Identità auto-sovrana, 5 anni dopo

Sono passati cinque anni da quando ho scrittoIl percorso verso l'identità auto-sovrana per CoinDesk, il mio articolo fondativo che discute la storia dell'identità digitale e stabilisce i principi per la creazione di un nuovo tipo di identità, basato sul controllo individuale e sui diritti Human . È stato scritto per affrontare un problema che stava crescendo di anno in anno: Facebook stava controllando sempre di più il nostro accesso al mondo online e Google stava sempre più correlando tutte le informazioni su di noi. Nel frattempo, la crisi dei rifugiati in Europa stava evidenziando il problema che1,1 miliardi di persone nel mondo vivevano senza alcuna identità digitale, negando loro un accesso cruciale ai sistemi finanziari, politici e sociali.

Christopher Allen è direttore esecutivo e architetto principale diBlockchain beni comuniuna società di utilità sociale “senza scopo di lucro” impegnata a promuovere infrastrutture aperte.

Come potevamo far quadrare il cerchio, ampliando l'accesso all'identità digitale, assicurandoci che fosse qualcosa che era controllato da noi, non da enormi megacorporazioni? La mia risposta è stataidentità auto-sovrana.

Il mio articolo è stato scritto in gran parte dalle spalle dei giganti.La rete di fiducia di PGPè stata ONE delle prime architetture a mostrare un modo diverso, in cui l'identità poteva essere supportata dai pari piuttosto che dalle autorità centralizzate.Laboratorio di Identità su Internet (IIW)aveva già realizzato un decennio di progettazione lodata di identità incentrata sull'utente, incluso il lavoro conID apertoe altri standard emergenti. Devon Loffreto è stato ONE dei primi a parlare di “autorità di fonte sovrana” inProgetto VRMSono felice di aver contribuito a quel filone di progettazione e sono stato felicissimo di vedere crescere il supporto per i miei approcci di identità auto-sovrana negli ultimi cinque anni.

Penso che i principi fossero l'elemento più importante del mio articolo originale. Erano intesi come una bozza che pensavo avrebbe avuto bisogno di più input da parte della comunità e si sarebbe evoluta nel tempo, ma invece hanno trovato eco immediatamente. Sono stato in grado di parlarne con legislatori e funzionari pubblici a Taiwan, Olanda e Wyoming; parlano a tutte quelle persone della necessità di dignità Human e controllo dell'identità su Internet. I 10 principi dell'identità auto-sovrana sono diventati parte della nostra conversazione.

C'è stata un BIT ' più di resistenza sul nome di identità auto-sovrana. C'è sempre stata la preoccupazione che potesse essere confusa intellettualmente con lamovimento cittadino sovranonegli Stati Uniti, con cui non ha alcuna relazione, ma c'era anche preoccupazione che avrebbe causato disagio ai governi. Personalmente, ho messo da parte quest'ultima preoccupazione a maggio 2016 quando ho partecipato al Summit ID2020 alle Nazioni Unite e ho sentito ambasciatori e leader globali perfettamente disposti a usare il nuovo termine.

Oggi, il linguaggio dell'autosovranità si è diffuso ben oltre i suoi inizi come un tipo di identità per gli utenti di molti tipi di asset digitali, come la Criptovaluta. I detentori di asset digitali ne parlano come di qualcosa che dà loro l'autonomia di prendere le proprie decisioni su quegli asset, senza alcuna interferenza da parte di terze parti o altri gatekeeper. Quindi, anche se c'è ancora qualche dubbio sulla nomenclatura "autosovrana" nell'ecosistema dell'identità digitale, sembra essere sempre più accettata dalla comunità degli asset digitali.

Penso che Google possa effettivamente indicare al meglio il successo del termine: ricordo che nel 2016, alle persone interessate al mio articolo è stato detto di cercare semplicemente "self-sovereign" e avrebbero potuto trovarlo in cima ai risultati, ma ora è qualche pagina indietro nelle ricerche! Ciò riflette i progressi nel campo: i risultati di ricerca sono ora pieni di articoli che discutono di identità self-sovereign e di aziende che offrono soluzioni.

