Ehsun Ahmadi
March 11, 2025

Kanıt Protokolde:

Kullanıcı Odaklı Kimlik Geleceği İçin Plan

Insights That Drive Secure Communication Forward

Filozoflar genellikle kimliği kişisel deneyimlerle şekillendirilen akışkan olarak görürken, kurumlar onu sabit, belgeler veya veritabanları tarafından sabitlenmiş olarak ele alır. Yine de bu zıt görüşlere rağmen, kimlik her zaman çok önemli olmuştur çünkü erişimi belirler. Mülkiyet, fırsatlar veya toplumsal aidiyet hakkında konuşuyor olsak da, kimlik girişi sağlayan veya reddeden anahtardır.

Kimliğin önemi, silindir mühürlerinin sözleşmeleri ve mülkiyet haklarını doğrulamak için resmi bir damga görevi gördüğü antik Mezopotamya'ya (MÖ 3500 civarında) kadar uzanabilir. Yüksek rütbeli Mısırlılar daha sonra kraliyet kararnamelerini doğrulamak için kişiselleştirilmiş hiyerogliflere sahip mühür halkaları benimsediler. Roma İmparatorluğu döneminde vatandaşlar statülerini kanıtlamak için belgeler taşıdılar ve zengin Romalılar doğrulama için balmumu mühürlerini kabartmak için yüzükler kullandılar. Ortaçağ Avrupa'sında, görkemli yasalar kıyafetleri sosyal rütbenin açık bir göstergesi haline getirdi. 15. yüzyılda, Kral V. Henry'nin resmi pasaportları seyahat belgelerini daha da standartlaştırdı. Bu tarihsel kilometre taşları, mühürler, yüzükler veya devlet destekli kimlik bilgileri yoluyla kimliğe güven sağlamaya yönelik devam eden girişimleri yansıtıyor.

19. ve 20. yüzyılın başlarında, hükümetler kağıt tabanlı pasaportları ve doğum belgelerini standartlaştırdı. Bu, sınırlardaki kaosu azalttı ve yöntem kusurlu olmasına rağmen kayıt tutmaya yardımcı oldu: belgeler kolayca kayboldu, çalındı veya sahte oldu. Dijital çağ, daha hızlı veri doğrulama yoluyla bazı sorunları çözdü, ancak yeni sorunlar getirdi. Veriler artık minimum çabayla kopyalanabilir veya değiştirilebilir. İhlaller çoğaldı ve kötü niyetli aktörler dijital ortamdan yararlandı.

Dijital sistemler ilerledikçe, kimliği korumak için kriptografik yöntemler de gelişti. Temel şifrelemeden modern tekniklere sıfır bilgi kanıtları ve güvenli çok taraflı hesaplama, temel hedef aynı kalır: her zamankinden daha güçlü güven gerektiren sınırsız bir çevrimiçi dünyada özgünlüğü sağlamak.

Dijital Çağın Yeni Zorlukları

Çevrimiçi hizmetler kimlik doğrulamasının risklerini artırdı. E-posta onayları, CAPTCHA'lar, çok faktörlü girişler ve biyometrik taramalar dolandırıcılığa karşı koymayı amaçlar. Bu önlemler birçok kötü aktörü engellese de, kullanıcıların paylaşması gereken verileri (telefon numaraları, parmak izleri veya yüz desenleri) çoğaltır ve bu da gizlilik ve mülkiyet tartışmalarını tetikler. Dahası, kişisel bilgilerin sayısız sunucuda depolanması, bir kullanıcının kimliğini platformlar arasında parçalar. Tek bir sunucu ihlal edildiğinde, özel veriler açığa çıkar; tüm mimari, kullanıcı kayıtlarını korumak için her üçüncü taraf aracıya güvenmeye bağlıdır.

