Původní název: "Towards Digital Self-Sovereignty: The Web3 Identity Stack"

Autor: Nichanan Kesonpat, 1kxnetwork

Zkompilováno: Tao of DeFi

 

Tento článek se zabývá základními koncepty decentralizované identity, vývojem identity na internetu, přehledem vrstvy po vrstvě infrastruktury identity Web3 a souvisejícím vývojem primitiv ochrany soukromí. Osvědčení o osobě, shoda a aplikační vrstvy budou popsány v budoucích článcích.

Ekosystém Web3 Identity Infrastructure – prosinec 2022

Identita je naléhavý atribut sestávající z dat spojených s osobou, entitou nebo objektem. Ve fyzickém světě si tato data ukládáme do mozku ve formě abstraktních pověstí a psychologických asociací. V digitálním světě je identita formalizována do dvou složek:

  • Identifikátor: Jedinečná sada znaků nebo čísel, která identifikuje předmět (např. číslo pasu, Twitter ID, ID studenta).

  • Údaje související s předmětem (např. historie cestování, tweety a sledování, akademické úspěchy).

Vytvoření vrstvy identity pro internet je obtížné, protože neexistuje konsensus o tom, co by mělo být a jak by mělo fungovat. Digitální identita je kontextová a internet zažíváme prostřednictvím rozmanitého obsahu, který existuje přinejmenším v mnoha různých kontextech. Dnes je velká část naší digitální identity roztříštěná a pod kontrolou hrstky zúčastněných stran, jejichž zájmem je zabránit tomu, abychom se z jejich prostředí dostali kamkoli jinam.

  • Podniky považují vztahy se zákazníky za kritická aktiva a nejsou ochotny vzdát se kontroly nad těmito vztahy. Zatím neexistuje metoda, která by k tomu mohla sloužit jako pobídka. I jednorázová dočasná identita je lepší než rámec, nad kterým nemají kontrolu.

  • Specifická odvětví, jako je finance, mají jedinečné potřeby (jako je dodržování předpisů), pokud jde o udržování digitálních vztahů se zákazníky a dodavateli.

  • Vlády mají potřeby, které se liší od jiných typů organizací. Například jurisdikce ohledně řidičských průkazů a pasů.

Tento model vytváří asymetrii moci mezi jednotlivci a stranami, které spravují naše identity a data. Omezuje naši autonomii, brání nám souhlasit, selektivně zveřejňovat informace o nás samých a přenášet naše identity napříč kontexty pro konzistentní zážitky online i offline.

Před vzestupem Crypto a web3 byla decentralizovaná identita kolektivním úsilím. Celkovým cílem je, aby jednotlivci znovu získali autonomii nad svou identitou, aniž by se spoléhali na centralizovaného jediného strážce. Zneužití údajů o zákaznících a narušení důvěry ve velké korporace učinily decentralizaci ústředním bodem příští éry internetové identity.

 

Základní koncepty decentralizované identity

 

Decentralizované identifikátory (DID) a důkazy jsou hlavními stavebními kameny decentralizované identity. DID jsou publikovány a uloženy v registru VDR (Verifiable Data Registry) jako autonomní „namespace“, který není centrálně spravován. Kromě blockchainu může jako VDR sloužit také infrastruktura decentralizovaných úložišť a P2P sítě.

Zde mohou entity (jednotlivci, komunity, organizace) používat decentralizovanou infrastrukturu veřejných klíčů (PKI) k ověřování, prokazování vlastnictví a správě svých DID Na rozdíl od tradičních síťových PKI se nespoléhá na centralizovanou certifikační autoritu (CA). důvěra.

Údaje o identitách se zapisují jako důkazy, tedy „nárok“ jedné identity na jinou (nebo na sebe). Ověření nároků se provádí pomocí kryptografických podpisů implementovaných PKI.

Decentralizované identifikátory mají 4 hlavní vlastnosti:

  • Decentralizace: Tvorba bez spoléhání se na centralizované instituce. Entity mohou být vytvářeny, jak chtějí, přičemž jejich požadované identity, role a interakce zůstávají oddělené v různých kontextech.

  • Persistence: Jakmile je vytvořen, je trvale přiřazen k entitě. (I když některé DID jsou určeny pro krátkodobé identity).

  • Parsable: Lze použít k odhalení dalších informací o entitě.

  • Ověřitelné: Subjekty mohou prokázat vlastnictví DID nebo nároky na něj (ověřitelné přihlašovací údaje), aniž by se spoléhaly na třetí strany, a to díky kryptografickým podpisům a atestům.

Tyto vlastnosti odlišují DID od jiných identifikátorů, jako jsou uživatelská jména (nelze ověřit), pasy (nedecentralizovatelné) a blockchainové adresy (netrvalé, omezená rozlišitelnost).

World Wide Web Consortium (W3C) je mezinárodní společenství organizací, zaměstnanců a veřejnosti spolupracujících na vývoji webových standardů. Specifikace DID W3C definuje 4 hlavní části:

  • Scénář: Předpona „did“ sděluje ostatním systémům, že interaguje s DID a ne s jinými typy identifikátorů, jako jsou adresy URL, e-mailové adresy nebo čárové kódy produktů.

