Facebook 
Pinterest Controllo dell’ID online: piattaforme Blockchain contro governi e Facebook
Viviamo in un momento di preoccupazione senza precedenti per l’identità. Abbondano i timori che i nostri dati personali siano oggetto di abuso da parte di terze parti lontane, mentre questi dati sono diventati più preziosi per noi in un momento in cui le nostre identità e le politiche di identità su cui basiamo sono diventate più centrali nelle nostre vite. È in questo contesto che è apparsa la tecnologia blockchain e, sebbene la sua applicazione al di là delle criptovalute sia ancora limitata, la protezione delle nostre identità e dei nostri dati online in modo più sicuro sembra destinata a essere una delle sue applicazioni più centrali.
Nella sua struttura più elementare, l’uso di blockchain nell’area della protezione dei dati personali è semplice: i nostri dati sono archiviati in forma crittografata su una rete decentralizzata e possiamo garantire ad altre parti l’accesso ad (alcuni di) questi dati utilizzando le nostre chiavi private, più o meno allo stesso modo in cui l’utilizzo delle nostre chiavi ci consente di inviare criptovaluta a qualcun altro. In virtù di questo framework di base, la tecnologia blockchain promette di rimettere il controllo sui nostri dati nelle nostre mani, in un momento in cui Facebook e altri giganti della tecnologia ne hanno abusato e abusato. E visto come i giganti delle criptovalute come Coinbase si sono recentemente spostati nell’area dell’ID decentralizzato, sembrerebbe che abbia già un forte sostegno e supporto all’interno del settore delle criptovalute.
Tuttavia, per quanto tutto ciò sia valido in linea di principio, ci sono una serie di sfide – alcune tecniche, altre commerciali – che devono essere superate prima che le blockchain possano essere utilizzate su larga scala per proteggere i dati personali. Le aziende che lavorano in questo settore stanno tutte affrontando questi problemi da diverse angolazioni, eppure sembrerebbe che per risolverli sia necessario un (parziale) allontanamento dagli ideali di decentralizzazione “completa”.
E anche quando le sfide tecniche saranno tutte superate, ci sarà ancora il problema dello svezzamento delle persone da piattaforme come Facebook, che – grazie ai profitti della centralizzazione – può permettersi di offrire al pubblico un allettante servizio ‘gratuito’ e raffinato..
Controllo e privacy
Alastair Johnson, CEO e fondatore della piattaforma di e-commerce e ID Nuggets, Johnson comprende fin troppo bene le insidie dell’archiviazione di masse di dati ID in silo centralizzati.
"Oggi, la realtà è che le persone non controllano i propri dati personali in modo significativo. In media, una persona dispone di dati personali, sotto forma di dettagli della carta di pagamento, indirizzi di casa, indirizzi e-mail, password e altri dettagli personali, distribuiti su circa 100 account online. Possono accedere a questi dati ma non ne sono proprietari."
Al contrario, l’uso della tecnologia blockchain garantisce un nuovo controllo all’utente, che avrà il potere di condividere i propri dati ID solo con le parti che approva. Ciò si ottiene principalmente attraverso l’utilizzo di “identificatori decentralizzati” (DID), come spiegato dalla Sovrin Foundation, che sta costruendo una piattaforma blockchain volta a fornire agli individui "identità autosufficiente" (ovvero un ID che possono portare con sé da una piattaforma all’altra). Come nota nella sua carta bianca, "identificatori decentralizzati" (DID) non solo codificano le informazioni che identificano qualcuno come, ad esempio, donna, asiatica, 35 anni e residente in Francia, ma eludono anche la necessità di un’autorità centralizzata per verificare le richieste di identità.
"Un DID viene archiviato su una blockchain insieme a un documento DID contenente la chiave pubblica per il DID, qualsiasi altra credenziale pubblica che il proprietario dell’identità desidera divulgare e gli indirizzi di rete per l’interazione. Il proprietario dell’identità controlla il documento DID controllando la chiave privata associata."