Modern bir alternatif, verileri mümkün olduğunca yerel tutmak ve yalnızca bir hizmetin kesinlikle ihtiyaç duyduğu şeyleri açıklamaktır. Bu yaklaşım, her hesabın “merkezi bir veritabanında bir sıra” olduğu fikrini aşıyor ve bunun yerine bireylerin tam kimlik verilerini teslim etmeden belirli gerçekleri (örneğin yaş, vatandaşlık) kanıtlayabilecekleri bir sistem öngörüyor.

Mevcut Dijital Kimlik Sistemleri ve Gelişen Teknolojilerin Gözden Geçirilmesi

Kimlik doğrulaması bir zamanlar sadece fiziksel belgelerle ilgili olsa da, şimdi karmaşık dijital altyapıya dayanıyor. Aşağıda, her biri güçlü yönleri, sınırlamaları ve gelecekteki yönleri ortaya çıkaran dikkate değer ulusal sistemler ve yenilikler bulunmaktadır.

Estonya

Genel Bakış

Estonya'nın dijital kimliği, e-yönetişimin merkezinde yer alır. Vatandaşlar, kamu ve özel hizmetlerde güvenli dijital imzalar sağlayan PKI tarafından desteklenen bir elektronik kimlik kartı alırlar.

Güçlü yönleri

  • Sağlam şifreleme ve güvenlik
  • Devlet hizmetleri genelinde sorunsuz entegrasyon
  • Kullanıcı dostu dijital imzalar ve birlikte çalışabilirlik

Zayıf yönleri

  • Merkezi tasarım tek bir arıza noktası oluşturabilir
  • Estonya'nın ekosistemine uyarlanmış; uluslararası olarak çoğaltılması zor

Entegrasyon Notu: Estonya da istihdama yapıyor X-Yolu veri alışverişi için, eşler arası ağ geçitleri aracılığıyla birden fazla ajansı bağlamak. Bu, her kurumun verilerinin doğrudan kontrolünü elinde tutmasını sağlayarak güvenliği ve birlikte çalışabilirliği geliştirir, ancak yine de sertifika yönetimi için merkezi bir çerçeveye güvenir.

Hindistan

Genel Bakış

Aadhaar, her sakini biyometrik verilere (parmak izleri, iris taramaları) bağlı 12 basamaklı bir numara atar. Bu, büyük ölçekli sosyal fayda dağıtımını ve bankacılık erişimini kolaylaştırır.

Güçlü yönleri

  • Muazzum kapsam ve benimseme
  • Temel hizmetlere kolaylaştırılmış erişim

Zayıf yönleri

  • Büyük bir merkezi veritabanı gizlilik ve güvenlik riskleri doğurur
  • Kayda değer ihlaller kamuoyunda tartışmayı kışkırttı

ZKP Girişimi: Hindistan keşfediyor sıfır bilgi kanıtları kişisel Aadhaar ayrıntılarını ifşa etmeden belirli nitelikleri (yaş gibi) doğrulamak için. Son pilotlar, potansiyel gizlilik geliştirmelerinin bir işareti olan minimum açıklamayı ele almak için kriptografik belirteçleri ve ZKP protokollerini kullanıyor.

Tayvan

Genel Bakış

Tayvan'ın Vatandaş Dijital Sertifikası, e-devlet için güçlü kimlik doğrulama sunan bir Ulusal Kimlik kartına gömülüdür.

Güçlü yönleri

  • Devlet platformlarıyla etkili entegrasyon
  • Güvenilir, standartlaştırılmış doğrulama protokolleri

Zayıf yönleri

  • Fiziksel kart okuyucuları gerektirir, mobil uyumlu dağıtımı engeller
  • Yeni dijital taleplere sınırlı uyum

Çin

Genel Bakış

Çin'in Yerleşik Kimlik Kartı, Sosyal Kredi Sistemi ile birleştiğinde, geniş kapsamlı bir kimlik çerçevesi uygular.

