作为 GoCrypto 访谈系列的一部分,Mike Ermolaev 与 StrongKey 首席技术官 Arshad Noor 进行了交谈。Arshad 在信息技术领域拥有超过 34 年的经验,过去 23 年一直致力于使用应用加密技术解决数据保护问题。他设计并构建了公钥基础设施 (PKI) - 加强银行、国防、电信、制药、生物技术和电子商务的防御能力 - 这些行业特别需要强大的身份验证和加密。值得注意的是,Noor 是第一个开源对称密钥管理系统的作者,并为众多安全标准做出了贡献。
在采访中,Noor 分享了对全球数字身份系统的见解,强调了建立一个有凝聚力的全球数字身份系统的紧迫性,并承认只有国际认可的安全协议才能保护我们日益数字化的生活。他还谈到了社会代币化,并支持零售美国中央银行数字货币 (CBDC) 的想法,这是他最近直言不讳的话题。本次对话是 GoMining 赞助的访谈系列的延续,为您带来加密货币和数据安全领域顶尖专家的见解。
诺尔对数字身份和数据保护的开创性贡献
Noor 的创新包括 StrongKey Sign-On (SKSO),一款无需第三方 SSO 服务即可实现强用户身份验证的 Web 应用程序;StrongKey FIDO Server (SKFS),一款用于管理 FIDO 凭证的开源 FIDO 认证企业解决方案;以及 PKI2FIDO,一款为公司和政府机构提供更简单、更强大的身份验证的 Web 应用程序。在加入 StrongKey 之前,Noor 曾在 Sun Microsystems、花旗银行和巴斯夫公司等行业巨头工作,巩固了他作为熟练的 IT 解决方案架构师和全球 PKI 构建者的声誉。他令人印象深刻的业绩和专业知识使他成为数据保护和数字身份方面的权威,对这些系统的变革潜力提供了敏锐的见解。
来源:Iiot-world.com
全球数字身份标准需要协调
谈到全球身份系统,Noor 概述了其未来结构,强调存在多种身份生态系统来满足不同的需求。他解释说,
“毫无疑问,将会有许多身份生态系统孤岛来满足各种需求。目前存在的标准可以实现身份属性的共享——经过认证——因此它们可能跨境可信——护照就是一个例子。”
他指出,数字身份属性的商业化使用需要各国同意的强有力的框架。
“一旦建立了这样的框架以及支持该框架的可信基础,不同的生态系统就可以创建模式,以实现跨境使用。”
Arshad Noor 补充道。
他还谈到了全球数字身份系统带来的好处和挑战,强调了跨境电子商务和竞争增加的潜力。Noor 指出,
“全球共享身份框架的一个好处是它将增加跨境电子商务;同时它也会加剧产品和服务的竞争,除了缺乏竞争力的人之外的每个人——都将受益。”
不过,他强调需要协调安全和隐私控制以确保系统的稳健性,类似于全球贸易中看到的协调。
“至少,参与此类框架需要的是全球安全和隐私控制的基准。在美国没有同等法规的情况下,欧盟制定 GDPR 这样的标准是没有意义的。全球数十个国家已经制定了各自独特的安全和隐私规则;就像全球贸易需要协调贸易和物流规则一样,数据安全和隐私也必须在全球范围内进行协调。这意味着负责协调的小组必须有来自每个国家的代表——拥有平等的投票权——以确保长期成功。虽然这需要时间——而且一开始可能会很混乱——但它可以发挥作用。”
无密码认证的挑战
诺尔阐明了实施无密码身份验证所面临的诸多挑战,并强调了几个关键障碍:企业和政府的惰性、集成的复杂性、决策中的群体思维、对失败的技术项目的投资导致 IT 变成“陷坑”、错失 X.509 数字证书的机会,以及当前对用户体验 (UX) 而非安全性的关注。
企业和政府的惰性
Noor 表示,无密码身份验证面临着企业和政府不作为的重大挑战。他评论道,
“自 80 年代以来,人们就发明了用于解决分布式系统和密码脆弱性的身份验证方案。不幸的是,随着大型机构对随之而来的每一种新‘闪亮小玩意’进行投资,集成的复杂性呈指数级增长。”
诺尔解释说,对失败的技术项目的投资让IT变成了一个“陷阱”,导致IT高管将自己的职业生涯押注在他们并不总是了解的项目上,从而导致了一种“从众心理”。
他详细阐述道,
“80% 的市场参与者在看到早期采用者的表现以及投资回报率证明之前不会采取行动。但由于当前环境的复杂性,衡量这种投资回报率非常困难。这导致了惰性。”