In altre parole, viene creato un protocollo per una blockchain adatta, gli utenti registrano i propri dati ID su questa blockchain e quindi utilizzano le loro chiavi private per decrittografare questi dati per le parti scelte. Questo è il tipo di sistema utilizzato anche da Nuggets, anche se nel suo caso viene indicato come "archiviazione a conoscenza zero," poiché nessun altro sa cosa dicono di te i tuoi dati. Ed è anche il sistema su cui sta lavorando Coinbase, che il 15 agosto ha annunciato l’acquisizione della startup Distributed Systems focalizzata sull’ID. Dopo aver acquistato la società con sede a San Francisco per una tariffa non rivelata, ora svilupperà un sistema di accesso decentralizzato per la propria piattaforma di scambio di criptovalute che consentirà agli utenti di mantenere la proprietà delle proprie credenziali ID.
“Un’identità decentralizzata ti consentirà di dimostrare che possiedi un’identità o che hai una relazione con la Social Security Administration, senza fare una copia di tale identità”, ha scritto nel suo comunicato stampa.
Con una tale configurazione, ci sono poche possibilità che si verifichi uno scandalo in stile Cambridge Analytica in cui i dati vengono condivisi con gruppi o individui indesiderati, mentre garantisce anche un potere senza precedenti al singolo utente, che probabilmente sarà trattato con molto più rispetto dalle aziende ora che il suo i dati sono così scarsi. Come spiegato da Johnson, ciò fornisce un notevole miglioramento rispetto alla fase attuale degli affari.
“[I dati personali] sono archiviati e controllati in una serie di database centralizzati controllati da istituzioni quali rivenditori, società di marketing, società di servizi e società di reporting dei dati. Per effettuare acquisti online, le persone autorizzano semplicemente questi diversi organismi a collegare le diverse informazioni in loro possesso per autorizzare una transazione “.
Tuttavia, mentre il singolo utente dipende attualmente da centinaia di società diverse per archiviare e trasmettere i propri dati al fine di ottenere l’accesso ai servizi, l’introduzione della tecnologia blockchain inverte completamente l’equilibrio di potere. Johnson condivide con Cointelegraph:
"Le soluzioni basate su blockchain capovolgono questo modello, in modo che le persone possano archiviare e controllare i propri dati associati a un’identità digitale. Non è archiviato nei database centralizzati di organizzazioni di terze parti, può essere archiviato sulla blockchain in una rete decentralizzata. Con l’individuo che controlla i propri dati in questo modo, ha il pieno controllo per non dover idealmente condividere o archiviare nulla utilizzando attestazioni, token o riferimenti e condividerlo solo se e quando scelgono di farlo."
Tuttavia, questa è solo la punta dell’iceberg, poiché l’utilizzo della tecnologia blockchain per confermare chi siamo fornisce molti vantaggi aggiuntivi al di fuori del controllo dell’utente. Per uno, aumenta la privacy, poiché con molte delle piattaforme proposte, le nostre credenziali ID non verranno nemmeno rivelate a quelle parti e organizzazioni che richiedono la loro verifica.
Questo è abilitato tramite l’uso di prove a conoscenza zero (ZKPs), un metodo crittografico in grado di dimostrare una rivendicazione senza condividere effettivamente i dati (“conoscenza”) attraverso cui viene dimostrata la rivendicazione. Gli ZKP sono implementati da Sovrin e sono previsti anche per essere utilizzati da startup come Civic, Verif-y e Blockpass. Usandoli, queste aziende renderanno il processo di verifica dell’identità più semplice ed efficiente, aprendo la possibilità di memorizzare l’ID biometrico sulla blockchain. Risparmieranno alle organizzazioni che verificano i nostri ID il mal di testa di dover archiviare in modo sicuro i dati personali dopo averli convalidati, il che a sua volta elimina una potenziale vulnerabilità, dato che queste organizzazioni avrebbero normalmente conservato tutti i dati ricevuti su un database centralizzato.