Güçlü yönleri

  • Kapsamlı servis entegrasyonu
  • Yüksek verimli merkezi yönetim

Zayıf yönleri

  • Potansiyel gözetim nedeniyle artan gizlilik endişeleri
  • Daha katı küresel gizlilik normlarıyla kolayca birlikte çalışamaz

Sistemler Arasında Paylaşılan Özellikler

  • Merkezi Yönetim: Tek, birleşik bir hizmet, politika uygulamalarını kolaylaştırır, ancak aynı zamanda potansiyel bir merkezi ihlal noktası oluşturur.
  • Benzersiz Tanımlayıcılar: İster sayısal kimlik ister sertifika olsun, her sistem bir kişiye benzersiz bir referans sağlar.
  • Sıkı Servis Entegrasyonu: Derinlemesine gömülü hizmetler kolaylık sağlar, ancak standartlar farklılık gösterirse sınır ötesi birlikte çalışabilirliği engeller.
  • Gizlilik-Güvenlik Takasları: Yüksek güvenlik genellikle şifrelemeden kaynaklanır, ancak merkezi veri toplama nedeniyle kullanıcı gizliliği zarar görebilir.

Sağlam Dijital Kimlik Sisteminin Bileşenleri

Bu gözlemlere dayanarak, güvenlik, gizlilik ve kullanılabilirliği dengelerken bireylerin, kuruluşların ve hükümetlerin ihtiyaçlarını karşılayan bir çerçeve öneriyoruz.

Bireyler İçin

  • Öz-Egemen Kimlik (SSI): Kullanıcılar, hangi niteliklerin ifşa edileceğine karar vererek kişisel verilerini tutar ve kontrol eder.
  • Seçici Açıklama: Sıfır bilgi ispatları (ZKP'ler) kullanıcıların doğum tarihini paylaşmadan “18 yaş üstü” gibi gerçekleri kanıtlamasına izin verin.
  • Kullanıcı Dostu Araçlar: Cihazlar arasında sorunsuz kayıt ve kimlik doğrulama akışı.

Kuruluşlar için

  • Doğrulanabilir Kimlik Bilgileri (VC)Saygın yetkililer tarafından verilen ve kullanıcılar tarafından saklanan bu kimlik bilgileri, ham kişisel verilere olan güveni azaltır.
  • Entegrasyon esnekliği: API'ler veya SDK'ler, kullanıcı verilerini harici sunucularda depolamadan üçüncü taraf doğrulamasına izin vermelidir.

Hükümetler için

  • Mevzuata Uygunluk: Sistemler ile uyumlu olmalıdır GDPR, eIDAS, ve vatandaş haklarını korumak için diğer standartlar.
  • Ölçeklenebilir Altyapı: Milyonlarca aktif kullanıcıyı minimum gecikmeyle ele almalıdır.
  • Birlikte çalışabilirlik: Tanınmış sertifikalar ve ortak teknik standartlar aracılığıyla sınır ötesi güveni teşvik edin.

ZKP'nin Tarihsel Örneği ve Uyduğu Yer

Tarihsel yayı fiziksel mühürlerden dijital kimliklere kadar izledik. Bir sonraki evrim, ham bilgileri açığa çıkarmadan iddiaları kriptografik olarak kanıtlamaktır. Sıfır Bilgi Kanıtları (ZKP'ler) 1980'lerde kriptografik araştırmalardan ortaya çıktı. İlk protokoller teorikti, ancak bilgi işlem gücü ve algoritmalardaki gelişmeler ZKP'leri pratik hale getirdi. Artık bir kullanıcının, başka hiçbir şeyi ortaya çıkarmayan bir şifreleme ifadesi oluşturarak, örneğin “Hesap açacak kadar yaşlıyım” onaylamasına izin veriyorlar.

Hindistan'dan Aadhaar'dan Örnek

Aadhaar, çevrimdışı e-KYC ve “ZKP belirteçlerini” test etti, böylece bir birey tam Aadhaar verilerini açığa çıkarmadan yaşını veya bölgeyi kanıtlayabilir. Bu kısmi benimseme, yüksek oranda merkezi sistemlerin bile, seçici açıklamaya doğru bir adım olan mevcut veritabanları üzerine ZKP'leri katmanlayarak gizlilik ekleyebileceğini göstermektedir.

