Decentralizované identifikátory – internetová „chybějící vrstva identity“

Decentralizovaná identita nebo identifikátor (DID) není nic jiného než schéma s několika atributy, které jednoznačně definuje osobu, objekt nebo organizaci. Konvenční systémy správy identit jsou založeny na centralizovaných autoritách, jako jsou podnikové adresářové služby nebo certifikační autority. DID jsou plně pod kontrolou subjektu DID, nezávisle na jakémkoli centralizovaném registru, poskytovateli identity nebo certifikační autoritě. 

Vznik technologie blockchain poskytuje příležitost implementovat plně decentralizovanou správu identit (DIDM). Ve službě DIDM sdílejí všichni vlastníci identit společný kořen důvěry v podobě globálně distribuované účetní knihy.

Každý záznam DID je kryptograficky zabezpečen soukromými klíči pod kontrolou vlastníka identity. Předpokládá se, že jde o chybějící odkaz k předefinování bezpečnostních hodnot Internetu, protože se může stát vrstvou identity Internetu. Specifikace pro DID je vytvářena World Wide Web Consortium (W3C).

Výhody DID

Markus Sabadello, spoluautor specifikace DID a generální ředitel společnosti Danube Tech, vysvětlil obecné výhody používání DID:

„DID jsou důležitou inovací, protože nám dávají schopnost vytvářet digitální identifikátory, které jsou trvalé, bezpečné a globálně řešitelné, ale jejich vytváření nevyžaduje ústřední orgán ani zprostředkovatele.“

DID jsou kontrolovány výhradně entitou, na kterou odkazují, a proto jsou základním stavebním kamenem toho, co je obecně známé jako "sebe-suverénní identita" nebo "decentralizovaná identita".

Představte si, že máte telefonní číslo, které vám nepřidělí váš mobilní operátor, ale místo toho si ho vyberete sami. Kdokoli na světě vám může zavolat a nikdo vám toto telefonní číslo nikdy nemohl vzít – DID jsou podobné této situaci.

Technicky jsou DID platné identifikační identifikátory zdrojů (URI), proto jsou kompatibilní s mnoha univerzálními webovými technologiemi. Nejsou omezeny na jediný případ použití nebo protokol.

Další výhodou je, že DID jsou navrženy pro práci s různými blockchainy a jinými cílovými systémy, a proto poskytují interoperabilitu.

Jaká jsou použití DID?

DID lze použít k identifikaci jakéhokoli digitálního nebo skutečného zdroje, jako je dokument, jednotlivec, společnost nebo fyzický objekt. Obecně platí, že DID sám o sobě neprokazuje jedinečnost ani nic jiného o svém vlastníkovi. DID je pouze identifikátor. Můžete a v mnoha případech byste měli mít více DID pro různé účely, vztahy a transakce.

I když však DID sám o sobě neposkytuje mnoho informací o vlastníkovi, můžete k ověření řady věcí použít protokoly nad DID. Chcete-li jednoduše prokázat, že určitý DID ovládáte, a použít jej (např. K přihlášení na web), můžete použít protokol výzva / odpověď s názvem DID Auth. Toto plní podobnou funkci pro "decentralizovaná identita" jako OpenID Connect a ostatní pro "federovaná identita".

Chcete-li prokázat složitější fakta o majiteli DID, jako je jeho věk, držení platného řidičského průkazu nebo členství v organizaci, můžete použít Ověřitelné údaje, které jsou standardizovány W3C.

Ověření Pověření jsou tvrzení doložená emitentem o DID. Poté je může vlastník DID během transakce použít jako důkaz. Rozsah a sémantika deklarací, které lze spojit s DID, není nijak omezeno; mohou být stejně bohatí jako všechny naše skutečné lidské a organizační identity, které tvoří naše společnosti.

