המחבר של TLS אומר שאבדנו את טקס הפרטיות

פגשתי את כריסטופר אלן על המדרגות של ארכיון האינטרנט במהלך כנס FtC בסן פרנסיסקו.הוא שיתף סיפורים על תרבות האינטרנט המוקדמת, ואני נשארתי תוהה – איך מישהו שהוציא עשרות שנים לבנות מערכות מאובטחות, פתוחות מרגיש איפה הדברים הולכים עכשיו?

כריסטופר היה מחבר משותף של TLS 1.0, הפרוטוקול הקריפטוגרפי מאחורי HTTPS שעדיין מאבטח את רוב אתרי האינטרנט והאפליקציות כיום.הוא גם עזר לפתח את הסטנדרט W3C Decentralized Identifier (DID), יסוד לזהות דיגיטלית.

לאחרונה התחברנו מחדש כדי לדבר על פרטיות, כפייה ומה הולך לאיבוד כאשר המערכות מתרחבות מהר יותר מהערכים המנחים אותם.

מה המשמעות של פרטיות עבורך, ולמה זה עדיין צריך להיות חשוב בעולם שמחליף אותו למטרות נוחות?

ביליתי עשרות שנים בעבודה בתחום האבטחה, הקריפטוגרפיה והזהות הדיגיטלית, ובמשך השנים, הייתי די מכוון לגבי האופן שבו אני משתמש במילה.פרטיותזה לא רק תכונה שאתה מתייחס אליה – זה עיקרון, משהו בסיסי.

בתחילת שנות ה-90 תומך בחופש הייצוא של כלים כגון PGP ושותף לסטנדרט SSL/TLS.טכנולוגיית פרטיותאני מעדיף לדבר על אמון, סודיות ואיכות.

אפילו עכשיו, אני לא מעריץ גדול של המונחפרטיותאני זוכרת שאני הולכת לכנס פרטיות ומבינה עד כמה אנשים השתמשו במילה בצורה שונה.לא רק אנשים ממדינות שונות, אלא אנשים ממקורות שונים, חוויות חיים שונות, מינים...כולם אמרו “פרטיות”, אבל הם לא דיברו על אותו הדבר בכלל.

אני בא לראות את הפרטיות מופיעה בארבעה דרכים שונות.defensive privacyדברים כמו הגנה על כרטיס האשראי שלך או מפתחות Ethereum מפני גניבה.

ואז ישhuman rights privacy, הגנה על היכולת שלך לדבר, להתאחד ולשתף פעולה כלכלית.כאשר סוג זה של פרטיות פוגע, זה פותח את הדלת לכפייה וביטול.

הסוג השלישי - מה שאני קוראpersonal privacyהרעיון ש"גבולות טובים עושים שכנים טובים" צריך להיות מסוגל לעשות מה שאני רוצה בחלל שלי, במונחים שלי, כל עוד זה לא פוגע באף אחד.

ולבסוף ,relational privacy.זוהי הצורך לשמור על חלקים שונים של החיים שלך בנפרד: לדוגמה, אתה לא יכול לרצות זהות המקצועית שלך להתבלבל עם התפקיד שלך כאמא, או החיים שלך כאמנית להתבלבל עם העבודה שלך כחשבונאית.

קטגוריות אלה כמובן מתכווצות, אבל כל אחת מגן על משהו משמעותי: הביטחון שלך, החופש שלך, היחסים שלך, ואת תחושת העצמי שלך.ארבעת סוגי הפרטיות→

הבעיה הגדולה עכשיו היא שאנחנו נורמליזמנו את המעקב. הנוחות היא מפתה – קל לתת קצת מעצמנו רק כדי לעשות משהו מהר יותר.אבל הפרטיות היא עדיין אחת ההגנות האחרונות שיש לנו מפני כפייה.ללא זה, ההתנגדות הופכת למסוכנת.היצירתיות מתחילה להתכווץ.הזהות הופכת למשהו שניתן על ידי מערכת, ולא למשהו שאנחנו מעצבים את עצמנו.

לכן זה עדיין חשוב – אולי יותר מאי פעם, וזה משהו שאני מנסה לשמור על החזית בכל פעם שאנחנו מדברים על זה.עיצוב מערכות עם ערכים בלבם→

הפרטיות כאנטי-כפייה מזכירה לי את הערכים של cypherpunk.What would the cypherpunks of the '80s and '90s say about how things are today?

