چرا بلاک‌چین برای گواهینامه رانندگی بین‌المللی (IDP) آینده اختیاری است

گواهینامه رانندگی بین‌المللی (IDP) آینده به شفافیت، لنگرگاه‌های اعتماد و پاسخگویی عمومی نیاز دارد. آنچه به‌طور پیش‌فرض نیاز ندارد، قرار دادن خود رانندگان روی یک دفتر کل توزیع‌شده است.

هر بحث جدی درباره یک IDP دیجیتال و فرامرزی، سرانجام به همان پیشنهاد می‌رسد: «کافی است آن را روی بلاک‌چین بگذارید.» جذابیت این ایده قابل درک است. بلاک‌چین‌ها شواهد دست‌نخوردگی، دید مشترک و تاریخچه‌ای فقط-الحاقی ارائه می‌دهند. اینها ویژگی‌های واقعی‌ای هستند. اما در زمینه هویت رانندگی فرامرزی، این ویژگی‌ها اغلب به لایه اشتباهی اعمال می‌شوند.

این مقاله توضیح می‌دهد چرا، به بررسی آنچه استانداردها واقعاً می‌گویند می‌پردازد و یک الگوی معماری بهتر ارائه می‌دهد.

استانداردها واقعاً درباره بلاک‌چین چه می‌گویند

مدل داده اعتبارنامه‌های قابل تأیید W3C به صراحت بیان می‌کند که یک رجیستری داده قابل تأیید می‌تواند اشکال متعددی داشته باشد، از جمله:

• پایگاه‌های داده مورد اعتماد
• پایگاه‌های داده غیرمتمرکز
• پایگاه‌های داده هویت دولتی
• دفاتر کل توزیع‌شده

استاندارد DID Core به همان اندازه روشن است: بسیاری از روش‌های DID از فناوری دفتر کل توزیع‌شده استفاده می‌کنند، اما نه همه آنها. به عبارت دیگر، استانداردها از قبل این ایده را رد کرده‌اند که بلاک‌چین یک پایه اجباری برای اعتبارنامه‌های دیجیتال است.

این نقطه شروع مناسبی برای IDP آینده است. سؤال مفید این نیست که «بلاک‌چین یا بدون بلاک‌چین؟» بلکه این است:

کدام لایه واقعاً به شفافیت نیاز دارد، و کدام لایه به‌طور قطع نباید به‌طور پیش‌فرض به زیرساخت عمومی تبدیل شود؟

بلاک‌چین مجموعه‌ای از ویژگی‌هاست، نه یک الزام

اولین اشتباه این است که «بلاک‌چین» را به عنوان یک الزام واحد در نظر بگیریم. اینطور نیست. بلاک‌چین مجموعه‌ای از ویژگی‌های ممکن است، از جمله:

• انتشار مشترک
• تاریخچه فقط-الحاقی
• عملیات توزیع‌شده
• تولید رسید
• مقاومت در برابر تغییرات یک‌جانبه

برخی از اینها برای IDP آینده مفید هستند. برخی دیگر نامربوط‌اند. و برخی هنگامی که بر موضوعات اعتبارنامه انسانی اعمال می‌شوند، فعالانه خطرناک هستند. مدل رجیستری W3C عمداً اجازه پیاده‌سازی‌های متعدد را می‌دهد، زیرا اکوسیستم‌های مختلف به تعادل‌های متفاوتی نیاز دارند.

سه مشکل که نباید با هم ترکیب شوند

دومین اشتباه این است که سه مشکل مختلف را در یک سیستم ادغام کنیم. برای یک IDP آینده، این موارد باید جداگانه بمانند:

1. حقیقت قانونی کجاست. حق رانندگی باید در سوابق گواهینامه ملی معتبر باشد.
2. چگونه مواد اعتماد توزیع می‌شوند. کلیدهای صادرکننده و گواهی‌های تأییدکننده باید در رجیستری‌های اعتماد کنترل‌شده باشند.
3. چگونه اکوسیستم تغییرات را ممیزی می‌کند. این باید در یک لایه شفافیت باشد.

