Предуведомление

Эта публикация разбита на две части для удобства чтения. Если это оказалось неудобно именно вам, приношу свои извинения за доставленные неудобства.

Волны модернизации

Горек хлеб того исследователя, который берется исследовать, и того писателя, который ради пропитания берется писать о бесконечных технологических трендах, которые уже с самого зарождения оказываются далеко не только, и даже вовсе не технологическими. Будущее наступило и оно во многом похоже на информационное общество, которое мы даже не закончили предсказывать. 

Много лет назад, мы были свидетелями сложного технологического перехода от технологии коммутации ячеек (ATM еще кто-нибудь помнит?) к технологии коммутации пакетов (IP, по простому говоря). На моих глазах, на Форуме ATM в Голландии в 1998 году на трибуну взошел один из авторов формата ячеек АТМ Юха Хейненен, работавший в то время в Telia Finland, и, буквально как Карл Маркс в анекдоте, сказал: «Извините, 53 байта — это была ошибка». Услышанное тогда повлекло важные изменения в проектных спецификациях первой в России сети передачи данных общего пользования с широкополосным доступом в Интернет. Именно тогда мы сформулировали принцип накрывающих волн модернизации.

 Картинка очень простая, это циклоида, разрезанная на сегменты, которые сдвигаются друг относительно друга. Мой друг Клод со второй попытки сгенерировал картинку по словесному описанию и даже сделал ее интерактивной, но сейчас это не нужно. 

Каждый сегмент циклоиды изображает «волну модернизации». Эти волны поднимаются и спадают. В идеальном мире следующая волна модернизации начиналась бы после того, как завершилась предыдущая, а может даже с разрывом между циклами, чтобы мы успели насладиться результатами предыдущей волны. Но нет же, в реальном мире следующая волна модернизации начинается до того, как заканчивается предыдущая. Если вы занимаетесь любыми естественно-искусственными процессами трансформации любых систем деятельности, эта простая картинка оказывается полезной для того, чтобы скорректировать текущий процесс модернизации и подготовиться к точке пересечения со следующим, в которой два цикла становятся равно заметными по любому параметру, который вы захотите отмечать на оси «игрек». Ну, и уроки психоистории Хари Селдона тоже никто не отменял, на более длинных циклах.

Конечно, писателям (блогерам, подкастерам, инфлюенсерам) проще всего перескочить с одной волны на другую. Вчера писал об одном, сегодня о другом, никто не спросит, как одно связано с другим. Мели, Емеля, твоя неделя!

Исследователям уже потруднее, если они занимаются распознаванием смысла того, что происходит на их глазах за время их жизни не только ради личного извращенного удовольствия, а, например, чтобы держать зеркало перед каким-нибудь общественно значимым проектом, чтобы проектировщики и разработчики «не теряли рамку» и имели возможность оценивать последствия принимаемых решениях относительно целого, которое накрывает следующая волна.

Большой красивый проект Кристофера Аллена

На этом можно закончить вступительную ламентацию и перейти к предмету моих сегодняшних волнений, концепции Self-Sovereign Identity (SSI). В этой публикации я буду пользоваться взаимозаменяемыми вариантами перевода этого термина — «суверенная идентификация» и «суверенные ПД», имея в виду, что «персона» — это необязательно «натуральная персона», может быть и цифровая, просто некоторая сущность (entity). Приставка self, уместная в английском языке, по-русски звучит избыточно. Если уж суверенные,  то ясно, что управляемые самим владельцем — self.