错失的机会以及 FIDO 带来的第二次机会
他还回顾了 90 年代末和 00 年代初错失的通过 X.509 数字证书引入无密码身份验证的机会,并指出,
“行业因 PKI 定价过高和交付不足而害死了那只‘下金蛋的鹅’。”
Noor 表示,FIDO 有第二次机会,但一些大型科技公司过于注重用户体验 (UX),而不是教育消费者了解安全需求和行为适应。他表示,
“现在,世界有了 FIDO 的第二次机会;但是,科技行业的一些大公司又一次错失了良机,他们选择专注于用户体验 (UX),而不是教育消费者了解安全的必要性,从而改变消费者的行为。”
过渡到无密码身份验证至关重要,但实施细节也很重要
在讨论 PKI 和无密码身份验证的未来时,Noor 表示,
“PKI、FIDO 和无密码身份验证是类似的——它们只是从同一块‘布’上剪下来的不同款式的‘衬衫’。”
他强调,与公钥加密技术相比,没有其他替代技术,并声称,
“世界必须过渡到无密码身份验证,以缓解我们目前所面临的数据泄露困境。然而,实施细节很重要。就像枪支可以用来保护自己免受掠夺者的侵害一样,用同样的武器也同样可以射击自己。”
区块链与传统技术需要理性评估
正如诺尔指出的那样,虽然区块链技术在技术上可以促进商业运营,但分布式数据库和数字签名交易可以实现同样的目标。
“几乎所有可以通过区块链实现的功能都可以在 90 年代末利用公钥加密技术的传统数据库中实现,但由于互联网泡沫和房地产相关的抵押贷款支持证券崩盘导致的经济衰退,市场无法采用这种功能。”
他解释道。
“在 2010 年代初期,区块链吸引了一些科技行业的人士。虽然跨公司的业务流程可以通过区块链技术实现,但它们也可以通过分布式数据库和数字签名交易同样实现,”
诺尔补充道。
然而,据他介绍,围绕比特币的炒作和投机性投资掩盖了区块链技术的实际应用和技术应用,导致人们对区块链的采用过于狂热,有时甚至是非理性的,而没有充分考虑其实际价值和实施情况。
他说,
“一旦这种热潮消退,具有合理投资回报率的区块链解决方案就会出现,来解决一些问题。”
在讨论最有希望利用这些技术解决数据保护和身份管理方面当前和未来挑战的具体应用或创新时,诺尔强调,需要涉及多方的工作流的业务流程是用分布式系统和公钥加密解决的自然问题。
他总结道,
“是否应该使用区块链或传统(但已得到验证)技术是一个实施细节,必须像任何其他企业金融投资一样进行分析。”
美联储应实现利率自动化,让经济发展更加平稳
Arshad Noor 预计,随着美国零售 CBDC 的推出,金融市场将变得更加高效,并随着时间的推移使全球消费者受益。他承认,
“在早期阶段实施过程中会遇到一些障碍;但随着这些障碍逐渐平息(同时保证消费者的完整),该系统将变得富有成效。”
诺尔还预计美联储将改变其当前的利率制定程序。他建议建立一个定期自动、透明地计算通胀率的系统。
他说,
“我设想美联储将选择不再关注他们当前的利率制定过程,而是只支付比当前通胀率高出 2% 的利率。这一策略带来的效率将类似于汽车从手动挡换成自动挡。储蓄者将始终获得合理的回报率,而消费者将为他们的挥霍付出代价。个人购买决策不再需要依赖于一年几次的少数央行行长会议,这将使经济实现“更平稳的运行”,因为利率会根据市场上普遍存在的通胀率自动调整。”
Noor 向美联储提供了与 CBDC 相关的网络安全问题的详细评论,可在美联储网站上查阅。他说,
“虽然零售 CBDC 交易本质上是透明的,并采用适当的加密和假名化技术,并由新的透明监管框架支持以解密此类交易,但守法公民可以放心,他们的个人交易将通过适当的技术和法规得到保护和保密。”
然而,他警告称,邪恶活动不太可能从互联网上消失:
“这是人类的天性,经济条件和结果的套利是可能的。社会必须回答的问题是:它愿意花多少钱来保护个人隐私?”
他总结说,在计算机/互联网时代之前,保护敏感信息的成本相对较低,只需要少量的锁/钥匙和简单的程序。在数字时代,成本将非常高昂。Noor 强调,
“虽然开源技术可以大幅降低成本,但建立、运营和执行保护隐私的监管框架——以及它所需要的安全控制——将需要长期的重大投入。”
免责声明:本文仅供参考。本文不提供或意图用作法律、税务、投资、财务或其他建议。
