В этой статье рассматриваются основные концепции децентрализованной идентификации, эволюция идентификации в Интернете, поэтапный обзор стека инфраструктуры идентификации Web3 и соответствующие разработки в области примитивов конфиденциальности. Уровни подтверждения личности, соответствия требованиям и применения будут рассмотрены в будущих статьях.

Идентичность — это возникающий атрибут, состоящий из данных, связанных с человеком, сущностью или объектом. В физическом мире мы храним эти данные в нашем мозгу в виде абстрактных репутаций и психологических ассоциаций. В цифровом мире идентичность формализована и состоит из двух компонентов:

  • Идентификатор: уникальный набор символов или цифр, идентифицирующий предмет (например, номер паспорта, идентификатор Twitter, студенческий билет).

  • Данные, относящиеся к теме (например, история путешествий, твиты и подписки, академические достижения).

Создать уровень идентичности для Интернета сложно, поскольку отсутствует консенсус относительно того, каким он должен быть и как он должен функционировать. Цифровая идентичность контекстуальна, и мы воспринимаем Интернет через разнообразный контент, который существует как минимум во многих различных контекстах. Сегодня большая часть нашей цифровой идентичности фрагментирована и находится под контролем горстки заинтересованных сторон, которые заинтересованы в том, чтобы мы не вытекли из их среды куда-либо еще.

  • Компании рассматривают отношения с клиентами как важнейший актив и не желают отказываться от контроля над этими отношениями. Пока не существует метода, который мог бы послужить стимулом для этого. Даже одноразовая временная личность лучше, чем структура, которую они не могут контролировать.

  • Конкретные отрасли, такие как финансы, имеют уникальные потребности (например, соблюдение требований), когда речь идет о поддержании цифровых отношений с клиентами и поставщиками.

  • У правительств есть потребности, которые отличаются от потребностей других типов организаций. Например, юрисдикция в отношении водительских прав и паспортов.

Эта модель создает асимметрию власти между отдельными людьми и сторонами, которые управляют нашими личностями и данными. Это ограничивает нашу автономию, не позволяет нам давать согласие, выборочно раскрывать информацию о себе и переносить нашу личность в разные контексты для единообразного опыта онлайн и оффлайн.

До появления Crypto и web3 децентрализованная идентификация была коллективным усилием. Общая цель состоит в том, чтобы люди восстановили автономию в отношении своей личности, не полагаясь на централизованного единого привратника. Неправомерное использование данных клиентов и подрыв доверия к крупным корпорациям сделали децентрализацию центральным элементом следующей эры интернет-идентичности.

1 Основная концепция децентрализованной идентификации

Децентрализованные идентификаторы (DID) и доказательства являются основными строительными блоками децентрализованной идентификации. DID публикуются и хранятся в проверяемом реестре данных (VDR) как автономное «пространство имен», которое не управляется централизованно. Помимо блокчейна, в качестве VDR также могут выступать децентрализованная инфраструктура хранения и P2P-сети.

Здесь субъекты (отдельные лица, сообщества, организации) могут использовать децентрализованную инфраструктуру открытых ключей (PKI) для аутентификации, подтверждения владения и управления своим DID. В отличие от традиционной сетевой PKI, она не полагается на централизованный центр сертификации (CA) в качестве корня. доверять.

Данные о личности записываются как доказательства, то есть «претензия» одной личности к другой (или к себе). Проверка утверждений осуществляется с помощью криптографических подписей, реализованных PKI.

Децентрализованные идентификаторы имеют 4 основных свойства:

  • Децентрализация: создание без опоры на централизованные институты. Сущности можно создавать так, как они хотят, сохраняя желаемые личности, роли и взаимодействия раздельными в разных контекстах.

  • Постоянство: после создания он навсегда закрепляется за объектом. (Хотя некоторые DID предназначены для эфемерных идентификаторов).

  • Parsable: может использоваться для раскрытия дополнительной информации об объекте.

  • Возможность проверки: организации могут доказать право собственности на DID или заявления о нем (проверяемые учетные данные), не полагаясь на третьи стороны, благодаря криптографическим подписям и аттестациям.

Эти свойства отличают DID от других идентификаторов, таких как имена пользователей (не поддающиеся проверке), паспорта (не децентрализованные) и адреса блокчейна (непостоянные, ограниченно разрешимые).

Консорциум Всемирной паутины (W3C) — это международное сообщество организаций, сотрудников и общественности, работающих вместе над разработкой веб-стандартов. Спецификация DID W3C определяет 4 основные части:

  • Сценарий: Префикс «did» сообщает другим системам, что он взаимодействует с DID, а не с другим типом идентификатора, например URL-адресом, адресом электронной почты или штрих-кодом продукта.

  • Метод DID: указывает другим системам, как интерпретировать идентификатор. На веб-сайте W3 C перечислено более 100 методов DID, часто связанных с собственным VDR и с различными механизмами создания, анализа, обновления и деактивации идентификаторов.

