几乎每隔一周,你都可以在Facebook总部大楼外面的大街上看到有人举着牌子隔空对喊扎克伯格:

(标语牌翻译:Facebook API,你们创造了它,请修好它!生气的奶奶辈们请求加强对Facebook的监管!Facebook,透明,立刻,马上!)

因为最近几年Facebook的隐私泄露事件造成的风波,似乎每个人都抓着“Facebook查看过多用户隐私内容和使用隐私内容投放广告、商业化”做文章,认为这一切都不应该发生,并逐渐演变成为一个公众话题。不少批评论调认为Facebook应该拆分成多个独立的实体,通过商业实体上的隔离来实现数据独立和合理使用。

针对这类质疑,Facebook不仅内部在投入大量的人力物力试图解决真实存在的风险,还在试图使用很多的新技术来保护用户隐私,比如说采用数据可以安全且去中心化存储的区块链技术。

区块链技术以数据分布式存储为主要特点,通过使用这一系统,用户的数据从原本集中在服务商的服务器上,分散到由不同法人、组织控制的数据节点甚至是个人家庭电脑上。乍一听,用户可以真正掌握自己的数据了,那么困扰Facebook这么多年的隐私问题是不是就解决了?并没有。

区块链技术可以解决隐私问题,但却解决不了人们对活在Facebook这类巨型公司数据垄断下的恐惧。相反,数据的去中心化不仅会让人们的社交生活变得极其缓慢,而且也可能会让数据滥用和泄漏问题泛滥。

中心化与去中心化:“堡垒”与“村屋”

对于高喊要求对Facebook进行部门实体化拆分的人士来说,其隐含的技术诉求是拆分Facebook单一主体所掌握的数据。将Facebook的数据打散后,就没有一个主体可以滥用它们,这样用户就可以保护自己的隐私安全。

这种观点非常朴素,且也容易获得支持——黑客或一个恶意主体如果攻击或滥用一个中心化的数据集,那么这个数据集就会完全暴露,隐私完全泄露。如果把掌握数据的主体联通数据本身拆分成多个实体,那么黑客、恶意主体的攻击或滥用数据的成本就会提高,即便单点攻破,造成的损失也没有中心化数据系统被攻击大。

但实际上,数据拆分论对于数据安全的理解很片面,单从技术角度来看,一个中心化搜集、处理、和存储的社交网站比分散化搜集、处理和存储在安全性上高得多。

其中原因有三:

1. 分散的网络是否比集中的更安全?

按照分散论者的观点,Facebook应该将原本集中在数据中心的数据分散到几十个甚至是几百几千个数据库中,并由不同的商业实体(不同公司)来控制。

但问题在于,对于一个社交网站来说,“互联互通”是其用户最基本的需求。用户需要在访问一个社交网站时,能方便的看到自己全部好友动态。而不是要在找到好友之前,先找到好友所在的数据中心。

从单纯的技术角度讲,不同公司运营不同网站但最终在用户界面上呈现统一结果并非不可能,一些开源的社交软件已经实现了这一点,允许用户自建社交网站并与其他社交网站之间进行互动。

但这会为数据与隐私安全带来一些比集中化运营更为严重的问题。每个小型节点的安全性很难达到统一的标准,或者是需要付出高昂的成本才能达到统一标准,而如果把数据集中存储和管理,不仅可以控制成本,还可以保证最高的安全性。

对于黑客来说,想要攻入Facebook数据中心可能需要几年的时间来寻找系统漏洞,但是如果要攻击分散在全球各地的小型数据节点,难度要小很多。

2. 分布式数据库的安全更新滞后

“被单点攻破后损失更小”这一观点是否成立呢?事实上也是不成立的。

为了实现在用户呈现界面上的统一和各节点之间的高效连接, 全球各地的节点肯定保持一致的系统版本、网络环境和运营范式,这也意味着系统漏洞也是一致的。地下黑客发现一个节点的数据泄露,自然可以通过脚本将全网同一范式的数据节点挨个攻击盗取数据。

以之前某路由器命令注入漏洞为例,运行在全世界的同一型号的路由器实际上组成了一个分布式的网络,黑客发现的那个漏洞不仅可以攻击北京的这一批路由器,也可以攻击洛杉矶的路由器。而对于设备的拥有者来说,他们永远后知后觉,只有设备被黑的新闻传到媒体后才会想到升级路由器固件。这一更新的滞后,给了黑客充分的操作时间。

