[Hyperledger / Edx] 2일차 - Identity Attributes

 ID 속성

- 거의 대부분 사이트에서 서비스를 사용하기 위해 ID를 제공함.

- 최소한 이름 + 이메일이며 서비스에 따라선 주소, 카드 정보 등

- 이런 정보를 우리가 할수있는건 매우 일반적인 거래

- 물건 구매는 충분히 낮은 위험성을 가짐. 판매자가 쉽게 누구에게 판매되는지 알 수 있음 -> 광범위한 남용을 방지 가능(?)

 

- 계좌 개설과 같은 더 높은 신뢰가 필요한 온라인 거래는 훨씬더 어려움

- 대면에서 하듯 우리 자신에 대한 정보를 제공해야 함

- 이론적으론 우리 자신만이 고유 정보를 알고있기 때문에 입력만 하면 됨.

- 하지만 대다수 정보들은 이미 알려짐. 자주 사용(이름과 이메일) 또는 정보 유출(주민등록번호 등)

- Non-identifier(비 식별자)가 인증을 위해 사용될 수도 있음(Shared secrets라 불림)

 

- 대안은 온라인 버전의 대면 인증임. 문서를 스캔해서 보내기

- 하지만 문서는 쉽게 조작될수 있기 때문에 신용할 수 없음

- 대면으로 제출하는 문서도 쉽게 조작할 수 있긴함 -> 현실세계의 위험을 만드는 요소

- 은행원이나 변호사는 인증문서의 진위를 파악하기 위한 전문가가 되어야함

 

추가적인 문제들

원치않는 연관성

- 여러 사이트에 공통 ID사용은 연관성 문제로 알려진 것을 만듬

- 여기서 연관성 문제란 하나의 정보를 여러 시스템에 동의 없이 관계 시키는 것임

- 이러한 인터넷에서 연관성의 확산은(대다수 광고로 인해 발생) 엄청난 개인정보 손실을 야기시킴

예시)  Florida company, Exactis. 3억4천만 데이터 유출. 내용도 충격적.

각 사이트의 정보를 연관시켜 인당 약 400개 정도의 정보가 유출됨(이름,나이,인종,종교,가족규모 등)

- Exactis가 이른 정보를 모으도록 아무도 동의한적 없음

- 수많은 파트너사의 정보들을 모은 결과임

- 연관성은 우리가 매일 온라인에서 사용하는 ID를 통해 가능함

- email이 가장 큰 요인이며 다른 것도 잇음

- 다른사이트에 같은 아이디

- 다른정보들도 마찬가지(핸드폰 번호, 주소, 주민등록번호 등)

- 트래킹 쿠키들과 광고들은 여러 사이트에 아이디를 연결시키는걸 가능하게 함

- 유럽에선 GDPR(General Data Protection Regulations, 일반 데이터 보호 규정) 이런 행위들을 규제하지만 다른나라에선 없음.

- 하지만 GDPR도 법적 해결책이지 기술적인 해결책이 아니기 때문에 한계가 있다

- 그리고 GDPR아래에서도 여전히 데이터는 수집되고 있음 "If Your Privacy Is in the Hands of Others Alone, You Don’t Have Any."

 

- Identity Providers(IdPs, 구글 및 페이스북 로그인 같은 것)

- 이 경우에 동의를 하긴 했지만, 편리성과 연관성과 트레이드 오프(더 적은 아이디와 비밀번호)

-  IdP를 로그인마다 사용하고 다른 사이트에서 사용함으로 IdP는 우리에 대해 더 알게 됨

---

데이터 유출

-개인정보 관련 데이터는 높은 가치

- 개인정보의 큰 저장소는 해커의 좋은 타겟

- 개정에 접근하기 위한 ID 비밀번호 뿐만 아니라, 우리 자신을 "증명"하기 위한 이름, 이메일, 주민등록번호 등을 포함

- 개인적이어야할 이런 정보들이 유출될 가능성 때문에 위의 정보들을 높은 가치의 상호작용(개인인증 뜻하는듯)을 위해 쓰기 불가능함.

---

중앙화된 ID들

- 우리가 사용하는 ID의 대다수는 중앙화

- 중앙화된 독립체가 우리 정보를 제공하고 유지보수함(정부, 기업)

- 문제는 이 단체들이 정보를 가져가버릴 수 있다는 것

- 중앙 단체를 비판하는 사람을 억압하는 수단으로 사용할 가능성

 

- 두번째 걱정: 어떤식의 악의적인 방법으로 사용될 수 있다는 것

-  hack of a Dutch Certificate Authority 는 암호화되어야 되는 데이터들을 해커들이 접근할 수 있고 가로챌 수 있도록 ㅎ버림

- 중앙화된 저장소가 타협하면(?) 많은 사람들에게 영향을 끼칠 것