零知识证明:重新定义Web隐私层
我们的私人生活已成为公共商品。今天,网络的商业模式是提供免费服务以换取个人数据,Web服务出售这些数据。用户没有选择权,而是被迫放弃他们的数据以换取他们想要的服务,虽然以牺牲个人隐私为代价但是往往一无所获。随着Web服务变得更加个性化,这种商业模式使Web服务与用户产生了分歧。
自然的反应是求助于监管来解决这个问题。近年来,欧盟的通用数据保护条例 (GDPR) 和加州消费者隐私法 (CCPA) 等新法规相继颁布,强制Web服务为用户提供不被跟踪和删除其数据的选项。然而,这些授权为Web服务引入了不正当的激励措施。用户会看到请求同意的横幅,这些横幅大多是令人困惑的,更糟糕的是具有误导性。每个Web服务都使用自己的标准;某些表单默认选择加入跟踪,其他表单默认选择退出。随着时间的推移,用户放弃这些横幅并选择默认选项,为Web服务提供他们的数据。
在更基本的层面上,用户和Web服务的激励措施必须保持一致,以使变革真正有效和持久。幸运的是,我们即将看到Web工作方式的变化。基于密码学的新技术正在支持一类更符合用户动机的Web服务。然而,除了数据所有权问题之外,这些技术还开启了新功能,可以使网络更加公平,更加以用户为中心。
区块链+无服务器计算=用户控制
在过去十年中,消费类设备的性能显着提高,并且可以直接在设备上运行具有丰富用户体验的应用程序。随着Web服务日益全球化,对更快加载和处理时间的需求使无服务器计算成为应用程序的新标准。这种转变已经将业务逻辑从服务器转移到客户端。
这种看似微妙的变化是一件大事。无服务器革命的核心是区块链,区块链是公开的、不变的账本,强制执行数据和逻辑的稀缺性和适当所有权。从本质上来讲,区块链使用户能够直接彼此交互,而无需集中式服务器或第三方代理和促进任何服务。
区块链给予用户所有权和控制权。区块链的引入使得资产和公共资源——比如金融资产、域名空间,甚至艺术品——能够由用户自己拥有和管理。
传统的服务器体系结构容易崩溃,并由通常保留对用户资产和数据的保管权的第三方管理。在区块链上运行的服务首次可以实现100%的正常运行时间和可用性,实现一致、无缝和无边界的用户体验。用户通过直接拥有他们在区块链上的账户来控制他们的资产,而不需要第三方的中介。虽然区块链对用户有很多好处,但也有三大缺点:
主要的扩展挑战。 这些开放网络要求所有参与者存储和验证其分类账的状态,这限制了网络本身处理大量交易的能力,当前的架构容易出现网络拥塞、高交易费用和低交易吞吐量;
有限的执行环境。 由于所有参与者目前都被迫重新执行所有交易以验证其分类帐的状态,因此区块链上的每个服务都有效地分时共享单个全局计算资源。这意味着当今大多数Web应用程序无法在现有区块链架构上执行;
失去隐私。 如今区块链上的服务是匿名的,这意味着它们向网络中的所有参与者公开帐户状态。因此,虽然用户可以收回对其资产的控制权,但如果该活动与其他元数据之间的关联揭示的信息超出人们所知的范围,则可能会以个人隐私风险为代价。
对于任何广泛使用的应用程序大规模使用这项技术,必须解决这三个挑战,密码学——用于安全通信和私人信息交换的技术——为区块链提供了一种推动实际应用的方法。
零知识证明
近年来,一种称为 零知识证明 的新技术已在现实世界中变得实用。从本质上讲,零知识证明是一种协议,它允许一方(证明者)说服另一方(验证者)他们拥有一些私人数据,而不会将这些数据透露给任何人。
这项技术已经存在了几十年,直到最近才通过现代计算变得实用,具有深远的影响。与当今大多数Web技术不同,零知识证明使用户能够在他们的个人数据上运行业务逻辑,并向其他人证明计算结果的正确性,同样不会泄露他们的个人数据,但它们也使用户能够确切地知道他们的个人数据如何被使用的,同时保留对其完全控制权。这些属性对于解决上述法规试图解决的许多数据和隐私问题至关重要,而不是使用一个简单的工具。
当用于为区块链上运行的服务提供动力时,零知识证明使应用程序能够任意扩展,因为网络中的参与者不再需要重新执行其分类帐中的每笔交易。相反参与者只需要检查一个简洁的证明,即时间不变,大小不变。这不仅意味着使用零知识证明执行的应用程序处理速度更快,而且还意味着应用程序可以具有任意大小,而不会影响区块链吞吐量。这些功能可以扩展以前被认为在对等Web架构中不切实际的应用程序。