  • Metoda DID: Určuje ostatním systémům, jak mají identifikátor interpretovat. Na webu W3 C je uvedeno více než 100 metod DID, často spojených s vlastním VDR a s různými mechanismy pro vytváření, analýzu, aktualizaci a deaktivaci identifikátorů.

  • Jedinečný identifikátor: Jedinečný identifikátor specifický pro metodu DID. Například adresa na konkrétním blockchainu.

  • Soubor DID: 3 výše uvedené části se analyzují do souboru DID, který obsahuje způsob, jakým se může entita ověřit, veškeré vlastnosti/nároky o entitě a odkazy na umístění dalších dat o entitě („koncový bod služby“).

Anatomie decentralizovaných identifikátorů a dokumentů DID

 

Vliv kryptoměny

 

Zatímco infrastruktura veřejného klíče (PKI) existuje již dlouhou dobu, Crypto urychlilo její přijetí prostřednictvím motivačního mechanismu tokenové sítě. To, co kdysi využívali především technologové zaměření na soukromí, je nyní nezbytným předpokladem pro účast v nové ekonomice. Uživatelé si potřebují vytvořit peněženky pro vlastní správu aktiv a interakci s web3 aplikacemi. Díky boomu ICO, DeFi Summer, NFT mánii a komunitě tokenizace mají uživatelé v rukou více klíčů než kdykoli předtím. Následuje živý ekosystém produktů a služeb, díky nimž je správa klíčů snadnější a bezpečnější. Crypto byl dokonalý trojský kůň pro decentralizovanou infrastrukturu identit a adopci.

Začněme peněženkami. Zatímco peněženky jsou stále primárně myšleny v kontextu správy aktiv ve finančním smyslu, tokenizace a on-chain historie nám umožnily zastupovat naše zájmy (sbírky NFT), práci (Kudos, 101) a názory (hlasování ve správě) . Ztráta soukromých klíčů je stále méně podobná ztrátě peněz a spíše ztrátě pasu nebo účtu na sociálních sítích. Crypto stírá hranice mezi tím, co vlastníme a kým jsme.

Naše aktivity a držení v řetězci však poskytují omezený pohled na to, kdo jsme (a nezachováváme soukromí). Blockchain je jen jedna vrstva decentralizovaného zásobníku identit. Další zásobníky také pomáhají řešit důležité problémy, jako například:

  • Jak se identifikujeme a ověříme v rámci sítí a ekosystémů?

  • Jak prokážeme naše věci (reputaci, jedinečnost, soulad) při zachování soukromí?

  • Jak udělujeme, spravujeme a odebíráme přístup k našim údajům?

  • Jak ve světě, kde kontrolujeme své vlastní identity a data, komunikujeme s aplikacemi?

Řešení těchto problémů bude mít hluboký dopad na to, jak bude internet vypadat pro další generace.

Následující části provedou zásobník identit Web3 vrstvu po vrstvě. Tedy ověřitelná registrace dat, decentralizované úložiště, proměnlivost a složitelnost dat, peněženky, autentizace, autorizace a atestace.

Decentralizovaná identita Infrastructure Stack

 

Web3 Identity Stack

 

Blockchain jako ověřitelný registr dat

Díky distribuované a neměnné povaze blockchainu je vhodný jako ověřitelný registr dat, na kterém lze vydávat DID. Ve skutečnosti různé veřejné blockchainy mají metody DID W3 C, jako například:

  • Ethereum, did:ethr:public key představuje identitu účtu Ethereum.

  • Cosmos, did:cosmos:chainspace:namespace:unique-id představuje aktiva, která jsou kompatibilní mezi řetězci Cosmos

  • Bitcoin, kde did:btcr: btcr-identifier představuje ID transakce zakódované v TxRef odkazující na umístění transakce v bitcoinovém blockchainu založeném na UTXO.

Za zmínku stojí did:pkh:address – generativní DID přístup bez ohledu na účetní knihu navržený tak, aby umožnil interoperabilitu v blockchainových sítích. Podle standardu CAIP-10 je to ID účtu, které se používá pro vyjádření křížového páru klíčů.

Fractal je protokol pro poskytování a ověřování identity určený pro aplikace, které vyžadují pro uživatele jedinečné a různé úrovně KYC. Po dokončení kontroly platnosti a/nebo kontroly KYC je Fractal DID zveřejněn na odpovídající adrese Ethereum a přidán do odpovídajícího seznamu. Registrace DID společnosti Fractal je chytrá smlouva na Ethereum a strany transakce se mohou dotázat na Fractal DID a úroveň jeho ověření podle smlouvy.

Kilt, Dock a Sovrin jsou aplikačně specifické blockchainy pro vlastní suverénní identitu. V době psaní tohoto článku je primárně používají podniky k vydávání identit a pověření koncovým uživatelům. Aby se mohly zapojit do sítě, musí uzly vsadit nativní tokeny, aby mohly zpracovávat transakce, jako je vydávání DID/pověřovacích údajů, definovat schémata pověření a provádět aktualizace odvolání.

 

Decentralizované úložiště dat

Zatímco univerzální blockchainy mohou také sloužit jako zdroj neměnných uživatelských dat, jako je vlastnictví aktiv a historie transakcí (jako jsou aplikace pro sledování portfolia a „DeFi score“), nemusí být vhodné pro ukládání většiny dat o uživatelích, protože psaní a pravidelná aktualizace velkého množství informací je provozně nákladné a ohrožuje soukromí, protože data jsou ve výchozím nastavení viditelná.

