En desentralisert identitet eller identifikator (DID) er ikke noe annet enn en ordning med flere attributter som unikt definerer en person, objekt eller organisasjon. Konvensjonelle identitetsstyringssystemer er basert på sentraliserte myndigheter, for eksempel bedriftskatalogtjenester eller sertifikatmyndigheter. DID er fullstendig under kontroll av DID-emnet, uavhengig av ethvert sentralisert register, identitetsleverandør eller sertifikatmyndighet.
Fremveksten av blockchain-teknologi gir muligheten til å implementere fullt desentralisert identitetsadministrasjon (DIDM). I DIDM deler alle identitetseiere en felles grunn til tillit i form av en globalt distribuert hovedbok.
Hver DID-post er kryptografisk sikret av private nøkler under identitetseierens kontroll. Det antas å være den manglende lenken for å omdefinere sikkerhetsverdiene på Internett, da det kan bli identitetslaget på Internett. Spesifikasjonen for DID er opprettet av World Wide Web Consortium (W3C).
Fordeler med DIDs
Markus Sabadello, medforfatter av DID-spesifikasjonen og administrerende direktør for Donau Tech, forklarte de generelle fordelene ved å bruke DID:
“DIDs er en viktig innovasjon fordi de gir oss muligheten til å etablere digitale identifikatorer som er vedvarende, sikre og globalt løselige, men deres opprettelse krever ikke en sentral myndighet eller mellommann.”
DIDs kontrolleres utelukkende av enheten de refererer til, og er derfor en grunnleggende byggestein for det som er kjent som "selv suveren identitet" eller "desentralisert identitet".
Tenk deg å ha et telefonnummer som ikke din mobiloperatør har tildelt deg, men i stedet velger du det selv. Alle i verden kan fremdeles ringe deg, og ingen kan ta det telefonnummeret fra deg – DID er lik denne situasjonen.
Teknisk sett er DID-er gyldige URI-er (Uniform Resource Identifiers), derfor er de kompatible med mange generelle webteknologier. De er ikke begrenset til en engangssak eller protokoll.
En annen fordel er at DID er designet for å fungere med forskjellige blokkeringer og andre målsystemer, og gir derfor interoperabilitet.
Hva er bruken av DIDs??
DID kan brukes til å identifisere enhver digital ressurs eller virkelige ressurser, for eksempel et dokument, et individ, et selskap eller et fysisk objekt. Generelt viser en DID i seg selv ikke unikhet, eller noe annet om eieren. En DID er bare en identifikator. Du kan, og i mange tilfeller, bør ha flere DID-er for forskjellige formål, forhold og transaksjoner.
Imidlertid, selv om en DID i seg selv ikke gir mye informasjon om eieren, kan du bruke protokoller på toppen av DID for å verifisere en rekke ting. For å bare bevise at du kontrollerer et bestemt DID, og for å bruke det (f.eks. For å logge på et nettsted), kan du bruke en utfordrings- / responsprotokoll kalt DID Auth. Dette oppfyller en lignende funksjon for "desentralisert identitet" som OpenID Connect og andre gjør for "føderert identitet".
For å bevise mer komplekse fakta om en DIDs eier, som alder, besittelse av gyldig førerkort eller medlemskap i en organisasjon, kan du bruke Verifiserbare referanser, som blir standardisert av W3C.
Verifiserbare referanser er krav som en utsteder bekrefter om en DID. De kan da brukes som bevis av DIDs eier under en transaksjon. Det er ingen grense for omfanget og semantikken til påstander som kan knyttes til en DID; de kan være like rike som alle våre menneskelige og organisatoriske identiteter som utgjør samfunnene våre.