  • Уникальный идентификатор: уникальный идентификатор, специфичный для метода DID. Например, адрес в конкретном блокчейне.

  • Файл DID: 3 раздела выше анализируются в файл DID, который содержит способ аутентификации объекта, любые свойства/утверждения об объекте и указатели на расположение дополнительных данных об объекте («конечная точка службы»).

2 Влияние криптографии

Хотя инфраструктура открытых ключей (PKI) существует уже давно, Crypto ускорила свое внедрение благодаря механизму стимулирования сети токенов. То, что когда-то использовалось в основном технологами, ориентированными на конфиденциальность, теперь является обязательным условием для участия в новой экономике. Пользователям необходимо создавать кошельки для самостоятельного хранения активов и взаимодействия с приложениями Web3. Благодаря буму ICO, лету DeFi, мании NFT и сообществу токенизации, у пользователей в руках больше ключей, чем когда-либо прежде. Далее следует динамичная экосистема продуктов и услуг, которые делают управление ключами проще и безопаснее. Криптовалюта стала идеальным троянским конем для децентрализованной инфраструктуры идентификации и ее внедрения.

Начнем с кошельков. Хотя кошельки по-прежнему в первую очередь рассматриваются в контексте управления активами в финансовом смысле, токенизация и история цепочки позволили нам представлять наши интересы (коллекции NFT), работу (Kudos, 101) и мнения (голосование по управлению). Потеря личных ключей становится все больше похожа на потерю паспорта или учетной записи в социальной сети, а не на потерю денег. Криптовалюта стирает границы между тем, чем мы владеем, и тем, кем мы являемся.

Однако наша деятельность и активы в сети дают ограниченное представление о том, кем мы являемся (и не сохраняем конфиденциальность). Блокчейн — это всего лишь один уровень децентрализованного стека идентификационных данных. Другие стеки также помогают решить важные проблемы, такие как:

  • Как мы идентифицируем и аутентифицируем себя в сетях и экосистемах?

  • Как мы подтверждаем свою репутацию (репутацию, уникальность, соответствие требованиям), сохраняя при этом конфиденциальность?

  • Как мы предоставляем, управляем и отзываем доступ к нашим данным?

  • Как мы взаимодействуем с приложениями в мире, где мы сами контролируем свою личность и данные?

Решение этих проблем окажет глубокое влияние на то, как Интернет будет выглядеть для будущих поколений.

В следующих разделах поэтапно рассматривается стек идентификаторов Web3. То есть проверяемая регистрация данных, децентрализованное хранение, возможность изменения и компоновки данных, кошельки, аутентификация, авторизация и аттестация.

3. Стек идентификаторов Web3

Блокчейн как проверяемый реестр данных

Распределенная и неизменяемая природа блокчейна делает его подходящим в качестве проверяемого реестра данных, для которого можно выдавать DID. Фактически, различные публичные блокчейны имеют методы DID W3 C, такие как:

  • В Ethereum Did:ethr:public key представляет собой идентификатор учетной записи Ethereum.

  • Cosmos, Did:cosmos:chainspace:namespace:unique-id представляет активы, совместимые между цепочками Cosmos.

  • Биткойн, где Did:btcr: btcr-identifier представляет собой идентификатор транзакции в кодировке TxRef, ссылающийся на местоположение транзакции в блокчейне Биткойна на основе UTXO.

Примечательным является метод Did:pkh:address — генеративный подход DID, не зависящий от реестра, предназначенный для обеспечения совместимости в сетях блокчейнов. Согласно стандарту CAIP-10, это идентификатор учетной записи, используемый для выражения пары ключей между цепочками.

Fractal — это протокол предоставления и проверки личности, разработанный для приложений, требующих уникальных и различных уровней KYC для пользователей. После завершения проверки достоверности и/или KYC Fractal DID публикуется на соответствующий адрес Ethereum и добавляется в соответствующий список. Регистрация DID Fractal — это смарт-контракт на Ethereum, согласно которому стороны транзакции могут запрашивать DID Fractal и уровень его проверки.

Kilt, Dock и Sovrin — это блокчейны для конкретных приложений, обеспечивающие суверенную идентичность. На момент написания этой статьи они в основном использовались предприятиями для выдачи удостоверений и учетных данных конечным пользователям. Чтобы участвовать в сети, узлам необходимо размещать собственные токены для обработки транзакций, таких как выдача DID/учетных данных, определения схем учетных данных и выполнения обновлений отзыва.

Децентрализованное хранение данных

Хотя блокчейны общего назначения также могут служить источником неизменяемых пользовательских данных, таких как информация о владении активами и истории транзакций (например, трекеры портфеля и приложения «оценка DeFi»), они могут не подходить для хранения большинства данных о пользователях. написание и регулярное обновление больших объемов информации требует операционных затрат и ставит под угрозу конфиденциальность, поскольку данные по умолчанию видны.

