کاربرد بلاک چین در احراز هویت دیجیتال(بخش دوم)

برای مطالعه بخش اول مقاله کاربرد بلاک چین در احراز هویت دیجیتال اینجا کلیک کنید.

احراز هویت دیجیتالی با استفاده از الگوریتم رمزنگاری نامتقارن

اجازه دهید توضیح این قسمت را با یک سوال آغاز کنیم؛ در بخش قبل گفتیم که هر شخص فرستنده، می‎تواند برای رمزنگاری پیام خود از کلید عمومی شخص گیرنده استفاده کرده و پیام را انتقال دهد. حال چه زمانی از کلید خصوصی برای رمزنگاری استفاده می‎کنیم؟ در اینجا شما را با مفهومی جدیدی آشنا می‎کنیم: امضای دیجیتال.

هرگاه بخواهیم هنگام ارسال یک پیام، هویت خود را احراز کرده و اصطلاحاً پیام را امضا کنیم (تا شخص گیرنده مطمئن باشد که فرستنده پیام همان کسی‌ست که ادعا می‌کند، و نیز هیچ فرد خرابکاری این پیام را دستکاری یا سانسور نکرده)، از کلید خصوصی خود برای رمزنگاری پیام استفاده می‌کنیم. بنابراین در اینجا کلید خصوصی به عنوان کلید امضا کننده (signing key)، و کلید عمومی به عنوان کلید تأیید هویت (verifier key) ایفای نقش می‎‌کنند. به مثال زیر توجه کنید:

اصغر قصد دارد پیامی را برای شروین ارسال کند و برای او مهم است که شروین هنگام دریافت پیام مطمئن باشد که آن را از جانب اصغر دریافت می‎کند و هیچ جعل و تحریفی در این پیام رخ نداده است (دقت داشته باشید که برای ساده سازی مساله، در اینجا تنها صحت پیام و احراز هویت فرستنده برای ما مهم است و فعلاً امنیت و مخفی سازی پیام، در اولویت نیست). برای انجام این کار، باید مراحل زیر طی شود:

1. اصغر و شروین هر کدام یک جفت کلید عمومی و خصوصی ایجاد می‌کنند.
2. اصغر و شروین کلیدهای عمومی خود را برای یکدیگر ارسال می‌کنند (چنگیز هم دورادور همه چیز را رصد می‌کند).
3. اصغر پیام خود را با استفاده از الگوریتم رمزنگاری یک طرفه هش می‌کند و سپس هش تولید شده را با استفاده از کلید خصوصی خود امضا (رمزنگاری) می‎کند.
4. حال اصغر یک امضای دیجیتالی از پیام خود ایجاد کرده که آن را به پیام اصلی (پیام رمزنگاری نشده) ضمیمه کرده و برای شروین می‌فرستد. (چنگیز هم آن را دریافت می‎کند و حتی می‎تواند پیام را ببیند، اما کلید خصوصی اصغر را برای امضا کردن در اختیار ندارد).
5. شروین پیام اصلی و امضای دیجیتالی را دریافت کرده و با استفاده از کلید عمومی اصغر، امضای او را رمزگشایی کرده و به پیام هش شده می‌رسد.
6. شروین پیام اصلی را با استفاده از الگوریتم رمزنگاری یک طرفه هش می‌کند (همانند کاری که اصغر در ابتدا انجام داد).
7. حال شروین هش بدست آمده از مراحل ۵ و ۶ را با هم مقایسه می‎کند و در صورت یکسان بودن هش، می‌تواند اطمینان حاصل کند که پیام از سوی اصغر فرستاده شده و هیچ چنگیزی در میانه راه پیام را دستکاری نکرده است.

بدین صورت فرایند احراز هویت با استفاده از الگوریتم رمزنگاری کلید عمومی-خصوصی انجام می‌شود. حالا گیرنده پیام مطمئن است که آن را از جانب چه کسی دریافت کرده و فرستنده نیز هیچگاه نمی‎تواند ارسال این پیام را انکار کند، چرا که امضای دیجیتالی او بر روی پیام است و هیچ کس قادر به جعل امضای دیجیتال او نیست.