To znamená, že existují některé aplikačně specifické blockchainy, jako je Arweave*, které jsou navrženy pro trvalé úložiště. Arweave platí těžařům blokové odměny a transakční poplatky výměnou za kopie informací uložených v síti. Aby mohli těžaři přidat nové bloky, musí poskytnout „důkaz o přístupu“. Část poplatků je také odváděna do stálého nadačního fondu, který bude vyplácen těžařům v budoucnu, kdy náklady na skladování nebudou moci být pokryty inflací a poplatky.

Ethereum a Arweave jsou příklady přístupů k perzistenci dat založených na blockchainu. Na Ethereu musí každý úplný uzel uložit celý řetězec. Na Arweave jsou všechna data potřebná ke zpracování nových bloků a nových transakcí zaznamenána ve stavu každého jednotlivého bloku, což umožňuje novým účastníkům připojit se k síti jednoduše stažením aktuálního bloku od svých důvěryhodných kolegů.

Perzistence na základě smlouvy znamená, že data nemohou být kopírována a trvale uložena každým uzlem. Místo toho jsou data uchovávána prostřednictvím smluv s více uzly, které souhlasí s držením bloku dat po určitou dobu a musí se obnovovat pokaždé, když dojdou, aby byla zachována trvanlivost dat.

IPFS umožňuje uživatelům ukládat a přenášet ověřitelná data s adresou obsahu v síti peer-to-peer. Uživatelé mohou ukládat data, která chtějí, na své vlastní uzly IPFS, využívat vyhrazené skupiny uzlů nebo používat služby „pinnin“ třetích stran, jako je Pinata, Infura nebo web3.storage. Dokud existuje uzel ukládající data, data existují v síti a jsou k dispozici ostatním uzlům, když si je vyžádají. Na vrcholu IPFS jsou kryptoekonomické vrstvy, jako jsou Filecoin a Crust Network, jejichž cílem je podněcovat ukládání dat pro síť vytvořením distribuovaného trhu pro dlouhodobou perzistenci dat.

U osobně identifikovatelných informací (PII) lze použít povolené IPFS, aby bylo dodrženo právo GDPR/CCPA být zapomenut, protože umožňuje uživatelům smazat svá data uložená v síti. Identity wallet Nuggets využívá tento přístup a dále jej decentralizuje tím, že obchodníkům a partnerům umožňuje provozovat vyhrazené uzly.

Mezi další decentralizovaná řešení úložiště na bázi smlouvy patří Sia a Storj, které šifrují a rozdělují jednotlivé soubory mezi více uzlů v síti. Oba používají kódování výmazu (vyžaduje pouze podmnožinu uzlů úložiště pro poskytování souborů), aby byla zajištěna dostupnost dat, i když některé uzly přejdou do režimu offline. Mají také vestavěnou strukturu pobídek a pro ukládání používají nativní tokeny.

Změny dat a složitelnost

Universal Blockchain, Arweave a IPFS zaručují neměnnost, užitečnou vlastnost pro data, jako jsou statické NFT umění a trvalé záznamy. Naše interakce s většinou aplikací však dnes neustále aktualizují naše data. Protokol Web3 navržený pro nestálá data to dělá a využívá decentralizovanou vrstvu úložiště pod ním.

Ceramic je protokol pro decentralizovanou modifikaci a skládání dat, který funguje tak, že transformuje neměnné soubory v sítích pro trvalé ukládání dat, jako je IPFS nebo Arweave, do dynamických datových struktur. Na Ceramicu jsou tyto „datové toky“ jako jeho vlastní proměnná účetní kniha. Soukromá data mohou být uložena mimo řetězec s jejich schématem indexovaným na Ceramic, připojeném k úložišti dat DID vedoucímu k externímu soukromému úložišti.

Když uživatelé aktualizují svůj profil v keramické aplikaci, protokol ověřuje tyto aktualizace jako stream a převádí jej do nového stavu, přičemž zachovává záznamy o předchozích změnách stavu. Každá aktualizace na Ceramic je ověřena pomocí DID, které lze namapovat na více adres, což uživatelům připravuje cestu k aktualizaci jejich dat bez serveru.

Dnes entity Web2 vlastní uživatelské rozhraní a backend, kde ukládají a řídí uživatelská data. Google a Facebook používají tato data k algoritmickému přizpůsobení našich zkušeností na jejich platformách a dále generují data, která shromažďují. Nové aplikace musí být vytvářeny od nuly a nemohou od začátku poskytovat personalizované prostředí, čímž je trh méně konkurenceschopný.

Web3 demokratizuje data, vyrovnává podmínky pro nové produkty a služby a vytváří otevřené prostředí pro experimentování a konkurenční trhy pro aplikace. Ve světě, kde uživatelé mohou přenášet data z jedné platformy na druhou, nemusí vývojáři aplikací začínat od prázdného listu, mohou uživatelům okamžitě přizpůsobit prostředí. Uživatelé se mohou přihlásit pomocí své peněženky a autorizovat aplikaci ke čtení/zápisu do „databáze“, nad kterou mají plnou kontrolu.

