Identidade auto-soberana, 5 anos depois

Hoje faz cinco anos que escreviO Caminho para a Identidade Auto-Soberana para CoinDesk, meu artigo fundamental discutindo a história da identidade digital e estabelecendo princípios para criar um novo tipo de identidade, com base no controle individual e nos direitos Human . Foi escrito para abordar um problema que estava crescendo ano a ano: o Facebook estava controlando cada vez mais nosso acesso ao mundo online, e o Google estava correlacionando cada vez mais todas as informações sobre nós. Enquanto isso, a crise dos refugiados na Europa estava destacando o problema que1,1 bilhão de pessoas no mundo viviam sem nenhuma identidade digital, negando-lhes acesso crucial aos sistemas financeiros, políticos e sociais.

Christopher Allen é Diretor Executivo e Arquiteto Principal daBlockchain Comumuma corporação de benefício social “sem fins lucrativos” comprometida com a infraestrutura aberta.

Como poderíamos quadrar o círculo, ampliando o acesso à identidade digital, ao mesmo tempo em que garantimos que era algo controlado por nós, não por grandes megacorporações? Minha resposta foi:identidade auto-soberana.

Meu artigo foi escrito em grande parte sobre os ombros de gigantes.Rede de confiança do PGPfoi uma das primeiras arquiteturas a mostrar um caminho diferente, onde a identidade poderia ser suportada por pares em vez de autoridades centralizadas.Oficina de Identidade na Internet (IIW)já havia feito uma década de design elogiado de identidade centrada no usuário, incluindo trabalho comIdentificação abertae outros padrões emergentes. Devon Loffreto foi um dos primeiros a falar sobre “autoridade de fonte soberana” emProjeto VRM. Estou feliz por ter contribuído para esse fluxo de design e fiquei exultante ao ver o apoio às minhas próprias abordagens de identidade autossuficiente crescer nos últimos cinco anos.

Sinto que os princípios foram o elemento mais importante do meu artigo original. Eles foram concebidos como um rascunho que eu pensei que precisaria de mais contribuição da comunidade e evoluiria ao longo do tempo, mas, em vez disso, eles ressoaram imediatamente. Consegui falar sobre eles com legisladores e funcionários públicos em Taiwan, Holanda e Wyoming; eles falam a todas essas pessoas sobre a necessidade de dignidade Human e controle de identidade na internet. Os 10 princípios da identidade autossoberana se tornaram parte da nossa conversa.

Houve um BIT mais de resistência sobre o nome de identidade autossuficiente. Sempre houve preocupação de que isso fosse intelectualmente confundido com omovimento cidadão soberanonos Estados Unidos, com os quais não tem relação alguma, mas também havia preocupação se causaria desconforto com os governos. Pessoalmente, deixei a última preocupação de lado em maio de 2016, quando participei da Cúpula ID2020 nas Nações Unidas e ouvi embaixadores e líderes globais perfeitamente dispostos a usar o novo termo.

Hoje, a linguagem da autossoberania se espalhou muito além de seus primórdios como um tipo de identidade para usuários de muitos tipos de ativos digitais, como Criptomoeda. Os detentores de ativos digitais falam disso como algo que lhes dá autonomia para tomar suas próprias decisões sobre esses ativos, sem nenhuma interferência de terceiros ou outros guardiões. Então, mesmo que ainda haja alguma dúvida sobre a nomenclatura “autossoberana” no ecossistema de identidade digital, ela parece ser cada vez mais aceita pela comunidade de ativos digitais.

Acho que o Google pode realmente apontar melhor para o sucesso do termo: lembro que em 2016, as pessoas interessadas no meu artigo foram instruídas a apenas pesquisar por “self-sovereign” e que poderiam encontrá-lo no topo dos resultados, mas agora está algumas páginas atrás nas pesquisas! Isso reflete o progresso no campo: os resultados da pesquisa agora estão cheios de artigos discutindo identidade self-sovereign e de empresas oferecendo soluções.

