Blockchain Identity Management: Rozpoczęcie rewolucji w zakresie bezpieczeństwa danych

Od 3 miliardów kont e-mail Yahoo skompromitowanych w 2013 roku po dane kredytowe i tożsamości 143 milionów Amerykanów skradzionych z biura kredytowego Equifax (i niezliczone inne ataki) masowe naruszenia danych stały się aż nazbyt znajome.

Częstotliwość i dotkliwość tych ataków, w połączeniu z wysokim poziomem bezpieczeństwa i zaawansowania technologicznego ich ofiar, wywołały zarówno oburzenie opinii publicznej, jak i pytania o to, czy wystarczająca ochrona przed przyszłymi naruszeniami jest w ogóle możliwa. Gemalto, międzynarodowa firma zajmująca się bezpieczeństwem danych, podsumowała tę opinię w raporcie Breach Level Index z pierwszej połowy 2017 r.: „Coraz więcej organizacji akceptuje fakt, że pomimo ich najlepszych starań, naruszenia bezpieczeństwa są nieuniknione”.

Podczas gdy kryptowaluty i sieci kryptowalut, takie jak Bitcoin i Ethereum, wciąż pojawiają się na pierwszych stronach gazet, przyszłe zastosowania technologii blockchain mogą ostatecznie rozwiązać szereg szkodliwych problemów, które dotykają zarówno firmy, jak i ludzi.

Niektórzy widzieli obiecujące przyszłe rozwiązanie tego problemu w rozwoju technologii blockchain. Jak wyjaśniono w niedawnym artykule Toptal Insights, technologia blockchain odnosi się do rozproszonej, niezmiennej księgi informacyjnej typu peer-to-peer. Każdy „blok” informacji zawiera kompletny i dokładny zapis każdej transakcji, którego nie można zmienić po zweryfikowaniu i który jest zabezpieczony kryptograficznie. Cechą charakterystyczną tej technologii jest jej rozproszona struktura peer-to-peer, która teoretycznie eliminuje potrzebę przechowywania danych przez pośredników, takich jak Yahoo czy Equifax. Podczas gdy kryptowaluty i sieci kryptowalut, takie jak Bitcoin i Ethereum, wciąż pojawiają się na pierwszych stronach gazet, przyszłe zastosowania technologii blockchain mogą ostatecznie rozwiązać szereg szkodliwych problemów, które dotykają zarówno firmy, jak i ludzi.

W odniesieniu do ochrony tożsamości niektórzy twierdzili, że technologia blockchain może potencjalnie wyeliminować potrzebę pośredników i umożliwić jednostkom całkowitą kontrolę nad ich tożsamościami cyfrowymi, podczas gdy inni sugerowali, że firmy mogą nadal przetwarzać dane osobowe, ale wykorzystują technologię blockchain do uzyskiwania dostępu do tych danych i ich weryfikacji bez korzystania z serwerów, które można łatwo zhakować. W tym artykule dokładniej zbadamy każde z tych rozwiązań, koncentrując się na jednym przykładzie każdego podejścia. Dzięki temu zrozumiemy podejście, jakie stosuje każda firma, jej wyzwania i względne zalety.

Problem: centralizacja

Aby zrozumieć, w jaki sposób technologia blockchain może służyć jako rozwiązanie do zarządzania tożsamością, ważne jest, aby najpierw zrozumieć, na podstawowym poziomie, w jaki sposób ujawniły się słabości obecnego systemu.

Internet został pierwotnie zaprojektowany jako zdecentralizowana sieć połączeń peer-to-peer, co oznacza, że ​​każdy użytkownik może komunikować się i łączyć z dowolnym innym użytkownikiem bez polegania na pośredniku. W miarę jak internet stawał się coraz bardziej sprywatyzowany, pojawili się pośrednicy będący stronami trzecimi, którzy stali się bardziej fundamentalni dla struktury Internetu.

