认证技术与隐私保护的博弈:AI与量子计算下的新挑战

本文探讨了现代认证技术(如多因素认证和生物识别)与隐私权之间的紧张关系,分析了量子计算和AI在身份验证领域的潜在影响,并提出了应对未来安全挑战的具体技术建议。

认证与隐私

如同许多"跷跷板"问题一样,新型认证技术与隐私权之间存在着此消彼长的关系。或许我有些偏见(或偏执),但人们对数字隐私的关注似乎已逐渐转变为冷漠,而我认为这绝非好事。也许我们通过使用"免费"社交媒体账户、浏览器cookie、廉价的中国物联网设备以及"免费"电子邮件和手机应用所放弃的隐私,已使我们陷入科学家称为"习得性无助"的神经状态。

根据CoPilot AI的解释,习得性无助是"一种心理状态,个体在反复经历无法控制的负面事件后,即使出现改变处境的机会,也相信自己无能为力。“这听起来正是我们当前面临的问题。神经学家指出,主要症状是情感麻木和缺乏动力。我在那些用网络钓鱼邮件困扰员工、滥用安全意识产品进行补救而非遵循成人学习科学的组织中,也看到了同样的情况。

隐私问题对个人和组织都至关重要,而目前隐私倡导者可能处于劣势,这绝非好事。

良好的认证技术至关重要,通常是我们抵御组织最大威胁的最后防线。多因素认证和面部识别认证可以说是我们阻止社会工程攻击和勒索软件攻击的最有效工具。可悲的是,善用的技术也可能被用于邪恶目的。多因素认证通常依赖员工使用自己的设备,如手机或平板电脑。Suprema等多因素供应商的生物识别数据泄露已导致数百万人的指纹和面部图像外泄。

专制和压迫性政府越来越多地使用生物识别技术来监控、针对和压制活动人士,破坏民主进程并巩固权力。通过大规模监控、面部识别、预测性警务、网络骚扰和选举操纵,以及现在的人工智能整合,认证技术已成为专制控制的有力工具。即使我们不必担心生活在专制政府下,邪恶的黑客也会在暗网上出售和交易生物识别信息,并将其用于身份盗窃和其他网络犯罪。

虽然面部识别等生物识别技术可能是进行多因素认证的简便方法,但请记住,与密码不同,生物识别数据一旦泄露就无法更改或替换。

这就是我们当前的处境,但未来会怎样?

在本文中,我想推测人工智能和量子计算在新兴多因素认证、加密和生物识别技术中的一些应用。

让我们从简单的开始…量子计算。简单?嗯,量子计算本身并不简单,这就是为什么对我们来说,缓解措施可能更容易。到目前为止,量子计算几乎全是炒作和猜测。几周前,在一个全国顶级网络安全大会上,我遇到许多行业从业者错误地认为量子计算已积极应用于防火墙等当前安全产品中。因此,我们需要对量子计算进行现实检查。在撰写本文时,还没有实用的量子计算机。即使是IBM的量子计算机也尚未执行任何数字计算无法完成的有用任务。最近关于微软量子技术突破的公告已被证明是一个大失败。我们可能还需要很多年才能拥有实用的量子计算机,即使这些计算机上线,学习如何编程它们也需要更长时间。

量子计算机尚未准备就绪的事实给了我们准备应对这一颠覆性技术的机会。我们可以通过使用对称算法和哈希函数来加强公钥加密和认证系统,为Q-Day**做准备。关键(请原谅双关语)是使用大型密码密钥,至少是通常推荐密钥大小的两倍。

一个很大的误解是我们可以等到Q-Day才实施这些更改;我们不能。记录的VPN流量和静态加密数据(如保存的文件和我们当前使用的其他信息)可能在几分钟内变成明文,即使在多年后对网络犯罪分子也极具价值。

量子通信也值得关注,随着中国在这一研究中明显领先,这一话题变得越来越重要。请参阅我之前的博客《我们是否错过了中国的量子斯普特尼克?》。

您可以考虑以下几点:

  • 不要使用IKEv1,使用IKEv2
  • 检查VPN和其他公钥系统中使用的算法****
  • 手动创建密钥,有人预测人类生成的随机数或非算法生成的128字符或更大的密钥更具抵抗力
  • 检查您的CA是否使用4K RSA密钥大小或更好
  • 使用不小于SHA-384的SHA哈希大小,理想情况下使用SHA-512
  • 使用具有完美前向保密性的TLSv1.3

下一个主题是新的生物识别技术

我们可能都听说过中国和其他国家如何对面部识别技术对付政治敌人和公民。我们现在应该关注的是步态识别。行走步态分析主要在医学领域发展。现在,人工智能技术已成为从人群视频中识别大量个体的方法。这是一种我们前所未有的大规模隐私丧失手段。像大多数工具一样,人工智能本身并非邪恶,重要的是我们如何使用它。

步态分析可以在任何角度、侧面甚至远离时进行,与需要清晰面部视图的面部识别不同。当我向一些朋友提出这一点时,他们回答说他们会加入"愚蠢行走部”***。可悲的是,这并不能阻止步态分析,因为它使用髋、膝和踝关节形成的角度,以及躯干、大腿和脚的角度,所以您可以随心所欲地愚蠢行走,但可能骗不过系统。

那么,我们该如何应对这一切?

保护自己、家人和组织的第一步是学习。我希望本文是一个有用的开始。我们必须通过知识就是力量和我们最伟大的盟友来对抗习得性无助。访问并尽可能支持电子前沿基金会(EFF)。

接下来的步骤是教育他人并影响政策。关于这些技术如何使用的组织政策以及地方和国家政策是防止广泛滥用的最强大工具。这些政策必须包括独立监督,因为我们有大量警察部门甚至联邦机构滥用甚至无能存储认证相关信息的例子。

走出数据中心和云系统中的舒适区。在安全社区中积极活动,鼓励在活动中进行隐私讨论和演示。学习公民讨论的基础知识,以及政府和机构政策的制定方式。

作为信息技术和信息安全的从业者,我相信我们有道德责任保持对这些主题的最新理解,并在需要时提高意识。

我希望本文对您有帮助或至少有趣。请在这里查看我的其他文章,并在LinkedIn上与我互动。如果您需要风险评估或其他网络安全问题的帮助,请通过我们的评估页面联系我。

*所谓的免费服务,如电子邮件和社交媒体服务,是通过出售您的个人资料、行为、人口统计和其他跟踪信息来支付的。 ** Q-Day,当前算法容易受到量子计算攻击的日子。 ***如果文章中没有至少一个《星际迷航》或《蒙提·派森》的引用,那就不算好文章,对吧? ****https://en.wikipedia.org/wiki/Grover%27s_algorithm

本文并非由AI生成。

事实上,本文是在1982年的Apple LISA计算机上起草的,这台计算机引入了个人计算机历史上最深刻的进步… 本材料的任何部分不得以任何方式用于或复制用于训练人工智能。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次