הם יהיו מבוהלים - לא כי הכלים אינם קיימים, אלא כי אנחנו פגענו הערכים שלנו.

Cypherpunks האמין כי קריפטוגרפיה חזקה יכולה להעצים אנשים מעל מוסדות.זה היה כל הנקודה: להשתמש במתמטיקה כדי ליצור חופש.

גרוע מכך, כפייה חוזרת לאופנה - לעתים קרובות מוצדקת על ידי איומים כמו טרור או בטיחות ילדים.ארבעת הסוסים של האינפוקליפסהכתוצאה מכך, אנו מעניקים יותר ויותר קרקע לפקח ולשליטה.

כמובן, הרבה cypherpunks עדיין בסביבה, כך שאתה יכול לבחון אותם באופן פעיל. אבל אני מאמין כי, בהתחשב בהקשר של הזמן, הם בהחלט היו הולכים, "אנחנו אמרו לך את זה."

במבט לאחור, אולי עכשיו מסכימים כי הם גם תורמים לבעיות בדרכים שונות.הטוב הוא האויב של הטוברבים היו כל כך מרוכזים במה שהם רצו לעשות ששום דבר לא נעשה, ועכשיו אני רואה אנשים עם כוונות טובות עושים פשרות – ואני חושב שאנחנו מפסידים את הקרב בצד השני.

מהו האיזון בין להיות פרגמטיים ולהיות מבוססי ערך מספיק?זו אחת האתגרים החשובים ביותר שעלינו להתמודד איתה.אנו הלכנו רחוק מדי בדרכנו של "רק תצליחו - נפתור את זה מאוחר יותר".

אז, cypherpunks לא רק להביע ביקורת על מדינת המעקב - הם גם היו קוראים לנו טכנולוגים כדי לאפשר את זה.

מה דעתך על הגל החדש של מאמצי הפרטיות ב- Web3, מהמרכז cypherpunk של Devcon ליוזמות כמו Web3PrivacyNow?

אני מברך על התחדשות זו, אבל נשאר ספק לגבי לאן היא הולכת.

אני לא מעורב מאוד במערכת האקולוגית של Ethereum בימים אלה, במיוחד החלקים המרכזיים בטוקן.טרופי- ובכן, יש לה משמעות כפולה עכשיו - פרטיות. המניעים דוחפים אנשים לקדם טוקינים, להגדיל את הנראות ולעודד שיתוף.

אני זוכר שיש לי שיחה עמוקה עם ויטליק בשנת 2014, לפני ש-Ethereum הושק. באותו זמן, הוא התקרב לפרטיות יותר מנקודת מבט ליברטרית. רק לאחרונה זה הפך למשהו שהוא קורא בסיסי.

אני עדיין לא יכול להאמין שרוב עסקאות Ethereum מסתמכות על מפתח ציבורי אחד.אתה יכול לדבר על חשיפת חשבונות וכל זה, אבל כבר אמרנו לפני יותר מעשור: אל תשתמשו שוב באותו מפתח.אנו אפילו לא באמת התחלנו לפתוח את הסיכונים של הקורלציה.קח את מה שאני מכנה לפעמים קווי-קורלציה - איזה חשבונות חכמים אתה משתמש, אילו שירותים מעורבים, באיזה DNS אתה מסתמך כדי לגשת לתשתית מתרכזת.

הוכחות של Zero-knowledge (ZK) מקבלות מתיחה - אבל כך גם סביבות ביצוע אמין (TEEs).

אני אוהב הרבה מהעבודה שנעשית עם הוכחות של ידע אפס.גילוי סלקטיבי ומינימום נתונים, פחות חשיפה לנתונים, יותר בדיקה.אבל הרבה מהיישומים החדשים מרגישים מורכבים ובלתי מעורפלים.הם קשים לבדיקת.במקרים מסוימים, אנו רואים הגדרות חדשות ואמינות או שומרי שער שאינם מקבלים מספיק בדיקה.

סביבות אכיפת אמון – TEEs – הן סיפור שונה. מעולם לא הייתי מעריץ. בכל פעם שמישהו אומר, "או, פתחנו את הבעיות של אינטל", הבעיות מופיעות שוב בצורה אחרת.