Příklad struktury DID

Pro DID je možné mnoho variant. Úplný soubor specifikací naleznete na adrese W3C. Níže je uveden jeden z možných způsobů, jak definovat DID. To, co zde vidíme, je jednoduchá definice DID s datem vytvoření, datem poslední aktualizace dokumentu, polem podpisu (volitelně) a „authorizedCapability“. Toto poslední pole obsahuje objekty odkazující na jiné DID, kteří k tomuto DID získají konkrétní oprávnění. Například DID s ID 215cb1dc-1f44-4695-a07f-97649cad9938 obdrží oprávnění k aktualizaci tohoto DID.

příklad DID

Zdroj: W3C – https://w3c-ccg.github.io/did-spec/#requirements-of-did-method-specifications

Pole „podpis“ je často nepochopeno. The "podpis" pole pouze dokazuje, že s dokumentem DID nebylo manipulováno a že podepisující v době jeho podpisu ovládal určitý soukromý klíč. Podpis však neprokazuje, že podepisující osoba je skutečným vlastníkem DID. I když se může jednat o další bezpečnostní prvek, nelze na něj při práci s DID spolehnout. Je to podobné jako s veřejným vkladem klíče PGP na fóru Bitcointalk.com, aby se prokázalo, že jste vlastnili tento klíč spojený s vaším účtem Bitcointalk..

Markus Sabadello uvedl, že pole „povolení“ je nestabilním prvkem ve specifikaci DID a bude pravděpodobně odstraněno. Jeho záměrem je vyjádřit oprávnění ohledně toho, kdo může dokument DID aktualizovat. S tím však existuje několik problémů:

  1. Různé druhy DID (metody DID) mají velmi odlišné představy a možnosti týkající se správy aktualizací. Veškeré informace o autorizaci týkající se aktualizací DID by měly být specifikovány těmito konkrétními metodami DID, nikoli univerzálním způsobem pro všechny DID..
  2. Místo tradičních seznamů řízení přístupu pro vyjádření oprávnění jsme hledali alternativní model s názvem funkce objektu. Toto je příklad této specifikace, který je velmi podobný DID.

schopnosti objektu spojené s DID

Zdroj: W3C – https://w3c-ccg.github.io/ld-ocap/

Případy užití

Nejjednodušším příkladem je přihlášení na webové stránky. Měli byste digitální peněženku, která ukládá vaše DID a přidružené klíče, a mohli byste použít plugin nebo aplikaci prohlížeče, která se objeví a požádá o potvrzení při přihlášení. Myšlenka je trochu srovnatelná s pluginem MetaMask, ale méně pokročilá.

Dalším příkladem je "Přineste si svoji vlastní identitu" při online nakupování. Knihu si můžete koupit v internetovém obchodě a při pokladně pouze zadáte své DID (opět pomocí pluginu nebo aplikace). Tímto způsobem byste mohli sdílet svou dodací adresu a platební údaje, aniž byste museli vytvářet účet na webových stránkách obchodu. Můžeme dokonce nakreslit čáru do fyzického světa, kde propojíme věrnostní kartu zákazníka, kterou dostáváme v každém obchodě, abychom získali malou slevu, do pole ID našeho decentralizovaného identifikátoru.

A konečně pokročilejším příkladem je distribuovaný adresář. Mohli byste zůstat ve spojení se svými přáteli i s podniky, na kterých vám záleží, a sdílet s nimi svou osobní adresu a další profilové informace s plnou kontrolou, transparentností a přenositelností dat. Pokaždé, když se změní vaše profilové informace, vaše připojení může být automaticky upozorněno. DID umožňují celoživotní spojení mezi vlastníky DID, které vám nikdo nemůže vzít.

DID zvyšují bezpečnost

Abychom pochopili, jak DID zvyšují zabezpečení, musíme se nejprve seznámit s tím, co je infrastruktura veřejných klíčů (PKI). PKI se používá především pro šifrování a / nebo podepisování dat. Šifrování dat znamená jejich kódování způsobem, který je činí nečitelnými, s výjimkou oprávněných osob. PKI je založen na mechanismu zvaném digitální certifikát, označovaný také jako certifikáty X.509. Představte si certifikát jako virtuální průkaz totožnosti. PKI se také označuje jako certifikační autorita (CA). Například VeriSign je známá CA pro vytváření důvěryhodného webu tím, že nabízí certifikáty SSL / TLS podepsané jimi.

