还在互联网下“裸奔”?看密码学大牛如何破解用户数据隐私难题

Odaily星球日报·2020-04-08
个人数据“裸奔”时代,IT大牛带你追回数字主权。

编者按:本文来自36氪战略合作区块链媒体“Odaily星球日报”(公众号ID:o-daily,APP下载

作者 | 昕楠

出品 | Odaily星球日报(ID:o-daily)

互联网诞生至今50年,我们在坐享其巨大的红利和便利的同时,也被迫接受诸多早早埋下种子的危机。 

一直以来,用户从不强调自己是自己数据的主人,相反地,互联网的潜规则是,所有用户都是平台的数据的劳工,用户在不断为平台输出有价值的数据而不自知。

至少过去很长的一段时间里,互联网内大部分的用户都在“裸奔”,枪响之前,每个人都认为隐私泄露离自己很远。

终于,“微博数据泄露”“N号房事件”这样的事件接连发生,人们正在重新思考大数据时代下“隐私”和“匿名”两个时代命题。

用户“裸奔”的时代,找回数据隐私要先找回数字主权

近日,有用户爆料称微博或泄漏了上亿用户账号信息,用户的手机号码、历史密码等隐私数据正在被不法人士通过 Telegram 售卖。实际上,微博数据泄露并不是什么偶然事件,同样的事情也发生在了 A 站等平台身上。暗网上,包含用户ID、用户昵称、加密存储的密码等 A 站用户资料明码标价 9.5 个BTC出售。

隐私泄露,早已不是什么新鲜事了。

此前 Facebook 的用户隐私数据泄露事件,也披露了用户数据“裸奔”的现实—— 至少 6 亿用户的账户隐私数据可以被 Facebook 2 万名员工随意访问。

当人们终于开始意识到隐私被侵犯,开始要求强调数据隐私、数据主权时,所有人都已经成为了大数据时代的“透明人”。

当然,谈到隐私保护,往往有人会想到匿名。但现实是,匿名并不能和隐私划上等号。

过去几年,Telegram、Secret 等强调匿名属性的社交软件打着保护隐私情怀逐步教育了一部分小众市场,但与此同时匿名又滋生出了恶的一面——缺乏监管和约束的匿名社交软件正在帮助作恶者打造一个犯罪“温床”。

除了日常充斥着赌博、洗钱、色情等灰产交易外,Telegram还成为了在最近轰动韩国的 N 号房事件“帮凶”。过于隐私的 Telegram 成为了另一片缺少监管缺少约束的蛮荒之地,所有超越伦理道德的恶在一个个匿名天堂里滋生了出来。

无论是微博数据泄露还是 N 号房事件带来的数据安全反思,我们能够看到的是,用户无比需要一个能谈数据隐私的安全网络,但隐私绝不只是匿名那么简单。

数据隐私这件事,听听专家怎么说

我们急需一套完整的解决方案,既能帮助用户把数据牢牢掌握在手上,又能保证数据的隐私性和价值。

这样的方案看似遥远又难以实现,Odaily星球日报日前接触到一位在 IT 领域有20年密码学应用经验和创业经验的王东临教授,他长年深耕云计算、数据安全领域。

王东临正在基于Yottachain解决互联网用户迫切的隐私需求和数据安全需求,他希望为数十亿互联网用户和区块链用户探索出一条新路径。在更深入的交谈中,王东临教授跟我们讲述了他最想实现的愿景——“让人人都能享有数字主权”。

针对最近国内频发的互联网用户数据遭泄漏事件,王东临解读称,国内主流云服务商的数据安全措施,绝大部分数据都是不加密的,这源于管理者对用户的隐私保护的观念不够强,保密程度不够。

在他看来,解决用户数据安全最好的方式是:“与其将数据交给虎狼,并指望他们善待自己,不如自己掌控自己的数据。”

在王东临看来,步入第50年的互联网成就很大,但是带来的隐私问题相当严重:“用户的数据隐私很乱。从微博数据泄露事件我们可以看到,用户没有数据隐私,但是另一边,如Telegram这类通过匿名实现隐私的应用缺少监管,正在滋生过于隐私的恶的一面。”

即便人们看到了中心化的巨头正在垄断用户数据带来的一切价值之恶, 但是这个问题还一直没能很好地解决。

王东临认为,解决这一问题最好的方法,是将数据权益归还给用户。实现这一目标的最好方式,是使用去中心化的存储方案,和去中心化的密钥管理技术,不给中心化巨头留下垄断空间。

他进一步解析称,去中心化存储在全球拥有无数节点,用户的数据将存储在自己的账户里而不是中心化的服务器之中,不受任何中心化的第三方控制 。此外,用户可以通过密钥掌控链上存储的用户数据。

去中心化存储的方案让用户得以实现不拥有一块硬盘也能够自己存储自己的数据,不在需要托管在中心化的机构手中。

但是,如今我们已经见到了如 Filecoin / IPFS、Yottachain 等诸多成功的基于区块链的去中心化的存储方案,为什么还没有在互联网世界广泛应用呢?

