V rámci série rozhovorů GoCrypto hovořil Mike Ermolaev s Arshadem Noorem, CTO společnosti StrongKey. S více než 34 lety zkušeností v oblasti informačních technologií strávil Arshad posledních 23 let zaměřením na řešení problémů ochrany dat pomocí aplikované kryptografie. Navrhl a vybudoval Public Key Infrastructures (PKI) – posilující obranu v bankovnictví, obraně, telekomunikacích, farmacii, biotechnologiích a elektronickém obchodu – v odvětvích, která zvláště potřebují silnou autentizaci a šifrování. Je pozoruhodné, že Noor vytvořil první open-source systém pro správu symetrických klíčů a přispěl k řadě bezpečnostních standardů.
Během rozhovoru se Noor podělil o postřehy o globálních systémech digitální identity a zdůraznil naléhavost vybudování soudržného globálního systému digitální identity spolu s uznáním, že pouze mezinárodně schválené bezpečnostní protokoly mohou chránit naše stále více digitální životy. Mluvil také o tokenizaci společnosti a podpořil myšlenku maloobchodní digitální měny americké centrální banky (CBDC), což je téma, o kterém se v poslední době mluví dost otevřeně. Tento rozhovor je pokračováním série rozhovorů poháněných GoMining a přináší vám poznatky od předních odborníků v oblasti kryptoměn a bezpečnosti dat.
Průkopnické příspěvky společnosti Noor k digitální identitě a ochraně dat
Mezi inovace společnosti Noor patří StrongKey Sign-On (SKSO), webová aplikace pro silnou autentizaci uživatelů bez služeb SSO třetích stran, a StrongKey FIDO Server (SKFS), open source podnikové řešení s certifikací FIDO pro správu přihlašovacích údajů FIDO, spolu s PKI2FIDO. , webová aplikace umožňující jednodušší a silnější autentizaci pro společnosti a vládní agentury. Před nástupem do StrongKey pracoval Noor pro průmyslové giganty, jako jsou Sun Microsystems, Citibank a BASF Corporation, čímž si upevnil pověst zkušeného architekta IT řešení a globálního tvůrce PKI. Jeho působivé výsledky a specializované znalosti z něj dělají vedoucího odborníka na ochranu dat a digitální identitu, který nabízí ostré vhledy do transformačního potenciálu těchto systémů.
Zdroj: Iiot-world.com
Globální standardy digitální identity vyžadují harmonizaci
Když mluvil o globálním systému identity, Noor nastínil jeho budoucí strukturu a zdůraznil existenci rozmanitých ekosystémů identity, které slouží různým potřebám. Vysvětlil,
"Nepochybně bude existovat mnoho ostrovů ekosystémů identity, které budou sloužit různým potřebám. V současné době existují standardy umožňující sdílení atributů identity – s atestací – takže mohou být důvěryhodné i přes hranice – pasy jsou příkladem."
Zdůraznil, že komerční využití atributů digitální identity bude vyžadovat robustní rámec, na kterém se dohodnou státy.
„Jakmile bude takový rámec – a důvěryhodná základna na podporu tohoto rámce – vytvořen, mohou různé ekosystémy vytvářet schémata, která umožní přeshraniční použití,“
dodal Arshad Noor.
Zabýval se také výhodami a výzvami spojenými s globálním systémem digitální identity a zdůraznil potenciál pro zvýšení přeshraničního elektronického obchodu a konkurence. Noor poznamenal,
„Výhoda rámce pro globální sdílení identit spočívá v tom, že posílí přeshraniční elektronický obchod; a zároveň zvýší konkurenci o produkty a služby, z toho budou mít prospěch všichni – s výjimkou nekonkurenceschopných.“
Zdůraznil však potřebu harmonizovaných kontrol bezpečnosti a soukromí, aby byla zajištěna robustnost systému, podobná harmonizaci, kterou vidíme v celosvětovém obchodu.