Intel CPU的熔断和幽灵漏洞也是如此,几乎所有处理器都面临攻击,但所有人只能等Intel提供解决方案。对于Facebook来讲,黑客攻击单点集中的服务器,出现问题后可以立刻修补漏洞,而对于分布式的小型数据节点,在全网漏洞同步修复完成之前,仍有可能发生黑客盗取数据的事件。

3. 恶意主体/黑客的侵入

当下,对Facebook的质疑并不局限于技术层面,亦有对其公司价值观的一些拷问。拆分论者认为,Facebook本身可能已经沦为一个“恶意主体”。分散这一“恶意主体”所掌控的数据,便有可能阻止隐私滥用问题。

这一观点是将普遍的集体决策机制简单投射到互联网中所产生的误解。与现代公司中的董事会需要集体决策,引入道德良好的董事(节点)有助于改善整体决策不同。

在一个互联互通的网络上,价值观对隐私与数据的保护取决于整个网络中“道德最低节点”。也就是说,越多的节点对数据有获取权和决策权,恶意主体就更有可能侵入网络。

简单来说,为了保持数据的连续性和可靠性,小型数据节点之间会建立通讯信任机制,在没有明确指向一个数据获取的请求存在问题之前,节点之间默认彼此可信并会每天默认放行海量无法对数据获取正当性进行核实的数据。

黑客或恶意主体入侵数据节点后,可能并不会直接暴露自己,而是借节点的名义在全网内获取更多数据,通过不正当的手段获取更多用户隐私。

由于缺乏对整个网络拥有实际控制权的单一主体,或者说是在制度上而非技术上的网络数据管理者,这类黑客匿名访问行为会更加危险。

事实上,引发公众对Facebook信任危机的“剑桥分析事件”正是由于Facebook的数据开放策略引起的。Facebook被拆分后,其拆分后的主体将面临更严峻的“开放”与“隐私”之间的平衡问题。这一问题会随着数据控制权的分散而变得愈加无法处理。

用更通俗的话来说,当下Facebook犯的错是一个可以被拷问和纠正的对象。而一旦Facebook如此体量的应用被拆分为成百上千节点之后,再出现数据泄露与隐私滥用问题,找到问题根源可能都会变成一个不可能实现的事情,而最终隐私保护会变成“法不责众,无法追责”的日常。

区块链也并非解决这一问题的关键

细心的读者可能提出一个质疑:区块链可以存储加密数据存储,信息被盗也不会泄露隐私。这个特点的确能解决小型数据节点被攻破后数据泄露的问题。

以IPSF技术为例,基于该技术的去中心化数据存储区块链网络,数据都通过哈希算法将文件存储在区块链上,在需要访问文件的时候根据特定的哈希值去区块链上寻找该文件,普通人无法直接读取这一文件。

以目前的区块链技术和量子计算技术来看,黑客只有动用量子计算机才有可能对区块链哈希加密函数进行破解。外媒《主板》撰文表示,4000量子比特的量子计算机或许就可以在10分钟内瓦解区块链,也就是说,哪个人或团队先做出并应用这样的量子计算机就可以解出并验证每一笔交易。不过,要实现这个突破,最快也要等到2027年。

看似区块链+数据分布式存储在数据加密领域可以让“数据拆分者”安心地宣扬自己的言论,然而他们忘记了最重要的事情:根据Facebook自己公布的大数据,Facebook社交网络每天要产生27亿次赞,产生500TB的数据量。这足足500个GB容量的数据,永远也不可能在区块链上存储,而且永远也不可能在区块链上以加密的方式存储,分拆Facebook带来的数据重复存储也必将大大增加Facebook的成本。

这主要有三方面原因:

1. 区块链效率不足以支撑大流量的即时同步

几乎可以确认,如果Facebook这样的巨头公司将自己的数据中心通过区块链技术分散到普通机房甚至是普通用户电脑中,将导致社交网络回到“上古时代”。

用户在App内下拉刷新后,会向Facebook的数据库发出一次数据请求,系统根据相应的请求返回内容。在现在的互联网社交中,能影响到我们使用体验的基本上之后本地网络速度,因为数据中心在处理这类请求时几乎是瞬间完成的,只有在本地网络出现问题或者服务器出现问题时,我们才注意到“服务卡了”。

