Identité auto-souveraine, 5 ans plus tard

Il y a cinq ans aujourd'hui que j'écrivaisLe chemin vers l'identité auto-souveraine Pour CoinDesk, mon article fondateur aborde l'histoire de l'identité numérique et pose les principes de création d'un nouveau type d'identité, fondé sur le contrôle individuel et les droits Human . Il a été rédigé pour répondre à un problème qui s'aggravait d'année en année : Facebook contrôlait de plus en plus notre accès au monde en ligne, et Google corrélait de plus en plus toutes les informations nous concernant. Parallèlement, la crise des réfugiés en Europe mettait en lumière le problème suivant :1,1 milliard de personnes dans le monde vivaient sans aucune identité numérique, leur refusant un accès crucial aux systèmes financiers, politiques et sociaux.

Christopher Allen est directeur exécutif et architecte principal deBlockchain Commonsune société d’utilité sociale « à but non lucratif » engagée en faveur des infrastructures ouvertes.

Comment pourrions-nous résoudre la quadrature du cercle, en élargissant l'accès à l'identité numérique, tout en nous assurant qu'elle soit contrôlée par nous, et non par d'énormes méga-entreprises ? Ma réponse était :identité auto-souveraine.

Mon article a été en grande partie écrit du haut des épaules de géants.Le réseau de confiance de PGPfut ONEune des premières architectures à montrer une voie différente, où l'identité pouvait être soutenue par des pairs plutôt que par des autorités centralisées.Atelier sur l'identité Internet (IIW)avait déjà réalisé une décennie de conception saluée d'identité centrée sur l'utilisateur, y compris un travail avecOpenIDet d'autres normes émergentes. Devon Loffreto fut ONEun des premiers à parler d'« autorité source souveraine » dansProjet VRMJe suis heureux d’avoir contribué à ce courant de conception et j’ai été ravi de voir le soutien grandir en faveur de mes propres approches d’identité auto-souveraine au cours des cinq dernières années.

J'ai le sentiment que les principes étaient l'élément le plus important de mon article initial. Ils étaient destinés à être une ébauche qui, selon moi, nécessiterait davantage de contributions de la communauté et évoluerait au fil du temps, mais ils ont trouvé un écho immédiat. J'ai pu en discuter avec des législateurs et des fonctionnaires à Taïwan, aux Pays-Bas et dans le Wyoming ; ils expriment à tous ces citoyens la nécessité de respecter la dignité Human et de maîtriser son identité sur Internet. Les dix principes de l'identité souveraine sont désormais au cœur de nos discussions.

L'appellation « identité auto-souveraine » a suscité une BIT résistance. On a toujours craint qu'elle ne soit confondue intellectuellement avecmouvement citoyen souverainAux États-Unis, où cela n'a aucun rapport, on craignait aussi que cela ne suscite un malaise auprès des gouvernements. Personnellement, j'ai mis cette dernière inquiétude de côté en mai 2016, lorsque j'ai assisté au sommet ID2020 aux Nations Unies et entendu des ambassadeurs et dirigeants internationaux parfaitement disposés à utiliser ce nouveau terme.

Aujourd'hui, le concept d'autosouveraineté s'est répandu bien au-delà de ses débuts en tant que forme d'identité, auprès des utilisateurs de nombreux types d'actifs numériques, comme les Cryptomonnaie. Les détenteurs d'actifs numériques le considèrent comme un moyen de prendre leurs propres décisions concernant ces actifs, sans interférence de tiers ou d'autres acteurs. Ainsi, même si la terminologie « autosouveraine » demeure controversée dans l'écosystème de l'identité numérique, elle semble de plus en plus acceptée par la communauté des actifs numériques.

Je pense que Google est peut-être le meilleur exemple du succès de ce terme : je me souviens qu’en 2016, on demandait aux personnes intéressées par mon article de simplement chercher « auto-souverain » et de le trouver en haut des résultats. Aujourd’hui, il est relégué quelques pages plus loin dans les résultats ! Cela témoigne des progrès réalisés dans ce domaine : les résultats de recherche regorgent désormais d’articles traitant de l’identité auto-souveraine et d’entreprises proposant des solutions.

