技术让信任更简单-我为何创建信任度

2018-01-09

马臣云

先讲两个故事

1、有一次去凤凰岭公园玩，看到路边有很多露天棋盘，远远看见时我就想，这棋子不会被人拿走或弄丢吧？走进一看，发现棋子是有特殊设计的，能活动，但拿不出来。

这个小小的技术创新，大大的缓解了管理问题，即不影响人们使用，又不会让棋子丢失。

2、共享单车ofo和摩拜同时推向市场时，他们对车的控制和管理采取了两个截然不同的技术手段。ofo采用机械密码锁、没有GPS定位，车身也很简单；摩拜用智能电子锁和GPS定位。在此之前城市里还有很多车桩式的单车，使用固定车桩进行车辆管理。三者对比分析来看，车桩式的单车管理上最安全，但使用最麻烦；ofo最简单，但安全性最低；摩拜在安全和易用性上找到了一个平衡，最适中。三者竞争的结果就是，车桩式的单车太麻烦没人用；ofo是君子手段，导致免费骑和管理乱；摩拜适中，发展良好。

这两个故事说明，人性的弱点需要一点点技术的力量约束，一个诚信的社会也需要技术的力量支撑。但这个力量不能太小，太小了人性恶就压不住，也不能太大，太大了成本高或束缚太多阻碍社会发展。信任需要度，技术也需要度！

在互联网领域也是一样的道理，电子商务发展初期，大家都很难接受素未谋面的两个人可以做生意，就是因为无法建立信任。后来支付宝的出现解决这个问题，作为交易双方的中介和担保，打消了双方的顾虑，建立了信任。

现在，在互联网上社交、购物、支付已经无法满足人们的需求。企业与企业之间、企业和顾客之间、企业和员工之间，甚至政府和民众之间的交互、交易都将在互联网上进行。随着物联网的发展，万物互联的时代也将要到来；人和人、人和组织、人和设备的交互必须在建立规则和建立信任的基础上才能大放异彩；人、组织、设备的数字化身份的确认、交易签名防止抵赖、交易结果的完整性保护，以及合约的智能化、自动化、数字资产的保护和转移等都是实现数字化信任社会的基础。

然而当前在互联网上认定人的身份和确定责任方面，也处于一个比较尴尬的境地：简单便宜的安全性低，而安全的又不好用。

比如最简单的身份认证方式就是口令，也是互联网的主流方式。但是用户名口令的方式正面临云端拖库与客户端破解的双重夹击，君不见，京东、网易、CSDN、雅虎等触目惊心的密码泄漏事件层出不穷。有的网站采取了提升口令复杂度、加大更换频率等措施，却大大的增加了用户负担，降低了使用便利性。

而那些被认为安全的技术又很难用。比如银行领域的U盾，采用了专用的密码芯片和数字证书，被业界公认为安全等级最高的认证方式，从U盾、动态口令、口令在银行的转账限额就可见一斑。但是U盾却存在成本高、分发困难、使用困难等问题，我想大部分人使用网银都有一段心塞的经历，插入U盾驱动装不上，浏览器不兼容、想用时发现没带。。。尤其是手机普及了，U盾没法适应手机，导致手机网银大部分都在裸奔。由于U盾的高贵冷艳，实际上只有在银行、政府领域得到了应用，绝大部分的互联网应用仍是用口令。

在解决电子签名、责任认定方面，我国的《电子签名法》明确规定可靠的电子签名等同于签字或盖章。所以当前大家通用的选择是利用CA数字证书完成数字签名，以实现交易的防抵赖效果。CA数字证书以现代密码算法为基础，从数学上确保了数据的真实性和完整性。CA认证中心，作为中心化的信任中介完成信任的传递，本质上CA的核心作用是完成用户线下实名身份到线上虚拟身份的转化，即CA见证用户的身份，给用户颁发一个数字证书。但是CA的价格却不菲，个人证书20-50元/人年，单位证书100-200元/人年，银行或地方政务每年证书服务的采购都在千万级别甚至有得达亿级。