#NiedzielnyWywiad. O zarządzaniu tożsamością w oparciu o blockchain rozmawiamy z Alim Nazemem z ShoCard.com
ShoCard to narzędzie umożliwiające osobom i firmom zarządzanie swoją tożsamością. Pozwala ono na dokonanie szybkiego i sprawnego uwierzytelnienia podczas przeprowadzania transakcji, logowania i innych form aktywności wymagających weryfikacji danych osobowych. Jak dokładnie działa ShoCard i dlaczego u podłoża tej technologii leży blockchain? Na ten temat rozmawiamy z Alim Nazemem, wiceprezesem i Business Development Managerem w ShoCard.com. #NiedzielnyWywiad
Jak, w skrócie, działa ShoCard? Czy system wymaga członkostwa wszystkich zaangażowanych stron czy można go używać również w relacjach z podmiotami, które same nie posiadają tożsamości ShoCard?
Ali Nazem: Technologia ShoCard, wykorzystująca blockchain jako fundament swojej architektury, umożliwia zarządzanie tożsamością zarówno użytkownikom końcowym, jak i przedsiębiorstwom. ShoCard udostępnia aplikację mobilną, kompatybilną zarówno ze środowiskiem iOS, jak i Androida, którą użytkownicy mogą zainstalować na swoich smartfonach. Nasza platforma wykorzystuje kryptografię asymetryczną oraz haszowanie w celu bezpiecznego przechowywania i wymiany informacji na temat tożsamości. To silna forma wielopoziomowego uwierzytelniania z pozapasmowym, niezależnym od sieci przesyłem i weryfikacją danych, wykorzystująca liczne klucze prywatne i funkcje haszowania. Blockchain umożliwia ShoCard stworzenie bezpiecznego, rozproszonego środowiska zaufania z wszystkimi zaletami sfederowanej tożsamości przy niskich kosztach operacyjnych.
Jeden z głównych atutów tej technologii polega na tym, że dane osobowe nie są przechowywane na serwerach ShoCard lub blockchainie w sposób, który umożliwiałby ich wykorzystanie. Dane osobowe użytkownika są zawarte w aplikacji, zakodowane i przechowywane lokalnie na urządzeniu. Aplikacja tworzy zhashowany podpis cyfrowy, wykorzystując klucz prywatny użytkownika i dopiero on jest przechowywany na blockchainie. Oryginalne dane osobowe, po przetworzeniu w ten sposób, nie mogą zostać zmanipulowane lub „wydobyte”.
Dane użytkownika mogą zostać uwierzytelnione przez zaufany podmiot, posiadający możliwość weryfikacji tożsamości, np. instytucję państwową lub firmę. Dzięki wykorzystaniu metody podobnej do wyżej opisanej te uwierzytelnienia również są przechowywane na blockchainie przez zastosowanie klucza prywatnego strony uwierzytelniającej. Gdy prawidłowość danych zostanie potwierdzona, użytkownik może podejmować interakcję z innymi stronami i zweryfikować ich tożsamość lub, jeśli ma takie życzenie, wymienić dane osobowe w całkowicie bezpieczny sposób. Analogicznie, przedsiębiorstwa również mogą umożliwiać walidację swojej tożsamości, tak by inne strony – czy to klienci końcowi, czy to inne przedsiębiorstwa – mogły mieć pewność, z kim wchodzą w interakcję.
Wartość i siła ShoCard jest większa, jeśli technologia wykorzystywana jest przez strony będące członkami tego właśnie „ekosystemu”. Nie trzeba posiadać tożsamości ShoCard, by uwierzytelnić się przed innym podmiotem, ale strona weryfikująca będzie musiała uzyskać dostęp do systemu i zaufać zaświadczeniom przedstawianym przez użytkownika.
Dane osobowe nie są bezpieczne w internecie. Sądzisz, że wasze narzędzie lub w ogóle rozwiązania oparte na blockchainie są w stu procentach odporne na ataki hakerskie i inne próby kradzieży danych?
AN: Teoretycznie rzecz biorąc, nic nie jest w stu procentach odporne na ataki hakerskie i oszustwa. Możemy jedynie zwiększać bezpieczeństwo systemów, baz danych, urządzeń itp., czyniąc próby przełamania ich zabezpieczeń coraz trudniejszymi lub coraz bardziej kosztownymi.
