Что такое цифровая суверенная личность и почему это коснётся каждого
Благодаря этой технологии может уйти в прошлое мошенничество с кражей персональных данных. Разбираемся в её сути вместе с экспертом.
b2b conference group / flickr
В 2019 году Пензенский государственный университет первым в России выдал выпускникам наряду с традиционными электронные дипломы — с помощью технологии цифровой суверенной личности, или self-sovereign identity (SSI). Партнёром вуза в этом проекте выступил блокчейн-стартап Credentia.
Skillbox Media поговорил с руководителем и основателем Credentia Степаном Гершуни и выяснил, что такое SSI и почему эта технология так важна. По словам Гершуни, self-sovering identity планируют запустить не только в сфере образования, но и в системах здравоохранения и туризма.
При возобновлении международных перелётов авиакомпании и миграционные службы будут вынуждены требовать у пассажиров справки об отсутствии COVID-19. Это может стать звёздным часом для SSI: отдыхающим не придётся возить с собой ещё один документ и переводить его на язык страны пребывания. Достаточно будет предоставить электронную справку на паспортном контроле.
Что такое SSI и какие у неё преимущества?
У технологии цифровой суверенной личности две ключевых особенности. Первая — каждый человек становится оператором собственных персональных данных. Только вы решаете, где её хранить и кому какую информацию предоставить. При этом проверяющему не надо будет отправлять запрос в различные ведомства, чтобы проверить подлинность ваших данных, так как при выпуске цифрового документа эмитент подтверждает подлинность выданного документа криптографической подписью.
Важен и сам формат передачи. По сути, вы не раскрываете в ответ на запрос чего-то о себе: специальный софт лишь высылает результат математических вычислений. «Вычислить» этот результат обратно и выяснить, какие данные были в начале, практически невозможно. Звучит сложно? Давайте приведём пример.
Ваш автомобиль остановил сотрудник ДПС — и просит показать водительское удостоверение, СТС и страховой полис. Но вместо того, чтобы забирать сами документы, сотрудник на служебном смартфоне или терминале формирует запрос — имеет ли ваш автомобиль право передвижения, а вы — право управления им.
Вам приходит уведомление о запросе ваших данных. Запрос удовлетворяется, сотрудник ДПС получает результат в виде «да» или «нет». При этом он не видит оригиналов ваших документов, роль проверяющего в этом случае только в том, чтобы понять, можете ли вы управлять этим автомобилем в данный момент или нет.
Когда вы родились, номер и серия ваших прав, какого года машина, какой у неё VIN-номер — ничего из этого инспектор не узнает. Если задуматься, то абсолютное большинство бытовых эпизодов проверки каких-либо документов сводится именно к бинарной логике «да» или «нет»: проверка возраста при покупке алкоголя, контроль рабочих пропусков в офисе и так далее — список можно продолжать.
Вторая ключевая особенность технологии цифровой суверенной личности — это децентрализация хранения. Это принципиально отличается от того, как хранятся данные граждан сегодня. Многие государственные и частные учреждения имеют собственные базы данных, в то же время качество хранения и защиты везде разное.
Отчасти эту проблему можно решить созданием централизованного хранилища данных, с которым будут связаны ведомства и аккредитованные организации, но такое хранение более уязвимо. При взломе такой базы компрометируются сразу все записи, а при атаке на децентрализованное хранилище пострадает лишь один аккаунт. Одно это обстоятельство делает идею нерентабельной.
В подобном реестре можно хранить не только паспорт, водительские удостоверения или другой государственный документ, но и чеки из магазина, билеты на поезд и вообще любые оцифрованные справки, с которыми человек сталкивается ежедневно. Эта система может быть реализована на блокчейне.
По словам Степана Гершуни, главная проблема централизованной системы, помимо её небезопасности, в том, что интеграция с другими существующими централизованными системами дорогая.
«Например, если автошкола захочет интегрироваться с госуслугами и размещать там свои электронные свидетельства о прохождении учёбы в автошколе, а таких школ по стране тысячи, то им необходимо будет нанять программистов, которые сделают сложную интеграцию с большой информационной системой», — говорит Гершуни.
Если бы автошколы использовали концепцию цифровой суверенной личности, то могли бы генерировать электронные сертификаты для своих учащихся моментально. Для этого необходим доступный общепринятый софт. При этом подлинность такого документа всегда можно будет проверить.
