认证技术与隐私保护

如同许多"跷跷板"问题，新兴认证技术与隐私权之间存在着取舍关系。或许我存在偏见（或偏执），但人们对数字隐私的担忧似乎已逐渐转为冷漠，而我认为这并非好事。我们通过使用"免费"社交媒体账号、浏览器Cookie、廉价中国物联网设备以及"免费"邮件和手机应用所放弃的隐私，可能已让我们陷入科学家称为"习得性无助"的神经学状态。

根据CoPilot AI的定义，“习得性无助"是指"个体在反复经历无法控制的负面事件后，即使出现改变处境的机会，仍认为自己无能为力的心理状态”。这听起来正是我们面临的问题。神经学家指出，其主要症状是情感麻木和缺乏动力。我在那些用钓鱼邮件骚扰员工、滥用安全意识产品进行补救而非遵循成人学习科学的组织中，也观察到同样情况。

隐私问题对个人和组织都至关重要，而当前隐私倡导者可能处于弱势地位，这绝非好事。

良好的认证技术至关重要，往往是我们抵御组织重大威胁的最后防线。多因素认证和人脸识别认证可说是阻止社会工程攻击和勒索软件的最有效工具。但遗憾的是，善用的技术也可能被滥用。多因素认证通常依赖员工使用个人设备，如手机或平板。Suprema等多因素供应商的生物特征数据泄露已导致数百万人指纹和人脸图像外泄。

威权政府正越来越多地使用生物识别技术来监控、针对和压制活动人士，破坏民主进程，巩固权力。通过大规模监控、人脸识别、预测性警务、网络骚扰和选举操纵，加之现在的人工智能整合，认证技术已成为威权控制的强大工具。即使我们不必担心生活在威权政府下，邪恶的黑客仍在暗网买卖生物特征信息，用于身份盗窃和其他网络犯罪。

虽然人脸识别等生物特征可作为多因素认证的便捷方式，但请记住：与密码不同，生物特征数据一旦泄露就无法更改或替换。

这就是我们当前的处境，但未来会如何？

本文中，我将展望人工智能和量子计算在新兴多因素认证、加密和生物识别技术中的应用。

先从简单的开始…量子计算。简单？量子计算本身并不简单，正因如此，对我们而言应对措施可能相对简单。迄今为止，量子计算几乎全是炒作和推测。几周前在某顶级网络安全大会上，我遇到许多行业从业者错误地认为量子计算已广泛应用于防火墙等安全产品中。以下是关于量子计算的现实：截至本文撰写时，尚无实用的量子计算机。即使IBM的量子计算机也未能执行任何数字计算无法完成的有用任务。最近微软量子技术突破的声明结果也是重大失败。我们可能距离实用量子计算机还有多年时间，即使问世后，学习如何编程仍需更长时间。

量子计算机尚未成熟的事实让我们有机会为这项颠覆性技术做准备。我们可以通过对称算法和哈希函数加强公钥加密和认证系统，为"Q-Day"**做准备。关键是要在这些对称密码中使用大密钥，至少是常规推荐密钥大小的两倍。

一个重大误解是我们可以等到Q-Day才实施这些改变，但这是不可行的。已记录的VPN流量和静态加密数据（如保存的文件和我们当前使用的其他信息）可能在未来数分钟内变成明文，即使多年后对网络罪犯仍极具价值。

量子通信也值得关注，随着中国在这项研究中明显领先，该话题日益重要。请参阅我之前的博客《我们是否错过了中国的量子斯普特尼克？》。

以下建议可供参考：

• 不要使用IKEv1，改用IKEv2
• 检查VPN和其他公钥系统中使用的算法****
• 手动创建密钥，有人预测人类生成的随机数或非算法生成的128字符及以上密钥更具抵抗力
• 检查证书颁发机构是否使用4K RSA密钥大小或更优方案
• 使用不小于SHA-384的哈希大小，理想情况下使用SHA-512
• 使用具有完美前向保密的TLSv1.3

下一个话题是新型生物识别技术

我们可能都听说过中国等国家如何利用人脸识别技术对付政敌和公民。现在我们应该关注的是步态识别。行走步态分析最初主要应用于医疗领域。如今，AI技术已成为从人群视频中识别大量个体的方法。这是前所未有的大规模隐私泄露手段。与大多数工具一样，AI本身并非邪恶，关键在于我们如何使用它。

步态分析可在任何角度、侧面甚至远离时远距离使用，而人脸识别需要清晰的面部视图。当我向朋友提及此事时，他们回答说他们会加入"滑稽行走部"***。遗憾的是这无法阻止步态分析，因为它使用髋、膝、踝关节形成的角度以及躯干、大腿和脚部的角度，所以无论你走得多么滑稽，都可能骗不过系统。

那么，我们该如何应对？

保护自己、家庭和组织的第一步是学习。我希望本文是个有用的开端。我们必须通过"知识就是力量"的信念来抵御习得性无助，知识是我们最强大的盟友。访问并尽可能支持电子前沿基金会（EFF）。

接下来的步骤是教育他人和影响政策。关于这些技术使用方式的组织政策及地方和国家政策，是对抗广泛滥用的最有力工具。这些政策必须包含独立监督，因为我们已经有很多警察部门甚至联邦机构滥用或无能存储认证相关信息的例子。

走出数据中心和云系统的舒适区。在安全社区中积极活动，在活动中鼓励隐私讨论和演讲。学习公民讨论的基础知识，了解政府和机构政策的制定过程。

作为信息技术和信息安全从业者，我相信我们有道德责任保持对这些话题的最新理解，并在需要时提高认知。

希望本文对您有所帮助或至少引起兴趣。请在此处查看我的其他文章，并在LinkedIn上与我互动。如果您需要风险评估或其他网络安全问题的协助，请通过我们的评估页面与我联系。

*所谓免费服务（如电子邮件和社交媒体服务）是通过出售您的个人资料、行为、人口统计和其他跟踪信息来支付的。 ** Q-Day：当前算法容易受到量子计算攻击之日。 ***如果文章不包含至少一个《星际迷航》或《蒙提·派森》的引用，那还算好文章吗？ ****https://en.wikipedia.org/wiki/Grover%27s_algorithm

本文非AI生成。

事实上，本文是在1982年Apple LISA计算机上起草的，这台计算机带来了个人计算机历史上最深刻的进步… 本材料任何部分不得用于训练人工智能。

来源、参考和进一步阅读： https://www.rfc-editor.org/rfc/rfc6379.html https://en.wikipedia.org/wiki/Shor%27s_algorithm https://en.wikipedia.org/wiki/Internet_privacy https://www.pewresearch.org/internet/2019/11/15/americans-and-privacy-concerned-confused-and-feeling-lack-of-control-over-their-personal-information/ https://youtu.be/bGOGK0-3fcw?si=_28jbAMoMjn4qtG- https://youtu.be/bJTsFZtD7xE?si=uqht38MTE_w2V_L4 https://computerhistory.org/blog/the-lisa-apples-most-influential-failure/ https://www.youtube.com/watch?v=rZjbNWgsDt8&t=417s&pp=ygUNbGlzYSBjb21wdXRlcg%3D%3D https://www.youtube.com/watch?v=psAeTDYezdo&t=327s&pp=ygUNbGlzYSBjb21wdXRlcg%3D%3D