ZKP tabanlı doğrulama, tek bir büyük veritabanına bağımlılığı ortadan kaldırmak için kullanıcı tarafından tutulan kimlik bilgileriyle birleştirilebilir, böylece ihlal riskini azaltır ve gizliliği korur.

Yeni Nesil Erişim Denetimlerine Geçiş

Paralel bir ders Makine tarafından okunabilen elektronik seyahat belgeleri (eMRTDS) Modern e-pasaportlar gibi. Bunlar içerir NFC kişisel verileri ve biyometrik bilgileri depolayan çipler. Güvenlik şunlara dayanır:

  • Temel Erişim Kontrolü (BAC): Anahtar türetmesinin bir parçası olarak MRZ'yi (belge numarası, doğum tarihi, son kullanma tarihi) kullanarak pasaport verilerini şifreler.
  • Parola Kimliği Doğrulanmış Bağlantı Kurma (PACE): Daha güçlü şifreleme için AES ve Diffie-Hellman kullanan daha sağlam bir yükseltme.

Güvenli bir mesajlaşma kanalı başarıyla doğrulandıktan sonra DG1 (metin ayrıntıları) ve DG2 (pasaport fotoğrafı) gibi pasaport verilerini dinleme riski olmadan aktarır. Bu yaklaşım, değerinin altını çiziyor çok katmanlı kriptografik koruma ve dijital olarak imzalanmış kayıtlar (EF.SOD) aracılığıyla güven zinciri doğrulaması. Gelecekteki dijital kimlik sistemleri, fiziksel kullanıcı izni gerektirecek (NFC çipini tararken olduğu gibi) ve aktarım halindeki veriler için sağlam şifreleme kullanarak e-pasaportları taklit edebilir.

Önerilen Dijital Kimlik Sistemi

Bir müşterinin kimliğini doğrulaması gereken bir fintech veya çevrimiçi bir pazar yeri düşünün. Kişisel bilgileri merkezi bir veritabanında toplamak ve saklamak yerine, platform bir ile entegre olabilir kullanıcı merkezli kimlik hizmeti:

  1. Yerel Pasaport Alımı
    1. Kullanıcı, uygulamamızı kullanarak pasaportunu tarar ve MRZ'den anahtar verileri okur.
    2. Sahibinin adı ve doğum tarihi de dahil olmak üzere bu veriler şifrelenir ve cihazın güvenli yerleşim bölgesinde saklanır.değil uzak bir sunucuda.
  2. Sıfır Bilgi ile Seçici Açıklama
    1. Doğrulama gerektiğinde (örneğin, yaş kontrolü), kullanıcının cihazı bir ZKYP kriteri karşıladıklarını belirtmek (örneğin 18'in üzerinde).
    2. Kanıt “Yeterince yaşlıyım” diyor ama yapmaz tüm doğum tarihini veya kimliğini ortaya çıkarın.
  3. Basitleştirilmiş Üçüncü Taraf Tümleştirme
    1. Üçüncü bir taraf bu kanıtı bir SDK aracılığıyla alır ve ham kullanıcı verilerine doğrudan erişim olmadan orijinalliğini doğrular.
    2. Bu, platform asla ham pasaportları veya kişisel bilgileri işlemediğinden uyumluluk yükünü azaltır.
  4. İsteğe Bağlı Biyometrik Eşleştirme
    1. Ek bir önlem olarak, güvenilir algoritmalar mevcutsa yerel bir selfie-pasaport görüntüsü eşleşmesi sunabiliriz.
    2. Bu adım cihaz yerel olarak kalır ve kullanıcının biyometrik verilerini merkezi maruz kalmaya karşı korur.

Bu model hem kullanıcı gizliliğini hem de servis sağlayıcıyı korur. Kullanıcı açıklamayı kontrol eder ve kuruluşlar kişisel verileri saklama sorumluluğundan kaçınırken kriptografik kanıtlara güvenebilir.