Continua a leggere: Christopher Allen: Il percorso verso l'identità auto-sovrana (2016)

Penso che questi siano i due successi più cruciali da celebrare in questo quinto anniversario: che siamo tutti riconosciuti come persone su Internet, meritevoli di dignità e titolari di diritti Human e che l'idea di auto-sovranità è diventata parte del vocabolario. Ciò testimonia un cambiamento nella nostra visione della persona nel XXI secolo che ritengo cruciale. Ma, naturalmente, questo è stato sostenuto anche da una quantità sbalorditiva di innovazione tecnologica negli ultimi cinque anni.

Sono orgoglioso del fatto che gran parte di quel movimento iniziale sia avvenuto attraverso il lavoro su due tecnologie cruciali, gli identificatori decentralizzati (DID) e le credenziali verificabili (VC), pressoWorkshop sul riavvio del Web of Trust (RWOT)che ospito. Il lavoro è stato svolto da una vasta gamma di esperti, a partire da Drummond Reed, Les Chasen e Manu Sporny. Cinque anni dopo, i VC sono un gruppo completoRaccomandazione al W3Ccome standard internazionale ufficiale, e i DID sono unRaccomandazione del candidato al W3Ce quindi quasi lì. Questo è il cuore dell'architettura dell'identità auto-sovrana: un identificatore e la capacità di avanzare rivendicazioni.

Che aspetto ha un DID? Un DID è un identificatore digitale come did:example:123 che rappresenta te (o in realtà, qualsiasi entità) in un certo contesto. In un certo senso, è come un numero di previdenza sociale o un numero di patente di guida, tranne per il fatto che è controllato da te e non è identificativo. Un LINK a un documento DID può fornire informazioni di autenticazione e riferimenti a credenziali verificabili. Ciò ti consente di fare affermazioni senza dover prima rivelare un'identità reale.

Come funziona un DID? Un utente può usare un Secret (solitamente un numero elevato) per dimostrare di possedere un DID e quindi le affermazioni fatte per quel DID tramite Credenziali Verificabili. Queste Credenziali Verificabili potrebbero dare loro privilegi elettronici, come l'accesso a un sito web, oppure potrebbero fornire dettagli del mondo reale, come data di nascita, titoli di studio universitari o storia lavorativa. Altre entità possono convalidare le affermazioni firmandole. Il punto essenziale è che l'identificatore è separato dalle affermazioni su quell'identificatore e quindi offre una migliore sicurezza e Privacy.

In che modo i DID soddisfano i requisiti dell'identità auto-sovrana? I DID affrontano molti dei principi dell'identità auto-sovrana, ma in particolare controllo, accesso e portabilità. Un utente ha autorità personale sulla propria identità e, di fatto, può creare identità multiple e contestuali per evitare correlazioni; un utente conosce tutti i dati associati al DID; e un utente può utilizzare il DID in contesti diversi come ritiene opportuno. Questo è un grande cambiamento rispetto a qualcosa come Facebook Connect, dove una terza parte potrebbe improvvisamente e arbitrariamente rimuovere l'accesso di un utente a una varietà di siti Web. I DID basati sull'intero set di principi di identità auto-sovrana possono andare ben oltre, consentendo a un utente una comprensione totale dell'identità che sta FORTH e delle informazioni che fornisce ad altre persone.

Ora ci sono un certo numero di aziende che promuovono queste idee: l'identità auto-sovrana sta diventando un'industria di grandi dimensioni. Ce ne sono così tante che il modo migliore per parlarne è semplicemente attraverso una panoramica delle comunità più grandi. Una varietà di aziende si sta allineando strettamente alle specifiche W3C, inclusi i membri delW3C-CCG (gruppo della comunità delle credenziali)come Digital Bazaar, che ha costantemente supportato il lavoro di Rebooting the Web of Trust; ilFondazione per l'identità decentralizzatasta anche lavorando alla creazione di un ecosistema di identità decentralizzato, con la leadership di Microsoft e Consensys; e la Linux Foundation sta lavorando suHyperledger Italiacon aziende come International Business Machines ed Evernym. Non è solo un grande ecosistema, ma ONE sano, con un certo numero di voci diverse, ognuna delle quali suggerisce diverse vie da seguire e con molte nuove voci emergenti.

Badate bene, penso che ci sia ancora margine di miglioramento.

