I passaporti di immunità basati su blockchain T risolvono i CORE problemi Privacy : rapporto

Gli standard di identità digitale decentralizzati esistenti sono vulnerabili alla compromissione e non hanno la Privacy al CORE: questo è l'argomento centrale posto da un nuovo documentopresentato da Harry Halpin, professore ospite presso l'università di ricerca KU Leuven, alla Security Standardization Research Conference (SSR20) ospitata da Mozilla.

Le proposte per passaporti vaccinali o di immunità, che collegherebbero i movimenti di una persona al suo stato di immunità al COVID-19, sono riemerse con promettenti notizie sui vaccini. L'International Air Transport Association (IATA)annunciatoè "nella fase di sviluppo finale" di un'app per passaporto digitale che riceverebbe e verificherebbe se qualcuno ha ricevuto un vaccino COVID-19. L'app presumibilmenteutilizzare la Tecnologie blockchainper autenticare i dati senza archiviarli in modo centralizzato. Nel frattempo, l'Organizzazione Mondiale della Sanità èesaminando possibili "certificati di vaccinazione elettronica"per viaggiare.

"I sistemi di identità basati su identificatori univoci a livello globale sono per loro natura contrari Privacy e inserirli in una blockchain non cambia questa dicotomia fondamentale", ha affermato Halpin, autore del documento "Vision: A Critique of Immunity Passports and W3C Decentralized Identifiers" e CEO di NYM, una startup Privacy che sta sviluppando un mixnet.

"In effetti, inserire questi dati in una blockchain tende a peggiorare i problemi Privacy e non è chiaro se eludere le prove a conoscenza zero cambi davvero la situazione".

Passaporti vaccinali o di immunità

L'idea dei passaporti di immunità è in circolazione da mesi. L'idea è che se qualcuno ha il COVID-19, sarebbe immune per un periodo di tempo e potrebbe avere il suo stato verificato digitalmente. Le preoccupazioni con tali proposte sono numerose, tra cui i modi in cui tali informazioni sensibili vengono archiviate, come vengono verificate e come limitano o hanno un impatto sui diritti delle persone.

Paesi come il Cile e El Salvador hanno, infatti, perseguito tali misure. I pass del Cile, ad esempio, esentano daquarantenacoloro che sono guariti dal COVID-19 o sono risultati positivi alla presenza di anticorpi, consentendo loro di tornare al lavoro, secondoil Washington PostI residenti in Cile possono richiedere questi passaporti se T hanno mostrato sintomi della malattia e sono disposti a sottoporsi al test.

L'Alleanza ID2020, una partnership pubblico-privata con partner tra cui Microsoft, Accenture e Hyperledger, ha giàiniziato a certificare alcune proposte ID come un "buon ID" da offrire ai governi. Una certificazione significa che la Tecnologie è conforme a 41 requisiti tecniciproposto da ID2020.

Continua a leggere: Spiegazione dei pass di immunità: dovremmo preoccuparci della Privacy?

IL Iniziativa per le credenziali COVID-19 (CCI) è un altro gruppo composto da oltre 300 persone provenienti da 100 organizzazioni che cercano di "implementare e/o aiutare a implementare progetti di credenziali verificabili che preservano la privacy al fine di mitigare la diffusione del COVID-19 e rafforzare le nostre società ed economie". Il progetto LOOKS casi in cui le credenziali verificabili (VC), l'equivalente digitale di una patente di guida, potrebbero essere utilizzate per affrontare la crisi della salute pubblica. In sostanza, le VC mostrano la quantità minima di informazioni di cui un'entità potrebbe aver bisogno per consentire loro, ad esempio, l'accesso a uno spazio di lavoro durante una pandemia, limitando al contempo quali altri tipi di informazioni vengono condivise.

I vaccini presentano sia una nuova opportunità che nuove domande sulla Privacy dei dati e sulla sensibilità quando si tratta di qualsiasi forma di lasciapassare. Ma come nota Halpin nel documento, "i più importanti schemi di passaporto di immunità hanno coinvolto una serie di standard poco noti, come i Decentralized Identifiers (DID) e i Verifiable Credentials (VC) del World Wide Web Consortium (W3C)".

Halpin sostiene che le credenziali di immunità “sono potenzialmente pericolose poiché i titolari di credenziali di immunità potrebbero trasformarsi in un’“élite di immunità” con una maggiore stratificazione sociale rispetto a coloro che non hanno certificati, violando le leggi vigenti in materia di discriminazione in molti paesi”.

