Decentralizirana identiteta ali identifikator (DID) ni nič drugega kot shema z več atributi, ki enolično določa osebo, predmet ali organizacijo. Običajni sistemi za upravljanje identitete temeljijo na centraliziranih organih, kot so imeniške storitve ali overitelji potrdil. DID-ji so v celoti pod nadzorom subjekta DID-a, neodvisno od katerega koli centraliziranega registra, ponudnika identitete ali overitelja.
Pojav tehnologije veriženja blokov ponuja priložnost za izvajanje popolnoma decentraliziranega upravljanja identitet (DIDM). V DIDM imajo vsi lastniki identitete skupen koren zaupanja v obliki globalno razdeljene knjige.
Vsak zapis DID je kriptografsko zaščiten z zasebnimi ključi pod nadzorom lastnika identitete. Menijo, da gre za manjkajočo povezavo za ponovno opredelitev varnostnih vrednot interneta, saj lahko postane identitetna plast interneta. Specifikacijo za DID ustvarja Svetovni spletni konzorcij (W3C).
Prednosti DID-jev
Markus Sabadello, soavtor specifikacije DID in izvršni direktor podjetja Danube Tech, pojasnil splošne prednosti uporabe DID-jev:
“DID-ji so pomembna novost, saj nam omogočajo vzpostavitev digitalnih identifikatorjev, ki so trajni, varni in globalno rešljivi, vendar za njihovo izdelavo ni potreben osrednji organ ali posrednik.”
DID nadzira izključno subjekt, na katerega se nanašajo, in so zato temeljni gradnik za splošno znano ime "samostojna identiteta" ali "decentralizirana identiteta".
Predstavljajte si, da imate telefonsko številko, ki vam je ne dodeli mobilni operater, ampak jo izberete sami. Kdor koli na svetu vas še vedno lahko pokliče in te telefonske številke vam nihče nikoli ne more odvzeti – DID-i so podobni tej situaciji.
Tehnično so DID veljavni enotni identifikatorji virov (URI), zato so združljivi s številnimi spletnimi tehnologijami za splošno uporabo. Niso omejeni na en primer uporabe ali protokol.
Druga prednost je, da so DID-ji zasnovani za delo z različnimi verigami blokov in drugimi ciljnimi sistemi, kar zagotavlja interoperabilnost.
Kakšna je uporaba DID-jev?
DID-je lahko uporabimo za identifikacijo katerega koli digitalnega ali resničnega vira, na primer dokumenta, posameznika, podjetja ali fizičnega predmeta. Na splošno DID sam po sebi ne dokazuje edinstvenosti ali česar koli drugega glede svojega lastnika. DID je zgolj identifikator. Lahko in v mnogih primerih bi morali imeti več DID-jev za različne namene, razmerja in transakcije.
Kljub temu, da DID sam po sebi ne vsebuje veliko informacij o lastniku, lahko uporabite protokole na vrhu DID, da preverite številne stvari. Če želite preprosto dokazati, da nadzirate določen DID, in ga uporabiti (npr. Za prijavo na spletno mesto), lahko uporabite protokol izziva / odziva, imenovan DID Auth. Ta izpolnjuje podobno funkcijo za "decentralizirana identiteta" kot OpenID Connect in drugi "zvezna identiteta".
Če želite dokazati bolj zapletena dejstva o lastniku DID-a, kot so starost, posedovanje veljavnega vozniškega dovoljenja ali članstvo v organizaciji, lahko uporabite Poverilnice, ki jih standardizira W3C.
Poverilnice so zahtevki, ki jih izdajatelj potrdi glede DID. Nato jih lahko lastnik DID med transakcijo uporabi kot dokaz. Obseg in semantika zahtevkov, ki jih je mogoče povezati z DID, ni omejena; lahko so bogati kot vse naše resnične človeške in organizacijske identitete, ki sestavljajo naše družbe.