ComposeDB on Ceramic je decentralizovaná databáze grafů, která umožňuje vývojářům aplikací objevovat, vytvářet a znovu používat sestavitelné datové modely pomocí GraphQL. Uzly v diagramu jsou účty (DID) nebo soubory (datové toky). Hrany v grafu představují vztahy mezi uzly.

DID představuje jakoukoli entitu, která může zapisovat data do grafu, jako je koncový uživatel, organizace, aplikace nebo jakýkoli typ ověřovací služby.

Modely jsou keramické proudy, které ukládají metadata o datové struktuře dokumentu, ověřovacích pravidlech, vztazích a informacích o zjišťování. Vývojáři mohou vytvářet, kombinovat a remixovat modely do kombinací dat, které slouží jako databáze pro jejich aplikace. To nahrazuje tradiční uživatelskou tabulku centralizovaným UID a souvisejícími daty. Aplikace mohou být postaveny na společném datovém souboru řízeném uživateli namísto správy vlastních nezávislých tabulek.

Vzhledem k tomu, že aplikace mohou volně definovat modely, které budou používat v konkrétních kontextech, stává se kurátorský trh důležitým, protože poskytuje signál pro nejužitečnější datové modely (schéma definovaná pro sociální grafy, blogové příspěvky atd.) . Díky tržišti pro tyto datové modely mohou aplikace tyto modely signalizovat, aby se snáze využívaly. To bude motivovat veřejné soubory dat k vytváření lepších analýz a infografik, aby produkty mohly na tomto základě dále inovovat.

Tableland je infrastruktura pro měnitelná, strukturovaná relační data, kde je každá tabulka ražena jako NFT v řetězci kompatibilním s EVM. Vlastník NFT může nastavit logiku řízení přístupu pro tabulku, což umožňuje třetí straně provádět aktualizace databáze, pokud má tato strana příslušná oprávnění k zápisu. Tableland provozuje síť off-chain validátorů, které spravují vytváření tabulek a následné změny.

On-chain a off-chain aktualizace jsou řešeny smart kontrakty, které ukazují na Tableland network pomocí baseURI a tokenURI. S Tableland lze metadata NFT mutovat (pomocí řízení přístupu), dotazovat se (pomocí SQL) a kombinovat (s jinými tabulkami na Tableland).

Inteligentní smluvní standardy jako ERC-20 a ERC-721 poskytují dapps sdílený jazyk o tom, jak vytváříme a přenášíme tokeny, a standardy datových modelů dávají dapps sdílené chápání profilů, reputace, návrhů DAO a sociálních grafů. Tato data mohou být znovu použita více aplikacemi prostřednictvím otevřené registrace, kterou může odeslat kdokoli.

Oddělení aplikace od datové vrstvy umožňuje uživatelům přenášet svůj obsah, sociální graf a reputaci mezi platformami. Aplikace mohou přistupovat ke stejné databázi a být používány v jejich kontextu, což uživatelům umožňuje získat reputaci, kterou lze skládat v různých kontextech.

peněženka

Obecně řečeno, peněženka zahrnuje rozhraní a základní infrastrukturu pro správu klíčů, komunikaci (výměnu dat mezi držiteli, vydavateli a validátory) a prezentaci a ověřování nároků.

Vyplatí se rozlišovat mezi kryptopeněženkami (MetaMask, Ledger, Coinbase Wallet atd.) a identitními peněženkami. Krypto peněženky ukládají kryptografické klíče jedinečné pro blockchainovou síť a jsou navrženy tak, aby posílaly/přijímaly coiny a podepisovaly transakce. Identitní peněženky ukládají identity a umožňují uživatelům vytvářet a poskytovat nároky, aby mohli poskytovat identifikační data napříč aplikacemi a službami.

Příklady identitních peněženek zahrnují ONTO, Nuggets a Polygon ID Wallet. Některé peněženky identity, jako je Fractal, zahrnují kontroly platnosti a KYC jako součást procesu registrace, takže uživatelé mohou mít nárok na odeslání aplikací, které mají takové požadavky. To je u kryptopeněženek mnohem méně běžné. Kromě toho je také pravděpodobnější, že peněženky identity budou podporovat W3C schválená DID, ověřitelná pověření a implementace DIDComm a také případy použití mimo web3.

WalletConnect je komunikační protokol, který propojuje peněženky s peněženkami a dapps. Jako minimalistický, nezaujatý protokol, který již slouží milionům uživatelů kryptoměn, se WalletConnect může ukázat jako výkonná alternativa k DIDComm při urychlení přijetí infrastruktury nezávislé identity. Na rozdíl od DIDComm, který vyžaduje, aby poskytovatel služeb poskytoval hostovanou infrastrukturu zprostředkovatele, WalletConnect ukládá informace v „cloudové schránce“ v přenosové síti, která je odeslána do peněženky, když je peněženka opět online.

Osvědčení

Autentizace je potvrzení identity uživatele na základě jednoho nebo více autentizačních faktorů. Autentizační faktory mohou být něco, co má uživatel (digitální podpis, ID karta, bezpečnostní token), něco, co zná (heslo, PIN, tajná odpověď) nebo biometrické (otisk prstu, hlas, sken sítnice).

