Persoonlijke identiteiten op de blockchain plaatsen: de oplossing voor datalekken?

Blockchain persoonlijke identiteit

“Wie ben ik?” is een eeuwenoude filosofische vraag, maar in de moderne informatie-economie is het ook een zeer praktische vraag geworden. Bewijzen dat u bent wie u zegt dat u bent, is verre van eenvoudig, en het geplaveide systeem van derden die uw privégegevens bewaren, heeft een aantal ernstige problemen met efficiëntie en veiligheid. Dit heeft identiteitsbeheer tot een groot doel gemaakt voor een herontwerp van blockchain-as-a-service.

Blockchain persoonlijke identiteit

In tegenstelling tot veel vergelijkbare projecten, vindt blockchain-voor-identiteit al plaats. SecureKey, een van de IBM‘S partneridentiteitsprojecten hebben al zeven miljoen Canadese bankklanten op de blockchain gezet. Het andere partnerproject, Evernym’s Sovrin, vordert ook snel. Ondertussen, Microsoft werkt samen met Hyperledger om te werken aan de ID2020-initiatief, en uPort geeft identiteit aan een stad in Zwitserland. Hoewel deze en de tientallen andere projecten in de ruimte verschillende benaderingen hebben, zijn ze het allemaal eens over het basisprobleem.

Het probleem: geïsoleerde identiteiten

Onder het huidige systeem zijn onze online identiteiten ‘afgeschermd’. Het aanmaken van een nieuw account is in wezen een proces van het uploaden van uw informatie naar weer een andere server waar u al dan niet iets te zeggen heeft over wat ermee gebeurt. Het onthouden van gebruikersnamen en wachtwoorden is eenvoudiger geworden met ‘federatieve’ aanmeldingen van externe providers zoals Facebook en Google, maar dit maakt hun silo’s alleen maar groter.

Financiële dienstverleners in de VS zijn wettelijk verplicht om KYC / AML (Know Your Customer / Anti Money Laundering) te implementeren, wat vereist dat ze wat onderzoek naar hun klanten doen. Andere bedrijfstakken hebben ook hun eigen belang bij het controleren van uw beweringen over bepaalde dingen, en hoewel dit natuurlijk niet goed is voor uw privacy, het is ook niet geweldig voor hen. Vooral in het bankwezen zijn de methoden vaak niet-gestandaardiseerd, duur en twijfelachtig nauwkeurig. Het beste wat velen van hen echt kunnen doen, is een silo zoeken met uw gegevens erin, toegang krijgen en uw informatie naar hun silo’s kopiëren voor analyse en opslag.

Met zoveel silo’s / honeypots met gevoelige gegevens die rondhangen, zowel rechtstreeks door gebruikers als indirect door bedrijven gemaakt, is het misschien niet verrassend dat In 2016 werden wereldwijd 1,1 miljard identiteiten gestolen. Het is veel effectiever om een ​​miljoen creditcardnummers tegelijk te pakken dan achter de informatie van één persoon te gaan.

Cuber-aanvalsincidenten

Cyberincidenten in 2016, Afbeelding van Symantec-rapport

Hoe erg het ook is om uw identiteitsbewijzen van kwetsbare derden te moeten huren, nog een ander 1,1 miljard mensen hebben wereldwijd moeite om toegang te krijgen tot de overheids- en financiële infrastructuur vanwege een gebrek aan identiteit. Terwijl ontwikkelingslanden en vluchtelingen de hoogste percentages identificatieproblemen hebben, Miljoenen mensen in de VS hebben ook geen door de overheid uitgegeven identiteitsbewijs.

Dus, met tientallen lekkende silo’s, twijfelachtige beveiliging en weinig tot geen controle van de gebruiker over wat er met onze identiteiten gebeurt, welke opties zijn er om dit systeem te herzien? Het blijkt dat als je meer wilt doen dan een paar holes patchen, blockchains wellicht de enige praktische optie zijn.

De oplossing: Self-Sovereign Identity

Een term die vrijwel elke blockchain-for-identity-startup heeft aangenomen, is ‘self-soevereine identiteit.”Een self-sovereign gebruiker heeft volledige controle over een veilig, draagbaar, universeel vertrouwd bewijs dat ze zijn wie ze zeggen. Als iemand een stukje informatie (zoals een referentie of een record) aan uw identiteit wil toevoegen of toegang wil krijgen tot iets over u, mag hij dit alleen doen met uw uitdrukkelijke toestemming. Idealiter zou dezelfde identiteit geldig zijn op meerdere systemen, van je bank tot je Steam-login.

