报告：基于区块链的免疫护照方案无法解决核心隐私问题

现有的去中心化数字身份标准很容易受到破坏，并且不具备隐私功能：这是由比利时鲁汶大学（KU Leuven）的客座教授哈里·哈尔平（Harry Halpin）在 Mozilla 主持的安全性标准化研究会议（SSR20）中提出的一篇新论文的核心观点。

免疫护照这种将个人行动轨迹与其自身的 COVID-19 免疫状况进行绑定的提案，近期随着疫苗相关的新消息一起再次出现。国际航空运输协会（IATA）宣布其数字护照 app 处于“开发最后阶段”，如果有人接种了 COVID-19 疫苗，该 app 会接收到消息并进行验证。据称该 app 将使用区块链技术来认证数据，而无需以中心化的方式进行存储。同时，世界卫生组织正在寻找可能的旅行“电子疫苗证书”。

哈尔平表示：“基于全球唯一的身份系统本质上是在侵犯隐私，应用区块链技术也不会改变这个本质冲突。实际上，将这些数据放在区块链上往往会使隐私问题变得更糟，而且尚不清楚零知识证明是否真的会改善这种现状。” 哈尔平是隐私初创公司 NYM 的 CEO，该公司开发了 mixnet。

 免疫护照

免疫护照的想法已经存在了几个月。这个想法是，如果有人得过新冠肺炎，他们将在一段时间内保持免疫力，并且可以通过数字方式验证其身份。此类提议涉及的问题很多，包括敏感信息的存储方式，如何进行验证以及其是否剥夺或干扰人权。

实际上，智利和萨尔瓦多等国家已经采取了此类措施。根据华盛顿邮报，例如智利，那些康复或测试存在阳性抗体的群体，会让他们恢复工作。智利居民如果未表现出疾病症状并且愿意接受检查，可以申请这些护照。

ID2020 联盟，与微软、埃森哲和 Hyperledger 等合作伙伴建立了公私合营关系，已经开始证明某些数字身份 ID 提案是可以提供给政府的好提案。认证证书意味着该技术符合 ID2020 提出的 41 项技术要求。

这个 COVID-19认证倡议（CCI） 是来自由 100 个组织组成，人数规模超过 300 人的另一个团体之手，他们希望“部署或帮助部署保护隐私的可验证证书项目，以缓轻 COVID-19 的蔓延和加强我们社会和经济。” 该项目的方案可验证证书（相当于驾照的数字形式）可用于解决公共卫生危机的实例。从本质上讲，这种可验证证书将最小化个体需要授权允许的信息量，例如，在疫情期间的相关轨迹，同时限制了其他信息的共享方式。

疫苗既带来了新的机遇，也带来了有关数据隐私和敏感性的新问题。但是正如哈尔平在论文中指出的那样：“最杰出的免疫护照方案会引入许多鲜为人知的标准，例如来自万维网联合会（W3C）的去中心化身份标识（DID）和可验证证书（VC）。”

哈尔平认为：“免疫资格证书可能是危险的，因为免疫资格证书持有者可能从没有证书者的社会阶层中变成上层社会阶级的“免疫精英”，这违反了许多国家关于歧视的现行法律。”

例如，不难想象富人是第一个获得新批准的疫苗，获得免疫护照或证书的人，从而获得了旅行，工作和其他可能带来的好处。

 去中心化身份，可验证证书和 W3C

成员驱动的标准机构万维网联盟（W3C）制定了 DID 和 VC 的标准，其中许多保护隐私的建议都基于该标准。该主体还以诸如 HTML 的早期版本之类的标准而闻名。哈尔平辩称，这些标准在声称它们保护隐私方面存在缺陷。

通常，数字身份被视为身份的唯一标识，例如一个人的姓名，国籍或在这种情况下的免疫状况。区块链领域中许多公司的目标是创建“自我主权身份”，使人们能够控制他人可以访问其身份的方式，不必放弃其个人身份或信息，也不会依赖于政府或企业。

可以将其视为一个比特币钱包地址，例如，它使用户无需知道对方的姓名就可以向对方付款。而银行汇款需要知道你是谁，以及你要汇款给谁。

解决此问题的核心部分是需要一个中心化数据库来解析或验证这些唯一身份。区块链技术似乎通过让信息以去中心化的方式存储来解决了这一需求，并引起了人们的兴趣，针对这一想法，W3C 提出了对应的标准。

 VCs 和 DIDs：主要涉及数据集成

哈尔平对可验证证书的批判的核心在于，它们是为数据集成而不是隐私而设计的。这些标准可以基于语义网（基于 W3C 设置的标准对互联网的扩展），其目标是使数据可被机器读取。