تا به اینجای کار یک گام به جلو برداشته و فهمیدیم که احراز هویت دیجیتالی با استفاده از رمزنگاری چگونه ممکن می‎شود. اما آیا این پایان کار است؟ آیا با تمام آنچه که گفته شد حقوق و مسئولیت‎های ما از هرگونه خطری ایمن و محفوظ خواهد ماند؟

پاسخ منفی است. شما تا کنون موفق شدید که بدون ارسال گذرواژه خود، به حساب کاربریتان در یک پلتفرم غول آسا مثل فیسبوک، وارد شوید. شما توانستید اطمینان حاصل کنید که با استفاده از قابلیت چت پنهانی (secret chat) پیامرسان تلگرام، هیچ شخص و سازمانی قادر به دریافت پیام های شما نیست. اما هنوز هم برای استفاده از هر سرویس اینترنتی، (از عملیات بانکی و حمل و نقل گرفته تا شبکه ها و رسانه های اجتماعی)، شما باید اطلاعات شخصی خود را با این پلتفرم‌ها به اشتراک بگذارید. این اطلاعات شخصی می‎تواند شامل آدرس محل زندگی، تاریخ تولد، شماره تلفن، مدارک شناسایی، شماره ملی و غیره باشد. متاسفانه از زمان پیدایش سرویس‌های خدمات اینترنتی تا به امروز، سوءاستفاده های زیادی از این اطلاعات شخصی صورت گرفته است. به عنوان مثال همه شما با مشکل پیامک های تبلیغاتی دست به گریبان هستید. گویا کسانی که این پیام ها را می‎‌فرستند حتی از محل زندگی شما هم اطلاع دارند. اما این تنها یک مثال کوچک است. بسیاری از شرکت‌های بازاریابی اینترنتی، حاضرند در ازای دریافت اطلاعات شخصی شما، به پلتفرم‌هایی مثل گوگل و فیسبوک یا اپراتورهای تلفن همراه پول پرداخت کنند. به عنوان مثال در جریان رسوایی تاریخی کمبریج آنالایتیکا، شرکت فیسبوک بسیاری از اطلاعات شخصی کاربران خود را در اختیار یک شرکت تبلیغاتی به نام کمبریج آنالایتیکا گذاشت و این شرکت با ساخت تبلیغات روانی هدفمند، سعی داشت تا نتیجه انتخابات ریاست جمهوری ۲۰۱۶ امریکا را به نفع دونالد ترامپ تغییر دهد.

حتی اگر سازمان های متمرکز سابقه ای در سو استفاده از داده های ما نداشته باشند، و سیاست آنها در حفظ و حراست از داده های ما باشد، از کجا می‌توان مطمئن بود که این سازمان ها قابل اعتمادند؟ در زنجیره اعتماد این سازمان ها دو حلقه ضعیف وجود دارد که می تواند به لو رفتن و سو استفاده از داده های ما بی‌انجامد: یکی کارکنانی که در این سازمان ها با آن ها سر و کار داریم، و دیگری سیستم های فناوری اطلاعات ناامن و آسیب پذیر این سازمان ها. با فرض سالم و درست بودن سیاست های حفظ حریم خصوصی در این سازمان ها، همیشه افرادی وجود دارند که در تلاشند با روش های هک و سرقت اطلاعات سایبری، این اطلاعات را به دست آورند، و یا در قبال دسترسی به آن پول پرداخت کنند. علاوه بر این فرآیندهای امروزی احراز هویت دیجیتال ناکارآمد، کُند، پیچیده، تکراری، هزینه‌بر و خطاپذیر هستند و بر تجربه مشتری نیز تأثیر منفی می‌گذارند. چنانچه قرار باشد فرآیند احراز هویت به صورت متمرکز و توسط نهادهای دولتی انجام گیرد، همواره احتمال خطای انسانی و حتی جعل و دست‌کاری در مدارک هویتی وجود دارد. موارد استفاده از اطلاعات کاربر شفافیت کافی ندارند و کاربر نمی‌داند اطلاعاتش کجا و با چه اهدافی به کار رفته است. در این شیوه، کاغذبازی‌ها زیاد و رویه‌ها طولانی و زمان‌بر است. در ضمن هر بار که به نهاد جدیدی مراجعه می‌کنید بخشی از مراحل احراز هویت باید دوباره تکرار شود (درد مشترک یک نسل). اما تکنولوژی بلاک چین، پاسخی برای حل این مشکل دارد.

احراز هویت دیجیتالی با استفاده از فناوری بلاک چین

ما انسان‌ها در دنیای واقعی مدارک هویتی فیزیکی مانند گواهینامه رانندگی، کارت ملی و گذرنامه داریم که از طرف نهادهای دولتی صادر می‌شوند اما در اختیار خودمان قرار دارند و هر زمان که نیاز باشد آنها را با دیگران به اشتراک می‌گذاریم. از همین روش می‌توان برای احراز هویت در فضای دیجیتال نیز استفاده کرد. مدل غیرمتمرکز احراز هویت دیجیتال نیز بر همین راهکار ساده تمرکز دارد.