Technologia zarządzania tożsamością stworzona przez ShoCard ma szereg przewag nad obecnymi systemami, korzystającymi z zasobów instytucji państwowych, repozytoriów danych, technologii w rodzaju LDAP, baz danych, Active Directory itp. Przez stworzenie rozwiązania opartego na blockchainie, który stanowi publicznie dostępny, rozproszony, świetnie zakodowany magazyn danych, można uzyskać skalowalność, bezpieczeństwo i kompleksową oszczędność kosztów, które zwyczajowo wiążą się z zarządzaniem tożsamością.
Ponadto, ze względu na sposób, w jaki ShoCard opracował swój system zarządzania tożsamością, żadne dane osobowe nie muszą być ujawniane ani przechowywane przez serwery ShoCard (z wyjątkiem niewielkiej ilości danych niezbędnych do odzyskania konta). I mimo że blockchain wykorzystywany jest do przechowywania danych, to dane zapisane na blockchainie są zakodowane, zhaszowane i podpisane cyfrowo. W efekcie wydobycie pierwotnych danych z tego zapisu jest niemożliwe. ShoCard wykorzystuje natomiast te zapisy jako sposób na porównanie pozycji w rejestrze w celu ustalenia, kiedy i przez kogo zostały zapisane oraz umożliwienia innym stronom weryfikacji części lub całości danych użytkownika. Proces ten jest tak skonstruowany, że dane nie mogą zostać zmanipulowane ani podczas przesyłu, ani pozostając „w stanie spoczynku” – a jednocześnie strony dokonujące walidacji mogą sprawdzić autentyczność tych danych. Cały mechanizm umożliwia stronom trzecim ustalenie pochodzenie źródła danych przy jednoczesnym zabezpieczeniu prywatności i zapewnieniu kontroli użytkownika nad jego danymi osobowymi. Wykorzystanie tej technologii jako mechanizmu identyfikacji tożsamości, przesyłu danych i certyfikacji stron jest obecnie nowatorskim rozwiązaniem w skali całej branży technologicznej.
Sieć jest miejscem pełnym zagrożeń: oszustwa, phishing, haking etc. Wiele z tych zjawisk ma miejsce ze względu na wadliwe procedury uwierzytelniania lub ich brak, ale także ze względu na nieostrożność internautów. Co ma większe znaczenie dla poprawy sytuacji w tej dziedzinie: świadomość użytkowników sieci dotycząca ryzyka w internecie czy odpowiednie technologie bezpieczeństwa?
AN: Oszustwa i cyberprzestępczość zawsze będą stanowiły problem. Hakerzy bawią się ze specjalistami od bezpieczeństwa w kotka i myszkę, a ci z zagrożeniami muszą radzić sobie na bieżąco. Hakerzy często są o krok do przodu, z powodzeniem wynajdując „dziury w systemie”, w ten sposób „wskazując” ekspertom do spraw bezpieczeństwa, jakie środki zaradcze powinni przedsięwziąć. Odpowiedź na powyższe pytanie zapewne leży pośrodku: dla zwiększenia bezpieczeństwa w internecie istotna jest zarówno świadomość użytkowników, jak i właściwa technologia. Trzeba być uważnym, by nie dać się złapać w pułapkę phishingu, scammerów itd. Ale jednocześnie technologia odgrywa kluczową rolę w ochronie użytkowników przed cyberprzestępczością, ograniczając jej pole do popisu.
Jakie obszary, np. biznesu, mają największe zapotrzebowanie na systemy zarządzania tożsamością? Czy blockchain jest optymalną platformą do tworzenia rozwiązań w tym zakresie?
AN: Weryfikacja tożsamości ma największe znaczenie w obszarach związanych z ochroną życia. Zhakowane konta bankowe, rejestry rządowe, konta e-mailowe itp. niosą ze sobą relatywnie niższe ryzyko i mniejsze konsekwencje niż np. identyfikacja tożsamości podczas podróży samolotem, kiedy sfałszowanie danych osobowych mogłoby wiązać się z utratą życia i majątku, choćby z powodu wpuszczenia na pokład terrorystów, którzy mogą przeprowadzić zamach. Wykorzystanie blockchainu w połączeniu z uwierzytelnianiem biometrycznym pozwala na stworzenie systemu, który umożliwia potwierdzenie tożsamości przy zagwarantowaniu bezpieczeństwa danych osobowych.
Rozmawiał Przemysław Ćwik