarer Berechtigungsnachweis, der einen Schritt davon entfernt ist, zum Standard zu werden). Neue Standards für souveräne digitale Identität werden von der Digital Identity Foundation (DIF) und dem World Wide Web Consortium (W3C) entwickelt. Die W3C-Community skizzierte eine Reihe allgemeiner Konzepte, Standards und Methoden, um eine neue Seite in der Informations- und Kommunikationstechnologie zu erstellen.

DID-konforme Methoden, die kürzlich als Prototyp entwickelt wurden, sind möglicherweise selbst einigen DID-Enthusiasten unbekannt. Das Konzept lautet wie folgt: Benutzer speichern persönliche Daten lokal auf ihren Geräten und widersprechen damit dem aktuellen Paradigma staatlich verwalteter cloudbasierter Register mit teilweise eingeschränktem Zugriff. Benutzer müssen niemals alle ihre Daten offenlegen, sondern nur teilweise und nur, wenn es gerechtfertigt ist. Die Authentifizierung erfolgt über einen Merkle-Baum und digital signierte Roots, die in der Blockchain gespeichert sind. Dienstanbieter (Webservices, Behörden usw.) speichern keine personenbezogenen Daten, können jedoch Ihre digitale Identität jederzeit überprüfen, wenn sie mit Ihnen interagieren. Das von Mykhailo Tiutin aus Vareger verfasste Konzept funktioniert wie folgt. Erstens können und müssen die Daten auf dem Gerät des Benutzers und nicht auf einem Server eines Drittanbieters gespeichert werden. In vielen Fällen sollten die Daten nicht einmal das Gerät des Benutzers verlassen oder offengelegt werden. Wenn sie jedoch offengelegt werden, erhält der Agent nur einen Bruchteil der persönlichen Daten, die für die betreffende Interaktion erforderlich sind.

Zum Beispiel gehen Sie in einen Spirituosenladen. Sowohl Sie als auch die Kasse verfügen über mobile Geräte mit einem vorinstallierten Identitätsprüfungsdienst. Das Gesetz der Vereinigten Staaten verbietet den Verkauf von Alkohol an Personen unter 21 Jahren. Technisch muss der Kassierer weder Ihren Namen noch Ihre Sozialversicherungsnummer oder sogar Ihren Geburtstag kennen – nur, ob Sie über 21 Jahre alt sind, wie in der Gesetz. Für einen Ingenieur, der dieses System entwirft, ist die Frage "Sind Sie über 21 Jahre alt?" Nur eine boolesche Variable von 0 = Nein, 1 = Ja.

Um dieses System zu entwerfen, braucht man ein paar Dinge: einen Merkle-Baum, in dem die Blätter mit persönlichen Daten (Name, Geburtstag, Adresse, Foto usw.) versehen sind, und den Stamm, einen von einem Vertrauensdiensteanbieter signierten kryptografischen String (TSP).

Der Vertrauensgeber kann die Regierung (zum Beispiel das Innenministerium), eine Bank oder ein Freund sein – d. H. Jemand, dem die Parteien gegenseitig vertrauen. Die Wurzel und die Signatur sowie die digitale ID des TSP werden in der Blockchain gespeichert.

Die Szene im Geschäft sieht wie folgt aus: Sie nehmen Ihr Smartphone heraus, öffnen Ihre App zur Identitätsprüfung und wählen aus, welche Daten Sie dem Gerät des Kassierers mitteilen möchten. In diesem Fall: das Stammverzeichnis, die digitale Signatur des Anbieters, Ihr Bild und der Boolesche Wert „Over 21“. Keine Namen, keine Adressen, keine SSNs. Die Kassiererin sieht das Überprüfungsergebnis auf ihrem Gerät. Das Gerät zeigt das vom Gerät des Kunden gesendete Foto an und prüft, ob das Bild von einem TSP überprüft wurde. Da Sie jedoch das Smartphone eines anderen Benutzers hätten nehmen können, prüft die Kasse, ob das Bild auf dem Bildschirm mit dem Gesicht des Käufers übereinstimmt. In der Blockchain sind keine Daten außer Root und Signatur gespeichert – alles bleibt auf Ihrem Smartphone. Natürlich kann der Verkäufer versuchen, Ihr Bild auf seinem Gerät zu speichern, aber das werden wir später besprechen.

Der Vorteil dieses Schemas ist, dass es mehrere Roots mit separaten TSPs geben kann. Beispielsweise können Sie eine Wurzel für einen Bildungsnachweis haben, für den Ihre Bildungseinrichtung der Anbieter ist, der Ihre Credits und Ihren Abschluss bescheinigt. Es kann auch mehrere Vertrauensanbieter für dieselben Daten geben. Als Person können Sie beispielsweise eine Identität in drei verschiedenen Ländern überprüfen lassen, aber die Verwaltung mehrerer digitaler IDs ist zu einem Albtraum geworden – Sie müssen sich Dutzende von Passwörtern und Autorisierungsmethoden merken -, aber mit DID können Sie eine universelle ID haben .