در این مدل به منظور تبادل اطلاعات در بستر شبکه، داده‌ها به صورت یک “گواهی رمزنگاری شده” در یک دفتر کل غیرمتمرکز نگهداری می‌شوند. هر زمان که سازمانی نیاز به اطلاعات داشته باشد درخواست خود را در شبکه ارسال می‌کند و شخص مورد نظر، دانسته و آگاهانه اجازه دسترسی به بخشی از اطلاعات هویتی خود را به سازمان مربوطه خواهد داد. اینگونه می‌توان اطمینان حاصل کرد که اطلاعات ثبت شده از هویت افراد، در طی زمان دچار جعل و تحریف نمی‌شود، سازمان‌های غیر مجاز قادر به دیدن اطلاعات شخصی افراد نیستند (تنها چیزی که می‌بینند، یک گواهی دیجیتالی رمزنگاری شده همچون یک رشته کاراکتر درهم است)، و همچنین به دلیل توزیع شدگی داده‌ها در شبکه، کسی قادر به حذف آن نخواهد بود. احراز هویت دیجیتال مبتنی بر بلاک چین علاوه بر سریع‌تر، ایمن‌تر و کاراتر بودن باعث جلب اعتماد عمومی نیز خواهد شد. با نگاهی دقیقتر به سیستم‌های احراز هویت غیر متمرکز یاDecentralized Identity) DID)، به نحوه کار آن پی خواهیم برد.

یک بلاک چین عمومی را تصور کنید که اشخاص حقیقی و حقوقی و سازمان‌ها همگی اعضای آن هستند. هر شخص حقیقی می‌تواند مجموعه‌ای کامل و جامع از اطلاعات و مدارک هویتی لازم برای احراز هویت (همچون نام، نام خانوادگی، شماره ملی، کارت ملی، گواهینامه رانندگی، عکس ۳*۴، آدرس، شماره تلفن، شغل، آدرس محل کار، سوابق بیمه، آدرس ایمیل، آدرس لینکداین، رنگ چشم و ….) را جمع آوری کرده و با استفاده از الگوریتم‌های رمزنگاری نامتقارن، به وسیله کلید خصوصی خود آن‌ها را یک به یک را رمزنگاری ‌کند. سپس این داده‌های رمزنگاری شده را به همراه یک شناسه بیومتریک منحصر به فرد (همچون اثر انگشت) که در حقیقت نقش حلقه اتصال هویت دیجیتال به هویت فیزیکی را ایفا می‎کند، در بلاک چین ثبت می‎کنیم.

تا به اینجای کار، شما یک هویت دیجیتالی خود اختیار (self-sovereign identity) ایجاد کرده‌اید که غیر از خودتان هیچ شخص دیگری قابلیت دسترسی به محتویات آن را ندارد و تنها توسط خودتان قابل بروزرسانی خواهد بود (مثلاً وقتی آدرس محل سکونتتان تغییر کرده می‎توانید آدرس جدید را هم به اطلاعات قبلی اضافه کنید و خود به خود تاریخچه این بروزرسانی نیز ذخیره خواهد شد). حالا فرض کنید برای ایجاد حساب در یک سازمان متمرکز مثل بانک X، باید تعداد خاصی از این داده ها را به اشتراک بگذارید. مثلاً نام، شماره تلفن، شماره ملی و آدرس. توجه داشته باشید که بانک X یا هر سازمان دیگری، با داشتن کلید عمومی شما، به راحتی می‌توانند داده‌های ثبت شده شما را رمزگشایی کرده و به همه اطلاعات خصوصی شما دست یابند؛ پس در اینجا محرمانه نگه داشتن هر دو کلید خصوصی و عمومی برای ما مهم است. برای آنکه فقط بانک قادر به دیدن داده‌های شخصی شما باشد، و فقط هم به مواردی که شما اجازه می‌دهید (۴ مؤلفه مذکور) دسترسی یابد، از یک قرارداد هوشمند بلاک چینی استفاده می‌کنیم که روش کار آن به صورت زیر است:

1. شما برای ایجاد حساب به بانک X مراجعه می کنید و آدرس عمومی خود را به بانک می‌دهید.
2. بانک فرم احراز هویت (شامل ۴ مؤلفه مذکور) را به آدرس شما (که از هش کلید عمومی شما ایجاد شده و با داشتن آن نمی‌توان به کلید عمومی دست یافت) ارسال می‎کند.
3. قرارداد هوشمندی به عنوان واسطه میان شما و بانک X وجود دارد که درصورت دریافت فرم مذکور از بانک، و اعلام رضایت از سوی شما، ۴ مؤلفه هویتی ذکر شده در فرم را به همراه شناسه بیومتریک شما از بلاک چین فراخوانی کرده و آن را با استفاده از کلید عمومی شما، رمزگشایی می‎کند (کلید عمومی شما همچنان محفوظ است).
4. سپس این داده ها را با استفاده از کلید خصوصی شما امضا کرده، بوسیله کلید عمومی بانک X مجدداً رمزنگاری می‌کند و پس از ضمیمه کردن شناسه بیومتریک شما، برای بانک ارسال می‌کند.
5. بانک پیام را دریافت کرده و تنها با کلید خصوصی خود قادر به رمزگشایی و مشاهده آن است. امضای شما روی این داده ها، تضمین می‌کند که اطلاعات دقیقاً از جانب شما ارسال شده و شناسه بیومتریک شما، چیزیست که امکان ارتباط هویت فیزیکی شما با بانک را فراهم می‌کند.

