Ang mga digital na sertipiko na inisyu at naitala sa blockchain ay maaaring palitan ang umiiral na pampublikong-key na istruktura ng seguridad at mga secure na pagkakakilanlan at mga pakikipag-ugnayan sa totoong buhay. Ang Direktor ng Pananaliksik ng nChain na si Dr. Owen Vaughan ay nakipag-usap sa CoinGeek tungkol sa isang tool na binuo ng kanyang kumpanya upang ilabas at i-verify ang mga kredensyal na ito, na nagsasabing maaari nilang balang-araw ay "buuin ang mga batayan ng koneksyon, pakikipag-ugnayan at pagpapalitan sa Web3."
"Layunin namin sa nChain na pataasin ang seguridad at privacy ng makapangyarihang teknolohiyang ito," sabi niya.
Nagsalita si Dr. Vaughan sa paksa sa kamakailang pagtatanghal sa Philippines Securities and Exchange Commission (SEC) at naglathala ng maikling artikulo bilang bahagi ng isang serye sa mga teknolohiyang Web3 na binuo ng nChain. Bilang isang demonstrasyon, ginamit ng nChain ang tool nito para mag-isyu ng “certificate of appreciation” kay Dr. Vaughan para sa kaganapan sa Pilipinas. Ang sertipiko ay mabe-verify bilang wasto (o hindi) ng isang BSV blockchain na transaksyon, na may reference number at timestamp.
Ang lahat ay umaasa sa mga digital na sertipiko
Halos lahat ng tao sa mundo ay gumagamit ng mga digital na sertipiko—alam man nila ito o hindi. Ginagamit ang mga ito upang i-verify ang karamihan sa mga website; karamihan sa mga browser sa mga araw na ito ay babalaan ka kung ang isang site ay walang nito. Pinapadali nila ang e-commerce sa pamamagitan ng pag-encrypt ng mga komunikasyon sa pagitan ng mga user, hal., mga online na pagbabayad, pagbabangko, at pamimili. Bine-verify din nila na ang mga pag-download at pag-update ng software, mula sa mga pangunahing PC app hanggang sa mga namamahala sa mga kritikal na system, ay nagmula sa kanilang mga opisyal na developer at hindi mula sa isang hacker na naglulunsad ng "man-in-the-middle attack" sa pamamagitan ng pag-upo sa pagitan ng mga server at end user.
Ang mga sertipikong ito, na inisyu ng pinagkakatiwalaang "mga awtoridad sa sertipiko," ay isang halimbawa ng teknolohiya na nakakuha ng malawakan ngunit hindi nakikitang paggamit bilang "pagtutubero." Mahalaga ang mga ito para sa privacy at seguridad, ngunit karamihan sa mga ordinaryong user ay nananatiling nakakalimutan kung ginagamit ba nila ang mga ito o umiiral.
Sa kasalukuyan, ang isang awtoridad sa sertipiko (CA) ay gumagamit ng cryptographic na pampublikong susi na imprastraktura (PKI) upang mag-isyu ng isang digital na sertipiko at itali ang pampublikong susi nito sa pagkakakilanlan ng gumagamit nito.
Ang mga problema ay nagmumula sa katotohanan na ang mga CA ay sentralisado at kadalasang hindi transparent sa kanilang mga operasyon. Ano ang mangyayari kung nalabag ang sariling seguridad ng CA at kailangang bawiin ang isang sertipiko? (Nangyari na ito sa nakaraan; higit pa niyan mamaya). Sa nakalipas na mga taon, ang mga bagong proseso ng pag-log ay ipinatupad upang mapabuti ang mga oras ng pagtugon at magbigay ng higit na liwanag sa mga panloob na pamamaraan ng CA, ngunit ang mga ito ay masalimuot pa rin kumpara sa kung ano ang maaaring makamit ng isang blockchain-based na sistema.
Maaaring bawiin ng mga nag-isyu (CA) ang mga sertipiko sa mga batayan ng seguridad o para sa higit pang mga makamundong dahilan, tulad ng isang sertipiko na hindi na kailangan. Upang ma-verify kung ang isang digital na sertipiko ay kasalukuyang wasto o hindi, kinakailangang tanungin ang nagbigay, na sinabi ni Dr. Vaughan na nagpapakilala ng isang teknikal na overhead at pagkawala ng privacy.
"Ang tool (nChain's) ay hindi nagsasangkot ng mga cryptographic na lagda, at sa gayon ay iniiwasan namin ang pagiging kumplikado ng mga organisasyon na nagiging opisyal na awtoridad ng sertipiko sa isang PKI," sabi ni Dr. Vaughan. "Gayunpaman, ang pagpapalabas at pagbawi ng sertipiko ay naitala sa blockchain, na nagbibigay ng pinahusay na antas ng integridad."
