Att sätta personliga identiteter på blockchain: lösningen på dataläckage?

Blockchain personlig identitet

“Vem är jag?” är en gammal filosofisk fråga, men i den moderna informationsekonomin har den också blivit djupt praktisk. Att bevisa att du är den du säger att du är är långt ifrån enkelt, och det kullerstensbelagda systemet för tredje parter som håller dina privata data har några allvarliga problem med effektivitet och säkerhet. Detta har gjort identitetshantering till ett stort mål för en redesign av blockchain-as-a-service.

Blockchain personlig identitet

Till skillnad från många liknande projekt händer dock blockchain-for-identity redan. SecureKey, en av IBMHar samarbetat med identitetsprojekt har redan lagt sju miljoner kanadensiska bankkunder på sin blockchain. Dess andra partnerprojekt, Evernym’s Sovrin, utvecklas också snabbt. Under tiden, Microsoft har gått ihop med Hyperledger att arbeta med ID2020-initiativ, och uPort ger identiteter till en stad i Schweiz. Även om dessa och dussintals andra projekt i rymden har olika tillvägagångssätt, är de alla överens om det grundläggande problemet.

Problemet: Siled Identities

Enligt det nuvarande systemet är våra online-identiteter ”tysta”. Att skapa ett nytt konto är i huvudsak en process för att ladda upp din information till ännu en server där du kanske eller inte har något att säga om vad som händer med det. Att komma ihåg användarnamn och lösenord har blivit lättare med “federerade” inloggningar från tredjepartsleverantörer som Facebook och Google, men det gör i själva verket bara deras silor.

Företags finansiella tjänster i USA är enligt lag skyldiga att genomföra KYC / AML (Know Your Customer / Anti Money Laundering), vilket kräver att de gör en viss undersökning av sina kunder. Andra branscher har sitt eget intresse av att kontrollera dina påståenden om vissa saker också, och även om detta uppenbarligen inte är bra för din integritet, det är inte bra för dem heller. Särskilt inom bankväsendet tenderar metoderna att vara icke-standardiserade, dyra och tveksamt noggranna. Det bästa många av dem verkligen kan göra är att hitta en silo med dina data i den, få åtkomst och kopiera din information till deras silor för analys och lagring.

Med så många silo / smekmånad av känslig data som finns, skapade både av användare direkt och av företag indirekt, är det kanske inte förvånande att 1,1 miljarder identiteter över hela världen stal 2016. Det är mycket effektivare att ta en miljon kreditkortsnummer åt gången än att följa en persons information.

Cuber Attack Incidents

Cyberincidenter 2016, bild från Symantec-rapport

Så illa som att behöva hyra dina identitetsbevis från utsatta tredje parter är det ännu en 1,1 miljarder människor världen har problem med att få tillgång till statlig och finansiell infrastruktur på grund av brist på identitet. Medan utvecklingsländer och flyktingar har de högsta andelen identifieringsfrågor, miljontals människor i USA saknar också regeringsutfärdade ID.

Så med dussintals läckande silor, tveksam säkerhet och liten eller ingen användarkontroll över vad som händer med våra identiteter, vilka alternativ finns det för att se över detta system? Det visar sig att om du vill göra mer än att lappa några hål kan blockkedjor vara det enda praktiska alternativet.

Lösningen: Själv suverän identitet

En term som i stort sett varje blockchain-för-identitetsstart har antagit är “själv suverän identitet.”En själv suverän användare har fullständig kontroll över ett säkert, bärbart, allmänt pålitligt bevis för att de är som de säger. Om någon vill lägga till en information (som en referens eller en post) till din identitet eller få tillgång till något om dig, borde de bara kunna göra det med ditt uttryckliga samtycke. Helst skulle samma identitet gälla i flera system, från din bank till din Steam-inloggning.

Flera digitala identiteter

Flera digitala identiteter, bild från Djuri Baars

Här är problemet: vi är inte precis tillförlitliga vittnen om vår egen karaktär. Om det var upp till oss skulle alla våra identiteter ha misstänkt god kredit och Ivy League-utbildning. Så hur förenar vi behovet av tredjepartsbekräftelse av vår identitet med idealen för själv suveränitet?

Storbildslösningen: ersätt silorna med en blockchain som är allmänt tillgänglig men individuellt konfidentiell. Blockkedjor är offentliga och oföränderliga och kan därför lita på att de håller korrekta register som kan spåras till de myndigheter (licensmyndighet, universitet etc.) som utfärdade dem. För att hålla dina faktiska data säkra lagrar dock blockchain endast bevis – kryptografiska haschar som kan verifiera påståenden om dig utan att ge några faktiska namn eller nummer. Du har fortfarande tillgång till dessa namn och nummer och kan dock lämna ut dem efter behov. Detta håller inte bara din information säkrare, men det gör att du kontrollerar en mycket billigare och invasiv process – vilket är förmodligen varför några av de banbrytande enheterna inom detta område är banker.

Hur fungerar det?

En av de största aktörerna i detta utrymme, Sovrin (som i “själv suverän”), ser detta som ett “identitetsskikt”För internet. Sovrin vill ersätta alla datasilor med ett system (blockchain) som lever mellan dina faktiska data och de tjänster du får tillgång till. Om ett företag vill veta något om dig skickar det en begäran till blockchain.

