Zdecentralizowane tożsamości cyfrowe i łańcuch bloków: przyszłość z naszej perspektywy
Witajcie!
Mam nadzieję, że dzisiejszy wpis będzie dla Was równie ciekawy, jak dla mnie. Jest to dość przyjemna lektura, w której zarysowano pasjonującą wizję przyszłości tożsamości cyfrowych.
Przez ostatnie 12 miesięcy inwestowaliśmy w inkubację kilku pomysłów dotyczących zastosowania łańcucha bloków (i innych technologii rejestru rozproszonego) w celu utworzenia nowych typów tożsamości cyfrowych — tożsamości zaprojektowanych od podstaw z myślą o zwiększeniu poufności, bezpieczeństwa i kontroli osobistej. Zainspirowało nas to, czego się nauczyliśmy, oraz nowe partnerstwa nawiązane podczas tego procesu. Dzisiaj korzystamy z możliwości podzielenia się z Wami naszymi przemyśleniami i przyjętym kierunkiem. Ten wpis w blogu jest częścią serii i kontynuacją wpisu w blogu informującego, że firma Microsoft dołączyła do inicjatywy ID2020 autorstwa Peggy Johnson. Jeśli jeszcze tego nie zrobiono, zalecam uprzednie przeczytanie wpisu Peggy.
Poprosiłem Ankura Patela, kierownika projektu w moim zespole prowadzącym te inkubacje, o zainicjowanie dyskusji dotyczącej zdecentralizowanych tożsamości cyfrowych. W swoim wpisie skupia się on na przedstawieniu niektórych z najważniejszych rzeczy, których się nauczyliśmy, oraz pewnych wynikających z tego zasad, które stosujemy do realizowania naszych celów inwestycyjnych w tym obszarze.
Oczywiście, jak zawsze, chętnie poznam Wasze przemyślenia i opinie.
Pozdrawiam,
Alex Simons (Twitter: @Alex_A_Simons)
Dyrektor działu zarządzania programami
Microsoft Identity Division
———-
Witam wszystkich, nazywam się Ankur Patel i pracuję w dziale Identity Division firmy Microsoft. Mam ogromny zaszczyt, mogąc przedstawić niektóre z wniosków i przyszłych kierunków powstałych w wyniku naszych starań ukierunkowanych na inkubację zdecentralizowanych tożsamości opartych na łańcuchu bloków/rejestrze rozproszonym.
Co dostrzegamy
Wielu z nas codziennie doświadcza, że świat przechodzi globalną transformację cyfrową, w której rzeczywistość cyfrowa i fizyczna przenikają się, tworząc jeden, zintegrowany, nowoczesny sposób życia. Ten nowy świat potrzebuje nowego modelu tożsamości cyfrowej, zapewniającego lepszą prywatność i bezpieczeństwo jednostki w środowisku fizycznym i cyfrowym.
Systemy tożsamości w chmurze firmy Microsoft już teraz pozwalają tysiącom deweloperów i organizacji oraz miliardom ludzi pracować, korzystać z rozrywki i osiągać więcej. Mimo to możemy zrobić znacznie więcej w zwiększaniu możliwości ich wszystkich. Naszym celem jest świat, w którym miliardy ludzi, funkcjonujących obecnie bez solidnej tożsamości, mogą w końcu zrealizować wspólne dla nas wszystkich marzenia, takie jak wykształcenie dzieci, poprawa jakości życia lub rozpoczęcie prowadzenia działalności.
Sądzimy, że do osiągnięcia tej wizji niezbędne jest, aby pojedyncze osoby posiadały i kontrolowały wszystkie elementy swojej tożsamości cyfrowej. Te osoby, zamiast udzielać szerokich uprawnień niezliczonym aplikacjom i usługom oraz rozpraszać dane o ich tożsamości wśród licznych dostawców, potrzebują bezpiecznego, szyfrowanego centrum cyfrowego, w którym mogą przechowywać dane swojej tożsamości i łatwo kontrolować dostęp do nich.
Każdy z nas potrzebuje tożsamości cyfrowej posiadanej na własność, która bezpiecznie i prywatnie przechowuje wszystkie elementy tożsamości cyfrowej. Ta należąca do nas tożsamość musi być łatwa w obsłudze i dawać nam pełną kontrolę nad sposobem uzyskiwania dostępu do naszych danych tożsamości i ich używania.
