Треугольник Зуко: парадокс находится в самом сердце восприятия крипты

Ещё одна трилемма для криптовиков – доменные имена блокчейнов становятся всё более распространёнными.

Итак: запоминающийся, децентрализованный, безопасный – а человек действительно может выбрать только два из трёх?

Я не помню своё первое личное имя пользователя электронной почты.

Знаю лишь, что домен принадлежал “Пайпекс Дайал”, британскому провайдеру, которому я платил ежемесячно за привилегию получать уникальную строку абстрактных цифр, через которую, собственно, и можно было получать сообщения электронной почты. Я помню, что таких, как я было немного, все сплошь из гиков, которые тоже имели эту штуку. Помню также, что это было сложно для ума и дорого для кармана. Но по какой-то причине меня всегда тянуло к таким вещам.

А вот мой второй адрес электронной почты я помню чётко. Потому что гениальность хотмейла в 1996 году состояла не только в изобретении подписей электронной почты и первой по-настоящему вирусной маркетинговой кампанией. Разница была и в том, что хотмейл, помимо безплатной раздачи электронной почты через интернет, давал всем возможность выбрать любое имя пользователя, ну… при условии, что никто другой его ужен взял.

Ваше настоящее имя, ник или какой-нибудь словесно-цифровой бред – и даже компании могли легко начать с безплатной электронной почты на хотмейле, в то время как владение реальным доменом или вебсайтом всё ещё оставалось тёмным лесом.

Всёчтоугодно@hotmail.com наконец-то завладела мiром электронной почты, и, хотя сам бренд ныне полностью включён в аутлук, он просуществовал в течение многих лет после того, как “Майкрософт” приобрела его у основателей Джека Смита и Сабира Бхатиа в 1997 году за примерно 400 миллионов долларов.

История вебдоменов шла по тому же пути. Хотя система именования доменов, или DNS, и первые домены верхнего уровня были созданы в 1980-х гг, большинство ранних академических и оборонных приложений полагалось на точный ручной ввод пользователем числовых IP-адресов, и, согласно Википедии, менее 15 000 доменов с окончанием .com были зарегистрированы к 1992 году.

К сегодняшнему дню, начиная от бума владений новых доменов верхнего уровня, или TLD, приобрести фирменных и персонализированных онлайн-территорий для любого пользователя можно проще пареной репы, третий квартал 2019 года даёт такую картинку: 359,8 млн новых доменных имен. В мiре, где открыть то, что хочется можно голосом или прикосновением к иконке потребность в ручном вводе даже самых коротких и запоминающихся доменов уменьшается. Довольно скоро мы, вероятно, сможем давать приказ нашим устройствам и автоматическим помощникам одним жестом, либо даже движением глаз.

Однако до самого недавнего времени все инструменты для криптокошельков оставались в основном в состоянии допотопности, и существуют веские причины, по которым безопасность должна была развиваться гораздо быстрее искомой простоты использования. Если вы ошибались при вводе адреса электронной почты или вебадреса, то самое худшее, что могло произойти – это получение невнятного сообщения об ошибке, а не прямая потеря криптознаков. Посему вопрос: если личная электронная почта была тем самым приложением, приведшем к массовому распространению интернета, то вот будут ли персонализированные кошельки таким же катализатором роста внедрения цифровых активов, даже если мы признаем, что ставки значительно выше?

Компромисс между доступом и безопасностью

Никто не может отрицать, что пользовательский опыт определения и доступа к онлайн-территориям упростился до самого базового уровня, хотя на это кто-то здорово потратился.

Простота в использовании, как правило, соотносится с легкостью для взлома. Ошеломляюще большие нарушения пользовательских данных изредка попадают в заголовки новостей в основных СМИ, но за несколько недель 2020 года “Майкрософт”, “Лабкорп” и даже ООН сообщили о массовой утечке персональных данных, находящихся под их опекой. Новые законодательства о конфиденциальности, от Европы до Калифорнии, кажется, мало что сделали для защиты пользователей от таких нарушений, и неудивительно, что кража личных данных продолжает расти в глобальном масштабе.