اکوسیستم‌های دنیای واقعی از قبل به این شکل کار می‌کنند. سرویس اعتماد دیجیتال AAMVA کلیدهای عمومی صادرکننده را در یک لیست قابل دانلود توزیع می‌کند، پیش از اینکه تأییدکننده‌ای با mDL تعامل داشته باشد. دستورالعمل گواهینامه رانندگی موبایل اتحادیه اروپا مشخص می‌کند که کشورهای عضو اتحادیه اروپا صادرکنندگان مجاز mDL را به کمیسیون اطلاع می‌دهند، و کمیسیون فهرست تأیید آن مراجع را منتشر می‌کند. این توزیع اعتماد بدون بلاک‌چین است.

آنچه شفافیت گواهی (CT) به ما می‌آموزد

مؤثرترین مدل شفافیت در اینترنت عمومی یک بلاک‌چین مصرفی نیست. این شفافیت گواهی (CT) است.

RFC 9162 شفافیت گواهی را به عنوان پروتکلی برای ثبت عمومی گواهینامه‌های سرور TLS توصیف می‌کند تا هر کسی بتواند:

• فعالیت مراجع صدور گواهینامه را ممیزی کند
• گواهینامه‌های مشکل‌دار یا اشتباه صادرشده را شناسایی کند
• خود گزارش‌ها را ممیزی کند

درس طراحی کلیدی از CT: شفافیت بیشترین ارزش را دارد وقتی رفتار صادرکننده و مواد اعتماد را ثبت می‌کند — نه فعالیت کاربر نهایی.

اعمال این اصل بر IDP آینده به معنای ثبت مواردی مانند:

• صدور و چرخش کلیدهای صادرکننده
• انتشار لنگرگاه‌های اعتماد
• ثبت دسته‌بندی‌های تأییدکننده
• تغییرات سیاست
• بیانیه‌های انطباق
• رویدادهای مرتبط با امنیت

آنچه نمی‌دهد ایجاد یک دفتر کل عمومی یا نیمه‌عمومی از دارندگان، شناسه‌های اعتبارنامه، یا رویدادهای ارائه است. این شفافیت نیست. این جمع‌آوری داده بیش از حد است.

SCITT: چرا شفافیت با حقیقت یکسان نیست

پیش‌نویس معماری SCITT در IETF این تفکر را گسترش می‌دهد. SCITT یک سرویس شفافیت تعریف می‌کند که یک ساختار داده قابل تأیید نگه می‌دارد و رسیدهای رمزنگاری صادر می‌کند که شامل بودن بیانیه‌های امضاشده را اثبات می‌کنند. هویت سرویس شفافیت با یک کلید عمومی شناخته‌شده توسط طرف‌های متکی ثبت می‌شود، و لنگرگاه‌های اعتماد و سیاست‌های ثبت خود شفاف می‌شوند.

این مدل قدرتمندی برای زیرساخت IDP است زیرا شفافیت را به یک سرویس قابل ممیزی پیرامون مواد اعتماد و سیاست تبدیل می‌کند — نه پیرامون رویدادهای سفر شخصی.

SCITT همچنین درباره محدودیت‌های شفافیت صریح است:

• یک بیانیه ثبت‌شده فقط ثابت می‌کند که یک صادرکننده آن را تولید و ثبت کرده — نه اینکه بیانیه به‌طور نامحدود صحیح است.
• یک بیانیه امضاشده بعدی ممکن است جایگزین بیانیه قبلی شود.
• شفافیت از صادرکنندگان نادرست یا به خطر افتاده جلوگیری نمی‌کند؛ آنها را پاسخگو نگه می‌دارد.

برای هویت راننده، این تمایز بسیار مهم است: یک گزارش شفافیت شواهد و تاریخچه ممیزی است، نه وضعیت قانونی معتبر حق رانندگی کسی.

SCITT همچنین اشاره می‌کند که یک سرویس شفافیت می‌تواند توالی فقط-الحاقی خود را با ترکیبی از سخت‌افزار مورد اعتماد، پروتکل‌های اجماع و شواهد رمزنگاری محافظت کند. حتی لایه شفافیت هم نیازی به یک طراحی بلاک‌چین خاص ندارد. اجماع یک گزینه است، نه تنها گزینه.