E sebbene non tutte le piattaforme di identità decentralizzate utilizzeranno ZKP, altre utilizzeranno comunque metodi funzionalmente simili. Ad esempio, SelfKey sfrutta una tecnica descrive come "minimizzazione dei dati," quale "consente al proprietario dell’identità di fornire la minor quantità di informazioni possibile per soddisfare la parte che fa affidamento o il verificatore." Ciò elude la necessità di sviluppare tecnologie avanzate come gli ZKP, sebbene sollevi interrogativi su cosa si intenda per “minimo”. SelfKey lo scrive "i reclami possono essere firmati in modo tale da poter scegliere di divulgare solo un minimo di informazioni." Ma senza una specifica più formale di "minimo" e "scegliere," è concepibile che tali approssimazioni funzionali degli ZKP possano finire per rivelare più dati di quanto alcuni utenti vorrebbero.
Sicurezza
Oltre a fornire maggiore controllo dell’utente e privacy, le piattaforme basate su blockchain per la verifica dell’ID sono più sicure delle loro controparti centralizzate. Questo perché, essendo distribuiti su più nodi, non soffriranno di un singolo punto di errore come i sistemi di identificazione tradizionali, ad es. database governativi, social network. Pertanto, uno o due nodi di una blockchain possono diventare inattivi e gli utenti saranno comunque in grado di utilizzarli, mentre la crittografia in questione impedisce che i dati disponibili pubblicamente vengano raccolti per informazioni sensibili.
Rimuovendo il singolo punto di errore, le piattaforme ID decentralizzate creano un grande Yahoo! stile hack quasi impossibile. Invece di essere in grado di penetrare in un database centralizzato che ospita tutte le informazioni sugli utenti in un’unica posizione, gli aggressori dovranno ottenere le chiavi private per ogni individuo una per una, cosa estremamente improbabile nella pratica. Alastair Johnson è d’accordo:
"Il principale vantaggio di un registro decentralizzato di dati personali su un database centralizzato è la sicurezza contro gli hacker che fornisce. Conosciamo tutti le principali violazioni dei dati che si sono verificate negli ultimi anni, come quella di Equifax nel 2023. Questi database centralizzati agiscono come magneti per gli hacker che spesso devono solo sfruttare una singola vulnerabilità per eliminarli o estrarre i dati da loro."
Al contrario, i registri decentralizzati non sono così sensibili agli attacchi informatici. "Il dirottamento di un singolo nodo non interromperà il funzionamento in corso del libro mastro, poiché gli altri nodi possono continuare a funzionare senza il coinvolgimento del nodo compromesso e la rete richiede il consenso per dimostrare i blocchi."
La sicurezza è parte del motivo per cui lo è il governo indiano, ad esempio rivolgendosi alla blockchain per il suo database AADHAAR, il più grande sistema di identificazione biometrica del mondo, contenente i record di oltre un miliardo di persone, poiché il paese è stato vittima di hacking ripetuti durante l’ultimo anno.
Con una piattaforma così rinnovata, ci saranno una serie di vantaggi in termini di sicurezza. La trasparenza e l’immutabilità dei blockchain significherebbe che gli utenti sono in grado di vedere quando i loro dati sono stati consultati e da chi, fornendo così un deterrente a qualsiasi potenziale hacker. Allo stesso modo, questa trasparenza e immutabilità possono essere violate solo nell’improbabile caso che un cattivo attore assuma il controllo del 51% dei nodi della blockchain, il che in teoria consentirebbe di accedere ai dati e quindi cancellare i record corrispondenti di questo accesso illegittimo.
AADHAAR attualmente non è basato su blockchain, mentre un progetto analogo del governo di Dubai per utilizzare l’ID basato su blockchain all’aeroporto internazionale è ancora in costruzione. Tuttavia, un sistema di identificazione guidato dal governo che utilizza attualmente la tecnologia di registro distribuito (DLT) è in Estonia. La sua blockchain KSI (Keyless Signature Infrastructure) costituisce la spina dorsale di vari servizi elettronici, tra cui sistema di cartelle cliniche elettroniche, database di prescrizioni elettroniche, sistemi di e-law e tribunali elettronici, dati di e-Police, e-banking, e-business Registro e registro e-Land.
