今天午休时,跟同事闲聊,又聊到隐私数据泄露的问题,谷歌事件还没平息,最近又发生了2起很严重的数据泄露事件,后来我自己找了相关新闻了解了一下,真相总是是让人瞠目结舌!
事件一:万豪酒店遭黑客入侵,五亿客户信息被泄露!
11月30日,全球最大的连锁酒店,万豪国际酒店集团,多达5亿人次的详细个人信息极有可能遭到泄露;5亿人次的信息,对于各位小伙伴来说,除了“多”“巨大”以外,恐怕再也找不到合适的形容词了。
万豪酒店遭黑客入侵,五亿客户信息被泄露
据万豪方面自己透露,通过一项集团内部的调查,他们发现,自2014年以来,一名黑客攻击者一直都能够访问该集团喜达屋部门的客户预订数据库。这一消息传出后,万豪遭遇了有史以来最大规模的“信任危机”,股价在周五开盘前更是下跌了4.22%。据相关人士透露,这5亿人次中,有大约3.27亿人次包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、账户信息、出生日期、性别以及到达和离开酒店的信息已被悉数泄露。
更令人细思极恐的是,泄露的信息还远不止于此,甚至还可能还包括加密的信用卡信息,且不能排除加密密匙同时被盗的可能性。个人隐私与财务隐私顷刻之间被暴露无疑,我们实在不敢想象这些信息如果落入不法分子的手里,会产生哪些可怕的后果与影响。
万豪在第一时间向大众告知了这一情况,并作出了详细的公告与声明。
万豪酒店遭黑客入侵,五亿客户信息被泄露!
身为世界上知名的五星级酒店之一,住客付出了高昂的费用入住其中,到头来却连自己最基本的私隐都无法得到应有的保护。偌大的公司,却在最近才发现这么一个严峻的bug!
我们再回想一下今年8月发生的华住酒店信息泄漏事件,被泄露的信息有官网上的注册资料,包括姓名、手机号、邮箱、身份证号、登录密码云等。据说,这些数据被放在了境外的黑市里进行兜售贩卖,标价达到8个比特币。以当时比特币的市值来计算,其价值超过了30万人民币。
华住酒店信息泄漏事件
我们不禁唏嘘:网络时代已无隐私!
事件二:陌陌数据被挂暗网销售!
一波未平,一波又起,当我们还在万豪酒店信息泄露的风波之中之时,另一场更大的风暴也侵袭而来。12月4日,一条“陌陌数据暗网出售”的信息惊现热搜,一时之间引起了讨论的热浪。
陌陌数据被挂暗网销售
据悉,此次暗网上公布出来的信息有一部分是真实有效的。这部分数据大概率是黑客“撞库”所得(即利用已知的大批量账号密码重复登录测试)。所以这些信息售卖的价格折合人民币还不到350元,相当于1000条才一分钱。
陌陌数据被挂暗网销售
自己最为珍贵的个人信息,却被挂至暗网被人如此贱卖,怎么想都是令人心寒和愤怒的。几年前的陌陌软件可谓大行其道,成为了年轻人手机里最受欢迎的软件,大家用它来进行交流沟通,排遣寂寞。曾经,年轻人靠交换彼此的个人信息换取片刻的温存与依靠,可如今,这些个人信息却被当作白菜一般被兜售交易。
--------------------------------------------------------------------------------------------------------------------
一起起的数据泄露事件,不禁让我再次感叹,到底怎样才能解决隐私保护问题?
很多人把希望寄托在区块链上,众所周知,区块链的显著特点便是去中心化的分布记账方式,面对“中心化记录的信息被盗”,自然希望区块链有办法阻止这样的悲剧一再发生。
倍受期待的零知识证明,离真正解决隐私保护有多远?
区块链作为一种新兴的技术,相对于中心化系统,区块链的核心价值就在于去中心化。传统的拥有独立数据库的企业,都会将数据集中起来,建立数据中心。这些数据中心的管理权限都掌握在一个公司手上,这样的系统是由少数人控制的,在安全性方面有不可回避的问题。区块链是一种按照时间顺序将数据区块以顺序相连的方式组合成的一种链式数据结构,以密码学方式保证的不可篡改和不可伪造的分布式账本。相对而言,在区块链系统中,任何有能力建立节点的人都可以参与其中,成为这个分布式账本的一个节点,这些节点都是平等和自治的,参与验证每一笔交易,并通过一定模式的共识来确定数据的一致性。通过区块链系统,使用者可以在不需要中间节点的情况下安全的进行交易和各类数据交互。
比如在以太坊网络中,全球有上万个节点,其中包括了用户为推行网络间项目而运行的节点,也包括了交易所管理运行的节点,还包括了矿工们运行的节点。这么多的节点,一方面保证了每笔交易的安全性,另一方面,确实给用户带来了很大的隐私方面的困扰。目前,任何人都能从这上万个节点中查询到每一笔交易,包括交易参与方的地址和金额,这种情况下,用户的隐私该如何来保障呢?