Wiemy, że włączenie tego rodzaju samodzielnej, suwerennej tożsamości cyfrowej przerasta możliwości każdej firmy lub organizacji. Ściśle współpracujemy z naszymi klientami, partnerami i społecznością nad opracowaniem następnej generacji środowisk opartych na tożsamości cyfrowej i z przyjemnością tworzymy partnerstwa z tak wieloma osobami z branży, które wnoszą niesamowity wkład w ten obszar.
Czego się nauczyliśmy
Dzisiaj udostępniamy nasze najwartościowsze przemyślenia na podstawie tego, czego się nauczyliśmy przy okazji inkubacji zdecentralizowanej tożsamości — wysiłku ukierunkowanego na zapewnienie bardziej zaawansowanych środowisk, zwiększenie zaufania i ograniczenie nieporozumień przy jednoczesnym umożliwieniu każdej osobie posiadania i kontrolowania jej własnej tożsamości cyfrowej.
- Posiadanie własnej tożsamości i kontrolowanie jej. Obecnie użytkownicy udzielają niezliczonym aplikacjom i usługom szerokich uprawnień do zbierania, używania i przechowywania wykraczających poza ich kontrolę. Naruszenia zabezpieczeń danych i kradzież tożsamości stają się coraz bardziej zaawansowane i częste, dlatego użytkownicy potrzebują sposobu na przejęcie własności swojej tożsamości. Po przyjrzeniu się zdecentralizowanym systemom magazynowania, protokołom uzgadniania, łańcuchom bloków i różnym pojawiającym się standardom uznaliśmy protokoły i technologię łańcucha bloków za dobrze dopasowane do włączenia zdecentralizowanych identyfikatorów (DID, Decentralized IDs).
- Ochrona prywatności wbudowana już od podstaw.
Współcześnie aplikacje, usługi i organizacje zapewniają wygodne, przewidywalne i dopasowane środowiska oparte na kontroli danych związanych z tożsamością. Potrzebujemy bezpiecznego, szyfrowanego centrum cyfrowego (centra tożsamości), które mogą wchodzić w interakcje z danymi użytkownika, jednocześnie respektując jego prywatność i kontrolę. - Zaufanie zyskują pojedyncze osoby, a tworzy je społeczność.
Tradycyjne systemy tożsamości są przeważnie nastawione na zarządzanie dostępem i uwierzytelnianiem. System tożsamości własnych kładzie nacisk na autentyczność i sposób, w jaki społeczność może ustanowić zaufanie. W systemach zdecentralizowanych zaufanie jest oparte na zaświadczeniach: poświadczeniach uznawanych przez inne jednostki, co ułatwia udowadnianie aspektów czyjejś tożsamości. - Aplikacje i usługi tworzone głównie z myślą o użytkowniku.
Niektóre ze współczesnych najciekawszych aplikacji i usług to takie, które oferują środowiska spersonalizowane pod kątem ich użytkowników przez uzyskiwanie dostępu do identyfikowalnych danych osobowych tych użytkowników (PII, Personally Identifiable Information). Zdecentralizowane identyfikatory i centra tożsamości mogą pozwolić deweloperom na uzyskiwanie dostępu do ściślejszego zestawu zaświadczeń, ograniczając przy tym ryzyko związane z przepisami prawa i zgodnością przez przetwarzanie takich informacji zamiast kontrolowania ich w imieniu użytkownika. - Otwarte, interoperacyjne fundamenty.
Aby utworzyć wydajny ekosystem zdecentralizowanej tożsamości dostępny dla wszystkich, musi on być zbudowany na podstawie standardowych technologii typu open source, protokołów i implementacji referencyjnych. Przez ostatni rok uczestniczyliśmy w inicjatywie Decentralized Identity Foundation (DIF) (struktura zdecentralizowanej tożsamości) wspólnie z osobami i organizacjami równie zmotywowanymi do podjęcia się tego wyzwania. W ramach współpracy opracowujemy następujące składniki kluczowe:
- Zdecentralizowane identyfikatory (DIDs, Decentralized Identifiers) — specyfikacja W3C definiująca wspólny format dokumentu do opisu stanu zdecentralizowanego identyfikatora
- Centra tożsamości — zaszyfrowany magazyn danych tożsamości zapewniający opóźnianie wiadomości/zamiarów, obsługę zaświadczeń i punkty końcowe operacji obliczeniowych specyficznych dla tożsamości.
- Uniwersalny program rozpoznawania zdecentralizowanych identyfikatorów — serwer rozpoznający zdecentralizowane identyfikatory w łańcuchach bloków
- Poświadczenia możliwe do zweryfikowania — specyfikacja W3C definiująca format dokumentu do kodowania zaświadczeń opartych na identyfikatorach DID.