Мой рассказ об SSI, о которой вы, вероятно, уже знаете, неразрывно связан с удивительной биографией скромного героя этого рассказа, Кристофера Аллена которого вы, возможно, не знаете, как не знал я до недавнего времени. К тому времени, как он стал ведущим специалистом в области децентрализованной идентификации, о которой пойдет речь в этой статье,  он уже успел отличиться как один из пионеров криптографии. Недолго поучившись в Университете Джорджия, он быстро получил известность как разработчик издательских проектов для самых первых Макинтошей. После этого получил контракт в AOL (который все еще существует в составе Yahoo!, который не только жив, но и собирается прикупить Google Chrome), в рамках которого создал Mac Developers Forum, едва ли не наибольшее сообщество разработчиков для Mac. Параллельно занялся криптографией, для чего создал свою компанию Consensus Development и за десять лет довел ее до продажи публичной компании Certicom за немалые по тем временам деньги 25 миллионов долларов, что принесло его инвесторам немыслимые 125% отдачи по показателю кумулятивного IRR. В купившей его компании, известной своими разработками в эллиптической криптографии, он еще пару лет отработал в качестве CTO, в течение которых, ни больше ни меньше, как разработал вместе с коллегой спецификацию TLS, которая вскоре была принята в качестве стандарта IETF. Но это достижение оказалось только началом еще более примечательного пути.

В этой статье я широко использую раскавыченное цитирование публичных постов Кристофера Аллена, хотя и не пометил эту публикацию как перевод, это, скорее, пересказ многих материалов. Перевести все материалы, использованные для публикации надо бы, но в другом месте.

Обдумывая и описывая разные подходы к концепту «платформы цифрового доверия», над которым мы работаем в компании IDX, мы неизбежно должны были установить связь с более ранними концепциями доверия, начиная с метафоры Web of Trust, положенной в основу PGP, исторически первой архитектуры децентрализованного P2P доверия. Оттуда был прямой путь к обнаружению проекта «Rebooting the Web of Trust» (RWoT), созданного Кристофером Алленом с группой единомышленников еще в 2015 году. Эта некоммерческая организация привлекла и организовала совместную работу множества специалистов, увлеченных идеями децентрализованной идентичности и других цифровых активов. В результате серии воркшопов были разработаны концепты верифицируемых учетных записей (Verifiable Credentials) и децентрализованных идентификаторов (Decentralized Identifiers — DID), которые были приняты в качестве рекомендаций W3C. Обе спецификации оказались важнейшими в дальнейшем развитии современных архитектур безопасности.

Четыре вида приватности (конфиденциальности)

Очень интересно было наблюдать, как логично и последовательно развиваются представления Аллена о том, что он выбрал в качестве дела своей жизни, и как прикладываются организационные усилия по воплощению этих представлений в жизнь. За несколько месяцев до создания RWoT, в апреле 2015 года он опубликовал на своем сайте Life With Alacrity, что можно без затей перевести как «Жизнь в движении», статью «Четыре вида приватности (privacy)». Тут же эта статья была ре-публикована на Medium.com.

В ней вводятся довольно тонкие различения, которые оказались важными для опубликованной через год, в апреле 2016 года его главной программы деятельности, ради которой была написана эта статья.

Кристофер Аллен рассказывает, что начиная с самых ранних разработок в области SSL и TSL он избегал использовать слово «privacy» даже в маркетинговых целях, поскольку видел, что все называют этим словом все, что под руку попадет. И вот в статье «Четыре вида приватности» он решил зафиксировать различения, которые видел к тому времени.

Понимание приватности отличается для Европы и для США, между либертарианцами и общественными деятелями, между развитыми и развивающимися странами, между женщинами и мужчинами. Я думаю, можно выделить не менее четырех различных видов приватности, каждый из которых важен для разных людей.

Первый тип приватности — это защитная конфиденциальность, которая защищает от временных финансовых потерь, возникающих в результате сбора или кражи информации. Это сфера деятельности фишеров, мошенников, шантажистов, похитителей личных данных и организованной преступности. Это также может быть сферой деятельности правительств, которые конфискуют активы у людей или предприятий.

Раньше самой большой угрозой для защиты конфиденциальности было то, что кто-то мог рыться в мусоре жертвы в поисках старых выписок из банковских счетов и кредитных карт. Однако сегодня тотальная взаимосвязанность мира делает обман с целью получения финансовой информации проще, чем когда-либо.

