Ինչու բլոկչեյնը ընտրովի է ապագա Միջազգային վարորդական թույլտվության (IDP) համար

Ապագա Միջազգային վարորդական թույլտվությունը (IDP) կարիք ունի թափանցիկության, վստահության խարիսխների և հանրային հաշվետվողականության։ Այն, ինչի կարիք չունի՝ լռելյայն, դա հենց վարորդներին բաշխված ռեեստրի վրա տեղադրելն է։

Թվային, անդրսահմանային IDP-ի վերաբերյալ յուրաքանչյուր լուրջ քննարկում ի վերջո ներգրավում է նույն առաջարկը՝ «Պարզապես տեղադրեք այն բլոկչեյնի վրա»։ Գրավչությունը հասկանալի է։ Բլոկչեյնները առաջարկում են միջամտության ապացույց, ընդհանուր տեսանելիություն և միայն-ավելացման պատմություն։ Դրանք իրական հատկություններ են։ Բայց անդրսահմանային վարորդի ինքնության համատեքստում դրանք շատ հաճախ կիրառվում են սխալ շերտի վրա։

Այս հոդվածը բացատրում է, թե ինչու, քայլ առ քայլ ներկայացնում է, թե ինչ են իրականում ասում ստանդարտները, և ուրվագծում է ավելի լավ ճարտարապետական օրինակ։

Ինչ են իրականում ասում ստանդարտները բլոկչեյնի մասին

W3C-ի Ստուգելի հավաստագրերի տվյալների մոդելը հստակորեն նշում է, որ ստուգելի տվյալների ռեեստրը կարող է ունենալ բազմաթիվ ձևեր, ներառյալ՝

• Վստահելի տվյալների բազաներ
• Ապակենտրոնացված տվյալների բազաներ
• Կառավարական ինքնության տվյալների բազաներ
• Բաշխված ռեեստրեր

DID Core-ը նույնքան հստակ է. շատ DID մեթոդներ օգտագործում են բաշխված ռեեստրի տեխնոլոգիա, բայց ոչ բոլորը։ Այլ կերպ ասած, ստանդարտներն արդեն իսկ մերժում են այն գաղափարը, որ բլոկչեյնը պարտադիր հիմք է թվային հավաստագրերի համար։

Դա ապագա IDP-ի համար ճիշտ ելակետն է։ Օգտակար հարցը «բլոկչեյն, թե ոչ բլոկչեյն»-ը չէ։ Այն հետևյալն է՝

Ո՞ր շերտն է իրականում կարիք ունի թափանցիկության, և ո՞ր շերտը բացարձակապես չպետք է դառնա հանրային ենթակառուցվածք լռելյայն։

Բլոկչեյնը հատկությունների հավաքածու է, ոչ թե պահանջ

Առաջին սխալը «բլոկչեյնը» որպես միասնական պահանջ դիտարկելն է։ Այդպես չէ։ Դա հնարավոր հատկությունների փաթեթ է, ներառյալ՝

• Ընդհանուր հրապարակում
• Միայն-ավելացման պատմություն
• Բաշխված գործառնություն
• Անդորրագրերի ստեղծում
• Միակողմանի փոփոխությունների դիմադրություն

Դրանցից մի քանիսը օգտակար են ապագա IDP-ի համար։ Մի քանիսը անտեղի են։ Իսկ ոմանք ակտիվորեն վտանգավոր են, երբ կիրառվում են մարդկային հավաստագրի սուբյեկտների վրա։ W3C ռեեստրի մոդելը կանխամտածված թույլ է տալիս բազմաթիվ իրականացումներ, քանի որ տարբեր էկոհամակարգերին պետք են տարբեր փոխզիջումներ։

Երեք խնդիր, որոնք չպետք է միավորվեն

Երկրորդ սխալը երեք տարբեր խնդիրներ մեկ համակարգում միավորելն է։ Ապագա IDP-ի համար դրանք պետք է առանձին մնան՝

1. Որտեղ է ապրում իրավական ճշմարտությունը։ Վարելու իրավունքը պատկանում է վարորդական իրավունքի լիազոր ազգային գրառումներին։
2. Ինչպես է բաշխվում վստահության նյութը։ Թողարկողի բանալիները և ստուգողի վկայագրերը պատկանում են վերահսկվող վստահության ռեեստրներին։
3. Ինչպես է էկոհամակարգը ստուգում փոփոխությունները։ Սա պատկանում է թափանցիկության շերտին։

