Самосуверенна ідентичність, 5 років потому

Сьогодні було п’ять років тому, коли я написав Шлях до самостійної суверенної ідентичності для CoinDesk, моєї фундаментальної статті, яка обговорює історію цифрової ідентичності та викладає принципи створення нового типу ідентичності, заснованого на індивідуальному контролі та правах Human . Він був написаний, щоб вирішити проблему, яка зростала з кожним роком: Facebook все більше контролював наш доступ до онлайн-світу, а Google все більше співставляв всю інформацію про нас. Тим часом криза біженців у Європі підкреслила цю проблему1,1 мільярда людей у ​​світі взагалі жили без цифрової ідентичності, позбавляючи їх важливого доступу до фінансових, політичних і соціальних систем.

Крістофер Аллен є виконавчим директором і головним архітектором Blockchain Commons «некомерційна» соціальна корпорація, що займається відкритою інфраструктурою.

Як ми могли б розширити доступ до цифрової ідентичності, переконавшись, що це щось, що контролюється нами, а не величезними мегакорпусами? Моя відповідь була самосуверенна ідентичність.

Моя стаття була дуже багато написана з плечей гігантів. Мережа довіри PGPбула ONE з перших архітектур, яка продемонструвала інший шлях, де ідентичність могла підтримуватися колегами, а не централізованими органами влади. TheСемінар з Інтернет-ідентичності (IIW) вже протягом десятиліття займався розробкою орієнтованої на користувача ідентифікації, включаючи роботу з OpenIDта інші нові стандарти. Девон Лоффрето був ONE із перших, хто заговорив про «суверенний авторитет джерела».Проект VRM. Я щасливий, що зробив внесок у цей потік дизайну, і я був у захваті від того, що протягом останніх п’яти років зростає підтримка моїх власних підходів до самосуверенної ідентичності.

Мені здається, що принципи були найважливішим елементом моєї оригінальної статті. Вони були задумані як чернетка, яка, на мою думку, потребуватиме додаткового внеску спільноти та буде розвиватися з часом, але натомість вони негайно викликали резонанс. Мені вдалося поговорити про них із законодавцями та державними службовцями Тайваню, Голландії та Вайомінгу; вони говорять усім цим людям про необхідність дотримання Human гідності та контролю над ідентичністю в Інтернеті. 10 принципів самосуверенної ідентичності стали частиною нашої розмови.

Було BIT більше опору щодо назви самосуверенної ідентичності. Завжди було занепокоєння, що це буде інтелектуально сплутано зсуверенний громадянський рух у Сполучених Штатах, до яких він не має нульового відношення, але також було занепокоєння, чи не викличе це занепокоєння в урядів. Особисто я відкинув останнє занепокоєння в травні 2016 року, коли відвідав саміт ID2020 в Організації Об’єднаних Націй і почув, як глобальні посли та лідери цілком готові використовувати новий термін.

Сьогодні мова самосуверенітету поширилася далеко за межі свого початку як типу ідентичності для користувачів багатьох видів цифрових активів, таких як Криптовалюта. Власники цифрових активів говорять про це як про щось, що дає їм автономію для прийняття власних рішень щодо цих активів, без будь-якого втручання третіх сторін чи інших привратників. Таким чином, навіть якщо все ще є певні сумніви щодо «самосуверенної» номенклатури в екосистемі цифрової ідентифікації, здається, вона все більше приймається спільнотою цифрових активів.

Я думаю, що Google може найкраще вказати на успіх цього терміну: я пам’ятаю, як у 2016 році людям, які зацікавилися моєю статтею, сказали просто шукати «self-sovereign», і вони могли знайти його у верхній частині результатів, але зараз він повернувся на кілька сторінок назад у результатах пошуку! Це свідчить про прогрес у цій галузі: результати пошуку тепер повні статей, що обговорюють самосуверенну ідентичність, і компаній, що пропонують рішення.