„Přinejmenším to, co je potřeba k účasti v takovém rámci, je globální základ pro kontrolu bezpečnosti a soukromí. Nemá smysl mít v EU standard jako GDPR, zatímco USA nemají žádnou obdobnou regulaci. Desítky národů po celém světě zavedly své jedinečné verze pravidel bezpečnosti a ochrany soukromí; stejně jako celosvětový obchod vyžaduje harmonizační pravidla upravující obchod a logistiku, bezpečnost údajů a soukromí musí být podobně globálně harmonizovány. To znamená, že skupina odpovědná za harmonizaci musí mít zastoupení všech národů – se stejnými hlasovacími právy – aby byl zajištěn dlouhodobý úspěch. I když to zabere čas – a ze začátku to bude pravděpodobně chaotické – dá se to udělat.“
Výzvy v autentizaci bez hesla
Noor vrhl světlo na četné výzvy při implementaci autentizace bez hesla a zdůraznil několik kritických překážek: firemní a vládní setrvačnost, složitost integrace, skupinové myšlení při rozhodování, investice do neúspěšných technologických projektů, které přeměňují IT na „sink-hole“, přehlédnuté. příležitost s digitálními certifikáty X.509 a současné zaměření na uživatelskou zkušenost (UX) před bezpečností.
Korporátní a vládní setrvačnost
Autentizace bez hesla podle Noora čelí velkým problémům způsobeným nečinností firem a vlád. poznamenal,
"Autentizační schémata pro řešení distribuovaných systémů a slabých stránek hesel byla vynalezena od 80. let. Bohužel, jak velké instituce investují do každé nové "lesklé cetky", která se objeví, složitost integrace roste exponenciálně."
Noor vysvětlil, že investice do neúspěšných technologických projektů udělaly z IT „sink-hole“, což způsobilo, že IT manažeři vsadili svou kariéru na projekty, kterým ne vždy rozuměli, což vede ke „stádové mentalitě“.
Upřesnil,
"80 % trhu neudělá žádný pohyb, dokud neuvidí, jak se daří těm, kteří si ji brzy osvojili, a dokud nebude prokázána návratnost investic. Ale vzhledem ke složitosti, která v současném prostředí existuje, je měření takové návratnosti investic velmi obtížné. Vede k setrvačnosti."
Promeškané příležitosti a druhá šance s FIDO
Zamyslel se také nad promarněnou příležitostí na konci 90. let a na počátku 20. století zavést autentizaci bez hesla pomocí digitálních certifikátů X.509, přičemž poznamenal,
"Průmysl zabil tu ‚husu, která snesla zlatá vejce‘ předražením a nedostatkem PKI."
Podle Noora existuje druhá šance s FIDO, ale některé velké technologické společnosti se přehnaně zaměřují na uživatelskou zkušenost (UX), spíše než na vzdělávání spotřebitelů o bezpečnostních potřebách a přizpůsobení chování. prohlásil,
„Svět má nyní druhou šanci s FIDO; ale opět, některé z největších společností v technologickém průmyslu to znovu prohánějí tím, že se rozhodly zaměřit se na uživatelskou zkušenost (UX) spíše než na vzdělávání spotřebitelů o potřebě zabezpečení. a následně adaptace v chování."
Přechod na autentizaci bez hesla je nezbytný, ale na detailech implementace záleží
Při diskusi o budoucnosti PKI a ověřování bez hesla Noor řekl:
„PKI, FIDO a autentizace bez hesla jsou analogické – jsou to prostě různé styly ‚košil‘ vystřižených ze stejné ‚látky‘.“
Zdůraznil, že ve srovnání s tím, co předcházelo kryptografii s veřejným klíčem, neexistuje žádná alternativa, tvrdí,
"Svět musí přejít na autentizaci bez hesla, aby zmírnil bahno porušování dat, ve kterém se v současné době utápíme. Na detailech implementace však záleží. Stejně jako střelnou zbraň lze použít k obraně před nájezdníky, je stejně tak možné se stejným nástrojem zastřelit." ."
Racionální hodnocení potřebné pro blockchain vs. tradiční technologie
Jak zdůraznil Noor, zatímco technologie blockchain může technicky usnadnit obchodní operace, distribuované databáze a digitálně podepsané transakce mohou dosáhnout stejného cíle.
„Téměř cokoli, co lze implementovat pomocí blockchainu, bylo možné implementovat pomocí tradičních databází využívajících kryptografii veřejného klíče na konci 90. let – trh nemohl takovou schopnost přijmout kvůli recesi po „dot com“ a hypotékách souvisejících s nemovitostmi. – zhroucení cenných papírů,
vysvětlil.