Իրական աշխարհի էկոհամակարգերն արդեն այսպես են աշխատում։ AAMVA-ի Թվային վստահության ծառայությունը (Digital Trust Service) բաշխում է թողարկողի հանրային բանալիները ներբեռնվող ցուցակում, նախքան ստուգողը երբևէ կկապվի mDL-ի հետ։ Եվրամիության շարժական վարորդական իրավունքի ձեռնարկը նշում է, որ Անդամ պետությունները ծանուցում են Հանձնաժողովին լիազորված mDL թողարկողների մասին, և Հանձնաժողովը հրապարակում է այդ իշխանությունների ստուգման ցուցակը։ Դա վստահության բաշխում է առանց բլոկչեյնի։

Ինչ է մեզ սովորեցնում Վկայագրերի թափանցիկությունը

Հանրային ինտերնետում թափանցիկության ամենաարդյունավետ մոդելը սպառողական բլոկչեյն չէ։ Դա Վկայագրերի թափանցիկությունն է (Certificate Transparency, CT)։

RFC 9162-ը նկարագրում է CT-ն որպես արձանագրություն TLS սերվերի վկայագրերի հանրային գրանցման համար, որպեսզի յուրաքանչյուրը կարողանա՝

• Ստուգել վկայագրման իշխանության գործունեությունը
• Հայտնաբերել խնդրահարույց կամ սխալ թողարկված վկայագրեր
• Ստուգել գրանցամատյանները

CT-ի նախագծման հիմնական դասը. թափանցիկությունն ամենաարժեքավորն է, երբ արձանագրում է թողարկողի վարքագիծը և վստահության նյութը՝ ոչ թե վերջնական օգտատիրոջ գործունեությունը։

Կիրառված ապագա IDP-ի վրա, դա նշանակում է արձանագրել այնպիսի բաներ, ինչպիսիք են՝

• Թողարկողի բանալիների թողարկում և շրջանառություն
• Վստահության խարիսխների հրապարակում
• Ստուգողի կատեգորիաների գրանցում
• Քաղաքականության փոփոխություններ
• Համապատասխանության հայտարարություններ
• Անվտանգության հետ կապված իրադարձություններ

Ինչը դա չի նշանակում՝ ստեղծել տերերի, հավաստագրի նույնականացուցիչների կամ ներկայացման իրադարձությունների հանրային կամ կիսահանրային ռեեստր։ Դա թափանցիկություն չէ։ Դա չափազանց մեծ տվյալների հավաքագրում է։

SCITT. Ինչու թափանցիկությունը նույնը չէ, ինչ ճշմարտությունը

IETF SCITT ճարտարապետության նախագիծը ընդլայնում է այս մտածողությունը։ SCITT-ը սահմանում է Թափանցիկության ծառայություն, որը պահպանում է ստուգելի տվյալների կառուցվածք և թողարկում է գաղտնագրային անդորրագրեր՝ ստորագրված հայտարարությունների ներառումը ապացուցելու համար։ Թափանցիկության ծառայության ինքնությունը գրավվում է վստահող կողմերին հայտնի հանրային բանալիով, իսկ վստահության խարիսխներն ու գրանցման քաղաքականությունները նույնպես թափանցիկ են դարձվում։

Սա հզոր մոդել է IDP ենթակառուցվածքի համար, քանի որ այն թափանցիկությունը վերածում է վստահության նյութի և քաղաքականության շուրջ ստուգելի ծառայության՝ ոչ թե անձնական ճանապարհորդական իրադարձությունների շուրջ։

SCITT-ը նաև հստակ է թափանցիկության սահմանափակումների մասին.

• Գրանցված հայտարարությունը միայն ապացուցում է, որ թողարկողը այն ստեղծել և գրանցել է, ոչ թե այն, որ հայտարարությունը անվերջ ճիշտ է։
• Հետագա ստորագրված հայտարարությունը կարող է փոխարինել նախորդին։
• Թափանցիկությունը չի կանխում անազնիվ կամ վտանգված թողարկողներին․ այն նրանց պատասխանատու է դարձնում։

Վարորդի ինքնության համար այդ տարբերությունը հսկայական նշանակություն ունի. թափանցիկության գրանցամատյանը ապացույց է և աուդիտի պատմություն, ոչ թե ինչ-որ մեկի վարելու իրավունքի լիազոր իրավական վիճակը։

SCITT-ը նաև նշում է, որ թափանցիկության ծառայությունը կարող է պաշտպանել իր միայն-ավելացման հաջորդականությունը՝ օգտագործելով վստահելի ապարատային սարքավորումների, համաձայնագրային արձանագրությունների և գաղտնագրային ապացույցների համակցություն։ Նույնիսկ թափանցիկության շերտը չի պահանջում բլոկչեյնի մեկ կոնկրետ դիզայն։ Համաձայնությունը մեկ տարբերակ է, ոչ թե միակ տարբերակը։

Ճարտարապետական ճիշտ բաժանումը ապագա IDP-ի համար

Ապագա IDP-ն պետք է առանձնացնի մտահոգությունները չորս տարբեր շերտերի.