Idinagdag niya na ang pinagbabatayan na teknolohiya ay maaaring gawing cryptographically secure kung ang isang organisasyon ay handa na maging isang awtoridad ng sertipiko.
“Naniniwala kami na ang mga hierarchies ng trust na ito ay magiging mas mahalaga sa Web3. Hindi namin iniisip ang isang 'walang tiwala' na kapaligiran. Sa halip, magagamit ang aming tool upang pahusayin ang tiwala na mayroon kami sa mga organisasyon at dagdagan ang privacy. Halimbawa, hindi na namin kailangang umasa sa pamamahala sa mga listahan ng pagbawi ng certificate na pinamamahalaan ng maraming root CA."
Ang tool ng nChain ay gumagamit ng mga transaksyon sa blockchain upang mag-isyu at mag-revoke ng mga sertipiko. Nangangahulugan ito na ang pagsuri sa kanilang validity ay kasing simple ng pag-verify kung may transaksyon o wala. Tulad ng ibang blockchain records, ang certificate data mismo ay hindi on-chain, isang plaintext string lang na nagbe-verify kung valid ang certificate. Nag-aalok ito ng malalaking pakinabang sa privacy—maaaring ayaw ng mga issuer at user na maging pampubliko ang mga detalye o dahilan ng certificate. Maaaring ayaw ng mga nagve-verify na certificate na malaman ng issuer o ng subject na sinusuri nila.
Ito ay tiwala sa blockchain mismo bilang isang "pangkalahatang pinagmumulan ng katotohanan" na ginagawang secure ang mga talaan ng sertipiko. Ginagawa rin nitong mas maraming nalalaman ang mga ito: maaaring gamitin ang mga certificate hindi lamang sa mga online na pakikipag-ugnayan, ngunit upang i-verify ang mga katotohanan sa totoong buhay. Pag-uusapan natin ang mga iyon sa ilang sandali, ngunit una, tingnan natin kung ano ang nangyayari sa mga certificate at CA ngayon kapag nagkamali.
Ang kilalang DigiNotar
Ang sinumang sumunod sa gawa ni Dr. Craig S. Wright ay pamilyar sa pangalang DigiNotar, dahil madalas niyang binabanggit ito. Ang DigiNotar ay isang Dutch certificate authority na nawala sa negosyo matapos makaranas ng paglabag noong 2011. Ang pagsasamantala ay nagbigay-daan sa hindi kilalang mga third party na mag-isyu ng mga certificate sa mga pangalan ng mga kliyente ng DigiNotar, na kinabibilangan ng malalaking pangalan tulad ng Mozilla, Google (NASDAQ: GOOGL), Yahoo! , WordPress, The Tor Project, at ang Dutch Government.
Mas maaga sa parehong taon, iniulat ng Comodo Security Solutions, Inc. (na kilala ngayon bilang Xcitium) na ang isang user account sa isa sa mga awtoridad sa pagpaparehistro ng kaakibat nito ay dumanas ng paglabag, na humantong sa siyam na mapanlinlang na sertipiko sa pitong web domain.
Ang "Iranian hackers" ay na-finger para sa mga pagsasamantala ng DigiNotar at Comodo (bagama't, tulad ng maraming iba pang mga hack, maaari rin itong isang tao na sadyang nagdulot sa kanila na magmukhang responsable). Ang pangunahing punto dito, gayunpaman, ay ang tugon sa mga insidente sa halip na kung sino ang may pananagutan. Kapag natuklasan na ang mga pagsasamantala, nasa mga kumpanyang gumagawa ng software na nagbe-verify ng mga sertipiko (ibig sabihin, mga web browser) upang magpadala ng mga alerto at mag-isyu ng mga update sa seguridad, na kailangang i-install ng mga user.
Ang lahat ng ito ay nangangailangan ng oras, siyempre, at walang mga garantiya na ang bawat end-user ay mag-a-update ng kanilang software bago maapektuhan. Binatikos din ang DigiNotar dahil sa pagkaantala nito sa pag-anunsyo tungkol sa mga mapanlinlang na sertipiko at hindi nito natiyak na binawi nito ang lahat ng nakompromisong sertipiko. Pinili ng Mozilla at Microsoft (NASDAQ: MSFT) na bawiin ang root certificate ng DigiNotar mula sa kanilang mga browser upang maging ligtas, na binawi ang anumang certificate na ibinigay ng DigiNotar sa loob ng 13 taon nitong negosyo. Naturally, ito ay nagdulot ng mas maraming pagkagambala sa maraming tao kaysa sa nararapat.