Ad esempio, non è difficile immaginare che le popolazioni ricche siano le prime ad avere accesso ai vaccini appena approvati, a ricevere passaporti o certificati di immunità e quindi ad avere accesso ai viaggi, al lavoro e ad altri benefici che ne deriverebbero.

Identificatori decentralizzati, credenziali verificabili e W3C

Il World Wide Web Consortium (W3C), un organismo di standardizzazione guidato dai membri, ha definito gli standard per DID e VC, su cui si basano molte di queste proposte di tutela della privacy. L'organismo è noto anche per standard quali le prime versioni di HTML. Halpin sostiene che questi standard sono imperfetti in quanto affermano di preservare la Privacy.

In genere, un'identità digitale è vista come un identificatore univoco collegato a un set di variabili, come il nome di una persona, la cittadinanza o, in questo caso, lo stato di immunità. Un obiettivo di molte aziende nello spazio blockchain è la creazione di un'“identità auto-sovrana”, che dia alle persone la possibilità di controllare il modo in cui i loro identificatori possono essere accessibili da altri, senza rinunciare alla propria identità o alle proprie informazioni personali, anziché affidarsi a un governo o a un'azienda centralizzati.

Continua a leggere: Dall’Australia alla Norvegia, il tracciamento dei contatti fa fatica a soddisfare le aspettative

Pensalo un BIT ' come un Bitcoinindirizzo del portafoglio, che consente a un utente di pagarti senza dover mai sapere il tuo nome, ad esempio. Confronta questa transazione con l'invio di denaro al conto bancario di qualcuno: la banca deve sapere sia chi sei sia la persona a cui stai inviando denaro.

Una parte CORE della risoluzione di questo problema è stata che sembrava fosse necessario un database centrale per risolvere o verificare questi identificatori univoci. La Tecnologie blockchain apparentemente ha risolto questa necessità consentendo che le informazioni fossero archiviate in modo decentralizzato e ha stimolato una rinascita di interesse, insieme al W3C per FORTH standard per questa idea.

VC e DID: in gran parte sull'integrazione dei dati

Al CORE della critica di Halpin ai VC c'è il fatto che sono fatti per l'integrazione dei dati piuttosto che per la Privacy. Gli standard possono essere basati sul Web semantico (un'estensione di Internet basata sugli standard stabiliti dal W3C), con l'obiettivo di rendere i dati leggibili dalle macchine.

I dettagli dell'argomento sono piuttosto tecnici, ma toccano un paio di punti chiave. ONE è che i VC W3C sono fondamentalmente solo documenti digitali firmati. Utilizzano una serializzazione, o il processo tramite cui codice e dati vengono convertiti in un formato in cui possono essere trasmessi, il cui unico caso d'uso è la fusione dei dati. La fusione dei dati è il processo di integrazione dei dati da più fonti.

In altre parole, a livello tecnico, il modello di dati standard T è costruito con la Privacy al CORE. Invece, è un componente aggiuntivo opzionale.

"Il Web semantico è utile per la fusione di dati tra database, il che è utile per i dati pubblici aperti", ha affermato Halpin. "Quando si combina il Web semantico con dati personali e identificatori univoci globali come i DID, potrebbe essere plausibilmente utilizzato in casi d'uso come il tracciamento degli immigrati da parte del Dipartimento della sicurezza interna [degli Stati Uniti]. Onestamente T riesco a vedere alcun motivo per cui i risultati dei test del coronavirus dovrebbero essere allegati a un DID, e l'unica risposta che sembra plausibile è la pericolosa fusione di dati con altri dati sensibili da parte dei governi".

Continua a leggere: Il "passaporto dell'immunità" COVID-19 unisce 60 aziende nel progetto ID auto-sovrana

Il DHS haaggiudicato un contratto A Bazar digitaleper lavorare sugli standard di identità digitale del W3C.

Halpin scrive che questo modello basato sull'integrazione dei dati può essere sfruttato da attacchi di esclusione e sostituzione della firma. In un attacco di questo tipo, un malintenzionato rimuove la firma di un messaggio firmato o di un documento digitale e la sostituisce con un'altra firma, ingannando così un verificatore affinché accetti il messaggio non valido come valido.

Ciò significa che i VC potrebbero essere ingannati nel dimostrare di essere stati verificati quando non lo sono. Nel caso di un passaporto o certificato di immunità, ciò significa che qualcuno potrebbe far verificare tale documento come accurato quando potrebbe essere errato o addirittura completamente inventato.