Читайте також: Крістофер Аллен: Шлях до самостійної суверенної ідентичності (2016)

Я вважаю, що це два найважливіші успіхи, які слід відзначити в цю п’яту річницю: те, що ми всі визнані людьми в Інтернеті, які заслуговують на гідність і права Human , і те, що ідея самосуверенітету стала частиною словника. Це говорить про зміни в нашому погляді на особистість у 21 столітті, які, на мою думку, є вирішальними. Але, звичайно, це також було підкріплено вражаючою кількістю технологічних інновацій протягом останніх п’яти років.

Я пишаюся тим, що значна частина цього початкового руху відбулася завдяки роботі над двома ключовими технологіями, децентралізованими ідентифікаторами (DID) і верифікованими обліковими даними (VC) у Семінари з перезавантаження Web of Trust (RWOT). що я хост. Робота була виконана величезною групою експертів, на чолі з Драммондом Рідом, Лесом Чейзеном і Ману Спорні. Через п'ять років венчурних капіталів повно Рекомендація на W3C як офіційний міжнародний стандарт, а DID є a Рекомендація кандидата на W3C і таким чином майже там. Це серце архітектури самосуверенної ідентичності: ідентифікатор і можливість висувати претензії.

Як виглядає DID? DID — це цифровий ідентифікатор, наприклад did:example:123, який представляє вас (або насправді будь-яку сутність) у певному контексті. У певному сенсі це схоже на номер соціального страхування або номер водійського посвідчення, за винятком того, що ним керуєте ви і він не ідентифікує особу. LINK на документ DID може надати інформацію про автентифікацію та посилання на перевірені облікові дані. Це дає вам змогу робити претензії, не змушуючи вас спочатку розкривати справжню особу.

Як працює DID? Користувач може використовувати Secret (зазвичай велике число), щоб довести, що він володіє DID і, таким чином, претензії, зроблені щодо цього DID за допомогою перевірених облікових даних. Ці облікові дані, які можна перевірити, можуть надати їм електронні привілеї, як-от доступ до веб-сайту, або вони можуть надати реальні дані, як-от дата народження, диплом про вищу освіту чи історія роботи. Інші особи можуть підтверджувати претензії, підписуючи їх. Суттєвим моментом є те, що ідентифікатор відокремлений від претензій щодо цього ідентифікатора, а отже забезпечує кращу безпеку та Політика конфіденційності.

Як DID відповідають вимогам самосуверенної ідентичності? DID стосуються багатьох принципів самосуверенної ідентичності, але особливо контролю, доступу та переносимості. Користувач має особисті повноваження щодо своєї ідентичності, і фактично може створити кілька контекстних ідентифікацій, щоб уникнути кореляції; користувач знає всі дані, пов'язані з DID; і користувач може використовувати DID у різних контекстах, як вважає за потрібне. Це велика зміна в порівнянні з чимось на зразок Facebook Connect, де третя сторона може раптово й довільно позбавити користувача доступу до різноманітних веб-сайтів. DID, побудовані на повному наборі принципів самосуверенної ідентичності, можуть виходити далеко за межі цього, дозволяючи користувачеві повністю зрозуміти ідентичність, яку вони FORTH , і яку інформацію вона надає іншим людям.

Зараз існує безліч компаній, які просувають ці ідеї: самосуверенна ідентичність стає великою індустрією. Їх так багато, що найкращий спосіб поговорити про них – просто переглянути найбільші спільноти. Різноманітні компанії тісно дотримуються специфікацій W3C, включаючи членів W3C-CCG (Credential Community Group) такі як Digital Bazaar, який наполегливо підтримує роботу Rebooting the Web of Trust; в Фонд децентралізованої ідентичності також працює над створенням децентралізованої екосистеми ідентифікації під керівництвом Microsoft і Consensys; і Linux Foundation працює над цим Гіперледжер Індіз такими компаніями, як International Business Machines і Evernym. Це не просто велика екосистема, а й здорова ONE з низкою різних голосів, кожен з яких пропонує різні шляхи розвитку, і з’являється багато нових голосів.

Майте на увазі, я думаю, що ще є куди вдосконалюватися.