Serwery mogą (i, jak wiemy, były) włamywane, a koncentracja danych osobowych w rękach niewielkiej grupy firm zwiększa ryzyko kontynuacji tych naruszeń.

Niewielka grupa firm przejęła kontrolę nad wszystkim, od wydawania certyfikatów bezpieczeństwa witryn internetowych, przez patrolowanie dostępu do sieci WWW, aż po opiekę nad indywidualnymi tożsamościami online. Ta centralizacja kontroli umożliwiła tym firmom gromadzenie ogromnych ilości danych osobowych przechowywanych na serwerach od wszystkich użytkowników Internetu. Serwery te mogą (i jak wiemy) zostały zhakowane, a koncentracja danych osobowych w rękach niewielkiej grupy firm zwiększa ryzyko wystąpienia podobnych naruszeń w przyszłości.

Zarządzanie tożsamością Blockchain: rozwiązanie teoretyczne

Technologia Blockchain zapewnia potencjalne rozwiązanie problemu nakreślonego poprzez umożliwienie ludziom przechowywania danych w łańcuchu bloków zamiast na możliwych do zhakowania serwerach. Informacje raz przechowywane w łańcuchu bloków są zabezpieczone kryptograficznie i nie można ich zmienić ani usunąć, co sprawia, że ​​masowe naruszenia bezpieczeństwa danych są bardzo trudne, jeśli nie teoretycznie niemożliwe.

Chociaż przechowywanie danych w łańcuchu bloków jako ogólne rozwiązanie wysokiego poziomu wydaje się jasne, istnieje wiele teoretycznych podejść do jego wdrożenia. Jedną ze strategii jest wyeliminowanie potrzeby pośredników poprzez umożliwienie osobom przechowywania ich tożsamości i danych bezpośrednio w łańcuchu bloków, który użytkownik nosi ze sobą wszędzie online. Z cyfrowymi tożsamościami użytkowników przechowywanymi kryptograficznie bezpośrednio w łańcuchu bloków w przeglądarce internetowej, użytkownicy teoretycznie nie musieliby już udostępniać poufnych danych żadnej stronie trzeciej. Innym podejściem jest umożliwienie użytkownikom kodowania ich danych osobowych w łańcuchu bloków, do którego mają dostęp osoby trzecie. Takie podejście nie eliminuje całkowicie potrzeby pośredników, ale raczej eliminuje potrzebę przechowywania przez pośredników wrażliwych danych osobowych bezpośrednio na swoich serwerach.

Poniżej znajdują się dwa studia przypadków podkreślające te strategie.

Blockstack: Budowanie nowego i ulepszonego Internetu

W 2013 roku Ryan Shea i Muneeb Ali założyli Blockstack (pierwotnie nazywaną aplikacją Onename). Korzystając z technologii blockchain, Blockstack ma na celu rozwiązanie wyżej wymienionych wyzwań związanych z bezpieczeństwem poprzez wyeliminowanie potrzeby pośredników cyfrowych i umożliwienie osobom zachowania pełnej kontroli nad swoimi danymi. Zamiast polegać na zewnętrznych stronach trzecich do przechowywania danych, osoby fizyczne mogą używać przeglądarki Blockstack do uruchamiania zdecentralizowanych aplikacji, a informacje o użytkowniku są szyfrowane i przechowywane na osobistych urządzeniach użytkowników.

Szersza, fundamentalna misja Blockstack jest łatwa do zdefiniowania, ale raczej nie może być bardziej ambitna: stworzenie nowego, zdecentralizowanego Internetu. Jak zaczyna się dokument techniczny Blockstack: „Internet został zaprojektowany 40 lat temu i wykazuje oznaki starzenia”. Blockstack ma na celu zastąpienie tego, co obecnie uważamy za Internet, systemem, który jest zarówno bezpieczniejszy, jak i bardziej zbliżony do tego, co pierwotnie wyobrażali sobie projektanci Internetu.

