To, kim jesteśmy w przestrzeni cyfrowej, zależy w zasadzie wyłącznie od możliwości przedstawienia przez nas w danym momencie odpowiednich poświadczeń naszej tożsamości, zależnych najczęściej od podmiotów trzecich (jak administracja czy bank). Brakuje nam swoistego “samoistnego” cyfrowego dokumentu tożsamości, którym moglibyśmy się samodzielnie identyfikować. Rozwiązaniem powyższego problemu może stać się Suwerenna Tożsamość.
Czym jest Suwerenna Tożsamość
SSI (Self Sovereign Identity czyli Suwerenna Tożsamość) to rozwiązanie umożliwiające tworzenie zagregowanej bazy atrybutów identyfikujących dany podmiot (czyli cech lub informacji ją opisujących), która pozwala na zarządzanie nimi przez ten podmiot bez świadomego udziału podmiotów trzecich. SSI ma przede wszystkim służyć do potwierdzania tożsamości lub konkretnych cech danego podmiotu w kontaktach z podmiotami prywatnymi lub publicznymi w sferze cyfrowej, jednakże może również znaleźć zastosowanie jako w pełni funkcjonalna alternatywa dla dokumentów „fizycznych” w bezpośredniej (nie cyfrowej) komunikacji.
Po co nam Suwerenna Tożsamość?
Odpowiadając na pytanie “po co nam SSI?”najłatwiej zacząć od opisania dotychczas stosowanych modeli cyfrowych środków identyfikacji i ich wad.
Scentralizowane rozwiązania, zarówno te regulowane(w ramach rozporządzenia eIDAS), jak i nie regulowane, przechowują znaczne ilości danych dotyczących każdego z klientów. W przypadku potencjalnego wycieku danych może to grozić naruszeniem prywatności znacznej grupy osób. Ponadto, dostawcy scentralizowanych środków identyfikacji posiadają pełną kontrolę nad procesem uwierzytelniania.
Oznacza to, że przynajmniej teoretycznie mogą odmówić potwierdzenia tożsamości podmiotu (uzależniając je od np. zapłaty określonej kwoty) lub po prostu nie być w stanie go zrealizować(w przypadku np. awarii). Z drugiej strony posiadają pełną wiedzę o działaniach podejmowanych przy wykorzystaniu dostarczanego przez nich rozwiązania. Wreszcie, centralizacja systemów identyfikacji elektronicznej może grozić stosowaniem praktyk monopolistycznych, mogących w najczarniejszym scenariuszu doprowadzić do cyfrowego wykluczenia osób nie zgadzających się na dyktowane przez dostawcę warunki.
SSI ma więc przede wszystkim zwrócić kontrolę nad własną tożsamością i zapewnić szczególną ochronę prywatności. Oczywiście, pełna realizacja tego celu wymaga spełnienia wielu założeń, z których najważniejszym jest przeniesienie danych uwierzytelniających pod kontrolę osoby, której dotyczą, przy jednoczesnym zapewnieniu ich integralności i niezmienności.
Jak więc ma działać SSI?
Z uwagi na wielość projektów realizujących SSI i brak ustalenia powszechnie obowiązujących ram interoperacyjności, odnieść się można tylko do konkretnych, znanych już modeli tego rozwiązania. Jednocześnie należy wskazać, że podstawową cechą łączącą większość znanych projektów SSI jest wykorzystanie technologii rozproszonej księgi głównej (Distributed Ledger Technology, DLT) i przechowywanie danych potwierdzających konkretne atrybuty bezpośrednio na urządzeniu lub serwerze znajdującym się pod kontrolą podmiotu, którego te atrybuty dotyczą. Ponadto, w ostatnim czasie pojawił się szereg inicjatyw mających wypracować ramy interoperacyjności systemów SSI (jak choćby ESSIF).