Meerdere digitale identiteiten

Meerdere digitale identiteiten, afbeelding van Djuri Baars

Hier is het probleem: we zijn niet bepaald betrouwbare getuigen over ons eigen karakter. Als het aan ons lag, zouden al onze identiteiten verdacht veel krediet en Ivy League-opleidingen hebben. Dus hoe verzoenen we de behoefte aan bevestiging van onze identiteit door derden met de idealen van zelf-soevereiniteit?

De grote oplossing: vervang de silo’s door een blockchain die publiekelijk toegankelijk is maar individueel vertrouwelijk. Blockchains zijn openbaar en onveranderlijk, en er kan dus op worden vertrouwd dat ze nauwkeurige gegevens bijhouden die herleidbaar zijn tot de autoriteiten (vergunningverlenende instantie, universiteit, enz.) Die ze hebben uitgegeven. Om uw feitelijke gegevens veilig te houden, slaat de blockchain echter alleen bewijzen op – cryptografische hashes die beweringen over u kunnen verifiëren zonder echte namen of nummers te geven. U heeft nog steeds toegang tot die namen en nummers, en u kunt ze desgewenst doorgeven. Dit houdt niet alleen uw informatie beter beveiligd, maar het maakt het controleren van u een veel minder duur en ingrijpend proces – wat waarschijnlijk de reden is waarom sommige van de pioniers op dit gebied banken zijn..

Hoe werkt het?

Een van de grootste spelers in deze ruimte, Sovrin (zoals in “self-sovereign”), beschouwt dit als een “identiteitslaag”Voor internet. Sovrin wil alle datasilo’s vervangen door een systeem (blockchain) dat leeft tussen je feitelijke data en de diensten waartoe je toegang hebt. Als een bedrijf iets over je wil weten, stuurt het een verzoek naar de blockchain.

Sovrin

Sovrin, Op blockchain gebaseerde persoonlijke identiteiten

Wanneer u het verzoek ontvangt, kunt u ervoor kiezen om het goed te keuren of te weigeren. Indien goedgekeurd, kunt u een transparant bewijs (toegang tot het relevante deel van uw feitelijke gegevens) of een zero-knowledge proof, die het bedrijf vertelt of u al dan niet aan de criteria voldoet, maar niet waarom. Als u bijvoorbeeld moet aantonen dat u ouder bent dan achttien, kan een bedrijf uw leeftijd opvragen. U ontvangt het verzoek, keurt het goed en stuurt een nulkennisbewijs terug van uw door de overheid uitgegeven identiteitsbewijs, waarin alleen wordt vermeld dat uw leeftijd iets ouder is dan achttien. Dit kan ook werken als een inlogsysteem: de site vraagt ​​om bevestiging van de blockchain, ontvangt een nulkennisbewijs en geeft u toegang.

De Civic project steunt, net als Sovrin, op een systeem van het verifiëren van autoriteiten die hun goedkeuringsstempels op de blockchain hebben gezet. Als u bijvoorbeeld een rijbewijs krijgt, zal het rijbewijscentrum een ​​bewijs hiervan op de blockchain plaatsen, die op zijn beurt kan worden gebruikt om uw eigendom van het rijbewijs te bewijzen zonder het rijbewijs zelf te onthullen. Civic is ook van plan, althans in het begin, om de feitelijke gegevens op het apparaat van de gebruiker te versleutelen, beschermd door biometrische gegevens. Met een bredere acceptatie zou deze opslag uiteindelijk kunnen worden gedecentraliseerd, maar door de documenten in het begin dicht bij de proefdrukken te houden, zou het gemakkelijker kunnen worden om langzaam op te schalen.

Toegestane grootboeken

Een rode draad in veel van deze startups (inclusief Sovrin en Civic) is het idee van een openbaar geautoriseerd gedistribueerd grootboek. “Openbaar” betekent dat iedereen het kan zien; “Toestemming” betekent dat alleen bepaalde entiteiten als autoriteit kunnen optreden; en ‘gedistribueerd’ betekent dat het niet afhankelijk is van één knooppunt om functioneel te blijven. Net als bij een normale blockchain is er geen centrale beheerder, maar in tegenstelling tot de meeste andere blockchains moet je worden goedgekeurd om deel te nemen aan het runnen ervan. Hyperledger-stof is een van de beste implementaties van geautoriseerde grootboeken die er zijn, en daarom zie je misschien dat veel van deze projecten erop voortbouwen.

