Decentralizēta identitāte vai identifikators (DID) ir nekas cits kā shēma ar vairākiem atribūtiem, kas unikāli definē personu, objektu vai organizāciju. Parasto identitātes pārvaldības sistēmu pamatā ir centralizētas iestādes, piemēram, uzņēmumu direktoriju pakalpojumi vai sertifikātu iestādes. DID pilnībā kontrolē DID subjekts, neatkarīgi no jebkura centralizēta reģistra, identitātes nodrošinātāja vai sertifikātu iestādes.
Blokķēdes tehnoloģijas parādīšanās dod iespēju ieviest pilnībā decentralizētu identitātes pārvaldību (DIDM). Programmā DIDM visiem identitātes īpašniekiem ir kopīga uzticēšanās sakne globāli izplatītas virsgrāmatas veidā.
Katrs DID ieraksts tiek kriptogrāfiski nodrošināts ar privātām atslēgām, kuras kontrolē identitātes īpašnieks. Tiek uzskatīts, ka tā ir trūkstošā saite, lai no jauna definētu interneta drošības vērtības, jo tā var kļūt par interneta identitātes slāni. DID specifikāciju izveido World Wide Web Consortium (W3C).
DID priekšrocības
Markus Sabadello, DID spec līdzautors un uzņēmuma vadītājs Danube Tech, paskaidroja DID izmantošanas vispārīgās priekšrocības:
“DID ir svarīgs jauninājums, jo tie dod mums iespēju izveidot pastāvīgus, drošus un visā pasaulē atrisināmus digitālos identifikatorus, tomēr to izveidei nav nepieciešama centrālā iestāde vai starpnieks.”
DID kontrolē tikai tā vienība, uz kuru tie atsaucas, un tāpēc tie ir pamatelementi tam, ko parasti sauc "paš suverēna identitāte" vai "decentralizēta identitāte".
Iedomājieties, ka jums ir tālruņa numurs, kuru jums nav piešķīris jūsu mobilo sakaru operators, bet jūs to izvēlaties pats. Ikviens pasaulē joprojām var jums piezvanīt, un neviens nekad nevarēja jums atņemt šo tālruņa numuru – DID ir līdzīgi šai situācijai.
Tehniski DID ir derīgi vienotie resursu identifikatori (URI), tāpēc tie ir saderīgi ar daudzām vispārējas nozīmes tīmekļa tehnoloģijām. Tie neaprobežojas tikai ar vienas lietošanas gadījumu vai protokolu.
Vēl viens ieguvums ir tas, ka DID ir paredzēti darbam ar dažādām blokķēdēm un citām mērķa sistēmām, tādējādi nodrošinot savietojamību.
Kādi ir DID izmantošanas veidi?
DID var izmantot, lai identificētu jebkuru digitālo vai reālās dzīves resursu, piemēram, dokumentu, personu, uzņēmumu vai fizisku objektu. Parasti DID pats par sevi nepierāda tā īpašnieka unikalitāti vai neko citu. DID ir tikai identifikators. Jums var būt un daudzos gadījumos vajadzētu būt vairākiem DID dažādiem mērķiem, attiecībām un darījumiem.
Lai gan DID pats par sevi nesniedz daudz informācijas par īpašnieku, varat izmantot protokolus virs DID, lai pārbaudītu vairākas lietas. Lai vienkārši pierādītu, ka kontrolējat noteiktu DID, un lai to izmantotu (piemēram, lai pieteiktos vietnē), varat izmantot izaicinājuma / atbildes protokolu ar nosaukumu DID Auth. Tas pilda līdzīgu funkciju "decentralizēta identitāte" kā to dara OpenID Connect un citi "federālā identitāte".
Lai pierādītu sarežģītākus faktus par DID īpašnieku, piemēram, vecumu, derīgas autovadītāja apliecības vai dalību organizācijā, varat izmantot Pārbaudāmi akreditācijas dati, kuras standartizē W3C.
Pārbaudāmi akreditācijas dati ir prasības, kuras emitents ir apliecinājis par DID. Pēc tam DID īpašnieks tos var izmantot kā pierādījumu darījuma laikā. Pretenziju, kas var būt saistītas ar DID, apjomam un semantikai nav ierobežojumu; viņi var būt tikpat bagāti kā visas mūsu reālās dzīves cilvēciskās un organizatoriskās identitātes, kas veido mūsu sabiedrību.