Тем не менее, существуют некоторые блокчейны для конкретных приложений, такие как Arweave*, которые предназначены для постоянного хранения. Arweave платит майнерам вознаграждение за блок и комиссию за транзакции в обмен на копии информации, хранящейся в сети. Майнерам необходимо предоставить «доказательство доступа», чтобы добавлять новые блоки. Часть комиссий также выплачивается в постоянный благотворительный фонд, который будет выплачиваться майнерам в будущем, когда расходы на хранение не смогут быть покрыты инфляцией и сборами.

Ethereum и Arweave являются примерами подходов к сохранению данных на основе блокчейна. В Ethereum каждый полный узел должен хранить всю цепочку. В Arweave все данные, необходимые для обработки новых блоков и новых транзакций, записываются в состояние каждого отдельного блока, что позволяет новым участникам присоединиться к сети, просто загрузив текущий блок от своих доверенных узлов.

Сохранение на основе контракта означает, что данные не могут быть скопированы и сохранены постоянно на каждом узле. Вместо этого данные сохраняются посредством контрактов с несколькими узлами, которые соглашаются хранить блок данных в течение определенного периода времени и должны обновляться каждый раз, когда они заканчиваются, чтобы поддерживать постоянство данных.

IPFS позволяет пользователям хранить и передавать проверяемые данные с адресацией по содержимому в одноранговой сети. Пользователи могут сохранять нужные данные на своих собственных узлах IPFS, использовать выделенные группы узлов или использовать сторонние сервисы «pinnin», такие как Pinata, Infura или web3.storage. Пока существует узел, хранящий данные, данные существуют в сети и доступны другим узлам, когда они их запрашивают. Поверх IPFS находятся криптоэкономические уровни, такие как Filecoin и Crust Network, предназначенные для стимулирования хранения данных в сети путем создания распределенного рынка для долгосрочного хранения данных.

Для личной информации (PII) разрешенная IPFS может использоваться для соблюдения права на забвение GDPR/CCPA, поскольку она позволяет пользователям удалять свои данные, хранящиеся в сети. Identity Wallet Nuggets использует этот подход и еще больше децентрализует его, позволяя продавцам и партнерам запускать выделенные узлы.

Другие решения децентрализованного хранения на основе контрактов включают Sia и Storj, которые шифруют и распределяют отдельные файлы по нескольким узлам сети. Оба используют стирающее кодирование (требующее только подмножества узлов хранения для обслуживания файлов) для обеспечения доступности данных, даже если некоторые узлы отключаются от сети. Они также имеют встроенную структуру стимулов и используют собственные токены для хранения.

Изменения данных и возможность компоновки

Universal Blockchain, Arweave и IPFS гарантируют неизменность — полезное свойство для таких данных, как статические изображения NFT и постоянные записи. Однако сегодня наше взаимодействие с большинством приложений постоянно обновляет наши данные. Протокол Web3, разработанный для энергозависимых данных, делает это, используя нижний уровень децентрализованного хранения.

Ceramic — это протокол децентрализованной изменчивости и компоновки данных, который работает путем преобразования неизменяемых файлов в постоянных сетях хранения данных, таких как IPFS или Arweave, в динамические структуры данных. В Ceramic эти «потоки данных» подобны собственному изменяемому реестру. Частные данные могут храниться вне цепочки, при этом их схема индексируется в Ceramic и прикрепляется к хранилищу данных DID, ведущему к внешнему частному хранилищу.

Когда пользователи обновляют свой профиль в приложении на базе Ceramic, протокол проверяет эти обновления в виде потока, преобразуя его в новое состояние, сохраняя при этом изменения предыдущего состояния. Каждое обновление в Ceramic подтверждается DID, который может быть сопоставлен с несколькими адресами, что дает пользователям возможность обновлять свои данные без сервера.

Сегодня субъекты Web2 владеют пользовательским интерфейсом и серверной частью, где они хранят и контролируют пользовательские данные. Google и Facebook используют эти данные для алгоритмической персонализации нашего опыта на своих платформах, дополнительно обрабатывая собираемые ими данные. Новые приложения приходится создавать с нуля, и они не могут обеспечить персонализированный опыт с самого начала, что делает рынок менее конкурентным.

Web3 демократизирует данные, выравнивает правила игры для новых продуктов и услуг и создает открытую среду для экспериментов и конкурентные рынки для приложений. В мире, где пользователи могут переносить данные с одной платформы на другую, разработчикам приложений не нужно начинать с чистого листа, они могут мгновенно персонализировать свой опыт; Пользователи могут войти в систему со своим кошельком и разрешить приложению чтение/запись в «базу данных», над которой они имеют полный контроль.

ComposeDB on Ceramic — это децентрализованная графовая база данных, которая позволяет разработчикам приложений обнаруживать, создавать и повторно использовать составные модели данных с помощью GraphQL. Узлы на схеме — это учетные записи (DID) или файлы (потоки данных). Ребра графа представляют отношения между узлами.

DID представляет собой любой объект, который может записывать данные в граф, например, конечного пользователя, организацию, приложение или любой тип службы аутентификации.

