大規模生物識別泄漏揭示了集中身分的危險：Human.tech 聯合創始人 Shady El Da...

最近在巴基斯坦發生的大規模生物識別和國家身分證記錄泄露，突顯了許多技術專家多年來警告的一個問題：當身分變得中心化時，一次泄露就會成爲系統性失敗。數百萬人的生活受到影響，從依賴身分證進行銀行交易和福利的人，到面臨騷擾或監視風險加大的羣體，都突然面臨一系列傷害，這些傷害始於欺詐，最終可能導致信任的長期侵蝕。在這種氣候下，問題不再是泄露是否會發生，而是社會如何設計能夠在泄露發生時依然生存的身分系統。

我們與human.tech的聯合創始人兼首席執行官Shady El Damaty進行了交談，討論了這些泄露事件的人爲和技術後果，以及可行替代方案的樣子。El Damaty直言不諱地指出了這個問題：全球許多人要麼缺乏任何可靠的身分，要麼被困在政府和企業持有大量敏感數據的系統中，這些數據可以並且確實會泄露。

“生物識別技術是神聖的，”他說，認爲指紋和面部掃描必須盡可能靠近個人，絕不能集中在誘使攻擊者的中心化蜂窩中。在整個談話中，他列出了立即的危機處理步驟以及一個根植於密碼學、多方治理和去中心化的多方長遠規劃。

Q1. 請簡要描述您在human.tech的角色以及該項目試圖解決的核心問題。

我是human.tech by Holonym的聯合創始人兼首席執行官，我們正在解決的核心問題非常簡單，世界上有大量人羣要麼根本沒有身分，要麼因爲他們流離失所或無國籍而丟失了身分，沒有某種安全的方式證明他們是誰，他們無法獲得最基本的服務或人道主義援助。

與此同時，我們其餘的人被困在身分由政府或企業控制的系統中，這些系統泄露數據並用它來追蹤人們，而這種模式正在迅速崩潰。隨着深度僞造技術和機器人湧入互聯網，識別真實個體變得越來越困難，因此我們正在構建一種保護隱私的方式，讓人類能夠在線證明他們的身分，而不必將身分的控制權交給那些並不關心他們最佳利益的中心化機構。

Q2. 最近的巴基斯坦數據泄露暴露了數百萬個生物識別和國家身分證記錄。在您看來，這種規模的數據泄露帶來的單一最大立即風險和長期風險是什麼？

直接的風險非常人性化；當你的指紋和國家身分證在暗網上流傳時，你突然變得更加容易受到針對性的詐騙、騷擾、金融欺詐、SIM卡交換，以及在某些情況下，甚至是身體傷害。如果惡意行爲者將這些數據與你的居住地或家庭成員聯繫起來，這並不是一種抽象的可能性，而是目前數百萬人的真實生活。

長期風險在於這些泄露不僅不會消失，它們在政府和企業泄露之間相互疊加，所有這些數據最終被輸入到機器學習模型中，這些模型正在訓練將決定你是否能夠獲得貸款、你的健康保險費的成本、你是否是真實的人還是機器人。

隨着深度僞造技術變得與現實難以區分，我們面臨着一個未來的風險，即人們再也無法證明自己的身分，這聽起來很反烏托邦，但我們已經在觀察早期跡象，這不僅僅是大規模欺詐的問題，而是關於侵蝕社會賴以生存的基本信任結構。

Q3. 生物識別通常被視爲不可改變的：“你不能改變指紋。” 從工程威脅模型的角度來看，設計師應該如何不同地對待生物識別數據，以降低用戶的終身風險？

生物識別技術是神聖的。它們是您身體實例的近似值，如果落入錯誤的人手中可能會被濫用。它們無法被旋轉，並且可以用來創建永久標識符，因爲您無法像更改密碼那樣更改它們。保護它們的方法是盡可能將生物識別信息保留在用戶身邊。它們絕不應以明文形式存儲在任何第三方服務器上。

它們應該僅僅存放在完全由用戶控制的地方。可悲的是，目前的標準做法是將生物識別數據存儲在中心化的指紋或面部數據蜜罐中，這些數據不可避免地會泄露。今天不需要這樣。像零知識證明和多方計算這樣的進步使您能夠解鎖憑證，而無需存儲或傳輸生物識別信息。重點必須放在爲泄露的不可避免性設計上，以便即使基礎設施被破壞，個人的生物識別信息也不能被再次利用。

Q4. 什麼樣的架構或操作失誤使得集中式國家身分證系統特別容易遭受災難性的安全漏洞？

集中化將蜜和熊集中在一起，形成了一個攻擊者可以針對的單一點，以及一個可以決定誰在內、誰在外的單一機構。這種組合是爆炸性的，因爲它意味着大規模的泄露和大規模的排斥總是只需一個決定或一個漏洞之遙。

Q5. 零知識證明或其他現代密碼學技術如何在身分系統被破壞時減少危害，簡單地爲普通觀衆解釋？

零知識證明讓你可以證明關於自己的某些事情而不透露底層數據，因此，例如，你可以證明你超過18歲而不透露你的出生日期。我們在人類護照中使用這種加密技術，以便你可以證明自己是一個獨特的人，而不需要交出你的面部掃描或國家身分證，這個魔力在於，如果數據庫被攻擊，就沒有生物特徵的蜜罐可以被盜，因爲根本沒有存儲敏感信息。

Q6. 對於金融軌道和支付入駐，銀行和支付提供商應優先考慮哪些防御措施，以阻止那些比人類驗證更快擴展攻擊的欺詐者？

他們需要停止假裝增加更多監控會拯救他們。拯救他們的方法是採用以隱私爲先的驗證方法，這些方法仍然能夠建立唯一性和人性，這意味着採用與欺詐者一樣快速擴展的加密技術。人類永遠無法像機器人那樣快速點擊“批準”，因爲機器人可以迅速產生一萬個假身分，但協議可以。

