身份 ID 未来能否改成二维码,有什么难点?

2022-12-11 08:23:39 +08:00
 james504
像这三年采集信息,可能泛滥到谁都见过不认识的人的个人信息。而且还不少。

那么未来是否有可能将个人信息二维码化或用别的方式隐藏?

这样有没有技术难点,有的化可能是哪些?

如二维码可以是一个“虚拟”信息,可以随时变换,所有需要个人认证的都只需提供这个二维码就好。

查看需要通过扫描才能转为文字信息,文字信息可以是自定义的个人信息,再高一级的部门或机构才能通过这段个人信息链接到真实的个人信息。

麻烦是麻烦了点,但这样会不会又导致个人信息被集中采集贩卖一锅端?

可是比起现在快递等等随意写着名字电话,用一个二维码替代应该会好一些或好很多吧?
4222 次点击
所在节点    问与答
61 条回复
agagega
2022-12-11 12:55:36 +08:00
贴一个我在其他地方发过的设想:设计一套基于非对称密钥的全民身份认证体系。现实中肯定阻力非常大,但技术上没啥问题。

首先,用身份证号或身份证照片来证明一个人身份,这件事其实很奇怪:相当于拿着一张银行卡,别人要验证这卡是不是你自己的,你把密码告诉他让他去取钱试一试。十多年前,「姓名+身份证号」在线上已经算很强的个人身份证明了,而今天因为这些信息被广泛泄露,我们需要更严格甚至有点不尊重人格的方式证明身份(比如手持身份证拍照录像)。

而目前看来,这些信息早晚也会被泄露,到时候我们就要用更强的手段,比如生物信息(指纹、人脸、虹膜),去做验证,那当他们也被泄露了怎么办呢?而且这些信息是没办法更改的,出生就跟着人一辈子,如果被大规模盗用,后果没办法想象。

然后是疫情以来,健康码、行程码以及其他数字认证方式被大规模推行和接受。尽管在老人等地方遇到阻力,总的来说社会的硬件成本和认知成本都足够支撑这套体系。

1. 国家为每位公民签发一对密钥。密钥可以保存于手机上,但手机需要符合若干要求,比如 (1) 厂商和信息安全部门有合作,操作系统层面有支持;(2) 手机芯片有专门的安全模块,且手机要有本地的生物识别认证方式; (3) 芯片须通过安全部门审查。或者可以支付额外的工本费获得硬件密钥(类似早年银行网银的硬件密钥,但技术更先进),这个密钥可以通过 NFC 和 USB 与手机或专用验证器通信。

2. 签发密钥时,国家可保留一份副本并作为机密保存,但调取这个副本要求高层级,地方基层没有权限。

3. 所有身份验证操作通过数字签名进行,放在手机上可以是扫码+生物识别验证,放在密钥上就是 NFC 接触或 USB 插电脑验证。硬件密钥有指纹或用户可修改的 PIN 码防止冒用。工作人员用来认证的设备可以是安装特殊软件的手机,或者认证厂家生产的验证硬件。同样地,为了保证冒用工作人员身份的问题,验证设备也要安装有国家签名的数字证书。

4. 在认证者没有手机的情况下,密钥能在工作人员的设备上数字签名,生成一个简化的临时认证码,事后可追溯认证。(类似国外一些网站的 6 位数两步验证码)

5. 仅公民个人可授权访问的隐私信息(比如医疗记录),一律通过公民公钥加密储存,仅公民使用私钥认证后方可解密。

6. 必要时刻,国家可对某位公民重新签发密钥对。各级 Gov 均有一个上级签发的数字证书,特定部门可向下级签发证书。所有数字操作均有证书签名,可追溯。签发密钥的对象除了个人,还有机关、企业,各类实体。