V paradigmatu decentralizované identity se uživatelé mohou autentizovat pomocí svých peněženek. V zákulisí peněženka používá své uložené klíče ke generování digitálních podpisů, které slouží jako „důkaz“, že držitel vlastní soukromý klíč spojený s účtem. Vzhledem k tomu, že kryptopeněženky mohou generovat podpisy, aplikace, které nabízejí přihlášení přes web3, mohou uživatelům umožnit autentizaci pomocí jejich Metamask nebo WalletConnect.

Už roky uživatelé kryptoměn komunikují s dapps prostřednictvím připojených peněženek. Dapp si nepamatuje připojené uživatele a při každé návštěvě webové stránky je považuje za prázdný list.

Dnes mají uživatelé hlubší vzorce interakce s dapps. Decentralizovaná identita se zde stává užitečnou, protože umožňuje aplikacím získat více kontextu kolem uživatele, což jednotlivcům umožňuje zachovat si kontrolu nad svými daty a zároveň poskytovat personalizované prostředí.

Pro bohatší kontextové interakce, jako je načítání uživatelských preferencí, profilů nebo soukromých chatových zpráv, se aplikace musí nejprve ujistit, že mluví se skutečným držitelem klíče za účtem. Zatímco Connected Wallets tuto záruku nenabízejí, certifikační standardy ano. Autentizace naváže relaci s uživatelem a umožňuje aplikacím bezpečně číst a zapisovat jejich data.

Sign-In with Ethereum (SIWE) je autentizační standard propagovaný společnostmi Spruce, ENS a Ethereum Foundation. SIWE standardizuje formát zpráv (podobný jwt), aby uživatelé mohli používat službu přihlášení k účtu založenou na blockchainu. Sign-In with X (CAIP-122) staví na tomto základu a dělá ze SIWE implementaci SIWx zaměřenou na Ethereum, která zobecňuje standard pro provoz napříč blockchainy.

Pro jednotlivce to znamená, že se mohou zaregistrovat nebo přihlásit pomocí své peněženky web3, aniž by si museli vytvářet uživatelské jméno a heslo, s uživatelskou zkušeností „jen pár kliknutí“, která napodobuje sociální přihlášení a zároveň si zachovává kontrolu nad jejich online identitou. Aplikace to mohou využít jako marketingovou strategii k cílení na nativní publikum webu3 a uspokojit potřeby jejich uživatelů.

Ve střednědobém horizontu se možnost přihlásit se do dapps a dalších webových služeb pomocí kryptopeněženky stane vylepšením uživatelské zkušenosti nativní pro web3. To však uživatele vystaví problémům s korelací a sledováním, které se ve web2 stanou velmi škodlivé. Alternativním řešením může být autentizace pomocí Peer DID nebo samocertifikovaných identifikátorů.

Na rozdíl od "normálních" DID popsaných výše jsou Peer DID navrženy pro použití mezi 2 nebo N známými stranami. Mohou být použity jako jedinečný identifikátor pro každou službu a/nebo interakci. Šifrovaná adresa peněženky v této digitální identitě může být uložena u VC jako důkaz ověření pro každou interakci obchodníka nebo služby.

Autorizace a řízení přístupu

Autentizace potvrzuje identitu uživatele, zatímco autorizace určuje, ke kterým zdrojům by měla mít entita přístup a co s těmito zdroji smí dělat. Tyto dva procesy jsou nezávislé, ale často jdou ruku v ruce v procesu uživatelské zkušenosti. Po přihlášení do služby třetí strany pomocí sociálního přihlášení může být uživatel vyzván k některým žádostem o autorizaci, jak je znázorněno na následujícím obrázku:

V modelu federované identity povolujete aplikacím třetích stran prohlížet nebo aktualizovat vaše data uložená u poskytovatele identity (jako je Google) a tyto aplikace udržují seznam a související oprávnění, která jste těmto aplikacím udělili. Autorizační infrastruktura a standardy Web3 také pomáhají dosáhnout tohoto cíle, kromě toho, že máte vlastní suverénní data a můžete udělit každé třetí straně právo dešifrovat/číst/aktualizovat data bez potřeby centralizovaného prostředníka.

S nárůstem tokenizační komunity se také objevily produkty web3 token gating jako Collab.Land, Guild a Tokenproof. Primárním využitím těchto nástrojů je řízení přístupu pro kanály Discord pouze pro členy s podrobnějším přístupem na základě role a reputace. Namísto ručního přidělování přístupu mohou komunity programově udělovat přístup na základě držení tokenů, aktivity v řetězci nebo sociálního ověření.

Lit je decentralizovaný protokol pro správu klíčů a řízení přístupu, který využívá technologii MPC k distribuci „sdílení“ soukromých klíčů mezi uzly sítě Lit. Pár veřejný/soukromý klíč je reprezentován PKP (Programmable Key Pair) NFT, jehož vlastník je jediným správcem páru klíčů. Když jsou splněny libovolně definované podmínky, mohou vlastníci PKP aktivovat síť, aby agregovala sdílené klíče za účelem dešifrování souborů nebo podepisování zpráv jejich jménem.

V kontextu řízení přístupu umožňuje Lit uživatelům definovat podmínky on-chain, které udělují přístup k off-chain zdrojům. DAO může například nahrát soubor do Arweave nebo AWS, zašifrovat jej pomocí Lit a definovat sadu podmínek (jako je vlastnictví NFT). Kvalifikované peněženky podepisují a vysílají zprávu do protokolových uzlů, které zkontrolují blockchain, aby zajistily, že podepisující je způsobilý, a pokud ano, agregují sdílené klíče, aby podepisovatel soubor dešifroval. Stejnou infrastrukturu lze také použít k odemknutí web2 zážitků, jako jsou slevy Shopify, zamčené místnosti Zoom a prostory Gathertown, živé vysílání a přístup na Disk Google.