Temel Kurtarma ve Pratik Endişeleri Ele Almak

Pratik bir engel anahtar yönetimi. Merkezi olmayan bir çözümde, her kullanıcı kişisel bir cihazda şifreleme anahtarları tutar. Cihaz kaybolursa veya anahtarlar tehlikeye girerse, kimliğe erişilemeyebilir. Yaklaşımlar şunları içerir:

  • Şifreli Bulut Yedekleri: Kullanıcının özel anahtarı şifrelenir ve bir bulut hizmetinde bir parola ile saklanır. Cihaz kaybolursa, anahtarın yeniden indirilmesi ve şifresinin çözülmesi erişimi geri yükleyebilir.
  • Sosyal Kurtarma: Güvenilir “koruyucular” anahtarlarını kaybeden bir kullanıcı için toplu olarak kefil olabilir ve anahtarın döndürülmesine izin verebilir.
  • Biyometrik Yeniden Düzenleme: Worldcoin gibi projeler, yeni bir kimlik bilgisi vermek için benzersiz bir biyometrik (iris) ile kimliği yeniden doğrular. Bu uygun olabilir, ancak sıfırlamaları denetlemek için merkezi bir otoriteye güvenmeyi gerektirir.

Odaklanmamıza rağmen ZKP'ler Sistemimizde çok taraflı hesaplamadan ziyade, tek bir çözümün tüm güvenlik açıklarını ortadan kaldırmadığını kabul ediyoruz. Amaç, mükemmelliği garanti etmek değil, veri maruziyetini en aza indirmektir. Tasarımımız, kullanıcı kontrolü ile pratik güvenlik arasında bir denge sağlayan katmanlı şifreleme, düşünceli kullanıcı akışları ve sağlam kurtarma mekanizmaları içerir.

Gerçek Dünya Sistemleriyle Karşılaştırma

  • Estonya'nın e-Kimliği: Akıllı kartlara, devlet PKI'sine ve X-Yolu birlikte çalışabilirlik çerçevesi. Bu merkezi yaklaşım ulusal ölçekte kanıtlanmıştır. Sistemimiz son kullanıcılara daha fazla kontrol aktarıyor ve seçici açıklamayı vurgular, ancak Estonya'nın hükümet ve kurumsal hizmetler arasındaki sorunsuz entegrasyonundan öğrenebiliriz.
  • Hindistan'ın Aadhaar: Başlangıçta merkezi bir biyometrik veritabanı olan Aadhaar, yaş ve çevrimdışı e-KYC için ZKP'leri deniyor. Yaklaşımımız, yerel veri kontrolüne kısmi geçiş ve minimum ifşa ile uyumludur, ancak büyük bir merkezi depoda bulunan tek bir başarısızlık noktasını önler.
  • Öz-Egemen Kimlik (SSI): Gelişmekte olan çerçeveler (Hyperledger Indy, Microsoft'un ION, vb.) Ayrıca kullanıcı kontrollü kimlik bilgilerine, W3C DID'lere ve doğrulanabilir kimlik bilgilerine dayanır. Aynı şekilde DID'ler ve seçici açıklama kullanıyoruz, ancak sistemi basit tutmak için çok taraflı hesaplamadan bahsetmeyi en aza indiriyoruz. Farklılığımız, özellik onayı için cihaz üzerindeki pasaport verilerine ve ZKP'lere odaklanmaktır.

