في وقت سابق من هذا الصيف، بدأ ملايين الأشخاص في استخدام تقنية جديدة يمكن أن تعيد تشكيل طريقة إدارتنا لبياناتنا ومشاركتها واستخدامها.
هذه التقنية أساسية في شهادة COVID الرقمية الخاصة بالاتحاد الأوروبي (يُشار إليه أحيانًا عن طريق الخطأ باسم "جواز سفر التطعيم في أوروبا").
في غضون بضعة أشهر فقط، هذه الهوية الموزعة تكنولوجياً (أوالهوية اللامركزية") ووثائق اعتماد يمكن التحقق منها على وجه التحديد - تم توفيرها للجميع تقريبًا في الاتحاد الأوروبي. وعلى النقيض من ذلك، استغرق الأمر حوالي عقد من الزمن اتحاد الهويات أو الهوية الموحدة-طريقة فرض معايير الهوية وبروتوكولات المصادقة-لترسيخ نفسها كأفضل ممارسات الأمن السيبراني.
على الرغم من حقيقة أن الملايين من الأشخاص يستخدمون هذه التقنيات للمساعدة في السيطرة على انتشار فيروس كورونا، إلا أن العديد من الأشخاص - وحتى العديد من خبراء الهوية - ما زالوا حديثي العهد بالهوية الموزعة وبيانات الاعتماد القابلة للتحقق. لهذا السبب كنت متحمسًا جدًا لمناقشة هذه الابتكارات في كلمة رئيسية في مؤتمر كوبينجر كول الأسبوع الماضي المؤتمر الأوروبي والهوية والسحابة.
لأنه على الرغم من أهمية الهوية الموزعة وبيانات الاعتماد التي يمكن التحقق منها بالنسبة لشهادة COVID الرقمية للاتحاد الأوروبي، فإن الحقيقة هي أننا لم نقترب من تحقيق إمكاناتها.
تساعد الهوية الموزعة في حل مشكلة قديمة قدم الإنترنت تقريباً: كيف يمكن للمستخدم مشاركة معلومات معينة (ربما حساسة) بشكل آمن مع مشاهدين محددين؟
إنها مشكلة أصبحت أكثر إلحاحاً مع استمرار نمو الويب: اليوم، تميل بياناتنا وهوياتنا إلى أن تكون تحت سيطرة شركات التكنولوجيا الكبرى التي تدير تطبيقات وخدمات مركزية. وتميل هذه البيانات إلى أن يتم شراؤها وبيعها واستخدامها دون علمنا أو إذن منا، مما أدى إلى مخاوف كبيرة ولوائح جديدة. وقد أعرب تيم بيرنرز لي، الذي غالبًا ما يُنسب إليه الفضل في اختراع الإنترنت، عن "أسفه على حالة الويب وكيف انحرفت بشكل مطرد عن رؤيته الأصلية لفضاء رقمي يتمتع بالحرية والمساواة."
الهوية الموزعة تغير هذه الديناميكية. فهي تسمح للمستخدمين بتحديد المعلومات التي يرغبون في مشاركتها ومع من يريدون مشاركتها.
تستخدم شهادة كوفيد الرقمية الخاصة بالاتحاد الأوروبي الهوية الموزعة لمشاركة دليل رقمي على أن الشخص إما أنه تم تطعيمه ضد كوفيد-19 أو حصل على نتيجة اختبار سلبية أو تعافى من كوفيد-19.
الأهم من ذلك، تسمح الهوية الموزعة للمستخدم بما يلي فقط مشاركة شهادتهم، ومشاركتها فقط مع المحدد المستخدمين. المستخدم - والمستخدم فقط - هو من يقرر من يمكنه رؤية ماذا.
تساعد الهوية الموزعة المستخدمين على التحكم في بياناتهم ومشاركتها كيفما شاءوا ومع من يشاءون. في حالة شهادة كوفيد الرقمية الخاصة بالاتحاد الأوروبي، فهي تسمح لمواطني الاتحاد الأوروبي بالادعاء رقمياً بأنهم تلقوا التطعيم أو تلقوا اختباراً سلبياً أو تعافوا من كوفيد-19.
ولكن في هذه الحالة، فإن التحكم في الاستخدام معلوماتنا وحدها ليست كافية. علينا أيضًا التحقق من الدقة المطالبة
أوراق اعتماد يمكن التحقق منها على وجه التحديد هي التكنولوجيا التي تدعم شهادة COVID الرقمية للاتحاد الأوروبي. عندما أستخدم الهوية الموزعة لتقديم ادعاء بأنني تلقيت اللقاح ومشاركة هذه المعلومات مع شخص آخر، فإن بيانات الاعتماد التي يمكن التحقق منها تسمح لي بتقديم هذا الادعاء.
يعد إنشاء نموذج الثقة لهذا الأمر بسيطًا إلى حد ما ويتبع النموذج الكلاسيكي البنية التحتية للمفاتيح العامة نموذج PKI (PKI): يسمح النظام لعدد قليل من الجهات المصرح لها - مثل الوكالات الحكومية - بإصدار بيانات الاعتماد.