Eksempel DID-struktur
Mange varianter er mulige for DID. Den komplette spesifikasjonsfilen finner du på W3C. Nedenfor er en mulig måte å definere en DID på. Det vi ser her er en enkel definisjon av en DID med opprettelsesdatoen, datoen da dokumentet er oppdatert for siste gang, signaturfelt (valgfritt) og “autorisasjonskapasitet”. Dette siste feltet inneholder objekter som refererer til andre DIDer som får en spesifikk tillatelse over dette DID. For eksempel får DID med ID 215cb1dc-1f44-4695-a07f-97649cad9938 tillatelse til å oppdatere dette DID.
Kilde: W3C – https://w3c-ccg.github.io/did-spec/#requirements-of-did-method-specifications
Feltet “signatur” blir ofte misforstått. De "signatur" feltet viser bare at DID-dokumentet ikke er blitt manipulert, og at underskriveren kontrollerte en bestemt privat nøkkel på det tidspunktet det ble signert. Signaturen beviser imidlertid ikke at underskriveren er den faktiske DID-eieren. Så selv om det kan være en ekstra sikkerhetsfunksjon, kan den ikke stole på av seg selv når du arbeider med DID. Det ligner på prosessen med å sette en PGP-nøkkel offentlig på Bitcointalk.com-forumet for å bevise at du eide den nøkkelen som er koblet til Bitcointalk-kontoen din.
Markus Sabadello har uttalt at “tillatelsesfeltet” er det ustabile elementet i DID-spesifikasjonen og sannsynligvis vil bli fjernet. Hensikten er å uttrykke tillatelser angående hvem som kan oppdatere DID-dokumentet. Imidlertid er det noen problemer med dette:
- Ulike typer DID-er (DID-metoder) har veldig forskjellige ideer og muligheter for hvordan man skal håndtere oppdateringer. All autorisasjonsinformasjon om DID-oppdateringer bør spesifiseres av de spesifikke DID-metodene, i stedet for å pålegge dette på en universell måte for alle DIDer..
- I stedet for tradisjonelle tilgangskontrollister for å uttrykke tillatelser, har vi sett på en alternativ modell som kalles objektfunksjoner. Dette er et eksempel på denne spesifikasjonen som er veldig lik DID.
Kilde: W3C – https://w3c-ccg.github.io/ld-ocap/
Bruk saker
Det enkleste eksemplet er å logge på nettsteder. Du vil ha en digital lommebok som lagrer DID-er og tilhørende nøkler, og du kan bruke et nettleser-plugin eller en app som dukker opp og ber om bekreftelse når du logger deg på. Ideen er litt sammenlignbar med MetaMask-plugin, men mindre avansert.
Et annet eksempel er "Ta med din egen identitet" når du handler på nettet. Du kan kjøpe en bok i en nettbutikk, og når du sjekker ut, leverer du bare DID (igjen ved hjelp av et plugin eller en app). På denne måten vil du kunne dele leveringsadressen og betalingsinformasjonen din uten å måtte opprette en konto med butikkens nettsted. Vi kan til og med trekke grensen til den fysiske verdenen der vi knytter et kundelojalitetskort, som vi får i hver butikk for å få en liten rabatt, til ID-feltet til vår desentraliserte identifikator.
Til slutt er et mer avansert eksempel en distribuert adressebok. Du kan holde kontakten med vennene dine, samt bedrifter du bryr deg om, og dele din personlige adresse og annen profilinformasjon med dem, med full kontroll, gjennomsiktighet og dataportabilitet. Hver gang profilinformasjonen din endres, kan tilkoblingene dine automatisk varsles. DID muliggjør livslange forbindelser mellom DID-eiere som ingen kan ta fra deg.
DID forbedrer sikkerheten
For å forstå hvordan DID forbedrer sikkerheten, må vi først bli kjent med hva en PKI (Public Key Infrastructure) er. En PKI brukes primært til kryptering og / eller signering av data. Kryptering av data refererer til å kryptere dem på en måte som gjør det uleselig bortsett fra for autoriserte personer. PKI er basert på en mekanisme som kalles et digitalt sertifikat, også referert til som X.509-sertifikater. Tenk på et sertifikat som et virtuelt ID-kort. En PKI blir også referert til som en sertifikatmyndighet (CA). For eksempel er VeriSign en kjent CA for å skape et tillitsnett ved å tilby SSL / TLS-sertifikater signert av dem.
