کاربرد بلاک چین در احراز هویت دیجیتال(بخش دوم)
با پیشرفت اینترنت و گسترش عمومی استفاده از آن، چالشهای زیادی گریبانگیر جوامع شده است؛ از مسائل اخلاقی گرفته تا حملات سایبری و کلاهبرداریها. اما یکی از اساسی ترین و بنیادیترین چالشهای حل نشده در فضای دیجیتال، احراز هویت است. به گونهای که هر شخص با هویتی یکتا و قابل رهگیری در فضای دیجیتالی فعالیت کرده و بتواند از حقوق و مسئولیتهای خود در این دنیای جدید دفاع کند. در این مقاله مروری داریم بر تلاشهای صورت گرفته برای احراز هویت دیجیتال، و همچنین نقش تکنولوژی رمزنگاری و بلاک چین در رفع این چالش.
برای مطالعه بخش اول مقاله کاربرد بلاک چین در احراز هویت دیجیتال اینجا کلیک کنید.
احراز هویت دیجیتالی با استفاده از الگوریتم رمزنگاری نامتقارن
اجازه دهید توضیح این قسمت را با یک سوال آغاز کنیم؛ در بخش قبل گفتیم که هر شخص فرستنده، میتواند برای رمزنگاری پیام خود از کلید عمومی شخص گیرنده استفاده کرده و پیام را انتقال دهد. حال چه زمانی از کلید خصوصی برای رمزنگاری استفاده میکنیم؟ در اینجا شما را با مفهومی جدیدی آشنا میکنیم: امضای دیجیتال.
هرگاه بخواهیم هنگام ارسال یک پیام، هویت خود را احراز کرده و اصطلاحاً پیام را امضا کنیم (تا شخص گیرنده مطمئن باشد که فرستنده پیام همان کسیست که ادعا میکند، و نیز هیچ فرد خرابکاری این پیام را دستکاری یا سانسور نکرده)، از کلید خصوصی خود برای رمزنگاری پیام استفاده میکنیم. بنابراین در اینجا کلید خصوصی به عنوان کلید امضا کننده (signing key)، و کلید عمومی به عنوان کلید تأیید هویت (verifier key) ایفای نقش میکنند. به مثال زیر توجه کنید:
اصغر قصد دارد پیامی را برای شروین ارسال کند و برای او مهم است که شروین هنگام دریافت پیام مطمئن باشد که آن را از جانب اصغر دریافت میکند و هیچ جعل و تحریفی در این پیام رخ نداده است (دقت داشته باشید که برای ساده سازی مساله، در اینجا تنها صحت پیام و احراز هویت فرستنده برای ما مهم است و فعلاً امنیت و مخفی سازی پیام، در اولویت نیست). برای انجام این کار، باید مراحل زیر طی شود:
- اصغر و شروین هر کدام یک جفت کلید عمومی و خصوصی ایجاد میکنند.
- اصغر و شروین کلیدهای عمومی خود را برای یکدیگر ارسال میکنند (چنگیز هم دورادور همه چیز را رصد میکند).
- اصغر پیام خود را با استفاده از الگوریتم رمزنگاری یک طرفه هش میکند و سپس هش تولید شده را با استفاده از کلید خصوصی خود امضا (رمزنگاری) میکند.
- حال اصغر یک امضای دیجیتالی از پیام خود ایجاد کرده که آن را به پیام اصلی (پیام رمزنگاری نشده) ضمیمه کرده و برای شروین میفرستد. (چنگیز هم آن را دریافت میکند و حتی میتواند پیام را ببیند، اما کلید خصوصی اصغر را برای امضا کردن در اختیار ندارد).
- شروین پیام اصلی و امضای دیجیتالی را دریافت کرده و با استفاده از کلید عمومی اصغر، امضای او را رمزگشایی کرده و به پیام هش شده میرسد.
- شروین پیام اصلی را با استفاده از الگوریتم رمزنگاری یک طرفه هش میکند (همانند کاری که اصغر در ابتدا انجام داد).
- حال شروین هش بدست آمده از مراحل ۵ و ۶ را با هم مقایسه میکند و در صورت یکسان بودن هش، میتواند اطمینان حاصل کند که پیام از سوی اصغر فرستاده شده و هیچ چنگیزی در میانه راه پیام را دستکاری نکرده است.
بدین صورت فرایند احراز هویت با استفاده از الگوریتم رمزنگاری کلید عمومی-خصوصی انجام میشود. حالا گیرنده پیام مطمئن است که آن را از جانب چه کسی دریافت کرده و فرستنده نیز هیچگاه نمیتواند ارسال این پیام را انکار کند، چرا که امضای دیجیتالی او بر روی پیام است و هیچ کس قادر به جعل امضای دیجیتال او نیست.