Второй тип приватности — это возможность реализовать права человека—свободно говорить, собираться, участвовать экономически.  Она защищает от экзистенциальных угроз, возникающих в результате сбора или кражи информации. Это сфера деятельности преследователей и других преступников, а также авторитарных правительств и других лиц, намеревающихся нанести ущерб кому-либо из-за его или ее убеждений или политических взглядов.

Третий тип приватности — это приватность личной жизни, которая хорошо выражается максимой «чем выше забор, тем лучше сосед».

Человеку должно быть позволено делать что он хочет в его собственном личном пространстве, на его собственных условиях, до тех пор, пока это не наносит никому вреда. Когда нарушается приватность личной жизни, мы теряем право быть самими собой.

Четвертый тип приватности — это контекстная приватность или относительная приватность. Она необходима для разделения различных составляющих вашей жизни, или как сейчас говорят — для компартментализации. Вы вряд ли захотите, чтобы ваше профессиональная деятельность пересекалась с вашей ролью матери, а ваша жизнь художника с вашей профессией бухгалтера. Социальные сети — это катастрофа для контекстной приватности. Многие начинают это понимать.

Десять принципов суверенной идентичности

В результате двадцати лет своих профессиональных занятий в области обеспечения безопасности на самых разных уровнях и сопутствующим им размышлений общего характера Кристофер Аллен сформулировал важнейшую парадигму, которая легла в основу его работы на следующее десятилетие.

В 2016 году он опубликовал текст «The Path to Self-Sovereign Identity» (Путь к суверенной идентичности), где он четко сформулировал принципы SSI и дал определение этому направлению. Я проверил, кажется имя Кристофера Алена на этой блог-площадке ни разу не упоминалось. Если я плохо искал, прошу строго мне на это указать. Нет у него и странички в Википедии.

Кристофер Аллен сформулировал десять принципов SSI, опираясь на предшественников — Кима Камерона из Майкрософт, который сформулировал «7 законов идентичности» еще в 2007 году, на проект «The Respect Trust Framework» 2016 года и на публикации рабочей группы консорциума W3C по верифицируемым заявлениям (Verifiable Claims Working Group), завершившей свою работу уже в 2018 году. Всего семь лет назад эта рабочая группа утверждала: «В настоящее время сложно предъявить в Интернете информацию о банковских счетах, образовании, медицинских данных и другие виды машиночитаемой личной информации, которая была проверена третьей стороной.» Обратите внимание на архаический термин «machine-readable», который я намеренно не стал редактировать.

Не поленюсь привести здесь полный список из десяти принципов SSI. Актуальность некоторых все еще поражает, хотя прошло почти десять лет. 

1. Существование (Existence)

   Пользователи должны обладать независимым существованием. Любая суверенная идентификация в конечном счете основывается на неизреченном "Я", которое является сердцем идентичности. Оно никогда не может быть полностью реализуемо в цифровой форме. Можно представить только ядро личности, которое поддерживается и защищается. Суверенная идентификация лишь делает публичными и доступными некоторые ограниченные аспекты "Я", которое уже существует.

2. Контроль (Control)

   Пользователи должны контролировать свою идентичность. При условии использования хорошо изученных и безопасных алгоритмов, которые обеспечивают непрерывную валидность идентичности и связанных с ней утверждений, пользователь является высшим авторитетом в отношении своей идентичности. Он всегда должен иметь возможность обращаться к ней, обновлять её или даже скрывать. Пользователи должны иметь право выбирать между публичностью и приватностью по своему усмотрению. Это не означает, что пользователь контролирует все утверждения о своей идентичности: другие пользователи могут делать заявления о нём, но они не должны быть центральными для самой идентичности.

3. Доступ (Access)

   Пользователи должны иметь доступ к своим собственным данным. Пользователь всегда должен иметь возможность легко получить все утверждения и другие данные в рамках своей идентичности. Не должно быть никаких скрытых данных и привратников. Это не обязательно означает, что пользователь может изменять все утверждения, связанные с его идентичностью, но это означает, что он должен знать о них. Это также не означает, что пользователи имеют равный доступ к данным других людей — только к своим собственным.