争论的细节偏技术性，但有两个关键点。一种是 W3C VC 基本上只是签名的数字文档。他们使用序列化，或将代码和数据转换为可传输形式的过程，其唯一用例是数据融合。数据融合是集成来自多个来源的数据的过程。

换句话说，在技术层面上，标准数据模型并不是以隐私为核心而构建的。相反，它是一个可选的拓展功能。

哈尔平说：“语义网对于跨数据库的数据融合非常有用，对于开放的公共数据也非常有用。将语义网与个人数据和全球唯一身份（如 DID）结合在一起时，可以想象它可以用在美国国土安全部追踪移民等用例中。老实说，我看不出将新冠肺炎测试结果附加到去中心化数字身份上的任何原因，而且唯一可行的答案是政府想要将危险数据与其他敏感数据融合在一起。”

美国国土安全部（DHS）已与 Digital Bazaar 签订了一份合同，以致力于 W3C 数字身份标准。

哈尔平写道，可以通过签名排除和签名替换攻击来攻击基于数据集成的模型。在这种攻击中，不良行为者会删除已签名消息或数字文档的签名，并用另一个签名替换它，从而诱使验证者接受无效消息为有效消息。

这意味着可验证证书可能会被伪造为已验证状态，可其实它们并没有通过验证。对于免疫护照或证书，这意味着某人可能在这种证明不正确甚至是完全伪造的情况下，可以将其证明为正确的。

 异议渐增

伊丽莎白（Elizabeth Renieris）是马萨诸塞州剑桥市哈佛肯尼迪学校卡尔政策中心的数据隐私律师和技术与人权研究员。她曾与人联名发表过有关 COVID-19 免疫护照的道德，社会和技术问题的论文。另外，出于对组织方向的担忧，从 ID2020 的技术顾问委员会辞职。

根据她的说法，DID 规范的最大问题是它们只是一种数据格式，而社区以及试图推广 DID 的公司对这些数据格式却了解甚少。

她在一封电子邮件中说：“它没有嵌入任何安全协议或访问控制，也没有办法证明证书的持有人甚至是该证书的主题。这为大规模欺诈打开了大门。”

哈尔平认为，DID 本质上也与隐私矛盾。有关隐私的争论的核心是如何将一个实体关联到一个动作。如果对手的目标是识别你的身份，那么为你分配一个可重复使用的全局唯一身份，就可以更轻松地发现你的身份。

哈尔平在一封邮件中说：“在不使用'全球唯一身份'（GUID）的情况下，你仍然可以在线关联到你的操作，只是 GUID 使其更容易实现。像 Google 这样的浏览器中的 cookie 是 Google 分配给您的唯一身份标识，把你的跨网页间的操作关联起来。使用 DID，你可以给了一个任何公司都可以使用的 Cookie。对于某些用例来说很好，但是对于敏感的医疗数据可能就不一样了。”

 区块链无法解决这个问题

根据伊丽莎白的说法，当涉及的许可分布式账本和中心化服务器时，关于去中心化和区块链的优势的争论也开始脱颖而出。

区块链技术的吸引力在于其去中心化的本质，不可篡改和匿名哈希。

但是，哈尔平认为，在实际使用案例中，它并不能解决基础 DID 和 VC 标准的缺陷。相反，它引入了其他复杂性和漏洞。

例如，2020 年 6 月发表的一篇论文提出了关于免疫护照的具体建议，标题为 “ 为COVID-19抗体测试/疫苗认证而生的app” 。它描述了一个名为 OpenEthereum 的分布式帐本，这是以太坊的一个分支，由一个联盟运营。

哈尔平写道：“与以太坊相反，但与其他基于 DID 的链（如 Sovrin）类似，它基于 proof-of-authority 共识机制。”

这个应用上的用户可以选择将数据存储在哪里，据称如果要的话，也可以撤销其数据并且删除它们，并将个人信息存储在哈希中。

哈尔平提出了许多方法来满足这些要求。让人们选择将数据存储在哪里意味着他们可以将其放置在不安全的设备（例如智能手机）上，这就没办法保证数据不会被其他系统复制。最后，根据哈尔平的说法，系统的数据结构会带来扩展问题。

哈尔平写道：“一些免疫护照提案危险地将个人数据的哈希值放在区块链上。甚至使用在像 Sovrin 这样的系统中通过身份与密钥的链上映射这种区块链技术，不过最终也会重定向到中心化服务器，这破坏了区块链推进去中心化的价值主张。”

“由于免疫护照的目标似乎不需要使用区块链技术，而且使用区块链技术可能反而会阻碍而不是帮助保护隐私，因此免疫护照、W3C DIDs 和 VCs 都要从需求出发，有区块链需求再使用区块链技术！”

哈尔平说：“隐私是这类系统的核心，而不是可选的后续附加功能。”