Q7. 去中心化身份模型在國家層面上是否可行，還是認爲混合方式才是唯一現實的路徑？這些混合模式的治理應該是什麼樣的？

去中心化身份在國家甚至全球範圍內絕對是可能的，但這並不意味着政府和銀行沒有角色；而是他們的角色發生了變化。他們應該是參與者、驗證者和標準的管理者，而不是將每個人的個人數據存放在一個保險庫中的保管人。

一種混合模型可能是政府幫助發布或支持憑證，而個人仍然掌控自己的身分，治理必須是多方利益相關者參與的，包括民間社會和技術專家，以便沒有單一實體能夠爲了利潤或控制而劫持系統。

Q8. human.tech 構建隱私優先的恢復和密鑰管理。您能否從高層次總結一下，您是如何在不集中存儲可重復使用的生物識別模板的情況下實現生物識別輔助恢復的？

是的，我們使用多方計算和其他加密技術，使得您的生物識別信息不會作爲可重用的模板存儲在某個服務器上，而是作爲分布式恢復過程中的本地因素使用，因此系統可以幫助您重新登入您的帳戶，而無需任何人持有您的指紋或面部的副本，這些副本可能會丟失、被盜或被濫用。

Q9. 如果您在爲應對巴基斯坦泄露事件的政府提供建議，您會在前72小時內推薦的三項最重要的技術和政策措施是什麼？

首先，止住損失，找到攻擊途徑並保護系統，以防止漏洞繼續擴展。其次，立即通知公民，並爲他們提供自我保護的工具，因爲政府常常隱藏漏洞，而人們往往不知道，直到爲時已晚。第三，傾倒所有日志以進行取證分析，輪換所有密鑰，完成安全審計和分析，並進行滲透測試以識別漏洞。

在塵埃落定後，開始實施保護隱私的身分基礎設施，因爲技術已經存在，零知識證明已經存在，去中心化標識符已經存在，唯一的原因是機構行動太慢，或者坦率地說，他們對保護他們的人並不夠關心。

Q10. 如果普通人懷疑他們的國家身分證或生物識別數據被泄露，他們現在應該做些什麼？請提供一份簡短的優先事項清單。

他們應該立即更新和加強所有與該身分連接的數字帳戶，盡可能啓用多因素認證，關注諸如SIM卡交換嘗試等異常活動，並對使用泄露數據片段來顯得可信的釣魚電話或電子郵件保持高度警惕。

使用“haveibeenpwnd.com”或類似網站掃描暗網中的個人數據。其他服務可以收費幫您刪除信息。參與非政府組織或民間團體以獲得數字安全衛生方面的幫助也可能是值得的，因爲集體防御總是比獨自解決問題更強大。

Q11. 在泄露後，NGO、銀行和電信公司應該將哪些下遊攻擊(SIM交換、帳戶接管、定向監視、深度僞造等)視爲最高優先級，應該如何協調？

SIM卡交換和帳戶接管總是第一波攻擊，因此電信公司和銀行需要緊密合作，監控並快速響應，但更深層次的長期風險是針對性的監視和利用生物識別信息泄露來制造深度僞造，冒充他人。因此，協調不僅要包括金融機構，還要包括媒體平台、政府和能夠爲最容易受到攻擊的人提供快速警報和教育的非政府組織。

Q12. 展望未來5–10年：一個具有韌性的人本全球身分系統在技術和治理上是什麼樣的，仍然缺少哪些最重要的構建塊？

一個有韌性的系統看起來像是身分不是可以用來對付你或從你身上奪走的武器，而是解鎖你在線人性的工具。從技術上講，它看起來像是去中心化標識符、零知識證明和不需要將你的生物特徵交給中央服務器的恢復系統。

在治理方面，它看起來像是以人類爲中心的共享管理，而不是公司或國家，而今天缺失的部分實際上是政治意願。技術已經存在，人文技術的契約闡明了原則，但我們需要願意採納這些原則的領導者，而不是繼續加倍投資於將不斷讓我們失望的集中監控基礎設施。

訪談總結

從El Damaty的角度來看，關鍵有兩點。首先，在任何大規模泄露後，立即的實際工作必須是積極和透明的：止住損失，確保安全漏洞，通知受影響的人，輪換密鑰，將日志交給獨立取證機構，並推動快速遏制。第二，長期的韌性需要重新思考誰控制身分。像零知識證明和多方計算這樣的技術可以讓人們證明關於自己的事實，比如他們是獨一無二的，超過一定年齡，或有資格獲得某項服務，而無需交出原始生物特徵或可以被收集和重用的集中數據庫。

對於個人，El Damaty 的建議是直接而緊急的：鎖定帳戶，啓用多因素認證，警惕 SIM 交換嘗試，並對利用泄露數據的網絡釣魚保持懷疑。對於機構而言，教訓是結構性的：隱私保護的驗證比人工審查更快地擴展，並且必須成爲防御策略的一部分，尤其是對於那些看到最嚴重下遊影響的銀行、電信公司和援助組織。

最終，構建更安全、以人爲中心的身分系統的技術已經存在，去中心化標識符、零知識證明和隱私優先的恢復流程都是現實可部署的。“技術已經到位，”El Damaty說；他警告說，缺少的是政治意願和一個以人而非單一數據倉庫爲中心的治理模型。直到這一點改變，每一次新的泄露都將是一個代價高昂的提醒，集中身分仍然是信任本身的單點故障。