Модели — это керамические потоки, в которых хранятся метаданные о структуре данных документа, правилах проверки, связях и информации обнаружения. Разработчики могут создавать, комбинировать и повторно смешивать модели в комбинации данных, которые служат базой данных для их приложений. Это заменяет традиционную таблицу пользователей централизованным UID и соответствующими данными. Приложения могут быть построены на основе общего набора данных, контролируемого пользователями, а не на управлении собственными независимыми таблицами.

Поскольку приложения могут свободно определять модели, которые они будут использовать в конкретных контекстах, рынок курирования становится важным, поскольку он предоставляет сигнал для наиболее полезных моделей данных (схема, определенная для социальных графов, сообщений в блогах и т. д.). Имея рынок для этих моделей данных, приложения могут сигнализировать об этих моделях, чтобы их было легче использовать. Это будет стимулировать наборы общедоступных данных для создания более качественной аналитики и инфографики, чтобы на этой основе можно было и дальше внедрять инновации.

Tableland — это инфраструктура для изменяемых структурированных реляционных данных, где каждая таблица создается как NFT в EVM-совместимой цепочке. Владелец NFT может настроить логику управления доступом к таблице, позволяя третьей стороне выполнять обновления базы данных, если у этой стороны есть соответствующие разрешения на запись. Tableland управляет сетью автономных валидаторов, которые управляют созданием таблиц и последующими изменениями.

Обновления внутри и вне цепочки обрабатываются смарт-контрактами, которые указывают на сеть Tableland с использованием baseURI и tokenURI. С помощью Tableland метаданные NFT можно изменять (с использованием контроля доступа), запрашивать (с помощью SQL) и комбинировать (с другими таблицами в Tableland).

Стандарты смарт-контрактов, такие как ERC-20 и ERC-721, дают децентрализованным приложениям общий язык о том, как мы создаем и передаем токены, а стандарты моделей данных дают децентрализованным приложениям общее понимание профилей, репутации, предложений DAO и социальных графиков. Эти данные могут повторно использоваться несколькими приложениями посредством открытой регистрации, которую может отправить каждый.

Отделение приложения от уровня данных позволяет пользователям переносить свой контент, социальный график и репутацию между платформами. Приложения могут получать доступ к одной и той же базе данных и использоваться в своем контексте, что позволяет пользователям получать составную репутацию в разных контекстах.

кошелек

Вообще говоря, кошелек включает в себя интерфейсы и базовую инфраструктуру для управления ключами, связи (обмена данными между держателями, эмитентами и валидаторами), а также представления и проверки претензий.

Стоит различать криптокошельки (MetaMask, Ledger, Coinbase Wallet и т. д.) и идентификационные кошельки. Криптокошельки хранят уникальные для сети блокчейна криптографические ключи и предназначены для отправки/получения монет и подписи транзакций. Кошельки идентификационных данных хранят идентификационные данные и позволяют пользователям создавать и предоставлять утверждения, чтобы они могли предоставлять идентификационные данные в приложениях и службах.

Примеры кошельков для идентификации включают ONTO, Nuggets и Polygon ID Wallet. Некоторые кошельки для идентификации, такие как Fractal, включают проверку действительности и KYC в рамках процесса регистрации, поэтому пользователи могут подать заявку на отправку в приложения, которые предъявляют такие требования. В криптокошельках это встречается гораздо реже. Кроме того, кошельки удостоверений с большей вероятностью будут поддерживать DID, санкционированные W3C, проверяемые учетные данные и реализации DIDComm, а также варианты использования за пределами web3.

WalletConnect — это протокол связи, который соединяет кошельки с кошельками и децентрализованными приложениями. WalletConnect — минималистичный, беспристрастный протокол, который уже обслуживает миллионы пользователей криптовалюты. Он может оказаться мощной альтернативой DIDComm в ускорении внедрения инфраструктуры самостоятельных идентификационных данных. В отличие от DIDComm, который требует от поставщика услуг предоставления размещенной посреднической инфраструктуры, WalletConnect хранит информацию в «облачном почтовом ящике» в сети ретрансляции, которая передается в кошелек, когда кошелек снова подключается к сети.

Сертификация

Аутентификация — это подтверждение личности пользователя на основе одного или нескольких факторов аутентификации. Факторами аутентификации может быть то, что есть у пользователя (цифровая подпись, удостоверение личности, токен безопасности), что-то, что он знает (пароль, PIN-код, секретный ответ) или биометрические данные (отпечаток пальца, голос, сканирование сетчатки).

В парадигме децентрализованной идентификации пользователи могут аутентифицировать себя, используя свои кошельки. За кулисами кошелек использует сохраненные ключи для создания цифровых подписей, которые служат «доказательством» того, что владелец владеет закрытыми ключами, связанными с учетной записью. Поскольку криптокошельки могут генерировать подписи, приложения, предлагающие вход в систему через Web3, могут позволить пользователям проходить аутентификацию с помощью Metamask или WalletConnect.