1. Լիազոր գրառումներ, թե ով կարող է վարել (ազգային լիցենզավորման իշխանություններ)
2. Վստահության ռեեստրեր թողարկողի և ստուգողի բանալիների համար
3. Կարգավիճակի ենթակառուցվածք թարմության և չեղարկման համար
4. Ընտրովի թափանցիկության շերտ քաղաքականությունների, վստահության խարիսխների, անդորրագրերի և համապատասխանության հայտարարությունների հանրային աուդիտի համար

Երբ դուք առանձնացնում եք այս շերտերը, բլոկչեյնի հարցը դառնում է շատ ավելի սուր։ Այն այլևս «պետք է արդյոք ապագա IDP-ն լինի բլոկչեյնի վրա» չէ։ Այն դառնում է՝

Ո՞ր շերտը, եթե այդպիսին կա, իրականում օգուտ է քաղում միայն-ավելացման հանրային աուդիտից։

Հինգ պատճառ, թե ինչու բլոկչեյնում վարորդի ինքնությունը սխալ լռելյայն է

1. Այն ստեղծում է տևական հետագծման ազդանշաններ

EUDI-ի գաղտնիության աշխատանքը բացատրում է, որ վկայագրման ներկայացումները կարող են պարունակել եզակի արժեքներ, ինչպիսիք են՝

• Աղեր (salts)
• Հեշ արժեքներ
• Չեղարկման նույնականացուցիչներ
• Սարքի կապման հանրային բանալիներ
• Ստորագրություններ
• Ժամային դրոշմակնիքներ

Քանի որ այդ արժեքները ֆիքսված են նույն վկայագրման համար, դրանք թույլ են տալիս վստահող կողմերին կապել տարբեր գործարքները և կառուցել օգտատիրոջ վարքագծային պրոֆիլը։ EUDI-ն հստակ նախազգուշացնում է, որ դա խախտում է ողջամիտ ակնկալիքը, որ առանձին դրամապանակային գործողությունները չեն միավորվի։

Եթե դուք հանրային ռեեստրում հրապարակում եք կայուն տիրոջ նույնականացուցիչներ, կայուն հավաստագրի նույնականացուցիչներ, վերակիրառելի հեշեր կամ առանձին հետագծելի չեղարկման իրադարձություններ, դուք չեք լուծում հետագծման խնդիրը՝ դուք այն դարձնում եք մշտական։

2. Այն բացահայտում է չեղարկման և թարմության իրադարձությունները

W3C Bitstring Status List Recommendation-ը հստակ նկարագրում է խնդիրը. եթե մեկ-մեկ համապատասխանություն կա հավաստագրի և այն URL-ի միջև, որտեղ հրապարակվում է նրա կարգավիճակը, ապա հրատարակիչը կարող է կապել տիրոջը, ստուգողին և ստուգման ժամանակը։ Բնութագիրն օգտագործում է վարորդական իրավունքի օրինակ՝ պատկերացնելու համար, թե ինչու է հաստատություն մտնելիս թողարկողի կողմից հետագծվելը խախտում գաղտնիության սովորական ակնկալիքը։

Ավելի լավ լռելյայն, որը առաջարկում է Bitstring Status List-ը՝

• Մեծ, սեղմվող կարգավիճակի ցուցակներ, որտեղ բազմաթիվ հավաստագրեր կիսում են մեկ կարգավիճակի ռեսուրս
• Ցուցակի լռելյայն երկարությունը՝ 131 072 մուտք
• Վստահող կողմերը նոր տարբերակները ներբեռնում են առանձին՝ առանց իրենց նույնականացնելու
• Պատահականացված ինդեքսներ և խմբային գաղտնիության երաշխիքներ

Դա ճիշտ հակառակն է անհատականացված, բլոկչեյնում չեղարկման հետքերի։

3. Այն շփոթում է հավաստագրի կարգավիճակը իրավական վարորդական կարգավիճակի հետ

Թվային հավաստագիրը կարող է չեղարկվել, քանի որ նրա ստորագրման մեխանիզմը վտանգված է, նույնիսկ եթե իրական աշխարհի վարելու իրավունքը մնում է վավեր։ Հավաստագրի իրադարձությունների հանրային ռեեստրը մաքուր փոխարինող չէ ազգային վարորդական գրառման լիազոր վիճակին։

