Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A mai világban digitális és fizikai életünk egyre inkább összefonódik az általunk használt alkalmazásokkal, szolgáltatásokkal és eszközökkel. Ez a digitális forradalom a lehetőségek világát nyitotta meg, lehetővé téve számunkra, hogy számtalan vállalattal és egyénrel kapcsolódjunk oly módon, ami egykor elképzelhetetlen volt.
Ez a megnövekedett kapcsolat nagyobb kockázatot jelent az identitáslopások és az adatsértések esetén. Ezek a jogsértések pusztítóak lehetnek a személyes és szakmai életünkre. A Microsoft aktívan együttműködik a különböző szervezetekkel és szabványügyi szervekkel egy decentralizált identitáskezelési megoldás létrehozása érdekében, amely az egyéneket saját digitális identitásaik irányítására helyezi. A decentralizált identitástechnológiák biztonságos és privát módot biztosítanak az identitásadatok kezelésére anélkül, hogy központi hatóságokra vagy közvetítőkre támaszkodnak.
Miért van szükségünk decentralizált identitásra?
Ma a munkahelyi, otthoni és minden általunk használt alkalmazás, szolgáltatás és eszköz digitális identitását használjuk. Ez az identitás minden olyan dologból áll, amit mondunk, teszünk és tapasztalunk az életünkben – jegyek vásárlása egy eseményre, egy szállodába való bejelentkezés vagy akár ebéd megrendelése. Identitásunk és digitális interakcióink jelenleg harmadik felektől függnek, bizonyos esetekben még a tudásunk nélkül is.
A felhasználók minden nap hozzáférést biztosítanak az alkalmazásoknak és az eszközöknek az adataikhoz. Nagy erőfeszítésre lenne szükség ahhoz, hogy nyomon kövessék, ki milyen információkhoz fér hozzá. Vállalati szinten a fogyasztókkal és a partnerekkel való együttműködés nagy léptekkel történő vezénylést igényel az adatok biztonságos cseréjéhez úgy, hogy az minden érintett számára fenntartsa az adatvédelmet és a biztonságot.
Úgy gondoljuk, hogy a szabványokon alapuló decentralizált identitásrendszer olyan új felhasználói élményeket oldhat fel, amelyek nagyobb ellenőrzést biztosítanak a felhasználóknak és a szervezeteknek az adataik felett, és nagyobb fokú bizalmat és biztonságot biztosítanak az alkalmazások, eszközök és szolgáltatók számára.
Vezess nyílt szabványokkal
A Microsoft aktívan együttműködik a Decentralizált Identitás Alapítvány (DIF), a W3C hitelesítő adatok közösségi csoport és a tágabb identitásközösség tagjaival. A következő szabványokat implementáljuk szolgáltatásainkban.
- W3C decentralizált azonosítók
- A W3C ellenőrizhető hitelesítő adatai
- DIF Sidetree
- A DIF jól ismert DID-konfigurációja
- DIF DID-SIOP
- DIF-bemutatók cseréje
Mik azok a DID-k?
A DID-k megismerése előtt segít összehasonlítani őket más identitásrendszerekkel. Az e-mail-címek és a közösségi hálózati azonosítók olyan emberbarát aliasok, amelyek az együttműködéshez szükségesek, de most már túlterheltek, és az együttműködésen túl sok forgatókönyv adathozzáférési vezérlőpontjaiként szolgálnak. Ez a helyzet potenciális problémát okoz, mert ezekhez az azonosítókhoz való hozzáférés bármikor eltávolítható. A decentralizált azonosítók (DID-k) eltérőek. A DID-k felhasználó által létrehozott, saját tulajdonú, globálisan egyedi azonosítók, amelyek decentralizált megbízhatósági rendszerekben gyökereznek. Olyan egyedi jellemzőkkel rendelkeznek, mint a megváltoztathatatlanság biztosítéka, a cenzúrával szembeni ellenállás és a befolyásolás elkerülése. Ezek az attribútumok kritikus fontosságúak minden olyan azonosítórendszer esetében, amely önkiszolgáló és felhasználói vezérlést kíván biztosítani.