实际上,强调信息公开透明的区块链存储方式如果不借助密码学的加密技术,可能更容易让隐私数据暴露在风险之中。

“数据不加密就相当于人不穿衣服。即使是公开数据,都应该先加密再授权给所有人看,更不用说不宜公开的个人数据。而且数据不仅要加密,还需要通过零知识加密的方式并结合 TruPrivacy 专利技术兼顾‘跨用户去重’属性,才能保证商业意义上的数据绝对安全。”王东临说。

而针对N号房事件中由匿名衍生出的“过于隐私”、“缺乏监管”的现象,王东临认为,尽管匿名可能一定程度上满足隐私性的需求,但在具体的采用方案上需要加入相应的监管措施,要在隐私和监管之间掌握平衡。

王东临认为,数字身份是一个很复杂的问题,就监管来说数字身份能够将数字用户的历史行为与其数字身份关联起来,并通过在公链上创造一个“立法司法”环境,从而对对数字身份在不破坏隐私的前提下进行一定的监管监督。

王东临教授以Yottachain目前正在沿用的一套兼顾隐私和监管的方案举例。目前 yottachain 在全世界设置了多个监管区,每个监管区的监管机构可以付费在其监管区内按照自己的需求屏蔽一定的链上内容。但同时不能翻看用户账号数据。举个例子,当某地破获一个邪教组织时,只需要拿到该邪教组织在链上存储文件的哈希值就可以对该文件进行封锁,如伊斯兰地区可对圣 经的文本进行屏蔽。

除此之外,由于用户的行为和链上身份具备相关性,yottachain链上的方式还可以通过用户的评分体系对链上身份进行评分评级,甚至每个评价者的历史信用也可以一览无余,从而具备相当的可信度。

这种方式虽然不能事前防止所有的罪恶产生,但却可以防止作恶者不断作恶,防止新的受害者轻易受骗。

“DID(去中心化的身份)、去中心化存储、去中心化密钥管理一结合,可以很好地实现这样的隐私保护。”王东临解读认为,DID 可以让用户账号不受平台封号的限制,去中心化存储和去中心化密钥管理让用户数据自己掌控,而不是交给别人掌控,他人必须通过用户显式授权才能获得数据的使用权的。

IT大牛王东临,数据安全从业20年

或许王东临这个名字有点陌生,但王东临却有科学家和企业家两重身份。

正是因为学术上培育出来的研究和逻辑能力,王东临比普通人更善于研究、学习和总结,并且还培养出了自己的独特嗅觉。作为创业者,王东临打造出过2B和2C两端的应用产品。B端产品用户包括全中国所有的中央部委、所有央企和所有银行,C端产品做到了百万日活(DAU)。

书生集团,正是由王东临一手操办起来的。

从1996至今,书生集团跨越了多个IT时代变迁,至今仍一直屹立在创新前沿。目前,书生集团旗下用户已经达千万级别,多为中央部委、银行、央企以及更高等级的安全敏感机构。

实际上,在涉足云计算领域之前,王东临早已在 IT 届混出名堂,他是最早的数据安全先行者。

王东临是电子印章技术的鼻祖,早在1996年,王东临发明的电子印章技术就在农总行落地商业应用了,从此书生公司的电子印章、电子公文等安全文档技术得到了大规模的推广使用,之后推出了面向国际的UOML文档库标准,这是全球第一个针对文档信息处理的操作标准,为实现不同文档的互操作提供了一个可行的解决方案。2008年11月4日,UOML标准正式成为国际工业标准,成为中国第一个得到国际承认的软件标准。书生公司被《财富》杂志评为中国未来最值得关注的公司之一。

但IT行业永远都变化得很快,后来在美国硅谷游历的王东临又率先看到了IT产业的巨变前夕。

当看到美国已经进入到云和移动的时代了,软件公司不断边缘化时,王东临决定带领团队转向云存储,虽然没把2C的云存储服务商业模式跑通,但却积累了很强的存储技术实力,随后利用这一技术优势转向服务B端用户。

一直到现在,书生集团的去TCP/IP的分布式系统和分布式共享存储架构,在世界范围内都是领先的技术。

作为中国唯一具有国家涉密资质的互联网企业,书生集团尤其擅长数据安全技术,擅长在网络不安全、服务器不安全、系统不安全、后台管理人员不安全的情况下保护用户的数据安全。

