本体技术视点 | 当微软的去中心化身份梦想照进现实(下)

2021-03-26 15:06:46 浏览数 (1)

上一期,我们分享了全球科技巨头微软(Microsoft)在去中心化身份领域的实践,初步介绍了其“Azure Active Directory 可验证凭证”技术,在英国 NHS(National Health Service,国家卫生服务局) 试点中,一名医生从进入医院开始注册到救死扶伤仅需要5分钟的时间。

本期我们继续围绕微软的去中心化实践展开介绍。

原文链接:https://www.wired.com/story/microsoft-decentralized-id-blockchain/


广泛采用去中心化 ID 计划的最大障碍是互操作性。拥有10个相互竞争的框架不会对于所有人来说都那么简单。目前,有一些潜在的竞争对手,例如仍在测试中的万事达卡提供的产品。微软的无处不在使它潜在地成为集结大量用户的理想人选。考虑到这一点,该公司根据开放式身份验证标准(例如,万维网联盟的 WebAuthn)开发了 Azure Active Directory 可验证的凭证。这将使客户更容易应用该平台,其他科技巨头也可以更轻松地支持在其产品中使用该平台。目前,微软正在与数字身份合作伙伴 Acuant、Au10tix、Idemia、Jumio、Socure、Onfido 和 Vu Security 合作,对该平台进行试验,Chik 表示,他们的目标是随着时间的推移迅速扩展该列表。

微软安全合规和身份部门副总裁(corporate vice president of security, compliance, and identity)Vasu Jakkal 表示:“我们相信要做到这一点,需要整个社区的参与。没有一个组织可以单凭自身力量做到。” “我们正一步一步地朝着这一愿景迈进。”

存储在 Microsoft Authenticator 中的经过验证的去中心化身份。用户可以授予或拒绝来自某些组织的查看这些凭据的请求,也可以随时将其吊销。

微软于2017年正式开始其去中心化身份计划相关的工作,并在过去几年中逐步构建了基础架构。该系统基于比特币区块链,并使用名为 Sidetree 的开放协议向区块链添加交易记录(在本例中为身份验证)。微软表示,Azure Active Directory 可验证凭证使用 Sidetree 的自定义但仍开源的实施,即身份覆盖网络(Identity Overlay Network)。组织将能够运行自己的 ION “节点”来验证和存储其成员(例如公民、学生或雇员)的标识符。

Chik 表示:“我们知道这不会是一夜之间的改变,但是我们认为这将对用户和组织都具有吸引力。” “并非每个组织都希望成为个人信息的保管人,但他们需要它来验证信息或进行业务交易。这成为一种责任和义务,但这对于只需要验证数据的组织来说是一个具有吸引力的选择。”

尽管 Microsoft 不会作为去中心化身份方案的一部分直接保存任何用户数据,但是这种方法可能使 Microsoft 帐户对于已经垂涎它们的攻击者来说更有价值。近期,Solarwinds 事件和相关的黑客攻击活动突显了组织在安全实施 Microsoft 现有身份管理服务方面所面临的挑战。黑客利用对第三方 IT 服务公司 Solarwinds 的访问来渗透目标。从那里开始,在许多情况下,他们操纵了组织如何设置 Microsoft Active Directory 以便更深入地了解 Microsoft 365电子邮件系统和 Azure 云存储的缺陷。黑客还直接瞄准了 Microsoft,并查看了该公司一些受到严格保护的源代码。

网络安全公司 CrowdStrike 的首席执行官 George Kurtz 上周在证词中说:“威胁者利用了 Windows 身份验证体系中的系统缺陷。”他援引 Active Directory 和 Azure Active Directory 的“身份验证体系结构限制”。

微软表示,将建立新的去中心化身份平台,即使帐户被盗,攻击者也不能仅仅使用经过用户验证的凭据来获得学生的购买折扣或以用户的名义申请贷款。

微软发言人在一份声明中说:“除了控制访问权限外,开发人员还可以使用去中心化标识符中的密钥对用户数据进行加密,从而进一步保护用户数据。基于这种方法,不良分子可能会获得对系统或数据库的访问权限,但如果没有单个用户的密钥就无法解密数据存储区的数据。”

实际上,这意味着实施 Azure Active Directory 可验证凭证的组织可以构建其系统,以要求额外的身份验证(例如物理令牌)来访问用户的学生成绩单或专业资格验证。但是,每个组织的实施可能略有不同的事实可能意味着保护不一致。去中心化 ID 计划长期以来一直面临的挑战是,即使它们减少了其他风险,它们也创造了新型风险的潜力。

隐私、去中心化和可信赖很难同时实现。康奈尔大学(Cornell University)的“数字资产和合约倡议”的计算机科学家兼联合主任 Emin Gün Sirer 表示:“区块链使隐私变得复杂,去中心化使得可信任的凭证难以识别,并且生态中的各种瓶颈可能意味着对这些技术的访问最终将通过中心化门户进行。但更重要的是,这些技术需要重新考虑身份的概念。在这里,大多数企业步履蹒跚,因为他们的业务模型与了解和利用用户的每一个数据固有地联系在一起。”

GünSirer 表示,这并不意味着不能使用当前可用的去中心化身份验证平台。像 Microsoft 这样的公司肯定可以推动新技术的大规模采用。但是,对于不想停止收集数据的组织和不想接受已经由像微软这样已经强大的公司驱动的另一项基本服务的组织而言,去中心化 ID 服务可能都是一件很难的事

GünSirer 谈到:“恰当运用去中心化数字身份解决方案有望为用户提供更多掌控权。” “我只是从根本上怀疑我们需要的突破能否来自中心化的软件供应商。”


全文终。

0 人点赞