Sovrin

Sovrin, Blockchain-baserade personliga identiteter

När du får begäran kan du välja att godkänna den eller neka den. Om godkänd kan du skicka antingen ett transparent bevis (åtkomst till relevant del av dina faktiska uppgifter) eller a nollkunskapssäker, som berättar för företaget om du uppfyller kriterierna eller inte, men inte säger varför. Om du till exempel behöver visa bevis för att du är över arton kan ett företag begära din ålder. Du får förfrågan, godkänner den och skickar tillbaka ett bevis på noll kunskap från ditt regeringsutfärdade ID och anger bara att din ålder är något högre än arton. Detta kan också fungera som ett inloggningssystem — sajten begär bekräftelse från blockchain, får noll-kunskapssäker och ger dig åtkomst.

De Medborgerlig projekt, som Sovrin, förlitar sig på ett system av verifierande myndigheter som sätter sina godkännandestämplar på blockchain. Om du till exempel får ett körkort kommer förarkortcentret att lägga ett bevis på det på blockchain, vilket i sin tur kan användas för att bevisa att du äger licensen utan att avslöja licensen i sig. Civic planerar också, åtminstone i början, att få den faktiska informationen krypterad på användarens enhet, skyddad av biometri. I slutändan, med mer utbredd användning, kan denna lagring vara decentraliserad, men att hålla dokumenten nära bevisen i början kan göra det lättare att skala upp långsamt.

Tillåtna ledgers

En vanlig tråd i många av dessa nystartade företag (inklusive Sovrin och Civic) är idén om en offentlig godkänd distribuerad huvudbok. ”Allmänhet” betyder att alla kan se det; “Tillstånd” betyder att endast vissa enheter kan agera som myndigheter på det; och “distribuerad” betyder att det inte beror på någon nod för att förbli funktionell. Som en vanlig blockkedja finns det ingen central administratör, men till skillnad från de flesta andra blockkedjor måste du vara godkänd för att kunna delta i att köra den. Hyperledger tyg är en av de bästa implementeringarna av tillåtna huvudböcker där ute, varför du kanske ser att många av dessa projekt bygger på det.

Den största fördelen med en tillåten huvudbok är att den kan betraktas som mer pålitlig eftersom alla noder är kända och har ett intresse av att vara ärliga. En trevlig bieffekt av detta är dock hastighet: eftersom alla noder är offentliga och betrodda, behöver de inte ägna många resurser åt att hålla ut dåliga aktörer, vilket betyder att arbetsbelastningen för att bekräfta transaktioner kan hanteras mycket mer effektivt.

Hyperledger tyg

Läs mer om Hyperledger Fabric i vår artikel om Praktisk bysantinsk feltolerans.

Nackdelen är uppenbar: tillåtna huvudböcker verkar ganska centraliserade. Förhoppningsvis skulle en utbredd antagande leda till ett tillräckligt varierat ekosystem av betrodda myndigheter för att det skulle vara effektivt decentraliserat, men under tiden kan kryptolibertarianer behöva nöja sig med vad de kan få.

SecureKey är ett bra exempel på detta i aktion. Det används redan för att identifiera runt sju miljoner kunder över flera stora kanadensiska banker, och det har fungerat mycket bra. Huvudboken hanteras av några få betrodda enheter och är lite mer lik ett traditionellt backend-system. Företaget planerar dock att utöka sina erbjudanden utöver banksektorn, då kan de börja växa mot en mer självsuverän modell. Oavsett är det dock svårt att överdriva vikten av SecureKey som ett testfall: det visar att systemet inte bara kan fungera utan det kan fungera i högtrycksmiljö i stor skala.

Om detta gnider dig på fel sätt kanske du föredrar den lösning som erbjuds av uPort, som körs på Ethereum blockchain. En uPort-identitet är helt enkelt en Ethereum-adress som fungerar som en identifierare över flera appar och tjänster. Den har många likheter med de andra systemen – verifierade anspråk, fullständig användarkontroll, KYC-funktioner och så vidare – men väljer en mer decentraliserad inställning till ekosystemet, vilket ger utvecklare de verktyg de behöver för att integrera sina system med uPort-standarden. Deras första experimentera i den schweiziska staden Zug pågår, med medborgare registrerade på Ethereum blockchain och använder den för att komma åt vissa statliga tjänster.

Vad måste hända?

Det finns faktiskt så många olika företag som tävlar om position att det kan göra en av de viktigaste aspekterna av själv suverän identitet lite svårare: en universell standard som kan dra nytta av nätverkseffekter. Utöver det behöver vi något som är tillräckligt användarvänligt för att den genomsnittliga identitetsinnehavaren inte ens behöver veta vad en blockchain är för att ha en identitet, och den måste förbli privat som standard utan att förlita sig om mänskliga insatser.

Lyckligtvis är nästan alla företag som nämns ovan (Sovrin, SecureKey, Hyperledger Indy, Civic och uPort) medvetna om dessa frågor och arbetar med dem. SecureKeys implementering i Kanada har visat att tekniken kan fungera och vara användarvänlig, och många andra arbetar med att bygga ut andra aspekter av idén. En nästan fullständig lista finns på denna GitHub-sida dedikerad till katalogisering av blockchain-identitetsprojekt. Oavsett om framtiden är flera standarder för flera applikationer, tvärkompatibilitet eller en kedja för att styra dem alla, är detta en sektor som sannolikt kommer att ta fart snart.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me