В течение многих лет пользователи криптовалюты взаимодействовали с децентрализованными приложениями через подключенные кошельки. Приложение не запоминает подключенных пользователей и рассматривает их как чистый лист каждый раз, когда они посещают веб-сайт.

Сегодня у пользователей есть более глубокие модели взаимодействия с децентрализованными приложениями. Децентрализованная идентификация становится здесь полезной, поскольку она позволяет приложениям получать больше контекста вокруг пользователя, позволяя людям сохранять контроль над своими данными, обеспечивая при этом персонализированный опыт.

Для более богатых контекстных взаимодействий, таких как загрузка пользовательских настроек, профилей или сообщений личного чата, приложению необходимо сначала убедиться, что оно общается с фактическим держателем ключа, стоящего за учетной записью. Хотя подключенные кошельки не предоставляют такой гарантии, ее предоставляют стандарты сертификации. Аутентификация устанавливает сеанс с пользователем и позволяет приложениям безопасно читать и записывать свои данные.

Вход с помощью Ethereum (SIWE) — это стандарт аутентификации, впервые разработанный Spruce, ENS и Ethereum Foundation. SIWE стандартизирует формат сообщений (аналогичный jwt), позволяющий пользователям использовать службу входа в учетную запись на основе блокчейна. Вход с помощью X (CAIP-122) основан на этом фундаменте, что делает SIWE ориентированной на Ethereum реализацией SIWx, обобщающей стандарт для работы в разных блокчейнах.

Для частных лиц это означает возможность зарегистрироваться или войти в систему с помощью своего кошелька web3 без необходимости создавать имя пользователя и пароль, используя пользовательский интерфейс «всего в несколько кликов», который имитирует вход в социальную сеть, сохраняя при этом контроль над своей онлайн-идентичностью. Приложения могут использовать это в качестве маркетинговой стратегии для ориентации на собственную аудиторию Web3 и удовлетворения потребностей пользователей.

В среднесрочной перспективе возможность входа в децентрализованные приложения и другие сервисы Web2 с помощью криптокошелька станет улучшением пользовательского опыта, свойственным Web3. Однако это подвергает пользователей проблемам корреляции и отслеживания, которые становятся очень вредными в web2. Альтернативным решением может служить аутентификация через одноранговые DID или самосертифицированные идентификаторы.

В отличие от «обычных» DID, описанных выше, одноранговые DID предназначены для использования между 2 или N известными сторонами. Их можно использовать в качестве уникального идентификатора для каждой услуги и/или взаимодействия. Зашифрованный адрес кошелька в этом цифровом удостоверении может храниться в виртуальной валюте в качестве доказательства проверки для каждого взаимодействия с продавцом или услугой.

Авторизация и контроль доступа

Аутентификация подтверждает личность пользователя, а авторизация определяет, к каким ресурсам объект должен иметь доступ и что ему разрешено делать с этими ресурсами. Эти два процесса независимы, но часто идут рука об руку в процессе взаимодействия с пользователем. После входа в сторонний сервис с помощью входа через социальную сеть пользователю могут быть предложены некоторые запросы авторизации, как показано на следующем рисунке:

В модели федеративной идентификации вы разрешаете сторонним приложениям просматривать или обновлять ваши данные, хранящиеся у поставщика удостоверений (например, Google), и они поддерживают список и соответствующие разрешения, которые вы предоставили этим приложениям. Инфраструктура и стандарты авторизации Web3 также помогают достичь этой цели, за исключением того, что у вас есть независимые данные и вы можете предоставить каждой третьей стороне право расшифровывать/читать/обновлять данные без необходимости использования централизованного посредника.

По мере роста сообщества токенизаторов растут и такие продукты для управления токенами Web3, как Collab.Land, Guild и Tokenproof. Основное использование этих инструментов — контроль доступа к каналам Discord, доступным только для участников, с более детальным доступом в зависимости от роли и репутации. Вместо того, чтобы вручную назначать доступ, сообщества могут предоставлять доступ программно на основе наличия токенов, активности в сети или социальной проверки.

Lit — это децентрализованный протокол управления ключами и контроля доступа, который использует технологию MPC для распределения «долей» закрытых ключей между узлами сети Lit. Пара открытого/закрытого ключей представлена ​​NFT PKP (программируемая пара ключей), владельцем которого является единственный контроллер пары ключей. При выполнении произвольно определенных условий владельцы PKP могут активировать сеть для объединения общих ключей для расшифровки файлов или подписи сообщений от их имени.

В контексте контроля доступа Lit позволяет пользователям определять условия в цепочке, которые предоставляют доступ к ресурсам вне цепочки. Например, DAO может загрузить файл в Arweave или AWS, зашифровать его с помощью Lit и определить набор условий (например, владение NFT). Соответствующие кошельки подписывают и передают сообщение узлам протокола, которые проверяют блокчейн, чтобы убедиться, что подписывающая сторона имеет право на это, и, если да, агрегируют общие ключи для подписывающей стороны для расшифровки файла. Эту же инфраструктуру можно также использовать для разблокировки возможностей Web2, таких как скидки Shopify, заблокированные комнаты Zoom и пространства Gathertown, прямые трансляции и доступ к Google Диску.