Sie können auch ein Pseudonym in sozialen Medien, Foren und Online-Shops erstellen. Dort können Sie eine "Katze" oder nur eine namenlose ID sein, wenn Sie möchten. Pseudonyme können über Zero-Knowledge-Protokolle mit der Signatur eines TSP verknüpft werden. Dies bedeutet, dass ein digitaler Nachweis vorliegt, dass Ihre Identität überprüft wurde, dieser jedoch vor dem Webdienst verborgen ist.

Es gibt viele Möglichkeiten und Schemata zum Schutz der Identität, aber die Grundidee ist, dass alle Daten unter Ihrer Kontrolle stehen sollten – in den meisten Fällen sollten Sie Ihre Daten überhaupt nicht offenlegen müssen (durch wissensfreie Protokolle) und In einigen Fällen müssen Sie nur teilweise offen legen.

Speichern sie Ihre Daten?

W3C und verschiedene Enthusiasten arbeiten bereits seit einigen Jahren an Konzepten für DIDs und überprüfbare Berechtigungsnachweise. Leider haben wir noch keine Massenakzeptanz erlebt, und der größte Nachteil sind die Regierungen.

Dazu müssen vor allem zwei Dinge geschehen:

1. Die Regierungen selbst hören auf, personenbezogene Daten zu zentralisieren.

Wie oben erwähnt, wird niemand – einschließlich der Regierung – die Sicherheit Ihrer Daten garantieren. Eines Tages wird es ausgesetzt sein, und Sie sollten sich glücklich schätzen, wenn dieses Leck nicht Ihr Geld verliert oder Ihr Leben bedroht.

Daher müssen die Regierungen zunächst die Speicherung personenbezogener Daten einstellen. Dieser Flip in der Praxis ist die einzige Möglichkeit, sichere personenbezogene Daten zu gewährleisten. Diese Aussage mag für „Pro-State“ -Denker umwerfend sein, aber die Methoden DID und Verifiable Credentials stellen sicher, dass Know Your Customer oder KYC verfügbar sind, ohne dass personenbezogene Daten offengelegt werden. Es besteht keine Notwendigkeit für eine Regierung, personenbezogene Daten zu sammeln, es sei denn, sie hat düstere Absichten.

Eine digitale ID ist für bestimmte Aktivitäten auf Bundesebene erforderlich: Registrierung eines Unternehmens, Erklärung von Steuern, Abstimmung usw. In diesem Moment muss die ID mit einem akzeptablen Maß an Sicherheit überprüft werden, das von der Blockchain und der Infrastruktur von bereitgestellt wird Vertrauensdiensteanbieter.

2. Neue Datenschutzbestimmungen stellen so hohe Anforderungen an die Speicherung personenbezogener Daten und die Verhängung von Bußgeldern Dritter, dass eine Speicherung wirtschaftlich nicht mehr durchführbar ist.

"PDPR" muss der zweite Schritt nach der Allgemeinen Datenschutzverordnung (GDPR) sein, wobei "P" für "persönlich" steht. Während die USA und andere Länder versuchen, sich von der GDPR zu erholen, lautet das Konzept der "Datenschutzverordnung" bereits in der EU diskutiert.

Ein wesentlicher Faktor dabei ist, dass die Politik den Mut haben muss, die strengsten Vorschriften zu erlassen und die höchsten Bußgelder zu verhängen, die angewendet werden können.

Und dies hat nur einen Zweck: Immer wenn sich ein Unternehmen, eine Bank oder ein Beamter fragt, ob es eine gute Idee ist, die persönlichen Daten einer Person zu speichern, muss sie genau überlegen, ob ihre Gründe ausreichen, denn wir wissen, wann immer es sich um persönliche Daten handelt zentralisiert, wird es unvermeidlich eines Tages ausgesetzt sein.

Stattdessen schaffen die auf dem Gerät des Benutzers gespeicherten Daten mehr Barrieren. Es ist einfacher, 500 Millionen Konten von einem Gerät zu stehlen als von 500 Millionen unabhängigen Geräten.

Jede Person sollte das Recht haben, die öffentliche Verfügbarkeit ihrer persönlichen Daten zu kontrollieren und selbst zu entscheiden, was sie teilen möchte. Daher müssen neue Vorschriften und Technologien dahingehend geändert werden, dass die zentrale Speicherung personenbezogener Daten nicht mehr praktiziert wird. Wenn nicht, dann entspannen Sie sich und gewöhnen sich daran, Ihre eigenen zu verlieren – eine "Ich stimme zu" -Taste nach der anderen.

Related: GDPR und Blockchain: Ist die neue EU-Datenschutzverordnung eine Bedrohung oder ein Anreiz?

Die hier geäußerten Ansichten und Meinungen sind ausschließlich die des Autors und spiegeln nicht unbedingt die Ansichten von Cointelegraph wider.