Kepler organizuje data kolem uživatelsky řízených databází ("Orbits"), které představují určený seznam hostitelů pro data a jako inteligentní smlouva je mohou ovládat pouze jejich klíče. Tyto databáze mohou být spravovány důvěryhodnými stranami, mechanismy konsensu mezi hostiteli, vlastníky zdrojů a platností oprávnění. Každý, kdo používá SIWE, může okamžitě využít výhod soukromé databáze k uložení svých preferencí, digitálních certifikátů a soukromých souborů. Díky podpoře „přineste si vlastní úložiště“ pro více backendů úložiště mohou uživatelé sami hostovat nebo používat spravovanou verzi.

Některé příklady toho, jak mohou aplikace používat kombinace výše uvedených stavebních bloků:

  • Orbis je aplikace sociální sítě ("web3 Twitter/Discord"), která používá Ceramic pro ukládání dat a aktualizace Soukromé zprávy jsou před uložením nejprve šifrovány.

  • Použijte Lit jako decentralizovaný šifrovací systém k delegování toho, kdo může dešifrovat vaše data Tableland

  • Kepler může používat keramické dokumenty jako maják pro směrování do soukromých obchodů

  • Vytvářejte Lit PKP, které umožňují aplikacím „vlastnit“ Ceramic stream a udělují Lit Actions (kód na IPFS) možnost podepisovat a aktualizovat databázi, pokud jsou splněny libovolné podmínky.

CACAO je standard pro vyjádření schopností řetězových agnostických objektů (OCAP), vytvořený pomocí funkce Sign-in-With X. Definuje metodu pro zaznamenávání výsledků operací podpisu SIWx jako objektové schopnosti založené na IPLD (OCAP), vytvářející nejen ověřené akceptace událostí, ale také sestavitelné a znovu přehrávatelné potvrzení o autorizaci pro ověřitelné autorizace.

Metody autorizace umožňují uživatelům udělit aplikacím jemnou, dobře ohraničenou a ověřitelnou schopnost prohlížet/aktualizovat svá data. Navíc to může být založeno na relaci, takže nemusí podepisovat zprávu při každé aktualizaci, ale místo toho mají bohaté interakce s aplikací a podepisují se jednou na konci relace.

Certifikáty a pověření

Zde se dostáváme na vrchol zásobníku decentralizované infrastruktury identity, jak je znázorněno na obrázku.

Některé termíny:

  • Atestací se rozumí atestace, že prohlášení a podpis jsou platné a vyplývá z potřeby nezávislého ověření zaznamenaných událostí.

  • Poukaz je jakýkoli dokument s podrobnými informacemi o jednom subjektu, napsaný a podepsaný jiným subjektem nebo jimi samotnými. Pověření jsou odolná proti neoprávněné manipulaci a kryptograficky ověřitelná a lze je uložit do peněženky.

Verifiable Credentials (VC) jsou standardní datový model a formát reprezentace pro šifrovatelné digitální přihlašovací údaje, jak je definováno ve specifikaci W3C Verifiable Credentials:

  • Vydavatel je strana, která vydala pověřovací listinu (například univerzita)

  • Vlastníkem pověření je držitel (např. student)

  • Ověřovatel pro ověření certifikátu (např. potenciální zaměstnavatel)

  • Ověřitelná prezentace je, když uživatelé sdílejí svá data s třetí stranou, která může ověřit, že pověření bylo skutečně podepsáno vydavatelem

Vezměte prosím na vědomí, že „vydavatel“, „držitel“ a „ověřovatel“ jsou relativní. Každý má svůj vlastní DID a pověření, které shromažďuje.

Pověření jsou základním kamenem reputace a pověst je společenský fenomén, který se mění s měnícími se okolnostmi. Jedno nebo více pověření lze použít jako zástupce pro kvalifikaci, schopnosti nebo oprávnění subjektu. Každý si může říct, že vystudoval s vyznamenáním prestižní univerzitu, ale pro nikoho jiného to nic neznamená. Certifikáty držené univerzitami jsou považovány za legitimní nebo prestižní.

I když odznaky nativní Web3 a projekty certifikace X nedodržují standardy VC W3C, můžeme z výše popsaných systémů vyvodit podobnosti.

  • Nejpřímějším příkladem jsou nepřenosné odznaky NFT, které mohou razit pouze peněženky, které dokončily nějakou aktivitu na řetězci. Protože veškerá transakční historie je na řetězu, je od začátku ověřitelná a odolná proti neoprávněné manipulaci. DegenScore kvantifikuje vaše atributy lidoopů shrnutím vašich interakcí s protokoly DeFi a vygeneruje skóre pomocí pravidel pro inteligentní smlouvu. Můžete razit mince a uchovávat je jako „DeFi Credential“ ve své kryptopeněžence. Pokud by existovalo Degen DAO omezené na osoby s určitým skóre, pak byste mohli toto NFT předložit DAO a protokol token gating by pak mohl ověřit, že jej držíte, a mohli byste vstoupit do DAO - Proof of Degen

  • POAP * Důkaz, že jste se zúčastnili akce nebo potkali někoho IRL - Proof of Attendance/Proof of Encounter

  • Otterspace umožňuje DAO rozhodnout, co je smysluplná práce, a vydat odznaky ntNFT svým členům, Proved vyžaduje, aby DAO „podepsal“ nárok, než mu jeho členové razí odznaky NFT specifické pro DAO – Proof of Contribution

  • 101 Na konci online kurzů, jakmile studenti složí test, je vydán ntNFT – Certificate of Learning.