Kepler организует данные в базах данных, управляемых пользователем («Орбиты»), которые представляют собой назначенный список хостов для данных, и, как смарт-контракт, только их ключи могут управлять ими. Этими базами данных могут управлять доверенные стороны, механизмы консенсуса между хостами, владельцами ресурсов и сроками действия разрешений. Любой, кто использует SIWE, может сразу же воспользоваться частной базой данных для хранения своих предпочтений, цифровых сертификатов и личных файлов. Благодаря поддержке «принеси свое собственное хранилище» для нескольких серверных хранилищ пользователи могут самостоятельно размещать или использовать управляемую версию.

Несколько примеров того, как приложения могут использовать комбинации ранее упомянутых строительных блоков:

  • Orbis — это приложение социальной сети («web3 Twitter/Discord»), которое использует Ceramic для хранения данных и обновлений. Перед сохранением личные сообщения сначала шифруются с помощью Lit.

  • Используйте Lit как децентрализованную систему шифрования, чтобы делегировать полномочия по расшифровке ваших данных Tableland.

  • Кеплер может использовать керамические документы в качестве маяка для маршрутов в частные магазины.

  • Создайте Lit PKP, которые позволят приложениям «владеть» потоком Ceramic и предоставить Lit Actions (код на IPFS) возможность подписывать и обновлять базу данных при выполнении произвольных условий.

CACAO — это стандарт для выражения возможностей объекта, независимого от цепочки (OCAP), созданный с помощью Sign-in-With X. Он определяет метод записи результатов операций подписи SIWx в виде возможностей объектов на основе IPLD (OCAP), создавая не только аутентифицированные подтверждения событий, но также составные и воспроизводимые квитанции авторизации для проверяемых авторизаций.

Методы авторизации позволяют пользователям предоставлять приложениям детальную, масштабируемую и проверяемую возможность просмотра/обновления своих данных. Кроме того, оно может быть основано на сеансе, так что им не придется подписывать сообщение при каждом обновлении, а вместо этого иметь богатые возможности взаимодействия с приложением и подписывать его один раз в конце сеанса.

Сертификаты и полномочия

Здесь мы достигаем вершины стека децентрализованной инфраструктуры идентификации, как показано на рисунке.

Некоторые термины:

  • Аттестация относится к подтверждению того, что заявление и подпись действительны, и возникает из-за необходимости независимой проверки записанных событий.

  • Ваучер — это любой документ, содержащий подробную информацию об одном субъекте, написанный и подписанный другим субъектом или им самим. Учетные данные защищены от несанкционированного доступа, поддаются криптографической проверке и могут храниться в кошельке.

Проверяемые учетные данные (VC) — это стандартная модель данных и формат представления для зашифрованных цифровых учетных данных, как это определено спецификацией W3C Проверяемые учетные данные:

  • Эмитент — это сторона, выдавшая удостоверение (например, университет).

  • Владелец владеет учетными данными (например, студент)

  • Верификатор для проверки сертификата (например, потенциальный работодатель)

  • Поддающееся проверке представление — это когда пользователи передают свои данные третьей стороне, которая может проверить, действительно ли учетные данные подписаны эмитентом.

Обратите внимание, что понятия «эмитент», «держатель» и «верификатор» здесь относительны. У каждого есть свой DID и учетные данные, которые он собирает.

Полномочия являются краеугольным камнем репутации, а репутация — это социальное явление, которое меняется в зависимости от меняющихся обстоятельств. Один или несколько учетных данных могут использоваться в качестве представителя квалификации, возможностей или полномочий объекта. Любой может сказать себе, что окончил престижный университет с отличием, но для другого это ничего не значит. Сертификаты, выданные университетами, считаются законными и престижными.

Хотя собственные значки Web3 и проекты X-сертификации не все соответствуют стандартам VC W3C, мы можем извлечь сходство из систем, описанных выше.

  • Самый прямой пример — непередаваемые значки NFT, которые могут быть отчеканены только кошельками, выполнившими какую-либо деятельность в сети. Поскольку вся история транзакций хранится в цепочке, она с самого начала поддается проверке и защищена от несанкционированного доступа. DegenScore количественно определяет ваши атрибуты обезьяны, агрегируя ваше взаимодействие с протоколами DeFi, и выводит оценку, используя правила смарт-контракта. Вы можете чеканить монеты и хранить их в качестве «учетных данных DeFi» в своем криптокошельке. Если бы существовал Degen DAO, доступ к которому был ограничен только теми, кто имел определенный балл, то вы могли бы представить этот NFT в DAO, а затем протокол пропуска токена мог бы подтвердить, что вы его удерживаете, и вы могли бы попасть в этот DAO — Доказательство Degen .