- Gotowe na zasięg światowy.
Aby obsługiwać szeroki świat użytkowników, organizacji i urządzeń, podstawowa technologia musi zapewniać skalę i wydajność porównywalną z systemami tradycyjnymi. Niektóre publiczne łańcuchy bloków (takie jak Bitcoin [BTC], Ethereum czy Litecoin) zapewniają stabilny fundament do zakorzeniania identyfikatorów DID, rejestrowania operacji DPKI i zakotwiczania zaświadczeń. Pewne społeczności łańcuchów bloków zwiększyły dyspozycyjność transakcji w łańcuchu (tj. zwiększenia rozmiaru bloków), jednak takie podejście na ogół obniża zdecentralizowany stan sieci i nie pozwala osiągać milionów transakcji na sekundę, które byłyby generowane przez system na skalę światową. W celu przezwyciężenia tych barier technicznych współpracujemy nad zdecentralizowanymi protokołami warstwy 2 uruchamianymi na wierzchu tych publicznych łańcuchów bloków, aby osiągnąć skalę globalną przy zachowaniu atrybutów systemu identyfikatorów DID światowej klasy.
- Dostępne dla wszystkich.
Współczesny ekosystem łańcucha bloków tworzą przeważnie nadal pierwsi testerzy, którzy chętnie poświęcają czas, wysiłek i energię na zarządzanie kluczami oraz zabezpieczanie urządzeń. Nie jest to coś, czego możemy oczekiwać od zwykłych osób. Musimy uczynić wyzwania związane z zarządzaniem kluczami, takie jak odzyskiwanie, rotacja i bezpieczny dostęp, intuicyjnymi i bezproblemowymi.
Nasze następne kroki
Nowe systemy i odważne pomysły często wyglądają sensownie na tablicy. Wszystkie linie łączą się, a założenia wydają się słuszne. Jednak zespoły produkcyjne i inżynieryjne uczą się najwięcej podczas wdrażania rozwiązań.
Obecnie aplikacja Microsoft Authenticator jest już używana przez miliony osób do poświadczania tożsamości każdego dnia. Naszym kolejnym krokiem będzie eksperymentowanie ze zdecentralizowanymi tożsamościami przez dodanie ich obsługi do aplikacji Microsoft Authenticator. Po uzyskaniu zgody aplikacja Microsoft Authenticator będzie mogła pełnić rolę agenta użytkownika do zarządzania danymi tożsamości i kluczami kryptograficznymi. W tym projekcie tylko identyfikator jest zakorzeniony w łańcuchu. Dane tożsamości są przechowywane w centrum identyfikatorów poza łańcuchem (niewidocznym dla firmy Microsoft) zaszyfrowanym przy użyciu tych kluczy kryptograficznych.
Po dodaniu tej możliwości aplikacje i usługi będą mogły wchodzić w interakcje z danymi użytkownika poprzez typowy kanał wymiany wiadomości, prosząc o wyrażenie szczegółowej zgody. Na początku będziemy obsługiwać wybraną grupę implementacji identyfikatorów DID w łańcuchach bloków i prawdopodobnie dodamy ich więcej w przyszłości.
Prognozy na przyszłość
Z pokorą i entuzjazmem podejmujemy się tak ogromnego wyzwania, mając pełną świadomość, że nie można go zrealizować samodzielnie. Liczymy na wsparcie i wkład ze strony naszych partnerów stowarzyszonych, członków organizacji Decentralized Identity Foundation i zróżnicowanego ekosystemu firmy Microsoft składającego się z projektantów, twórców zasad, partnerów biznesowych oraz konstruktorów sprzętu i oprogramowania. Przede wszystkim będziemy jednak potrzebować Was, naszych klientów, do wyrażania opinii, gdy zaczniemy testować te pierwsze zestawy scenariuszy.
To pierwszy wpis poświęcony naszej pracy nad zdecentralizowaną tożsamością. W następnych wpisach udostępnimy informacje o weryfikacjach koncepcji, jak również szczegóły techniczne dotyczące najważniejszych obszarów przedstawionych w skrócie powyżej.
Z niecierpliwością czekamy, aż dołączysz do nas w tym przedsięwzięciu!
Najważniejsze zasoby:
- Obserwuj nas pod adresem @AzureAD w serwisie Twitter
- Dołącz do działań organizacji Decentralized Identity Foundation (DIF)
- Weź udział w grupie społeczności W3C Credentials Community Group
Pozdrawiam,
Ankur Patel (@_AnkurPatel)
Główny kierownik ds. programu
Microsoft Identity Division