تا به اینجای کار یک گام به جلو برداشته و فهمیدیم که احراز هویت دیجیتالی با استفاده از رمزنگاری چگونه ممکن میشود. اما آیا این پایان کار است؟ آیا با تمام آنچه که گفته شد حقوق و مسئولیتهای ما از هرگونه خطری ایمن و محفوظ خواهد ماند؟
پاسخ منفی است. شما تا کنون موفق شدید که بدون ارسال گذرواژه خود، به حساب کاربریتان در یک پلتفرم غول آسا مثل فیسبوک، وارد شوید. شما توانستید اطمینان حاصل کنید که با استفاده از قابلیت چت پنهانی (secret chat) پیامرسان تلگرام، هیچ شخص و سازمانی قادر به دریافت پیام های شما نیست. اما هنوز هم برای استفاده از هر سرویس اینترنتی، (از عملیات بانکی و حمل و نقل گرفته تا شبکه ها و رسانه های اجتماعی)، شما باید اطلاعات شخصی خود را با این پلتفرمها به اشتراک بگذارید. این اطلاعات شخصی میتواند شامل آدرس محل زندگی، تاریخ تولد، شماره تلفن، مدارک شناسایی، شماره ملی و غیره باشد. متاسفانه از زمان پیدایش سرویسهای خدمات اینترنتی تا به امروز، سوءاستفاده های زیادی از این اطلاعات شخصی صورت گرفته است. به عنوان مثال همه شما با مشکل پیامک های تبلیغاتی دست به گریبان هستید. گویا کسانی که این پیام ها را میفرستند حتی از محل زندگی شما هم اطلاع دارند. اما این تنها یک مثال کوچک است. بسیاری از شرکتهای بازاریابی اینترنتی، حاضرند در ازای دریافت اطلاعات شخصی شما، به پلتفرمهایی مثل گوگل و فیسبوک یا اپراتورهای تلفن همراه پول پرداخت کنند. به عنوان مثال در جریان رسوایی تاریخی کمبریج آنالایتیکا، شرکت فیسبوک بسیاری از اطلاعات شخصی کاربران خود را در اختیار یک شرکت تبلیغاتی به نام کمبریج آنالایتیکا گذاشت و این شرکت با ساخت تبلیغات روانی هدفمند، سعی داشت تا نتیجه انتخابات ریاست جمهوری ۲۰۱۶ امریکا را به نفع دونالد ترامپ تغییر دهد.
حتی اگر سازمان های متمرکز سابقه ای در سو استفاده از داده های ما نداشته باشند، و سیاست آنها در حفظ و حراست از داده های ما باشد، از کجا میتوان مطمئن بود که این سازمان ها قابل اعتمادند؟ در زنجیره اعتماد این سازمان ها دو حلقه ضعیف وجود دارد که می تواند به لو رفتن و سو استفاده از داده های ما بیانجامد: یکی کارکنانی که در این سازمان ها با آن ها سر و کار داریم، و دیگری سیستم های فناوری اطلاعات ناامن و آسیب پذیر این سازمان ها. با فرض سالم و درست بودن سیاست های حفظ حریم خصوصی در این سازمان ها، همیشه افرادی وجود دارند که در تلاشند با روش های هک و سرقت اطلاعات سایبری، این اطلاعات را به دست آورند، و یا در قبال دسترسی به آن پول پرداخت کنند. علاوه بر این فرآیندهای امروزی احراز هویت دیجیتال ناکارآمد، کُند، پیچیده، تکراری، هزینهبر و خطاپذیر هستند و بر تجربه مشتری نیز تأثیر منفی میگذارند. چنانچه قرار باشد فرآیند احراز هویت به صورت متمرکز و توسط نهادهای دولتی انجام گیرد، همواره احتمال خطای انسانی و حتی جعل و دستکاری در مدارک هویتی وجود دارد. موارد استفاده از اطلاعات کاربر شفافیت کافی ندارند و کاربر نمیداند اطلاعاتش کجا و با چه اهدافی به کار رفته است. در این شیوه، کاغذبازیها زیاد و رویهها طولانی و زمانبر است. در ضمن هر بار که به نهاد جدیدی مراجعه میکنید بخشی از مراحل احراز هویت باید دوباره تکرار شود (درد مشترک یک نسل). اما تکنولوژی بلاک چین، پاسخی برای حل این مشکل دارد.
احراز هویت دیجیتالی با استفاده از فناوری بلاک چین
ما انسانها در دنیای واقعی مدارک هویتی فیزیکی مانند گواهینامه رانندگی، کارت ملی و گذرنامه داریم که از طرف نهادهای دولتی صادر میشوند اما در اختیار خودمان قرار دارند و هر زمان که نیاز باشد آنها را با دیگران به اشتراک میگذاریم. از همین روش میتوان برای احراز هویت در فضای دیجیتال نیز استفاده کرد. مدل غیرمتمرکز احراز هویت دیجیتال نیز بر همین راهکار ساده تمرکز دارد.