Leia Mais: Christopher Allen: O Caminho para a Identidade Autossoberana (2016)

Acho que esses são os dois sucessos mais cruciais para marcar neste quinto aniversário: que todos somos reconhecidos como pessoas na internet, merecedores de dignidade e detentores de direitos Human , e que a ideia de autossoberania se tornou parte do vocabulário. Isso fala de uma mudança em nossa visão de personalidade no século XXI que eu sinto ser crucial. Mas, é claro, isso foi apoiado por uma quantidade impressionante de inovação tecnológica durante os últimos cinco anos também.

Estou orgulhoso de que muito desse movimento inicial tenha surgido por meio do trabalho em duas tecnologias cruciais, Identificadores Descentralizados (DIDs) e Credenciais Verificáveis (VCs), noWorkshops de reinicialização do Web of Trust (RWOT)que eu hospedo. O trabalho foi feito por uma grande variedade de especialistas, começando com Drummond Reed, Les Chasen e Manu Sporny. Cinco anos depois, os VCs são um completoRecomendação no W3Ccomo um padrão internacional oficial, e os DIDs são umRecomendação de Candidato no W3C e assim quase lá. Esse é o coração da arquitetura de identidade autossoberana: um identificador e a capacidade de fazer reivindicações.

Como é um DID? Um DID é um identificador digital como did:example:123 que representa você (ou realmente, qualquer entidade) em algum contexto. Em certo sentido, é como um número de Seguro Social ou número de carteira de motorista, exceto que é controlado por você e não identificável. Um LINK para um documento DID pode fornecer informações de autenticação e referências a Credenciais Verificáveis. Isso permite que você faça reivindicações sem forçá-lo a revelar uma identidade do mundo real primeiro.

Como funciona um DID? Um usuário pode usar um Secret (geralmente um número grande) para provar que possui um DID e, portanto, as reivindicações feitas para esse DID por meio de Credenciais Verificáveis. Essas Credenciais Verificáveis ​​podem dar a eles privilégios eletrônicos, como acesso a um site, ou podem fornecer detalhes do mundo real, como data de nascimento, diplomas universitários ou histórico de trabalho. Outras entidades podem validar as reivindicações assinando-as. O ponto essencial é que o identificador é separado das reivindicações sobre esse identificador e, portanto, oferece melhor segurança e Política de Privacidade.

Como os DIDs atendem aos requisitos de identidade autossoberana? Os DIDs abordam muitos dos princípios da identidade autossoberana, mas particularmente controle, acesso e portabilidade. Um usuário tem autoridade pessoal sobre sua identidade e, de fato, pode criar múltiplas identidades contextuais para evitar correlação; um usuário conhece todos os dados associados ao DID; e um usuário pode usar o DID em diferentes contextos conforme achar adequado. Essa é uma grande mudança em relação a algo como o Facebook Connect, onde um terceiro pode remover repentina e arbitrariamente o acesso de um usuário a uma variedade de sites. Os DIDs construídos sobre o conjunto completo de princípios de identidade autossoberana podem ir muito além disso, permitindo ao usuário uma compreensão total da identidade que está FORTH e quais informações ela fornece a outras pessoas.

Agora, há inúmeras empresas promovendo essas ideias: a identidade autossuficiente está se tornando uma grande indústria. Há tantas que a melhor maneira de falar sobre elas é simplesmente por meio de uma visão geral das maiores comunidades. Uma variedade de empresas está se alinhando de perto com as especificações do W3C, incluindo membros doW3C-CCG (Grupo Comunitário de Credenciais)como o Digital Bazaar, que tem apoiado persistentemente o trabalho de Rebooting the Web of Trust;Fundação de Identidade Descentralizadatambém está trabalhando na criação de um ecossistema de identidade descentralizado, com a liderança da Microsoft e da Consensys; e a Linux Foundation está trabalhando emHyperledger Índiacom empresas como International Business Machines e Evernym. Não é apenas um grande ecossistema, mas um ONE saudável, com várias vozes diferentes, cada uma sugerindo diferentes caminhos a seguir e com muitas novas vozes surgindo.

Veja bem, acho que ainda há espaço para melhorias.