A Microsoft ellenőrizhető hitelesítő megoldása decentralizált hitelesítő adatokat (DID-ket) használ a kriptográfiai aláíráshoz, amely igazolja, hogy egy függő entitás (hitelesítő) igazolja az ellenőrizhető hitelesítő adatok tulajdonjogát igazoló információkat. A DID-k alapszintű ismerete minden olyan felhasználó számára ajánlott, aki a Microsoft ajánlata alapján egy ellenőrizhető hitelesítő megoldást hoz létre.
Mik azok az ellenőrizhető hitelesítő adatok?
Azonosítókat használunk a mindennapi életünkben. Rendelkezünk jogosítványokkal, amelyeket bizonyítékként használunk arra, hogy képesek vagyunk autót üzemeltetni. Az egyetemek olyan okleveleket bocsátanak ki, amelyek bizonyítják, hogy elértük az oktatás szintjét. Útlevéllel igazoljuk, hogy kik vagyunk a hatóságoknak, amikor külföldi úti célokra érkezünk. Az adatmodell bemutatja, hogyan kezelhetők az ilyen típusú forgatókönyvek az interneten keresztüli munka során, de biztonságosan, a felhasználók magánéletének tiszteletben tartásával. További információt az Ellenőrizhető hitelesítő adatok 1.0-s modelljében találhat.
Röviden, az ellenőrizhető hitelesítő adatok olyan adatobjektumok, amelyek a kiállító által a tárgyra vonatkozó információkat igazoló állításokat tartalmaznak. A séma azonosítja ezeket a jogcímeket. A követelések tartalmazzák a kibocsátó DID-ját és az alanyt. A kiállító DID-fájlja digitális aláírást állít elő az ezen információkra vonatkozó igazolásuk bizonyítékaként
Hogyan működik a decentralizált identitás?
Új identitásformára van szükségünk. Olyan identitásra van szükségünk, amely olyan technológiákat és szabványokat hoz létre, amelyek olyan kulcsfontosságú identitásattribútumokat biztosítanak, mint az öntulajdonlás és a cenzúra ellenállása. Ezeket a képességeket nehéz elérni a meglévő rendszerek használatával.
Ezeknek az ígéreteknek a teljesítéséhez egy hét kulcsfontosságú innovációból álló technikai alapra van szükségünk. Az egyik legfontosabb újítás a felhasználó által birtokolt azonosítók, az ilyen azonosítókhoz társított kulcsok kezelésére szolgáló felhasználói ügynök, valamint a titkosított, felhasználó által vezérelt adattárak.
1. W3C decentralizált azonosítók (DID-k). A felhasználók azonosítókat hoznak létre, birtokolnak és ellenőriznek szervezetektől vagy kormánytól függetlenül. A DID-k globálisan egyedi azonosítók, amelyek decentralizált nyilvános kulcsú infrastruktúra (DPKI) metaadataihoz kapcsolódnak, nyilvános kulcsanyagokat, hitelesítési leírókat és szolgáltatásvégpontokat tartalmazó JSON-dokumentumokból állnak.
2. Megbízhatósági rendszer. A DID-dokumentumok feloldása érdekében a DID-k általában valamilyen, a megbízhatósági rendszert jelképező mögöttes hálózaton vannak rögzítve. A Microsoft jelenleg támogatja a di:web megbízhatósági rendszert. A did:web megbízhatósági rendszer egy engedélyalapú modell, amely lehetővé teszi a megbízhatóságot egy webtartomány meglévő hírnevének használatával. did:web támogatási állapotban van általánosan elérhető.
3. DID felhasználói ügynök/pénztárca: Microsoft Authenticator alkalmazás. Lehetővé teszi a valós személyek számára, hogy decentralizált identitásokat és ellenőrizhető hitelesítő adatokat használjanak. A Microsoft Authenticator létrehozza a DID-ket, megkönnyíti az ellenőrizhető hitelesítő adatok kiállítására és bemutatására irányuló kérelmeket, és egy titkosított pénztárcafájlon keresztül kezeli a DID-mag biztonsági mentését.
