Ταυτότητες, e-services και self sovereign identity με χρήση blockchain

Συζητάμε για ταυτότητες και ηλεκτρονικά αποδεικτικά μέσα συναλλαγών. Ελεύθερα, χωρίς κάποια τεχνολογική ή επιχειρησιακή μοντελοποίηση προτύπων και διαδικασιών. Αναδεικύονται τάσεις και παραδείγματα του social identity καθώς και του self sovereign identity. Mπορεί να καταλήξουμε και κάπου. Μπορεί και όχι. Είνα μια υπέροχη διαδρομή. Με σημαντικό μέλλον για τις ηλεκτρονικές υπηρεσίες και τον διαρκώς αναβαθμισμένο ρόλο πολίτη — πελάτη στο ψηφιακό περιβάλλον..

Για το καλό! (..ή αλλιώς ένα πλαίσιο συζήτησης)

Η ταυτότητα — μαζί με το διαβατήριο — είναι τα πιο σημαντικά έγγραφα ταυτοποίησης. Μάλιστα είναι ισοδύναμα σε ότι αφορά τις συναλλαγές στο εσωτερικό. Από το 2001 οι ταυτότητες έχουν τα στοιχεία και τις πληροφορίες που απαιτούνται για την χρήση τους στο πλαίσιο των σχέσεων που αναπτύσσονται μεταξύ του κράτους και των πολιτών και των παρεχόμενων υπηρεσιών. (βλ π.χ. Wikipedia , μη αναγραφή του θρησκεύματος..). Τα μέσα ταυτοποίησης γενικά, θα είχαν ακόμη λιγότερα στοιχεία και περισσότερες χρήσεις, αν υπήρχε η τεχνολογική τους εξέλιξη. Π.χ με χρήση βιομετρικά στοιχεία, ή/και σε σχέση με τη διαλειτουργικότητα με κεντρικά μητρώα ή..την ψηφιακή ετοιμότητα των οργανισμών που της εκδίδουν και τις αποδέχονται

Τα βασικά τους χαρακτηριστικά, ανεξάρτητα από το μέσο. Είναι τρία. Συγκεκριμένα: Ισχυρισμοί, αποδείξεις/αποδεικτικά και βεβαιώσεις(claims, proofs and attestations) Παραδείγμα:

• Claim: Με λένε Γιώργο. Έχω γεννηθεί στις 6 Ιουνίου 1984 στην Καλαμάτα και μένω στον Νέο Κόσμο (Δήμος Αθηναίων). Έχω μεταπτυχιακό του Οικ. Πανεπιστήμιου Αθήνας στα Πληροφοριακά Συστήματα και έχω κερδίσει υποτροφία λόγω υψηλών επιδόσεων.
• Proofs: H ταυτότητά μου, το διαβατήριο, πιστοποιητικό γέννησης, Λογαριασμός κινητής τηλεφωνίας
• Attestation: Τίτλος Μεπτυχιακών Σπουδών και βεβαίωση υποτροφίας.

Ποια είναι τα προβλήματα

• Δεδομένα που είναι αδόμητα (un structured) Δεν μπορούν να αναγνωστούν από μηχανές / λογισμικό (π.χ machine readable)
• Συχνές αλλαγές π.χ δ/ση διαμονής και διαχειριστικό βάρος — φόρτος ανανέωσης στοιχείων
• Γραφειοκρατία
• Σχετική ευκολία πλαστογράφησης (π.χ βεβαιώσεις)

Ταυτότητες / Ηλεκτρονικές Υπηρεσίες και Μέσα Αυθεντικοποίησης.

Για την ηλεκτρονική προώθηση χρήσης των παραπάνω αποδεικτικών μέσων έχουν γίνει τεχνικές βελτιώσεις. (και στην Ελλάδα). Συγκεκριμένα: ασφαλή πρωτόκολλα επικοινωνίας και ανταλλαγής πληροφορίας μεταξύ πληροφοριακών συστημάτων, τεχνολογικά πρότυπα, μηχανισμοί ανταλλαγής πληροφοριών μεταξύ διαφορετικών πληροφοριακών συστημάτων μέσω APIs (Application programming interfaces).

Επιπλέον, για να έχουμε πρόσβαση σε ηλεκτρονικές υπηρεσίες στο δημόσιο τομέα ή στον ιδιωτικό π.χ τράπεζες, ηλεκτρονικές πληρωμές κ.α. Σε ότι αφορά τις ηλεκτρονικές υπηρεσίες, η υλοποίηση συστημάτων ταυτοποίησης (πιστοποίηση — αυθεντικοποίηση και διαδικασιών έχει περάσει από πολλά στάδια.

Ενδεικτικά στο δημόσιο τομέα και στον ιδιωτικό τομέα , αναφέρονται τα παρακάτω μέσα Χωρίς ιεράρχηση.