Het grootste voordeel van een geautoriseerd grootboek is dat het als betrouwbaarder kan worden beschouwd, aangezien alle knooppunten bekend zijn en er belang bij hebben om eerlijk te blijven. Een mooi neveneffect hiervan is echter snelheid: omdat alle knooppunten openbaar en vertrouwd zijn, hoeven ze niet veel middelen te besteden om slechte actoren buiten te houden, wat betekent dat de werklast van het bevestigen van transacties kan veel efficiënter worden afgehandeld.

Hyperledger-stof

Lees meer over Hyperledger Fabric in ons artikel Praktische Byzantijnse fouttolerantie.

De keerzijde is duidelijk: geautoriseerde grootboeken lijken behoorlijk gecentraliseerd. Hopelijk zou wijdverbreide acceptatie leiden tot een voldoende divers ecosysteem van vertrouwde autoriteiten dat het effectief zou worden gedecentraliseerd, maar in de tussentijd moeten crypto-libertariërs genoegen nemen met wat ze kunnen krijgen.

SecureKey is een goed voorbeeld hiervan in actie. Het wordt al gebruikt om rond te identificeren zeven miljoen klanten bij verschillende grote Canadese banken, en het werkt heel goed. Het grootboek wordt beheerd door slechts een paar vertrouwde entiteiten en lijkt iets meer op een traditioneel back-endsysteem. Het bedrijf is echter van plan zijn aanbod buiten de banksector uit te breiden, op welk punt het zou kunnen groeien naar een meer zelf-soeverein model. Hoe dan ook, het is moeilijk om het belang van SecureKey als testcase te overschatten: het bewijst dat het systeem niet alleen kan werken, maar ook kan werken in een hogedrukomgeving op grote schaal.

Als dit u op de verkeerde manier wrijft, geeft u misschien de voorkeur aan de oplossing die wordt geboden uPort, die draait op de Ethereum-blockchain. Een uPort-identiteit is simpel een Ethereum-adres dat fungeert als identificatie over meerdere apps en services. Het vertoont veel overeenkomsten met de andere systemen – geverifieerde claims, volledige gebruikerscontrole, KYC-mogelijkheden, enzovoort – maar kiest voor een meer gedecentraliseerde benadering van het ecosysteem, waardoor ontwikkelaars de tools krijgen die ze nodig hebben om hun systemen te integreren met de uPort-standaard. Hun eerste experimenteren in de Zwitserse stad Zug is aan de gang, waarbij burgers worden geregistreerd op de Ethereum-blockchain en deze gebruiken om toegang te krijgen tot bepaalde overheidsdiensten.

Wat moet er gebeuren??

Er zijn eigenlijk zo veel verschillende bedrijven die strijden om een ​​positie dat het een van de belangrijkste aspecten van self-sovereign identity wat moeilijker zou kunnen maken: een universele standaard die kan profiteren van netwerkeffecten. Verder hebben we iets nodig dat gebruiksvriendelijk genoeg is zodat de gemiddelde identiteithouder niet eens hoeft te weten wat een blockchain is om een ​​identiteit te hebben, en het zal standaard privé moeten blijven, zonder te vertrouwen op menselijke input.

Gelukkig is vrijwel elk hierboven genoemd bedrijf (Sovrin, SecureKey, Hyperledger Indy, Civic en uPort) op de hoogte van deze problemen en werkt eraan eraan. De implementatie van SecureKey in Canada heeft bewezen dat de technologie kan werken en gebruiksvriendelijk is, en vele anderen werken aan het uitbouwen van andere aspecten van het idee. Een bijna volledige lijst is te vinden op deze GitHub-pagina gewijd aan het catalogiseren van blockchain-identiteitsprojecten. Of de toekomst nu bestaat uit meerdere standaarden voor meerdere applicaties, onderlinge compatibiliteit of één keten om ze allemaal te besturen, dit is een sector die waarschijnlijk binnenkort van de grond zal komen.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me