Закон о персональных данных в России, европейский общий регламент по защите данных GDPR (General Data Protection Regulation), калифорнийский закон о защите персональных данных CCPA (California Customer Privacy Act) и прочие регулирующие нормативные акты в разных странах не могут гарантировать стопроцентной защиты информации.
Любое использование централизованных систем предполагает наличие оператора, который отвечает за сбор и хранение информации. В случае взлома такой системы мошенники получают доступ к базе данных миллионов пользователей. А в случае взлома децентрализованной системы — только к данным одного человека.
Управляющий партнёр технологического аналитического центра MINDSMITH Руслан Юсуфов: «По оценкам Всемирного банка, почти миллиард человек во всём мире в принципе не имеет какой-либо формы юридически признанной идентификации. Ещё 3,4 млрд человек с каким-либо юридически признанным ID имеют ограниченные возможности для использования его в цифровом мире. И только оставшиеся 3,2 млрд человек имеют юридически признанный ID и участвуют в цифровой экономике».
Остаётся только догадываться, говорит Юсуфов, какая часть из 3,2 млрд человек сможет бесшовно использовать свои ID в интернете. SSI может создать экономическую ценность для каждой из этих трёх групп, доступ к товарам и услугам улучшится, а мошенничества и нарушения прав граждан станет меньше.
Из чего состоит система цифровой суверенной личности?
SSI состоит из двух частей. Первая часть — это цифровой аккаунт. Вторая часть — данные, ими могут быть документы, которые к этому аккаунту привязаны. К примеру, полис ОМС — это, по сути, цифровой аккаунт с уникальным штрихкодом. К полису привязана медицинская карта, которая содержит историю болезни. Блокчейн в данном случае используется для создания аккаунтов, и пользователь не зависит от централизованной платформы.
Степан Гершуни (Credentia):
«Если злоумышленники взломали и обнародовали, например, вашу переписку и фотографии из WhatsApp, значит, информация хранилась не на телефоне или в облаке, а на сервере мессенджера. А WhatsApp — это абсолютно централизованная система».
У систем на архитектуре SSI все данные существуют в электронном виде и построены согласно общепринятому техническому стандарту для разработчиков Verifiable Credentials. Их особенность в том, что нет никакой единой базы данных банков, компаний или государства, которую можно украсть, прочитать или изменить.
Единственным оператором этих данных является сам владелец, и только он может выбрать, кому и какие предоставить документы. Вся информация хранится, например, в телефоне или облаке.
Технология обладает ещё двумя преимуществами перед обычными хранилищами данных.
- Стандартизация данных. Все документы приводятся к единому цифровому стандарту и привязываются к технологии суверенной личности.
- Криптографическая подтверждаемость. У каждого эмитента есть ЭЦП (электронная цифровая подпись), которой он подписывает документы. Например, дипломы может выдавать только вуз, который имеет аккредитацию, а справку для бассейна выдают только медучреждения.
Любой пользователь, которому предоставлен доступ, может узнать дополнительную информацию. Например, традиционный диплом вуза имеет две страницы, одна — кому выдан, вторая — с оценками, то диплом в электронном формате может содержать информацию о компетенциях студента и о том, какие преподаватели читали курс, или видео защиты дипломной работы.
Цифровые документы позволяют создавать и накапливать единое цифровое портфолио, где будет храниться, к примеру, информация об образовании, здоровье или недвижимости. Но такое портфолио будет «собственностью» самого человека, а за его защиту не будет отвечать множество людей, любой из которых может скомпрометировать эти данные. Несмотря на то, что доступ к персональным данным клиентов банков имеет ограниченное число сотрудников, такая информация регулярно попадает на чёрные рынки и переходит к мошенникам.
Где применяется SSI?
Концепция SSI — относительно молодая технология. Некоторые разработчики, несмотря на преимущества децентрализованной системы, относятся к ней скептически. Они считают, что SSI не будет работать в реальности.
Однако в мире уже известны примеры применения этой концепции. Например, в банковском секторе. Правительство Великобритании успешно запустило тестовую версию KYC на основе SSI для пользователей сайта управления по финансовому регулированию и надзору (FSA) и планирует в дальнейшем применять технологию в других секторах.
