Blockchain Identity Management: innescare una rivoluzione nella sicurezza dei dati

Dai 3 miliardi di account di posta elettronica Yahoo compromessi nel 2013 ai dati di credito e identità di 143 milioni di americani rubati dall'agenzia di credito Equifax (e una miriade di altri attacchi), le massicce violazioni dei dati sono diventate fin troppo familiari.

La frequenza e la gravità di questi attacchi, combinati con l'alto livello di sicurezza e la sofisticatezza tecnologica delle loro vittime, ha suscitato sia l'indignazione dell'opinione pubblica che la domanda se sia possibile una protezione sufficiente contro future violazioni. Gemalto, una società internazionale di sicurezza dei dati, ha riassunto questo sentimento nel suo Rapporto sull'indice del livello di violazione della prima metà del 2017: "Sempre più organizzazioni accettano il fatto che, nonostante i loro migliori sforzi, le violazioni della sicurezza sono inevitabili".

Mentre le criptovalute e le reti di criptovaluta come Bitcoin ed Ethereum continuano a inondare i titoli dei giornali, le future applicazioni della tecnologia blockchain potrebbero essere ciò che alla fine risolverà una serie di problemi perniciosi che colpiscono allo stesso modo aziende e persone.

Alcuni hanno visto una promettente soluzione futura a questo problema nell'ascesa della tecnologia blockchain. Come spiega un recente articolo di Toptal Insights, la tecnologia blockchain si riferisce a un registro di informazioni distribuito peer-to-peer e immutabile. Ogni "blocco" di informazioni contiene una registrazione completa e accurata di ogni transazione, che non può essere modificata una volta verificata ed è protetta crittograficamente. Una caratteristica distintiva di questa tecnologia è la sua struttura distribuita peer-to-peer, che teoricamente ovvia alla necessità di intermediari come Yahoo o Equifax per ospitare i dati. Mentre le criptovalute e le reti di criptovaluta come Bitcoin ed Ethereum continuano a inondare i titoli dei giornali, le future applicazioni della tecnologia blockchain potrebbero essere ciò che alla fine risolverà una serie di problemi perniciosi che colpiscono allo stesso modo aziende e persone.

Per quanto riguarda la protezione dell'identità, alcuni hanno affermato che la tecnologia blockchain può potenzialmente eliminare la necessità di intermediari e consentire alle persone il controllo totale sulle proprie identità digitali, mentre altri hanno suggerito che le aziende possono ancora elaborare i dati personali ma utilizzare la tecnologia blockchain per accedere e verificare questi dati senza utilizzare server facilmente hackerabili. Questo articolo esplorerà ciascuna di queste soluzioni in modo più approfondito, concentrandosi su un esempio di ciascun approccio. In tal modo, acquisiremo una comprensione dell'approccio che ciascuna azienda avanza, delle sue sfide e dei relativi meriti.

Il problema: centralizzazione

Per capire come la tecnologia blockchain può fungere da soluzione di gestione dell'identità, è importante prima capire, a livello di base, come si sono manifestate le debolezze del sistema attuale.

Internet è stato originariamente progettato come una rete di connessioni decentralizzata peer-to-peer, il che significa che qualsiasi utente può comunicare e connettersi con qualsiasi altro utente senza fare affidamento su un intermediario. Con la crescente privatizzazione di Internet, tuttavia, sono emersi intermediari di terze parti che sono diventati più fondamentali per la struttura di Internet.

I server possono (e, come sappiamo, sono stati) violati e la concentrazione di dati personali nelle mani di un piccolo gruppo di aziende aumenta il rischio che queste violazioni continuino.

Un piccolo gruppo di aziende ha acquisito il controllo su tutto, dall'emissione di certificati di sicurezza del sito Web al controllo dell'accesso al World Wide Web alla cura delle singole identità online. Questa centralizzazione del controllo ha consentito a queste aziende di accumulare enormi volumi di dati personali, ospitati su server, da tutti coloro che utilizzano Internet. Questi server possono (e, come sappiamo, sono stati) violati e la concentrazione di dati personali nelle mani di un piccolo gruppo di aziende aumenta il rischio che queste violazioni simili si verifichino in futuro.