因此,使用零知识证明和区块链构建的新网络标准将通过为网络引入新的隐私层来为用户提供选择。如果我们的私人生活不再能够成为公共商品,而网络默认是私人的怎么办?让我们来看看可能性。
使Web服务更安全
鉴于当前的Web身份验证标准,当新用户创建帐户时,他们输入密码并将其发送到服务器,服务器接收用户的密码并继续“散列”密码,将此散列存储在数据库中并创建指纹以在用户下次登录时进行检查。
但是这个标准被打破了。一方面,即使是实践过的Web服务也会错误处理密码并使用户的信息容易受到攻击;其次,一些Web服务通过强制执行弱密码要求、未能对用户密码进行散列或简单地选择弱散列算法来遵循不良做法。这意味着,如果Web服务遭受数据泄露,其用户的密码更容易受到字典攻击(因此常用密码很容易被泄露)或立即遭到破坏。
然而通过零知识证明用户现在可以在设备上散列他们的密码,也就是说无需将他们的密码发送到任何Web服务。想象一下,您的密码再也不会因为他人的错误、不良行为者或您无法控制的原因而被泄露了。
目前没有Web服务可以做到这一点,因为没有办法验证用户是否在客户端正确散列了他们的密码。鉴于前面提到的从服务器到客户端的转变,这落后于我们今天的实际情况。但是通过引入一项新技术,该技术允许服务验证用户设备上所有计算的正确性,而无需通过其他服务器,Web服务将确定地知道他们的密码是使用正确的算法散列的。
提高合规性和公平性
区块链最受关注的应用之一是可编程货币和去中心化金融 (DeFi) 的概念,包括去中心化交易所,用户可以通过开放的公共网络彼此直接进行价值交易。区块链并没有将金融服务仅限于传统银行和经纪公司,而是为一场可以将更多人带入系统的金融革命铺平了道路。
挑战在于,虽然用户现在可以直接获得其资产的所有权,但这种新模式下的金融交易对任何人都是可见的,这意味着他们的交易可能会受到观察交易所的任何人的抢先交易和套利。这不仅对用户来说是个问题,而且还违反了交易所规定和银行隐私法。然而,通过零知识证明,交易所可以私下促进用户的交易,收到证明每笔完成交易的有效性和合法性的零知识证明。这意味着只有进行交易的用户才能看到交易内容,甚至交易所都不知道交易细节。
那么,这是否会产生另一系列问题,从而对重要的了解客户和反洗钱合规法(KYC/AML)隐藏这些信息?这就是零知识证明的美妙之处:在使用时,它们会生成审计跟踪,允许用户(和监管机构)验证交易所发生的每一笔交易的诚实性和正确性。
Web近期发展
Web 以多种方式发展,我们从HTTP到HTTPS,这导致了网络上电子商务、信任和交换的爆炸式增长,但我们仍处于起步阶段。
下一个阶段,即下一个十年,将是与任何人、任何地点、任何时间进行交互的能力——私下、不泄露个人数据,并在用户手中拥有更多控制权。然而,要实现这一点,零知识证明和区块链需要在Web生态系统和Web开发人员之间实现标准化。零知识证明将需要继续提高性能以支持大规模应用。区块链将需要使用零知识证明来扩展和实现现实世界的采用。这意味着Web服务需要时间与这些技术集成,用户需要了解这些新标准的保证和影响。
虽然监管机构将配备新工具来保护网络用户,但他们需要接受这些技术为安全、隐私、合规和公平提供的机会。例如,在使用时强制执行合规性而不是事后日志检查为Web服务引入了新的可审计性和可追溯性级别。监管机构需要为私人资金和私人应用开发基于这些技术的新框架。
但这些技术能给我们带来的将是真正的变革。零知识证明将重新定义Web服务提供的隐私保证,并反转用户如何管理个人数据的模型。区块链将使用户能够真正控制他们的金融资产和个人数据,而无需第三方以并不总是使用户受益的方式保留控制权。随着越来越多的人开始在日常生活中依赖网络,这种范式将从根本上改变世界各地用户之间的互动方式,而且是我们尚未完全理解的方式。正如智能设备逐渐成为我们日常生活中不可或缺的一部分,网络隐私层将成为我们互动和分享方式的基础,它将改变一切。
作者:Howard Wu,完全私有的应用程序开发平台Aleo的联合创始人。 编译:Rachel
==
和2万人一起加入鸵鸟社群
添加QQ群:645991580
添加TG群:鸵鸟中文社区 https://t.me/tuoniaox