„Internet wyprzedził to, co nazywamy siecią… i został zaprojektowany tak, aby był zdecentralizowany” – mówi Shea. Niedawny artykuł w New York Times Magazine zawiera przydatne wyjaśnienie oryginalnej architektury Internetu. Internet został początkowo zaprojektowany przy użyciu otwartych protokołów – komunikacja między komputerami za pośrednictwem Internetu była bezpłatna i nie należała do żadnego scentralizowanego organu.

Jednak, jak opisuje New York Times, architekci internetu „nie uwzględnili kilku kluczowych elementów, które później okazałyby się kluczowe dla przyszłości kultury online”. W szczególności „nie stworzyli bezpiecznego otwartego standardu, który ustanowił ludzką tożsamość w sieci”. Bez wbudowanego w strukturę internetu mechanizmu oznaczania tożsamości, prywatne firmy wkroczyły, by wypełnić tę pustkę.

„Nawet pierwotni projektanci internetu zgadzają się teraz, że przegapili pewne kluczowe rzeczy w podstawowej architekturze. Większość z tych rzeczy zasadniczo dotyczy bezpieczeństwa”.

Ponieważ niektóre aplikacje, takie jak Google i Facebook, umożliwiały ludziom ustalanie i komunikowanie indywidualnej tożsamości w Internecie i zyskiwały na popularności, internet stawał się coraz bardziej scentralizowany wokół małej grupy potężnych graczy. Ta koncentracja władzy miała oczywiste implikacje ekonomiczne i, co najważniejsze dla Blockstack, głęboki wpływ na sposób przechowywania, przesyłania i wykorzystywania danych osobowych.

„Nawet pierwotni projektanci internetu zgadzają się teraz, że przegapili pewne kluczowe elementy podstawowej architektury” — mówi Ali. „Większość z tych rzeczy zasadniczo dotyczy bezpieczeństwa”.

Blockstack naprawia wspomnianą wcześniej wadę projektową oryginalnego Internetu, wbudowując indywidualną tożsamość bezpośrednio w przeglądarce Blockstack, umożliwiając ludziom bezpośrednią komunikację bez korzystania z usług strony trzeciej, takiej jak Facebook. Dzięki zdecentralizowanemu systemowi tożsamości, systemowi nazw domen i sieci pamięci masowej Blockstack ma na celu zapewnienie ludziom pełnej własności nad ich cyfrowym śladem. W ten sposób można teoretycznie uniknąć masowych scentralizowanych naruszeń danych w przyszłości, ponieważ strony trzecie nie będą już musiały przechowywać danych ani ułatwiać komunikacji.

„W ciągu ostatnich kilku lat doszło do wielu wyłomów, które z czasem stawały się coraz większe i bardziej dotkliwe” – mówi Shea. „W nadchodzących latach zobaczymy więcej tego typu powierzchni i stanie się bardzo, bardzo jasne dla wszystkich, że gdy pozwolisz na wydostanie się danych, nie będzie można ich z powrotem włożyć do pudełka”.

Technologia Blockchain stanowi podstawę produktu i wizji Blockstack. Jak opisano we wspomnianej wyżej białej księdze, blockchain „zapewnia nośnik danych dla operacji i zapewnia konsensus co do kolejności, w jakiej operacje zostały zapisane”. Blockstack w szczególności wykorzystuje Bitcoin (sieć, a nie walutę) jako podstawowy łańcuch bloków, na którym zbudowana jest reszta architektury Blockstack. Mówiąc prościej, technologia blockchain sprawia, że ​​internet Blockstack pozostaje zdecentralizowany i bezpieczny.

Jednak kluczowym wyzwaniem, opisanym w białej księdze, przed którym stoi Blockstack przy korzystaniu z technologii blockchain, jest ryzyko, że blockchain może znaleźć się pod kontrolą jednego podmiotu – innymi słowy, że może przejść od zdecentralizowanego do scentralizowanego.

