雪崩时,没有一片雪花是无辜的。
No snowflake in an avalanche ever feels responsible.
——斯坦尼斯洛(Stanisław·Jerzy· Lec) 《More Unkempt Thoughts》
2018年3月26日,百度集团董事长李彦宏在中国发展高层论坛年会上 说这番话的时候,在下首先是反对的。
2016年8月19日,山东临沂的“准大学生”徐玉玉被6名电信诈骗分子以发放助学金为由,骗取了学费9900元,在报案回家的路上,徐玉玉因心脏骤停,抢救无效不幸离世。
2016年8月29日,这位清华大学教授刚刚卖了一套房子,回到家立即就接到了诈骗电话,称他漏缴各种税款等等,各种恐吓威逼,然后一步步中计,结果1760万全部被骗走。“骗子可以精确地告诉你,网签合同的编号是多少,各种交易中很细节的一些信息,骗子都能说得头头是道。”上海交通大学信息安全工程学院院长李建华表示,电信诈骗已经形成完整的黑色产业链,网络诈骗的从业人数超过160万人,诈骗“年产值”达1152亿元。对于电信诈骗的治理,李建华认为,应该严查个人信息泄露的源头。
很多时侯用户不愿意,只是无可奈何罢了。控制大量数据的网络巨头掌门人,李彦宏此番“实话”,当时确实激起媒体热议。彼时恰逢Facebook陷入数据门,全球目光聚焦个人数据泄露和被不当利用的风险。如何一边享受技术变革带来的社会便利,一边防范数据泄漏带来的各种社会危机?政府、企业、媒体、公众似乎都面临一道不易破解的难题。
貌似难题面前,关注仅仅持续了4天,媒体和观众的热情便迅速褪去。红黄蓝幼儿园虐童、美国制裁中兴、携程杀熟、鸿茅药酒、毒疫苗、P2P爆雷、米兔……轮番上场的热点,吃瓜群众注意力不够用了。网络信息时代用户既是消费者,也是生产者,于是继续在各种流量思维至上的巨头面前贡献数据,无奈地用隐私交换那么一点便利,众多不明真相的群众前赴后继沦为各式收割机下的韭菜。
“从我做起,从现在做起。”个人数字信息的掌控者应该是每个人自己,打击数据滥用也需要消费者的力量与参与,形成更多学习如何自我保护的理性用户群体。
你并不孤独,一批学者也注意到这个问题的不合理和严重性,正在尝试从计算世界结构底层对当前数字社会进行改造。计算机,密码学,人文关怀,社会尽管是个复杂系统,毕竟是人类智慧的产物,其主旋律无非是共识与冲突。
清华大学计算机姚班郑明等6博士在主题为《In Thinkey We Trust》的Thinkey公链发布会上,对当前的计算世界结构作了简明清晰的描述:
顺便说一嘴,区块链跟他的孪生兄弟比特币最近行情走低,末日博士鲁比尼跳出来嘲笑吃瓜群众说你们全被骗了,区块链是大谎言;知乎金融大V周召也不失时机发文称:“区块链是骗局,而且我并不是说数字货币是骗局,而是说所有搞区块链的都是骗局”。是不是骗局?得分人,从来只有骗子是骗子。以郁金香为代表的投机、贪婪、炒作将人性之疯狂演绎得淋漓尽致,郁金香始终只是郁金香。房子、股票、比特币,钢铁、食盐、猪肉票,莫不如是。鲁比尼、周大V之说不过是自媒体拿来博眼球赚流量的素材罢了。
言归正传,本文以在线PDF电子合同签署服务领域为例,看清所谓【舍弃隐私换取便利】的真相,以及区块链对现状带来的巨大改变。
相比于一般的个人浏览网页、使用网络应用、社交媒体产生的用户数据,合同的当事人、合同条款、金额等信息更加敏感,更具商业价值。我们拿电子合同服务的发展来观察,在隐私与便利之间,市场和用户是如何取舍的。
亿欧智库《信息化安全新变革—2018年第三方电子合同服务行业趋势报告》显示,我国电子合同服务行业的互联网化交付是从2012至2013年间开始,2015年爆发,从行业发展的角度看,目前仍处于早期阶段。电子合同服务对企业提高效率方面发挥的作用体现在从内部审批到外部签署等流程中的多个节点上。对比传统的线下签署方式,电子合同服务商提供的签署方式可以节省掉企业在打印、申请用章、纸质单据送达等过程中的时间和人力成本,把整个流程串联在线化,可以提高至少两倍的办公效率。
抛开效率不说,纸质合同常常存在被人为篡改、伪造公章、私盖公章等各种风险,一些经典案例经常见诸媒体。
2018年9月22日,被伪造合同构陷的清华大学教授付林,终于收到了法院的撤诉裁定书。这是一起典型的因纸质合同签署漏洞被利用而引发的案件。山西双良再生能源开发利用有限公司有一份北京清华城市规划设计研究院能源规划设计研究所盖章的金额空白合同,后经协商,由北京华清泰盟科技发展有限公司与山西双良签约,而原能源所盖章的合同并未从双良公司收回。双良公司单方填入金额¥600万元,伪造成有效合同,构陷付林教授贪污挪用公款,使得付林教授被以涉嫌挪用公款罪逮捕。尽管经过多方关注、辩护律师尽职辩护,海淀区检察院对相关部门做了调查核实后最终决定撤诉,然而其间耗费的时间、资源,尤其是付林教授被羁押失去人身自由785天,当事人和社会都付出了本不该承受的高昂代价。
如果当时双方采用电子合同签署,即使是同样签了空白合同,由于电子合同采用数字签名,签署后的PDF文档具有防篡改的特点,验证文档签名也更加方便快捷,上述构陷便无法成立,案件可以避免发生。