Blockchain Identity Management: una soluzione teorica

La tecnologia Blockchain fornisce una potenziale soluzione al problema delineato consentendo alle persone di archiviare i dati su una blockchain, piuttosto che su server hackerabili. Le informazioni, una volta memorizzate su una blockchain, sono protette crittograficamente e non possono essere modificate o cancellate, rendendo così molto difficili, se non teoricamente impossibili, violazioni di massa dei dati.

Sebbene la memorizzazione dei dati su una blockchain come soluzione generale di alto livello sembra chiara, esistono molteplici approcci teorici per implementarla. Una strategia consiste nell'eliminare la necessità di intermediari consentendo alle persone di archiviare le proprie identità e dati direttamente su una blockchain che un utente porta con sé ovunque online. Con le identità digitali degli utenti archiviate crittograficamente direttamente su una blockchain all'interno di un browser Internet, gli utenti in teoria non avrebbero più bisogno di fornire dati sensibili a terze parti. Un altro approccio è consentire agli utenti di codificare i propri dati personali su una blockchain a cui possono accedere terze parti. Questo approccio non elimina del tutto la necessità di intermediari, ma elimina piuttosto la necessità per gli intermediari di archiviare dati personali sensibili direttamente sui loro server.

Di seguito sono riportati due casi di studio che evidenziano queste strategie.

Blockstack: costruire un Internet nuovo e migliorato

Nel 2013, Ryan Shea e Muneeb Ali hanno fondato Blockstack (originariamente chiamata app Onename). Utilizzando la tecnologia blockchain, Blockstack mira a risolvere le suddette sfide di sicurezza eliminando la necessità di intermediari digitali e consentendo alle persone di mantenere il pieno controllo sui propri dati. Invece di affidarsi a terze parti esterne per archiviare i dati, le persone possono utilizzare il browser di Blockstack per eseguire applicazioni decentralizzate e le informazioni dell'utente sono crittografate e archiviate sui dispositivi personali degli utenti.

La missione più ampia e fondamentale di Blockstack è facilmente definibile, ma non potrebbe essere più ambiziosa: creare una nuova Internet decentralizzata. Come inizia il white paper tecnico di Blockstack, "Internet è stata progettata 40 anni fa e mostra i segni dell'età". Blockstack mira a sostituire ciò che attualmente pensiamo come Internet con un sistema che sia sia più sicuro che effettivamente più allineato con ciò che i progettisti di Internet avevano originariamente immaginato.

"Internet è antecedente a quello che chiamiamo Web... ed è stato progettato per essere decentralizzato", afferma Shea. Un recente articolo del New York Times Magazine fornisce un'utile spiegazione dell'architettura originale di Internet. Inizialmente Internet è stato progettato utilizzando protocolli aperti: la comunicazione tra computer tramite Internet era gratuita e non di proprietà di alcun ente centralizzato.

Ma come descrive il New York Times, gli architetti di Internet "non hanno incluso alcuni elementi chiave che in seguito si sarebbero rivelati fondamentali per il futuro della cultura online". In particolare, "non hanno creato uno standard aperto sicuro che stabilisse l'identità umana sulla rete". Senza un meccanismo per contrassegnare l'identità personale integrato nella struttura di Internet, le società private sono intervenute per colmare questo vuoto.

“Anche i progettisti originali di Internet ora concordano sul fatto di aver perso alcune cose chiave nell'architettura di base. La maggior parte di queste cose ruota sostanzialmente attorno alla sicurezza".

Poiché alcune applicazioni, come Google e Facebook, hanno consentito alle persone di stabilire e comunicare l'identità individuale online e hanno guadagnato popolarità, Internet è diventato sempre più centralizzato attorno a un piccolo gruppo di potenti attori. Questa concentrazione di potere ha avuto evidenti implicazioni economiche e, soprattutto per Blockstack, un profondo impatto sul modo in cui i dati personali vengono archiviati, trasmessi e utilizzati.

"Anche i progettisti originali di Internet ora concordano sul fatto di aver perso alcune cose chiave nell'architettura di base", afferma Ali. "La maggior parte di queste cose ruota sostanzialmente attorno alla sicurezza".

