Ca parte a seriei de interviuri GoCrypto, Mike Ermolaev a vorbit cu Arshad Noor, CTO al StrongKey. Cu peste 34 de ani de experiență în tehnologia informației, Arshad și-a petrecut ultimii 23 de ani concentrându-se pe rezolvarea problemelor de protecție a datelor folosind criptografia aplicată. El a proiectat și construit infrastructuri cu chei publice (PKI) – întărirea apărării în domeniul bancar, apărare, telecomunicații, farmaceutică, biotehnologie și comerț electronic – industrii care au nevoie în special de autentificare și criptare puternică. În special, Noor a fost autorul primului sistem open-source de gestionare a cheilor simetrice și a contribuit la numeroase standarde de securitate.
În timpul interviului, Noor a împărtășit perspective despre sistemele globale de identitate digitală, subliniind urgența construirii unui sistem global de identitate digital coeziv, împreună cu recunoașterea faptului că numai protocoalele de securitate sancționate la nivel internațional pot proteja viața noastră din ce în ce mai digitală. El a vorbit, de asemenea, despre tokenizarea societății și a susținut ideea unei monede digitale a Băncii Centrale din SUA (CBDC), un subiect despre care a fost destul de deschis în ultima vreme. Această conversație este o continuare a seriei de interviuri susținute de GoMining, care vă oferă informații de la experți de top în domeniul criptomonedei și al securității datelor.
Contribuțiile de pionierat ale lui Noor la identitatea digitală și protecția datelor
Inovațiile lui Noor includ StrongKey Sign-On (SKSO), o aplicație web pentru autentificarea puternică a utilizatorilor fără servicii SSO terță parte și StrongKey FIDO Server (SKFS), o soluție de întreprindere cu sursă deschisă, certificată FIDO pentru gestionarea acreditărilor FIDO, împreună cu PKI2FIDO , o aplicație web care permite o autentificare mai simplă și mai puternică pentru companii și agenții guvernamentale. Înainte de a se alătura StrongKey, Noor a lucrat pentru giganți din industrie precum Sun Microsystems, Citibank și BASF Corporation, cimentându-și reputația de arhitect de soluții IT calificat și constructor global de PKI. Experiența impresionantă și cunoștințele sale de specialitate îl stabilesc drept o autoritate de referință în protecția datelor și identitatea digitală, oferind perspective clare asupra potențialului de transformare al acestor sisteme.
Sursa: Iiot-world.com
Standardele globale de identitate digitală au nevoie de armonizare
Vorbind despre un sistem global de identitate, Noor și-a conturat structura prospectivă, subliniind existența unor ecosisteme identitare multiple care servesc diverse nevoi. A explicat,
„Fără îndoială, vor exista multe insule de ecosisteme identitare care să servească o varietate de nevoi. În prezent există standarde pentru a permite partajarea atributelor de identitate – cu atestare – astfel încât acestea să fie de încredere peste granițe – pașapoartele sunt un exemplu”.
El a subliniat că utilizarea comercială a atributelor identității digitale va necesita un cadru robust agreat de națiuni.
„Odată ce un astfel de cadru – și o fundație de încredere pentru a sprijini acel cadru – este stabilit, schemele pot fi create de diverse ecosisteme pentru a permite utilizarea transfrontalieră.”
a adăugat Arshad Noor.
El a abordat, de asemenea, beneficiile și provocările asociate cu un sistem global de identitate digitală, subliniind potențialul de creștere a comerțului electronic transfrontalier și a concurenței. Noor a remarcat,
„Un beneficiu al unui cadru pentru partajarea identităților la nivel global este că va crește comerțul electronic transfrontalier; în timp ce va crește, de asemenea, concurența pentru produse și servicii, toată lumea – cu excepția celor necompetitivi – va beneficia”.
Cu toate acestea, el a subliniat necesitatea unor controale armonizate de securitate și confidențialitate pentru a asigura robustețea sistemului, asemănătoare cu armonizarea observată în comerțul global.
„Cel puțin, ceea ce este necesar pentru a participa la un astfel de cadru este o bază globală pentru controalele de securitate și confidențialitate. Nu are sens să existe un standard precum GDPR în UE, în timp ce SUA nu au o reglementare echivalentă. Zeci de națiuni de pe tot globul și-au stabilit versiunile unice ale regulilor de securitate și confidențialitate; în măsura în care comerțul global necesita armonizare a regulilor care guvernează comerțul și logistica, securitatea datelor și confidențialitatea trebuie armonizate în mod similar la nivel global. Aceasta înseamnă că grupul responsabil de armonizare trebuie să aibă reprezentare din fiecare națiune – cu drepturi de vot egale – pentru a asigura succesul pe termen lung. Deși acest lucru va dura timp - și probabil va fi dezordonat la început - poate fi făcut să funcționeze.”