Ang aral na dapat nating natutunan mula sa mga insidenteng ito ay, sa pinakamababa, na dapat mayroong mas mabilis at mas awtomatikong mga paraan upang mag-isyu ng mga alerto at pagpapawalang-bisa ng sertipiko. Ang mga instant na alerto at tugon ay magiging mas mahusay. Ang kakayahang mag-query ng mga blockchain node (na posible kahit ngayon) nang awtomatiko at makakuha ng mga agarang sagot sa validity ng certificate, makatipid ng oras at pera para sa mga kasangkot sa proseso, at sinumang iba pang apektado nito sa linya.
Mga kapaki-pakinabang na digital na sertipiko online at sa totoong buhay
Ang pagpayag sa anumang organisasyon na mag-isyu ng mga certificate na nakabatay sa blockchain (kung sila ay isang awtorisadong CA o hindi) ay may mas malawak na implikasyon, hindi lamang online. Ang isang mabilis, mura, at nasusukat na blockchain tulad ng BSV blockchain ay maaaring suportahan ang 9,000 na pag-isyu ng sertipiko, pagbawi, o pag-update bawat segundo. Kahit sino ay maaaring mag-query ng mga rekord ng blockchain upang suriin ang kasalukuyang bisa.
Maaaring bawiin ng mga nag-isyu ang mga indibidwal na sertipiko na may iisang transaksyon. Ang isang nakompromisong tagabigay ay hindi kailangang magresulta sa pagbawi ng bawat sertipiko na kanilang naibigay dahil ang mga talaan ng pagpapalabas ay timestamped. Maaari itong matukoy kung ang isang sertipiko ay inisyu bago naganap ang isang paglabag o hindi, na nagpapahintulot sa mga hindi naapektuhang sertipiko na manatiling wasto.
Ang matinding pagbawas sa gastos at kahusayan na ito ay nangangahulugan na ang mas malawak na iba't ibang mga organisasyon ay maaaring mag-isyu/magbawi ng mga digital na sertipiko—kabilang ang karamihan sa mga kumpanya at departamento ng gobyerno, unibersidad at kolehiyo, o pribadong club.
"Ang tool ay magpapahintulot sa anumang organisasyon na mag-isyu ng mga sertipiko sa kanilang mga gumagamit," sabi ni Dr. Vaughan. "Ito ay maaaring isang akademya na nagbibigay ng mga sertipiko ng pagkumpleto ng kurso, maaaring ito ay isang tagapag-empleyo na nag-isyu ng isang sertipiko ng katayuan sa pagtatrabaho, o maaaring ito ay isang departamento ng gobyerno na nag-isyu ng isang permit."
Para sa halimbawa ng kasalukuyang katayuan ng isang empleyado, maaaring suriin ng isang bagong potensyal na tagapag-empleyo kung ang kanilang kinakapanayam ay nagsasabi ng totoo sa pamamagitan ng pag-verify ng isang sertipiko na nagdedetalye ng kanilang katayuan sa pagtatrabaho nang hindi nalalaman ng kandidato o ng kanilang kasalukuyang employer. Posibleng i-verify ang membership ng ilang eksklusibong organisasyon, gaya ng club o political entity, nang hindi ibinubunyag sa publiko ang organisasyon o mga miyembro nito. Gaya ng nabanggit dati, maaaring mag-isyu ang mga unibersidad ng mga certificate na ito para gumawa ng mga secure na digital record ng mga degree at iba pang kwalipikasyon, na nagpapatunay na nakuha ng isang tao ang mga kredensyal na inaangkin nilang mayroon.
Kung paanong ang mga PKI-based na CA at mga digital na sertipiko ngayon ay nagpapatunay ng mga pagkakakilanlan at tiwala sa internet, ang mas mahusay na solusyon ng blockchain (gamit ang mga tool ng nChain o iba pang katulad nito) ay maaaring palawakin ang kanilang pagiging kapaki-pakinabang sa kabila ng online na mundo. Ginagawa nito ito sa parehong paraan na pinapabuti ng isang tunay na nasusukat na blockchain ang maraming iba pang mga proseso—sa pamamagitan ng paggawa ng mga ito nang mas mabilis, mas mura, at mas naa-access sa lahat.
Ang pagtatanghal ni Dr. Vaughan ay batay sa isang research paper na pinamagatang “A Scalable Bitcoin-based Public Key Certificate Management System” nina Chloe Tartan, Craig Wright, Michaella Pettit, at Wei Zhang.
Panoorin: Ang Bitcoin tech ay tungkol sa pagpapalabas ng potensyal para sa maliliit na tao
Bago sa blockchain? Tingnan ang seksyong Blockchain para sa Mga Nagsisimula ng CoinGeek, ang pinakahuling mapagkukunang gabay upang matuto nang higit pa tungkol sa teknolohiya ng blockchain.
Pinagmulan: https://coingeek.com/blockchain-digital-certificates-can-make-interactions-more-secure-in-web3-and-real-life/