Blockstack risolve il suddetto difetto di progettazione di Internet originale costruendo l'identità individuale direttamente nel browser Blockstack, consentendo alle persone di comunicare direttamente senza l'uso di terze parti, come Facebook. Attraverso il suo sistema di identità decentralizzato, il sistema dei nomi di dominio e la rete di archiviazione, Blockstack mira a dare alle persone la piena proprietà sulla loro impronta digitale. In tal modo, in futuro è teoricamente possibile evitare massicce violazioni centralizzate dei dati, poiché non sarà più necessario che terze parti memorizzino i dati o facilitino la comunicazione.

"Negli ultimi anni ci sono state molte violazioni e queste violazioni sono diventate più grandi e più gravi nel tempo", afferma Shea. "Nei prossimi anni, vedremo più di questo emergere e diventerà molto, molto chiaro a tutti che una volta che si consente ai dati di uscire, non possono essere rimessi nella scatola".

La tecnologia Blockchain costituisce la base del prodotto e della visione di Blockstack. Come descritto nel suddetto white paper, la blockchain "fornisce il supporto di memorizzazione per le operazioni e fornisce consenso sull'ordine in cui le operazioni sono state scritte". Blockstack utilizza specificamente Bitcoin (la rete, non la valuta) come blockchain sottostante su cui è costruito il resto dell'architettura Blockstack. In parole povere, la tecnologia blockchain consente a Internet di Blockstack di rimanere decentralizzato e sicuro.

Tuttavia, una sfida chiave, come descritto nel white paper, che Blockstack deve affrontare nell'utilizzo della tecnologia blockchain è il rischio che la blockchain possa finire sotto il controllo di una singola entità, in altre parole, che possa passare dall'essere decentralizzata a centralizzata.

Il ridimensionamento della rete Blockstack rappresenta un altro ostacolo. In effetti, il successo della nuova Internet di Blockstack dipende dagli effetti positivi della rete: quante persone la utilizzano e, più specificamente, quante applicazioni vengono sviluppate per essa. Attualmente, ci sono quasi 15.000 sviluppatori nella comunità Blockstack e sono stati registrati oltre 76.000 nomi di dominio. Blockstack alla fine avrà bisogno di un ecosistema molto più ampio per raggiungere l'obiettivo dichiarato.

Blockstack ha raccolto finanziamenti di capitale di rischio convenzionale e ha recentemente completato la sua offerta iniziale di monete, con $ 50 milioni di token Blockstack assegnati a investitori accreditati e altri $ 50 milioni che saranno assegnati a investitori non accreditati che avranno la possibilità di acquistare token in un secondo momento. Sebbene sia ancora nella sua relativa infanzia, Blockstack presenta una soluzione potenzialmente rivoluzionaria non solo agli attuali problemi di gestione dell'identità e sicurezza, ma anche alla struttura di potere monopolizzata dell'attuale Internet.

Civic: una soluzione mirata per la protezione dell'identità

Civic, fondata nel 2016, propone una diversa soluzione di gestione delle identità basata su blockchain. Invece di eliminare la necessità di terze parti e creare un ecosistema Internet completamente nuovo, come mira a fare Blockstack, Civic cerca di lavorare all'interno di una struttura esistente e si concentra specificamente sulla gestione dell'identità e sulla sicurezza. Attraverso la tecnologia blockchain, Civic consente a individui e aziende di verificare le proprie identità senza dover archiviare questi dati su server centralizzati e violabili.

Un recente articolo di Forbes spiega questo processo. Un individuo si iscrive prima all'app di Civic, che verifica l'identità dell'utente attraverso documenti ufficiali (ad es. governativi). Civic quindi crittografa crittograficamente queste informazioni e le archivia su una blockchain. Da lì, altre entità che richiedono tali dati personali possono verificare le informazioni fornite da un individuo rispetto alle informazioni sulla blockchain di Civic, ovviando così alla necessità per qualsiasi parte di archiviare dati sensibili su un server centralizzato.

Anche Vinny Lingham, CEO e co-fondatore di Civic, spiega questo processo sul suo blog, dove scrive spesso di criptovaluta e del futuro della tecnologia blockchain:

“Fondamentalmente, Civic convalida le tue informazioni personali e la tua identità, le memorizza sul tuo cellulare e solo tu puoi vedere o utilizzare tali informazioni. Non viene mai archiviato sui nostri server! Ciò significa che se Civic dovesse mai essere violata, le tue informazioni non verrebbero mai rilasciate perché semplicemente non le abbiamo".