类似的系统已经在银行和互联网运行了多年,安全性是有考验的。目前大多数人的手机都满足硬件要求,健康码的推行也降低了大众的接受和学习成本(其实不会比各种码更复杂),和先行体系也不互斥,可以像数字人民币一样试点推行。
james504
2022-12-11 12:55:44 +08:00
@icyalala 所有技术肯定可行只是有人不想对吧
james504
2022-12-11 12:58:39 +08:00
@agagega 看起来好像还不错
yolee599
2022-12-11 13:07:35 +08:00
其实应该搞一个统一的验证中心,只返回是否本人的结果。类似 OAuth 。
Mandelo
2022-12-11 14:37:07 +08:00
到处要求实名认证,你搁这谈隐私泄露.....
yaoyao1128
2022-12-11 14:41:18 +08:00
可以了解一下

韩国
ipin/运营商 /卡认证(在线场景),mypin 是一个线下的,但是基本不会用到(因为需要验证身份证不一定兼容)。维基百科 I-PIN 有韩文版本 整体来说除了通信社,金融,卫生,政务,教育这些领域,别的领域都不能收集到你的全部识别信息。

新加坡
singpass ( sgid )好像也在做类似的事情,但是整合性更强。
james504
2022-12-11 14:55:53 +08:00
@yaoyao1128 感谢分享
james504
2022-12-11 14:56:14 +08:00
@yolee599 这个也很好
Torpedo
2022-12-11 15:12:07 +08:00
@yaoyao1128 这么看,"通信社,金融,卫生,政务,教育这些领域" 这些范围还是挺广的。
wu67
2022-12-11 15:15:11 +08:00
别的不说, 各写字楼来访要写身份证号就离谱, 身份信息这东西就不应该是随便能收集的, 它不是存在形式和记录形式的问题, 它现在面临的是谁有收集权限、管理权限的问题.
yaoyao1128
2022-12-11 17:29:18 +08:00
@Torpedo emmm 感觉还好……一般都不会用到……除了去医院和住民中心……

通信社 只有你加入的才可以保存
卫生 医院 /药店
金融 保险 /银行 /银行卡公司 /能够发行民间认证书的几个快捷支付
政务 只有办理业务才可以,包括税收 /证明发行这种
教育 学历教育的学校才可以
之后金融认证(直接涉及身份证的)和普通的经过中介机构的手机号(姓名手机号,生日,性别,运营商)两种认证,都会触发 pass 软件的推送(
jim9606
2022-12-11 18:11:14 +08:00
你如果只是想要一个针对公安系统透明但对其他实体匿名的身份认证体系,这玩意已经有了,叫 eID ,公安部牵头搞的,可以集成在银行卡上。就是。。。基本没听哪在用这套玩意。
systemcall
2022-12-12 02:48:41 +08:00
eid 是哪年推出的?不比你想像的还要好一些?不也还是不行?
不要低估了官僚系统的落后
比如这些年有一些人做了 SRS ,想要更改毕业证的性别,但是只能开具证明,不能动毕业证和学历信息。别的例子还有改名的。那种明确会变化的东西就更麻烦了
piku
2022-12-12 08:38:04 +08:00
不不不,问题是手机并不是一个安全的设备,趁你不注意解了锁就可以为所欲为。身份证丢掉了好歹可以去有关部门重新办一个,手机丢掉了去哪挂失?换手机重新绑定又如何证明新手机的持有人?
james504
2022-12-12 09:34:34 +08:00
@piku 身份证重新办了丢失的不会失效,一样可以用。
现代技术换手机验证方式有很多吧,这个不是需要担心的问题。
james504
2022-12-12 09:35:25 +08:00
@systemcall 我相信别的地方或以后肯定是可以的,只是他们不作为。
julyclyde
2022-12-12 10:54:15 +08:00
NFC 是抗读的
必须是指定设备才可以读

你弄个二维码随随便便就被人拍照了
julyclyde
2022-12-12 10:55:48 +08:00
@archiyuan eID 那个研究所就是自己玩,本身并不是指定做身份证的研究所
james504
2022-12-12 11:12:06 +08:00
@julyclyde
我上面已经说了,二维码你可以定期限,办个业务半小时那就半小时后失效。
二维码背后的信息就跟 base64 解码出来的信息一样,而且还可以修改,今天改这个明天改那个。或就是一段短密码或随机密码。
那拍照了又有什么用呢,对吧。
julyclyde
2022-12-12 11:38:47 +08:00
@james504 短时有效和需要鉴权是两码事啊

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/901663

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX