Decentralizovaná identita alebo identifikátor (DID) nie je nič iné ako schéma s niekoľkými atribútmi, ktorá jedinečne definuje osobu, objekt alebo organizáciu. Konvenčné systémy správy identít sú založené na centralizovaných autoritách, ako sú podnikové adresárové služby alebo certifikačné autority. DID sú úplne pod kontrolou subjektu DID, nezávisle od akéhokoľvek centralizovaného registra, poskytovateľa identity alebo certifikačnej autority.
Vznik technológie blockchain poskytuje príležitosť implementovať plne decentralizovanú správu identít (DIDM). V DIDM zdieľajú všetci vlastníci identít spoločný koreň dôvery v podobe globálne distribuovanej hlavnej knihy.
Každý záznam DID je kryptograficky zabezpečený súkromnými kľúčmi pod kontrolou vlastníka identity. Verí sa, že ide o chýbajúci odkaz na predefinovanie bezpečnostných hodnôt Internetu, pretože sa môže stať identifikačnou vrstvou Internetu. Špecifikáciu DID vytvára World Wide Web Consortium (W3C).
Výhody DID
Markus Sabadello, spoluautor špecifikácie DID a generálny riaditeľ spoločnosti Danube Tech, vysvetlil všeobecné výhody používania DID:
„DID sú dôležitou inováciou, pretože nám dávajú schopnosť vytvárať digitálne identifikátory, ktoré sú trvalé, bezpečné a globálne rozlíšiteľné, ale ich vytváranie si nevyžaduje ústredný orgán ani sprostredkovateľa.“
DID sú kontrolované výlučne subjektom, na ktorý odkazujú, a preto sú základným stavebným prvkom toho, čo je všeobecne známe ako "seba-zvrchovanej identity" alebo "decentralizovaná identita".
Predstavte si, že máte telefónne číslo, ktoré vám nepridelilo váš mobilný operátor, ale namiesto toho si ho zvolíte sami. Stále vám môže volať ktokoľvek na svete a nikto vám nikdy nemohol vziať toto telefónne číslo – DID sú podobné tejto situácii.
Technicky sú DID platné identifikátory URI (Uniform Resource Identifier), preto sú kompatibilné s mnohými univerzálnymi webovými technológiami. Nie sú obmedzené na jediný prípad použitia alebo protokol.
Ďalšou výhodou je, že DID sú navrhnuté tak, aby fungovali s rôznymi blockchainmi a inými cieľovými systémami, a preto poskytujú interoperabilitu.
Aké sú použitia DID?
DID možno použiť na identifikáciu ľubovoľného digitálneho alebo skutočného zdroja, napríklad dokumentu, jednotlivca, spoločnosti alebo fyzického objektu. Spravidla DID sám o sebe nedokazuje jedinečnosť alebo nič iné o svojom vlastníkovi. DID je iba identifikátor. Môžete a v mnohých prípadoch by ste mali mať viac DID na rôzne účely, vzťahy a transakcie.
Avšak aj keď DID sám o sebe neposkytuje veľa informácií o vlastníkovi, na overenie mnohých vecí môžete použiť protokoly nad DID. Ak chcete jednoducho dokázať, že ovládate určitý DID, a použiť ho (napríklad na prihlásenie na webovú stránku), môžete použiť protokol výzva / odpoveď s názvom DID Auth. Toto plní podobnú funkciu pre "decentralizovaná identita" ako to robí OpenID Connect a iní "federatívna identita".
Na preukázanie zložitejších skutočností o majiteľovi DID, ako je napríklad jeho vek, držba platného vodičského preukazu alebo členstvo v organizácii, môžete použiť Overiteľné poverenia, ktoré sú štandardizované W3C.
Overiteľné poverenia sú tvrdenia potvrdené emitentom o DID. Potom ich môže vlastník DID počas transakcie použiť ako dôkaz. Rozsah a sémantika deklarácií, ktoré môžu byť spojené s DID, nie sú nijako obmedzené; môžu byť také bohaté ako všetky naše skutočné ľudské a organizačné identity, ktoré tvoria naše spoločnosti.
