Децентрализованная идентификация: DiD

Децентрализованные сервисы — это не только криптовалюты, NFT и биржи. Это еще и стриминговые сервисы, фотобанки, хостинги… В перспективе почти все, чем мы сейчас пользуемся, будет работать на основе децентрализованных систем и распределенных реестров. Но одна из самых интересных и полезных вещей, которая нас ждет в прекрасном Web3 будущего, — децентрализованные идентификаторы личности (DiD — Decentralized Identifier).  Собственно, даже не ждет, а уже есть. 

Если коротко, то DiD — это такая штука, которая позволит полностью контролировать персональную информацию, свою «цифровую идентичность». Благодаря DiD можно быстро проходить процесс идентификации и определять, откуда когда и что именно сторонние сервисы и организации смогут узнать о вас. При этом данные практически невозможно похитить, изменить или как-то использовать без вашего ведома. А организации получают возможность моментально проверять подлинность предоставляемой информации. 

Что не так с личными данных сейчас

Не то чтобы наши данные хранятся совсем плохо. Главная проблема в том, что они хранятся централизованно: в конкретных базах данных сервисов, где мы зарегистрированы. В случае утечки злоумышленник получит доступ к учетной записи и, в зависимости от того, что это за запись, сможет прочитать почту, украсть документы, файлы или данные кредитных карт. 

А некоторые сервисы знают о нас довольно много: в их распоряжении почтовые адреса, телефоны, место жительства, паспортные данные. Да, все это собирается ради того, чтобы убедиться, что пользователь — тот, за кого себя выдает. Но в итоге данные оседают где-то в корпоративных IT-недрах, и никто, кроме самих компаний, не знает, в каких целях они используются и кто имеет к ним доступ. 

Тут уместно вспомнить практику некоторых сервисов требовать согласие на передачу персональных данных третьим лицам. Часто в этих соглашениях не указано, что это за третьи лица, для каких целей осуществляется передача и насколько надежно эти самые лица собираются хранить данные. 

Как работает DiD

При использовании децентрализованного идентификатора данные хранятся не в базах какой-то компании, а в блокчейне или распределенном реестре. Для регистрации где-либо не нужно проходить процедуру идентификации, а для входа в аккаунт не требуются логины и пароли. По сути, DiD — это некастодиальный криптокошелек: у него есть публичный и приватный ключи, только вместо подписи транзакции приватный ключ используется для подтверждения личности.

Для начала, разумеется, нужно верифицировать свои данные. За это должны отвечать доверенные стороны, способные подтвердить подлинность личной информации пользователя, — их можно назвать «эмитентами утверждений» (Issuer). Такой стороной может быть банк или государственное учреждение. 

Вот примерная схема работы: 

  1. Эмитент создает свой идентификатор DiD, который будет использоваться для взаимодействия с другими участниками экосистемы.
  2. Пользователь предоставляет ему информацию, которую необходимо верифицировать (например, паспорт).
  3. Эмитент производит проверку, подтверждает подлинность документа и создает верификационное утверждение (сredential), подписанное идентификатором. Это утверждение связывается с DiD пользователя и хранится в его личном хранилище данных.
  4. Когда необходимо предоставить данные сервису, компании или государственному учреждению, пользователь разрешает доступ к ним через DiD. Организации остается проверить, что данные были выданы доверенным эмитентом, а цифровая подпись действительна.

Переведем все в практическую плоскость. Представим, что наступило будущее, в котором DiD внедрен повсеместно, а эмитентом верифицированных данных выступает, например, университет, в котором вы получили диплом. Верифицированные данные о дипломе хранятся в децентрализованном реестре и включают в себя всю информацию о ваших успехах в учебе. 

Теперь при устройстве на работу вам не нужно приносить потенциальному работодателю копию диплома, а HR-отделу — проверять его подлинность. Вместо этого вы сканируете QR-код, который содержит запрос на предоставление данных из DiD, выбираете информацию, которой хотите поделиться (в данном случае — диплом), и работодатель моментально узнает, что документ валиден. 

Когда наступит это будущее

На первый взгляд, местами оно уже наступило. Например, с помощью аккаунта Google можно регистрироваться и авторизовываться на сайтах и в приложениях. А в некоторых странах по похожему принципу работают государственные сервисы, когда с согласия пользователя информация о нем может передаваться другим учреждениям. 

Но есть одно большое НО: пользовательские данные централизованы. Мы не можем контролировать, как именно они хранятся, как обрабатываются. А если отключена двухфакторная аутентификация, то все, что защищает их от чужих глаз — пароль, который можно украсть или подобрать. И если злоумышленник сможет угнать аккаунт, он получит доступ ко всем приложениям и сайтам, где с помощью этого аккаунта был авторизован пользователь. 

Конечно, концепция DiD не гарантирует, что полученные из реестра данные будут храниться надежно, но главное в ней то, что без приватного ключа пользователя ничего сделать с ними нельзя. А в идеальном варианте компании вообще могут не хранить пользовательские данные, а запрашивать их напрямую из DiD.

Хотя до массового применения еще далеко, бизнес уже оценил возможности, которые предлагают децентрализованные идентификаторы, а сервисы, предоставляющие инфраструктуру DiD, стали появляться чаще. В качестве успешного примера можно привести проект DOCK. Компания занимается разработкой платформы верифицированных учетных данных уже с 2017 года. В основе — блокчейн, созданный на базе фреймворка Substrate с механизмом консенсуса на Proof-of-Stake. Нативный токен DOCK торгуется на нескольких биржах, в том числе Binance и Huobi. Компания предлагает клиентам платформу для создания верифицированных документов (например, об образовании), сертификатов для защиты цепочек поставок и т. п.