Δημόσιο

• Κάρτα πολίτη (???)
• Ψηφιακές υπογραφές / Προηγμένες — Απλές
• Χρήση user name και password για δημοφιλείς ηλεκτρονικές συναλλαγές π.χ ΓΠΠΣ/ taxis
• Χρήση υπηρεσιών ταυτοποίησης από Έμπιστες Όντότητες. (π.χ δες πώς μπορείς να πληρώσεις το ΕΦΚΑ σου με χρηση κωδικών taxis

Στον ιδιωτικό τομέα π.χ τράπεζες

• Διαδικασίες Know Your Customer (KYC) που βασίζονται στην λήψη των παραπάνω αποδεικτικών μέσων και περισσότερων
• Χρήση ψηφιακών υπογραφών
• OTP (one time password) π.χ sms για την επιβεβαίωση ενός εμβάσματος
• Χρήση μεθόδων Strong customer authentication (βλ. Τελευταίες οδηγίες σχετικές με την PSD2)

Τα χρησιμοποιούμενα ανά περίπτωση μέσα καθορίζονται από νομοθεσία, εσωτερικές διαδικασίες και ανάλογα με την συναλλαγή.

Το πλαίσιο eIDAS. Ένα σημαντικό βήμα Ευρωπαϊκής Ολοκλήρωσης.

Με σκοπό τη διασφάλιση της εύρυθμης λειτουργίας της εσωτερικής αγοράς παράλληλα με την επίτευξη ενός επαρκούς επιπέδου ασφάλειας στα μέσα ηλεκτρονικής ταυτοποίησης και στις υπηρεσίες εμπιστοσύνης, ο κανονισμός eIDAS:

• καθορίζει τους όρους υπό τους οποίους τα κράτη μέλη αναγνωρίζουν τα μέσα ηλεκτρονικής ταυτοποίησης φυσικών και νομικών προσώπων
• θεσπίζει κανόνες για τις υπηρεσίες εμπιστοσύνης, ιδίως για τις ηλεκτρονικές συναλλαγές και
• θεσπίζει νομικό πλαίσιο για τις ηλεκτρονικές υπογραφές, τις ηλεκτρονικές σφραγίδες, τις ηλεκτρονικές χρονοσφραγίδες, τα ηλεκτρονικά έγγραφα κλπ

Το νομοθετικό και τεχνολογικό πλαίσιο του eIDAS αναβαθμίζει την σχέση των πολιτών με τους φορείς παροχής υπηρεσιών (service providers) σε ευρωπαικό επίπεδο και ειδικότερα στον τομέα των διασυνοριακών συναλλαγών και θα πρέπει να ληφθεί υπόψη στην ανάπτυξη υπηρεσιών ταυτοποίησης και υποδομών e — services..

Περισσότερα εδώ

*Στην Crowdpolicy παρέχουμε τώρα τελευταία υπηρεσίες ενοποίησης πληροφοριακών συστημάτων με το πλαίσιο eidas — ειδικότερα με εθνικούς κόμβους πιστοποίησης (nodes)

Υποδομή PKI (Public Κey Ιnfrastructure)

Η τεχνολογική της βάση είναι κρυπτογραφία δημόσιου και ιδιωτικού κλειδιού. Το δημόσιο κλειδί το γνωρίζουν όλα τα συναλλασσόμενα μέρη, ενώ το ιδιωτικό μόνο ο κάτοχος. Στο επίπεδο της λειτουργίας της, μια υποδομή PKI, βασίζεται σε κεντρικοποιημένες διαδικασίες απόδοσης και διαχείρισης ψηφιακών υπογραφών — πιστοποιητικών για ταυτοποιημένους χρήστες. Είτε στο δημόσιο, είτε στον ιδιωτικό τομέα. Πρακτικά μια τέτοια υποδομή είναι ένα ‘πλέγμα’ επιχειρησιακών και τεχνολογικών κανόνων και διαδικασιών μέσα από τις οποίες ένα φυσικό (ή νομικό πρόσωπο) μπορεί να πιστοποιήσει το δημόσιο κλειδί του. Ώστε στην συνέχεια να πραγματοποιεί συναλλαγές που αναγνωρίζονται νομικά.