Sur le même sujet : Christopher Allen : Le chemin vers l'identité auto-souveraine (2016)

Je pense que ce sont les deux réussites les plus cruciales à célébrer en ce cinquième anniversaire : la reconnaissance de nous tous sur Internet comme des êtres humains, dignes de dignité et détenteurs de droits Human , et l'intégration de la notion d'autosouveraineté dans le vocabulaire. Cela témoigne d'une évolution de notre vision de la personne au XXIe siècle, que je considère comme cruciale. Mais, bien sûr, cette évolution a également été soutenue par une quantité impressionnante d'innovations technologiques au cours des cinq dernières années.

Je suis fier qu’une grande partie de ce mouvement initial soit le fruit du travail sur deux technologies cruciales, les identifiants décentralisés (DID) et les justificatifs vérifiables (VC), auAteliers de redémarrage du Web of Trust (RWOT) que j'héberge. Le travail a été réalisé par un large éventail d'experts, à commencer par Drummond Reed, Les Chasen et Manu Sporny. Cinq ans plus tard, les VC sont unRecommandation au W3C en tant que norme internationale officielle, et les DID sont unRecommandation de candidat au W3C et donc presque là. C’est le cœur de l’architecture identitaire auto-souveraine : un identifiant et la capacité de faire des revendications.

À quoi ressemble un DID ? Un DID est un identifiant numérique, tel que did:example:123, qui vous représente (ou, en réalité, toute autre entité) dans un contexte donné. C'est en quelque sorte un numéro de sécurité sociale ou un numéro de permis de conduire, sauf qu'il est contrôlé par vous et non identifiant. Un LINK vers un document DID peut fournir des informations d'authentification et des références à des justificatifs vérifiables. Cela vous permet de faire des déclarations sans avoir à révéler au préalable votre identité réelle.

Comment fonctionne un DID ? Un utilisateur peut utiliser un Secret (généralement un grand nombre) pour prouver sa propriété d'un DID et donc les revendications qu'il fait pour ce DID grâce à des justificatifs vérifiables. Ces justificatifs vérifiables peuvent lui accorder des privilèges électroniques, comme l'accès à un site web, ou fournir des informations réelles, comme sa date de naissance, ses diplômes universitaires ou son expérience professionnelle. D'autres entités peuvent valider les revendications en les signant. L'essentiel est que l'identifiant soit distinct des revendications le concernant, ce qui offre une sécurité et une Politique de confidentialité accrues.

Comment les DID répondent-ils aux exigences de l'identité souveraine ? Les DID respectent de nombreux principes de l'identité souveraine, notamment le contrôle, l'accès et la portabilité. Un utilisateur dispose d'un pouvoir personnel sur son identité et peut créer plusieurs identités contextuelles pour éviter toute corrélation ; il connaît toutes les données associées à son DID et peut l'utiliser dans différents contextes, comme il l'entend. C'est une différence majeure par rapport à Facebook Connect, où un tiers pouvait soudainement et arbitrairement supprimer l'accès d'un utilisateur à divers sites web. Les DID, fondés sur l'ensemble des principes de l'identité souveraine, peuvent aller bien au-delà, permettant à l'utilisateur de comprendre parfaitement l'identité qu'il FORTH et les informations qu'elle fournit aux autres.

Il existe désormais un certain nombre d'entreprises qui mettent en avant ces idées : l'identité auto-souveraine est en train de devenir une vaste industrie. Il y en a tellement que la meilleure façon d'en parler est simplement de passer en revue les plus grandes communautés. Diverses entreprises s'alignent étroitement sur les spécifications du W3C, y compris les membres duW3C-CCG (Groupe communautaire des informations d'identification) comme Digital Bazaar, qui a constamment soutenu le travail de Rebooting the Web of Trust ; leFondation pour l'identité décentraliséetravaille également à la création d'un écosystème d'identité décentralisé, sous la direction de Microsoft et de Consensys ; et la Linux Foundation travaille surHyperledger IndyAvec des entreprises comme International Business Machines et Evernym. Il s'agit d'un écosystème vaste et ONE, avec de nombreuses voix différentes, chacune suggérant des pistes d'avenir différentes, et de nombreuses nouvelles voix émergent.

Attention, je pense qu’il y a encore place à l’amélioration.