Jedną z wiodących organizacji jest Sovrin Foundation, zrzeszająca Evernym (założyciela projektu), IBM, T-Mobile, Cisco i kilkadziesiąt innych podmiotów (w tym dwa polskie). Projekt Sovrin działa w oparciu o technologię rejestru rozproszonego Hyperledger Indy, a każdy z podmiotów uczestniczących w projekcie partycypuje w utrzymaniu węzłów tworzących system.
Opisując w pewnym uproszczeniu rozwiązanie Sovrin przedstawione w dokumencie Whitepaper można wskazać, że zakłada ono istnienie Wydawcy (Issuer), który wydaje i podpisuje Twierdzenie (Claim), potwierdzające określony atrybut/atrybuty danego Posiadacza (Owner). Twierdzenie może być wydane w dowolnym momencie i jest przekazywane Posiadaczowi, który przechowuje je i wykorzystuje do uwierzytelnienia konkretnego atrybutu/atrybutów w przypadku nawiązywania relacji z danym Weryfikatorem (Verifier).
Twierdzenie może być zweryfikowane przez Weryfikatora przy wykorzystaniu rozproszonej sieci Sovrin, gdzie zapisywane są Zdecentralizowane Identyfikatory (Decentralised Identifier, DID). Jednocześnie Wydawca nie otrzymuje skonkretyzowanej informacji do jakich celów i wobec jakiego Weryfikatora wykorzystywane są wydane przez niego Twierdzenia. W zależności od wymagań Weryfikatora, Twierdzenia mogą być wystawiane przez Wydawców zapewniających różne poziomy wiarygodności, co pozwala na wykorzystywanie Twierdzeń wystawianych przez różne rodzaje Wydawców (czyli zarówno organy administracji, banki, ubezpieczalnie czy portale społecznościowe).
To również od Weryfikatora zależy, jakiego atrybutu potwierdzenie zawierać ma Twierdzenie (możliwe jest więc zarówno wystawienie Twierdzenia zawierającego pełne dane z dowodu osobistego, jak i potwierdzenie samego wieku).
Projekt Sovrin zakłada, że w sieci rozproszonej, utrzymywanej przez uczestników projektu, nie będą znajdować się jakiekolwiek dane osobowe, tylko funkcje matematyczne elementów konkretnych Twierdzeń.
Potencjał wykorzystania SSI
SSI – ze względu na możliwość zapisywania i przechowywania praktycznie nieograniczonej liczby Twierdzeń o zróżnicowanym charakterze – posiada ogromny potencjał wykorzystania:
- bezpieczne i szybkie uwierzytelnienie tożsamości w oparciu o jedno lub więcej zagregowane Twierdzenia (czyli np. imię i nazwisko oraz PESEL potwierdzone przez organ administracji, bank, dostawcę usług telekomunikacyjnych i platformę społecznościową),
- potwierdzenie posiadanie określonych cech (wiek, płeć, wzrost itd.) czy uprawnień (prawo jazdy, patent żeglarski) bez konieczności ujawniania szczegółowych danych osobowych, których dany dostawca usług weryfikujący te cechy czy uprawnienia nie musi znać,
- przekazywanie innych danych potwierdzonych przez osoby trzecie (jak np. dane dot. rachunku bankowego, historii kredytowej, działalności inwestycyjnej itd.) bez wiedzy tych osób.
Wyzwania
SSI, pomimo ogromnego potencjału, dalej znajduje się we wczesnej fazie rozwoju. Wyzwaniami, z którymi muszą się zmierzyć podmioty i organizacje opracowujące rozwiązania z zakresu SSI, są m.in.
- bariery prawne, czyli niepewność kwalifikacji SSI jako cyfrowego środka identyfikacji,
- konieczność zapewnienia norm interoperacyjności systemów SSI,
- bariery biznesowe, czyli konieczność przekonania uczestników rynku i podmiotów publicznych do akceptacji SSI jako cyfrowego środka identyfikacji,
- konieczność edukowania i oswajania konsumentów z SSI.
Każde z wyżej wymienionych wyzwań oraz jego “status” zostaną opisane w odrębnych artykułach w najbliższej przyszłości.