جداسازی معماری صحیح برای IDP آینده

یک IDP آینده باید نگرانی‌ها را در چهار لایه مجزا جدا کند:

1. سوابق معتبر از افراد مجاز به رانندگی (مراجع صدور گواهینامه ملی)
2. رجیستری‌های اعتماد برای کلیدهای صادرکننده و تأییدکننده
3. زیرساخت وضعیت برای تازگی و ابطال
4. یک لایه شفافیت اختیاری برای ممیزی عمومی سیاست‌ها، لنگرگاه‌های اعتماد، رسیدها و بیانیه‌های انطباق

پس از جداسازی این لایه‌ها، سؤال بلاک‌چین بسیار دقیق‌تر می‌شود. دیگر این نیست که «آیا IDP آینده باید روی بلاک‌چین باشد؟» بلکه تبدیل می‌شود به:

کدام لایه، در صورت وجود، واقعاً از ممیزی عمومی فقط-الحاقی بهره‌مند می‌شود؟

پنج دلیل که چرا هویت راننده آنچین پیش‌فرض اشتباهی است

۱. سیگنال‌های ردیابی پایدار ایجاد می‌کند

کار حریم خصوصی EUDI توضیح می‌دهد که ارائه‌های گواهی می‌توانند حاوی مقادیر منحصربه‌فردی مانند:

• Salt ها
• مقادیر هش
• شناسه‌های ابطال
• کلیدهای عمومی اتصال دستگاه
• امضاها
• برچسب‌های زمانی

از آنجا که این مقادیر برای همان گواهی ثابت هستند، به طرف‌های متکی اجازه می‌دهند تراکنش‌های مختلف را پیوند دهند و یک پروفایل رفتاری از کاربر بسازند. EUDI به صراحت هشدار می‌دهد که این انتظار معقول را نقض می‌کند که فعالیت‌های جداگانه کیف‌پول با هم ترکیب نشوند.

اگر شناسه‌های پایدار دارنده، شناسه‌های پایدار اعتبارنامه، هش‌های قابل استفاده مجدد یا رویدادهای ابطال قابل ردیابی فردی را روی یک دفتر کل عمومی منتشر کنید، مشکل ردیابی را حل نمی‌کنید — آن را دائمی می‌کنید.

۲. رویدادهای ابطال و تازگی را افشا می‌کند

توصیه‌نامه فهرست وضعیت بیت‌استرینگ W3C مشکل را به وضوح توصیف می‌کند: اگر یک نگاشت یک‌به‌یک بین یک اعتبارنامه و URL جایی که وضعیتش منتشر می‌شود وجود داشته باشد، ناشر می‌تواند دارنده، تأییدکننده و زمان بررسی را به هم متصل کند. این مشخصه از مثال گواهینامه رانندگی استفاده می‌کند تا نشان دهد چرا ردیابی توسط صادرکننده هنگام ورود به یک مکان، انتظار معقول حریم خصوصی را نقض می‌کند.

پیش‌فرض بهتری که فهرست وضعیت بیت‌استرینگ پیشنهاد می‌دهد:

• فهرست‌های وضعیت بزرگ و قابل فشرده‌سازی که اعتبارنامه‌های بسیاری یک منبع وضعیت را به اشتراک می‌گذارند
• طول پیش‌فرض فهرست ۱۳۱٬۰۷۲ ورودی
• طرف‌های متکی که نسخه‌های جدید را جداگانه دانلود می‌کنند، بدون احراز هویت خود
• شاخص‌های تصادفی و تضمین‌های حریم خصوصی گروهی

این دقیقاً مخالف ردپاهای ابطال فردی آنچین است.

۳. وضعیت اعتبارنامه را با وضعیت قانونی رانندگی اشتباه می‌گیرد

یک اعتبارنامه دیجیتال می‌تواند به دلیل به خطر افتادن مکانیزم امضایش باطل شود — حتی در حالی که حق رانندگی واقعی همچنان معتبر است. یک دفتر کل عمومی از رویدادهای اعتبارنامه، جایگزین تمیزی برای وضعیت معتبر یک سابقه رانندگی ملی نیست.