Crescente dissenso

Elizabeth Renieris è un avvocato Privacy dei dati e Tecnologie & Human Rights Fellow presso il Carr Center for Human Rights Politiche presso la Harvard Kennedy School di Cambridge, Massachusetts. In precedenza, coautore di un articolosulle preoccupazioni etiche, sociali e tecniche relative ai passaporti di immunità COVID-19 erassegnatodal comitato consultivo tecnico di ID2020 in merito alle preoccupazioni circa la direzione dell'organizzazione.

Secondo Renieris, il problema più grande con le specifiche DID è che sono solo un formato dati, qualcosa che è poco compreso dalla comunità e dalle aziende a scopo di lucro che promuovono questa narrazione.

"Non incorpora alcun protocollo di sicurezza o controllo di accesso e non c'è modo di provare che il detentore di una credenziale sia anche solo il soggetto di quella credenziale", ha affermato in un'e-mail. "Questo apre la porta a frodi massicce".

Halpin sostiene che i DID sono anche, per natura, contraddittori alla Privacy. Al centro delle argomentazioni sulla Privacy c'è il modo in cui LINK ONE a un'azione. Se l'obiettivo di un avversario è identificarti, allora assegnarti un identificatore univoco globale che viene riutilizzato rende molto più facile scoprire la tua identità.

Continua a leggere: " ID decentralizzata a tutti i costi": il consulente abbandona ID2020 per la fissazione con la blockchain

"Se T utilizzi un 'Globally Unique Identifier' (GUID), puoi comunque connetterti alle tue azioni online, è solo che un GUID semplifica le cose", ha affermato Halpin in un messaggio. "Un cookie in un browser come Google è un identificatore univoco che Google ti assegna per LINK le tue azioni tra le pagine web. Con i DID, hai appena dato un cookie che qualsiasi azienda può utilizzare. Va bene per alcuni casi d'uso, ma probabilmente non per dati medici sensibili".

La blockchain T risolve questo problema

Secondo Renieris, anche le argomentazioni a favore della decentralizzazione e dei vantaggi della blockchain cominciano a vacillare quando si considerano i registri autorizzati e i server centralizzati coinvolti.

Il fascino della Tecnologie blockchain risiede nella sua natura decentralizzata, nell'immutabilità e negli hash pseudonimi.

Ma nei casi di utilizzo pratico, sostiene Halpin, T corregge i difetti degli standard DID e VC sottostanti. Invece, introduce ulteriori complessità e vulnerabilità.

Ad esempio, un documento pubblicato nel giugno 2020 ha esposto una proposta concreta per i passaporti di immunità, intitolata"Test degli anticorpi COVID-19/Certificazione vaccinale: esiste un'app per questo." Descrive un registro distribuito chiamato OpenEthereum, un fork di Ethereum della Open University e gestito da un consorzio.

"A differenza di Ethereum ma simile ad altre catene basate su DID come Sovrin, si basa sulla "prova di autorità" (vale a dire, una blockchain autorizzata in cui qualsiasi validatore o quorum di validatori può scrivere sulla catena, ma non altri attori come gli utenti)", scrive Halpin.

Gli utenti dell'app proposta potrebbero scegliere dove archiviare i propri dati, presumibilmente revocare i propri dati ed eliminarli se lo desiderano e archiviare le informazioni personali in un hash.

Halpin espone una serie di modi in cui queste affermazioni lasciano molto a desiderare. Lasciare che le persone scelgano dove archiviare i propri dati significa che potrebbero metterli su dispositivi non sicuri come gli smartphone. Non c'è alcuna garanzia che i dati T vengano copiati da altri sistemi. E, infine, la struttura dei dati del sistema crea problemi di scalabilità, secondo Halpin.

"La proposta più concreta di passaporto di immunità mette pericolosamente l'hash dei dati personali sulla blockchain. Anche l'uso della Tecnologie blockchain specificando la risoluzione di una mappatura on-chain di un identificatore a una chiave in sistemi come Sovrin finisce per essere un reindirizzamento a server centralizzati, minando una rivendicazione della blockchain che promuove la decentralizzazione", ha scritto Halpin.

"Poiché l'uso della Tecnologie blockchain non sembra necessario per gli obiettivi dei passaporti di immunità e probabilmente ostacola piuttosto che aiutare la Privacy, i passaporti di immunità (e più in generale sia i DID che i VC del W3C) utilizzano la blockchain per il bene della blockchain".

La Privacy deve essere al CORE di tali sistemi e non un elemento opzionale e secondario, ha affermato.