Provocări în autentificarea fără parolă
Noor a aruncat lumină asupra numeroaselor provocări în implementarea autentificării fără parolă, subliniind câteva bariere critice: inerția corporativă și guvernamentală, complexitatea integrării, gândirea de grup în luarea deciziilor, investițiile în proiecte tehnologice eșuate care transformă IT-ul într-o „gaură” ratată, oportunitate cu certificatele digitale X.509 și concentrarea actuală pe experiența utilizatorului (UX) asupra securității.
Inerția corporativă și guvernamentală
Autentificarea fără parolă se confruntă cu provocări majore din cauza inacțiunii corporative și guvernamentale, potrivit lui Noor. El a remarcat,
„Schemele de autentificare pentru a aborda sistemele distribuite și fragilitățile parolelor au fost inventate încă din anii ’80. Din păcate, pe măsură ce marile instituții investesc în fiecare nouă „bauble strălucitoare” care apare, complexitatea integrării crește exponențial.”
Noor a explicat că investițiile în proiecte tehnologice eșuate au făcut din IT o „gaură”, determinând directorii IT să-și parieze cariera pe proiecte pe care nu le înțeleg întotdeauna, ceea ce duce la o „mentalitate de turmă”.
El a elaborat,
„80% din piață nu va face nicio mișcare până când nu vor vedea cum se descurcă cei care adoptă timpuriu și există rentabilitatea investiției dovedită. Dar, având în vedere complexitatea care există în mediul actual, măsurarea unui astfel de ROI este foarte dificilă. Ducând la inerție.”
Oportunități ratate și a doua șansă cu FIDO
El a reflectat, de asemenea, asupra oportunității ratate de la sfârșitul anilor ’90 și începutul anilor ’00 de a introduce autentificarea fără parolă cu certificate digitale X.509, menționând:
„Industria a ucis acea „gâscă care a depus ouăle de aur” prin prețul excesiv și livrarea insuficientă a PKI”.
Potrivit lui Noor, există o a doua șansă cu FIDO, dar unele companii mari de tehnologie se concentrează prea mult pe experiența utilizatorului (UX), mai degrabă decât pe educarea consumatorilor despre nevoile de securitate și adaptarea comportamentului. El a declarat,
„Lumea are acum o a doua șansă cu FIDO; dar încă o dată, unele dintre cele mai mari companii din industria tehnologiei o explodează din nou, alegând să se concentreze pe experiența utilizatorului (UX) în loc să se concentreze pe educarea consumatorilor cu privire la nevoia de securitate. și, în consecință, adaptarea în comportament”.
Trecerea la autentificarea fără parolă este esențială, dar detaliile de implementare contează
Discutând despre viitorul PKI și al autentificării fără parolă, Noor a spus:
„PKI, FIDO și autentificarea fără parolă sunt similare – sunt pur și simplu stiluri diferite de „cămăși” tăiate din aceeași „pânză”.
El a subliniat că, în comparație cu ceea ce a precedat criptografia cu cheie publică, nu există nicio alternativă, afirmând,
„Lumea trebuie să treacă la autentificarea fără parolă pentru a atenua grozava de încălcări de date în care ne înecăm în prezent. Cu toate acestea, detaliile de implementare contează. La fel cum o armă de foc poate fi folosită pentru a te apăra de tâlhari, este la fel de posibil să te împuști cu același instrument. ."
Evaluare rațională necesară pentru blockchain vs. tehnologii tradiționale
După cum a subliniat Noor, în timp ce tehnologia blockchain poate facilita din punct de vedere tehnic operațiunile de afaceri, bazele de date distribuite și tranzacțiile semnate digital pot atinge același obiectiv.
„Aproape orice poate fi implementat cu blockchain a fost posibil să fie implementat cu baze de date tradiționale care foloseau criptografia cu cheie publică la sfârșitul anilor ’90 – piața nu a putut adopta o astfel de capacitate din cauza recesiunilor ca urmare a „punct com” și a ipotecii legate de imobiliare. colapsuri de valori mobiliare garantate,”
a explicat.
„La începutul anilor '10, blockchain-ul a captat imaginația unor oameni din industria tehnologiei. În timp ce procesele de afaceri care acoperă companii pot fi implementate tehnic cu blockchain, ele pot fi implementate în mod similar cu baze de date distribuite și tranzacții semnate digital.”
a adăugat Noor.
