" Социальное страхование начиналось как любая форма идентификации - не как сама по себе идентификация, а для решения конкретной проблемы, которая требует идентификации. Номера социального страхования (SSN) были созданы для распределения пособий. Если бы те, кто их создавал, знали, что они будут использоваться для идентификации и обеспечения безопасности, как сегодня, они бы разработали их совсем по-другому. Хотя некоторые могут подумать, что номера социального страхования достаточно хороши, мы должны активно стремиться к лучшему.
SSN - это ужасные идентификаторы. Они страдают от двух проблем: энтропии и симметрии. Проблема энтропии заключается в том, что они не случайны, поэтому их довольно легко угадать, что нежелательно для того, что вы должны хранить в секрете. Проблема симметрии заключается в том, что вам нужно доказать свою легитимность. Когда вы сообщаете кому-то свой номер социального страхования, чтобы доказать свою легитимность, вы больше не держите это в секрете, хотя это следовало бы делать.
Простая модель машинного обучения в ходе исследования научилась угадывать чей-либо номер социального страхования, используя простые факты о человеке. Для людей, родившихся в определенных штатах и в определенные годы, 5% номеров SSN можно было угадать за 10 или менее попыток. Более несовершенную систему идентификации невозможно было бы придумать.
Проблему симметрии легко понять: предполагается, что вы создаете уникальные пароли для разных веб-сайтов, поскольку каждый из них может быть взломан. И когда один из них будет взломан, это не должно повлиять на ваши учетные данные для входа на другие.
Тем не менее, от вас ожидают, что вы будете в каждом месте указывать один и тот же SSN, где его запрашивают. Если кто-то из них будет взломан, ваш SSN тоже будет взломан. Они хуже паролей, а из-за громких взломов серверов произошла утечка сотен миллионов SSN. В более совершенной системе идентификации не было бы так много точек сбоя, компрометации которых достаточно для утечки вашего SSN.
Частное и безопасное будущее
Существуют технологии для создания более совершенной системы идентификации, и единственное, что сдерживает это инерционность существующей системы SSN и людей, которые на нее полагаются. Практически любая современная система идентификации, использующая криптографию с открытым ключом, была бы лучше и устранила бы обе эти проблемы.
Криптовалюта с открытым ключом использует случайно сгенерированные секреты, поэтому энтропия не является проблемой, и она никому не раскрывает секреты. Потому и симметрия не является проблемой. В каждом месте, где вы отправляете идентификатор, нет единой точки отказа, потому что отправка не содержит ничего конфиденциального - она просто доказывает, что вы являетесь владельцем идентификатора.
Если вы хотите включить больше данных в свои учетные данные, чем просто секретный номер, как это делается в государственном удостоверении личности, например, имя, дату рождения, адрес и фотографию, то криптография с открытым ключом может помочь только в этом случае. Криптография с нулевым разглашением должна использоваться для более сложных целей, подобных этим.
Это устраняет проблему симметрии при необходимости подтверждения фактов о себе, гарантируя, что доказательства не раскрывают ничего, кроме того, что они пытаются доказать. Например, с помощью криптографию с нулевым разглашением вы можете доказать, что вам больше 18 лет или что вы проживаете в Соединенных Штатах, не раскрывая своего имени или чего-либо еще о себе.
Перейти на более новую систему идентификации будет непросто, но к этому следует стремиться. Мы должны использовать криптографию, которая позволит сохранить наши SSN-адреса в тайне, а не раскрывать их каждому интересующему нас предприятию. В 21 веке нет необходимости раскрывать секрет, чтобы доказать, что вы его знаете. Для этого и существует криптография.
Давайте сделаем так, чтобы наши секреты было нелегко разгадать, используя криптографию с открытым ключом и/или доказательства с нулевым разглашением. Если мы это сделаем, наши конфиденциальные данные будут в гораздо большей безопасности, чем сегодня.
Эта статья предназначена для общего ознакомления и не должна восприниматься как юридическая консультация или инвестиционный совет. Взгляды, мысли и суждения, выраженные в этой статье, принадлежат только автору.