Protože PKI používá centralizovanou databázi pro ukládání těchto informací, můžeme si pak představit DID jako decentralizovanou variantu PKI. DID tvoří základ pro decentralizovanou infrastrukturu veřejného klíče (DPKI).

To znamená, že veškeré sdílení dat a zasílání zpráv mezi DID je ověřováno a šifrováno pomocí kryptografických klíčů přidružených k DID, podobně jako tradiční PKI, ale bez nevýhod tradičních certifikačních autorit.

Existuje řada příkladů, kdy se v minulosti ukázalo, že stávající architektura certifikátu TLS používaná webovými servery je citlivá na cenzuru a manipulaci. U DID lze tuto hrozbu zprostředkovatelů eliminovat, protože každý DID představuje svůj vlastní "kořen důvěry". To znamená, že pro důvěryhodnost nemusí být kontrolovány a vydávány ústředními orgány.

Další důležitou funkcí zabezpečení je, že DID jsou trvalé. To znamená, že kryptografické klíče přidružené k DID lze bezpečně otáčet a odvolávat pomocí různých mechanismů, aniž byste museli vytvářet nový DID. Podrobněji se tomuto „odvolávajícímu“ aspektu budeme věnovat v příštím podnadpisu.

Odstranit nebo odvolat DID

Nejnovější verze (v0.7) specifikace W3C pro decentralizované identifikátory pojednává o různých operacích DID, pod nimiž můžeme najít „Odstranit / Odvolat“. To je docela divné, protože decentralizované technologie knih (DLT) jsou od přírody neměnné. Pojďme tento aspekt prozkoumat dále.

Jakmile je vydána počáteční transakce k vytvoření DID, lze aktualizovat další transakce a také "zrušit" nebo "vypovědět", DID. I když historie DID může být pouze připojená a může existovat nekonečně, aktuální stav DID je definován kumulativním součtem všech transakcí.

Pokud je do této historie přidána speciální transakce, znamená to DID jako "zrušeno". Mějte také na paměti, že zatímco DLT mají užitečné vlastnosti, díky nimž jsou vhodné pro vytváření a ukládání DID, DLT nejsou jedinou možnou technologií pro DID. DID lze také vytvářet pomocí decentralizovaných hašovacích tabulek (DHT), distribuovaných souborových systémů (IPF), databází (BigchainDB) nebo jiných decentralizovaných sítí.

Stav specifikace DID

Stále existují určité otevřené problémy, ale pracovní skupina W3C pro DID očekává, že do března nebo v dubnu 2018 zveřejní relativně stabilní návrh implementátora. Příchod k hotovému standardu W3C je mnohem delší proces, který zatím nemohou předpovědět.

Kromě toho W3C také vyvíjí nástroje, jako je Universal Resolver, který funguje jako resolver identifikátorů a pracuje s jakýmkoli decentralizovaným identifikačním systémem. Implementace jsou k dispozici pro programovací jazyky Java a Python3.

Budoucí a závěrečné myšlenky:

Markus Sabadello uvedl: „Ti z nás, kteří pracují na DID, pociťují neuvěřitelný zájem o tuto technologii z celého světa. Myslíme si, že DID nejsou nic menšího než to, že máme konečně příležitost si to uvědomit "chybějící vrstva identity" internetu." DID mají potenciál nahradit většinu současné infrastruktury internetových identit, včetně věcí, jako jsou uživatelská jména, názvy domén, certifikační autority a centralizované služby identity, jako jsou "Přihlásit se pomocí Facebooku". Může chvíli trvat, než se tomu přizpůsobíme "decentralizovaná identita" paradigma, ale stane se lepším základem pro fungování autentizace, sdílení dat a zasílání zpráv.