Continua a leggere: Jeff Wilser: L'identità auto-sovrana spiegata

Ho sempre pensato che fosse prematuro legare troppo strettamente i DID a una metodologia, specialmente a un approccio specifico al registro. Ciò è diventato un punto di contesa poiché le tecnologie del registro basate su blockchain come Bitcoin ed Ethereum sono state criticate per i loro costi di transazione, l'uso di energia e la volatilità finanziaria. Fortunatamente, si sta già lavorando per affrontare questo problema, tramite una rubrica per valutare la decentralizzazione dei metodi DID <a href="https://github.com/WebOfTrustInfo/rwot9-prague/blob/master/final-documents/decentralization-rubric.pd">https://github.com/WebOfTrustInfo/rwot9-prague/blob/master/final-documents/decentralization-rubric.pd</a> .

Sono anche un po' turbato nel vedere così tanta attenzione rivolta all'identità auto-sovrana legalmente abilitata (LESS), e non abbastanza per dare fiducia all'identità minimizzata, come ho detto inuna chiacchierataappena prima della pandemia. LESS Identity è focalizzato su ambienti ad alta affidabilità con verifica dell'identità nel mondo reale ed è posizionato per l'accettazione governativa; mentre Trust Minimized Identity è focalizzato sulla difesa dei diritti Human contro attori potenti, e quindi ha requisiti aggiuntivi per l'anonimato ed è più probabile che sia costruito attorno all'autenticazione peer-to-peer.

È abbastanza comprensibile che LESS Identity abbia ricevuto la massima attenzione perché è ciò di cui le aziende hanno più probabilità di aver bisogno e soddisfa comunque i principi fondamentali di autosovranità, come consentire il controllo dell'utente e consentire una Dichiarazione informativa minima. Ma Trust Minimized Identity era ONE delle nostre principali preoccupazioni quando abbiamo iniziato a parlare di identità autosovrana: sostenere i diritti Human dei rifugiati, indipendentemente da dove si trovino nel mondo, è stato ONE dei nostri primi e più importanti casi d'uso e LESS Identity T ci porterà lì.

In altre parole, c'è ancora bisogno di Trust Minimized Identity, e dobbiamo assicurarci di T escluderla come opzione mentre procediamo sui sistemi LESS Identity. Stiamo facendo un BIT' di lavoro trust-minimized aBlockchain beni comunicon il nostrodid:metodo della cipolla, ma abbiamo avuto gli stessi problemi nel dargli la priorità che hanno tutti: i soldi sono disponibili per gli approcci LESS Identity supportati dai governi nazionali progressisti, ma non necessariamente per soluzioni che riducono al minimo la fiducia necessarie altrove.

Infine, dovremmo ricordare che, sebbene DID e VC possano essere un requisito architettonico fondamentale per supportare molti dei principi dell'identità auto-sovrana, non sono di per sé sufficienti. La Tecnologie può semplificare la gestione morale dell'identità elettronica, ma per garantire tale fondamento di principio, dobbiamo costruire la Privacy e la garanzia dei diritti Human su di essa, utilizzando tecnologie crittografiche come l'accecamento, la Dichiarazione informativa selettiva, la resistenza alla de-anonimizzazione e le prove a conoscenza zero.

Ciò sta diventando particolarmente importante oggi, quando vediamo DID e VC essere considerati come base delle credenziali vaccinali (alias "Immunity Passports"). L'uso delle sole tecnologie DID e VCnon lo fagarantire che le credenziali vaccinali soddisfino i principi di identità auto-sovrana; è necessario un attento esame per bilanciare le esigenze della salute pubblica con i rischi che tali credenziali vengano utilizzate per altri scopi non intenzionali.

Mi sono interessato al campo dell'identità in gran parte perché credo che l'identità possa essere un'arma a doppio taglio, utilizzabile sia per scopi benefici che malefici. Per rimanere utile ai suoi partecipanti, un sistema di identità deve bilanciare trasparenza, correttezza e supporto del bene comune con la protezione dell'individuo. Anche con l'uso di DID e VC, dobbiamo rimanere vigili.

Nonostante questi scrupoli, sono emozionato da quanto l'identità auto-sovrana sia progredita in cinque anni. Sono emozionato di aver sostenuto il termine e di aver suggerito alcuni principi e che questi abbiano trovato accettazione nelle nostre comunità. Sono emozionato di aver lavorato con persone diRiavviare il Web della Fiducia, da IIW, da Il W3C, da Differenza, da Hyperledger Italiae da un numero qualsiasi di aziende per trasformare queste idee fondamentali in un settore reale, e sono entusiasta di vedere cosa succederà dopo!