Príklad štruktúry DID
Pre DID je možných veľa variantov. Kompletný súbor so špecifikáciami nájdete na stránke W3C. Ďalej uvádzame jeden z možných spôsobov definovania DID. Tu vidíme jednoduchú definíciu DID s dátumom vytvorenia, dátumom poslednej aktualizácie dokumentu, poľom podpisu (voliteľné) a „authorizedCapability“. Toto posledné pole obsahuje objekty odkazujúce na iné DID, ktoré dostanú nad týmto DID konkrétne povolenie. Napríklad DID s ID 215cb1dc-1f44-4695-a07f-97649cad9938 dostane povolenie na aktualizáciu tohto DID.
Zdroj: W3C – https://w3c-ccg.github.io/did-spec/#requirements-of-did-method-specifications
Pole „podpis“ je často nepochopené. The "podpis" pole iba dokazuje, že s dokumentom DID nebolo manipulované a že podpisovateľ v čase podpisu ovládal určitý súkromný kľúč. Podpis však nedokazuje, že podpisujúci je skutočným vlastníkom DID. Aj keď to môže byť ďalší bezpečnostný prvok, nemožno sa na neho pri práci s DID spoľahnúť. Je to podobné ako pri verejnom vkladaní kľúča PGP na fóre Bitcointalk.com, aby sa preukázalo, že ste vlastníkom tohto kľúča spojeného s vaším účtom Bitcointalk..
Markus Sabadello uviedol, že pole „povolenie“ je nestabilným prvkom v špecifikácii DID a bude pravdepodobne odstránené. Jeho zámerom je vyjadriť povolenie týkajúce sa toho, kto môže aktualizovať dokument DID. Existuje s tým však niekoľko problémov:
- Rôzne druhy DID (metódy DID) majú veľmi odlišné predstavy a možnosti týkajúce sa správy aktualizácií. Akékoľvek autorizačné informácie o aktualizáciách DID by mali byť špecifikované týmito konkrétnymi metódami DID, a nie univerzálnym spôsobom pre všetky DID..
- Namiesto tradičných zoznamov riadenia prístupu na vyjadrenie povolení sme sa zaoberali alternatívnym modelom nazývaným možnosti objektu. Toto je príklad tejto špecifikácie, ktorý je veľmi podobný DID.
Zdroj: W3C – https://w3c-ccg.github.io/ld-ocap/
Prípady použitia
Najjednoduchším príkladom je prihlásenie na webové stránky. Mali by ste digitálnu peňaženku, ktorá uchováva vaše DID a príslušné kľúče, a mohli by ste použiť doplnok alebo aplikáciu prehliadača, ktorá sa zobrazí a požiada o potvrdenie pri prihlásení. Myšlienka je trochu porovnateľná s doplnkom MetaMask, ale menej pokročilá.
Ďalším príkladom je "Prineste si svoju vlastnú identitu" pri online nakupovaní. Knihu si môžete kúpiť v online obchode a pri odhlásení stačí zadať svoje DID (opäť pomocou pluginu alebo aplikácie). Týmto spôsobom by ste mohli zdieľať svoju dodaciu adresu a platobné údaje bez toho, aby ste si museli vytvoriť účet na webových stránkach obchodu. Môžeme dokonca nakresliť čiaru do fyzického sveta, kde prepojíme vernostnú kartu zákazníka, ktorú dostaneme v každom obchode, aby sme získali malú zľavu, do poľa ID nášho decentralizovaného identifikátora.
A nakoniec, pokročilejším príkladom je distribuovaný adresár. Môžete zostať v kontakte so svojimi priateľmi, ako aj s podnikmi, na ktorých vám záleží, a zdieľať s nimi svoju osobnú adresu a ďalšie profilové informácie s plnou kontrolou, transparentnosťou a prenosnosťou údajov. Zakaždým, keď sa zmenia vaše profilové informácie, vaše pripojenia môžu byť automaticky upozornené. DID umožňujú celoživotné spojenie medzi vlastníkmi DID, ktoré vám nikto nemôže vziať.
DID zvyšujú bezpečnosť
Aby sme pochopili, ako DID zvyšujú bezpečnosť, musíme sa najskôr oboznámiť s tým, čo je infraštruktúra verejných kľúčov (PKI). PKI sa používa predovšetkým na šifrovanie a / alebo podpisovanie údajov. Šifrovanie údajov znamená ich kódovanie spôsobom, ktorý ich robí nečitateľným, s výnimkou oprávnených osôb. PKI je založený na mechanizme nazývanom digitálny certifikát, tiež označovaný ako certifikáty X.509. Predstavte si certifikát ako virtuálny občiansky preukaz. PKI sa tiež označuje ako certifikačná autorita (CA). Napríklad VeriSign je známa CA na vytváranie dôveryhodnej siete ponúkaním nimi podpísaných certifikátov SSL / TLS.
Pretože PKI používa na ukladanie týchto informácií centralizovanú databázu, môžeme si potom predstaviť DID ako decentralizovaný variant PKI. DID tvoria základ pre decentralizovanú infraštruktúru verejných kľúčov (DPKI).
To znamená, že všetko zdieľanie a zasielanie správ medzi DID je autentifikované a šifrované pomocou kryptografických kľúčov spojených s DID, podobne ako tradičné PKI, ale bez nevýhod tradičných certifikačných autorít.
Existuje mnoho príkladov, keď sa v minulosti ukázalo, že existujúca architektúra certifikátu TLS používaná webovými servermi je citlivá na cenzúru a manipuláciu. S DID možno túto hrozbu sprostredkovateľov eliminovať, pretože každý DID predstavuje ten svoj "koreň dôvery". To znamená, že kvôli dôveryhodnosti nemusia byť kontrolované a vydávané ústrednými orgánmi.
Ďalším dôležitým bezpečnostným prvkom je skutočnosť, že DID sú trvalé. To znamená, že kryptografické kľúče spojené s DID je možné bezpečne otáčať a odvolávať pomocou rôznych mechanizmov bez toho, aby ste museli vytvárať nový DID. Viac sa tomuto „odvolávajúcemu“ aspektu venujeme v nasledujúcej podpoložke.
Odstrániť alebo odvolať DID
Najnovšia verzia (v0.7) špecifikácie W3C pre decentralizované identifikátory pojednáva o rôznych operáciách DID, pod ktorými nájdeme príkaz „Odstrániť / Odvolať“. To je dosť čudné, pretože technológie decentralizovanej účtovnej knihy (DLT) sú od prírody nezmeniteľné. Pozrime sa ďalej na tento aspekt.
Po vydaní počiatočnej transakcie na vytvorenie DID je možné aktualizovať ďalšie transakcie a tiež "odvolať" alebo "ukončiť", DID. Aj keď história DID môže byť iba doplnková a môže existovať nekonečne dlho, súčasný stav DID je definovaný kumulatívnym súčtom všetkých transakcií.
Ak sa do tejto histórie pridá špeciálna transakcia, znamená to DID ako "odvolaný". Upozorňujeme tiež, že zatiaľ čo DLT majú užitočné vlastnosti, vďaka ktorým sú vhodné na vytváranie a ukladanie DID, DLT nie sú jedinou možnou technológiou pre DID. DID možno vytvoriť aj pomocou decentralizovaných hašovacích tabuliek (DHT), distribuovaných súborových systémov (IPF), databáz (BigchainDB) alebo iných decentralizovaných sietí.
Stav špecifikácie DID
Stále existujú nejaké otvorené problémy, ale pracovná skupina W3C pre DID očakáva, že do marca alebo apríla 2018 zverejní relatívne stabilný návrh implementátora. Príchod k hotovému štandardu W3C je oveľa dlhší proces, ktorý zatiaľ nemôžu predvídať.
Okrem toho W3C vyvíja aj nástroje, ako napríklad Universal Resolver, ktorý funguje ako rezolver identifikátorov a pracuje s akýmkoľvek decentralizovaným identifikačným systémom. Implementácie sú k dispozícii pre programovacie jazyky Java a Python3.
Budúce a posledné myšlienky:
Markus Sabadello uviedol: „Tí z nás, ktorí pracujeme na DID, zažívajú neskutočný záujem o túto technológiu z celého sveta. Myslíme si, že DID nie sú ničím menším než tým, že máme konečne príležitosť realizovať "chýbajúca vrstva identity" internetu." DID majú potenciál nahradiť väčšinu súčasnej infraštruktúry identity internetu, vrátane vecí ako používateľské mená, názvy domén, certifikačné autority a centralizované služby identity, ako sú "Prihlásiť sa cez Facebook". Môže chvíľu trvať, kým sa tomu prispôsobíme "decentralizovaná identita" paradigma, ale stane sa lepším základom pre fungovanie autentifikácie, zdieľania údajov a správ.