Τα προβλήματα ‘κεντρικοποιημένων’υποδομών διαπίστευσης ή απόδοσης και διαχείρισης ψηφιακών πιστοποιητικών είναι ενδεικτικά τα ακόλουθα:

• Μέσα που δεν είναι κατά γενική ομολογία φιλικά σε απλούς χρήστες και οργανισμούς
• Πολύπλοκη Διαχείριση — update στοιχείων
• Ανά περίπτωση σημαντικά και πολύ ευαίσθητα δεδομένα με κίνδυνο μεγάλης χρηματικών / υλικών / νομικών και κάθε είδους επιπτώσεων

H αλλαγή παραδείγματος / Σκηνή Α — Social PKI

Η πλατφόρμα keybase.io είναι ένα key directory το οποίο υποστηρίζει το social profile του χρήστη. Δηλαδή τους λογαριασμούς που διαθέτει σε κοινωνικά μέσα από το facebook, twitter κλπ. Λειτουργεί με το πρότυπο Pretty Good Privacy. Με αυτό τον τον τρόπο μπορώ να ανταλλάσω ψηφιακά υπογγεγραμμένα ή κρυπτογραφημένα αρχεία με τους χρήστες της πλατφόρμας ή με οποιοδήποτε χρήστη έχει συμβατό δημόσιο κλειδί PGP. Σε σχέση με τα προηγούμενα παραδείγματα δεν έχω ταυτοποιηθεί από Αρχή πιστοποίησης ότι είμαι ο Γιώργος Καραμανώλης και ότι έχω στην κατοχή μου τα/το παρακάτω δημόσιο κλειδί. Tο επιβεβαιώνουν όμως τα social networks που έχω πιστοποιήσει. Οι φίλοι μου κλπ. Mε τον ίδιο τρόπο και αντίστοιχο, η πλατφόρμα keybase θα μπορούσε να ενωθεί με φορείς πιστοποιήσης ή παρόχους υπηρεσιών που αναφέρονται στις προηγούμενες ενότητες.

H αλλαγή παραδείγματος / Σκηνή Β decentralized PKI και self sovereign identity

Η τεχνολογία blockchain βασίζεται στην κρυπτογραφία. Βασική φιλοσοφία είναι οι μηχανισμοί διαχείρισης εμπιστοσύνης που αφορούν συναλλαγές, ανταλλαγή πληροφορίας κ.α. Μέσω της ανοικτής ή πιστοποιημένης πρόσβασης σε κοινά πληροφοριακά σύνολα συναλλαγών τα οποία έχουν δημιουργηθεί με τρόπο που δεν μπορούν να αλλοιωθούν. [Διαβάστε περισσότερα εδώ. Και για φιλοσοφίες εδώ ]

Φανταζόμαστε ένα (ακόμα) ηλεκτρονικό πορτοφόλι που στην αρχή έχει το δημόσιο και ιδιωτικό κλειδί. Καθώς και ενσωματωμένα μέσα ψηφιακά υπογεγραμμένα αποδεικτικά. Ο χρήστης μπορεί να μοιράζει τις ηλεκτρονικές πιστοποιήσεις όπου θέλει και να τις ανακαλεί όποτε θέλει. H διαχείριση και η “ενορχήστρωση” μπορεί να γίνεται με μηχανισμό blockchain που διατηρεί κρυπτογραφημένα την λίστα των δημόσιων κλειδιών, της ανακλήσεις, τα αιτήματα πρόσβασης ή τη διάθεση δεδομένων.. Με κρυπτογραφημένο τρόπο μπορούν να είναι διαθέσιμες οι συναλλαγές που αφορούν claims, proofs & attestations χωρίς να μεταφέρεται η πληροφορία από τον χρήστη.

Μια σχετικά ώριμη υλοποίηση αποτελεί η πλατφόρμα uport που λειτουργεί με τεχνολογίες blockchain και συγκεκριμένα βασίζεται στην υποδομή του ethereum

Κλείνοντας ..

Mε το Hellenic blockchain Hub κάνουμε προσπάθεια για την προώθηση των τεχνολογιών blockchain σε τομείς της Κοινωνίας και της Οικονομίας. Σχεδιάζουμε μαζί τις πρώτες δράσεις του Hellenic Blockchain Hub!. Δήλωσε συμμετοχή σε ομάδες εργασίας και επίλεξε τρόπους υποστήριξης Σύντομα θα ανακοινωθούν λεπτομέρειες για τον βραχυπρόθεσμο προγραμματισμό μας (ανοικτό εκπαιδευτικό υλικό και περιεχόμενο, συνέδριο και open workshops, πιλοτικό blockchain του Η.Β.Η. Αν σε ενδιαφέρει δες περισσότερα εδώ

Διάβασμα..

• https://en.wikipedia.org/wiki/Public_key_infrastructure
• Keybase.io
• Μητρώο παρόχων υπηρεσιών εμπιστοσύνης http://www.eett.gr/opencms/opencms/EETT/Electronic_Communications/DigitalSignatures/EsignProviders.html
• A gentle introduction to self-sovereign identity https://bitsonblocks.net/2017/05/17/a-gentle-introduction-to-se-sovereign-identity/
• PSD2: ARE YOU READY FOR STRONG CUSTOMER AUTHENTICATION (SCA)? https://internationalbanker.com/banking/psd2-ready-strong-customer-authentication-sca/
• Zug ID: Exploring the First Publicly Verified Blockchain Identity https://medium.com/uport/zug-id-exploring-the-first-publicly-verified-blockchain-identity-38bd0ee3702