Gizlilik için özel olarak tasarlandı: zPass mimarisi ve katılımcılar nasıl daha güvenli bir web oluşturuyor?
16 KASIM 2023
JOHN REYNOLDS, ÜRÜN MÜDÜRÜ, ALEO
zPass, verilerinizi çevrimiçi paylaşmayı daha kolay ve daha güvenli hale getiren yeni bir teknolojidir. Aleo blok zinciri üzerine inşa edilen çözümümüz, merkezi olmayan kimlik doğrulamayı mümkün kılmak için gelişmiş sıfır bilgi (ZK) şifrelemesini kullanarak kullanıcı gizliliğine ve veri güvenliğine öncelik verir.
Biz farkında olsak da olmasak da, hayatlarımız güven sistemleri üzerine kuruludur.
Yerel yönetiminiz size güvenli bir sürücü olarak güvenilebileceğinizi doğrulayan bir sürücü ehliyeti verdiği için markete arabayla gidebilirsiniz.
Bir akademik veya endüstri kurumunun size o işi yapmaya yetkili olduğunuzu doğrulayan bir sertifika vermesi nedeniyle bir işte çalışabilirsiniz.
Bu güven sistemleri üç temel aktöre dayanmaktadır. Kimlik bilgilerinin sahibi: siz. Size kimlik bilgisini veren yetkili makam: İhraççı. Ve son olarak, ister ehliyetinizi kontrol eden bir polis memuru, ister akademik derecenizi kontrol eden yeni bir işveren olsun, kimlik bilgilerinizi onaylamakla görevli kişi veya kuruluş olan Doğrulayıcı.
Uygulamada, bu güven sistemlerinin çoğu, doğrulanmış fiziksel belgelerinizin, bunları kanıtlamak isteyen kişiye doğrudan fiziksel olarak sunulması yoluyla yürütülür. Ancak bu süreç, sizi doğrulamak için gerekenin ötesindeki bilgileri gereksiz bir şekilde açığa çıkarır.
Örneğin alkol servisi yapan bir gece kulübüne gidiyorsanız belli bir yaşın üzerinde olmanız gerekir. Ancak güvenlik görevlisine ehliyetinizi gösterdiğinizde, yalnızca 21 yaşın üzerinde olduğunuzu açıklamazsınız; tam yaşınızı ve doğum tarihinizi, ev adresinizi ve boyunuz ve göz renginiz gibi konu dışı ayrıntıları da açıklamış olursunuz.
Aynı durum genellikle çevrimiçi hizmetlere eriştiğinizde de geçerlidir. Bazı siteler yetişkin olduğunuzu kanıtlamaya çalışırken kredi kartı bilgilerinizi ister ve gereksiz yere sizi mali dolandırıcılığa maruz bırakır.
Diğerleri, finansal hizmetlere hak kazandığınızı kanıtlamaya çalışırken tam bir kredi raporu isteyebilir; gerçekten bilmeleri gereken tek şey, kredi puanınızın gerekli eşiği karşılayıp karşılamadığıyken kredi ayrıntılarınızı açığa vurur.
Bu yazıda zPass’ın çevrimiçi kimliği güvenli ve emniyetli bir şekilde doğrulamak için zincir dışı ve zincir içi iş akışlarını nasıl birleştirdiğini keşfedeceğiz.
zPass mimarisi nasıl çalışır?
Mevcut çevrimiçi kimlik doğrulama sistemlerinin çoğunda, kişilerin hizmetlere erişebilmeleri için özel belgelerini web’e yüklemeleri gerekir. Bunu yaptıklarında, bu verilerin nasıl kullanıldığı, paylaşıldığı veya çoğu durumda emanet edilen kurumlar tarafından nasıl tehlikeye atıldığı üzerinde çok az kontrole sahip olurlar veya hiç kontrolleri olmaz. Başka bir deyişle, verileri açığa çıkıyor.
zPass ile, özel belgelerinizin sahibi olan siz, bunları önce özel cihazınıza veya sunucunuza yükleyebilirsiniz. Daha sonra, gerçek belgeleri veya sizinle ilgili başka herhangi bir yabancı bilgiyi ifşa etmeden, söylediklerinizin doğru olduğunu doğrulayan bir “kanıt” oluşturabilirsiniz. Bu kanıt daha sonra doğrulama gereksinimlerini karşıladığınızı onaylayan Doğrulayıcıya iletilebilir. Doğrulayıcı tüm bunları kişisel verilerinizi görmeden ve saklamadan yapabilir.
zPass Sistem Katılımcıları Kimlerdir?
Fiziksel dünyada olduğu gibi, üç büyük katılımcı zPass üzerinde kanıt sağlamak ve kullanıcının bilgilerini çevrimiçi olarak doğrulamak için birlikte çalışır: Kart Sahibi, Verici ve Doğrulayıcı.
Holderlar
Sahip, kimliği veya diğer iddiaları doğrulanan kişidir.
-Sen sahibisin…
-Adınız
-Eğitiminiz
-Vatandaşlığınız
-Başarılarınız
-İş geçmişiniz
-Mali geçmişiniz
-Kişisel geçmişiniz
Bunların fiziksel kanıtını elinizde bulundurmasanız bile, bunları kimliğinizin bir parçası olarak tutuyorsunuz.
-Ehliyetinizi kaybetseniz bile adınız ve yaşınız hâlâ sizde.
-Okulunuzda transkriptiniz bulunsa bile diplomanızı hâlâ kazandınız.
