לך תוכיח שאינך כלב! או: למה לי זהות דיגיטלית מבוזרת?

רשת הבלוקצ'יין המבוזרת, המשתמשת באלגוריתם "קונסנזוס" אשר מחליף את האמון במוסדות באמון בפרוטוקולים מוצפנים, יכולה לספק תקן עולמי לפורמט של תעודות דיגיטליות

03/09/2020 11:18
ד"ר מילי פרי, יועצת חדשנות באיחוד האירופי ועוסקת בתחום הבלוקצ'יין. צילום: גיל ארצי

החיים הגשמיים שלנו (בעולם האמיתי) והחיים הדיגיטליים (במרחב הווירטואלי) קשורים לאפליקציות (יישומונים), שירותים ומכשירים המסייעים לנו לצרוך ידע, לתקשר ולחוות חיים דינמיים. אנחנו בקשר עם נותני שירותים רבים מספור ועם עמיתים, בהיקפים שללא התיווך הטכנולוגי לא היו מתאפשרים. כל המכלול הזה יוצר את הצל הדיגיטלי שלנו, המאשש זהויות מגוונות (מטופלת בבית החולים, נהגת ובעלים של רכב, בוגרת אוניברסיטה מסוימת, בעלת חשבון נתון בבנק מסוים ועוד) שמאחוריהן ישות אנושית יחידה – אני.

הנתונים המגבשים את ענן זהותנו זולגים ונחשפים בלי הרף, וללא צורך ואף בזדון, לידיים הלא נכונות. היום יותר מתמיד, תחת התמודדות עם נגיף קורונה, אנו עדים לניצול ציני של של נתונינו האישיים, הרפואיים והבריאותיים בידי מדינות ומערכות, וכך מחריפה הפגיעה בפרטיות וגובר השימוש הלא ראוי בפריטי זהותנו. הטכנולוגיה מאפשרת היום לגבש פתרונות זהות ייחודיים לשמירת פרטיות בידי המשתמש, בלי להיזקק לשרתים של נותני השירות, שלעיתים כוונותיהם אינן עולות בקנה אחד עם טובת הלקוח.

זהות דיגיטלית היא אחת הבעיות הוותיקות והקשות באינטרנט. למרות ההתקדמות שחלה בטכנולוגיית האינטרנט, עדיין אין דרך קלה להוכיח ברשת ש"אתה לא כלב", שגילך מעל 18, שאת גרה בכתובת מסוימת, עובדת בחברה מסוימת, או שאת בעלים של נכס. קביעות מסוג זה על עצמנו ("בעל הזהות") – הידועות בעולם הזהות הדיגיטילית כ"הצהרות" (claims) – מסובכות לאימות. אנו מוכיחים "הצהרות" לגבי עצמנו באמצעות הצגת אישורים ותעודות, שהונפקו על ידי גורם מהימן (המנפיק), ומוגשים לאישור בן האנוש או החברה, שצריכה לסמוך על ה"הצהרה" (מאמת).

מה מונע יצירת זהות דיגיטלית מהימנה ומאומתת? היכן המקבילה הדיגיטלית של דרכון, רישיון נהיגה או תעודת לידה שנוכל פשוט "להציג" לאתר כדי להירשם, להתחבר או לאמת את הזכויות וההרשאות שלנו? מדוע אנו נדרשים לריבוי שמות משתמש וסיסמאות לניהול עניינינו, והפרטים האישיים שלנו מפוזרים בשלל מאגרי מידע שאינם נשמרים כנדרש בידי חברות וממשלות?

לב הבעיה הוא בכך שאין לנו דרך סטנדרטית לאמת תעודות דיגיטליות. ברשת קל להעתיק אישורים ולשכפלם. מולנו נמצאת על פי רוב מכונה ולא שיקול דעת אנושי, כדי לאמת תעודה דיגיטלית ראשית עלינו "לתקנן" את הפורמט (סטנדרטיזציה); שנית, אנו זקוקים לדרך אחידה/סטנדרטית לאמת את מקוריותן ואמינותן של התעודות הדיגיטליות, למשל דרכונים. אף שהדרכון הוא מסמך פיזי, יש בו קטעים הניתנים לקריאה באמצעות מכונה בפורמט מתוקנן (סטנדרטי).

חתימות דיגיטליות דורשות שני מפתחות. המפתח הראשון – המפתח הפרטי או מפתח החתימה – משמש לחתום על המסמך ונשמר בסוד בידי בעליו; המפתח השני – המכונה המפתח הציבורי או מפתח האימות – משמש לאימות החתימה ולהבטחה שהמסמך לא שונה. על מנת להשיג את הסטנדרטיזציה לאופן אימות החתימות הדיגיטליות של מנפיקי התעודות, נדרש שימוש בתשתית של מפתח ציבורי (PKI). הבעיה עם PKI היא בהיותו מסורבל, יקר וריכוזי (centralized).

בלוקצ'יין. אילוסטרציה: BigStock

בלוקצ'יין. אילוסטרציה: BigStock

מערכת זהוּת המבוססת על בלוקצ'יין ציבורי

בלוקצ'יין (Blockchain) ציבורי הוא "שורש אמון" מבוזר שאינו בבעלותו של איש, אך הכל יכולים להשתמש בו. טכנולוגיית בלוקצ'יין הופכת את מודל האמון על ראשו. במקום להסתמך על גופי אימות מרכזיים, שישמשו שורש האמון (כפי שבנקים קונים לעצמם כח בניהול הכסף של הציבור), רשת הבלוקצ'יין המבוזרת משתמשת באלגוריתם "קונסנזוס" המחליף את האמון במוסדות באמון בפרוטוקולים מוצפנים.

לכל עסקה בבלוקצ'יין יש חתימה דיגיטלית המחייבת מפתח פרטי, ניתן להשתמש בטכנולוגיה זו לאחסון המפתח הציבורי המשויך, או כל מפתח מוצפן אחר, שהבעלים שלו צריך להוכיח את בעלותו. כתובת זו נקראת "מזהה מבוזר" (DID). בעל הזהות שולט במסמך ה-DID על ידי שליטה במפתח הפרטי המשויך אליו.

לתקן עולמי לפורמט של תעודות דיגיטליות תהיה השפעה מרחיקת לכת; תקנים שנוצרו לחבילות רשת אִפשרו את האינטרנט; תקנים לדפי היפר-טקסט אפשרו את קיומן של רשתות – באופן דומה, תקנים לתעודות דיגיטליות עשויים לאפשר לקיים מערכת אקולוגית עולמית של מנפיקי תעודות, בעלי תעודות ואימות תעודות בכל העולם, ומערכת זו תחליף הצהרות הניתנות לאימות.

בעל זהות לא צריך להיות תלוי עוד בספק חיצוני כדי להשיג את הכוח של מזהה ייחודי קבוע. יתר על כן, בכלכלת הבלוקצ'יין הנכונה "המזהה המבוזר" יכול להיות זול, כך שאנשים יוכלו לייצר כמה "מזהים" שהם צריכים, כדי להגן על פרטיותם.

לבסוף, והחשוב ביותר: לכל אדם וארגון עם גישה לאינטרנט יכולים להיות האמצעים להוכיח את בעלותם על מפתח ציבורי, ובכך יוכלו לאפשר את אימות ה"הצהרות" שלהם. מערכת זהוּת המבוססת על בלוקצ'יין ציבורי צריכה לפעול בכל מקום באותה הצורה, כך שהיא באמת תוכל לספק זהות לכל.

הכותבת היא יועצת חדשנות באיחוד האירופי ועוסקת בתחום הבלוקצ'יין

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר.

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים