En decentraliserad identitet eller identifierare (DID) är inget annat än ett schema med flera attribut som unikt definierar en person, ett objekt eller en organisation. Konventionella identitetshanteringssystem baseras på centraliserade myndigheter, såsom företagsregistertjänster eller certifikatmyndigheter. DID: er är helt under kontroll av DID-ämnet, oberoende av alla centraliserade register, identitetsleverantörer eller certifikatutfärdare.
Framväxten av blockchain-teknik ger möjlighet att implementera helt decentraliserad identitetshantering (DIDM). I DIDM delar alla identitetsägare en gemensam rot till förtroende i form av en globalt distribuerad storbok.
Varje DID-post skyddas kryptografiskt av privata nycklar under identitetsägarens kontroll. Det antas vara den saknade länken för att omdefiniera säkerhetsvärdena för Internet, eftersom det kan bli identitetsskiktet på Internet. Specifikationen för DID skapas av World Wide Web Consortium (W3C).
Fördelar med DID
Markus Sabadello, medförfattare till DID-specifikationen och VD för Danube Tech, förklarade de allmänna fördelarna med att använda DID:
“DIDs är en viktig innovation eftersom de ger oss möjlighet att upprätta digitala identifierare som är ihållande, säkra och globalt lösbara, men deras skapande kräver ingen central myndighet eller mellanhand.”
DID kontrolleras uteslutande av den enhet som de hänvisar till och är därför en grundläggande byggsten för vad som allmänt kallas "själv suverän identitet" eller "decentraliserad identitet".
Tänk dig att ha ett telefonnummer som inte tilldelats dig av din mobiloperatör, utan istället väljer du det själv. Vem som helst i världen kan fortfarande ringa dig, och ingen kan någonsin ta bort det telefonnumret från dig – DIDs liknar den här situationen.
Tekniskt sett är DID: er giltiga Uniform Resource Identifiers (URI), därför är de kompatibla med många allmänna webbtekniker. De är inte begränsade till ett enda fall eller protokoll.
En annan fördel är att DID: er är utformade för att fungera med olika blockkedjor och andra målsystem, vilket ger interoperabilitet.
Vad är användningen av DID: er?
DID kan användas för att identifiera alla digitala eller verkliga resurser, såsom ett dokument, en individ, ett företag eller ett fysiskt objekt. I allmänhet bevisar en DID i sig inte unikhet eller något annat om dess ägare. En DID är bara en identifierare. Du kan, och i många fall borde, ha flera DID: er för olika ändamål, relationer och transaktioner.
Men även om ett DID i sig inte ger så mycket information om ägaren kan du använda protokoll ovanpå DID för att verifiera ett antal saker. För att helt enkelt bevisa att du kontrollerar ett visst DID och använder det (t.ex. för att logga in på en webbplats) kan du använda ett utmanings- / svarsprotokoll som heter DID Auth. Detta uppfyller en liknande funktion för "decentraliserad identitet" som OpenID Connect och andra gör för "federerad identitet".
För att bevisa mer komplexa fakta om en DID-ägare, såsom ålder, innehav av giltigt körkort eller medlemskap i en organisation, kan du använda Verifierbara referenser, som standardiseras av W3C.
Verifierbara referenser är fordringar som en emittent intygar om ett DID. De kan sedan användas som bevis av DID: s ägare under en transaktion. Det finns ingen gräns för omfattningen och semantiken för påståenden som kan associeras med en DID; de kan vara lika rika som alla våra verkliga mänskliga och organisatoriska identiteter som utgör våra samhällen.
Exempel på DID-struktur
Många varianter är möjliga för DID. Den fullständiga specifikationsfilen finns på W3C. Nedan finns ett möjligt sätt att definiera en DID. Vad vi ser här är en enkel definition av ett DID med skapelsedatum, datum då dokumentet har uppdaterats för sista gången, signaturfält (valfritt) och “authorCapability”. Det sista fältet innehåller objekt som hänvisar till andra DID som får ett specifikt tillstånd över detta DID. Till exempel får DID med ID 215cb1dc-1f44-4695-a07f-97649cad9938 behörighet att uppdatera detta DID.
Källa: W3C – https://w3c-ccg.github.io/did-spec/#requirements-of-did-method-specifications
Fältet “signatur” missförstås ofta. De "signatur" fältet visar bara att DID-dokumentet inte har manipulerats och att undertecknaren kontrollerade en viss privat nyckel när den undertecknades. Signaturen bevisar dock inte att undertecknaren är den faktiska DID-ägaren. Så även om det kan vara en extra säkerhetsfunktion kan det inte lita på av sig själv när man arbetar med DID. Det liknar processen med att placera en PGP-nyckel offentligt på Bitcointalk.com-forumet för att bevisa att du ägde den nyckeln som är kopplad till ditt Bitcointalk-konto.
Markus Sabadello har sagt att fältet “tillstånd” är det instabila elementet i DID-specifikationen och kommer troligen att tas bort. Dess avsikt är att uttrycka behörighet angående vem som kan uppdatera DID-dokumentet. Det finns dock några problem med detta:
- Olika typer av DID (DID-metoder) har väldigt olika idéer och möjligheter när det gäller hur man hanterar uppdateringar. All auktoriseringsinformation om DID-uppdateringar bör specificeras av dessa specifika DID-metoder, snarare än att föreskriva detta på ett universellt sätt för alla DID.
- Istället för traditionella åtkomstkontrollistor för att uttrycka behörigheter har vi tittat på en alternativ modell som kallas objektfunktioner. Detta är ett exempel på denna specifikation som är mycket lik DID.