در این مدل به منظور تبادل اطلاعات در بستر شبکه، دادهها به صورت یک “گواهی رمزنگاری شده” در یک دفتر کل غیرمتمرکز نگهداری میشوند. هر زمان که سازمانی نیاز به اطلاعات داشته باشد درخواست خود را در شبکه ارسال میکند و شخص مورد نظر، دانسته و آگاهانه اجازه دسترسی به بخشی از اطلاعات هویتی خود را به سازمان مربوطه خواهد داد. اینگونه میتوان اطمینان حاصل کرد که اطلاعات ثبت شده از هویت افراد، در طی زمان دچار جعل و تحریف نمیشود، سازمانهای غیر مجاز قادر به دیدن اطلاعات شخصی افراد نیستند (تنها چیزی که میبینند، یک گواهی دیجیتالی رمزنگاری شده همچون یک رشته کاراکتر درهم است)، و همچنین به دلیل توزیع شدگی دادهها در شبکه، کسی قادر به حذف آن نخواهد بود. احراز هویت دیجیتال مبتنی بر بلاک چین علاوه بر سریعتر، ایمنتر و کاراتر بودن باعث جلب اعتماد عمومی نیز خواهد شد. با نگاهی دقیقتر به سیستمهای احراز هویت غیر متمرکز یاDecentralized Identity) DID)، به نحوه کار آن پی خواهیم برد.
یک بلاک چین عمومی را تصور کنید که اشخاص حقیقی و حقوقی و سازمانها همگی اعضای آن هستند. هر شخص حقیقی میتواند مجموعهای کامل و جامع از اطلاعات و مدارک هویتی لازم برای احراز هویت (همچون نام، نام خانوادگی، شماره ملی، کارت ملی، گواهینامه رانندگی، عکس ۳*۴، آدرس، شماره تلفن، شغل، آدرس محل کار، سوابق بیمه، آدرس ایمیل، آدرس لینکداین، رنگ چشم و ….) را جمع آوری کرده و با استفاده از الگوریتمهای رمزنگاری نامتقارن، به وسیله کلید خصوصی خود آنها را یک به یک را رمزنگاری کند. سپس این دادههای رمزنگاری شده را به همراه یک شناسه بیومتریک منحصر به فرد (همچون اثر انگشت) که در حقیقت نقش حلقه اتصال هویت دیجیتال به هویت فیزیکی را ایفا میکند، در بلاک چین ثبت میکنیم.
تا به اینجای کار، شما یک هویت دیجیتالی خود اختیار (self-sovereign identity) ایجاد کردهاید که غیر از خودتان هیچ شخص دیگری قابلیت دسترسی به محتویات آن را ندارد و تنها توسط خودتان قابل بروزرسانی خواهد بود (مثلاً وقتی آدرس محل سکونتتان تغییر کرده میتوانید آدرس جدید را هم به اطلاعات قبلی اضافه کنید و خود به خود تاریخچه این بروزرسانی نیز ذخیره خواهد شد). حالا فرض کنید برای ایجاد حساب در یک سازمان متمرکز مثل بانک X، باید تعداد خاصی از این داده ها را به اشتراک بگذارید. مثلاً نام، شماره تلفن، شماره ملی و آدرس. توجه داشته باشید که بانک X یا هر سازمان دیگری، با داشتن کلید عمومی شما، به راحتی میتوانند دادههای ثبت شده شما را رمزگشایی کرده و به همه اطلاعات خصوصی شما دست یابند؛ پس در اینجا محرمانه نگه داشتن هر دو کلید خصوصی و عمومی برای ما مهم است. برای آنکه فقط بانک قادر به دیدن دادههای شخصی شما باشد، و فقط هم به مواردی که شما اجازه میدهید (۴ مؤلفه مذکور) دسترسی یابد، از یک قرارداد هوشمند بلاک چینی استفاده میکنیم که روش کار آن به صورت زیر است:
- شما برای ایجاد حساب به بانک X مراجعه می کنید و آدرس عمومی خود را به بانک میدهید.
- بانک فرم احراز هویت (شامل ۴ مؤلفه مذکور) را به آدرس شما (که از هش کلید عمومی شما ایجاد شده و با داشتن آن نمیتوان به کلید عمومی دست یافت) ارسال میکند.
- قرارداد هوشمندی به عنوان واسطه میان شما و بانک X وجود دارد که درصورت دریافت فرم مذکور از بانک، و اعلام رضایت از سوی شما، ۴ مؤلفه هویتی ذکر شده در فرم را به همراه شناسه بیومتریک شما از بلاک چین فراخوانی کرده و آن را با استفاده از کلید عمومی شما، رمزگشایی میکند (کلید عمومی شما همچنان محفوظ است).