-Banka hesap özetiniz olmasa bile hâlâ mali geçmişiniz var.
Sahibi, başkalarının kanıt sağlamasına güvenmeden iddialarını ne kadar çok kanıtlayabilirse, bu bilgiyi kimin alıp kimin almayacağına karar verme konusunda o kadar özerkliğe sahip olur.
-İş ararken, istihdam geçmişinizi ve iş referanslarınızı bir işverene kanıtlayabilirsiniz.
-Doktora gittiğinizde sağlık geçmişinizin tamamını paylaşabilirsiniz.
-Kredi başvurusu yaparken kredi raporunuzun tamamını sunabilirsiniz.
Tahmin edebileceğiniz gibi, bu belgeler genellikle …
İhraççı
İhraççı, iddia ettiğiniz şeyin doğru olduğuna dair genellikle kimlik veya başka belgeler biçiminde kanıt sağlayan güvenilir bir yetkilidir.
Kimliğin ne söylediği önemli. Ancak ihraççının yetkisi de bir o kadar önemlidir.
Diyelim ki hastalık nedeniyle işten ayrıldınız. İşvereniniz kanıt istiyor. Grip olduğunuzu belirten bir doktor raporu verirseniz muhtemelen kabul edeceklerdir. Annenizden grip olduğunuzu belirten bir not verirseniz, muhtemelen olmayacaklardır.
Neden? Çünkü işvereniniz bir doktorun tıbbi otoritesine güveniyor ama annenizin tıbbi otoritesine güvenmiyor.
Doğrulayıcı
İşe alırken, bir işveren iş geçmişinizi kontrol etmek için referansları doğrular.
Tedaviyi uygularken doktorlar tıbbi geçmişinizi kontrol eder.
Bir öğrenciyi kabul ederken, kolejler önceki akademik başarılara bakar.
Tüm bu eylemler Doğrulayıcıya bağlıdır.
Önemleri, bilgiyi doğru ve adil bir şekilde doğrulama yeteneklerine dayanmaktadır. Doğrulama günlük hayatımızın neredeyse ikinci doğasında vardır (gece kulübüne girecek yaşta olduğunuzdan emin olmak için sürücü belgenizi kontrol eden güvenlik görevlisi gibi).
Geleneksel kimlikler genellikle fiziksel ipuçlarını kimlikle eşleştirebilmeye dayanır.
Bir polis memuru, yaşınızı ve boyunuzu doğrulamak için fiziksel görünümünüzü ehliyet fotoğrafınızla karşılaştırır.
Bir banka, çekteki fiziksel imzayı, çeki aynı kişinin yazdığını doğrulamak için geçmiş imza kayıtlarıyla karşılaştırır.
Çevrimiçi ortamda görsel ipuçları yoktur. Dijital alanda kanıtı “göstermek” daha zordur. Kimlikleri benimsemeyi ve taklit etmeyi kolaylaştıran derin sahtekarlıklar arttıkça, standart tanımlama yöntemlerimiz daha da zorlaşıyor.
Web’de ek bir zorluk daha var: Doğrulayıcı, dijital kimlik bilgilerinin tahrif edilmediğinden veya tahrif edilmediğinden nasıl emin olabilir?
Bu, gizlilik odaklı Aleo blok zincirinde sıfır bilgi kanıtları (ZKP’ler) oluşturmanın değeridir.
Aleo blok zincirinde zPass kullanmak neden güvenliği ve emniyeti artırır?
Bilgileri çevrimiçi olarak ve dijital imzalarla kimden geldiğini doğrulayabiliriz. Bunları el yazısıyla attığınız imzanın gelişmiş kopyaları olarak düşünün. Veriler dijital imzayla birlikte geldiğinde, gerçek dünyada onaylanmış bir belge gibidir.
İncelenip eşleştirildiğinde bu imza, hem içeriğin geçerli olduğunu hem de hiç kimse tarafından kopyalanamayacak veya taklit edilemeyecek şekilde güvenilir bir kaynak olduğunu teyit eder. Bu dijital imzaların Vericinin genel adresiyle doğrulanması, verinin doğruluğunu ve güvenilir kaynağının güvence altına alınmasını sağlar.
Sahipler zPass’lerini belgelerinden özel olarak oluşturduğunda, fiziksel belgelerdeki imzalar, kimlik bilgisi verileri Aleo’daki dijital kayda eklenmeden önce doğrulanır ve bu bilgilerin kaynağı Doğrulayıcılar için otomatik olarak onaylanır. Blockchain değişmez olduğu için bu işlemler dijital olarak değiştirilemez veya değiştirilemez; bu da tüm tarafların verilerin bütünlüğüne güvenebileceği anlamına gelir.
Buradan zPass, Doğrulayıcının Aleo Programına özel bir girdi olarak sunulabilir ve iddiaları kanıtlamak için kullanılabilir. Doğrulayıcının kanıta güvenip güvenmemesi konusunda endişelenmesine gerek yoktur; Düzenlenecek kanıt için imzanın ve dolayısıyla verinin kaynağının ve bütünlüğünün zaten doğrulanmış olması gerekir. Doğrulayıcının yalnızca kimlik bilgisi sahibinin kanıtlamasını istediği iddialara odaklanması gerekir.
Süreç boyunca zPass, Aleo üzerine kurulu, ilgili tüm tarafların çevrimiçi olarak paylaştıkları ve doğruladıkları verilerin bütünlüğüne ve güvenliğine güven duymalarına olanak tanıyan güvenilir bir aracı olduğunu gösteriyor.