  • POAP * Доказательство того, что вы посетили мероприятие или встретили кого-то в реальной жизни — Доказательство посещения/Доказательство встречи.

  • В то время как Otterspace позволяет DAO решать, что представляет собой значимая работа, и выдавать значки ntNFT своим членам, Proved требует от DAO «подписать» требование — «Доказательство вклада» — прежде чем его участники будут чеканить для него значки NFT, специфичные для DAO.

  • 101 По окончании онлайн-курсов, как только студенты сдают тест, они выдают ntNFT – Сертификат об обучении.

  • Kleoverse выдает пользователям значки компетенций Typescript, Rust или Solidity — подтверждение навыков — на основе данных GitHub.

  • В дополнение к случаям использования контроля доступа, описанным выше, Lit PKP также может выступать в качестве криптографического нотариуса, которого Lit Actions проверяет перед подписанием сертификата. Например, децентрализованная образовательная платформа может позволить создателям курсов определять, что считается прохождением теста, и использовать эти условия в качестве Lit Actions для программного выпуска венчурных капиталистов с использованием их PKP на основе этих условий.

Здесь возникают два вопроса: какие из этих сертификационных данных имеют смысл и как их объединить, чтобы завоевать репутацию?

Протокол Orange предлагает решение этой проблемы: интеграцию этих точек данных в четко определенные модели через поставщиков моделей. В Orange депутаты обычно ссылаются на платформы, которые имеют в своих системах меры по оценке репутации. «Поставщики данных» позволяют использовать свои данные в качестве входных данных для моделей, разработанных поставщиками моделей. Затем члены парламента добавляют методы расчета и назначают маркеры репутации различным объектам и делают эти модели доступными для использования другими. Децентрализованные приложения могут курировать и подключаться к этим моделям репутации для своих сценариев использования.

На данный момент Aave, Gitcoin, Snapshot, DAOHaus и т. д. предоставили Orange свои данные. Эти данные моделируются ими и другими проектами, такими как Dework, TalentDAO и Crypto Sapiens, для предоставления участникам ntNFT, что открывает широкий спектр возможностей: от улучшения разрешений Discord с помощью CollabLand и Guild до управления Snapshot, взвешенного по репутации.

конфиденциальность

Ни одно обсуждение инфраструктуры идентификации не будет полным без рассмотрения проблем конфиденциальности и технических примитивов, обеспечивающих конфиденциальность. Конфиденциальность является фактором на всех уровнях стека. За последнее десятилетие внедрение блокчейна ускорило разработку сильных криптографических примитивов, таких как zk-proofs, в дополнение к их применению в технологиях масштабирования, таких как накопительные пакеты, которые позволяют идентификационным данным вносить незначительные изменения в публично проверяемую информацию.

Гарантии конфиденциальности помогают нам избежать негативных внешних последствий, связанных с использованием полностью прозрачных данных для создания заслуживающих доверия заявлений. Без этих гарантий третьи стороны могут инициировать взаимодействие, выходящее за рамки (например, рекламу, преследование), не связанное с исходной транзакцией. Используя криптографию и технологии zk, мы можем создавать системы идентификации, в которых взаимодействие и обмен данными находятся в «песочнице» в четко определенных контекстно-зависимых границах.

«Обычные» проверяемые учетные данные обычно имеют формат JSON-JWT или JSON-LD, и каждые учетные данные имеют внешнее или встроенное подтверждение (цифровую подпись), что делает их защищенными от несанкционированного доступа и проверяемыми, автором которых является эмитент.

Zk-доказательства и новые схемы подписи улучшают функции защиты конфиденциальности W3 C VC, такие как:

  • Устойчивость к корреляции: каждый раз, когда владелец делится учетными данными, этот идентификатор является общим, поэтому каждый раз, когда предоставляются учетные данные, это означает, что валидаторы могут вступить в сговор и увидеть, где владелец представил свои учетные данные и будет ли он триангулирован по идентифицированному человек. С помощью Signature Braille вы можете каждый раз предоставлять уникальное подтверждение своей подписи, не раскрывая саму подпись.

  • Выборочное раскрытие: поделитесь только необходимыми атрибутами венчурного капитала и скройте остальные. Как учетные данные JSON-JWT, так и учетные данные, подписанные LD JSON-LD, требуют, чтобы владелец предоставил все учетные данные проверяющему — «частичного» совместного использования не существует.

  • Составное доказательство: объедините свойства нескольких виртуальных валют в одно доказательство без необходимости обращаться к эмитенту или создавать новый виртуальный капитал.

  • Прогноз: позволяет использовать в операциях скрытые значения со значением, предоставленным валидатором. Например, баланс счета владельца ваучера превышает определенный порог без раскрытия баланса или, как часто упоминается, доказывания того, что вы достигли возраста, с которого разрешено употребление алкоголя, без раскрытия даты вашего рождения.