Ettersom en PKI bruker en sentralisert database for å lagre denne informasjonen, kan vi da tenke på DID som en desentralisert variant av PKI. DIDs danner grunnlaget for en desentralisert offentlig nøkkelinfrastruktur (DPKI).
Dette betyr at all datadeling og meldinger mellom DID-er er autentisert og kryptert ved hjelp av kryptografiske nøkler tilknyttet en DID, i likhet med tradisjonelle PKI-er, men uten ulempene fra tradisjonelle sertifikatmyndigheter.
Det er mange eksempler der den eksisterende TLS-sertifikatarkitekturen som brukes av webservere tidligere har vist seg å være sårbar for sensur og manipulasjon. Med DID kan denne trusselen om mellommenn elimineres, ettersom hver DID representerer sin egen "roten til tilliten". Dette betyr at de ikke trenger å bli kontrollert og utstedt av sentrale myndigheter for å være klarert.
En annen viktig sikkerhetsfunksjon er at DID er vedvarende. Dette betyr at de kryptografiske nøklene tilknyttet en DID kan roteres og tilbakekalles sikkert gjennom forskjellige mekanismer, uten å måtte opprette et nytt DID. Vi vil gå nærmere inn på dette “tilbakekallende” aspektet under neste underoverskrift.
Slett eller tilbakekall DID
Den siste versjonen (v0.7) av W3C-spesifikasjonen for desentraliserte identifikatorer diskuterer de forskjellige DID-operasjonene der vi kan finne “Slett / tilbakekall”. Dette er ganske rart ettersom desentraliserte hovedboksteknologier (DLT) er uforanderlige av natur. La oss utforske dette aspektet videre.
Når en første transaksjon er utstedt for å opprette DID, kan ytterligere transaksjoner oppdateres, og også "tilbakekalle" eller "terminere", DID. Selv om historikken til en DID kan være bare vedlegg og eksisterer uendelig, er den nåværende tilstanden til DID definert av den kumulative summen av alle transaksjoner.
Hvis en spesiell transaksjon blir lagt til den historikken, markerer det DID som "opphevet". Vær også oppmerksom på at mens DLT-er har nyttige egenskaper som gjør dem egnet for DID-oppretting og lagring, er DLT-er ikke den eneste mulige teknologien for DID-er. DID kan også opprettes ved hjelp av desentraliserte hashtabeller (DHT), distribuerte filsystemer (IPF), databaser (BigchainDB) eller andre desentraliserte nettverk.
Status for DID-spesifikasjon
Det er fortsatt noen åpne utgaver, men W3C-arbeidsgruppen for DIDs forventer å publisere et relativt stabilt Implementer’s Draft innen mars eller april 2018. Å komme til en ferdig W3C-standard er en mye lengre prosess som de ikke kan forutsi ennå.
I tillegg utvikler W3C også verktøy, som Universal Resolver, som fungerer som en identifikator og fungerer med et hvilket som helst desentralisert identifikatorsystem. Implementeringer er tilgjengelige for programmeringsspråk Java og Python3.
Fremtidige og siste tanker:
Markus Sabadello uttalte “De av oss som jobber med DIDs, opplever utrolig mye interesse for denne teknologien fra hele verden. Vi tenker på DIDs som intet mindre enn å endelig ha muligheten til å innse "manglende identitetslag" av Internett." DID har potensial til å erstatte mye av den nåværende internettidentitetsinfrastrukturen, inkludert ting som brukernavn, domenenavn, sertifikatmyndigheter og sentraliserte identitetstjenester som "Logg inn med Facebook". Det kan ta litt tid å tilpasse seg dette "desentralisert identitet" paradigme, men det vil bli et bedre grunnlag for hvordan autentisering, datadeling og meldinger vil fungere.