在云安全环节,书生安全云利用自有的TruPrivacy™专利技术,实现了全程安全加密环环相扣,即使公开源代码,开放服务器权限,任何人都无法从云端窃走数据。这也是国际上唯一能保证后台管理员无法看到用户数据的云存储安全技术。

在二十年的钻研中,王东临先后发明了十多项国际领先的技术,创造多个中国 IT 业的里程碑。同时,坚持不懈的创新和“死磕技术”,让王东临赢得了科技界的众多褒奖。

2008年11月,王东临全票当选信产部和团中央联合评选的中国软件行业杰出青年(第一名)。2010年11月,王东临荣获中国科协评选的 “求是杰出青年成果转化奖”,要知道,成果转化奖每年各行各业奖励总名额不超过5名。2014年10月,在国内第一次以“工程师”命名的“杰出工程师奖”评选活动中,王东临荣获科技部评选的首届“杰出工程师奖”,成为软件和互联网行业唯一获奖者……

IT时代的变迁中,王东临正在跟随着时代的需求不断前行。从软件、互联网、移动互联网、云计算到区块链,他亲身走过了每一次变迁,尽管王东临已在云计算、密码学领域实现了硕果累累,但他仍在走自己的创新道路。

当时代的风潮变迁到区块链时,王东临发现了自己的“本命”。

作为死磕技术的学者,区块链正是这样一条技术驱动的新赛道,同时区块链还尤其需要密码学技术的加持,这一下将王东临在云计算和密码学多年的研究完美地结合在了一起

用王东临的话来说就是,区块链一来,自己过去干的所有事情全都用上了。他感叹:“终于搞明白,这辈子干了这么多事,都是为区块链准备的。”

在区块链行业中,王东临最先的尝试是YottaChain存储公链。但实际上,早在2012年,王东临就在美国硅谷第一次接触到比特币,当时的他就对比特币产生了强烈的改革意愿。只是,又经历了密码学和互联网多年的浸润和研究后,王东临开始将改革比特币的愿景转型成了区块链存储。

当频发的数据泄露事件使得用户们开始质疑中心化数据存储方式不能保障用户数据安全时,尝试解决存储数据安全问题的YottaChain适逢其时地诞生了。王东临希望用YottaChain挑战全世界所有中心化存储的霸权。

很快,YottaChain也交出了优秀地成绩单。目前,YottaChain已经成为全球第一个商用的存储公链,主网上线没多久就达到了每天存储数据超过30TB的成绩。由王东临创办的 YotaChain区块链项目,位列全球 Top30,市值超过 4亿美元,在存储公链的产品技术层面达到世界第一,一年时间为投资人创造了超过 50 倍的收益。

正因为 YottaChain 与其它的区块链项目不一样的商用属性,其通证也同样具备着商品属性。当YottaChain 项目迎来了一波新的商业用户时,新的问题出现了。

王东临发现,商业用户与之前的矿工、炒币者完全不一样,不接受进入门槛。

削平用户使用的门槛,成了YottaChain的重要一关。

在 YottaChain 进入公测后,王东临打算为 YottaChain 打造一个生态配套工具。到了真正规划启动Ystar这个工具时,王东临才发现Ystar不仅对YottaChain有用,对整个区块链行业都有关键性作用。

加密+分布式存储,Ystar 想把数字主权交还用户

Ystar对区块链的价值,相当于浏览器对互联网的价值。

正如最初的互联网在诞生的25年一直没有商业化一样,TCP/IP的技术门槛让互联网局限成了科学家的玩具。

一直到1994年NetScape发明了浏览器后,互联网才被推到了普罗大众面前,互联网的商业化的大门也才就此打开。

当前无法商业化的区块链,也正在面临着和互联网早起类似的困境。

目前区块链中公钥、私玥、Hash、签名等诸多让普通人搞不懂的概念已经成为制约区块链发展的一大瓶颈。同时,并不具备自行管理密钥能力的普通用户也被很难受这一过高的门槛。

这导致区块链一直被局限在了很小众的极客圈子里,安全和易用成了鱼与熊掌不可兼得。

20多年相关的应用研究让王东临拥有了超出常人的认知,他进一步思考、研究起密钥管理问题,毕竟数据安全的核心是加密+密钥管理,而密钥管理其实更为重要。

于是,王东临开始尝试将Ystar作为一个独立项目来发展,很快,Ystar 通过密钥管理系统的底层核心技术,打造出了一个安全、易用,又可以无感使用的密钥系统。通过Ystar的对私钥零感知概念低门槛钱包,前卫的区块链世界将与44亿传统互联网人群联通。