Skalowanie sieci Blockstack stanowi kolejną przeszkodę. Rzeczywiście, sukces nowego Internetu Blockstack zależy od pozytywnych efektów sieciowych – ile osób z niego korzysta, a dokładniej, ile aplikacji jest dla niego tworzonych. Obecnie w społeczności Blockstack jest prawie 15 000 programistów i zarejestrowano ponad 76 000 nazw domen. Blockstack będzie ostatecznie potrzebował znacznie większego ekosystemu, aby osiągnąć założony cel.

Blockstack pozyskał konwencjonalne finansowanie kapitału podwyższonego ryzyka i niedawno zakończył swoją pierwszą ofertę monet, z 50 milionami tokenów Blockstack przyznanych akredytowanym inwestorom i kolejne 50 milionów dolarów, które zostaną przydzielone nieakredytowanym inwestorom, którzy mają możliwość zakupu tokenów w późniejszym terminie. Będąc wciąż w powijakach, Blockstack stanowi potencjalnie rewolucyjne rozwiązanie nie tylko bieżących problemów związanych z zarządzaniem tożsamością i bezpieczeństwem, ale także zmonopolizowanej struktury władzy obecnego Internetu.

Civic: rozwiązanie do ochrony tożsamości ukierunkowanej

Firma Civic, założona w 2016 roku, rozwija inne rozwiązanie do zarządzania tożsamością oparte na blockchain. Zamiast usuwać potrzebę stron trzecich i tworzyć zupełnie nowy ekosystem internetowy, co ma na celu Blockstack, Civic stara się pracować w istniejących ramach i koncentruje się w szczególności na zarządzaniu tożsamością i bezpieczeństwie. Dzięki technologii blockchain Civic umożliwia osobom fizycznym i firmom weryfikację ich tożsamości bez konieczności przechowywania tych danych na scentralizowanych serwerach, które można naruszyć.

Niedawny artykuł Forbes wyjaśnia ten proces. Osoba najpierw rejestruje się w aplikacji Civic, która weryfikuje tożsamość użytkownika za pomocą oficjalnych (np. rządowych) rejestrów. Civic następnie szyfruje te informacje kryptograficznie i przechowuje je w łańcuchu bloków. Stamtąd inne podmioty żądające takich danych osobowych mogą zweryfikować informacje podane przez osobę fizyczną z informacjami na łańcuchu bloków Civic, dzięki czemu żadna ze stron nie musi przechowywać wrażliwych danych na scentralizowanym serwerze.

Vinny Lingham, CEO i współzałożyciel Civic, również wyjaśnia ten proces na swoim blogu, gdzie często pisze o kryptowalutach i przyszłości technologii blockchain:

„Zasadniczo Civic weryfikuje Twoje dane osobowe i tożsamość, przechowuje je w telefonie komórkowym i tylko Ty możesz zobaczyć lub wykorzystać te informacje. Nigdy nie jest przechowywany na naszych serwerach! Oznacza to, że gdyby Civic kiedykolwiek został zhakowany, Twoje informacje nigdy nie zostałyby ujawnione, ponieważ po prostu ich nie mamy”.

Civic boryka się z wieloma takimi samymi przeszkodami, jak Blockstack: jego łańcuch bloków może ostatecznie zawieść, a jego sukces zależy od adopcji użytkownika. Ale które podejście jest bardziej obiecujące?

Niektórzy mogą preferować rozwiązanie zaproponowane przez Blockstack, ponieważ niezwykle ambitny cel stworzenia całkowicie nowego Internetu ma głębokie implikacje wykraczające daleko poza obszar bezpieczeństwa lub zarządzania tożsamością. Blockstack stanowi eleganckie rozwiązanie wielu najbardziej palących problemów w Internecie. Jego podejście ma potencjał, aby fundamentalnie przedefiniować ekonomię Internetu i sposób, w jaki ludzie wchodzą w interakcję wirtualną.