SCITT-ը ամրապնդում է կետը. գրանցված հայտարարությունը հետագայում կարող է փոխարինվել նորով, և վստահող կողմերը որոշում են, թե ինչին վստահել՝ հիմնված քաղաքականության և պատմության վրա։ Գրանցամատյանը մշտական ճշմարտություն չէ։ Դա ապացույց է այն մասին, թե ով, երբ, ինչ քաղաքականության ներքո ինչ է ասել։ Ազգային լիցենզավորման իշխանությունը մնում է իրավական ճշմարտության արմատը։

4. Այն թիրախավորում է սխալ կառավարման խնդիրը

Անդրսահմանային վարորդի ինքնությունը հիմնականում համաձայնության խնդիր չէ։ Դա կառավարման խնդիր է.

• Ո՞վ իրավունք ունի թողարկելու։
• Ո՞ր հանրային բանալիներն են ընթացիկ։
• Ո՞ր ստուգողներն են լիազորված։
• Ո՞ր տվյալների հարցումներն են համապատասխանում նրանց հայտարարված նպատակին։
• Քաղաքականության ո՞ր տարբերակն էր ուժի մեջ տվյալ պահին։

Իրական էկոհամակարգերն արդեն պատասխանում են դրանց կառավարվող վստահության ենթակառուցվածքի միջոցով, ոչ թե ապակենտրոնացված համաձայնության.

• AAMVA-ի Թվային վստահության ծառայությունը հրապարակում է թողարկող մարմինների հանրային բանալիները ներբեռնվող ցուցակում։
• Եվրամիության շարժական վարորդական իրավունքի ձեռնարկը նշում է, որ Հանձնաժողովը հրապարակում է լիազորված mDL թողարկողների ցուցակը։
• ETSI-ի դրամապանակ-վստահող կողմի վկայագրի աշխատանքը ապահովում է մեքենայի կողմից ընթեռնելի ստուգողի վավերականացում՝ նախատեսված օգտագործման և գրանցված պահանջվող ատրիբուտներով։

Դա հստակ հանրային վստահության կառավարում է՝ ոչ թե ապակենտրոնացված կառավարում։

5. Այն չի լուծում ճանապարհային իրականությունը

Շատ բլոկչեյն առաջարկներ լուռ ենթադրում են, որ ուղիղ ցանցային հասանելիությունը առավելություն է։ Վարորդական հավաստագրերի համար, հատկապես ճանապարհին կամ ճանապարհորդելիս, դա հաճախ այդպես չէ։

AAMVA-ի իրականացման ուղեցույցը նշում է, որ.

• Սարքից ստացումը աշխատում է առանց արտաքին կապի՝ ինչպես տիրոջ, այնպես էլ ընթերցողի համար գործարքի պահին։
• ISO/IEC 18013-5 ստանդարտը պահանջում է սարքից ստացման աջակցություն։
• Ստուգողի մուտքը թողարկողի հանրային բանալիներին պարտադիր չէ, որ տեղի ունենա գործարքի պահին։ Բանալիները կարող են նախապես ներբեռնվել։

Եթե ստուգողն արդեն կարող է տեղային վավերացում կատարել՝ օգտագործելով քեշավորված վստահության նյութը, ապա ուղիղ բլոկչեյն կախվածությունը էական չէ։ Լավագույն դեպքում դա ինչ-որ ֆոնային աուդիտի գործառույթի իրականացման ընտրություն է։

Ինչը պետք է թափանցիկ լինի ապագա IDP-ում

Ապագա IDP-ին բացարձակապես անհրաժեշտ է թափանցիկություն՝ ճիշտ տեղում։

Դարձրեք սրանք թափանցիկ լռելյայն.

• Թողարկողի հանրային բանալիներ և բանալիների շրջանառման իրադարձություններ
• Վստահության խարիսխներ և լիազորված թողարկողների ցուցակներ
• Ստուգողի մուտքի վկայագրեր և գրանցված-նպատակի մետատվյալներ
• Քաղաքականության տարբերակներ և գրանցման կանոններ
• Համապատասխանության հայտարարություններ և անվտանգության հետ կապված ծրագրային ապահովման թողարկման պահանջներ
• Ստուգելի անդորրագրեր, որոնք ապացուցում են, որ այս հայտարարությունները գրանցվել են

Մի դարձրեք սրանք հանրային լռելյայն.