倍受期待的零知识证明,离真正解决隐私保护有多远?
区块链发展至今,在技术领域探索出几种解决方案,比如混币器方案,环形签名方案和零知识证明方案。
1、混币器是一种中心化的解决方案,需要一个中心化的混币平台,交易参与方先把代币发到混币平台进行混合,以打乱参与方之间的联系,但这种方案需要用户充分信任中心化的混币处理系统;
2、环形签名则是一种特殊的群签名组成的协议,交易的签名由私钥和众多公钥产生,当其它节点验证时,只能确定签名是诸多公钥中的一个,确无法定位到哪个公钥才是具体的发送方,即无法定位到一组环签名所代表的资产的具体持有者是谁。环形签名存在的问题是,用以匿名的签名集合是固定的,用户在交易中依旧需要与其他用户的公钥进行混合,因此仍然有可能会遭遇恶意用户从而暴露隐私;
倍受期待的零知识证明,离真正解决隐私保护有多远?
3、零知识证明(Zero—Knowledge Proof),是由S.Goldwasser、S.Micali及C.Rackoff在20世纪80年代初提出的。它指的是证明者能够在不向验证者提供任何有用的信息的情况下,使验证者相信某个论断是正确的。零知识证明实质上是一种涉及两方或更多方的协议,即两方或更多方完成一项任务所需采取的一系列步骤。证明者向验证者证明并使其相信自己知道或拥有某一消息,但证明过程不能向验证者泄漏任何关于被证明消息的信息。大量事实证明,零知识证明在密码学中非常有用。如果能够将零知识证明用于验证,将可以有效解决许多问题。
倍受期待的零知识证明,离真正解决隐私保护有多远?
在区块链隐私保护领域,零知识证明被认为是最前沿的解决方案,同时也是最强大的。在以往,如果为了证明某些事情,需要引入或借助另外的知识达到目的,但是在零知识证明中,用户无需其它底层数据来完成这个证明过程,在区块链的交易中,运行零知识证明的手段,用户不需要添加或向外接透露更多的信息即可完成整个交易流程。在交易中,交易过程可以被加密,但是除参与方外,其他用户不需要对其解密,区块链系统运行了零知识证明技术之后,每个区块中将只有加密后的哈希数据的存在,这些数据已经能足够支撑整个链上系统上的交易运行。
但是,现在我们遇到的问题是,如何将零知识证明作为通用的解决方案,在区块链系统的广泛范围内应用起来。其中有一个比较突出的问题是生成证明的效率比较低。比如,在Zcash中,用普通的笔记本电脑,发送一笔匿名币交易,通常需要几百秒时间。如果发送的交易中,UTXO中含有更多的来源,那这笔交易的证明生成时间更是长的让人无法忍受。另一个问题是,在当前包含Zcash在内的所有主流匿名币系统中,还没有类似以太坊那样支持智能合约的区块链平台系统出现。
针对零知识证明的这些应用层面的问题,在区块链领域,很多研发团队试图进行进一步改进。但是由于零知识证明领域的学术和工程方面的复杂性,绝大多数团队都进展缓慢,没有发展出能实际上线运行的系统。
倍受期待的零知识证明,离真正解决隐私保护有多远?
近期,我一直在关注一个叫SERO的项目,SERO成功上线并解决了上述问题。SERO是Super Zero的意思,基于零知识证明技术实现隐私保护,并且能支持图灵完备智能合约运行的区块链基础平台。在零知识证明系统方面,SERO团队基于zk-SNARKs构建了Super-ZK零知识证明加密系统,在零知识证明普及应用的最大瓶颈,证明生成速度上,目前Super-ZK系统比Zcash当前的系统有20倍以上的提高,这将试零知识证明系统实用化的前景得到进一步提高。此举是全球首创的!
相信,随着SERO等系统的进一步发展,会带动零知识证明在区块链应用领域的进一步普及。基于SERO系统,在区块链上数以千计的以太坊应用,都能够通过调整让零知识证明得以应用。同时,大量基于隐私的顾虑,而无法上线的应用场景,也将得到实用化进展。区块链3.0时代有望伴着SERO的诞生而到来!
无论个人还是团体,没有隐私即是可耻的,因为那是人类最后一份尊严与体面,借用SERO的口号:隐私是我们的权力!
最后:我最近正在尝试基于SERO公链,开发具有隐私保护功能的SERO版的以太猫,到时会跟广大网友一起分享开发过程!
网友评论