但是,从人们发现区块链这一瓶颈开始,就有不少数千种区块链应用和钱包尝试过让用户在感知不到密钥的情况下管好自己的密钥,但无一成功。

Ystar之所以成功实现了这一愿景,离不开王东临在密码学领域的特长——擅长设计与应用结合的基于密码学的数据安全系统,尤其是密钥管理系统。

凭借着降低区块链世界门槛的故事,Ystar迎来了潮水般的追捧,在融资环节一度出现了超募的火爆场景。资本鲜少出手的熊市之下,资本们争相上门争抢额度,Ystar很快获得了共识实验室、中国最大的极客社群CSDN、Yotta生态基金领投的200万美元天使轮融资。

Ystar独特的技术和其清晰可见的商业价值,未来可期的完整商业闭环和可落地商业应用,都是其在熊市时获得高额融资的根本原因。

除了资方的青睐,Ystar团队更是大咖云集。业内鼎鼎有名的CSDN 创始人蒋涛、区块链通证经济学专家孟岩、火星财经创始人王峰等人都是Ystar的项目顾问。

王峰、蒋涛、孟岩都是陪伴王东临从IT业进入到区块链行业的战友,之所以能把通证届和技术界的大牛请来,离不开项目本身的靠谱技术、靠谱商业模式和靠谱的创始团队。

除了削平区块链的门槛,王东临仍心心念念一个全人类的共同话题——如何将数字主权归还给用户。

王东临一直认为,用户的数据只有掌控在自己手上,才能降低数据安全风险。

因此,Ystar 强调,用户的数据并不存储在 Ystar 或者任何一个中心化第三方的服务器上, Ystar的方案结合了加密和去中心化的两大特性,兼顾了数据安全和数据主权回归用户。

在 Ystar 中,用户数据被存储在去中心化的存储公链上,用户的数据通过分布式存储、冗余存储的特性大大降低了用户数据丢失的风险。去中心化的存储方式也间接实现了数据不由任何中心化机构控制,不受任何第三方的控制。

通过私钥,用户获得了自己的数据主权。同时,这一方案还利用加密技术来保护用户的数据隐私,使得除了数据所有者、授权者外的其他任何人都无法窥探用户的数据。

当用户掌握了数据主权,数据变现就简单多了。

具备通证经济属性的通证往往具备双重价值——股权价值和商品价值。

随着整个 Ystar 生态的扩大,流量上涨后广告收入也将水涨船高,用户持有的通证价值也将随之增长,这也侧面激励了用户在 Ystar 上作出更好的使用行为,间接又推动了 Ystar 流量价值的提升。

Ystar 通过YSR通证与用户一起共享来自广告主的收益。

YSR发行总量 100亿,不仅是用户的激励工具,还是用来衡量用户流量价值、广告主购买 Ystar 投放广告的结算工具。Ystar 方面承诺,平台生态运营收入的 95%,将回流到 Ystar 的系统中,用于吸引更多流量进入,使 Ystar 构建的生态进入良性循环。

区块链行业在牛熊之间经过了几年的大浪淘沙,不少干团队已经被行业沥出,如今再留下的正是低调耕耘、踏实做事的团队。目前,Ystar 目前已取得了不少阶段性进展,现在可能正是价值投资的洼地时期。

“我们的规划是首先用通证激励吸引用户,相当于送钱吸引早期流量。随着用户的增长,我们同步会进行广告招商以及应用开发(类似于小程序)。”关于Ystar如何可持续发展,王东临解答称,除了招募广告主反哺生态外,未来开发或招商时会优先选择游戏类应用,估计随着时间累计,会有越来越多的人以及应用登陆 Ystar,最终变成100个、1000个、10000个应用,用户也从1万、10万、100万往上涨,形成一个正向循环。

站在想象力有限的当下,我们很难去评判一个前卫的产品究竟会是什么样的结果,但勇于踏足尝试的人都是时代的勇士,每向前一步都带来了无限的价值。

同时,在今天低迷的熊市中,真正还在做事的团队才更值得我们的关注与投资。

+1
5

好文章,需要你的鼓励

参与评论
评论千万条,友善第一条
后参与讨论
提交评论0/1000

下一篇

2019 年,以太坊基金会向各团队新拨付的资金总计 780.9 万美元。

2020-04-08

36氪APP让一部分人先看到未来
36氪
鲸准
氪空间

推送和解读前沿、有料的科技创投资讯

一级市场金融信息和系统服务提供商

聚焦全球优秀创业者,项目融资率接近97%,领跑行业