В финансовом секторе усиленно работают над защитой себя от подобных казусов, ведь в прошлом они несли прямые потери, однако их бои с хакерами ведутся частным образом и за закрытыми дверями. Ещё пару лет назад, если бы ваш онлайн-банкинг был взломан, то вы, как правило, были бы в порядке, поскольку все мошеннические транзакции были бы быстро отменены, это было бы, даже если бы вы не получили чёткий ответ от своего банка относительно того, что именно произошло. Теперь банки переходя на иные стандарты доступа, применяя «лучшие практики» с многофакторной аутентификацией, и даже подвергают пользователей подробным ознакомлениям о гигиене паролей и методах защиты личной информации.

Это перекладывание ответственности на пользователя является неизбежным и вполне заслуженным, но пользователи бывают разными, некоторые из них нуждаются в большей поддержке, чем другие. Да, это не нормально, что моя пожилая тётя использует имя своего внука как пароль для всего, но из-за закрытия банковских филиалов она была вынуждена заняться онлайн-банкингом на компьютере (который выглядит таким же старым, как и она сама). Она всегда была против этих ужасных смартфонов, но, тогда как же она должна реализовать «строгую аутентификацию клиентов», навязанную ей учреждением, которому она доверяла с момента её первого снижения зарплаты почти 60 лет назад?

Банк пообещал кое-что для неё решить, менеджеры лично помогают ей с телефона, но мы идём по канату между пользовательским интерфейсом и безопасностью.

И мир криптовалюты ведёт себя также. Существуют весьма тонкие линии при переходах в непрекращающемся напряжении по поводу защиты конфиденциальности и неприемлемости в сравнении с массовым усыновлением.

Мы, конечно, не говорим о таких людях, как моя тётя, она вряд ли ступит на борт криптокорабля. Но очень близко к ней находится уже огромное количество адептов интернета среднего и позднего уровня, а вот они уже достаточно опытны, чтобы использовать диспетчеры паролей и многофакторную аутентификацию, а также понимать последствия необратимых транзакций и потерю личного суверенитета. Они уже соображают гораздо больше по хитростям сетевых эффектов, но и они не всегда смогут справиться с UTXO (Unspent Transaction Output – вывод неизрасходованных транзакций) или тяжестью набора сетевого адреса из 35 символов. Поэтому все, кроме самых стойких пуристов-киберпанков, в целом согласны с тем, что нам нужны более доступные и простые в использовании инструменты.

Гоним следующую волну

Появляется множество новых сервисов, которые улучшают UX (User Experience – опыт пользователя) и делают криптовалюты более простыми и удобными для обычного человека, одновременно пытаясь обезпечить защиту основных аспектов безопасности.

Unstoppable Domains (безостановочные домены) от Брэдли Кэма предлагают домены блокчейна, полностью отделенные от текущего DNS, призванные помочь в предоставлении незаметных вебсайтов, а также в качестве инструментов оплаты для битков, эфириума и зиллики (Zilliqa).

В настоящее время вам потребуется расширение браузера для просмотра контента в доменах .crypto или .zil, но помните, что они не индексируются традиционными инструментами поиска. Однако создание новой сети в альтернативном ключе означает малые трудности, с ними-то большинство пользователей справится, если увидит веские причины для безпокойства. В общем, это всё как ностальгия по 90-м гг, но без цветовой гаммы Geocities, вызывающей мигрень.

База имен и её блокчейн Handshake (рукопожатие) сосредоточены на читаемых человеком адресах, аналогичных тем, которые были запущены службой имен эфириума в мае 2017 года. В официальном документе «Рукопожатия» упоминается трилемма, известная как «треугольник Зуко» (от создателя криптовалюты Zcash), в которой он утверждает, что мы в совокупности можем комплексно предоставить пользователю лишь два из трёх факторов: читабельность/понимание, децентрализацию и безопасность. (Некоторые, такие как команда разработчиков Monero, которая разработала OpenAlias, и Ник Сабо – не согласны.) Решение Namebase создаёт единую точку согласия относительно ассоциации между именами и сертификатами, используя несколько действующих лиц для проверки адресов в блокчейне в попытке разрешить этот парадокс.

