Napjaink rendszerei a digitális identitás és személyazonosság kezelésére elég mélyen az analóg világban gyökereznek és csak mérsékelten használhatók online módon. Az elmúlt 30 év internetes gyakorlatai felett nemcsak eljárt az idő, de egyre nehézkesebben alkalmazhatók az online világban. A megoldás kulcsa a blokklánc (is) lehet, ami kvantumugrást hozhat a digitális személyazonosság kezelésében.

Eddigi gyakorlat: felhasználói név és jelszó (+ telefonszám, vagy másodlagos e-mail cím)

A leggyakoribb ügyfélazonosító (authentikációs) megoldás a felhasználói név (user név) és jelszó (password) megadása, ami általában kiegészül egy további telefonszám, vagy email megadásával. Az utóbbi(ak) “küldetése” nemcsak az esetleges password visszaállítás, hanem az is, hogy az email, vagy telefonszám szolgáltató jó eséllyel korábban már elvégzett valamilyen (offline) személyazonosság ellenőrzést.

Ezzel egyrészt a szolgáltatást igénybevevő személy valamennyire “nyomonkövethetővé” válik – amennyire erre feltétlen szükség van -, másrészt a rendszer megakadályozza az úgynevezett sybil hackelést (amelynek keretében egy személy nagyszámú anonym felhasználót hoz létre).

Kritikusabb esetben hasonló célra szokták használni a bankkártya, vagy banki információkat is.

Probléma a felhasználói név és jelszó párossal

A felhasználói név és jelszó alapú authentikációs megoldásoknak azonban több problémájuk is van.

Az online megoldások terjedésével és a password követelmények egyre komplexebbé válásával a legtöbb felhasználó egy felhasználónevet, email címet, telefonszámot és legrosszabb esetben ugyanazt a passwordöt használja a legtöbb szolgáltatáshoz.

Ez komoly privacy és biztonsági kockázatot jelent.

Természetesen lehet okolni emiatt a felhasználókat, de nem feltétlenül reális kétszáz különböző online szolgáltatáshoz 200 teljesen különböző felhasználónevet és passwordöt biztonságosan tárolni.

Másrészt alapvetően az email, a SIM és a bankkártya rendszer nem a felhasználók azonosítására lettek tervezve, így ilyen célú használatuk a legtöbb esetben nehézkes.

Papír alapú okmányok digitális verziói

A skála másik oldalán találhatók a klasszikus papír alapú okmányok, a személyazonosságot igazoló okmányok, vagy azok digitális verziói. Egy tetszőleges ilyen papír dokumentum scannelése vagy lefényképezése nem teljesen ugyanazt a mechanizmust valósítja meg, mint az eredeti papír alapú tanúsítvány.

A problémát az okozza, hogy a digitális példány sokszorosítható és könnyen módosítható. Ez megint elég súlyos biztonsági és privacy kérdéseket vet fel.

Kicsit más szemszögből megfogalmazva az

internetet sajnos úgy alkották meg 30-40 évvel ezelőtt, hogy a digitális identitás beépített támogatása nem számított a prioritások közé,

ezért minden ilyen, de alapvetően az analóg világból induló megoldás csupán mérsékelten működőképes.

A jövő: blokklánc + digitális aláírás

A fent említett két nagy problémakörre – és általánosságban a digitális identitás és azonosítás problémakörére – próbálnak megoldást nyújtani a blokkláncot és a digitális aláírást kombináló rendszerek (ú.n Blockchain Identity Stack), amelyek főbb építőkockái a következők.

Decentralizált azonosítók (DID – Decentralized Identifiers)

Az azonosítás alapja – a blokklánc rendszerekhez hasonlóan – egy nyilvános és titkos kulcspár. Egy blokklánc rendszerben a nyilvános kulcsom, vagy az abból generált cím mutatja azt, hogy ki is vagyok én pontosan, és a blokklánc szabályai (vagy pl smart contract-ok) írják le, hogy mihez van jogosultságom.

Azt a tényt, hogy fizikailag tényleg “én” tartozok az adott címhez úgy bizonyítom, hogy a titkos kulcsommal (ami ideális esetben csak nekem van meg) aláírok egy üzenetet.

Ilyen értelemben a blokklánc rendszerekben a digitális aláírás tulajdonképpen a személyazonosítás.

Ezt a koncepciót általánosítják a decentralizált azonosítók.

Az előzőekhez képest az ilyen azonosítók a nyilvános kulcson vagy címen kívül több különböző információt is tartalmazhatnak, például konkrét személy- vagy szervezetfüggő adatokat egy json dokumentum formátumában.
További információ egy ilyen azonosítónál, hogy milyen blokklánc megoldást támogat: a legtöbb produktív rendszer egy blokklánc típusra van optimalizálva, például Ethereum, de vannak kezdeményezések több blokkláncban használatosakra is.
Végül de nem utolsó sorban egyes rendszerek támogatnak úgynevezett szervezeti azonosítókat is, ahol nem csak egy, hanem több privát kulccsal is alá kell írni a személyazonosság igazolásához.

1. ábra: Decentralizált azonosító

Ellenőrizhető tanusítvány (Verifiable Credential):

Az ellenőrizhető tanúsítvány modell a papíralapú tanúsítványok digitális megfelelője. A modellben a kibocsátó (Issuer) kibocsát egy tanúsítványt (Credential) egy tulajdonosnak (Holder), majd ezt a tanúsítványt egy harmadik szereplő ellenőrizni, hitelesíteni akarja (Verifier).