Mevzuat ve Uyumluluk Anlık Görüntüsü

Biz arıyoruz GDPR kullanıcılara kişisel veriler üzerinde kontrol sağlayarak, minimum açıklama sağlayarak ve süresiz sunucu depolamasından kaçınarak hizalama. “Unutulma hakkı” gibi potansiyel tuzaklar, kişisel verilerin silinebilmesi için zincir dışı veri depolama ve geçici kanıtlar gerektirir. Bu arada, eIDAS 2.0 AB'de, pan-Avrupa dijital cüzdanı ile kendi kendini egemenlik ilkelerini desteklemektedir. Sistemimizin DID kullanımı ve doğrulanabilir kimlik bilgileri bu yöne uygundur. Ayrıca, tam kimlik verilerinin gereksiz olduğu durumlarda uyumluluk sağlayarak hassas öznitelik paylaşımını sağlayarak yerel yasalara (CCPA, sektöre özgü KYC) dikkat ediyoruz. Resmi devlet kimlikleri için kullanılırsa uygulama detayları daha fazla sertifika gerektirebilir, ancak mimarimiz bu standartları minimum veri saklama ile karşılayacak kadar esnektir.

Sonuç

Fiziksel mühürlerden dijitalleştirilmiş kimlik bilgilerine kadar kimlik doğrulama geçmişini izledik ve her çağın nasıl çözümler ve güvenlik açıklarını sunduğunu not ettik. Modern talepler, birlikte güçlü güvenlik ve gizlilik gerektirir; bu, verileri kullanıcının elinde tutarak ve daha sonra kullanarak en iyi şekilde elde edileceğine inandığımız bir şey sıfır bilgi kanıtları Aşırı maruz kalmadan gerekli gerçekleri göstermek.

Önerilen sistemimiz sağlam kriptografik yöntemler, yerelleştirilmiş veri depolama ve kullanıcı dostu arayüzler üzerine kuruludur. E-pasaportlardan (güvenli mesajlaşma, fiziksel kullanıcı izni) ve Estonya'nın X-Road entegrasyonu veya Aadhaar'ın kısmi ZKP'yi benimsemesi gibi mevcut çerçevelerden kanıtlanmış derslere atıfta bulunuyor. Bu unsurları birleştirerek güvenli, gizliliği koruyan ve esnek bir dijital kimlik hizmeti sunmayı hedefliyoruz.

Hiçbir tasarım saldırılara karşı mutlak bağışıklık vaat edemese de, cihaz üzerindeki pasaport verileri, kriptografik olarak zorunlu seçici ifşa, isteğe bağlı biyometrik kontroller ve tanınmış standartlarla uyum gibi katmanlı yaklaşımımız en büyük tehditleri hafifletir. Anahtar kurtarma konusundan bahsetmemiz gerekli bir güvenliğin altını çiziyor: kullanıcılar cihazları veya kimlik bilgilerini kaybederse, yedek mekanizmalar merkezi veri istifleme olmadan erişimi geri yükler.

Bu sistemi geliştirirken, uyumluluk (GDPR, eIDAS) ve ileri teknolojilerin gelecekteki potansiyeline dikkat ediyoruz. Sıfır Bilgi Makine Öğrenimi (ZKML), Güvenilir Yürütme Ortamları (TEE'ler), ve blok zinciri tabanlı kimlik katmanları. Nihai hedefimiz, kullanıcıların verilerine sahip olmalarını sağlayan, hizmet sağlayıcılar arasında güveni artıran ve gelişen yasal ve teknik ortamlara zarif bir şekilde uyum sağlayan sorunsuz ama güvenli bir deneyimdir.

Tarihsel bilgeliği son teknoloji kriptografi ile birleştirerek, güçlü koruma, minimum veri işleme ve pratik birlikte çalışabilirlik vaat eden bir dijital kimlik planı sunuyoruz - yarının çevrimiçi toplumunun taleplerine hizmet etmeye hazır bir yaklaşım.

Related Essays

All Essays
June 23, 2024

Sıfır Bilgi kanıtları

Web3'ün temel ilkelerinden biri olan şeffaflık, aynı zamanda en büyük dezavantajlarından biri olabilir. Kimse finansal işlemlerden kişisel kimlik verilerine kadar tüm çevrimiçi faaliyetlerinin herkesin görmesi için herkese açık olmasını istemez. Blok zincirlerinin ölçeklendirilmesi ve daha erişilebilir hale gelmesi için gizliliğin bir öncelik olması gerekir.

Read this essay