آیا فناوری بلاک چین‌‌ نقطه پایانی بر افشای داده‌‌های شخصی خواهد بود؟

حتی با وجود پیشرفت‌‌های زیاد در عرصه فینتک، باز هم شاهد اتفاقات زیادی مانند فاش شدن داده‌‌های خصوصی و جمعی مردم هستیم و همین مسئله می‌‌تواند کاربران را با مشکلی جدی روبرو کند. در این میان می‌‌توان فناوری بلاک چین‌‌ را به عنوان یکی از راه‌‌حل‌‌های مناسب برای حفاظت از داده‌‌های شخصی افراد در نظر گرفت. در ادامه به بررسی نقش و پتانسیل بلاک چین برای ایجاد تغییر در این زمینه می‌پردازیم.

0 125

فناوری بلاک چین‌‌ نقطه پایانی بر افشای داده‌‌های شخصی

اگر یکی از ۲.۴ کاربر فعال فیسبوک باشید، با توجه به اخبار اخیر مبتنی بر افشا شدن اطلاعات ۴۱۹ میلیون حساب، احتمال اینکه داده‌‌های شما فاش شده باشند حدود ۱۷% است. این یعنی اگر تغییری در وضعیت موجود رخ ندهد، از هر شش کاربر یکی ممکن است کنترل اطلاعات خود را از دست بدهد. بدون توجه به اینکه سیستم حفاظت از اطلاعات یک دولت یا شرکت تا چه اندازه قدرتمند باشد، همیشه ممکن است اخباری مبنی بر فاش شدن داده‌‌های مختلف بشنویم. اما مشکلات اساسی متمرکزسازی کدام‌‌ها هستند و به چه صورت می‌‌توانیم از داده‌‌های خود در مقابل کلاهبرداران، بازاریابان طمعکار و دولت‌‌های فاسد محافظت کنیم؟

فاش شدن داده‌‌ها غیرقابل اجتناب است

در دو هفته اخیر اخبار بسیار زیادی در مورد فاش شدن داده‌‌ها شنیده‌‌ایم. تازه‌‌ترین آنها به از دست رفتن اطلاعات ۴۱۹ میلیون حساب فیسبوک اشاره دارد که افراد مختلف می‌‌توانستند از اینترنت دانلود کنند و جزئیاتی مانند نام، شماره تماس، جنسیت و کشور محل اقامت را به دست آورند. چندی پیش، شرکت Mastercard به صورت رسمی گزارشی را مبنی بر فاش شدن اطلاعات حدود ۹۰,۰۰۰ حساب به مقامات اروپایی ارائه داد.

زمانی که در اوکراین زندگی می‌‌کردم، یک بار به بانک رفتم تا تقاضای کارت اعتباری کنم. از متصدی بانک سوال کردم که چرا هیچ مدرکی در مورد درآمدهای من درخواست نمی‌‌کند تا سقفی مشخص برای اعتبار حساب مشخص شود. وی پاسخ داد که داده‌‌های صندوق بازنشستگی را قبلا بررسی کرده‌‌اند. تمامی حقوق‌‌ها با درصدی مشخص توسط صندوق بازنشستگی دولت مالیات‌‌گذاری می‌‌شوند و به همین صورت از طریق بررسی مالیات‌‌های پرداخت‌‌شده درآمد من را به دست آورده‌‌ بودند. پیش خودم فکر کردم که “خدای من! آنها حتی تلاش نمی‌‌کنند این حقیقت را پنهان کنند که از یک پایگاه داده دزدی و از اطلاعات شخصی تمام افراد کشور استفاده می‌‌کنند.”

خوشبختانه هیچ نیازی به ثابت کردن این نکته نیست که هیچ‌‌کس نمی‌‌تواند امنیت داده‌‌های شخصی را تضمین کند. در بعضی از موارد، حق حریم خصوصی داده‌‌ها نادیده گرفته می‌‌شود، در حالی که در بعضی از موارد دیگر کاربران ممکن است هیچگاه متوجه تخطی‌‌های صورت‌‌گرفته نشوند (با تشکر از ادوارد اسنوودن (Edward Snowden) به خاطر این نکته). تخطی به حریم خصوصی برای بعضی از مردم به منزله تهدید رفاه و آزادی است، مانند دولت چین که زیرساخت‌‌های آیفون را هک کرد تا اویغورهای [از اقلیت‌‌های ترک‌‌تبار] ساکن چین را دستگیر کند.

دلیل چنین مسئله‌‌ای را می‌‌توان در متمرکزسازی جستجو کرد. بخش‌‌های بزرگی از داده‌‌های شخصی را می‌‌توان در سرورهای ارائه‌‌دهندگان سرویس‌‌های مختلف پیدا کرد که همین نکته خود باعث آسیب‌‌پذیری آنها می‌‌شود.