Но это неизбежно создает некоторую степень псевдонимизации, потому что там, где есть какие-то элементы, которые могут быть подвергнуты обратному проектированию, любое впечатление анонимности просто обманчиво. Итак, находимся ли мы на опасном этапе создания ещё одного вида DNS – но под совершенно другим типом централизованного контроля? Действительно ли этот компромисс стоит того, чтобы стимулировать массовое внедрение криптовалют?

Я говорил с Эмином Гюн Сирером, в настоящее время находящимся в отпуске в Корнелльском университете, чтобы работать над “Авалабз”, этом сложном пересечении психологии, безопасности и удобства использования.

«Удобные для чтения адреса хороши, […] но, на мой взгляд, никто не должен использовать что-либо, понятное человеку. Платежи должны быть безопасным каналом между мной и продавцом, который дает мне свой адрес, и я его использую

Это имеет смысл, так как сам DNS всегда было легко реконструировать, как указывал Сирер ещё в 90-х годах. DNS Security Extensions, или DNSSEC, является решением ICANN с добавлением аутентификации источника данных и защиты целостности данных к базовой структуре адресов, но Сирер описывает эту премудрость как «чрезвычайно дорогой сбой в видении, гигантскую дыру, которая в конечном итоге наполнила карманы пары поставщиков […], который не получил одобрения со стороны обычного сообщества.»

Неудивительно, что он воодушевлён решениями, исходящими от самых низов криптосообщества, которые могут восстановить более безопасный и децентрализованный интернет: «В основном, это молодые люди, не имеющие никакого отношения к сообществу DNS, которые строят альтернативную безопасную систему с нуля, используя гораздо более современные методы. Это пощечина исследователям DNS, которые в одностороннем порядке не смогли это исправить.»

Новая децентрализованная структура интернета будущего, которая позволяет осуществлять узнаваемые человеком операции и навигацию, звучит, конечно, идеально. Но в действительности использование чего-либо понятного человеку, как указывал Сирер, легче для нахождения компромисса. Тим Коупленд из компании “Декрипт” недавно доказал свою точку зрения, просканировав ряд известных людей, использующих ENS, путём тщательного анализа их выбранных имён в эфириуме и связанных с ними балансов и транзакций на публичном блокчейне.

Исследуя человека

Базовая социальная инженерия, которую хакеры использовали годами – объединение кусков информации, находящимися в открытом доступе с другими фактами, про которые люди сознательно не помнят, с кем именно они ими делились, с логично улавливаемыми догадками. Затем они объединяли их вместе и выявляли взаимосвязи: всё это выглядит вовсе не волшебно, а строго «научно».

Несколько лет назад я вживую смотрел выступление талантливого британского мага Деррена Брауна – классные трюки по чтению мыслей. Он «случайно» выбирал участников из огромной театральной аудитории и шокировал их фактами об их личной жизни и недавних действиях. Его домашняя подготовка, в виде просеивания информации по людям через поиск по интернету, была великолепна. Он чётко запоминал места, которые займут эти люди (браво!) для каждого вечернего шоу, пробивал их по фамилиям и именам в интернете (благо билеты продавались с подтверждением идентификации, ведь простая проверка некоторых из них выявила полностью открытые профили в фейсбуке, ну а уж в них конкретно упоминались их недавние путешествия, травмы, еда и другая обыденщина: то самое, чем он их и шокировал. Покупайте билеты на такие мероприятия по интернету, вы обязательно сообщите продавцу свои ФИО, а уж по ним вас легко «распотрошить» по соцсетям.

В общем, всё это было ярким напоминанием о том, как много личной информации мы все обычно пропускаем в мир, не задумываясь, и, хотя я занята обучением своих зрелых родственников о недопустимости повторного использования паролей, люди часто используют такие имена пользователей, которые легко ассоциируются с их личными ФИО.

Примером этого является Торстен Шульте, @silberjunge в твиттере. Копленд обнаружил, что silberjunge.eth. содержал всего 17 долларов в эфириуме, и, как и многие другие аккаунты, вероятно, и этот был настроен лишь для того, чтобы поэкспериментировать с новым сервисом и изучить, что он может предложить, когда в прошлом году сервис имен эфириума был запущен. Однако адрес, который использовался для регистрации этого домена, содержал уже более 1 163 ETH и дополнительные токены на основе эфириума на 121 000 долларов – ну что тут можно сказать?