Sur le même sujet : Jeff Wilser : L'identité auto-souveraine expliquée

J'ai toujours pensé qu'il était prématuré de lier trop étroitement les DID à une méthodologie, notamment à une approche de registre spécifique. C'est devenu un sujet de controverse, car les technologies de registre basées sur la blockchain, comme Bitcoin et Ethereum, ont été critiquées pour leurs coûts de transaction, leur consommation d'énergie et leur volatilité financière. Heureusement, des travaux sont déjà en cours pour remédier à ce problème, via une grille d'évaluation de la décentralisation des méthodes DID : <a href="https://github.com/WebOfTrustInfo/rwot9-prague/blob/master/final-documents/decentralization-rubric.pd">https://github.com/WebOfTrustInfo/rwot9-prague/blob/master/final-documents/decentralization-rubric.pd</a> .

Je suis également un peu troublé de voir autant d'attention accordée à l'identité auto-souveraine légalement habilitée (LESS), et pas assez à l'identité minimisée par la confiance, comme je l'ai dit dansune conférencejuste avant la pandémie. LESS Identity se concentre sur les environnements de haute confiance avec vérification d'identité dans le monde réel et est positionné pour l'acceptation du gouvernement ; tandis que Trust Minimized Identity se concentre sur la défense des droits de Human contre les acteurs puissants, et a donc des exigences supplémentaires en matière d'anonymat et est plus susceptible d'être construit autour de l'authentification peer-to-peer.

Il est compréhensible que LESS Identity ait suscité le plus d'attention, car c'est ce dont les entreprises sont susceptibles d'avoir le plus besoin, et elle répond toujours à des principes essentiels d'autosouveraineté, tels que le contrôle des utilisateurs et la Déclaration de transparence minimale. Cependant, Trust Minimized Identity était ONEune de nos principales préoccupations lorsque nous avons commencé à parler d'identité autosouveraine : défendre les droits Human des réfugiés, où qu'ils se trouvent dans le monde, était ONEun de nos premiers et plus importants cas d'utilisation, et LESS Identity ne nous y mènera T .

En d'autres termes, l'identité minimisée par la confiance demeure nécessaire, et nous devons veiller à ne T la bloquer comme option à mesure que nous progressons sur les systèmes d'identité LESS. Nous effectuons actuellement des travaux sur la minimisation de la confiance.Blockchain Commonsavec notredid:méthode de l'oignon, mais nous avons eu les mêmes difficultés à établir des priorités que tout le monde : l’argent est disponible pour les approches d’identité MOINS soutenues par les gouvernements nationaux progressistes, mais pas nécessairement pour les solutions minimisant la confiance qui sont nécessaires ailleurs.

Enfin, il convient de rappeler que, même si les DID et les VC constituent une exigence architecturale fondamentale pour soutenir de nombreux principes d'identité auto-souveraine, ils ne suffisent pas à eux seuls. La Technologies peut faciliter la gestion morale de l'identité électronique, mais pour garantir ce fondement éthique, nous devons y intégrer la Politique de confidentialité et la garantie des droits de Human , en utilisant des technologies cryptographiques telles que l'aveuglement, la Déclaration de transparence sélective, la résistance à la désanonymisation et les preuves à divulgation nulle de connaissance.

Cela devient particulièrement important aujourd'hui, alors que nous voyons les DID et les VC considérés comme la base des certifications vaccinales (aussi appelées « passeports d'immunité »). L'utilisation des technologies DID et VC seulesne fait pas s’assurer que les informations d’identification des vaccins respectent les principes d’identité auto-souveraine ; un examen minutieux est nécessaire pour équilibrer les besoins de santé publique avec les risques que ces informations d’identification soient utilisées à d’autres fins non prévues.

Je me suis impliqué dans le domaine de l'identité en grande partie parce que je crois que l'identité peut être une arme à double tranchant, utilisable à des fins aussi bien bénéfiques que néfastes. Pour rester bénéfique à ses participants, un système d'identité doit trouver un équilibre entre transparence, équité et soutien au bien commun, tout en protégeant l'individu. Même avec l'utilisation de DID et de CV, nous devons rester vigilants.

Malgré ces inquiétudes, je suis ravi du chemin parcouru en cinq ans par l'identité auto-souveraine. Je suis ravi d'avoir défendu ce terme et d'avoir suggéré certains principes, et que ceux-ci aient été acceptés dans nos communautés. Je suis ravi d'avoir travaillé avec des gens deRedémarrer le Web de confiance, depuis IIW, depuis W3C, depuis DIF, depuis Hyperledger Indy, et de nombreuses entreprises pour faire progresser ces idées fondamentales dans une véritable industrie, et je suis ravi de voir ce qui va suivre !