Facebook的集中式数据中心,可以立刻返回数据给用户,但是如果将数据库以区块链的形式分散到全球,那么获取分布数据的存储位置会消耗很多时间,以及数据传输时间也会根据地理位置和网络环境而发生大的变化。越去中心化,数据传输效率越低。而且如果某个区域出现断网或者不可控因素,将导致存储在这个区域的数据彻底断联。

当用户下拉刷新时返回“服务器错误”或者“还需等待3分钟才能同步数据”,我们又回到了本世纪初的社交环境。相比于数据泄露而言,服务不可用应该是用户更不能接受的结果,否则他们现在就可以选择停用Facebook以完全保护自己的隐私。

2. 硬件存储容量不可能去中心化

上面提到,在 2012年的时候,Facebook每天要产生500TB的数据,到了2019年,随着短视频、直播和图片技术的发展,人们每天产生和消耗的数据量也倍增。

我们来算一笔账,假设依旧每天产生500TB容量的数据,为了保证数据在全球范围内的通达性,所有的去中心化节点都需要将这些数据今天同步到本地。

这也就意味着,去中心化节点会平白无故地增加数倍甚至是数十倍的运营成本来购买数据存储空间,以及高昂的数据同步网络带宽成本。同时,由于失去单一的商业主体能够为这个新的分布式的社交网络带来足够的变现能力,这一网络就算实现也会在短时间内由于商业原因破产。

3. 去中心化是通过消除隐私来“保护”隐私

区块链技术可以保护隐私,它实际上是指保护了信息发布者和获取者的隐私,对于写在区块链上的所有数据,都是向全世界开放的。除了少数内容存储区块链会将信息打散加密后存储外,绝大多数区块链都将明文信息写在区块链上。

比如目前比较知名的区块链项目Bitcoin SV(商用比特币),实现了将内容直接写入后全球范围内免费读取的方式。你或许不知道发布内容的人是谁,但是你可以随便查看别人的内容。这与隐私保护背道而驰,甚至有可能被黑客利用做更可怕的事情。

一些目前已经运行在区块链上的社交网络如 AKASH、ZeroMe 等,其往往是通过外挂一套中心化权限管理来实现信息的分级控制。但在底层数据库中,任意接入节点(用户)都可以畅通无阻的获得全部信息。

究其原因与“存储容量的不可去中心化”一样,由于失去了单一的控制主体,如对分散式的数据进行加密,就意味着每一个用户在访问、编辑数据时都要经历高计算量的加密解密过程,对服务器与客户端的性能要求呈数十倍增长。

区块链只解决了隐私的问题,但是解决这个问题的方式却会带来更多的问题,这是数据拆分者没有想到,也不愿意去想的问题。

去中心化是止疼药,不能治Facebook的病

Facebook创始人扎克伯格很清楚采取存储去中心化会带来什么样的后果,所以在5月12日的媒体采访中他表示:分拆Facebook对用户没有任何帮助,Facebook规模越大用户越安全。

其中除了最基本的技术因素之外,对 Facebook 商业主体的分拆也同样并不会给隐私保护带来好处。原因比技术上的分散化无益处更好理解:当数据集中在一个法人主体下时,一大发生隐私泄露无论的是改进、弥补还是追责都会比分散在数家公司更容易。

面对可能因为中心化带来的风险和潜在罚款,Facebook已经准备好了50亿美元的预期罚款拨备金。

支持区块链、去中心化版社交网络的群体中,不乏区块链项目炒家的身影。或许对于部分人来说,拆分Facebook、应用区块链技术能在一定程度上临时性缓解隐私风险问题所带来的焦虑,能“止疼”,但由此产生的去中心化系统风险可能更大,可能远超这50亿美元的罚款拨备金,不能“治病”。

真正可以根治隐私顽疾的,只有更健全的法律、更完善的监管以及作为科技巨头不断创新的安全技术于隐私策略。

作者

0x2 | TRI轻作者

王健飞 | 腾讯研究院研究员

声明:本文来自腾讯研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。