acm-header
登录

ACM通信

首页 / 新闻 / 欧洲人警惕新的数字身份 /全文
ACM新闻

欧洲人警惕新的数字身份

由Arnout雅斯贝尔斯
受中华艺术学院工作人员委托
2022年3月31日
评论
认为: 打印 手机应用程序 分享: 通过电子邮件发送 在reddit分享 在StumbleUpon分享 在黑客新闻上分享 在推特上分享 在Facebook上分享
分享

在欧盟委员会的愿景中,欧洲数字身份将为每个欧盟公民提供一个数字钱包ID,可以选择性地披露更多属性。

图片来源:电子识别(西班牙)

欧洲人现在需要一个数字二维码来验证他们的冠状病毒免疫状态,以便跨越边境。批评人士说,新的欧洲数字身份(EDI)框架试图利用这一要求来扼杀公民的隐私;另一些人则认为,如果操作得当,EDI实际上可以保护隐私。

在欧盟(EU)买酒,你需要证明你至少18岁,通常要把带照片的身份证交给收银员。但是,为什么收银员在卖给你一瓶酒之前,就能读到你的全名、出生日期和地点,以及社会保障或驾照号码呢?

与物理ID不同,数字ID可以进行选择性披露:它只显示相关属性(在本例中,验证持有者是18岁或以上),其他什么都不显示。

这就是欧洲人如何CoronaCheck应用设置为:扫描二维码后,如果应用程序确认接受测试的人接种过疫苗,或感染过病毒,并可以显示恢复的证据,或检测到最近的聚合酶链反应(pcr)检测呈阴性(或三者的任意组合)的证据,应用程序就会显示绿色标志。如果这三种情况(或它们的组合)都没有检测到,应用程序就会显示一个红旗。

在欧盟委员会的愿景中,欧洲数字身份将为每个欧盟公民提供一个数字钱包ID,可以选择性地披露更多属性。钱包将包含个人数据,如个人财政号码(在美国,这是社会安全号码;在荷兰,它是BSN数量),还提供关于卫生和教育的详细信息;几乎所有店主想放进钱包的东西。

它通常驻留在主人的智能手机上,主人必须允许它显示特定的属性。医生可能被允许查看所有的医疗信息,而意大利的一所大学将只被允许核实主人是否真的获得了牛津大学的学士学位。

今年2月,欧盟委员会(European Commission)发布了一项建议,要求为这种钱包ID开发一款应用程序。尽管欧盟委员会没有权力要求所有27个欧盟成员国使用同一款应用,但它可以执行某些数据和隐私标准。

这一举措引起了隐私倡导者的担忧,也引起了更极端的反欧盟活动人士的不满,他们认为欧洲数字身份是朝着全面、像ccp那样控制欧盟公民迈出的决定性一步。

位于荷兰奈梅亨(Nijmegen)的内梅亨大学(Radboud University)的安全、隐私和身份学教授巴特·雅各布斯(Bart Jacobs)说,他赞成“在适当的边界条件下”使用EDI。他坚持EDI应用程序必须是开源和去中心化的,所以他认为很不幸的是,提议呼吁没有开放这一点。开源意味着大型科技公司无法获得此类产品的版权,因此他们对制造和营销这些产品没有兴趣。另外,如果信息只驻留在钱包ID中,而不在中央服务器上,那么可以避免许多安全和隐私问题。

目前的做法恰恰相反:人们现在使用他们的Facebook或谷歌身份登录在线零售网站,这使得他们可以被跟踪,他们的个人和商业数据被吸收,而他们自己却完全无法控制自己的数据。雅各布斯说:“不把这个问题留给美国人或中国人,这在战略上很重要。”

事实上,雅各布斯和他在内梅亨大学的团队已经开发了一种名为IRMA的开源去中心化钱包ID。尽管它还处于部署的早期阶段,但现在已经有7万名用户和大约12个政府和商业合作伙伴将接受它作为身份识别。它也可以用于视频会议,与会者必须证明自己是谁。

冠状病毒检测二维码不能伪造,因为它们包含一个国家授权的卫生部门的数字签名。这个签名已经用他们的密钥加密,而任何扫描二维码的人都会自动用公钥解密。解密产生可读的消息,而不是胡言乱语,这一事实证明了签名是真实的。

IRMA使用类似的系统对受信任方(例如地方政府)颁发给用户的证书进行认证。采用IRMA的网络零售商同意接受用户适当的选择性披露作为身份验证。IRMA使用更高级的协议Camenisch-Lysyanskaya签名为额外的隐私和匿名。

雅各布斯多年来一直与荷兰政府就数字身份问题进行磋商。他打算将IRMA提交给欧洲的提案,但他说“我个人对荷兰政府感到失望。他们本可以说,‘我们已经有了IRMA,这可以成为欧洲钱包id的一个模型’,但他们没有这么做。”

荷兰代尔夫特理工大学(Delft University of Technology)多参与者系统副教授Seda Gürses确信,基于手机的钱包ID,无论是否开源,都无法完全独立于谷歌和苹果的移动平台实现。即使这是可能的,她原则上也反对欧洲数字身份(European Digital Identity):“这样的应用程序可以为你自己的大学院系或类似院系打开大门,因为重新利用和滥用的可能性非常有限,而不是全球身份。”

部分问题在于EDI不仅将用于政府服务,还将用于银行、在线零售和社交媒体,因此许多利益相关方将有权制定政策来验证某些属性。今天,个人必须接受冠状病毒检查才能跨境;批评者认为,明天你的EDI可能会阻止你在高峰期乘坐地铁,因为你失业了。失业这一属性可以被要求领取社会福利,但基于这一属性的政策非常值得怀疑。

欧洲数字身份的支持者认为,欧盟现有的民主制衡机制将防止这种使命偏离。Gürses说,“这不是任务渐变;这任务!”

Gürses并不怀疑EDI应用程序可以用来保护隐私,但她说,一旦这样的数字基础设施到位,政府和商业利益相关者可以根据这些属性随时改变他们的限制。“谁来制定和执行EDI的政策,这是问题所在。”

Arnout雅斯贝尔斯是一名自由科学作家,住在荷兰莱顿。

没有发现记录

登录为完全访问
»忘记密码? »创建ACM Web帐号
Baidu
map