Jednak stosunkowo ograniczony, ukierunkowany zakres celu Civic może mieć taki sam lub większy oddźwięk dla innych. Celem Civic nie jest całkowita zmiana lub wymiana architektury Internetu. Unikając tego celu i zamiast tego skupiając się na konkretnym problemie zarządzania tożsamością – skomplikowanej, ambitnej kwestii samej w sobie, ale węższej niż tworzenie nowego internetu – niektórzy mogą twierdzić, że Civic ma większe szanse na pomyślne osiągnięcie tego, co ma. postanowiłem zrobić.

Wzrost i rozwój tej przestrzeni – i sam fakt istnienia tych potencjalnych rozwiązań – powinien dać tym z nas, którym zależy na bezpieczeństwie naszych prywatnych danych, poczucie nadziei na lepszą przyszłość w zakresie ochrony tożsamości.

Pytanie, które podejście ostatecznie okaże się bardziej skuteczne, pozostaje nierozstrzygnięte. Jednak wzrost i rozwój tej przestrzeni – i sam fakt istnienia tych potencjalnych rozwiązań – powinien dać tym z nas, którym zależy na bezpieczeństwie naszych prywatnych danych, poczucie nadziei na lepszą przyszłość w ochronie tożsamości.

Znaczenie tokenów

Blockstack i Civic oferują rozwiązania do zarządzania tożsamością oparte na wykorzystaniu technologii blockchain do decentralizacji i zabezpieczania danych osobowych. Obaj używają również tokenów (własnych kryptowalut) do napędzania i zachęcania do korzystania ze swoich platform. W przypadku Blockstack programiści zużywają tokeny podczas tworzenia aplikacji w sieci Blockstack, a użytkownicy używają tokenów podczas rejestrowania nazw użytkowników Blockstack. W przypadku Civic użytkownicy mogą otrzymać tokeny za korzystanie z aplikacji Civic.

Te tokeny służyły jako źródło finansowania każdego przedsięwzięcia – jak dotąd 50 milionów dolarów dla Blockstack (dostępne po osiągnięciu szeregu kamieni milowych) i 33 miliony dolarów dla Civic. Ale ponieważ organy regulacyjne i całe kraje rozprawiają się z handlem kryptowalutami, pełny wpływ na projekty takie jak Blockstack i Civic pozostaje kwestią otwartą.

Jak zauważył Muneeb Ali w wywiadzie z grudnia 2017 r., Komisja Giełdy Papierów Wartościowych (SEC) w dużej mierze pozostawała na uboczu podczas niedawnego szaleństwa na rynku kryptowalut: „Właściwie czuję, że SEC bardzo mądrze podchodzi do tej przestrzeni… aktywnie po prostu obserwuje i jak dotąd wszystkie kroki, które podjęli… w rzeczywistości wydają się słuszne” – powiedział Ali.

Niemniej jednak otoczenie regulacyjne pozostaje niepewne, a możliwość, że tokeny mogą nie być tak swobodnie obracane w przyszłości, jest potencjalnym ryzykiem, którego nie należy ignorować w przypadku przedsięwzięć takich jak Blockstack i Civic.

Mimo to ryzyko to nie powinno utrudniać eksploracji zarządzania tożsamością opartego na blockchain. Należy oczywiście pamiętać, że technologia blockchain nie jest panaceum. Rzeczywiście, jak mówi Ali we wcześniej wspomnianym wywiadzie, technologia blockchain działa bardzo dobrze w niektórych typach aplikacji, a może być całkowicie nieodpowiednia w innych. Bezpieczeństwo danych i zarządzanie tożsamością to przypadki użycia dobrze dopasowane do tej technologii i obszarów, które desperacko potrzebują dalszych ulepszeń.