一场波及全球的疫情从方方面面改变了我们的生活,涉及身份认证的场景突然激增——我们不得不随时随地掏出疫苗护照或者行程卡、健康码等等接受检查,以配合疫情防控的安全需要,然而这其中的数据和隐私安全问题不容忽视。
针对该问题,本体创始人发表署名文章《Vaccine passports must leverage decentralized identity solutions》,深入剖析了去中心化身份解决方案如何解决该难题。该文已被 Security Magazine 收录。
“去中心化身份解决方案利用区块链技术为 COVID-19 通行证的数据隐私、身份风险问题提供了理想的解决方案。”
在跨越国界或进入某些场所时,验证身份是很常见的场景。无论是看电影还是乘坐飞机,人们都需要提供某种身份证明。随着全世界对抗 COVID-19 的斗争开始取得进展,关于新一代身份证明以及可以证明某人接种了疫苗的“疫苗接种护照“的争论愈发激烈。
在丹麦,动物园、主题公园等景点已经重新开放,并要求游客在入园时提供“疫苗护照”进行验证。在其他地方,欧盟正在开发一种数字绿色证书,允许接种疫苗的公民在其成员国之间自由旅行。在美国,每个州可以自行决定如何监管疫苗的接种,而其他许多发展中国家仍在与肆虐的病毒作斗争,尚未考虑疫情后的恢复计划该如何进行。
图源:Coronapas - The passport helping Denmark open up after Covid
围绕这个话题存在很多争议。许多人质疑到:在当前较贫困国家可能无法承担全民接种疫苗计划的情况下,要求他们实施疫苗接种计划是否公平。
然而,为了确保全球经济迅速复苏,必须制定一个安全可靠的计划,推动恢复公共空间逐步开放及人群跨区域流动。消费者数据平台红点环球最近的一项研究显示,当前航空旅行业出现大量的“报复性”需求,近一半接种了疫苗的美国人计划在今年夏天旅行。疫苗接种护照将在这些计划中发挥重要作用,但是必须以正确的方式管理它们,以防止解决问题的同时又制造新的问题。
图源:CNBC - Could a vaccine passport soon be your ticket to a quarantine-free vacation?
关于身份验证方法的选择存在很大差别。例如,在丹麦,除了使用二维码等身份识别标识外,进入公共场所前的身份验证也接受纸质证明,而冰岛则接受能够出示“疫苗接种卡”的美国旅行者。纸质证明存在很大的物理传播病毒的风险,并且,它们极易被伪造,比数字实体更容易复制。COVID-19 护照的价值很高,这可能导致犯罪分子在黑市上买卖假证明或者盗窃得来的证明。例如最近在爱尔兰发生的一起事件,犯罪分子利用假冒的接种预约电话窃取个人隐私信息,这说明犯罪分子正在伺机利用疫情进行非法活动、获取利益以及窃取个人信息。为了防止此类事件一再发生,我们必须寻求数字身份解决方案。
图源:the Journal - Gardaí warn about Covid-19 vaccine call and text scams
中心化数字解决方案有助疫情防控,但是缺点不容忽视。COVID-19追踪应用程序和在线疫苗接种护照存在其固有的安全风险。将公共卫生信息存入大型内部数据库要求个人对与之共享信息的各方拥有较高的信任。除非控制得当,否则用户向第三方移交大量数据之后,将丧失对于数据使用方式以及数据控制者的监督权利。最近,科技巨头微软为美国疫苗接种计划提供了相关技术。虽然它们具有广泛的资源,但仍然存在与大型企业集团参与公共卫生事务相关的内在道德及技术风险,因为它们可能获取到高度敏感的公共卫生信息。
图源:https://vci.org/
去中心化身份解决方案为与 COVID-19护照相关的数据隐私、身份风险问题提供了理想的解决方案。基于区块链运行的端到端解决方案,能够安全地共享个人私有信息,而且用户可以完全掌控其数据。错综复杂的全球供应链与疫情盛行的挑战导致了日益加剧的隐私问题,这意味着我们必须寻求去中心化身份与区块链技术的帮助,确保用户能够管理开放环境中所必需的大量敏感信息。纽约州最近推出了一款与 IBM 联合打造的区块链护照,反映了其对于在 COVID-19护照上应用区块链技术的信心。通过这项技术,区块链护照允许个人信息存在于平台上,但任何试图访问信息的人都需要提供验证。其不可更改的特性意味着平台中涉及的第三方(如 IBM)将无法访问或查看这些敏感信息。
图源:https://www.ibm.com/products/digital-health-pass
从本质上来讲,区块链能够确保数据保持不被篡改、安全,并且不可编辑。使用这项技术,医院将能够上传疫苗接种状态和健康信息,但只有所有者(即接种疫苗的人)才能访问该数据,使其完全符合 GDPR 和其他监管的要求。这些解决方案可以在保持去中心化与安全性的前提下集成到任何平台。因此,即使使用不同的平台,不同的应用程序和彼此独立的辖区也可以使用相同的功能。仍需注意的是,个人还必须通过采纳去中心化身份解决方案来承担保护其敏感数据的责任。运用这些技术,用户可以将数字身份存储在手机或可信的云端上,并通过授予和验证用户的访问权限,更加安全地管理其数字身份。
注:GDPR,即General Data Protection Regulation,一般资料保护规范。
当世界寻求 COVID-19护照和其他验证方法来获得重新开放时,我们必须以正确的方式管理它们,以防止解决问题的同时又制造新的麻烦。在区块链上运行的去中心化身份解决方案为与 COVID-19护照和其他验证方法相关的数据隐私、身份风险问题提供了理想的解决方案。这些解决方案对于确保数据主权和隐私权在发展过程中的首要地位来说至关重要。
本文转载自:https://www.securitymagazine.com/blogs/14-security-blog/post/95839-vaccine-passports-must-leverage-decentralized-identity-solutions
作者:本体创始人 Li Jun
Security Magazine 是企业安全方面传统头部媒体,成立于美国密歇根,至今已超过50年,主要关注风险管理、网络安全、领导力管理等方面,其半世纪以来在安全领域的贡献受到全球媒体认可。