王东临:数据安全的核心不在加密算法,而在密钥管理

慧聪通信网 2020-04-20 10:44 来源:互联网

【慧聪通信网】针对最近国内频发的互联网用户数据遭泄漏事件,王东临解读称,国内主流云服务商的数据安全措施,绝大部分数据都是不加密的,这源于管理者对用户的隐私保护的观念不够强,保密程度不够。

在他看来,解决用户数据安全最好的方式是:“与其将数据交给虎狼,并指望他们善待自己,不如自己掌控自己的数据。”

王东临多次在公开场合讲过数据安全问题,他认为,步入第50年的互联网成就很大,但是带来的隐私问题相当严重,“用户的数据隐私很乱。从微博数据泄露事件我们可以看到,用户没有数据隐私,但是另一边,如Telegram这类通过匿名实现隐私的应用缺少监管,正在滋生过于隐私的恶的一面。”

即便人们看到了中心化的巨头正在垄断用户数据带来的一切价值,但是大家都没有更好的办法。

王东临认为,解决这一问题最好的方法,是将数据归还给用户。而实现这一目标的最好方式,是使用去中心化的存储方案,不给中心化巨头留下垄断空间。

他进一步解析称,去中心化存储在全球拥有无数节点,用户的数据将存储在自己的账户里而不是中心化的服务器之中,不受任何中心化的第三方控制。此外,用户可以通过密钥掌控链上存储的用户数据。

去中心化存储的方案让用户得以实现不拥有一块硬盘也能够自己存储自己的数据,不在需要托管在中心化的机构手中。

我们已经见到了如Filecoin/IPFS、Yottachain等诸多很多成功的基于区块链的去中心化的存储方案,为什么还没有在互联网世界广泛应用呢?

实际上,强调信息公开透明的区块链存储方式如果不借助密码学的加密技术,可能更容易让隐私数据暴露在风险之中。

“数据不加密就相当于人不穿衣服。他进一步解读认为,所有的公开数据,都应该先加密再授权给所有人看,而且数据不仅要加密,还需要通过零知识加密的方式并结合TruPrivacy专利技术兼顾‘跨用户去重’属性,才能保证商业意义上的数据绝对安全。”王东临说。

而针对N号房事件中由匿名衍生出的“过于隐私”、“缺乏监管”的现象,王东临认为匿名尽管可能一定程度上满足隐私性的需求,但在具体的采用方案上需要加入一定的监管。

王东临认为,数字身份是一个很复杂的问题,如果能够将用户的物理身份和链上身份对应起来,就有机会在公链上创造一个“立法司法”,辅以一定的监管监督。

王东临教授以Yottachain目前正在沿用的一套坚固隐私和监管的方案举例,目前yottachain在全世界设置了多个监管区,用户可以付费在监管区内按照自己的需求付费屏蔽一定的链上内容。但存储节点和运营方依旧收到用户数据隐私保护的限制,不能翻看用户账号数据。举个例子,当某地破获一个邪教组织时,只需要拿到该邪教组织在链上存储文件的哈希值就可以对该文件进行封锁。

除此之外,由于用户的物理身份和链上身份是具备相关性的,yottachain链上的方式还可以通过用户的评分体系对链上身份进行评分评级,每个用户的历史评价都将通过盖戳的方式永久留存,并且公开可见。

“DID(去中心化的身份)和去中心化存储一结合,可以很好地实现这样的隐私保护。”王东临解读认为,DID可以让用户账号不受平台封号的限制,去中心化存储让用户数据自己掌控,而不是交给别人掌控,他人必须通过用户显式授权才能获得数据的使用权的。

相信还有很多人记得2015年的第23届全球顶级黑客大会DefCon挑战赛。

王东临到会摆下擂台,发起了另类风格的黑客挑战赛:悬赏10万美元,吸引全球顶级黑客前来破解其云存储数据,关键是他的服务器不设防。回到这场另类风格的黑客挑战赛,结果是:大量黑客前来尝试,皆无功而返,无人拿走王东临悬赏的10万美元。

王东临提到此事情,非常的骄傲,在云存储安全领域,没有人是他的对手。

王东临介绍说,技术上,基于Yottachain的Ystar是以安全易用的密钥基础设施为核心,通过身份管理、密钥管理、数字资产服务、存储服务、插件管理等服务构建区块链技术在应用层的基础设施。为传统互联网应用以及新兴的Dapp平台,提供标准化可调用基础服务模块,加速互联网流量的批量转化速度。

王东临公开表示,“Ystar将是区块链世界‘无形的’窗口…”

通过应用层的基础服务设施和简单安全易用的产品形式,快速引入互联网流量,加快区块链生态的化学反应,为新的数字生态商业模式产生,提供新的数字星球空间。

这是王东临从19年以来一直有的规划,现在终于实现了。

从技术层面,Ystar的核心技术是安全易用的密钥基础设施。Ystar系统以安全易用的密钥管理服务设施(KaaS)为核心:包括密钥的创建与管理,密钥的分级、数字钱包管理私钥等。

他分享说,“用户不再需要‘助记词’进入区块链账户,建立链上账户。用户不需要改变任何互联网的账户操作习惯,无感知下就可以保管好密钥,无缝接入区块链网络世界。”

此外,密钥存储在客户端,不会丢失也不需要客户“记住”,更不会“忘记”。

密钥按照不同隐私要求(安全等级要求),与客户端不同硬件匹配,比如手机端、NFC、U-Key等,彻底解决“密码丢失”问题。

采用特殊的密码学方案,用户密钥保存在客户端,Ystar系统任何人,任何企业,也无法获得用户密码。彻底解决中心化平台的“账户密码大规模泄漏”带来的用户隐私数据不被保护的危险。

面对现在信息领域的复杂的安全形势,王东临很有自信,“我们做产品从来不考虑哪里会出问题,因为从一开始我们就假设所有的环节都会出问题,所有参与者都可能出问题,这包括运营商、管理员、系统建设者,甚至要假设的所有代码都泄露了。”

他认为,只有用这样的思维,才能打造出一个无死角的安全闭环,把数据安全变成数学问题,数据才有可能真正安全

“数据安全的核心不在加密算法上,而在密钥管理上。”密码学应用科学家王东临提醒了我们。

免责声明:凡注明来源本网的所有作品,均为本网合法拥有版权或有权使用的作品,欢迎转载,注明出处。非本网作品均来自互联网,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。