真实身份法案的最初目的,是提高美国各地在身份认证方面的标准化程度以达到保护个人和国家安全的目的,与此同时也可以提高身份证的安全性。但不幸的是,它带来的实际效果可能恰恰是相反的。希望可以实现兼容识别的真实身份法案存在的大量缺陷可能导致进行身份欺诈的犯罪分子能够更加容易的进行非法活动了。象布什政府期间国家安全局的窃听丑闻之类侵犯隐私的非法活动也将变得更加容易了。问题出在哪里呢?是官僚们,而不是技术专家制定了将个人资料进行标准处理的模式。
我们需要知道,国家身份证标准本身并不是造成这些问题的根源。真正的问题在于计划的设计缺陷,它无视了经过数十年测试并证明安全的原则。一个更美好、更安全的标准化身份证计划必须满足一些基本条件,任何安全专家都可以轻松地给出这样的列表:
· 自愿身份验证:只有获得了许可时才能对拥有身份证的人进行核实。在没有获得许可时,不能进行身份验证。如果在没有获得直接许可的情况下,进行身份验证,就构成了对隐私权的侵犯;并且在技术方面还存在更大的缺陷,可能导致未经授权对核实身份数据的访问。
· 匿名授权核查:对于使用社会安全号码(SSN)的身份进行查询可能出现问题,部分原因是法律禁止强制公布和身份直接相关的社会保障、税收以及福利等方面的信息。实际上,将一个人的所有信息都集中在一起,是很容易导致身份欺诈行为的发生,也容易导致出现隐私泄露之类的安全问题。该项目必须可以实现匿名授权核查,以保证合法公民的隐私和安全。
· 加密签名:除了身份验证外,一个安全的身份证制度也应该提供一个可以进行个人身份核实的功能,对双方进行身份验证和匿名授权,这时间加密签名就是最合适的方法。该功能的潜在应用,包括了可核查的匿名投票、合同协议以及尊重隐私的普查数据收集。
· 默认授权策略:对于基本公民权利和权限,默认的策略应该是一种授权。也就是说,在默认状况下,人们应该拥有维护自己作为公民的权利和权限,只有在获得授权的时间,个人权利才能受到限制。举例来说,犯罪分子将被禁止参加投票。默认情况下,限制用户获得授权的系统,不仅违反了美国宪法尊重个人权利的要求,而且还会导致系统的滥用,给个人隐私带来更大的威胁。
· 有效的多因子认证:从认证的角度来看,政府核发的身份证在全球各国会造成笑话,造成这种情况的原因是不幸的。尽管也存在很多大漏洞,但私人银行可以提供更好的安全认证方式。
你可能已经注意到,真实身份法案所有要求的基础是安全身份证制度。这个问题的关键在于政府对身份证的认识,他们认为,最重要的是两件事情,首先:
1. 政府有核实公民身份的权力
2. 防止伪造现象的出现
他们应该考虑的是怎样保护公民避免遇到身份欺诈行为。如果从这一角度来看,建立设计良好的身份证制度显然应该采用公钥加密这样的概念。但实际情况恰恰相反,我们政府采取的措施,让经过修改的身份证标准越来越象数字版权管理技术,把我们的身份当作别人的财产,还很容易被第三方窃取。