  • Kleovere vydává uživatelům odznaky kompetence Typescript, Rust nebo Solidity na základě dat GitHubu – důkaz dovedností

  • Kromě případů použití řízení přístupu popsaných výše mohou Lit PKP působit také jako kryptografický notář, přičemž před podepsáním certifikátů jsou kontrolovány Lit Actions. Decentralizovaná vzdělávací platforma by například mohla umožnit tvůrcům kurzů definovat, co se počítá jako úspěšné složení testu, a nasadit tyto podmínky jako Lit Actions k programovému vydávání VC pomocí jejich PKP na základě těchto podmínek.

Zde vyvstávají 2 otázky: Které z těchto certifikačních datových bodů jsou smysluplné a jak je agregujeme, abychom získali reputaci?

Protokol Orange poskytuje řešení: integrace těchto datových bodů do dobře definovaných modelů prostřednictvím poskytovatelů modelů. Na Orange se poslanci obecně odvolávají na platformy, které mají ve svých systémech opatření na hodnocení reputace. „Poskytovatelé dat“ umožňují, aby jejich data byla použita jako vstup do modelů navržených poskytovateli modelů. Poslanci pak přidávají metody výpočtu a přiřazují značky reputace různým entitám a zpřístupňují tyto modely ostatním k použití. Dapps může tyto modely reputace spravovat a připojit se k nim pro své případy použití.

Svá data zatím Orangeu poskytly Aave, Gitcoin, Snapshot, DAOHaus atd. Tato data modelují oni a další projekty, jako je Dework, talentDAO a Crypto Sapiens, aby členům poskytovaly ntNFTs, což odemyká širokou škálu příležitostí od zlepšení oprávnění Discord pomocí CollabLand a Guild až po reputaci vážené řízení Snapshot.

soukromí

Žádná diskuse o infrastruktuře identity není úplná bez zvážení obav o soukromí a technických primitiv, které soukromí umožňují. Soukromí je faktorem na všech úrovních v zásobníku. Za posledních deset let přijetí blockchainu urychlilo vývoj silných kryptografických primitiv, jako jsou zk-proofs, navíc k jeho aplikaci v technologiích škálování, jako jsou rollupy, které umožňují identitám provádět jemné změny veřejně ověřitelných informací, prohlášení o ochraně soukromí .

Záruky ochrany soukromí nám pomáhají vyhnout se negativním externalitám, které s sebou přináší používání plně transparentních dat k vytváření důvěryhodných tvrzení. Bez těchto záruk mohou třetí strany iniciovat interakce mimo rámec (např. reklama, obtěžování), které nesouvisejí s původní transakcí. Využitím kryptografie a technologií zk můžeme budovat systémy identity, kde jsou interakce a sdílení dat „izolovány“ v jasně definovaných, kontextově citlivých hranicích.

„Normální“ ověřitelné přihlašovací údaje se obvykle dodávají ve formátu JSON-JWT nebo JSON-LD a každé pověření má externí nebo vložené potvrzení (digitální podpis), díky čemuž je odolné proti neoprávněné manipulaci a je ověřitelné, jehož autorem je vydavatel.

Zk-proofs a nová schémata podpisů vylepšují funkce ochrany soukromí W3 C VC, jako například:

  • Odolnost vůči korelaci: Pokaždé, když držitel sdílí pověření, je tento identifikátor sdílen, takže pokaždé, když je předloženo pověření, znamená to, že je možné, aby se ověřovatelé dohodli a viděli, kde držitel předložil své pověření a vůli. osoba. S podpisovým braillským písmem můžete pokaždé sdílet jedinečný důkaz svého podpisu, aniž byste sdíleli podpis samotný.

  • Selektivní zveřejnění: Sdílejte pouze nezbytné atributy virtuálního majitele a zbytek skryjte. Jak přihlašovací údaje JSON-JWT, tak přihlašovací údaje podepsané JSON-LD LD vyžadují, aby držitel sdílel celé přihlašovací údaje s ověřovatelem – nedochází k „částečnému“ sdílení.

  • Složený nátisk: Spojte vlastnosti více VC do jediného nátisku, aniž byste museli jít k vydavateli nebo generovat nový VC.

  • Predikce: Umožňuje použití skrytých hodnot v operacích s hodnotou poskytnutou validátorem. Například zůstatek na účtu držitele poukázky překročí určitou hranici, aniž by byl zveřejněn, nebo, jak se často uvádí, prokážete, že jste dosáhli zákonného věku pro pití, aniž byste uvedli své datum narození.