آیا بلاک چین‌‌ می‌‌تواند این مشکل را حل کند؟

پاسخ قطعی برای این سوال ندارد اما بله، بلاک چین‌‌ می‌‌تواند کمک کند. باید همه چیز را به شیوه‌‌ای بنیادین و بر اساس نحوه بکارگیری داده‌‌های شخصی خود تغییر دهیم. چنین کاری را تنها می‌‌توانیم با کمک بلاک چین‌‌ و همکاری دولتی انجام دهیم.

در طی چند سال گذشته، تعداد زیادی عرضه‌‌ اولیه کوین (ICO) به منظور “متحول کردن” صنعت هویت دیجیتالی برگزار شدند. قصد ندارم به هیچ کدام از این پروژه‌‌ها اشاره کنم. شاید بعضی از آنها نیاتی صادقانه در سر داشتند، اما از لحاظ حل مسائل جهانی و ملی تا حدودی خام به نظر می‌‌رسیدند.

از اصطلاحات جدیدی که در زمینه تغییر مدیریت داده‌‌های شخصی به وجود آمده‌‌اند می‌‌توان به DID، شناسه‌‌های دیجیتالی غیرمتمرکز (Decentralized Digital Identifiers)، و “اعتبارنامه‌‌های قابل تایید” (Verifiable Credentials) اشاره کرد (که یک قدم تا استفاده به عنوان یک استاندارد فاصله دارند). استانداردهای جدید در زمینه هویت دیجیتالی توسط بنیاد هویت دیجیتالی (DIF) و کنسرسیوم وب جهان‌‌گستر (W3C) طراحی و اجراء می‌‌شوند. انجمن W3C دسته‌‌ای از مفاهیم، استانداردها و روش‌‌های کلی را مشخص کرده است که به منظور ایجاد عصری جدید در فناوری اطلاعات و ارتباطات به کار خواهند رفت.

روش‌‌های مبتنی بر DID که اخیرا به عنوان نمونه اولیه توسعه پیدا کرده‌‌اند ممکن است حتی برای طرفداران DID هم شناخته‌‌شده نباشند. مفهوم آنها بدین صورت است: کاربران داده‌‌های شخصی را بر روی دستگاه‌‌های خود ذخیره می‌‌کنند و بدین طریق پارادایم‌‌های فعلی دفاتر ثبت مبتنی بر فضای ابری و کنترل‌‌شده توسط دولت را با استفاده از دسترسی محدودتر به چالش می‌‌کشند. کاربران هیچگاه مجبور نخواهند شد تمامی داده‌‌های خود را نشان دهند، بلکه تنها جزئی از اطلاعات را در صورت نیاز رو خواهند کرد. تایید مراحل با استفاده از درخت مرکل (Merkle Tree) و ریشه‌‌های امضاءشده به صورت دیجیتالی که در بلاک چین‌‌ موجود هستند انجام خواهد گرفت. ارائه‌‌دهندگان سرویس (سرویس‌‌های وب، دولت‌‌ها و غیره) داده‌‌های شخصی را ذخیره نمی‌‌کنند، اما زمانی که با شما تعامل دارند قادر خواهند بود هویت دیجیتالی شما را تایید کنند.

آیا فناوری بلاک چین‌‌ نقطه پایانی بر افشای داده‌‌های شخصی خواهد بود؟

مفهوم ارائه‌‌شده توسط میخایلو تیوتین (Mykhailo Tiutin) از شرکت Vareger بدین صورت است. در ابتدا، داده‌‌ها به جای سرور اشخاص ثالث باید بر روی دستگاه خود کاربر ذخیره شوند. در بسیاری از موارد، داده‌‌ها حتی نباید از دستگاه فرد خارج یا اینکه نشان داده شوند – حتی در صورت نشان دادن آنها نیز طرف مقابل تنها بخشی از داده‌‌های شخصی مورد نیاز برای تعامل را دریافت خواهد کرد.

برای مثال، وارد یک مشروب‌‌فروشی می‌‌شوید. شما و صندوق‌‌دار هردو از یک سرویس تایید هویت بر روی گوشی همراه خود استفاده می‌‌کنید. قانون ایالات متحده فروش مشروب به افراد زیر ۲۱ سال را ممنوع کرده است. از لحاظ فنی، صندوق‌‌دار نیازی به دانستن نام، شماره تامین اجتماعی یا حتی تاریخ تولد شما ندارد – تنها برای اینکه بفهمد شما بیش از ۲۱ سال سن دارید یا خیر. برای مهندسی که چنین سیستمی را طراحی می‌‌کند، این سوال که “آیا بیش از ۲۱ سال سن دارید؟” تنها یک متغیر بولین (Boolean Variable) 0=خیر و ۱=بله است.