В конце концов, у всех нас есть разные потребности в личной конфиденциальности, и часто лишь внятная угроза или паника заставляют нас проверять и блокировать свои счета. Биткойн-инженер и евангелист Джеймсон Лопп предпринял всё возможное, чтобы защитить своё физическое местоположение и сетевую активность после того, как кто-то злонамеренно отправил команду SWAT (тамошний ОМОН) в его дом. Когда у меня была компания с ограниченной ответственностью, зарегистрированная по моему домашнему адресу – и вот однажды я привлёк внимание крайне злобной группы ненавистников, после разоблачения некоторых их действий в социальных сетях, и одновременно узнав, что гугл вдумчиво предоставил фотографию моего дома прямо с улицы, так настроен поиск местоположения компании.

Как пояснил Сирер, этот вид социальной инженерии не является результатом недостатков в конкретных сетях, это – следствие поведения человека в экосистеме взаимосвязанных инструментов, которые можно использовать всё более и более «творчески» и «детально».

«Если я использую свою учётную запись, чтобы зарегистрировать своё имя для конференции, а затем я использую ту же учётную запись, чтобы пойти и купить имя в интернете, то тут есть связываемая часть информации. Люди думают, что такие трюки помогают деанонимизироваться. Это абсолютно не результат утечки ENS какой-либо информации, это поведение пользователя в источнике.»

«Суть в том, что трудно быть полностью анонимным, чувствовать себя безопасно в сети, верно? Это вдвое сложнее, чем хранить два отдельных кошелька и никогда не переводить деньги с одного на другой. Если вы можете сделать это, то, конечно, вы можете сохранить свою анонимность, но для большинства людей – это слишком сложно.»

И это проблема, потому что для «большинства людей» это никогда не произойдёт. Нам нужны более совершенные инструменты, которые обезпечивают жизнеспособную защиту, соразмерную стоимости охраняемого актива, а в случае криптозащиты также предотвращают случайную потерю доступа навсегда.

Сирер отмечает, что аппаратные кошельки не развивались и не совершенствовались в последние годы, в то время как мобильные кошельки совершенствуются и предлагают реальный потенциал для распространения доступных и приемлемо безопасных инструментов для большого числа пользователей – включая потенциально миллиарды людей, которые в настоящее время не имеют счетов в банках.

Обмены должны быть признаны и отрегулированы для второго уровня, которым они становятся. Нам понадобятся DEX (децентрализованные приложения) – конкурирующие с централизованными биржами с точки зрения удобства использования – вместо того, что Сирер описывает как «ужасную производительность, абсолютно ужасное исполнение» настоящих предложений. Он полагает, что в течение следующих 12 месяцев они будут разработаны, поскольку крайне необходимы, учитывая объемы транзакций, которые они обрабатывают.

Новые деньги требуют нового понимания

Идентичность, доверие, то, как мы раскрываем и определяем себя другим; то, чем мы решили делиться, то, что мы решили скрывать – это сложные абстрактные понятия, которые часто воспринимаются как должное и не рассматриваются в повседневной беседе. Наряду с трудностями определения того, что на самом деле означают деньги и ценность, это часть работы, которую предстоит выполнить крипто сообществу – помочь большинству преодолеть инерцию, привычки и рутины нынешней парадигмы.

Но революция крипты и блокчейнов предоставляет нам уникальную новую возможность сделать всё правильно на этот раз – механизмы, ориентированные на человека будущего, которые работают так же хорошо для детей, как и для пожилых тётушек. Это шанс создать Web 3.0, который может использовать биометрию и аналогичные идентификаторы, не зависящие от памяти, знаний или описания, но и не ставящие под угрозу первоначальное обещание киберпанка об анонимности пользователя.

Решить загадку треугольника Зуко будет не так просто, как преобразовать DNS-адрес в приятный и мгновенный выскакивающий URL. Но это задача, над которой работают многие умные люди: создать массовое решение а ля хотмейл, которое нам нужно для будущих денег.

Оригинал: https://magazine.cointelegraph.com/2020/03/09/zookos-triangle-human-readable-paradox-crypto-adoption/?_ga=2.38361249.387785894.1583818374-307937682.1563847784

Добавить комментарий