• Տիրոջ նույնականացուցիչներ հանրային ռեեստրում
• Կայուն հավաստագրի նույնականացուցիչներ, որոնք վերօգտագործվում են ստուգողների միջև
• Մեկ ներկայացման իրադարձություններ
• Չմշակված չեղարկման մուտքեր, որոնք առանձնացնում են մեկ անձի
• Անձնական տվյալներ պարունակող ամբողջական ստորագրված հայտարարություններ, երբ հեշերը կամ մետատվյալները կբավարարեն

SCITT-ը հստակորեն նախազգուշացնում է թողարկողներին վերանայել մասնավոր, գաղտնի կամ անձամբ նույնականացնող տեղեկատվության ներառումը, նախքան թափանցիկության ծառայությանը հայտարարություններ ներկայացնելը։ Այն նաև նշում է, որ թափանցիկության ծառայությունները կարող են պահպանել միայն գաղտնագրային մետատվյալներ, ինչպիսիք են հեշերը՝ ոչ թե ամբողջական ստորագրված հայտարարությունները։

Ավելի լավ օրինակ. թափանցիկություն էկոհամակարգի շուրջ, ոչ թե անձի միջոցով

Ապագա IDP-ի մաքուր ճարտարապետությունը այսպիսին է.

• Լիազոր ազգային ռեեստր՝ մնում է վարելու իրավունքի իրավական ճշմարտության աղբյուր։
• Հավաստագրի շերտ՝ տանում է մեքենայի կողմից ստուգելի վարորդական իրավասությունները տիրոջ դրամապանակին։
• Վստահության ռեեստրի շերտ՝ բաշխում է թողարկողի բանալիները, ստուգողի վկայագրերը և լիազորված-թողարկողի ցուցակները։
• Կարգավիճակի շերտ՝ օգտագործում է կարճատև վկայագրեր կամ գաղտնիությունը պահպանող կարգավիճակի ցուցակներ, որոնք առանձին թարմացվում են։
• Թափանցիկության շերտ՝ կարող է կամ չի կարող ներքին համաձայնություն օգտագործել, և արձանագրում է վստահության խարիսխները, բանալիների փոփոխությունները, քաղաքականության թարմացումները, անդորրագրերը և էկոհամակարգի հայտարարությունները, որոնք օգուտ են քաղում միայն-ավելացման հանրային աուդիտից։

Այս ճարտարապետությունը գրավում է բլոկչեյն մտածողության օգտակար մասերը՝ միայն-ավելացման ստուգելիություն, հանրային ուսումնասիրություն, միջամտության ապացույց, անդորրագրեր, առանց վարորդին համակարգի հանրային սուբյեկտ դարձնելու։ Այն նաև համապատասխանում է այն ամենին, ինչ արդեն նկարագրում են ստանդարտները. ռեեստրները կարող են ունենալ տարբեր ձևեր, DID-ները չեն պահանջում բաշխված ռեեստրեր, վստահության ռեեստրներ արդեն գոյություն ունեն, և գաղտնիությունը պահպանող կարգավիճակի մեխանիզմները արդեն ստանդարտացված են։

Հիմնական փաստարկը

Ապագա IDP-ն պետք է որդեգրի բլոկչեյնի լավագույն գաղափարը՝ ենթակառուցվածքի համար հանրային հաշվետվողականությունը, առանց ընդունելու դրա ամենավատ լռելյայնը մարդկանց համար՝ տևական, գլոբալ տեսանելի հետագծումը։

Գործնականում դա նշանակում է.

• Թափանցիկություն թողարկողների համար, ոչ թե տերերի բացահայտում
• Ստուգելի վստահության խարիսխներ, ոչ թե հանրային ճանապարհորդական գրառումներ
• Անդորրագրեր քաղաքականությունների և գրանցումների համար, ոչ թե հավաստագրի օգտագործման մշտական ժամանակագրություններ
• Միայն-ավելացման ապացույց էկոհամակարգի կառավարման համար, ոչ թե բլոկչեյնում վարորդի ինքնությունը որպես լռելյայն

Սա բլոկչեյնի դեմ փաստարկ չէ։ Սա փաստարկ է բլոկչեյնը սխալ շերտի վրա կիրառելու դեմ։

Ապագա IDP-ն կարող է լավ օգտագործել համաձայնության վրա հիմնված թափանցիկության ծառայություններ էկոհամակարգի ինչ-որ տեղում։ Բայց եթե դիզայնը սկսում է վարորդին, հավաստագիրը կամ ներկայացման հետքը ռեեստրի վրա տեղադրելով, ապա այն արդեն ընտրել է սխալ լռելյայն։