Awal musim panas ini, jutaan orang mulai menggunakan teknologi baru yang dapat mengubah cara kita mengelola, berbagi, dan menggunakan data.
Teknologi ini merupakan inti dari Sertifikat COVID Digital Uni Eropa (terkadang secara keliru disebut sebagai 'paspor vaksinasi' Eropa).
Hanya dalam beberapa bulan, identitas yang didistribusikan melalui teknologi ini (atau 'identitas yang terdesentralisasi') dan secara khusus kredensial yang dapat diverifikasi - tersedia untuk hampir semua orang di UE. Sebaliknya, butuh waktu sekitar satu dekade untuk Federasi Identitas atau Identitas Federasi-metode untuk menerapkan standar identitas dan protokol otentikasi-untuk memantapkan dirinya sebagai praktik terbaik keamanan siber.
Terlepas dari kenyataan bahwa jutaan orang menggunakan teknologi ini untuk membantu mengendalikan penyebaran COVID, banyak orang-bahkan banyak ahli identitas-masih awam terhadap identitas terdistribusi dan kredensial yang dapat diverifikasi. Itulah mengapa saya sangat bersemangat untuk mendiskusikan inovasi ini dalam sebuah presentasi di KuppingerCole minggu lalu. Konferensi Eropa dan Identitas dan Cloud.
Karena sama pentingnya dengan identitas terdistribusi dan kredensial yang dapat diverifikasi untuk Sertifikat COVID Digital Uni Eropa, kenyataannya adalah bahwa kita belum mendekati potensi mereka.
Identitas terdistribusi membantu memecahkan masalah yang hampir sama tuanya dengan internet: bagaimana seorang pengguna dapat dengan aman berbagi informasi tertentu (mungkin sensitif) dengan pemirsa tertentu?
Ini adalah masalah yang semakin mendesak seiring dengan pertumbuhan web: saat ini, data dan identitas kita cenderung berada di bawah kendali perusahaan-perusahaan Teknologi Besar yang mengoperasikan aplikasi dan layanan terpusat. Data tersebut cenderung dibeli, dijual, dan digunakan tanpa sepengetahuan atau izin kita, dan hal ini telah menimbulkan kekhawatiran yang signifikan dan peraturan baru. Tim Berners-Lee, yang sering dikreditkan sebagai penemu internet, telah "menyesalkan keadaan web dan bagaimana hal ini semakin menyimpang dari visi awalnya tentang ruang digital dengan kebebasan dan kesetaraan."
Identitas terdistribusi mengubah dinamika itu. Hal ini memungkinkan pengguna untuk menentukan informasi apa yang ingin mereka bagikan dan dengan siapa mereka ingin membaginya.
Sertifikat COVID Digital Uni Eropa menggunakan identitas terdistribusi untuk membagikan bukti digital bahwa seseorang telah divaksinasi COVID-19, menerima hasil tes negatif, atau pulih dari COVID-19.
Yang penting, identitas terdistribusi memungkinkan pengguna untuk hanya membagikan Sertifikat mereka, dan hanya membagikannya dengan ditentukan pengguna. Pengguna-dan hanya pengguna-yang memutuskan siapa yang dapat melihat apa.
Identitas terdistribusi membantu pengguna mendapatkan kendali atas data mereka dan membagikannya dengan cara apa pun dan dengan siapa pun yang mereka sukai. Dalam kasus Sertifikat COVID Digital Uni Eropa, sertifikat ini memungkinkan warga negara Uni Eropa untuk mengklaim secara digital bahwa mereka telah divaksinasi, menerima tes negatif, atau sembuh dari COVID-19.
Namun dalam kasus ini, mengendalikan menggunakan informasi kami saja tidak cukup. Kami juga harus memverifikasi akurasi dari suatu klaim.
Kredensial yang dapat diverifikasi khususnya teknologi yang mendukung Sertifikat COVID Digital Uni Eropa. Ketika saya menggunakan identitas yang didistribusikan untuk membuat klaim bahwa saya telah divaksinasi dan membagikan informasi tersebut kepada orang lain, kredensial yang dapat diverifikasi memungkinkan saya untuk membuat klaim tersebut.
Membangun model kepercayaan untuk hal ini cukup sederhana dan mengikuti model klasik Infrastruktur Kunci Publik (PKI): sistem ini mengizinkan beberapa pihak yang berwenang-seperti lembaga pemerintah-untuk mengeluarkan kredensial.
