关于身份识别的安全议题,近年不断受到各界讨论,随着帐密数据外泄事件频传、OTP验证不够安全等,如何由于这样的课题,全球都在关注,而相关的技术也不断在演进与发展。
例如,在网络身份识别的发展上,2012年FIDO(Fast Identity Online)联盟成立,并提出FIDO架构,通过公开基础密钥架构,让服务器不集中保存密码只保管公钥,让身份保管责任分散在设备端。这似乎有着些许去中心化的意味。
另一方面,区块链的应用发展也不断在扩张,从原本的数字货币与支付系统的去中心化,进而发展在智能合约,以及更多金融领域应用,包括像是贸易金融、再保险等,其中也包含了数字身份的面向。而这样的趋势同样值得重视,像是我们之前也就听闻,国际间有企业不说自己是FIDO,而是强调去中心化,也有区块链公司的发展面向是在帐号密码的管理。
值得注意的是,现在也有企业在推动以区块链技术提供个人身份识别与验证的服务。今日(6日),BaaSid博斯信息安全创始人黄启诚在一场法遵科技发展与信息安全的研讨会中,说明了他们如何应用区块链,提供ID登录的安全保护。
在大会中,黄启诚谈到面对未来的安全问题与趋势,零信任(Zero Turst)与去识别化(De-Identification)是两个重要的概念。他举例,以前只要帐号密码相符合,就信任你是这个用户,而零信任就是帐号密码对了还是不信任,因为知道密码可能会被盗用,而去识别化则是将能由于像是GDPR这样的法规要求。
以区块链为基础的应用,是如何套用在身份识别?黄启诚指出,他们从数据源头进行保护,不存在完整的原始数据。更具体而言,他们是将身份数据加密后并切碎放在区块链上,让数据变得比较安全,并能通过对应的技术将这些碎片快速组合以验证。
在BaaSid的基础架构方面,该公司业务发展经理Kevin Dose进一步解释,他们目前提供了SDK或API的应用方式,当用户注册时,会经过四个步骤,分别是加密、切碎、分配与分散保管,其中像是碎片数量可以自行定义。之后,当登录使用时,则可以快速进行数据的验证,他并强调,这些步骤其实在非常短的时间进行内就会进行完毕,就像刷卡过程的时间一样。
从他们的技术架构来看,其中包含有了三点重点,在BaaSid引擎与区块练之外,Kevin特别指出,还有一个是名为IPFS的节点,功能上可通过HASH记录消息碎片保存的位置,同时在分配与分散保管方面,会将一部分数据放到区块链,另一部分则放到像是用户手机设备,分配的比例也是可以自行定义。
为什么这样的架构可以更安全一些? Kevin也解释是因为对于盗用者来说,入侵成本太高。如果要入侵的话,就必须从一路从设备端、BaaSid区块链节点、Core节点,然后入侵到IPFS节点,需要破解四道关卡的防护才能取得一笔完整数据。同时,他也说明了他们的BaaSid在零信任与去识别化概念的应用。举例来说,像是通过零信任权限管理,杜绝最高权限滥用情况、依照身份最小限度权限设置,与Log无法篡改或删除等,以及通过数据去识别化保护,以杜绝数据还原可能性等。
对于区块链在身份安全发展的现况,会后我们也向黄启诚了解这方面的动向。他表示,目前全球已经有不少企业采用基于区块链的方式,发展身份识别机制,不过这样的议题还算相当新颖,目前大概也只发展两年多时间,但也强调现在这样的产品与技术已经有了。此外,他们也希望与FIDO产业合作,以发展更多可能性,并看好国内数字身份识别证(NEW eID)的发展。
而且,目前已经有一些企业看重此应用概念,其中像是亚洲的去中心化交易所STAR BIT,便开始与BaaSid合作,以支持KYC服务。其实,去年发生了不少虚拟化货币交易所遭黑事件,有趣的是,加密货币带动了去中心化的区块链技术应用,但交易所本身与其身份认证机制大多采中心化技术,这样的状况未来应该会有所改变。