4. Microsoft Resolver.
Egy API, amely megkeresi és feloldja a DID-ket a did:webmódszerrel, és visszaadja a DID-dokumentumobjektumot (DDO). A DDO tartalmazza a DID-hoz társított DPKI-metaadatokat, például a nyilvános kulcsokat és a szolgáltatásvégpontokat.
5. Microsoft Entra Ellenőrzött azonosító Szolgáltatás. Az Azure-ban található kiadás és ellenőrzés szolgáltatás, valamint a W3C ellenőrizhető hitelesítő adataihoz készült REST API, amely a metódussal van aláírva. Lehetővé teszik az identitástulajdonosok számára az igények létrehozását, bemutatását és ellenőrzését. Ez a szolgáltatás képezi a rendszerek felhasználói közötti bizalom alapját.
Példaforgatókönyv
A hitelesítő adatok ellenőrizhető működésének magyarázatára használt forgatókönyv a következőket foglalja magában:
- Woodgrove Inc. egy vállalat.
- Proseware, egy cég, amely kínál Woodgrove alkalmazottak kedvezményeket.
- Alice, a Woodgrove, Inc. alkalmazottja, aki kedvezményt szeretne kapni a Proseware-től
Alice ma egy felhasználónevet és jelszót biztosít a Woodgrove hálózati környezetében való bejelentkezéshez. Woodgrove egy ellenőrizhető hitelesítőadat-megoldást helyez üzembe, amely kezelhetőbb módot biztosít Alice számára a Woodgrove-nál való foglalkoztatásának igazolására. A Proseware elfogadja a Woodgrove által kiállított ellenőrizhető hitelesítő adatokat a foglalkoztatás igazolásaként, amely hozzáférést biztosít a vállalati kedvezményekhez a vállalati kedvezményprogram részeként.
Alice egy igazolható foglalkoztatási igazolást kér a Woodgrove Inc-től. Woodgrove Inc igazolja Alice identitását, és kiad egy aláírt ellenőrizhető hitelesítő adatot, amelyet Alice elfogadhat és tárolhat a digitális pénztárca alkalmazásban. Alice most már be tudja mutatni ezt az ellenőrizhető hitelesítő adatokat a Proseware webhelyen való foglalkoztatás igazolásaként. A sikeres hitelesítőadat-bemutató után Alice jogosult a Proseware-kedvezményekre. A tranzakció Alice pénztárcaalkalmazásában van naplózva. A naplóbejegyzések segítenek Alice-nek nyomon követni, hogy hol és kinek mutatta be az igazolható hitelesítő adatokat.
Szerepkörök ellenőrizhető hitelesítőadat-megoldásban
Az ellenőrizhető hitelesítőadat-megoldásban három elsődleges szereplő található. Az alábbi ábrán:
- Az 1. lépésben a felhasználó ellenőrizhető hitelesítő adatokat kér egy kiállítótól.
- A 2. lépésben a hitelesítő adatok kiállítója igazolja, hogy a felhasználó által megadott bizonyíték pontos, és létrehoz egy ellenőrizhető hitelesítő adatot, amely a DID-del van aláírva, és amelynek tárgya a felhasználó DID-je.
- A 3. lépésben a felhasználó aláír egy ellenőrizhető bemutatót (VP) a DID használatával, és elküldi azt a hitelesítőnek. A hitelesítő ezután a DPKI-ben elhelyezett nyilvános kulccsal való egyeztetéssel ellenőrzi a hitelesítő adatokat.