به منظور طراحی چنین سیستمی باید چند مورد را از نظر گذراند: درخت مرکل، که در آن برگ‌‌ها نمایانگر هش داده‌‌های شخصی (نام، تاریخ تولد، آدرس، عکس و غیره) هستند و ریشه که یک استرینگ رمزنگاری‌‌ بوده و توسط یک ارائه‌‌دهنده سرویس مورد اعتماد (TSP) امضاء شده است.

ارائه‌‌دهنده سرویس می‌‌تواند دولت (برای مثال، وزارت امور داخلی)، بانک یا یک دوست باشد، به عبارت دیگر، کسی که مورد اعتماد طرفین تعامل است. ریشه، امضاء و همچنین هویت دیجیتالی TSP بر روی بلاک چین‌‌ ذخیره می‌‌شوند.

آیا فناوری بلاک چین‌‌ نقطه پایانی بر افشای داده‌‌های شخصی خواهد بود؟

فرآیند کلی بدین صورت پیش می‌‌رود: گوشی خود را بیرون می‌‌آورید، اپلیکیشن تایید هویت را باز و انتخاب می‌‌کنید که کدام داده‌‌ها را با صندوق‌‌دار به اشتراک بگذارید. در این مورد: ریشه، امضاء دیجیتالی ارائه‌‌دهنده، عکس خود و بولی “بیش از ۲۱ سال”. هیچ اسم، آدرس یا شماره تامین اجتماعی در کار نخواهد بود. صندوق‌‌دار نتیجه تایید را بر روی گوشی خود مشاهده خواهد کرد. دستگاه وی تصویر فرستاده شده توسط دستگاه مشتری را دریافت خواهد کرد و آن را بر اساس اطلاعات ارائه‌‌شده توسط TSP بررسی خواهد کرد. اما از آنجایی که ممکن است گوشی شخص دیگری را برداشته باشید، آن را با چهره خودتان نیز مطابقت خواهد داد. هیچ اطلاعاتی غیر از ریشه و امضاء بر روی بلاک چین‌‌ ذخیره نمی‌‌شود – همه چیز بر روی گوشی همراه‌‌تان خواهد ماند. البته فروشنده ممکن است تصویر شما را در گوشی خود ذخیره کند که بعدا به آن خواهیم پرداخت.

مزیت چنین طرحی این است که می‌‌توان از چندین ریشه به همراه TSPهای جداگانه استفاده کرد. برای مثال، می‌‌توانید از یک ریشه برای مدرک تحصیلی خود استفاده کنید که در این صورت موسسه آموزشی محل تحصیل‌‌تان همان ارائه‌‌دهنده گواهی و در عین حال تاییدکننده مدرک فارغ‌‌التحصیلی خواهد بود. برای مثال، هویت شما به عنوان یک شخص ممکن است در سه کشور مختلف تایید شود، اما مدیریت چندین هویت دیجیتالی به یک کابوس تبدیل شده است – باید چندین رمز عبور و روش تایید را به خاطر بسپارید – در حالی که با استفاده از DID، می‌‌توانید تنها یک هویت جهانی داشته باشید.

آیا فناوری بلاک چین‌‌ نقطه پایانی بر افشای داده‌‌های شخصی خواهد بود؟

همچنین می‌‌توانید از یک نام مستعار در رسانه‌‌های اجتماعی، انجمن‌‌ها و فروشگاه‌‌های آنلاین استفاده کنید. در این صورت، می‌‌توانید از نام “کیتی” یا حتی یک هویت بدون نام استفاده کنید. نام‌‌های مستعار را می‌‌توان از طریق پروتکل‌‌های اثبات دانش-صفر (Zero-knowledge Protocols) به یکدیگر وصل کرد، یعنی یک روش مشخص برای تایید هویت خود در دسترس داشته باشید که از چشم سرویس‌‌های وب مخفی می‌‌ماند.

آیا فناوری بلاک چین‌‌ نقطه پایانی بر افشای داده‌‌های شخصی خواهد بود؟

روش‌‌ها و طرح‌‌های زیادی در مورد محافظت از هویت شخص وجود دارند، اما ایده اصلی این است که تمامی داده‌‌ها باید تحت کنترل خودتان باقی بمانند – در بیشتر موارد، به هیچ وجه نباید داده‌‌های خود را (از طریق پروتکل‌‌های دانش-صفر) نشان دهید و در بعضی از موارد، تنها بخش کوچکی از داده‌‌های خود را رو می‌‌کنید.