Leia Mais: Jeff Wilser: Identidade Auto-Soberana Explicada

Sempre pensei que era prematuro vincular DIDs muito firmemente a uma metodologia, especialmente a uma abordagem de livro-razão específica. Isso se tornou um ponto de discórdia, pois tecnologias de livro-razão baseadas em blockchain, como Bitcoin e Ethereum, foram criticadas por seus custos de transação, uso de energia e volatilidade financeira. Felizmente, já há trabalho sendo feito para resolver isso, por meio de uma rubrica para avaliar a descentralização de métodos DID <a href="https://github.com/WebOfTrustInfo/rwot9-prague/blob/master/final-documents/decentralization-rubric.pd">https://github.com/WebOfTrustInfo/rwot9-prague/blob/master/final-documents/decentralization-rubric.pd</a> .

Também estou um pouco incomodado ao ver tanta atenção dada à Identidade Autossoberana Legalmente Habilitada (LESS), e não o suficiente para Confiar na Identidade Minimizada, como eu disse emuma conversapouco antes da pandemia. LESS Identity é focado em ambientes de alta confiança com verificação de identidade no mundo real e está posicionado para aceitação governamental; enquanto Trust Minimized Identity é focado em defender direitos Human contra atores poderosos e, portanto, tem requisitos adicionais para anonimato e é mais provável que seja construído em torno de autenticação ponto a ponto.

É um tanto compreensível que LESS Identity tenha recebido mais atenção porque é o que as empresas provavelmente mais precisam, e ainda satisfaz princípios cruciais de autossuficiência, como habilitar o controle do usuário e permitir Aviso Importante mínima. Mas Trust Minimized Identity foi uma das nossas maiores preocupações quando começamos a falar sobre identidade autossuficiência: Apoiar os direitos Human dos refugiados, não importa onde eles estejam no mundo, foi um dos nossos primeiros e mais cruciais casos de uso, e LESS Identity T nos levará até lá.

Em outras palavras, ainda há uma necessidade de Trust Minimized Identity, e precisamos ter certeza de que T a bloqueamos como uma opção à medida que progredimos em sistemas LESS Identity. Estamos fazendo um BIT de trabalho de trust-minimized emBlockchain Comumcom nossodid:método cebola, mas tivemos a mesma dificuldade de priorizá-lo que todos têm – há dinheiro disponível para as abordagens de Identidade MENOS apoiadas por governos nacionais progressistas, mas não necessariamente para soluções de confiança minimizada necessárias em outros lugares.

Finalmente, devemos lembrar que, embora DIDs e VCs possam ser um requisito arquitetônico fundamental para dar suporte a muitos dos princípios da identidade autossoberana, eles não são suficientes por si só. A Tecnologia pode facilitar o gerenciamento moral da identidade eletrônica, mas, para garantir essa base de princípios, precisamos construir Política de Privacidade e a garantia de direitos Human sobre ela, usando tecnologias criptográficas como cegamento, Aviso Importante seletiva, resistência à desanonimização e provas de conhecimento zero.

Isso está se tornando particularmente importante hoje, quando vemos DIDs e VCs sendo considerados como a base das credenciais de vacinas (também conhecidas como “Passaportes de Imunidade”). O uso de tecnologias DID e VC sozinhonãogarantir que as credenciais de vacinação cumpram os princípios de identidade autossuficiente; é necessário um exame cuidadoso para equilibrar as necessidades de saúde pública com os riscos dessas credenciais serem usadas para outros fins não intencionais.

Eu me envolvi no campo da identidade em grande parte porque acredito que a identidade pode ser uma espada de dois gumes, utilizável tanto para propósitos benéficos quanto maléficos. Para permanecer benéfico para seus participantes, um sistema de identidade deve equilibrar transparência, justiça e apoio ao bem comum com proteção ao indivíduo. Mesmo com o uso de DIDs e VCs, devemos permanecer vigilantes.

Apesar dessas dúvidas, estou emocionado com o quão longe a identidade autossuficiente chegou em cinco anos. Estou emocionado por ter defendido o termo e por ter sugerido alguns princípios e que estes encontraram aceitação em nossas comunidades. Estou emocionado por ter trabalhado com pessoas deReiniciando a Web of Trust, de IIW, de W3C, de DIF, de Hyperledger Índia, e de várias empresas para levar essas ideias fundamentais para uma indústria real, e estou ansioso para ver o que vem a seguir!