Децентрализирани идентификатори – „липсващият слой на идентичността“ в интернет

Децентрализираната идентичност или идентификатор (DID) не е нищо повече от схема с няколко атрибута, която уникално определя лице, обект или организация. Конвенционалните системи за управление на идентичността се основават на централизирани органи, като корпоративни справочни услуги или сертифициращи органи. DID са изцяло под контрола на субекта на DID, независимо от централизирания регистър, доставчика на самоличност или сертифициращия орган. 

Появата на блокчейн технология предоставя възможност за внедряване на напълно децентрализирано управление на идентичността (DIDM). В DIDM всички собственици на идентичност споделят общ корен на доверие под формата на глобално разпределена книга.

Всеки DID запис е криптографски защитен от частни ключове под контрола на собственика на самоличността. Смята се, че това е липсващата връзка за предефиниране на стойностите за сигурност на Интернет, тъй като тя може да се превърне в слоя за идентичност на Интернет. Спецификацията за DID се създава от World Wide Web Consortium (W3C).

Предимства на DID

Маркус Сабадело, съавтор на спецификациите на DID и главен изпълнителен директор на Дунав Тех, обясни основните ползи от използването на DID:

„DIDs са важна иновация, тъй като ни дават възможност да установим цифрови идентификатори, които са постоянни, сигурни и разрешими в световен мащаб, но създаването им не изисква централен орган или посредник.

DID се контролират изключително от субекта, към който се отнасят, и следователно са основен градивен елемент за това, което обикновено е известно като "самосуверенна идентичност" или "децентрализирана идентичност".

Представете си, че имате телефонен номер, който не ви е присвоен от вашия мобилен оператор, но вместо това вие го избирате сами. Всеки по света все още може да ви се обади и никой никога не би могъл да ви отнеме този телефонен номер – DIDs са подобни на тази ситуация.

Технически DID са валидни унифицирани идентификатори на ресурси (URI), поради което са съвместими с много уеб технологии с общо предназначение. Те не са ограничени до случай или протокол за еднократна употреба.

Друго предимство е, че DID са проектирани да работят с различни блокчейни и други целеви системи, като по този начин осигуряват оперативна съвместимост.

Какви са ползите от DID?

DID могат да се използват за идентифициране на всеки цифров или реален ресурс, като документ, физическо лице, компания или физически обект. Като цяло, DID сам по себе си не доказва уникалност или нещо друго за собственика му. DID е просто идентификатор. Можете и в много случаи трябва да имате множество DID за различни цели, взаимоотношения и транзакции.

Въпреки това, въпреки че DID сам по себе си не предоставя много информация за собственика, можете да използвате протоколи върху DID, за да проверите редица неща. За да докажете просто, че контролирате определен DID, и да го използвате (например, за да влезете в уебсайт), можете да използвате протокол за предизвикателство / отговор, наречен DID Auth. Това изпълнява подобна функция за "децентрализирана идентичност" както правят OpenID Connect и други "федерална идентичност".

За да докажете по-сложни факти за собственика на DID, като например възрастта, притежаването на валидна шофьорска книжка или членството в организация, можете да използвате Проверяващи се пълномощия, които са стандартизирани от W3C.

Проверчивите пълномощия са искове, удостоверени от издател за DID. След това те могат да бъдат използвани като доказателство от собственика на DID по време на транзакция. Няма ограничение за обхвата и семантиката на претенциите, които могат да бъдат свързани с DID; те могат да бъдат толкова богати, колкото всички наши реални човешки и организационни идентичности, които съставляват нашите общества.

Пример DID структура

Възможни са много варианти за DID. Пълният файл със спецификации можете да намерите на W3C. По-долу е един от възможните начини за дефиниране на DID. Това, което виждаме тук, е проста дефиниция на DID с датата на създаване, датата, на която документът е актуализиран за последно, полето за подпис (по избор) и „authCapability“. Това последно поле съдържа обекти, отнасящи се до други DID, които получават конкретно разрешение за този DID. Например DID с ID 215cb1dc-1f44-4695-a07f-97649cad9938 получава разрешението да актуализира този DID.

пример DID

Източник: W3C – https://w3c-ccg.github.io/did-spec/#requirements-of-did-method-specifications

Полето „подпис“ често се разбира погрешно. The "подпис" полето само доказва, че DID документът не е бил фалшифициран и че подписалият е контролирал определен частен ключ по време на подписването му. Подписът обаче не доказва, че подписвачът е действителният собственик на DID. Така че, макар че може да бъде допълнителна функция за защита, на нея не може да се разчита само по себе си при работа с DID. Подобно е на процеса на залагане на PGP ключ публично във форума на Bitcointalk.com, за да докажете, че сте притежавали този ключ, свързан с вашия акаунт в Bitcointalk.

Маркус Сабадело заяви, че полето „разрешение“ е нестабилният елемент в спецификацията DID и вероятно ще бъде премахнато. Целта му е да изрази разрешения относно това кой може да актуализира DID документа. Има обаче няколко проблема с това:

  1. Различните видове DID (DID методи) имат много различни идеи и възможности относно управлението на актуализациите. Всяка информация за упълномощаване на DID актуализации трябва да бъде посочена от тези специфични DID методи, вместо да се налага това по универсален начин за всички DID.
  2. Вместо традиционните списъци за контрол на достъпа за изразяване на разрешения, разглеждахме алтернативен модел, наречен обектни възможности. Това е пример за тази спецификация, която е много подобна на DID.