Källa: W3C – https://w3c-ccg.github.io/ld-ocap/
Använd fall
Det enklaste exemplet är att logga in på webbplatser. Du skulle ha en digital plånbok som lagrar dina DID och tillhörande nycklar, och du kan använda ett webbläsarinsticksprogram eller en app som dyker upp och ber om bekräftelse när du loggar in. Idén är lite jämförbar med MetaMask-plugin, men mindre avancerad.
Ett annat exempel är "Ta med din egen identitet" när du handlar online. Du kan köpa en bok i en webbutik och när du checkar ut, levererar du bara ditt DID (igen med hjälp av ett plugin eller en app). På detta sätt skulle du kunna dela din leveransadress och betalningsinformation utan att ens behöva skapa ett konto med butikens webbplats. Vi kan till och med dra gränsen till den fysiska världen där vi länkar ett kundlojalitetskort, som vi får i varje butik för att få en liten rabatt, till ID-fältet för vår decentraliserade identifierare.
Slutligen är ett mer avancerat exempel en distribuerad adressbok. Du kan hålla kontakten med dina vänner, såväl som företag du bryr dig om, och dela din personliga adress och annan profilinformation med dem, med full kontroll, transparens och dataportabilitet. Varje gång din profilinformation ändras kan dina anslutningar automatiskt meddelas. DID möjliggör livslånga förbindelser mellan DID-ägare som ingen kan ta ifrån dig.
DID förbättrar säkerheten
För att förstå hur DID förbättrar säkerheten måste vi först bekanta oss med vad en PKI (Public Key Infrastructure) är. En PKI används främst för kryptering och / eller signering av data. Kryptering av data avser kryptering av dem på ett sätt som gör det oläsligt utom för behöriga personer. PKI är baserat på en mekanism som kallas ett digitalt certifikat, även kallat X.509-certifikat. Tänk på ett certifikat som ett virtuellt ID-kort. En PKI kallas också en certifikatutfärdare (CA). Till exempel är VeriSign en välkänd CA för att skapa en tillitsweb genom att erbjuda SSL / TLS-certifikat signerade av dem.
Eftersom en PKI använder en centraliserad databas för att lagra denna information kan vi då tänka på DID som en decentraliserad variant av PKI. DID: er utgör grunden för en decentraliserad offentlig nyckelinfrastruktur (DPKI).
Detta innebär att all datadelning och meddelanden mellan DID: er autentiseras och krypteras med hjälp av kryptografiska nycklar associerade med ett DID, liknande traditionella PKI, men utan nackdelarna med traditionella certifikatmyndigheter.
Det finns många exempel där den befintliga TLS-certifikatarkitekturen som används av webbservrar tidigare visat sig vara sårbar för censur och manipulation. Med DID kan detta hot från mellanhänder elimineras, eftersom varje DID representerar sitt eget "rot till förtroende". Detta innebär att de inte behöver kontrolleras och utfärdas av centrala myndigheter för att man ska kunna lita på dem.
En annan viktig säkerhetsfunktion är att DID är ihållande. Detta innebär att de kryptografiska nycklarna som är associerade med ett DID kan roteras säkert och återkallas genom olika mekanismer utan att behöva skapa ett nytt DID. Vi kommer att gräva mer i denna “återkallande” aspekt under nästa underrubrik.
Radera eller återkalla DID
Den senaste versionen (v0.7) av W3C-specifikationen för decentraliserade identifierare diskuterar de olika DID-åtgärderna under vilka vi kan hitta “Radera / återkalla”. Det här är ganska konstigt eftersom decentraliserad storboksteknik (DLT) är oföränderlig av naturen. Låt oss utforska denna aspekt vidare.
När en första transaktion har utfärdats för att skapa DID kan ytterligare transaktioner uppdateras och också "återkalla" eller "avsluta", DID. Även om historiken för ett DID kan vara endast tillägg och existerar oändligt, definieras DID: s nuvarande tillstånd av den kumulativa summan av alla transaktioner.
Om en speciell transaktion läggs till i den historiken markerar DID som "återkallas". Observera också att även om DLT har användbara egenskaper som gör dem lämpliga för DID-skapande och lagring, är DLT inte den enda möjliga tekniken för DID. DID kan också skapas med hjälp av decentraliserade hashtabeller (DHT), distribuerade filsystem (IPF), databaser (BigchainDB) eller andra decentraliserade nätverk.
Status för DID-specifikation
Det finns fortfarande några öppna frågor, men W3C-arbetsgruppen för DID förväntar sig att publicera ett relativt stabilt Implementers utkast till mars eller april 2018. Att nå en färdig W3C-standard är en mycket längre process som de inte kan förutsäga ännu.
Dessutom utvecklar W3C också verktyg, som Universal Resolver, som fungerar som en identifierare och fungerar med alla decentraliserade identifieringssystem. Implementeringar finns tillgängliga för programmeringsspråk Java och Python3.
Framtida och sista tankar:
Markus Sabadello uttalade ”De av oss som arbetar med DIDs upplever otroligt mycket intresse för denna teknik från hela världen. Vi tänker på DIDs som inget mindre än att äntligen ha möjlighet att inse "saknat identitetsskikt" av Internet." DID har potential att ersätta mycket av den nuvarande Internetidentitetsinfrastrukturen, inklusive saker som användarnamn, domännamn, certifikatmyndigheter och centraliserade identitetstjänster som "Logga in med Facebook". Det kan ta lite tid att anpassa sig till detta "decentraliserad identitet" paradigm, men det kommer att bli en bättre grund för hur autentisering, datadelning och meddelanden kommer att fungera.