4. Прозрачность (Transparency)

   Системы и алгоритмы должны быть прозрачными. Системы, используемые для администрирования и функционирования сети ПД, должны быть открытыми — как в том, что касается их работы, так и в вопросах управления и обновления. Алгоритмы должны быть бесплатными, с открытым исходным кодом, хорошо известными и максимально независимыми от какой-либо конкретной архитектуры; любой должен иметь возможность изучить принципы их работы.

5. Устойчивость (Persistence)

   Идентичности должны быть долговечными. Предпочтительно, чтобы идентичности существовали вечно или, по крайней мере, столько, сколько желает пользователь. Хотя приватные ключи могут нуждаться в ротации, а данные — в изменении, идентичность остается. В быстро меняющемся мире Интернета эта цель может быть не вполне разумной, поэтому как минимум идентичности должен существовать до тех пор, пока не будет заменен более новыми системами идентификации. Это не должно противоречить "праву быть забытым"; пользователь должен иметь возможность избавиться от идентичности, если пожелает, а утверждения (о ПД) должны изменяться или удаляться соответствующим образом с течением времени. Для этого требуется четкое разделение между идентичностью и связанными с ней утверждениями: они не могут быть привязаны навечно.

6. Переносимость (Portability)

   Информация и услуги, связанные с идентичностью, должны быть переносимы. Идентичности не должны находиться под контролем единственной третьей стороны, даже если это доверенная организация, которая, как ожидается, действует в интересах пользователя. Проблема в том, что организации могут исчезать — и в Интернете большинство из них в конечном итоге исчезает. Режимы могут меняться, пользователи могут переезжать в другие юрисдикции. Переносимые идентичности гарантируют, что пользователь остается владельцем своей идентичности при любых обстоятельствах, а также могут улучшить устойчивость идентичности к переменам с течением времени.

7. Совместимость (Interoperability)

   Идентичности должны быть максимально широко применимы. Идентичности имеют малую ценность, если работают только в ограниченных нишах. Цель системы цифровой идентификации XXI века — сделать информацию об идентичности широко доступной, пересекая международные границы для создания глобальных идентичностей без потери пользовательского контроля. Благодаря устойчивости и автономности эти широко доступные идентичности могут стать постоянно доступными.

8. Согласие (Consent)

   Пользователи должны давать согласие на использование своих ПД. Любая система идентификации строится вокруг обмена этими данными и связанными с ними утверждениями (заявлениями), а совместимая система увеличивает объем такого обмена. Однако обмен данными должен происходить только с согласия пользователя. Хотя другие пользователи, такие как работодатель, кредитное бюро или друг, могут представлять утверждения о нем, пользователь по-прежнему должен дать согласие, чтобы сделать их валидными. Отметим, что это согласие может быть не интерактивным, но оно должно быть осознанным и хорошо понимаемым.

9. Минимизация (Minimalization)

   Раскрытие утверждений должно быть минимизировано. Когда данные раскрываются, это раскрытие должно включать минимальное количество данных, необходимых для выполнения поставленной задачи. Например, если требуется только минимальный возраст, то точный возраст не должен раскрываться, а если запрашивается только возраст, то более точная дата рождения не должна раскрываться. Этот принцип может поддерживаться выборочным раскрытием, доказательствами диапазона и другими техниками с нулевым разглашением, но добиться отсутствия корреляции остается очень сложной (возможно, невыполнимой) задачей; лучшее, что мы можем сделать, — это использовать минимизацию для максимально возможной поддержки приватности.

10. Защита (Protection)

    Права пользователей должны быть защищены. Когда возникает конфликт между потребностями сети идентификации и правами отдельных пользователей, сеть должна склоняться в сторону сохранения свобод и прав индивидуумов, а не потребностей сети. Для обеспечения этого аутентификация идентичности должна происходить через независимые алгоритмы, устойчивые к цензуре и принуждению и работающие децентрализованно.

В этой первой публикации Кристофер Аллен просто сформулировал десять принципов и призвал к сотрудничеству. Что же было дальше? 

Продолжение следует…