Cu toate acestea, potrivit lui, hype-ul și investițiile speculative din jurul Bitcoin au umbrit aplicațiile practice și tehnice ale tehnologiei blockchain, ducând la o adoptare febrilă și uneori irațională a blockchain-ului fără a lua în considerare suficient valoarea reală și implementarea acestuia.
El a declarat,
„Odată ce febra va scadea, vor apărea soluții blockchain cu un ROI rezonabil pentru a rezolva unele probleme.”
Când a discutat despre aplicații sau inovații specifice care dețin cele mai promițătoare pentru valorificarea acestor tehnologii pentru a aborda provocările actuale și viitoare în protecția datelor și managementul identității, Noor a subliniat că procesele de afaceri care necesită fluxuri de lucru care implică mai multe părți sunt problema firească de rezolvat cu sistemele distribuite și public- criptografia cu chei.
El a concluzionat,
„Dacă ar trebui să folosească blockchain sau tehnologia tradițională – dar dovedită – este un detaliu de implementare care trebuie analizat ca orice altă investiție financiară corporativă.”
Fed ar trebui să automatizeze ratele dobânzilor pentru o călătorie economică mai ușoară
Arshad Noor și-a imaginat că piețele financiare vor deveni mai eficiente și vor aduce beneficii consumatorilor la nivel global de-a lungul timpului, odată cu introducerea unei CBDC de vânzare cu amănuntul din SUA. El a recunoscut,
„Vor exista unele denivelări în implementare în etapele incipiente; dar pe măsură ce aceste denivelări se atenuează (în timp ce țin consumatorii întregi), sistemul va deveni productiv.”
Noor a prevăzut, de asemenea, că Rezerva Federală își va schimba atenția față de procesul actual de stabilire a ratelor dobânzilor. El a sugerat stabilirea unui sistem pentru calcularea automată și transparentă a ratelor inflației în mod periodic.
El a declarat,
„Îmi imaginez că Rezerva Federală va alege să se concentreze asupra procesului actual de stabilire a ratelor dobânzilor și să plătească pur și simplu 2% peste orice ar putea fi rata actuală a inflației într-o zi dată. Eficiența câștigată din această strategie va fi similară cu cea a automobilelor Transmisia manuală la automată. Economisii vor fi întotdeauna recompensați cu o rată de rentabilitate rezonabilă, în timp ce cei care cheltuiesc vor suporta ceea ce trebuie pentru dezordinea lor, știind că deciziile individuale de cumpărare nu mai trebuie să fie dependente de un grup mic de bancheri centrali care se întâlnesc de câteva ori anul, va permite economiei să obțină o „curgere mai lină”, deoarece ratele se schimbă automat, corespunzător ratelor inflației predominante pe piață.”
Noor a furnizat Rezervei Federale comentarii detaliate referitoare la problemele de securitate cibernetică asociate cu o CBDC, disponibile pe site-ul lor. El a spus,
„În timp ce tranzacțiile CBDC cu amănuntul vor fi de natură transparentă, cu tehnici adecvate de criptare și pseudonimizare susținute de un cadru de reglementare nou și transparent pentru decriptarea acestor tranzacții, cetățenii care respectă legea pot fi siguri că tranzacțiile lor personale vor fi securizate și păstrate private cu o tehnologie adecvată. și reglementări.”
Cu toate acestea, el a avertizat că este puțin probabil ca activitățile nefaste să dispară de pe internet:
„Acest lucru este inerent naturii umane în care arbitrajul în condițiile și rezultatele economice este posibil. Întrebarea la care trebuie să răspundă societatea este: câți bani este dispusă să cheltuiască pentru a păstra intimitatea individuală?”
El a concluzionat că în era pre-computer/pre-internet, protejarea informațiilor sensibile era relativ ieftină, necesitând doar sume nominale pentru încuietori/chei și proceduri simple. În era digitală, costul va fi semnificativ. Noor a subliniat,
„În timp ce tehnologiile open-source pot reduce drastic costurile, stabilirea, operarea și aplicarea cadrului de reglementare pentru a păstra confidențialitatea – și controalele de securitate pe care le va implica – va necesita un angajament semnificativ pe termen lung.”
Disclaimer: Acest articol este oferit doar în scop informativ. Nu este oferit sau intenționat să fie utilizat ca consiliere juridică, fiscală, de investiții, financiară sau de altă natură.