DID struktūras piemērs
DID ir iespējami daudzi varianti. Pilnīgu specifikāciju failu var atrast vietnē W3C. Zemāk ir viens iespējamais veids, kā definēt DID. Šeit redzam vienkāršu DID definīciju ar izveides datumu, datumu, kurā dokuments pēdējo reizi tika atjaunināts, paraksta lauku (pēc izvēles) un “authorisationCapability”. Šajā pēdējā laukā ir objekti, kas attiecas uz citiem DID, kuriem ir īpaša atļauja pār šo DID. Piemēram, DID ar ID 215cb1dc-1f44-4695-a07f-97649cad9938 saņem atļauju atjaunināt šo DID.
Avots: W3C – https://w3c-ccg.github.io/did-spec/#requirements-of-did-method-specifications
“Paraksta” lauku bieži pārprot. The "paraksts" lauks tikai pierāda, ka DID dokuments nav sagrozīts un ka parakstītājs parakstīšanas laikā kontrolēja noteiktu privāto atslēgu. Tomēr paraksts nepierāda, ka parakstītājs ir faktiskais DID īpašnieks. Tātad, lai arī tas var būt papildu drošības līdzeklis, uz to nevar paļauties, strādājot ar DID. Tas ir līdzīgs PGP atslēgas publiskas ievietošanas procesam Bitcointalk.com forumā, lai pierādītu, ka jums pieder šī atslēga, kas saistīta ar jūsu Bitcointalk kontu.
Markuss Sabadello ir paziņojis, ka lauks “atļauja” ir nestabils elements DID specifikācijā un, iespējams, tiks noņemts. Tās mērķis ir izteikt atļaujas attiecībā uz to, kas var atjaunināt DID dokumentu. Tomēr ar to ir dažas problēmas:
- Dažādu veidu DID (DID metodēm) ir ļoti atšķirīgas idejas un iespējas, kā pārvaldīt atjauninājumus. Jebkura autorizācijas informācija par DID atjauninājumiem jānorāda ar šīm īpašajām DID metodēm, nevis jāpiešķir universāls veids visiem DID.
- Tradicionālo piekļuves kontroles sarakstu vietā atļauju izteikšanai mēs esam meklējuši alternatīvu modeli, ko sauc par objekta iespējām. Šis ir šīs specifikācijas piemērs, kas ir ļoti līdzīgs DID.
Avots: W3C – https://w3c-ccg.github.io/ld-ocap/
Lietošanas gadījumi
Vienkāršākais piemērs ir pieteikšanās vietnēs. Jums būtu digitālais seifs, kurā tiek glabāti jūsu DID un saistītie taustiņi, un jūs varētu izmantot pārlūkprogrammas spraudni vai lietotni, kas tiek parādīta un prasa apstiprinājumu, kad piesakāties. Ideja ir nedaudz salīdzināma ar MetaMask spraudni, bet mazāk attīstīta.
Vēl viens piemērs ir "Atnesiet savu identitāti" iepērkoties tiešsaistē. Jūs varētu iegādāties grāmatu tiešsaistes veikalā, un, veicot izrakstīšanos, jums vienkārši jānorāda DID (atkal izmantojot spraudni vai lietotni). Tādā veidā jūs varētu kopīgot savu piegādes adresi un maksājumu informāciju, pat neizveidojot kontu veikala vietnē. Mēs pat varam novilkt robežu fiziskajai pasaulei, kur mēs saistām klientu lojalitātes karti, kuru mēs iegūstam katrā veikalā, lai iegūtu nelielu atlaidi, ar mūsu Decentralizētā identifikatora lauku ID.
Visbeidzot, progresīvāks piemērs ir izplatīta adrešu grāmata. Jūs varētu uzturēt savienojumu ar draugiem, kā arī ar uzņēmumiem, kas jums rūp, un koplietot ar viņiem savu personīgo adresi un citu profila informāciju, pilnībā kontrolējot, pārredzami un pārnesot datus. Katru reizi, kad mainās jūsu profila informācija, par savienojumiem var automātiski paziņot. DID nodrošina mūža savienojumus starp DID īpašniekiem, kurus neviens jums nevar atņemt.
DID uzlabo drošību
Lai saprastu, kā DID uzlabo drošību, mums vispirms ir jāiepazīstas ar to, kas ir publiskās atslēgas infrastruktūra (PKI). PKI galvenokārt tiek izmantots datu šifrēšanai un / vai parakstīšanai. Datu šifrēšana attiecas uz to kodēšanu tādā veidā, kas padara tos neizlasāmus, izņemot pilnvarotas personas. PKI pamatā ir mehānisms, ko sauc par digitālo sertifikātu, ko dēvē arī par X.509 sertifikātiem. Iedomājieties sertifikātu kā virtuālu ID karti. PKI tiek dēvēta arī par sertifikātu iestādi (CA). Piemēram, VeriSign ir labi pazīstama SI uzticības tīmekļa izveidošanai, piedāvājot viņu parakstītus SSL / TLS sertifikātus.