Primer strukture DID
Za DID je možnih veliko različic. Celotno datoteko s specifikacijami najdete na W3C. Spodaj je en možen način določanja DID. Tukaj vidimo preprosto opredelitev DID z datumom ustvarjanja, datumom, na katerega je bil dokument zadnjič posodobljen, poljem za podpis (neobvezno) in “authCapability”. To zadnje polje vsebuje predmete, ki se nanašajo na druge DID-je, ki dobijo določeno dovoljenje za ta DID. Na primer, DID z ID 215cb1dc-1f44-4695-a07f-97649cad9938 prejme dovoljenje za posodobitev tega DID.
Vir: W3C – https://w3c-ccg.github.io/did-spec/#requirements-of-did-method-specifications
Polje »podpis« je pogosto napačno razumljeno. The "podpis" polje samo dokazuje, da dokument DID ni bil posežen in da je podpisnik ob podpisu nadzoroval določen zasebni ključ. Vendar podpis ne dokazuje, da je podpisnik dejanski lastnik DID. Torej, čeprav je lahko dodatna varnostna funkcija, se pri delu z DID-i sam ne more zanašati nanjo. Podobno je postopku vpisa ključa PGP na forum Bitcointalk.com, da dokažete, da ste lastnik tega ključa, povezanega z vašim računom Bitcointalk.
Markus Sabadello je izjavil, da je polje “dovoljenje” nestabilen element v specifikaciji DID in bo verjetno odstranjeno. Njegov namen je izraziti dovoljenja glede tega, kdo lahko posodobi dokument DID. Vendar je s tem nekaj težav:
- Različne vrste DID (metode DID) imajo zelo različne ideje in možnosti glede upravljanja posodobitev. Vse informacije o avtorizaciji posodobitev DID je treba določiti s temi posebnimi metodami DID, namesto da bi bile za vse DID naložene na univerzalni način.
- Namesto tradicionalnih seznamov nadzora dostopa za izražanje dovoljenj smo iskali alternativni model, imenovan objektne zmogljivosti. To je primer te specifikacije, ki je zelo podobna DID-om.
Vir: W3C – https://w3c-ccg.github.io/ld-ocap/
Primeri uporabe
Najenostavnejši primer je prijava na spletna mesta. Imeli bi digitalno denarnico, v kateri se shranjujejo vaši DID-ji in pripadajoči ključi, lahko pa bi uporabili vtičnik ali aplikacijo za brskalnik, ki se prikaže in zahteva potrditev, ko se prijavite. Ideja je nekoliko primerljiva z vtičnikom MetaMask, vendar manj napredna.
Drug primer je "Prinesite svojo identiteto" pri spletnem nakupovanju. Knjigo lahko kupite v spletni trgovini in ob odjavi preprosto vnesete svoj DID (spet z vtičnikom ali aplikacijo). Tako bi lahko delili svoj naslov za pošiljanje in podatke o plačilu, ne da bi vam bilo treba ustvariti račun na spletnem mestu trgovine. Lahko celo potegnemo črto do fizičnega sveta, kjer povežemo kartico zvestobe kupcev, ki jo dobimo v vsaki trgovini, da dobimo majhen popust, na polje ID našega decentraliziranega identifikatorja.
Nazadnje, naprednejši primer je razdeljeni adresar. Lahko ostanete povezani s prijatelji in podjetji, ki vas zanimajo, ter jim delite svoj osebni naslov in druge podatke o profilu s popolnim nadzorom, preglednostjo in prenosljivostjo podatkov. Vsakič, ko se spremenijo podatki o vašem profilu, lahko o povezavah samodejno obvestite. DID-ji omogočajo vseživljenjske povezave med lastniki DID-ov, ki vam jih nihče ne more odvzeti.
DID-ji povečujejo varnost
Da bi razumeli, kako DID-ji povečujejo varnost, se moramo najprej seznaniti s tem, kaj je infrastruktura javnega ključa (PKI). PKI se uporablja predvsem za šifriranje in / ali podpisovanje podatkov. Šifriranje podatkov se nanaša na njihovo kodiranje na način, zaradi katerega so neberljivi, razen za pooblaščene osebe. PKI temelji na mehanizmu, imenovanem digitalno potrdilo, imenovano tudi potrdila X.509. Potrdilo si predstavljajte kot navidezno osebno izkaznico. PKI se imenuje tudi overitelj potrdil (CA). VeriSign je na primer dobro znani CA za ustvarjanje mreže zaupanja s ponudbo potrdil SSL / TLS, ki so jih podpisali.