Ancora una volta, l’uso della Blockchain KSI fornisce una maggiore trasparenza rispetto ai sistemi precedenti, poiché rileva quando si è avuto accesso ai dati dell’utente e quando è stato modificato. E come spiega le FAQ di e-Estonia, è molto più veloce delle piattaforme tradizionali in formato rilevare gli abusi dei dati:
"Attualmente le organizzazioni impiegano […] circa sette mesi per rilevare violazioni e manipolazioni di dati elettronici. Con [soluzioni] blockchain come quella utilizzata dall’Estonia, queste violazioni e manipolazioni possono essere rilevate immediatamente."
Non solo le violazioni possono essere rilevate immediatamente o rapidamente su un sistema di identificazione basato su blockchain, ma è più probabile che vengano rilevate più rapidamente rispetto a una piattaforma centralizzata a causa del loro accesso pubblico e continuo al controllo da un’ampia gamma di poltrone. esperti e professionisti allo stesso modo, come evidenziato dal CTO di PolySwarm Paul Makowski in a Post sul blog di dicembre sull’intelligence decentralizzata sulle minacce:
"Esperti di sicurezza geograficamente diversificati, esperti in reverse engineering o in grado di fornire una visione unica, potranno esercitare le loro conoscenze comodamente da casa propria o ovunque (e ogni volta) scelgano di lavorare."
Standardizzazione, interoperabilità
Al momento attuale della storia, i sistemi di identità digitale del mondo sono isolati l’uno dall’altro, separati in un modo che costringe le persone a creare nuovi account e nuovi dati per praticamente ogni servizio digitale che utilizzano. Questo fa sì che i dati personali proliferino a livelli pericolosi, rendendo molto più probabile la violazione dei dati e il crimine informatico. Ad esempio, il costo del furto di identità è stato raggiunto $ 106 miliardi solo negli Stati Uniti tra il 2011 e il 2023, in un momento in cui il consumatore medio è sbalorditivo 118 account online (almeno nel Regno Unito, dove i dati erano disponibili).
I sistemi di identificazione digitale basati su blockchain offrono una via d’uscita. Sebbene la maggior parte delle catene sia attualmente tagliata l’una dall’altra, gli standard per l’identità digitale sovrana vengono elaborati da Fondazione identità digitale (DIF) e il World Wide Web Consortium (W3C). Allo stesso modo, un certo numero di startup sta costruendo piattaforme di interoperabilità che collegano blockchain separate insieme, tra cui Polkadot, Cosmos e Aion. Lavorando per realizzare un ecosistema in cui gli standard di una piattaforma di identità siano accettati da tutte le altre piattaforme che richiedono la verifica dell’identità, tali organizzazioni potrebbero ridurre drasticamente la quantità di dati personali che le persone devono produrre. Invece, gli utenti creerebbero un account con un servizio di identificazione basato su blockchain, che useranno quindi per registrarsi con una serie di altri servizi e sistemi.
Il CEO di Never Stop Marketing Jeremy Epstein ha detto in a Blog di dicembre:
"Gli standard di interoperabilità liberano capitale e tempo per generare valore. Inoltre, offre la possibilità di unire la sicurezza (rendendo l’intero sistema più robusto contro gli attacchi) e consentire transazioni senza fiducia attraverso catene."
L’interoperabilità blockchain è ancora un campo nascente e diverse organizzazioni stanno perseguendo approcci diversi ad esso. Tuttavia, per fare un esempio, Polkadot mira a raggiungere l’interoperabilità tramite il suo "multi-catena eterogenea," che ha tre componenti fondamentali. Questi sono "parachains," che sono in effetti le singole blockchain collegate tra loro, "ponti" che collegano ogni parachain alla rete Polkadot, e quindi alla rete Polkadot stessa, che è una "catena di relè" dei vari parachains collegati.