Misalnya, di Jerman, Robert Koch Institut (kurang lebih setara dengan Pusat Pengendalian Penyakit di AS) menerbitkan kredensial yang dapat diverifikasi untuk Sertifikat saya. Kredensial terverifikasi ringkas (dan fiksi) berikut ini menunjukkan jenis informasi yang akan ada dalam Sertifikat: klaim (saya menerima dua putaran vaksin virus Corona); siapa yang dimaksud dengan klaim tersebut (saya); siapa yang menerbitkan klaim (Robert Koch Institut); dan 'tanda tangan' (bukti) yang mencegah siapa pun untuk mengubah atau membuat klaim tersebut.
Saya dapat menambahkan klaim ini ke aplikasi dompet digital dan menampilkannya saat dibutuhkan melalui ponsel pintar saya. Saya bahkan dapat mencetak kode QR dan membawanya di atas kertas
Seperti inilah kredensial terverifikasi sebagai QR Code yang membuktikan bahwa saya telah divaksinasi COVID-19:
RSA dan Janeiro Digital telah menggunakan contoh serupa dari teknologi ini sebelumnya, termasuk dalam percontohan besar di Inggris Layanan Kesehatan Nasional (NHS). Di sana, kami menggunakan identitas terdistribusi dan kredensial yang dapat diverifikasi untuk membantu pasien demensia, pengasuh dan sistem rumah sakit untuk saling terhubung dan berbagi catatan pasien.
Haruskah kita menggunakan blockchain sebagai dasar untuk membuat klaim bahwa saya telah menerima vaksinasi virus Corona? Singkatnya: tidak.
Identitas yang didistribusikan bisa bekerja pada blockchain. Faktanya, Uni Eropa pada awalnya mencoba menggunakan beberapa blockchain yang tumpang tindih dan saling bergantung sebagai dasar model kepercayaan. Tetapi untuk sesuatu seperti Sertifikat vaksinasi COVID, lebih baik dan jauh lebih sederhana menggunakan model PKI klasik. Dengan demikian, Anda dapat membatasi siapa saja yang boleh dan tidak boleh mengeluarkan catatan yang terverifikasi: lembaga kesehatan boleh, tetapi individu tidak boleh. Model yang sama dapat diterapkan pada dokumentasi lain, seperti paspor, SIM, atau sertifikat lainnya.
Saya telah mengabaikan beberapa masalah mendasar dalam menjelaskan identitas terdistribusi dan kredensial yang dapat diverifikasi. Bisa dikatakan bahwa tidak ada sistem yang secara inheren sempurna: ada beberapa cara yang bisa membuat proses ini menjadi salah, biasanya sebagai akibat dari kesalahan pengguna. Saya sendiri pernah mengalami kesalahan tersebut, biasanya ketika seseorang meminta saya untuk menunjukkan kode QR sertifikat vaksinasi saya, tetapi tidak berhasil memindainya dengan aplikasi yang dapat memvalidasi sertifikat vaksinasi. Saya tidak yakin dengan kemampuan membaca kode QR Anda, tetapi sekeras apa pun saya mencoba, saya tidak dapat memecahkan kode QR dan memeriksa tanda tangan digital di kepala saya.
Kesalahan umum lainnya adalah tidak memeriksa apakah sertifikat vaksinasi tersebut memang benar milik orang yang mengajukan klaim. Ketika saya menggunakan kode QR, saya juga harus menunjukkan beberapa tanda pengenal (seperti paspor) untuk memastikan bahwa klaim tentang vaksin tersebut berlaku untuk saya. Orang yang memeriksa kode QR dan paspor saya harus memverifikasi bahwa sertifikat tersebut memang benar milik orang yang berdiri di depan mereka.
Namun, ada nilai nyata dari banyaknya orang yang menggunakan identitas terdistribusi dan kredensial yang dapat diverifikasi: mereka menunjukkan bahwa ada cara baru bagi pengguna untuk mengontrol dan membagikan data mereka, bahwa kita tidak perlu puas dengan 'taman bertembok' di masa lalu dan bahwa kita dapat membangun tingkat kepercayaan di internet. Hal ini menunjukkan perubahan sikap tentang siapa yang seharusnya diizinkan untuk mengontrol, menggunakan, dan membagikan informasi kita.
Yang paling penting, mereka mengungkapkan bahwa identitas tidaklah statis-dan sebaliknya, identitas itu terus berkembang.