Civic deve affrontare molti degli stessi ostacoli di Blockstack: la sua blockchain potrebbe alla fine fallire e il suo successo dipende dall'adozione da parte degli utenti. Ma quale approccio è più promettente?

Alcuni potrebbero preferire la soluzione proposta da Blockstack, poiché l'obiettivo estremamente ambizioso di creare un Internet completamente nuovo ha profonde implicazioni che vanno ben oltre il campo della sicurezza o della gestione dell'identità. Blockstack propone una soluzione elegante a molti dei problemi più urgenti di Internet. Il suo approccio ha il potenziale per ridefinire radicalmente l'economia di Internet e il modo in cui le persone interagiscono virtualmente.

Ma la portata relativamente limitata e mirata dell'obiettivo di Civic può avere lo stesso valore, o più, attrarre gli altri. Civic non mira a cambiare completamente, o sostituire, l'architettura di Internet. Evitando questo obiettivo e concentrandosi invece sul problema specifico della gestione dell'identità - una questione complicata e ambiziosa a sé stante, ma più ristretta della creazione di una nuova Internet - alcuni potrebbero sostenere che Civic ha maggiori possibilità di realizzare con successo ciò che ha deciso di fare.

La crescita e lo sviluppo di questo spazio - e il semplice fatto che queste potenziali soluzioni esistano - dovrebbero fornire a coloro di noi interessati alla sicurezza dei nostri dati privati ​​un senso di speranza per un futuro migliore nella protezione dell'identità.

La questione di quale approccio alla fine si rivelerà più efficace rimane irrisolta. Tuttavia, la crescita e lo sviluppo di questo spazio - e il semplice fatto che queste potenziali soluzioni esistano - dovrebbero fornire a coloro di noi interessati alla sicurezza dei nostri dati privati ​​un senso di speranza per un futuro migliore nella protezione dell'identità.

L'importanza dei token

Blockstack e Civic offrono ciascuna soluzioni di gestione dell'identità basate sull'utilizzo della tecnologia blockchain per decentralizzare e proteggere i dati personali. Entrambi usano anche i token (le proprie criptovalute) per alimentare e incentivare l'utilizzo delle loro piattaforme. Nel caso di Blockstack, gli sviluppatori consumano token nella creazione di applicazioni sulla rete Blockstack e gli utenti consumano token durante la registrazione dei nomi utente Blockstack. Per Civic, gli utenti possono ricevere token per l'utilizzo dell'app di Civic.

Questi token sono serviti come fonte di finanziamento per ogni impresa: 50 milioni di dollari finora per Blockstack (a cui accedere una volta raggiunta una serie di pietre miliari della crescita) e 33 milioni di dollari per Civic. Ma poiché le autorità di regolamentazione e interi paesi reprimono il commercio di criptovalute, il pieno impatto su progetti come Blockstack e Civic rimane una questione aperta.

Come ha notato Muneeb Ali in un'intervista del dicembre 2017, la Securities Exchange Commission (SEC) è rimasta in gran parte in disparte durante la recente frenesia delle criptovalute: "In realtà sento che la SEC è molto intelligente in questo spazio ... stanno solo attivamente guardando , e finora tutti i passi che hanno intrapreso... sembrano davvero la cosa giusta da fare", ha detto Ali.

Il contesto normativo rimane tuttavia incerto e la possibilità che i token non possano essere scambiati così liberamente in futuro si profila come un potenziale rischio che non dovrebbe essere ignorato per iniziative come Blockstack e Civic.

Tuttavia, questo rischio non dovrebbe ostacolare l'esplorazione della gestione dell'identità basata su blockchain. Ovviamente è importante notare che la tecnologia blockchain non è una panacea. In effetti, come afferma Ali nell'intervista precedentemente menzionata, la tecnologia blockchain funziona molto bene in alcuni tipi di applicazioni e potrebbe essere del tutto inappropriata in altre. La sicurezza dei dati e la gestione delle identità rappresentano casi d'uso adatti a questa tecnologia e aree che necessitano di un disperato miglioramento in futuro.