Altri percorsi per l’interoperabilità divergono da questo, con Cosmos raggiungimento comunicazione inter-chain tramite l’uso dell’algoritmo di consenso Tendermint e con la rete Aion monetizzare transazioni interchain. Tuttavia, supponendo che una piattaforma di interoperabilità riceva l’adozione universale all’interno dell’ecosistema blockchain, gli utenti scopriranno che dovranno registrare i propri dati personali solo una volta. Da quel momento in poi, saranno in grado di fornire ad altre piattaforme attestati di identità in modo sicuro e rapido, il tutto senza dover rivelare nessuno dei loro dati alle aziende e ai servizi che utilizzano.
Scalare verso un nuovo tipo di blockchain
I vantaggi promessi dai sistemi di identificazione basati su blockchain – controllo, sicurezza e standardizzazione – sono tutti allettanti, ma rimangono dubbi su quanto siano fattibili tali sistemi e quanto tempo dovremo aspettare prima che vengano rilasciati in una forma pienamente funzionante. In aggiunta a ciò, c’è anche la preoccupazione che, nonostante tutti i miglioramenti offerti dalle blockchain, come società possiamo ancora rimanere legati ai servizi online “tradizionali” e alle organizzazioni responsabili di essi, che possono resistere attivamente all’adozione di piattaforme decentralizzate che consentono per mantenere i dati per noi stessi.
Non sorprende che il problema più grande per quanto riguarda la fattibilità è quello della scalabilità, quindi spesso gli Achille guariscono molti progetti basati su crittografia. Dato che un servizio di identificazione dovrebbe – per definizione – essere in grado di servire milioni di persone, qualsiasi blockchain che costituisce la base di tale servizio deve essere notevolmente scalabile. Eppure così lontano la blockchain più popolare per le applicazioni decentralizzate (DApps) – Ethereum – è stato quasi abbattuto da un popolare videogioco l’anno scorso, CryptoKitties. Questo è il motivo per cui la maggior parte delle piattaforme sopra menzionate non sono costruite su nessuno dei blockchain più noti, ma piuttosto su registri proprietari, alcuni dei quali non soddisfano la definizione convenzionale di blockchain decentralizzata.
Ad esempio, Enigma è un file "piattaforma di calcolo decentralizzata" che è stato progettato per essere utilizzato con la verifica dell’identità, tra le altre cose. Come descritto nella sua carta bianca, risolve il problema della scalabilità delegando tutto "calcoli intensivi su una rete off-chain." Questa rete memorizza anche tutti i dati dell’utente, mentre la blockchain stessa si limita a memorizzare "riferimenti “a questi dati. In altre parole, la piattaforma di Enigma non è realmente una blockchain e, sebbene la sua rete off-chain sia ancora distribuita (sebbene ogni nodo veda parti separate dei dati complessivi), questa non è decentralizzazione nel modo in cui, ad esempio, il Bitcoin blockchain lo è.
Qualcosa di simile si potrebbe dire per altre piattaforme di identificazione “basate su blockchain”: la blockchain KSI dell’Estonia non è una blockchain a tutti gli effetti che utilizza la crittografia a chiave asimmetrica, ma piuttosto una Registro basato su albero di Merkle. Nel frattempo, la rete Sovrin ottiene il consenso tramite una serie limitata di "nodi di convalida," probabilmente rendendolo meno decentralizzato rispetto ad altri blockchain. Insieme, ciò che rivelano tali compromessi è che, se una piattaforma ID deve essere scalabile (e anche privata), deve essere meno distribuita in determinate aree e, probabilmente, meno sicura di conseguenza. Ma ancora più importante, da un punto di vista pratico, deve anche ridefinire e adattare proprio ciò che è una “ blockchain ”, poiché le catene più familiari attualmente non sono all’altezza del compito di proteggere e comunicare i nostri dati personali su vasta scala.