无独有偶,T研究的《2018年中国第三方电子合同市场及应用行业研究报告——完整版》认为,“现阶段第三方电子合同虽然正起步,但已呈高速发展态势;不同类型企业的多种质疑与担忧,已成为第三方电子合同高速发展中的阻碍”。
针对对第三方电子合同抱有怀疑且还没有应用的质疑型企业,其担忧点主要集中在个人/企业信息泄露(43.8%)和合同信息泄露(36.3%)两方面的安全隐患;
潜力型企业已经有了明确应用第三方电子合同的计划,但仍然担忧CA机构的审查能力(47.1%)和密钥的监管权限(41.2%);
3、成功应用型企业的质疑:签订、存储过程中是否会持续存在泄漏、篡改的问题
现阶段,高达94.1%的成功应用型企业依然对第三方电子合同抱有质疑与担忧;并且36.3%的企业用户对签订、存储过程中的信息泄露、篡改的隐患抱有担忧和质疑,这也成为成功应用型企业最为集中的担忧点。
两份行业报告,点明了用户质颖或担心“信息泄露”,是签合同电子化远远落后于文档、办公、支付、社交等网络化的关键原因。信息泄露、篡改的隐患成为制约电子合同行业发展的瓶颈。
对一般读者,本节可以简要概括为:当前电子合同普遍依赖中心化可信第三方(TTP)完成签署,解决数字签名交换问题,但这样用户的信息、甚至合同内容都暴露给了中心化TTP。中心化TTP面临较高的安全风险,一是外部攻击导致服务中断或数据被盗,二是内部攻击,中心化TTP员工因心怀不满或受到利益诱惑,拿这些高价值信息换取经济利益,对合同当事人造成损失;因此中心化TPP模式是有BUG的,需要一种无中心TPP方案来解决。详细内容可以略过,直接进入下一节。
投资者、服务商、电子合同集团客户、研究智库等专业人士感兴趣的可以详细了解:
在互联网签署合同时,需要一个公平的合同签署协议,让合同签署的各方要么同时获得其他参与 的数字签名,要么谁都不会得到任何有效的数字签名。目前,这些合同签署协议根据对可信第三方(trusted third party,TTP)的使用情况大致分为两类:
一类协议不依赖TTP,采限逐步释放秘密或优先权方法,让不公平的程度变得可以容忍,但是这类协议受过早停止问题的困扰,会造成诚实参与者不能顺利中止协议的情况。
另外一类协议依赖TTP,其中一些协议使用在线的TTP,合同签署者发送他们对合同的签名给TTP,TTP随后对签名进行可靠的传输,保证每个参与者都可以得到所应得的数字签名;另外一些协议使用离线的TTP,允许合同签署的参与者遇到纠纷时向TTP申述,否则TTP就不用工作,这些协议通常被称作最优公平协议。
目前,签署合同协议的TTP大多数是中心化的,中心化TTP通常掌握有合同的一些敏感信息,例如谁正在签合同,合同的数字签名是什么,甚至会知道合同文本。
这些信息往往会引起外部攻击者的兴趣,使得TTP安全风险增加;另外,中心化TTP的也面监防不胜防的内部攻击,你懂的。
区块链技术为人们提供了一种无中心的TTP,当然你要较真,也可以认为是多中心的TTP,不抬杠。比特币是区块链技术的典型代表,是一个能够完成交易记帐的全球范围内的TTP。这种无中心的TTP存储数据都是公开的,对以获取秘密为目标的外部攻击者而言没有吸引力。这种TTP的节点是动态加入、动态退出的,内部攻击需要对共识算法进行颠覆才有可能,需要的代价较大。节点的动态性保证了单个节点的故障对全网影响不大,在性能方面,无中心的TTP正在快速发展,例如Luu等人提出了基于拜占庭协议和节点分割方法的共识算法,可以使每秒钟处理的交易数量与节点的数量成正比;郑明博士团队提出的Thinkey公链,节点越多,TPS越大。
但是区块链无中心TTP在设计安全协议时还存在隐私保护问题,以合同签署为例,如果不改变技术实现,每个区块链节点都可以得知一份合同的真实数字签名,如果合同是敏感的【可以确定的说,大部分合同都是敏感的,商业合同和技术合同更加敏感】,这显然是不合适的。
田博士团队提出了一新的密码体制,称为盲的可验证加密签名,基于该体制,我们采用比特币交易的形式给出了一个两方的公平合同签署协议,该协议不会向区块链节点透露签署者的身份、所签署的合同和所生成的数字签名,同时保证合同签署的双方完成公平的合同签署。
终于说到这了,相信大家有点晕,说了半天到底要说啥?
基于区块链,和盲的可验证加密签名,我们提供了一个【公平地签隐私合同、永久地存加密合同】的电子合同服务,从技术角度解决了上面提到的电子合同发展的瓶颈问题。
这意味着,您可以为大胆地用我们的客户端签电子合同了。
在当前不交出隐私就无法使用服务的大环境下,【众里寻她】不如【蓦然回首】,看看【那人正在灯火阑珊处】。有这样一些创新团队,正在为保护数据隐私的同时提供服务而努力探索。而这些团队,需要更多的用户关注,才能更好地为您服务。
1、田海博、何杰杰、付利青:《基于公开区块链的隐私保护公平合同签署协议》
2、郑明博士团队:《In Thinkey We Trust》
3、亿欧智库:《信息化安全新变革—2018年第三方电子合同服务行业趋势报告》
4、T研究:《2018年中国第三方电子合同市场及应用行业研究报告——完整版》
信睿