обектни възможности, свързани с DID

Източник: W3C – https://w3c-ccg.github.io/ld-ocap/

Случаи на употреба

Най-простият пример е влизане в уебсайтове. Ще имате цифров портфейл, който съхранява вашите DID и свързаните с тях ключове и бихте могли да използвате приставка за браузър или приложение, което се появява и иска потвърждение, когато влизате в системата. Идеята е малко сравнима с приставката MetaMask, но по-малко напреднала.

Друг пример е "Донесете собствената си самоличност" когато пазарувате онлайн. Можете да си купите книга в онлайн магазин и при плащане просто да предоставите своя DID (отново с помощта на приставка или приложение). По този начин ще можете да споделите адреса си за доставка и информация за плащане, без дори да се налага да създавате акаунт в уебсайта на магазина. Можем дори да изтеглим линията към физическия свят, където свързваме карта за лоялност на клиентите, която получаваме във всеки магазин, за да получим малка отстъпка, към полето за идентификация на нашия децентрализиран идентификатор.

И накрая, по-усъвършенстван пример е разпределена адресна книга. Бихте могли да поддържате връзка с приятелите си, както и с бизнеса, който ви интересува, и да споделяте личния си адрес и друга информация за профила с тях, с пълен контрол, прозрачност и преносимост на данните. Всеки път, когато информацията за вашия профил се промени, връзките ви могат да бъдат уведомявани автоматично. DID позволяват връзки през целия живот между собствениците на DID, които никой не може да ви отнеме.

DID подобряват сигурността

За да разберем как DID подобряват сигурността, първо трябва да се запознаем с това какво представлява инфраструктурата на публичния ключ (PKI). PKI се използва главно за криптиране и / или подписване на данни. Криптирането на данните се отнася до тяхното кодиране по начин, който ги прави нечетливи, освен за упълномощени лица. PKI се основава на механизъм, наречен цифров сертификат, наричан още сертификати X.509. Представете си сертификата като виртуална лична карта. PKI също се нарича сертифициращ орган (CA). Например VeriSign е добре познат CA за създаване на мрежа от доверие, като предлага SSL / TLS сертификати, подписани от тях.

Тъй като PKI използва централизирана база данни за съхраняване на тази информация, тогава можем да мислим за DID като децентрализиран вариант на PKI. DIDs формират основата за децентрализирана инфраструктура с публичен ключ (DPKI).

Това означава, че цялото споделяне на данни и съобщения между DID се удостоверява и криптира с помощта на криптографски ключове, свързани с DID, подобно на традиционните PKI, но без недостатъците на традиционните сертифициращи органи.

Има многобройни примери, когато в миналото съществуващата архитектура на TLS сертификат, използвана от уеб сървъри, се оказва уязвима за цензура и манипулация. С DIDs тази заплаха от посредници може да бъде елиминирана, тъй като всеки DID представлява свой собствен "корен на доверието". Това означава, че те не трябва да бъдат контролирани и издавани от централните органи, за да им се вярва.

Друга важна характеристика за сигурност е, че DID са постоянни. Това означава, че криптографските ключове, свързани с DID, могат да бъдат сигурно завъртани и отменяни чрез различни механизми, без да се налага да създавате нов DID. Ще се задълбочим повече в този „отменящ“ аспект в следващото подзаглавие.

Изтриване или отмяна на DID

Последната версия (v0.7) на спецификацията на W3C за децентрализирани идентификатори обсъжда различните DID операции, при които можем да намерим „Изтриване / отнемане“. Това е доста странно, тъй като децентрализираните счетоводни технологии (DLT) са неизменни по природа. Нека разгледаме този аспект допълнително.

След като бъде издадена първоначална транзакция за създаване на DID, могат да се актуализират и други транзакции "оттегляне" или "прекратявам", DID. Въпреки че историята на DID може да бъде само за добавяне и да съществува безкрайно, текущото състояние на DID се определя от кумулативната сума на всички транзакции.

Ако към тази история се добави специална транзакция, това означава DID като "отм". Също така имайте предвид, че докато DLT имат полезни свойства, които ги правят подходящи за създаване и съхранение на DID, DLT не са единствената възможна технология за DID. DID също могат да бъдат създадени с помощта на децентрализирани хеш таблици (DHT), разпределени файлови системи (IPF), бази данни (BigchainDB) или други децентрализирани мрежи.

Състояние на DID спецификацията

Все още има някои отворени въпроси, но работната група на W3C за DIDs очаква да публикува относително стабилен проект на изпълнител до март или април 2018 г. Пристигането на завършен стандарт W3C е много по-дълъг процес, който те все още не могат да предвидят.

В допълнение, W3C също разработва инструменти, като Universal Resolver, който действа като преобразувател на идентификатори и работи с всяка децентрализирана идентификационна система. Налични са изпълнения за програмните езици Java и Python3.

Бъдещи и последни мисли:

Маркус Сабадело заяви: „Тези от нас, които работят по DID, изпитват невероятен интерес към тази технология от цял ​​свят. Ние смятаме DID за нищо по-малко от това, че най-накрая имаме възможност да осъзнаем "липсващ слой за идентичност" на Интернет." DIDs имат потенциала да заменят голяма част от текущата инфраструктура за интернет идентичност, включително неща като потребителски имена, имена на домейни, сертифициращи органи и централизирани услуги за самоличност като "Влезте с Facebook". Може да отнеме известно време, за да се адаптирате към това "децентрализирана идентичност" парадигма, но тя ще се превърне в по-добра основа за това как ще работят удостоверяването, споделянето на данни и съобщенията.