Ker PKI za shranjevanje teh informacij uporablja centralizirano bazo podatkov, lahko potem o DID-ih razmišljamo kot o decentralizirani različici PKI-jev. DID predstavljajo osnovo za decentralizirano infrastrukturo javnih ključev (DPKI).
To pomeni, da je vsa izmenjava podatkov in sporočanje med DID-ji overjena in šifrirana s pomočjo kriptografskih ključev, povezanih z DID-om, podobno kot tradicionalni PKI, vendar brez pomanjkljivosti tradicionalnih overiteljev.
Obstajajo številni primeri, ko se je v preteklosti izkazalo, da je obstoječa arhitektura potrdil TLS, ki jo uporabljajo spletni strežniki, ranljiva za cenzuro in manipulacije. Z DID-ji je to grožnjo posrednikov mogoče odpraviti, saj vsak DID predstavlja svojega "koren zaupanja". To pomeni, da jih centralni organi ne bi smeli nadzorovati in izdajati, da bi jim lahko zaupali.
Druga pomembna varnostna značilnost je, da so DID-ji obstojni. To pomeni, da je mogoče kriptografske ključe, povezane z DID, varno zasukati in preklicati z različnimi mehanizmi, ne da bi bilo treba ustvariti novega DID. V ta »preklicni« vidik se bomo poglobili pod naslednjim podnaslovom.
Izbriši ali prekliči DID
Najnovejša različica (v0.7) specifikacije W3C o decentraliziranih identifikatorjih razpravlja o različnih operacijah DID, pod katerimi lahko najdemo »Delete / Revoke«. To je precej čudno, saj so decentralizirane tehnologije glavne knjige (DLT) po naravi nespremenljive. Raziskujmo ta vidik še naprej.
Ko je izdana začetna transakcija za ustvarjanje DID, se lahko posodobijo tudi nadaljnje transakcije "prekliči" ali "prenehati", DID. Čeprav je zgodovina DID morda samo dodana in obstaja neskončno, je trenutno stanje DID definirano s kumulativno vsoto vseh transakcij.
Če se tej zgodovini doda posebna transakcija, potem to označi DID kot "preklican". Upoštevajte tudi, da imajo DLT koristne lastnosti, zaradi katerih so primerni za ustvarjanje in shranjevanje DID, vendar DLT niso edina možna tehnologija za DID. DID-je je mogoče ustvariti tudi z uporabo decentraliziranih zgoščevalnih tabel (DHT), porazdeljenih datotečnih sistemov (IPF), zbirk podatkov (BigchainDB) ali drugih decentraliziranih omrežij.
Stanje specifikacije DID
Še vedno je nekaj odprtih vprašanj, vendar delovna skupina W3C za DID pričakuje, da bo do marca ali aprila 2018 objavila razmeroma stabilen osnutek implementatorja. Prihod do končnega standarda W3C je veliko daljši postopek, ki ga še ne morejo napovedati.
Poleg tega W3C razvija tudi orodja, kot je Universal Resolver, ki deluje kot razreševalnik identifikatorjev in deluje s katerim koli decentraliziranim sistemom identifikatorjev. Implementacije so na voljo za programska jezika Java in Python3.
Prihodnje in zadnje misli:
Markus Sabadello je izjavil: “Tisti, ki delamo na DID-jih, imamo neverjetno veliko zanimanja za to tehnologijo z vsega sveta. O DID-ih mislimo kot nič manj kot o tem, da bi končno imeli priložnost uresničiti "manjkajoča identitetna plast" interneta." DID-ji lahko nadomestijo večino trenutne infrastrukture internetnih identitet, vključno z uporabniškimi imeni, imeni domen, overitelji potrdil in centraliziranimi storitvami identitete, kot so "Prijava s Facebookom". Morda bo trajalo nekaj časa, da se temu prilagodimo "decentralizirana identiteta" paradigma, vendar bo postala boljša osnova za delovanje preverjanja pristnosti, izmenjave podatkov in sporočanja.