גם כשאנשים מנסים לעשות את הדבר הנכון, העמודה של החומרה מקבלת את הדרך.סלון סיליקוןאנשים חכמים רבים עובדים על זה, אבל הם עדיין פוגעים באותו קיר: אתה יכול לפתוח חלקים של הצ'יפ, בטוח - אבל ברגע שאתה נופל לתוך החומר, זה הכל בבעלות.

לכן אני מתמקד יותר במחשב רב-מפלגה.סדנאות סביב Frost, אשר מעביר את מודל האמון מרחוק מכל מכונה יחידה. כמובן, אתה יכול לעשות התקפה בצד ערוץ על חבר קווורום אחד - אבל אז אתה צריך לעשות את אותו הדבר עבור כל האחרים.

לא משנה מה הכלי - ZK, TEE, או כל דבר אחר - הוא צריךעקרונות עמוקים יותר: מינימום נתונים, גישה פחות הכרחית, אמון מתמשך, וחשיפה סלקטיבית.פרטיות היא לא רק על מה שאתה מוכיח, זה גם על מה שאתה יכול להסתיר.

האם זו גם בעיה של ריכוז?

בהחלט – זה הצד השני של TEEs.כשהייתי נשיא יחסי המפתחים ב-Blackphone, היו לנו רבע מיליארד מימון, ועדיין לא יכולנו לגשת לעבודה עם צ'יפים מותאמים אישית.אחר כך התייעצתי עם HTC – אז אחד היצרנים הגדולים ביותר בעולם – ואפילו הם היו מוגבלים במה שהם יכולים לעשות עם עיצובים של צ'יפים.

הם מצאו פתרון על ידי שילוב מתורגם MicroPython בתוך אזור האמון כדי להפעיל קוד Trezor ותמיכה SecP - אבל זה נשלח רק על כמה מכשירים.

זה יוצר סוג חדש של שמירה על שערים. אפל ו- Google יכולים לומר ביעילות, "אתה רוצה זהות דיגיטלית מאובטחת בטלפון? ואז אתה עושה את זה בדרך שלנו."לא הייתי קורא לזה כפייה במובן החזק ביותר, אבל זה בהחלט צורה של שליטה מרכזית.

מה הם הסימנים המזהירים המוקדמים שמשהו נתפס?

אני מתייחס לזה בצחוק כמו "תורת הבלתי אפשרית של אלן" - סוג שלתיאוריה של Arrowחץ הראה שאין מערכת הצבעה מושלמת כי הערכים שאתה אופטימיזציה עבור בסופו של דבר להתחיל להתנגש.אני חושב שזה אותו הדבר חל על דיסקנטריזציה. כל ארכיטקטורה עושה פשרות, ואם אתה לא כנה לגבי פשרות אלה, הם שקטים למשוך את המערכת מהערכים שלה.

ביטקוין היה ההוכחה האמיתית הראשונה כי הסכמה משולבת יכולה לעבוד בקנה מידה. הפרוטוקולים הקודמים נדרשו סופרמרובויות - שני שלישים או יותר - כדי להגיע להסכמה. ביטקוין הראה כי רוב פשוט של כוח החסימה היה מספיק, וזה היה די מדהים. אבל אחד העמדות של ביטקוין הוא ביטקוין Core - קבוצה קטנה של מפתחים שמגבילים בקפידה שינויים בסיס הקוד. כל כך חזק, למעשה, שרבים טוענים כי ביטקוין לא צריך אפילו להיות מיושם מחדש בשפה אחרת. אתה צריך להשתמש בדיוק באותו קוד C - בוגים וכל זה יוצר סוג של מרכזיות.

ראיתי את אותה הדינמיקה מתרחשת בזהות דיגיטלית, למשל, אישורים מוכרים, בדרך כלל מגיעים מממשלה או מוסד - מפיצים מרכזיים. "אתה רשאי לנהוג" הופך להיות "אתה רשאי לטוס במטוס" או "הכנס לבר".

בהודו, למשל, לעתים קרובות אתה לא יכול לשכור חדר או מכונית מבלי לספק את מספר Aadhaar שלך.

האם נוכל לפצל את הכרטיסים האלה לחלקים קטנים יותר?הוכחה לגיל, ראיה לביטוח, ראיה לביצוע מבחן נהיגה – כל אחד מגיע ממקורות שונים, במקום שכולם זורמים מאותו סמכות.

