All'inizio dell'estate, milioni di persone hanno iniziato a utilizzare una nuova tecnologia che potrebbe rimodellare il modo in cui gestiamo, condividiamo e utilizziamo i nostri dati.
Questa tecnologia è fondamentale per la Certificato COVID digitale dell'Unione Europea (a volte erroneamente definito "passaporto europeo di vaccinazione").
In pochi mesi, questa identità distribuita dalla tecnologia (o 'identità decentralizzata) e credenziali specificamente verificabili, è stato reso disponibile a quasi tutti nell'UE. Per contro, ci è voluto circa un decennio perché Federazione di identità o identità federata-il metodo per far rispettare gli standard di identità e i protocolli di autenticazione, per affermarsi come best practice di cybersecurity.
Nonostante milioni di persone stiano utilizzando queste tecnologie per controllare la diffusione del COVID, molti - anche molti esperti di identità - non conoscono l'identità distribuita e le credenziali verificabili. Ecco perché ero così entusiasta di discutere queste innovazioni in un keynote al KuppingerCole's della scorsa settimana. Conferenza europea e conferenza su identità e cloud.
Infatti, per quanto l'identità distribuita e le credenziali verificabili siano importanti per il Certificato Digitale COVID dell'UE, la verità è che non siamo ancora vicini a realizzarne il potenziale.
L'identità distribuita aiuta a risolvere un problema vecchio quasi quanto Internet: come può un utente condividere in modo sicuro determinate informazioni (magari sensibili) con spettatori specifici?
È un problema che è diventato sempre più urgente con la crescita del web: oggi i nostri dati e le nostre identità tendono a essere sotto il controllo delle Big Tech che gestiscono applicazioni e servizi centralizzati. Questi dati tendono a essere acquistati, venduti e utilizzati a nostra insaputa o senza il nostro permesso e ciò ha portato a notevoli preoccupazioni e a nuove regolamentazioni. Tim Berners-Lee, che è spesso accreditato come l'inventore di Internet, ha "lamentato il fatto che i dati siano stati venduti e utilizzati a nostra insaputa o senza il nostro permesso". stato del web e di come si sia costantemente allontanato dalla sua visione originale di uno spazio digitale con libertà e uguaglianza".
L'identità distribuita cambia questa dinamica. Permette agli utenti di specificare quali informazioni vogliono condividere e con chi vogliono condividerle.
Il certificato digitale COVID dell'UE utilizza l'identità distribuita per condividere una prova digitale che attesta che una persona è stata vaccinata contro la COVID-19, ha ricevuto un risultato negativo del test o è guarita dalla COVID-19.
È importante notare che l'identità distribuita consente all'utente di solo condividere il proprio Certificato, e di condividerlo solo con specificato utenti. L'utente, e solo l'utente, decide chi può vedere cosa.
L'identità distribuita aiuta gli utenti ad avere il controllo dei propri dati e a condividerli come e con chi vogliono. Nel caso del certificato digitale COVID dell'UE, esso consente ai cittadini dell'Unione di dichiarare digitalmente di essere stati vaccinati, di aver ricevuto un test negativo o di essere guariti dalla COVID-19.
Ma in questo caso, il controllo del utilizzo delle nostre informazioni non è sufficiente. Dobbiamo anche verificare la precisione di una richiesta di risarcimento.
Credenziali verificabili sono in particolare la tecnologia che alimenta il Certificato Digitale COVID dell'UE. Quando utilizzo un'identità distribuita per dichiarare di essere stato vaccinato e condivido questa informazione con qualcun altro, le credenziali verificabili mi permettono di fare questa dichiarazione.
Stabilire il modello di fiducia è abbastanza semplice e segue il classico schema Infrastruttura a chiave pubblica (PKI): il sistema consente a pochi soggetti autorizzati, come le agenzie governative, di rilasciare le credenziali.
Per esempio, in Germania, il Robert Koch Institut (più o meno l'equivalente dei Centers for Disease Control negli Stati Uniti) rilascia la credenziale verificabile per il mio certificato. La seguente credenziale verificabile condensata (e fittizia) mostra il tipo di informazioni che sarebbero contenute in un Certificato: l'affermazione (ho ricevuto due cicli di vaccino contro il Coronavirus); chi è l'oggetto dell'affermazione (io); chi ha emesso l'affermazione (il Robert Koch Institut); e una "firma" (prova) che impedisce a chiunque altro di modificare o creare l'affermazione.
Posso aggiungere questa richiesta a un'app di portafoglio digitale e visualizzarla quando serve tramite il mio smartphone. Posso anche stampare il codice QR e portarlo con me su carta.
Questo è l'aspetto di una credenziale verificata, come un codice QR che dimostra che sono stato vaccinato contro la COVID-19:
RSA e Janeiro Digital hanno già utilizzato casi simili di questa tecnologia in passato, tra cui un importante progetto pilota presso l'istituto inglese Servizio sanitario nazionale (NHS). Abbiamo utilizzato identità distribuite e credenziali verificabili per aiutare i pazienti affetti da demenza, i loro assistenti e i sistemi ospedalieri a collegare e condividere le cartelle cliniche.
Dovremmo usare la blockchain come base per affermare che ho ricevuto la vaccinazione contro il Coronavirus? In breve: no.
Identità distribuita può lavoro sulla blockchain. In effetti, l'UE ha inizialmente provato a utilizzare diverse blockchain sovrapposte e interdipendenti come base del modello di fiducia. Ma per qualcosa come un certificato di vaccinazione COVID, è meglio e molto più semplice utilizzare il modello PKI classico. In questo modo è possibile limitare chi è autorizzato o meno a rilasciare un record verificato: le agenzie sanitarie possono farlo, ma i privati no. Lo stesso modello potrebbe essere applicato ad altri documenti, come passaporti, patenti di guida o altri certificati.
Ho ignorato alcuni problemi fondamentali nel descrivere l'identità distribuita e le credenziali verificabili. Basti dire che nessun sistema è intrinsecamente perfetto: ci sono modi in cui questo processo può andare storto, di solito a causa di un errore dell'utente. Io stesso mi sono imbattuto in questi errori, di solito quando qualcuno mi chiede di mostrare il codice QR del mio certificato di vaccinazione, ma non riesce a scansionarlo con un'app in grado di convalidarlo. Non sono sicuro delle vostre capacità di lettura dei codici QR, ma per quanto mi sforzi non riesco a decodificare un codice QR e a verificare la firma digitale della prova nella mia testa.
L'altro errore tipico è quello di non verificare se il certificato di vaccinazione riguarda effettivamente la persona che fa la richiesta. Quando uso il mio codice QR, devo anche mostrare un documento d'identità (come il passaporto) per stabilire che la richiesta di vaccino si riferisce a me. La persona che controlla il mio codice QR e il passaporto deve verificare che il certificato appartenga effettivamente alla persona che ha di fronte.
Ma il fatto che così tante persone utilizzino identità distribuite e credenziali verificabili ha un valore reale: dimostra che esiste un nuovo modo per gli utenti di controllare e condividere i propri dati, che non dobbiamo accontentarci dei "giardini recintati" del passato e che possiamo costruire un certo livello di fiducia in Internet. Indicano che stanno cambiando gli atteggiamenti su chi dovrebbe essere autorizzato a controllare, utilizzare e condividere le nostre informazioni.
Soprattutto, rivelano che l'identità non è statica e che anzi continua a evolversi.