Interessi acquisiti
Questo è il motivo per cui anche i progetti più avanzati hanno tabelle di marcia che si estendono oltre il 2023, poiché una piattaforma ID praticabile richiede un nuovo tipo di registro distribuito che combini la necessità di trasparenza crittografica con la necessità di privacy individuale. E anche se una qualsiasi delle piattaforme di cui sopra raggiungerà questo obiettivo in qualsiasi momento presto, dovrà superare un altro enorme ostacolo: il dominio degli arbitri dell’identità esistenti, inclusi i giganti dei social media come Facebook, così come i governi nazionali..
Iniziative governative
Ad esempio, il file UK. e australiano Negli ultimi anni i governi hanno investito milioni nella costruzione dei propri sistemi centralizzati di verifica dell’identità, rendendo improbabile che cedano facilmente il passo a un’alternativa decentralizzata. Allo stesso modo, l’idea di Facebook che si riorganizza con una piattaforma veramente decentralizzata – dove gli utenti mantengono segreti i propri dati personali – è, beh, francamente impensabile, visto che il social network raccoglie miliardi di profitti annuali dalla vendita dei nostri dati al miglior offerente. È anche ampiamente utilizzato per identificare le persone online, quindi è improbabile che rinunci facilmente al suo dominio su piattaforme basate su blockchain.
Detto questo, un piccolo numero di governi nazionali e statali (ad esempio, Singapore, Illinois) ha sperimentato sistemi di identificazione basati su blockchain. Inoltre, i dati all’interno del fiorente settore dell’ID crittografico sperano che le organizzazioni pubbliche e private saranno costrette a decentralizzarsi o cadranno nel dimenticatoio.
"Quando gestisci un sistema centralizzato che fornisce alla tua organizzazione il controllo e ti consente di trarre vantaggio da questa posizione, è comprensibile che potresti essere resistente al cambiamento," dice Alastair Johnson. "Ma quando c’è una sanzione se queste informazioni vengono violate sotto forma di multe, perdita del prezzo delle azioni e dei costi per il ripristino della situazione e tutti i danni alle PR che derivano da una violazione, le aziende inizieranno a vedere che il modello deve cambiare radicalmente."
Un fattore chiave di questo cambiamento potrebbe essere l’opinione pubblica, che si è già spostata sulla scia dello scandalo Facebook-Cambridge Analytica. "La blockchain offre chiari vantaggi per i clienti in termini di controllo sui dati personali e sulle identità digitali e mi aspetto che il riconoscimento pubblico di ciò passi da una coorte di utenti precoci a una maggioranza precoce nel prossimo futuro," Dice Johnson. "Dall’altro lato, mi aspetto che le organizzazioni che hanno già subito violazioni nei loro database centralizzati siano tra le più disponibili ad adottare soluzioni basate su blockchain, mentre cercano di ricostruire la fiducia con i consumatori."
Si potrebbe sostenere che i servizi basati su pubblicità intuitivi, gratuiti e come Facebook saranno sempre più attraenti per l’utente medio – una visione rafforzata dal fatto che Facebook ha segnalato un Aumento del 13% su base annua degli utenti ad aprile, nonostante il suo recente perdita di utenti più giovani sulla scia del suddetto scandalo sulla raccolta dei dati. Tuttavia, Johnson ritiene che sia in corso un graduale cambiamento epocale negli atteggiamenti.
"Il movimento “Elimina Facebook” è un segno di cambiamento, così come il continuo controllo che il gigante tecnologico è sottoposto dalle autorità americane ed europee. Le persone stanno iniziando a rendersi conto del fatto che i loro dati personali sono preziosi. La blockchain non solo potrebbe aiutarli a monetizzarlo da soli, ma eliminerà anche i tipi di perdite di dati personali costosi che ho sperimentato io stesso."
E anche se la tecnologia blockchain è ancora in gran parte non provata al di fuori del dominio delle criptovalute, inizierà a vincere conversioni non appena dimostrerà la sua superiorità rispetto ai sistemi precedenti quando si tratta di privacy e sicurezza.
"In questo momento, potrebbero esserci esitazioni ad adottare piattaforme decentralizzate, ma è buon senso che le informazioni personali debbano essere possedute e controllate dalla persona, e per questo prevarranno."