Но раз уж вы затронули эту тему. Взаимное признание подлинности документов, выпущенных разными странами - отличный пример того, где нужна децентрализованная идентификация. Очевидно, никакого центрального органа тут быть не может. Поэтому тут есть масса проблем. Государства почти без проблем признают загран. паспорта, выданные гражданам других государств. Более менее признают водительские права, хотя и не везде. С другими документами все становится крайне неудобно: апостили, нотариальные переводы, непрозрачные правила, потом все это отправляется обычной почтой и идёт 2 месяца. Тратится куча денег. Электронный документооборот на данном уровне практически отсутствует.
Децентрализованная идентификация могла бы решить эту проблему. По крайней мере подлинность электронных документов можно будет подтвердить. А уж доверять тому что там написано или нет - вопрос не технологический)
Да, так что проблема с управлением ключами имеет много подходов к решению, чтобы минимизировать риск потери. В отличие от тех же паролей.
Так без приватного ключа и владение DID не подтвердить.
Верно, для подтверждения нужен один из ассоциированных с DID приватных ключей.
Сертификаты может и владелец сертификата, выпускать подписывая своим сертификатом.
Да, может. Это даст возможность актуализировать контактную информацию во вновь подписываемых документах. Но в ранее подписанных все ещё останется неактуальная информация. Кроме того, это не решает задачу ротации ключей, т.к. мало просто локально выпустить новый сертификат не основе старого. Надо ещё об этом вовремя сообщить. Иначе в процессе проверки подписи будет не ясно, был ли ключ актуален на момент подписания. DID же позволяет в любой момент получить актуальную информацию об изменениях ключей. Даже если старый ключ окажется скомпрометирован, злоумышленнику не удасться подделать всю цепочку.
Да, с одной стороны крупным корпорациям выгодно проводить идентификацию клиентов на своей стороне. С другой стороны, децентрализованная идентификация позволит проще переманивать этих самых клиентов. Кроме того, идентифицировать можно не только частных лиц, но и сами организации, а еще недвижимость, автомобили, домашних животных и т. д.
Представьте, консорциум независимых друг от друга организаций. Им нужно идентифицировать самих себя и своих сотрудников и учредителей внутри данного консорциума. Как им проводить эту идентификацию? Можно на базе какой-то одной из этих организаций - но не факт, что все остальные доверят ей это. Сторонний тех. гинант - тоже сомнительно - помимо проблем с доверием он может просто не предоставлять всего необходимого функционала.
Государство в данном случае все равно остается главным источником доверия. При этом некоторым государствам (например Евросоюзу) может не нравится, что тех. гиганты вне их юрисдикции собирают слишком много информации о гражданах. В этом смыле понятен их интерес к данной технологии.
привязал я интернет-ресурс в своём идентификаторе, а его хакнули
В описываемом случае есть риск, что злоумышленник создаст новый DID, разместит сертификат на сайте и успеет что-то подписать от имени организации. Как только вы вернете себе контроль - вы вернете и старый сертификат, ничего больше делать не нужно. Кроме того, LinkedDomains - не единственный способ связать субъект и DID, хотя и самый простой и перспективный в плане начала массового внедрения. Можно сконструировать и более надежные цепочки и практики доверия.
Потерять можно все что угодно. Особо никаких других идентификаторов, кроме тех, что основаны на доказательстве владения чем-то (пароли, сид-фразы, бумажные удостоверения), пока не придумали. Да, это проблема. И ее надо как-то решать. Но она не специфична для технологии DID.
А зачем ему еще DID если есть сертификат?
Сертификат нужно привязывать к приватному ключу владельца. DID просто добавляет больше гибкости в этот процесс. Например, можно в любой момент провести ротацию ключей, создать новые ключи, поменять или добавить контактную информацию и т. д. При этом нет необходимости каждый раз выпускать новый сертификат. Аналогичные возможности получает владелец корневого сертификата.
А что мешает Васе Пупкину сгенерировать новый DID и представиться другим человеком и затолкать в DIDDoc что ему захочется?
Ничего не мешает, только ему никто не поверит. Есть несколько способов связать DID с реальной личностью. Самый простой вариант - вы лично встречаетесь с Васей Пупкиным, он вам сообщает свой DID (в виде qr кода например) и вы сохраняете его в своем кошельке. Соответственно, единственный вариант представиться вам Васей - это предъявить доказательство владения васиным DID, который у вас сохранен. Злоумышленник не сможет сгенирировать такой же DID.
Есть и другие способы. Например некая доверенная оргранизация, скажем известный банк, выдает Васе цифровой сертификат о том, что такой-то DID действительно принадлежит Васе Пупкину. Сертификат подписан DID банка. Как проверить, что DID действительно принадлежит банку, и, соответственно, сертификат валидный? Как раз при помощи описанной с статье схеме с проверкой через общеизвестный интернет адрес банка. При этом вам не нужно подключаться к этому банку, разбираться с его API и т. д.