على سبيل المثال، في ألمانيا، يصدر معهد روبرت كوخ (وهو ما يعادل تقريبًا مراكز مكافحة الأمراض في الولايات المتحدة) بيانات الاعتماد التي يمكن التحقق منها لشهادتي. تُظهر بيانات الاعتماد التالية المختصرة (والخيالية) التي يمكن التحقق منها نوع المعلومات التي يمكن أن تكون في الشهادة: الادعاء (تلقيت دورتين من لقاح فيروس كورونا)؛ ومن هو صاحب الادعاء (أنا)؛ ومن أصدر الادعاء (معهد روبرت كوخ)؛ و"توقيع" (إثبات) يمنع أي شخص آخر من تعديل أو إنشاء الادعاء.
يمكنني إضافة هذه المطالبة إلى تطبيق المحفظة الرقمية وعرضها عند الحاجة عبر هاتفي الذكي. يمكنني حتى طباعة رمز الاستجابة السريعة وحمله معي على الورق
هذا هو الشكل الذي ستبدو عليه بيانات الاعتماد التي تم التحقق منها كرمز QR Code الذي يثبت أنني تلقيت اللقاح ضد كوفيد-19:
استخدمت RSA و Janeiro Digital حالات مماثلة لهذه التقنية من قبل، بما في ذلك في مشروع تجريبي كبير في الخدمة الصحية الوطنية (NHS). وهناك، استخدمنا الهوية الموزعة وبيانات الاعتماد التي يمكن التحقق منها لمساعدة المرضى الذين يعانون من الخرف ومقدمي الرعاية لهم وأنظمة المستشفيات على ربط سجلات المرضى ومشاركتها.
هل يجب أن نستخدم البلوك تشين كأساس للادعاء بأنني تلقيت لقاح فيروس كورونا؟ باختصار: لا.
الهوية الموزعة يمكن العمل على البلوك تشين. في الواقع، حاول الاتحاد الأوروبي في الأصل استخدام العديد من سلاسل الكتل المتداخلة والمترابطة كأساس لنموذج الثقة. ولكن بالنسبة لشيء مثل شهادة التطعيم ضد فيروس كورونا، من الأفضل والأبسط بكثير استخدام نموذج مرفق المفاتيح العمومية الكلاسيكي. يسمح لك القيام بذلك بتقييد من يُسمح له ومن لا يُسمح له بإصدار سجل تم التحقق منه: يمكن للوكالات الصحية ذلك ولكن لا يمكن للأفراد. يمكن تطبيق نفس النموذج على الوثائق الأخرى، مثل جوازات السفر أو رخص القيادة أو الشهادات الأخرى.
لقد تجاهلت بعض المشاكل الأساسية في وصف الهوية الموزعة وبيانات الاعتماد التي يمكن التحقق منها. ويكفي أن أقول أنه لا يوجد نظام مثالي بطبيعته: هناك طرق يمكن أن تسوء فيها هذه العملية، وعادةً ما تكون نتيجة خطأ من المستخدم. لقد واجهت هذه الأخطاء بنفسي، عادةً عندما يطلب مني شخص ما إظهار رمز الاستجابة السريعة لشهادة التطعيم الخاصة بي ولكنه يفشل في مسحها فعلياً باستخدام تطبيق يمكنه التحقق من صحة شهادة التطعيم. لستُ متأكداً من مهاراتك في قراءة رمز الاستجابة السريعة، ولكن مهما حاولت جاهداً لا يمكنني فك شفرة رمز الاستجابة السريعة والتحقق من التوقيع الرقمي للإثبات في رأسي.
الخطأ النموذجي الآخر هو عدم التحقق مما إذا كانت شهادة التطعيم تتعلق في الواقع بالشخص الذي يقدم المطالبة. عندما أستخدم رمز الاستجابة السريعة الخاص بي، يجب عليّ أيضاً إبراز بعض الوثائق التعريفية (مثل جواز السفر) لإثبات أن الادعاء بشأن اللقاح ينطبق عليّ. يجب أن يتحقق الشخص الذي يتحقق من رمز الاستجابة السريعة وجواز السفر الخاص بي من أن الشهادة تخص بالفعل الشخص الذي يقف أمامه.
ولكن هناك قيمة حقيقية في استخدام هذا العدد الكبير من الأشخاص للهوية الموزعة وبيانات الاعتماد التي يمكن التحقق منها: فهي تثبت أن هناك طريقة جديدة للمستخدمين للتحكم في بياناتهم ومشاركتها، وأننا لسنا بحاجة إلى الاكتفاء بـ "الحدائق المسورة" التي كانت موجودة في الماضي، وأننا نستطيع بناء مستوى معين من الثقة في الإنترنت. وهي تشير إلى تغير المواقف بشأن من يجب أن يُسمح له بالتحكم في معلوماتنا واستخدامها ومشاركتها.
والأهم من ذلك أنها تكشف عن أن الهوية ليست ثابتة - بل إن هذه الهوية مستمرة في التطور.