Tā kā PKI šīs informācijas glabāšanai izmanto centralizētu datu bāzi, tad mēs varam domāt par DID kā decentralizētu PKI variantu. DID ir pamats decentralizētai publiskās atslēgas infrastruktūrai (DPKI).
Tas nozīmē, ka visa datu koplietošana un ziņojumapmaiņa starp DID tiek autentificēta un šifrēta, izmantojot kriptogrāfiskās atslēgas, kas saistītas ar DID, līdzīgi kā tradicionālajos PKI, taču bez tradicionālo sertifikātu iestāžu trūkumiem.
Ir daudzi piemēri, kad agrāk tīmekļa serveru izmantotā TLS sertifikātu arhitektūra ir izrādījusies neaizsargāta pret cenzūru un manipulācijām. Izmantojot DID, šos starpnieku draudus var novērst, jo katrs DID pārstāv savu "uzticības sakne". Tas nozīmē, ka, lai uzticētos, tām nav jākontrolē un jāizdod centrālajām iestādēm.
Vēl viena svarīga drošības iezīme ir tā, ka DID ir noturīgi. Tas nozīmē, ka ar DID saistītās kriptogrāfiskās atslēgas var droši pagriezt un atsaukt, izmantojot dažādus mehānismus, neradot jaunu DID. Mēs vairāk iedziļināsimies šajā “atcelšanas” aspektā nākamajā apakšvirsrakstā.
Dzēst vai atsaukt DID
W3C specifikācijas par decentralizētajiem identifikatoriem jaunākajā versijā (v0.7) aplūkotas dažādas DID darbības, zem kurām mēs varam atrast “Dzēst / atsaukt”. Tas ir diezgan dīvaini, jo decentralizētās virsgrāmatu tehnoloģijas (DLT) pēc būtības nav maināmas. Izpētīsim šo aspektu tālāk.
Kad ir izveidots sākotnējais darījums, lai izveidotu DID, var atjaunināt arī citus darījumus "atsaukt" vai "izbeigt", DID. Lai arī DID vēsture var būt tikai pievienota un pastāv bezgalīgi, DID pašreizējo stāvokli nosaka visu darījumu kumulatīvā summa.
Ja šai vēsturei tiek pievienots īpašs darījums, tas atzīmē DID kā "atsaukts". Turklāt ņemiet vērā, ka, lai gan DLT ir noderīgas īpašības, kas padara tās piemērotas DID izveidei un glabāšanai, DLT nav vienīgā iespējamā tehnoloģija DID. DID var izveidot arī, izmantojot decentralizētas jaukšanas tabulas (DHT), izplatītās failu sistēmas (IPF), datu bāzes (BigchainDB) vai citus decentralizētus tīklus..
DID specifikācijas statuss
Joprojām ir daži atklāti jautājumi, taču WID darba grupa DID paredz, ka līdz 2018. gada martam vai aprīlim tiks publicēts samērā stabils ieviesēja projekts. Gatavā W3C standarta sasniegšana ir daudz ilgāks process, ko viņi vēl nevar paredzēt..
Turklāt W3C izstrādā arī rīkus, piemēram, Universal Resolver, kas darbojas kā identifikatora atrisinātājs un darbojas ar jebkuru decentralizētu identifikatoru sistēmu. Īstenojumi ir pieejami Java un Python3 programmēšanas valodām.
Nākotnes un pēdējās domas:
Markus Sabadello paziņoja: “Tie no mums, kas strādā ar DID, piedzīvo neticami lielu interesi par šo tehnoloģiju no visas pasaules. Mēs domājam, ka DID ir nekas cits kā beidzot iespēja realizēt "trūkst identitātes slāņa" interneta." DID var aizstāt lielu daļu no pašreizējās interneta identitātes infrastruktūras, tostarp tādas lietas kā lietotājvārdi, domēnu vārdi, sertifikātu iestādes un centralizēti identitātes pakalpojumi, piemēram, "Piesakieties, izmantojot Facebook". Var paiet zināms laiks, lai to pielāgotos "decentralizēta identitāte" paradigma, bet tas kļūs par labāku pamatu tam, kā darbosies autentifikācija, datu koplietošana un ziņojumapmaiņa.