什麼是NSTIC(National Strategy for Trusted Identities in Cyberspace)?

NSTIC(National Strategy for Trusted Identities in Cyberspace)是一個美國的網路身份認證架構,這個架構主要是為了可以建立一個Identity Ecosystem (身份生態),可以更安全的確認使用者的身份。這個NSTIC對於SEO有何影響呢? 對於網路的後續發展有何影響呢?

舉個例子來說明NSTIC架構,例如: 以前使用者都必須記一堆帳號與密碼來登入電子郵件、銀行帳戶、或是其他需要登入的網路服務,但是這個架構也引來了許多identity theft (身份盜竊),讓駭客偷偷的潛入別人的私人領域,進行竊取個人資料、個人線上財物、或是銀行存款等等。

現在,使用者可以透過數位憑證 (digital credential) 進行登入網路服務,可以不再仰賴帳密才能登入。這個很類似台灣推動的「自然人憑證」,透過自然人憑證可以在線上使用各種E化政府的服務,公家單位可以使用自然人憑證簽核電子公文等等。

但是,NSTIC的數位憑證與自然人憑證稍微不同的是,數位憑證的來源可以有許多認證單位,例如這篇"NSTIC, Google & SEO“就說到Google也是數位憑證的提供者,其他如 PayPalEquifax 也是第一輪的數位憑證的提供者。

根據NSTIC的FAQ資料,我們來看看哪些作法與台灣自然人憑證的不同~

(1) Identity Ecosystem並不是由政府來執行,而是由私人公司來處理,使用者自己選擇數位憑證的提供者,政府只是居中協調及確保所有數位憑證的提供者的作法都合乎規範。

(2) 如果不常上網,是否就不需要使用這個數位憑證架構呢? 是否需要數位憑證不是看是否經常上網而定,而是只要你需要更安全的登入服務的話,就需要數位憑證。

(3) 數位憑證的提供者會不會洩露我的網路上的行為呢? 數位憑證的提供只提供必須的登入認證服務,完成登入後數位憑證的提供者並不知道你的網路活動。

(4) 數位憑證的提供者會不會盜用我的身份去登入服務,造成我的損失呢? 因為數位憑證是屬於PKCS (public-key cryptography standards),你的數位憑證包括了公鑰、私鑰、密碼,因此數位憑證的提供者盜用的機會相當低,必須取得你的私鑰及密碼才可能偷取你的身份。

詳細內容請參考NSTIC說明文件 ~ http://www.whitehouse.gov/sites/default/files/rss_viewer/NSTICstrategy_041511.pdf

以下是DataCollectors的說明圖,在網路上以及實際生活上,有許多單位收集你的資料,各單位只要通過NSTIC的規範,就能夠具有Trustmark,成為Identity Ecosystem的一環,當作數位憑證提供者。

以下是DataUsers的說明圖,在網路與實際生活中,會有許多單位需要抓取使用者的資料,就會透過Data Broker (資料中介者)傳遞,例如銀行就屬於Data Users。

以下是關於NSTIC運作的說明影片

所以NSTIC就具有以下幾個特性:

(1) Faster : 使用者就可以在線上使用相同的認證登入方式,而不需要一大堆的帳號密碼,可以加速線上的活動,所以一個數位憑證加上一個密碼,就可以使用所有的網路服務,或是各種需要認證的服務。

(2) More convenient : 如此一來,各種企業或是政府服務都可以放到網路上,讓使用者透過網路認證登入使用。

(3) Safer : 因為不是只有帳密登入,讓身份竊盜可以降到最低,只要PKCS不被破解,NSTIC的架構就能保證安全性。

(4) Private : 進行安全登入作業時,只有必要的資料傳遞,並且登入之後的活動也不被收集,所以使用者的網路隱私可以被保障。

(5) Voluntary : 這整個數位憑證架構都是自願性質的,數位憑證提供者與使用者都可以在自由意願選擇下進行。

至於事實是否如上所敘述呢?  當然這只是理想上的說法囉。

也許你會質疑,這麼大的一個架構,為什麼不以政府的力量來做? 而把數位憑證提供者讓私人公司去進行呢? 我們從這篇"A Manhattan Project for online identity“看出一點端倪,因為作者形容這是一個在公眾監督下的曼哈頓計畫,不會如當年的曼哈頓計畫一樣,政府關起門來以為自己在做好事,但是卻造成了科技去幫助戰爭的局面。

並且由於Facebook的Facebook Connect模式的成功,也可能間接的鼓舞NSTIC的模式應該也可以成功。當然NIST (National Institute of Standards and Technology 美國國家標準與技術研院)不能只擬出NSTIC,然後讓私人公司自己去玩,還更應該去訂定出監督方式去確保所有行事都在遊戲規則內。

另外一個不以官方集中管理的原因,我們以小人之心去揣測的話,就是NSTIC的最終目標是讓全球的數位憑證都在NSTIC的架構之下。

所以以私人公司當成數位憑證提供者,就不會引發其他政治方面的問題,如果Facebook是~ Facebook.gov 的話,還能夠發展到全球都使用嗎?

但是不管是Google或是其他的數位憑證提供者,終究還是在美國的管轄之下,必須遵守美國的管理。

那麼這個NSTIC對於SEO會有什麼影響呢? 如果數位憑證提供者極度分散的話,可能影響還不大,但是如果Google或是某個提供者變成數位憑證提供者的主宰者的話,那麼情況就不太一樣。

以往網路是極度的匿名性質的,直到社交網路的廣泛使用,實名開始變成主導的遊戲規則,然後社交網路再跟搜尋活動搭上線後,讓許多人為了搜尋到更符合需求的資料,或是無意識的使用登入搜尋,使得實名變成普遍的現象。

所以我們以後會不會被逼得必須使用Google的數位憑證呢? 不知道,我們現在不是已經被逼得,不得不使用Facebook或是Google+嗎? 如果一堆網站都只能使用Facebook Connect登入,你用不用呢?

所以NSTIC並不會只影響美國的使用者,因為Google、PayPal這些公司都在其中,長期來說,如果在美國運作非常順利,相信這個架構會變成全球一體適用的數位憑證標準,到時候真的各國就必須把每個國民的個人資料都交給Google,然後領取一個數位憑證 … 就像現在所有的商店都必須向Google Map認證一樣,你知道那將會是什麼樣的光景。

敬請留言

你的回應對我們是很重要的. 你的電子郵件將不會被公開.

請等待 ...
*
Loading Facebook Comments ...