Читайте також: Джефф Вілзер: пояснення самосуверенної ідентичності

Я завжди вважав, що передчасно прив’язувати DID до методології, особливо до конкретного підходу до бухгалтерської книги. Це стало предметом розбіжностей, оскільки технології бухгалтерської книги, засновані на блокчейні, такі як Bitcoin і Ethereum, критикували за їх транзакційні витрати, споживання енергії та фінансову волатильність. На щастя, вже ведеться робота з вирішення цієї проблеми за допомогою рубрики для оцінки децентралізації методів DID <a href="https://github.com/WebOfTrustInfo/rwot9-prague/blob/master/final-documents/decentralization-rubric.pd">https://github.com/WebOfTrustInfo/rwot9-prague/blob/master/final-documents/decentralization-rubric.pd</a> .

Я також трохи збентежений тим, що стільки уваги приділяється легально дозволеній самосуверенній (МЕНШ) ідентичності, і майже не достатньо, щоб довіряти мінімізованій ідентичності, як я сказав у розмоваякраз перед пандемією. LESS Identity зосереджена на середовищах з високим рівнем довіри з підтвердженням особи в реальному світі та позиціонується для схвалення уряду; тоді як Trust Minimized Identity зосереджено на захисті прав Human від впливових акторів, тому має додаткові вимоги до анонімності та, швидше за все, буде побудовано на одноранговій автентифікації.

Певною мірою зрозуміло, що LESS Identity привернув найбільше уваги, тому що це те, що швидше за все буде потрібно компаніям, і воно все ще задовольняє найважливіші принципи незалежності, такі як можливість контролю користувача та забезпечення мінімального Повідомлення. Але Trust Minimized Identity була ONE з наших головних проблем, коли ми вперше почали говорити про самостійну суверенну ідентичність: підтримка прав Human біженців, незалежно від того, де вони знаходяться, була ONE із наших перших і найважливіших випадків використання, і LESS Identity T приведе нас до цього.

Іншими словами, все ще існує потреба в Trust Minimized Identity, і ми повинні переконатися, що ми T заблокуємо його як опцію, коли просуваємось до систем LESS Identity. Ми виконуємо BIT мінімізовану довіру роботу вBlockchain Commons з нашими робив: цибулевий спосіб, але у нас були ті самі проблеми з визначенням пріоритетів, що й у всіх – гроші доступні для підходів LESS Identity, які підтримуються прогресивними національними урядами, але не обов’язково для рішень з мінімізованою довірою, необхідних деінде.

Нарешті, ми повинні пам’ятати, що хоча DID та VC можуть бути основоположними архітектурними вимогами для підтримки багатьох принципів самосуверенної ідентичності, вони самі по собі недостатні. Технології може морально полегшити керування електронною ідентифікацією, але для того, щоб забезпечити цю принципову основу, нам потрібно побудувати Політика конфіденційності і гарантію прав Human на її основі, використовуючи криптографічні технології, такі як засліплення, вибіркове Повідомлення, стійкість до деанонімізації та докази з нульовим знанням.

Це стає особливо важливим сьогодні, коли ми бачимо, як DID та VC розглядаються як основа облікових даних щодо вакцин (так званих «паспортів імунітету»). Використання лише технологій DID та VC не робить гарантувати, що повноваження щодо вакцини відповідають принципам самосуверенної ідентичності; необхідна ретельна перевірка, щоб збалансувати потреби громадського здоров’я та ризики використання цих облікових даних для інших непередбачених цілей.

Я залучився до сфери ідентичності значною мірою тому, що вірю, що ідентичність може бути двосічним мечем, який можна використовувати як для корисних, так і для шкідливих цілей. Щоб залишатися корисною для своїх учасників, система ідентифікації повинна балансувати між прозорістю, справедливістю та підтримкою загального блага із захистом особи. Навіть з використанням DID і VC ми повинні залишатися пильними.

Незважаючи на ці сумніви, я в захваті від того, наскільки далеко просунулася самосуверенна ідентичність за п’ять років. Я в захваті від того, що виступив за цей термін і запропонував деякі принципи, які знайшли визнання в наших спільнотах. Я в захваті від співпраці з людьми з Перезавантаження Web of Trust, від IIW, від W3C, від DIF, від Гіперледжер Інді, і від будь-якої кількості компаній для просування цих основоположних ідей у ​​справжню галузь, і я радий бачити, що буде далі!