Klasszikus példa egy egyetemi diploma kibocsátása: itt a kibocsátó egy egyetem, a tulajdonos a diák, aki megkapta a diplomát és a hitelesítő például egy munkaadó, aki ellenőrizni akarja a diploma hitelességét. A papír alapú megoldással szemben, itt azonban az egyes szereplőket decentralizált azonosítókkal azonosítjuk:

Diploma átadása: az egyetem a diplomába beírja a nyilvános azonosítóját, majd az egészet aláírja a titkos kulcsával.
Diploma átvétel: az előző adatokhoz a tulajdonos hozzácsatolja a saját nyilvános azonosítóját, majd aláírja a titkos kulcsával.

2. ábra: Ellenőrizhető tanúsítvány

Az új rendszer előnyei

A blockchain a rendszerben a tanúsítványok konzisztenciáját biztosítja, mint egy nyilvános és nehezen meghackelhető adatbázis. Így tehát amikor az azonosító, például a munkaadó ellenőrzi a diploma hitelességét, akkor a blokkláncon ellenőrzi az adatok konzisztenciáját és azt, hogy tényleg egy olyan titkos kulccsal lett aláírva, ami az egyetemhez tartozik.

Ahhoz a tényhez pedig, hogy a diploma tényleg a tulajdonoshoz tartozik, a tulajdonosnak elő kell állítania egy külön aláírást a titkos kulcsával.

A fenti építőkockákkal több hasznos tulajdonsággal is rendelkező rendszert lehet megvalósítani:

Nem használunk az azonosításhoz se felhasználónevet, se passwordöt, se telefonszámot, vagy bankkártya, vagy egyéb nem idevaló adatot, csak titkos kulcsokat.
Nemcsak a teljes tanúsítványt lehet átadni érvényesítésre, hanem annak részeit is. Tehát például a leendő munkaadóval a fent említett verifikálható módon meg lehet osztani, hogy mikor végzett az ember és hogy hol, anélkül, hogy a konkrét érdemjegyet meg kéne osztani. Mivel a blokklánc is csak a tanúsítványok hash értékeit tartalmazza, így maximálisan GDPR kompatibilis rendszerek valósíthatók meg.
Az azonosítás alapját képező DID-et mindenki saját maga generálhatja, tulajdonképpen egy kulcspárgenerálás az alapja. Nem úgy működik, hogy ezeket az azonosítókat “valaki” központosított módon kiosztja, ezért szokták ezeket a rendszereket “self sovereign identity”- nek is hívni.
A kibocsátott tanúsítvány visszavonható, ez általában egy kibocsátást visszavonó blockchain bejegyzéssel történik.
Bár a rendszer alapja a titkos kulcs, amit digitális pénztárcában tárolnak a szereplők, a kulcs elvesztése itt nem annyira kritikus, mint egy kriptovalutánál. Például, ha ellopják a diploma tulajdonjogát biztosító titkos kulcsomat, személy szerint bemehetek az egyetemre, ahol a diplomát jelentő tanúsítványt visszavonathatom az elveszett kulcsról és újra kiállíttathatom egy újonnan generált decentralizált azonosítóra. Természetesen utánajárással jár, de korántsem lehetetlen vagy kritikus.
Minden egyes online szolgáltatásra, külön decentralizált azonosítót csinálhatok, igy az egyes szolgáltatásokat maximális privacy mellett is igénybe lehet venni.

3. ábra: Rendszerenként megadható külön decentralizált azonosító (DID)

Konklúzió

Összességében érdemes megjegyezni, hogy

a digitális személyazonosság ilyen megvalósítása jelentősen túlmutat azon, hogy digitális identitást mobiltelefonon tárolunk.

Bár a titkos kulcsokat persze tárolhatjuk mobilon is, valós use-case-ek esetén egyes titkos kulcsokat valószínűleg több különböző helyen is tárolni fogjuk, például laptop, speciális hardware eszköz, felhő megoldás.

Ezenkívül több különböző megoldás is rendelkezésre fog állni, olyan esetben, ha egyes identitáshoz kapcsolódó kulcsokat ellopják vagy elvesznek.

Címlapfotó forrása: pixabay.com

Cookie	Description
__cf_bm	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
_fbp	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_ga	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	Ezt a sütit a Google Analytics telepítette. A süti feladata, hogy a weboldalt elemző riport elkészítése érdekében számolja a látogatókat, a munkameneteket, a kampány adatokat és nyomon kövesse az oldal használatát. A süti névtelenül, anonim módon tárolja az információkat és az egyedi látogatók azonosításához véletlengenerált számokat használ.
_ga_Y7GEW04PM5	This cookie is installed by Google Analytics.
_gat	Ezeket a sütiket a Google Universal Analytics telepítette annak érdekében, hogy a nagyforgalmú oldalakon az adatlekérések arányát csökkentse.
_gat_gtag_UA_68605700_2	Set by Google to distinguish users.
_gid	Ezt a sütit a Google Analytics telepítette. A süti információkat tárol arról, hogy a felhasználók hogyan használják a weboldalt, valamint segíti a weboldal működését, teljesítményét elemző riport elkészítését. A gyűjtött adatok körébe tartozik a weboldal látogatóinak száma, a forrás oldal, ahonnan a weboldalra jutottak a felhasználók és a látogatott oldalak. Az adatgyűjtésre anonim módon kerül sor.
browser_id	This cookie is used for identifying the visitor browser on re-visit to the website.
burst_uid	No description
CONSENT	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
cookielawinfo-checkbox-advertisement	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-non-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
DEVICE_INFO	No description
test_cookie	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
vuid	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.
YSC	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_Y7GEW04PM5	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_68605700_2	1 minute	Set by Google to distinguish users.
browser_id	5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duration	Description
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
burst_uid	1 month	No description
DEVICE_INFO	5 months 27 days	No description

A digitális személyazonosság jövője a blokklánc alapú világban