آیا داده‌‌های شما ذخیره خواهند شد؟

W3C و طرفدران این قضیه چندین سال است که بر روی DID و مفاهیم اعتبارنامه‌‌های قابل تایید کار کرده‌‌اند، اما متاسفانه تاکنون شاهد بکارگیری گسترده آنها نبوده‌‌ایم و مشکل اصلی را دولت‌‌ها به وجود آورده‌‌اند.

آیا فناوری بلاک چین‌‌ نقطه پایانی بر افشای داده‌‌های شخصی خواهد بود؟

برای عملی شدن چنین طرحی باید دو اتفاق اصلی رخ دهند:

۱. دولت‌‌ها باید دست از متمرکزسازی داده‌‌های شخصی بردارند.

همانطور که قبلا ذکر شد، هیچ‌‌کس – شامل دولت – امنیت‌‌ داده‌‌های شما را تضمین نمی‌‌کند. داده‌‌ها روزی فاش خواهند شد و اگر به نابودی ثروت یا حتی جان‌‌تان ختم نشود، باید خودتان را خوش‌‌شانس در نظر بگیرید.

بنابراین، اول از هر چیز دولت‌‌ها باید فرآیند ذخیره داده‌‌های شخصی را به پایان برسانند. تنها چنین چیزی می‌‌تواند امنیت داده‌‌های شخصی را تضمین کند. این حرف ممکن است برای متفکرین “طرفدار دولت” دردسرساز به نظر برسد، اما DID و روش‌‌های اعتبارنامه قابل تایید می‌‌توانند فرآیند تایید هویت مشتری یا همان KYC را انجام دهند، بدون اینکه هیچ داده شخصی را رو کنند. دولت‌‌ها هیچ نیازی به ذخیره اطلاعات شخصی ندارند، مگر اینکه ایده‌‌هایی دیگر در سر داشته باشند.

هویت دیجیتالی برای انجام دادن فعالیت‌‌های خاص در سطح فدرال مورد نیاز است: ثبت یک شرکت، استعلام مالیات، رای‌‌ دادن و غیره. در چنین مواقعی، هویت فرد باید بر اساس سطحی قابل قبول از اطمینان و ایمنی تایید شود که توسط بلاک چین‌‌ و زیرساخت‌‌ ارائه‌‌دهندگان سرویس‌‌های معتمد فراهم خواهد آمد.

۲. مقررات جدید در حوزه حریم خصوصی باید چنان استانداردهای سطح بالایی را برای ذخیره داده‌‌های شخصی و هزینه‌‌های اشخاص ثالث وضع کنند که ذخیره داده‌‌ها از لحاظ اقتصادی به صرفه نباشد.

مقررات حفاظت از داده‌‌های شخصی (PDPR) باید بعد از مقررات حفاظت از داده‌‌های عمومی (GDPR) در دستور کار قرار گیرد. در حالی که ایالات متحده و کشورهای دیگر سعی دارند با ساز و کارهای GDPR کنار بیایند، طرح PDPR نیز در برنامه‌‌های اتحادیه اروپا قرار گرفته است.

یکی از عوامل اصلی در این قضیه جسارت سیاست‌‌مداران در بکارگیری سخت‌‌ترین قوانین و وضع بالاترین میزان جریمه‌‌ها است.

همچنین این مسئله تنها یک هدف کلی دارد: هرگاه که شرکت‌‌ها، بانک‌‌ها یا سرویس‌‌های عمومی به ذخیره داده‌‌های شخصی افراد فکر می‌‌کنند، باید این مسئله را در نظر بگیرند که آیا دلایل کافی در اختیار دارند، چرا که می‌‌دانیم در صورت ذخیره داده‌‌های شخصی فاش شدن آنها در آینده اجتناب‌‌ناپذیر است.

در عوض، ذخیره داده‌‌ها در گوشی کاربران موانع بیشتری را به وجود می‌‌آورد. به سرقت بردن ۵۰۰ میلیون حساب از یک دستگاه در مقایسه با دزدیدن آنها از ۵۰۰ میلیون دستگاه بسیار آسان‌‌تر است.

هر شخص باید حق کنترل داده‌‌های خصوصی خود را در اختیار داشته باشد و اینکه کدام داده‌‌ها را با دیگران به اشتراک بگذارد. بنابراین، مقررات و فناوری‌‌ جدید باید هرچه زودتر به ذخیره داده‌‌های شخصی افراد پایان ببخشند. در غیر این صورت، باید با انتخاب گزینه “موافقم” در وب‌‌سایت‌‌های مختلف شاهد از دست دادن اطلاعات خود باشید.

منبع

شاید از این مطالب هم خوشتان بیاید.

ارسال پاسخ

آدرس ایمیل شما منتشر نخواهد شد.