SCITT این نکته را تقویت می‌کند: یک بیانیه ثبت‌شده ممکن است بعداً با بیانیه جدیدی جایگزین شود، و طرف‌های متکی بر اساس سیاست و تاریخچه تصمیم می‌گیرند به چه چیزی اعتماد کنند. گزارش حقیقت دائمی نیست. این شواهدی است درباره اینکه چه کسی چه چیزی را چه زمانی و تحت چه سیاستی گفته است. مرجع صدور گواهینامه ملی ریشه حقیقت قانونی باقی می‌ماند.

۴. مشکل حاکمیتی اشتباهی را هدف می‌گیرد

هویت رانندگی فرامرزی در اصل یک مشکل اجماع نیست. یک مشکل حاکمیتی است:

• چه کسی مجاز به صدور است؟
• کدام کلیدهای عمومی فعلی هستند؟
• کدام تأییدکنندگان مجاز هستند؟
• کدام درخواست‌های داده با هدف اعلام‌شده آنها مطابقت دارند؟
• کدام نسخه سیاست در آن زمان اعمال می‌شد؟

اکوسیستم‌های واقعی از قبل از طریق زیرساخت اعتماد کنترل‌شده و نه اجماع غیرمتمرکز به این سؤال‌ها پاسخ می‌دهند:

• سرویس اعتماد دیجیتال AAMVA کلیدهای عمومی مراجع صدور را در یک لیست قابل دانلود منتشر می‌کند.
• دستورالعمل گواهینامه رانندگی موبایل اتحادیه اروپا می‌گوید کمیسیون فهرست صادرکنندگان مجاز mDL را منتشر می‌کند.
• کار گواهی طرف متکی کیف‌پول ETSI احراز هویت تأییدکننده قابل خواندن توسط ماشین با هدف مورد نظر و ویژگی‌های درخواست‌شده ثبت‌شده را فراهم می‌کند.

این مدیریت اعتماد عمومی صریح است — نه حاکمیت غیرمتمرکز.

۵. واقعیت کنار جاده را حل نمی‌کند

بسیاری از پیشنهادهای بلاک‌چین به آرامی فرض می‌کنند که دسترسی زنده به شبکه یک مزیت است. برای اعتبارنامه‌های رانندگی — به‌خصوص در کنار جاده یا در حین سفر — اغلب اینطور نیست.

راهنمای پیاده‌سازی AAMVA مشخص می‌کند که:

• بازیابی دستگاه بدون اتصال خارجی برای هم دارنده و هم دستگاه خواننده در زمان تراکنش کار می‌کند.
• ISO/IEC 18013-5 پشتیبانی از بازیابی دستگاه را الزامی می‌کند.
• دسترسی تأییدکننده به کلیدهای عمومی صادرکننده نیازی ندارد در زمان تراکنش اتفاق بیفتد. کلیدها را می‌توان از قبل دانلود کرد.

اگر یک تأییدکننده از قبل می‌تواند با استفاده از مواد اعتماد ذخیره‌شده به صورت محلی اعتبارسنجی کند، وابستگی زنده به بلاک‌چین ضروری نیست. در بهترین حالت، این یک انتخاب پیاده‌سازی برای برخی عملکردهای ممیزی پشتیبان است.

آنچه باید در IDP آینده شفاف باشد

یک IDP آینده قطعاً به شفافیت نیاز دارد — در جای مناسب.

این موارد را به‌طور پیش‌فرض شفاف کنید:

• کلیدهای عمومی صادرکننده و رویدادهای چرخش کلید
• لنگرگاه‌های اعتماد و فهرست‌های صادرکننده مجاز
• گواهی‌های دسترسی تأییدکننده و متادیتای هدف ثبت‌شده
• نسخه‌های سیاست و قوانین ثبت
• بیانیه‌های انطباق و ادعاهای انتشار نرم‌افزار مرتبط با امنیت
• رسیدهای قابل ممیزی که ثابت می‌کنند این بیانیه‌ها ثبت شده‌اند

این موارد را به‌طور پیش‌فرض عمومی نکنید:

• شناسه‌های دارنده روی یک دفتر کل عمومی
• شناسه‌های پایدار اعتبارنامه که در میان تأییدکنندگان استفاده مجدد می‌شوند
• رویدادهای هر ارائه
• ورودی‌های ابطال خامی که یک نفر را منزوی می‌کنند
• بیانیه‌های امضاشده کامل حاوی داده‌های شخصی، وقتی هش یا متادیتا کافی است

SCITT به صراحت به صادرکنندگان هشدار می‌دهد که قبل از ارسال بیانیه‌ها به یک سرویس شفافیت، گنجاندن اطلاعات خصوصی، محرمانه یا قابل شناسایی شخصی را بررسی کنند. همچنین اشاره می‌کند که سرویس‌های شفافیت می‌توانند فقط متادیتای رمزنگاری مانند هش‌ها را نگه دارند — نه بیانیه‌های امضاشده کامل.

یک الگوی بهتر: شفافیت پیرامون اکوسیستم، نه از طریق فرد

معماری تمیز برای IDP آینده به این شکل است:

• رجیستری ملی معتبر — منبع قانونی حقیقت برای حق رانندگی باقی می‌ماند.
• لایه اعتبارنامه — استحقاق رانندگی قابل تأیید توسط ماشین را به کیف‌پول دارنده منتقل می‌کند.
• لایه رجیستری اعتماد — کلیدهای صادرکننده، گواهی‌های تأییدکننده و فهرست‌های صادرکننده مجاز را توزیع می‌کند.
• لایه وضعیت — از گواهی‌های کوتاه‌مدت یا فهرست‌های وضعیت حافظ حریم خصوصی که به‌طور جداگانه به‌روزرسانی می‌شوند استفاده می‌کند.
• لایه شفافیت — ممکن است از اجماع داخلی استفاده کند یا نکند، و لنگرگاه‌های اعتماد، تغییرات کلید، به‌روزرسانی‌های سیاست، رسیدها و بیانیه‌های اکوسیستمی که از ممیزی عمومی فقط-الحاقی بهره‌مند می‌شوند را ثبت می‌کند.

این معماری بخش‌های مفید تفکر بلاک‌چینی را می‌گیرد — قابلیت ممیزی فقط-الحاقی، نظارت عمومی، شواهد دست‌نخوردگی، رسیدها — بدون اینکه راننده را به موضوع عمومی سیستم تبدیل کند. همچنین با آنچه استانداردها از قبل توصیف می‌کنند مطابقت دارد: رجیستری‌ها می‌توانند اشکال مختلفی داشته باشند، DID ها نیازی به دفاتر کل توزیع‌شده ندارند، رجیستری‌های اعتماد از قبل وجود دارند و مکانیزم‌های وضعیت حافظ حریم خصوصی از قبل استاندارد شده‌اند.

استدلال اصلی

IDP آینده باید بهترین ایده بلاک‌چین را اتخاذ کند — پاسخگویی عمومی برای زیرساخت — بدون اینکه بدترین پیش‌فرض آن برای افراد را بپذیرد: ردیابی پایدار و قابل رؤیت در سطح جهان.

در عمل، این یعنی:

• شفافیت برای صادرکنندگان، نه افشای دارندگان
• لنگرگاه‌های اعتماد قابل ممیزی، نه سوابق سفر عمومی
• رسید برای سیاست‌ها و ثبت‌ها، نه جداول زمانی دائمی از استفاده اعتبارنامه
• شواهد فقط-الحاقی برای حاکمیت اکوسیستم، نه هویت راننده آنچین به عنوان پیش‌فرض

این استدلالی علیه بلاک‌چین نیست. استدلالی علیه اعمال بلاک‌چین به لایه اشتباه است.

یک IDP آینده ممکن است به خوبی از سرویس‌های شفافیت مبتنی بر اجماع در جایی از اکوسیستم استفاده کند. اما اگر طراحی با قرار دادن راننده، اعتبارنامه یا مسیر ارائه روی یک دفتر کل شروع شود، از همان ابتدا پیش‌فرض اشتباهی انتخاب شده است.