Ebben a forgatókönyvben a szerepkörök a következők:
Kibocsátó
A kibocsátó egy olyan szervezet, amely létrehoz egy kibocsátási megoldást, és információt kér a felhasználótól. Az adatok a felhasználó identitásának ellenőrzésére szolgálnak. A Woodgrove, Inc. például egy olyan kiállítási megoldással rendelkezik, amellyel ellenőrizhető hitelesítő adatokat hozhatnak létre és terjeszthetnek az összes alkalmazottjuk számára. Az alkalmazott az Authenticator alkalmazással jelentkezik be a felhasználónevével és jelszavával, amely egy azonosító jogkivonatot ad át a kiállító szolgáltatásnak. Miután a Woodgrove, Inc. érvényesíti az elküldött azonosító jogkivonatot, a kiállítási megoldás létrehoz egy VC-t (Verifikált Igazolást), amely tartalmazza az alkalmazottra vonatkozó jogcímeket, és a Woodgrove, Inc. DID-jével van aláírva. Az alkalmazott most már rendelkezik egy munkáltató által aláírt ellenőrizhető hitelesítő adattal, amely tartalmazza az alkalmazott DID-jét, mint alanyi DID-t.
Felhasználó
A felhasználó az a személy vagy entitás, aki VC-t kér. Például Alice egy új Woodgrove-alkalmazott, és korábban megkapta a foglalkoztatási igazolásra vonatkozó hitelesítő adatokat. Amikor Alice-nek igazolnia kell a foglalkoztatását egy kedvezmény érdekében a Proseware-nél, hozzáférést adhat az azonosító adatokhoz az Authenticator alkalmazásban azáltal, hogy aláír egy igazolható bemutatási dokumentumot, amely bizonyítja, hogy ő a DID tulajdonosa. A Proseware képes ellenőrizni a Woodgrove által kiadott hitelesítő adatokat, valamint azt, hogy Alice rendelkezik ellenőrizhető hitelesítő adatokkal.
Ellenőrző
A hitelesítő olyan vállalat vagy entitás, amelynek ellenőriznie kell egy vagy több megbízható kiállítótól származó állításokat. A Proseware például megbízik a Woodgrove, Inc. vállalatban abban, hogy megfelelően végzi az alkalmazottak személyazonosságának ellenőrzését és hiteles, érvényes hitelesítő bizonyítványok kiadását. Amikor Alice megpróbálja megrendelni a munkájához szükséges berendezéseket, a Proseware nyílt szabványokat használ, például Self-Issued OpenID-szolgáltatót (SIOP) és bemutató exchange-t, hogy hitelesítő adatokat kérjen a Felhasználótól, amely igazolja, hogy a Woodgrove, Inc. alkalmazottja. A Proseware például megadhat Alice-nek egy webhelyre mutató hivatkozást egy QR-kóddal, amit a telefon kamerájával vizsgál. Ez kezdeményezi egy adott VC kérését, amelyet az Authenticator elemezni fog, és lehetővé teszi Alice számára, hogy jóváhagyja a kérelmet, hogy bizonyítsa Proseware-nél való foglalkoztatását. A Proseware az ellenőrizhető hitelesítő adatok szolgáltatás API-jával vagy SDK-jával ellenőrizheti az ellenőrizhető bemutató hitelességét. Az Alice által biztosított információk alapján alice-nek kedvezményt adnak. Ha más vállalatok és szervezetek tudják, hogy a Woodgrove, Inc. hitelesítő adatokat ad ki az alkalmazottaiknak, akkor létrehozhatnak egy igazoló megoldást, és a Woodgrove, Inc. ellenőrizhető hitelesítő adatait felhasználva különleges ajánlatokat biztosíthatnak a Woodgrove, Inc. alkalmazottai számára.
Feljegyzés
A hitelesítő nyílt szabványok használatával végezheti el a bemutatót és az ellenőrzést, vagy konfigurálhatja a saját Microsoft Entra-bérlőt, hogy a Microsoft Entra Verified ID szolgáltatás végezze el a munka nagy részét.
Következő lépések
Most, hogy megismerkedett a DID-kkel és az ellenőrizhető hitelesítő adatokkal, próbálja ki őket saját maga az első lépésekről szóló cikkünkben vagy az egyik cikkünkben, amely részletesebben ismerteti az ellenőrizhető hitelesítő adatokkal kapcsolatos fogalmakat.