„Na počátku 10. let blockchain zaujal představivost některých lidí v technologickém průmyslu. Zatímco obchodní procesy zahrnující společnosti lze technicky implementovat pomocí blockchainu, lze je podobně implementovat pomocí distribuovaných databází a digitálně podepsaných transakcí,“
Noor dodal.
Hype a spekulativní investice kolem Bitcoinu však podle něj zastínily praktické a technické aplikace blockchainové technologie, což vedlo k horečnatému a někdy iracionálnímu přijetí blockchainu bez dostatečného zvážení jeho skutečné hodnoty a implementace.
prohlásil,
"Jakmile horečka opadne, objeví se blockchainová řešení s rozumnou návratností investic, která vyřeší některé problémy."
Když se diskutovalo o konkrétních aplikacích nebo inovacích, které jsou nejslibnějšími pro využití těchto technologií k řešení současných a budoucích výzev v ochraně dat a správě identit, Noor zdůraznil, že obchodní procesy vyžadující pracovní postupy zahrnující více stran jsou přirozeným problémem, který je třeba řešit pomocí distribuovaných systémů a veřejných klíčová kryptografie.
uzavřel,
„Zda by měl používat blockchain nebo tradiční – přesto ověřenou – technologii je implementační detail, který musí být analyzován jako jakákoli jiná firemní finanční investice.“
Fed by měl automatizovat úrokové sazby pro hladší ekonomickou jízdu
Arshad Noor si představoval, že se zavedením maloobchodního amerického CBDC finanční trhy postupem času stanou efektivnějšími a přinesou prospěch spotřebitelům po celém světě. uznal,
„Při implementaci v raných fázích dojde k určitým překážkám; ale jakmile se tyto nerovnosti ustálí (a zároveň udrží spotřebitele celistvé), systém se stane produktivním.“
Noor také předvídal, že se Federální rezervní systém přesune od současného procesu stanovování úrokových sazeb. Navrhl zavést systém automatického a transparentního výpočtu míry inflace na periodické bázi.
prohlásil,
„Představuji si, že se Federální rezervní systém rozhodne zaměřit se na svůj současný proces stanovování úrokových sazeb a jednoduše zaplatí 2 % za jakoukoli aktuální míru inflace v kterýkoli daný den. Efektivita získaná touto strategií bude podobná jako u automobilů vycházejících z Převodovka s manuální převodovkou na automatickou převodovku bude vždy odměněna přiměřenou mírou návratnosti, zatímco utrácející za svou rozmařilost ponesou, co musí, s vědomím, že jednotlivá rozhodnutí o nákupu již nemusí záviset na pár setkáních malé skupiny centrálních bankéřů roku to umožní ekonomice dosáhnout „plynulejší jízdy“, protože sazby se automaticky posunou v souladu s mírou inflace převládající na trhu.
Společnost Noor poskytla Federálnímu rezervnímu systému podrobné komentáře týkající se problémů s kybernetickou bezpečností spojených s CBDC, které jsou k dispozici na jejich webových stránkách. Řekl,
„Zatímco maloobchodní transakce CBDC budou transparentní povahy, s vhodnými šifrovacími a pseudonymizačními technikami podporovanými novým a transparentním regulačním rámcem pro dešifrování takových transakcí, občané dodržující zákony si mohou být jisti, že jejich osobní transakce budou zabezpečeny a uchovány v soukromí pomocí vhodné technologie. a předpisy."
Varoval však, že nekalé aktivity pravděpodobně z internetu nezmizí:
"To je vlastní lidské přirozenosti, kde je možná arbitráž v ekonomických podmínkách a výsledcích. Otázka, na kterou musí společnost odpovědět, zní: kolik peněz je ochotna utratit za ochranu soukromí jednotlivce?"
Dospěl k závěru, že v předpočítačovém/předinternetovém věku byla ochrana citlivých informací relativně levná a vyžadovala pouze nominální částky za zámky/klíče a jednoduché postupy. V digitálním věku budou náklady značné. Noor zdůraznil,
„Zatímco technologie s otevřeným zdrojovým kódem mohou drasticky snížit náklady, zřízení, provoz a vymáhání regulačního rámce pro zachování soukromí – a s tím souvisejících bezpečnostních kontrol – bude z dlouhodobého hlediska vyžadovat značné odhodlání.“
Upozornění: Tento článek je poskytován pouze pro informační účely. Není nabízeno ani zamýšleno k použití jako právní, daňové, investiční, finanční nebo jiné poradenství.