- سپس این داده ها را با استفاده از کلید خصوصی شما امضا کرده، بوسیله کلید عمومی بانک X مجدداً رمزنگاری میکند و پس از ضمیمه کردن شناسه بیومتریک شما، برای بانک ارسال میکند.
- بانک پیام را دریافت کرده و تنها با کلید خصوصی خود قادر به رمزگشایی و مشاهده آن است. امضای شما روی این داده ها، تضمین میکند که اطلاعات دقیقاً از جانب شما ارسال شده و شناسه بیومتریک شما، چیزیست که امکان ارتباط هویت فیزیکی شما با بانک را فراهم میکند.
مثال فوق، نمونهای کلی و شماتیک از نحوه کارکرد بلاک چین در موضوع احراز هویت است. لازم به ذکر است که نحوه چیدمان این الگوریتم، تعریف قرارداد هوشمند، رابط کاربری آن، و نوع بلاک چین مورد استفاده و پیشگیری از باگ های احتمالی، از جمله مواردیست که نیازمند بررسی بیشتر و دقیقتر هستند.
شرکتهای فعال در زمینه احراز هویت بلاک چینی
هویت خودمختار به شما اجازه میدهد تا به اپلیکیشنهای غیر متمرکز وصل شده و در عین حال کنترل مواردی مانند کد ملی که نشانگر هویت شما هستند را حفظ کنید. گروهها و شرکتهای زیادی سعی در ساخت استانداردی برای هویت خود اختیار دارند. ERC725 استانداردی تاییدشده برای مدیریت هویت درون زنجیره در بلاک چین اتریوم است. استاندارد هویت ERC 725 توسط فابیان وگلستلر (Fabian Voglestler) که سازنده استاندارد موفق توکن ERC 20 نیز هست ساخته شده است. این استاندارد حاوی یک امضای رمزنگاریشده است که اثبات میکند مالک قرارداد بر ادعای خاصی از جمله ایمیل یا شماره تلفن خود کنترل دارد. یوپورت (uPort) یک کیف پول هویت خود اختیار است که کنترل کامل هویت و دادههای شخصیتان را به شما میدهد. یوپورت که توسط شرکت کانسنسیس (ConsenSys) توسعه داده شده، به شما اجازه ساخت یک سیستم تایید هویت مبتنی بر اتریوم، ورود امن به اپلیکیشنهای غیر متمرکز بدون نیاز به رمز عبور، مدیریت اطلاعات شخصی و تایید و اثبات تراکنشهای اتریوم و امضای دیجیتالی فایلها را میدهد. یوپورت به تازگی یک راهکار جدید ذخیرهسازی غیر متمرکز داده به نام ۳Box توسعه داده است که به کاربران اتریوم امکان آپلود و اشتراکگذاری اطلاعاتشان در اپلیکیشنهای غیر متمرکز با استفاده از هر کیف پولی را میدهد. یوپورت با شهر زاگ در سوییس اقدام به شراکت کرده تا کارتهای شناسایی دیجیتال به ساکنان آن برای اتصال هویت واقعی به بلاک چین ارائه کند.
سیویک (Civic) که توسط وینی لینگهام (Vinney Lingham) کارآفرین رهبری میشود، یک اپلیکیشن غیر متمرکز است که بر بستر اتریوم با هدف تایید هویت ساخته شده است. در اکوسیستم غیر متمرکز سیویک، یک کاربر باید پیش از اینکه درخواستکننده بتواند کاربر را به عنوان یک مشتری بپذیرد، هویت خود را تایید کند. به همین منظور تاییدکنندگان، ادعاهای کاربر را با تطبیق اسناد او با پایگاههای داده دولتی تایید میکنند. به محض تایید هویت کاربر، گواهی میشود که این اطلاعات با ریشه درخت مرکل که ادعاهای کاربر به عنوان برگهای آن قرار دارند مطابق هستند. محصولات هویتی مشابه دیگری مانند ساورین (Sovrin)، اورنیم (Evernym) و ناگتس (Nuggets) هم وجود دارند. با توجه به اینکه گروههای زیادی در حال تلاش برای حل مشکل هویت هستند، بنیاد هویت غیر متمرکز (Decentralized Identity Foundation) که با بیش از ۵۰ سازمان شراکت دارد در حال انجام کارهای مختلفی برای تمرکز زدایی از سیستم تایید هویت با هدف ایجاد قابلیت همکاری مشترک است تا کاربران با انتشار و تکه تکه شدن اطلاعات شخصی در پروتکلهای مختلف مواجه نشوند.
سلام سوالم این بود که منبع این گفته ها کجاست ؟ و چرا رفرنس نداره؟
سلام این مقاله توسط تیم فینمگ نکارش شده و منبع ندارد.