Одним из многообещающих подходов является схема подписи BBS, первоначально предложенная MATTR в 2020 году. Предложение позволяет использовать подписи BBS в формате JSON-LD, обычно используемом венчурными капиталистами. Владельцы могут по желанию раскрыть заявления, содержащиеся в первоначально подписанном сертификате. Доказательство, полученное по этой схеме, представляет собой доказательство подписи с нулевым разглашением, что означает, что проверяющий не может определить, какая подпись использовалась для создания доказательства, тем самым устраняя общий источник корреляции.

Iden3 — это собственный протокол идентификации ZK, который предоставляет программируемую структуру ZK и библиотеки с открытым исходным кодом для примитивов идентификации ZK, аутентификации и утверждений, генерируемых аттестацией. Протокол генерирует пары ключей для каждого удостоверения с использованием эллиптических кривых Baby Jubjub, которые предназначены для эффективной работы с zk-SNARK, используемыми для подтверждения владения удостоверением и претензий с сохранением конфиденциальности. PolygonID в настоящее время использует этот протокол для своего идентификационного кошелька.

Применение zkp — это активная область исследований и экспериментов, которая за последние несколько лет вызвала большой ажиотаж среди криптосообщества. В web3 мы видели его использование в следующих приложениях:

  • Частный Airdrop: Стелсдроп

  • Сохраняющие конфиденциальность, но заслуживающие доверия доказательства: Sismo (право собственности), Semaphore (членство)

  • Анонимное сообщение: хейанон

  • Анонимное голосование/голосование: Мело

4. Вывод

Некоторые общие выводы из этого исследования:

  • Точно так же, как Crypto катализировал разработку и внедрение DPKI, составная репутация, предоставляющая доступ онлайн/IRL, станет катализатором децентрализованной инфраструктуры идентификации. В настоящее время протоколы выдачи учетных данных (x-proof) фрагментированы по различным сценариям использования и сетям блокчейна. В 2023 году мы увидим, как их уровень агрегации (например, профилей) созреет и получит признание в качестве единого интерфейса, особенно если его можно будет использовать для разблокировки возможностей за пределами криптовалюты, таких как доступ к мероприятиям или скидкам в электронной коммерции.

  • Управление ключами остается точкой трения и склонно к возникновению единых точек сбоя. Это неуклюжий опыт для большинства пользователей криптовалюты и совершенно недоступный для большинства потребителей. Федерация — это усовершенствованная модель взаимодействия с пользователем по сравнению с моделью web1.0, которая обеспечивает единый вход с использованием имени пользователя и пароля для каждого приложения. Хотя удобство аутентификации Web3 улучшается, она по-прежнему неудобна для пользователя, требует исходной фразы и предоставляет ограниченные возможности обращения в случае утери ключа. Мы увидим улучшения в этой области по мере развития технологии MPC и ее более широкого распространения среди отдельных лиц и учреждений.

  • Криптоинфраструктура отвечает потребностям пользователей в web2. Примитивы Web3 начинают интегрироваться с приложениями и сервисами Web2, принося массам децентрализованную идентификацию, например Collab.Land интегрируется с Nuggets, позволяя пользователям Reddit использовать свою репутацию венчурного инвестора для разблокировки доступа. Промежуточное программное обеспечение аутентификации и авторизации Auth0 интегрирует SIWE в качестве поставщика удостоверений, и их корпоративные клиенты теперь могут обеспечить вход в кошелек вне единого входа.

  • По мере демократизации данных необходимо проверять механизмы очистки. Как и протокол индексирования, Graph использует сеть кураторов и делегаторов для сигнализации наиболее полезных подграфов (API для данных в цепочке), моделей данных вокруг пользователей и репутации таких протоколов, как Ceramic и Orange, требуют времени и участия сообщества. сценарии использования криптографии.

  • Соображения конфиденциальности. Проекты должны тщательно учитывать влияние общедоступного или постоянного хранилища при выборе стека. По сравнению с комбинацией сохраняющих конфиденциальность VC, эфемерных данных и P&DID, а также ZKP для деятельности внутри и вне цепочки, «чистые» NFT общедоступных данных могут подходить для ограниченных случаев использования (например, некоторая абстракция внутрисетевых данных). деятельности), которые обеспечивают такие функции, как выборочное раскрытие, ротацию ключей, антикорреляцию и возможность отзыва.

  • Новые криптографические инструменты, такие как zkSNARK, станут важной частью инфраструктуры идентификации следующего поколения. Хотя zkp в настоящее время реализуется в отдельных случаях использования, потребуются коллективные усилия по исследованиям и разработкам снизу вверх, чтобы сосредоточиться на шаблонах проектирования приложений, реализациях схем ZK для криптографических примитивов, инструментах безопасности схем и инструментах разработчика. Это то, за чем стоит следить.

Децентрализованная идентичность — это большой проект, требующий усилий всей экосистемы для согласования стандартов, повторения примитивов и проверки друг друга на предмет влияния проектных решений.