مثال فوق، نمونه‎ای کلی و شماتیک از نحوه کارکرد بلاک چین در موضوع احراز هویت است. لازم به ذکر است که نحوه چیدمان این الگوریتم، تعریف قرارداد هوشمند، رابط کاربری آن، و نوع بلاک چین مورد استفاده و پیشگیری از باگ های احتمالی، از جمله مواردی‎ست که نیازمند بررسی بیشتر و دقیقتر هستند.

شرکت‌های فعال در زمینه احراز هویت بلاک چینی

هویت خودمختار به شما اجازه می‌‌دهد تا به اپلیکیشن‌‌های غیر متمرکز وصل شده و در عین حال کنترل مواردی مانند کد ملی که نشانگر هویت شما هستند را حفظ کنید. گروه‌‌ها و شرکت‌های زیادی سعی در ساخت استانداردی برای هویت خود اختیار دارند. ERC725 استانداردی تاییدشده برای مدیریت هویت درون زنجیره در بلاک چین‌‌ اتریوم است. استاندارد هویت ERC 725 توسط فابیان وگلستلر (Fabian Voglestler) که سازنده استاندارد موفق توکن ERC 20 نیز هست ساخته شده است. این استاندارد حاوی یک امضای رمزنگاری‌‌شده است که اثبات می‌‌کند مالک قرارداد بر ادعای خاصی از جمله ایمیل یا شماره تلفن خود کنترل دارد. یوپورت (uPort) یک کیف پول هویت خود اختیار است که کنترل کامل هویت و داد‌‌ه‌‌های شخصی‌‌تان را به شما می‌‌دهد. یوپورت که توسط شرکت کانسنسیس (ConsenSys) توسعه داده شده، به شما اجازه ساخت یک سیستم تایید هویت مبتنی بر اتریوم، ورود امن به اپلیکیشن‌‌های غیر متمرکز بدون نیاز به رمز عبور، مدیریت اطلاعات شخصی و تایید و اثبات تراکنش‌‌های اتریوم و امضای دیجیتالی فایل‌‌ها را می‌‌دهد. یوپورت به تازگی یک راهکار جدید ذخیره‌‌سازی غیر متمرکز داده به نام ۳Box توسعه داده است که به کاربران اتریوم امکان آپلود و اشتراک‌‌گذاری اطلاعاتشان در اپلیکیشن‌‌های غیر متمرکز با استفاده از هر کیف پولی را می‌‌دهد. یوپورت با شهر زاگ در سوییس اقدام به شراکت کرده تا کارت‌‌های شناسایی دیجیتال به ساکنان آن برای اتصال هویت واقعی به بلاک چین‌‌ ارائه کند.

سیویک (Civic) که توسط وینی لینگهام (Vinney Lingham) کارآفرین رهبری می‌‌شود، یک اپلیکیشن غیر متمرکز است که بر بستر اتریوم با هدف تایید هویت ساخته شده است. در اکوسیستم غیر متمرکز سیویک، یک کاربر باید پیش از اینکه درخواست‌‌کننده بتواند کاربر را به عنوان یک مشتری بپذیرد، هویت خود را تایید کند. به همین منظور تاییدکنندگان، ادعاهای کاربر را با تطبیق اسناد او با پایگاه‌‌های داده دولتی تایید می‌‌کنند. به محض تایید هویت کاربر، گواهی می‌‌شود که این اطلاعات با ریشه درخت مرکل که ادعاهای کاربر به عنوان برگ‌‌های آن قرار دارند مطابق هستند. محصولات هویتی مشابه دیگری مانند ساورین (Sovrin)، اورنیم (Evernym) و ناگتس (Nuggets) هم وجود دارند. با توجه به اینکه گروه‌‌های زیادی در حال تلاش برای حل مشکل هویت هستند، بنیاد هویت غیر متمرکز (Decentralized Identity Foundation) که با بیش از ۵۰ سازمان شراکت دارد در حال انجام کارهای مختلفی برای تمرکز زدایی از سیستم تایید هویت با هدف ایجاد قابلیت همکاری مشترک است تا کاربران با انتشار و تکه تکه شدن اطلاعات شخصی در پروتکل‌‌های مختلف مواجه نشوند.