В Индии, Израиле и Гонконге начали выдавать «ковидные» паспорта с использованием SSI. Выдачу паспортов вакцинации обсуждают также в России и в странах ЕС.
По словам эксперта, SSI не всегда децентрализованная система, так как есть процессы, которые контролирует только государство, — по-другому они не могут проходить. Например, в Америке это выдача грин-карт, а в Пензенском госуниверситете — дипломов. Всё это централизованные системы, но построены они на архитектуре SSI.
«Технология SSI не должна казаться чем-то далёким и неосязаемым», — рассуждает управляющий партнёр технологического аналитического центра MINDSMITH Руслан Юсуфов.
С одной стороны, отмечает он, лидеры самых разных рынков «поднимают на флаг» технологию SSI и вкладывают в неё миллионы долларов через исследования и инвестиции в стартапы.
С другой — в MINDSMITH видят колоссальные масштабы потенциальной экономии, что подтверждают оценки роста рынка SSI от экспертов индустрии. Так, по оценкам McKinsey, развитие рынка цифровой идентичности может дать от 3 до 13% мирового ВВП глобальной экономике, а Juniper Research прогнозирует, что к 2024 году рынок SSI вырастет практически на 1000% — до 1,1 млрд долларов. По итогам 2020 года он достиг 100 млн долларов.
«Мы недавно проанализировали опыт более 200 крупнейших финансовых институтов и обнаружили, что практически треть всех блокчейн-патентов связана с управлением цифровой идентичностью. Такие игроки, как Mastercard, Visa, PayPal и JP Morgan, активно инвестируют в стартапы, работающие над SSI», — говорит Юсуфов.
В чём польза и удобство технологии?
Вернёмся к нашему примеру с инспектором ДПС. Конечные пользователи смогут сами распоряжаться своей информацией. Они будут решать, с кем и какой информацией поделиться. Например, вместо электронного паспорта целиком пользователь может показать только ФИО или год рождения.
Если бы социальные сети использовали децентрализованные системы технологии SSI на блокчейне, то Twitter, Facebook*, Instagram* и YouTube никогда бы не смогли заблокировать аккаунты, например, Дональда Трампа. Соцсети не могли бы ничего цензурировать. Контент всегда был бы доступен и хранился в децентрализованных адресных и файлообменных системах (IPFS, Solid). Так как у децентрализованной системы нет единого оператора, то невозможно было бы удалить контент или заблокировать пользователя, даже если бы этого очень хотели службы безопасности.
SSI был бы полезен компаниям и университетам. Им больше не пришлось бы тратить миллионы рублей на выпуск дипломов и аттестатов. «Например, в энергетической компании работают 30 тысяч человек со всей страны, и они ежегодно проходят курсы повышения квалификации. Работники приезжают в региональные центры, сдают экзамены, и через месяц им из Москвы присылают физическое удостоверение с ручной подписью. На это тратятся огромные деньги. Вместо этого можно было бы присылать электронные свидетельства», — говорит Гершуни.
SSI сократит количество поддельных документов и бюрократические издержки в сфере межгосударственных отношений, так как технология международная. Как считает Гершуни, использование цифрового стандарта — например, ресурса быстрого взаимодействия в сфере здравоохранения FHIR или стандарта для всех уровней образования Europass, ускорит передачу документов между странами.
Подобная децентрализованная система использовалась в нашей стране, когда все документы были исключительно на бумаге. Существовал архив, в котором хранились, к примеру, серия и номер свидетельства о рождении или номер аттестата об окончании школы, а само свидетельство и аттестат были у его владельца. Именно наличие такого документа подтверждало сам факт рождения или окончания школы. Бумаги было сложно подделать, но легко потерять или порвать. Современная технология SSI предлагает нечто подобное, только все документы должны быть машиночитаемы, а данные — надёжно защищены.
Утечка данных 553 миллионов пользователей Facebook* и даже самого Цукерберга, в то время как практически у миллиарда человек нет вообще никакой формы идентификации, — это проблема, и подобные проблемы могут быть решены с помощью SSI, думает Руслан Юсуфов (MINDSMITH):
«Мы с радостью смотрим за стремительным развитием применения SSI и инициативами крупнейших организаций мира именно потому, что эта технология способна хотя бы частично вернуть всем нам утраченный контроль над информацией о нас самих».