С таким же успехом можно адрес сайта в сети tor использовать вместо DID.
Чтобы подписывать документы, запросы, предложения и всячески учавствовать в доверенном взаимодействии с клиентами и контрагентами. Сейчас доверенное взаимодействие с организацией возможно только через сайт или ее мобильное приложение. Если это взаимодействие в клиентами, то такой вариант еще более менее приемлем. Но если это, например, B2B взаимодействие, или консорциум независимых друг от друга организаций, непонятно на какой платформе им взаимодействовать. Зачастую на этом уровне до сих пор процветает бумажный документооборот, т.к. часто нет и не может быть централизованной платформы взаимодействия независимых организаций.
Вот и здесь мы видим кучу интересной математики, но при этом управление ID целиком ложится на пользователя. Подумал, что надо бы затем-то сделать новый ID, сделал? Молодец. Не подумал? Теперь ты всю жизнь будешь получать спам. Хорошо ли это, правильно ли?
Согласен, перекладывать создание идентификаторов на пользователей было бы неправильно. Возможно рядовому пользователю вообще не нужно знать, что такое DID и DIDDoc. Это вопрос грамоных пользовательских интерфейсов и протоколов.
А не подумать ли, к примеру, о том, чтобы сопоставить идентификатор одного и того же человека в разных сервисах (или даже в разных сессиях) можно было только с его явного разрешения и с чётко оговорёнными целями? Это ведь надо встраивать в основу: протоколы, математика, всякое такое.
Это как раз лежит в основе заявленных ценностей и целей данной технологии. Например, создаются протоколы на базе ZKP для частичного разглашения информации о субъекте.
Вообще, есть множество фондов и рабочих групп, которые занимаются созданием спецификаций и протоколов вокруг данной технологии. Например DIF, Hyperldeger Indy и Aries, eSSIF-LAB, TOIP. Они, в отличие от биткоина, финансируются крупными корпорациями и государствами. Это конечно не стопроцентная гарантия, но определенный контроль за адекватностью и востребованностью создаваемых спецификаций и протоколов там имеется.
С одной стороны, у технологии есть масса потенциальных юзкейсов. Снижение затрат на идентификацию в интернете мало кого оставит равнодушным. С другой стороны, как и в любая социальная сеть, она приносит ценность, только когда ей пользуется значительное число пользователей. Открытый вопрос заключается в том, как, с какой стороны запустить этот сетевой эффект? Можно ли это сделать в рамках консорциума организаций, децентрализовано как в биткоине или путем внедрения сверху.
бесплатно и без принуждения
Этой технологией (а точнее технологией Self-sovereign identity, в основе которой как раз лежит децентрализованная идентификация) уже несколько лет интересуется Евросоюз. Вот, например, их DID Method. Пока без принуждения, но, возможно, грамотная мотивация сверху поможет массовому внедрению.
Я этого не утверждал)
Но раз уж вы затронули эту тему. Взаимное признание подлинности документов, выпущенных разными странами - отличный пример того, где нужна децентрализованная идентификация. Очевидно, никакого центрального органа тут быть не может. Поэтому тут есть масса проблем. Государства почти без проблем признают загран. паспорта, выданные гражданам других государств. Более менее признают водительские права, хотя и не везде. С другими документами все становится крайне неудобно: апостили, нотариальные переводы, непрозрачные правила, потом все это отправляется обычной почтой и идёт 2 месяца. Тратится куча денег. Электронный документооборот на данном уровне практически отсутствует.
Децентрализованная идентификация могла бы решить эту проблему. По крайней мере подлинность электронных документов можно будет подтвердить. А уж доверять тому что там написано или нет - вопрос не технологический)
Да, так что проблема с управлением ключами имеет много подходов к решению, чтобы минимизировать риск потери. В отличие от тех же паролей.
Верно, для подтверждения нужен один из ассоциированных с DID приватных ключей.
Да, может. Это даст возможность актуализировать контактную информацию во вновь подписываемых документах. Но в ранее подписанных все ещё останется неактуальная информация. Кроме того, это не решает задачу ротации ключей, т.к. мало просто локально выпустить новый сертификат не основе старого. Надо ещё об этом вовремя сообщить. Иначе в процессе проверки подписи будет не ясно, был ли ключ актуален на момент подписания. DID же позволяет в любой момент получить актуальную информацию об изменениях ключей. Даже если старый ключ окажется скомпрометирован, злоумышленнику не удасться подделать всю цепочку.
Да, с одной стороны крупным корпорациям выгодно проводить идентификацию клиентов на своей стороне. С другой стороны, децентрализованная идентификация позволит проще переманивать этих самых клиентов. Кроме того, идентифицировать можно не только частных лиц, но и сами организации, а еще недвижимость, автомобили, домашних животных и т. д.