Jedním slibným přístupem je podpisové schéma BBS, původně navržené MATTR v roce 2020. Návrh umožňuje používat podpisy BBS s formátem JSON-LD, který běžně používají virtuální poskytovatelé. Držitelé mohou volitelně zveřejnit prohlášení obsažená v původně podepsaném certifikátu. Důkaz vytvořený tímto schématem je důkazem o podpisu s nulovými znalostmi, což znamená, že ověřovatel nemůže určit, který podpis byl použit k vytvoření důkazu, čímž se eliminuje společný zdroj korelace.

Iden3 je protokol nativní identity ZooKeeper, který poskytuje programovatelný rámec ZooKeeper a knihovny s otevřeným zdrojovým kódem pro primitiva identity ZooKeeper, ověřování a atestace generované nároky. Protokol generuje páry klíčů pro každou identitu pomocí eliptických křivek Baby Jubjub, které jsou navrženy tak, aby efektivně spolupracovaly s zk-SNARK používanými k prokázání vlastnictví identity a nároků způsobem zachovávajícím soukromí. PolygonID v současné době používá protokol pro svou peněženku identity.

Aplikace zkp je aktivní oblastí výzkumu a experimentů, která v posledních několika letech vyvolala v kryptokomunitě velké vzrušení. Ve web3 jsme viděli jeho použití v následujících aplikacích:

  • Private Airdrop: Stealthdrop

  • Důkazy chránící soukromí, ale důvěryhodné: Sismo (vlastnictví), Semafor (členství).

  • Anonymní zasílání zpráv: heyanon

  • Anonymní hlasování/hlasování: Melo

 

na závěr

 

Některé obecné důsledky této studie:

  • Stejně jako Crypto katalyzovalo vývoj a přijetí DPKI, skladatelná pověst, která poskytuje online/IRL přístup, bude katalyzátorem pro decentralizovanou infrastrukturu identit. V současné době jsou protokoly pro vydávání pověření (x-proof) roztříštěné napříč různými případy použití a blockchainovými sítěmi. V roce 2023 uvidíme, jak agregační vrstva těchto (jako profilů) dospěje a získá přijetí jako jednotné rozhraní, zejména pokud jej lze použít k odemknutí zážitků mimo kryptoměny, jako je přístup k událostem nebo slevám v e-commerce.

  • Správa klíčů zůstává třecím bodem a je náchylná k jednotlivým bodům selhání. Toto je neohrabaný zážitek pro většinu krypto-nativních uživatelů a zcela nepřístupný zážitek pro většinu spotřebitelů. Federation je vylepšení uživatelského prostředí modelu web1.0, které umožňuje jednotné přihlášení pomocí uživatelského jména a hesla pro každou aplikaci. I když se uživatelská zkušenost s autentizací web3 zlepšuje, stále poskytuje špatnou uživatelskou zkušenost, vyžaduje počáteční frázi a poskytuje omezené možnosti v případě ztráty klíče. Zlepšení v této oblasti uvidíme, až technologie MPC dospěje a bude propagována mezi jednotlivci a institucemi.

  • Krypto infrastruktura splňuje potřeby uživatelů ve web2. Web3 primitivové se začínají integrovat s web2 aplikacemi a službami, aby přinesli decentralizovanou identitu masám, jako je Collab.Land integrující se s Nuggets, což umožňuje uživatelům Redditu využívat svou reputaci jako VC k odemknutí přístupu. Auth0 autentizační a autorizační middleware integruje SIWE jako poskytovatele identity a jejich podnikoví zákazníci nyní mohou poskytovat přihlášení k peněžence mimo SSO.

  • Jak se data demokratizují, je třeba ověřit mechanismy čištění. Stejně jako indexovací protokol The Graph používá síť kurátorů a delegátů k signalizaci nejužitečnějších podgrafů (API pro data v řetězci), datové modely kolem uživatelů a pověst protokolů jako Ceramic a Orange vyžadují čas a zapojení komunity, aby dospěli mimo DAO a případy použití kryptoměn.

  • Ochrana osobních údajů. Projekty by měly při výběru zásobníku pečlivě zvážit dopad veřejného nebo trvalého úložiště. Ve srovnání s kombinací VC, efemérních a P&DID, které chrání soukromí, a také ZKP pro aktivity v řetězci/mimo řetězce mohou být „čisté“ NFT s veřejnými daty vhodné pro případy omezeného použití (např. činnosti), které poskytují funkce, jako je selektivní zveřejňování, střídání klíčů, antikorelace a odvolatelnost.

  • Nové kryptografické nástroje jako zkSNARKs budou důležitou součástí příští generace infrastruktury identit. Zatímco zkp je v současné době implementován v izolovaných případech použití, bude vyžadovat kolektivní výzkum a vývoj zdola nahoru zaměřený na vzory návrhu aplikací, implementace obvodů ZK pro kryptografická primitiva, nástroje pro zabezpečení obvodů a vývojářské nástroje. To je něco, na co je třeba dávat pozor.

Decentralizovaná identita je velký projekt a vyžaduje úsilí celého ekosystému sblížit se se standardy, iterovat primitiva a vzájemně se ověřovat ohledně dopadu návrhových rozhodnutí.

Tento článek pokrývá infrastrukturní část decentralizovaného zásobníku identit a další článek se bude zabývat konfiguračními soubory, odolností Sybil, dodržováním předpisů a aplikačními vrstvami, které všechny umožňují zde uvedené stavební bloky.