גישה מבטיחה אחת היא מה יוטה עושה עם שלהחוק זהות דיגיטלית חדשהבמקום זאת, הם קבעו דרישות ומאפשרים לצדדים שלישיים להגיש בקשה לקבלת אישור.אם הפתרון עומד בקריטריונים שלהם, המדינה מקבלת אותו.

אבל סוגים אלה של חידושים הם נדירים. מה שאני רואה לעתים קרובות במקום הם מערכות העדיפות משלוח מעל עקרונות. זה spec-ראשון, ערכים-אחר. ממשל נלקח על ידי אנשים פנימיים. DNS, חנויות יישומים, ביטול, ו תאימות-כולם הופכים נקודות מכה. שליטה ללא אחריות.

אני זוכר שדיברתי עם חוקרים בהולנד שאמרו, "יש לנו שלושה רמות של אימות - אז בואו רק לדרוש את הגבוה ביותר עבור הכל.

הולנד הייתה אחת המדינות הסובלניות ביותר באירופה לפני מלחמת העולם השנייה, אך עדיין הייתה אחת מבין שיעורי המוות הגבוהים ביותר בהוליווד.כ-75% מהיהודים נהרגו שם, לעומת 25% בצרפת, מדינה פחות סובלנית מבחינה היסטורית.היה נשק→

אתה לא צריך לסרוק את טביעת האצבע שלך רק כדי לדווח על חור על הכביש.

אנחנו רואים צורות חדשות של זה כל יום.פלטפורמות כמו פייסבוק ו- Google לכבות את הגישה ללא הודעה מוקדמת.אתה לא רק מאבד את הפרופיל שלך – אתה מאבד את הדואר האלקטרוני שלך, את המודעות שלך, את לוח השנה שלך, את העסק שלך.אין אדם לדבר איתו.

המערכות המסוכנות ביותר הן אלה אשר נכשלו בשקט.כאשר אתה מתחיל לראות דפוסים כגון ממשל לא ברור, שליטה מרכזית, ואין ברירה - זה כאשר צלצולי האזעקה צריכים להיעלם.כי אם האדריכלות שלך לא מתנגדת לכפייה או להפחית את הקורלציה, זה לא מתרכז.

אם היית בונה מערכת פרטיות ראשונה היום, מה יהיה בלתי מסובך בעיצוב שלה?

קודם כל נתונים מינימליזציה:פחות זכות, פחות זכותאני צריך להיות מסוגל לומר, "אני לא נותן לך את המידע הזה."

אנשים נוטים להעריך את הסכנה של נתונים מאוחסנים, מחוברים יכול להיות.אולי השתמשת גילוי סלקטיבי כדי להוכיח משהו פעם אחת - לדוגמה, אתה מעל גיל 18 או אתה גר בכתובת מסוימת.אבל אם הבדיקה מאחסנת את זה ומחברת אותו עם גילויים אחרים מאוחר יותר, הפרטיות שלך מתדרדרת עם הזמן.מערכות טובות להפוך את זה בלתי אפשרי לחשוף יותר ממה שנדרש.

השני הואאמון מתמשךואפילו אז, אני לא מעריץ של המילה "אמון" - כי זה אומר "אני סומך עליך" או "אני לא".

כאשר נפגשנו בארכיון האינטרנט, היה לנו מסגרת משותפת.הייתם יכולים לבדוק מי אני, לקרוא על העבודה שלי, לראות אם אני מגיב.זה לא אומר שאתם מספקים מיד מידע רגיש – אבל זה מספיק כדי לקחת סיכון קטן.

הדבר השלישי הוא קנה מידה, אני נזהר כשמישהו אומר, "זה הפתרון לעולם".

אם תסתכלו על עבודתו של אלינור אוסטרום הזוכה בפרס נובל, היא אומרת את אותו הדבר: אתם זקוקים לרמה מתאימה של תומכיות במערכות אלה.

מה אם, במקום זאת, אתה בונה משהו עבור קבוצה קטנה? לדוגמה, 70 אנשים ב גלדיית World of Warcraft שצריכים יותר אמון כדי להופיע לתקיפה בזמן.

זה סוג העיצוב שאני דואג לו, לבנות קטן, לבנות בכוונה, ולתכנן מערכות המשקפות את האופן שבו אנשים באמת חיים ומתייחסים זה לזה.