Представьте, консорциум независимых друг от друга организаций. Им нужно идентифицировать самих себя и своих сотрудников и учредителей внутри данного консорциума. Как им проводить эту идентификацию? Можно на базе какой-то одной из этих организаций - но не факт, что все остальные доверят ей это. Сторонний тех. гинант - тоже сомнительно - помимо проблем с доверием он может просто не предоставлять всего необходимого функционала.
Государство в данном случае все равно остается главным источником доверия. При этом некоторым государствам (например Евросоюзу) может не нравится, что тех. гиганты вне их юрисдикции собирают слишком много информации о гражданах. В этом смыле понятен их интерес к данной технологии.
В описываемом случае есть риск, что злоумышленник создаст новый DID, разместит сертификат на сайте и успеет что-то подписать от имени организации. Как только вы вернете себе контроль - вы вернете и старый сертификат, ничего больше делать не нужно. Кроме того, LinkedDomains - не единственный способ связать субъект и DID, хотя и самый простой и перспективный в плане начала массового внедрения. Можно сконструировать и более надежные цепочки и практики доверия.
Потерять можно все что угодно. Особо никаких других идентификаторов, кроме тех, что основаны на доказательстве владения чем-то (пароли, сид-фразы, бумажные удостоверения), пока не придумали. Да, это проблема. И ее надо как-то решать. Но она не специфична для технологии DID.
Сертификат нужно привязывать к приватному ключу владельца. DID просто добавляет больше гибкости в этот процесс. Например, можно в любой момент провести ротацию ключей, создать новые ключи, поменять или добавить контактную информацию и т. д. При этом нет необходимости каждый раз выпускать новый сертификат. Аналогичные возможности получает владелец корневого сертификата.
Ничего не мешает, только ему никто не поверит. Есть несколько способов связать DID с реальной личностью. Самый простой вариант - вы лично встречаетесь с Васей Пупкиным, он вам сообщает свой DID (в виде qr кода например) и вы сохраняете его в своем кошельке. Соответственно, единственный вариант представиться вам Васей - это предъявить доказательство владения васиным DID, который у вас сохранен. Злоумышленник не сможет сгенирировать такой же DID.
Есть и другие способы. Например некая доверенная оргранизация, скажем известный банк, выдает Васе цифровой сертификат о том, что такой-то DID действительно принадлежит Васе Пупкину. Сертификат подписан DID банка. Как проверить, что DID действительно принадлежит банку, и, соответственно, сертификат валидный? Как раз при помощи описанной с статье схеме с проверкой через общеизвестный интернет адрес банка. При этом вам не нужно подключаться к этому банку, разбираться с его API и т. д.
Да, можно использовать сеть Tor. Есть даже соответствующий DID метод.
Чтобы подписывать документы, запросы, предложения и всячески учавствовать в доверенном взаимодействии с клиентами и контрагентами. Сейчас доверенное взаимодействие с организацией возможно только через сайт или ее мобильное приложение. Если это взаимодействие в клиентами, то такой вариант еще более менее приемлем. Но если это, например, B2B взаимодействие, или консорциум независимых друг от друга организаций, непонятно на какой платформе им взаимодействовать. Зачастую на этом уровне до сих пор процветает бумажный документооборот, т.к. часто нет и не может быть централизованной платформы взаимодействия независимых организаций.
Согласен, перекладывать создание идентификаторов на пользователей было бы неправильно. Возможно рядовому пользователю вообще не нужно знать, что такое DID и DIDDoc. Это вопрос грамоных пользовательских интерфейсов и протоколов.
Это как раз лежит в основе заявленных ценностей и целей данной технологии. Например, создаются протоколы на базе ZKP для частичного разглашения информации о субъекте.
Вообще, есть множество фондов и рабочих групп, которые занимаются созданием спецификаций и протоколов вокруг данной технологии. Например DIF, Hyperldeger Indy и Aries, eSSIF-LAB, TOIP. Они, в отличие от биткоина, финансируются крупными корпорациями и государствами. Это конечно не стопроцентная гарантия, но определенный контроль за адекватностью и востребованностью создаваемых спецификаций и протоколов там имеется.
С одной стороны, у технологии есть масса потенциальных юзкейсов. Снижение затрат на идентификацию в интернете мало кого оставит равнодушным. С другой стороны, как и в любая социальная сеть, она приносит ценность, только когда ей пользуется значительное число пользователей. Открытый вопрос заключается в том, как, с какой стороны запустить этот сетевой эффект? Можно ли это сделать в рамках консорциума организаций, децентрализовано как в биткоине или путем внедрения сверху.
Этой технологией (а точнее технологией Self-sovereign identity, в основе которой как раз лежит децентрализованная идентификация) уже несколько лет интересуется Евросоюз. Вот, например, их DID Method. Пока без принуждения, но, возможно, грамотная мотивация сверху поможет массовому внедрению.