В первой части публикации рассказывается о том, как Кристофер Аллен задумал создать новый децентраизованный безопасный интернет, придумал название Self-Sovereign Identity (SSI) и в 2016 году начертал на скрижалях десять заповедей SSI. Что же было дальше…

Дальше Аллен организовал упомянутые в первой части проектные мастерские RWOT (Rebooting the Web of Trust), которые стремительно росли и размножались. Мастерские RWOT просуществовали до прошлого года, когда их встреча в Калифорнии, назначенная на август, была отменена по неизвестной мне причине (мой друг Клод тоже не знает). 

На опыте этой подвижной и эффективной организации для производства спецификаций в 2019 году Кристофер Аллен создает некоммерческую организацию Blockchain Commons (BC) для создания открытой цифровой инфраструктуры, поддерживающей сформулированные Алленом принципы. Он назвал эти принципы «гордиевыми», подчеркивая, что не намерен заниматься распутыванием понятийных узлов, навязанных до него. В основе всех решений BC лежит «Гордиева архитектура», основанная на этих принципах — независимости, приватности, выживаемости (resilence) и открытости.

Уже само название этой организации очень выразительно. Напомню, что commons в Англии 13 века — это общинные пастбища, вообще угодья, включая реки, леса и даже торфяники. Несмотря на то, что в Англии эта прекрасная идея закончилась «трагедией общинных ресурсов» (огораживания и все такое), плохо то есть закончилась, Кристофер Аллен продолжает верить в потенциал общего дела, использующего общие ресурсы.

Гордиева Архитектура

Архитектура формируется спецификациями ее составных частей. Я не ставил своей целью подробный рассказ о разработках Blockchain Commons, поэтому приведу только яркие примеры их подхода, демонстрирующие применение общих «гордиевых принципов». Более подробна «Гордиева архитектура» и некоторые ее составляющие будут описаны в следующей публикации.

Вот два примера, две ключевые спецификации Гордиевой архитектуры из ее ядра (Core Stack).

Вклад Blockchain Commons в dCBOR: Детерминистический CBOR

Blockchain Commons работала с сообществом IETF CBOR для разработки официальной спецификации dCBOR, которая теперь считается готовой к производству. Спецификация была реализована несколькими третьими сторонами и широко обсуждена в рабочей группе IETF CBOR.

Blockchain Commons не изобрела CBOR, но решила критическую проблему неопределенности в его детерминистском использовании. Они создали четкие правила, практические реализации и довели вопрос до стандартизации в IETF. Это типичный пример того, как Blockchain Commons работает: берут существующий стандарт, находят пробелы для практического использования и заполняют их качественными открытыми решениями.

Совместное восстановление ключей (CSR)

Рискуя сделать эту публикацию непомерно длинной, приведу еще один пример успешной разработки Blockchain Commons. 

Этот блок своей «Гордиевой архитектуры» они называют CSR (Collaborative Seed Recovery) — cовместное восстановление ключей. Seed, оно же random seed, здесь в криптографическом смысле — это начальное значение, необходимое для работы генераторов истинно случайных чисел. Такие числа используются для создания криптографических ключей, паролей и других элементов, обеспечивающих безопасность данных. Легко видеть, что в составе ядра «Гордиевой архитектуры» есть спецификация Entropy, которая относится к такому порождению начального значения.

CSR — это только первый шаг к еще более продвинутой системе Collaborative Key Management (CKM), которая реализует не только распределённое хранение ключей, но и их распределённое использование. В будущем ваш ключ вообще никогда не будет собираться в одном месте — даже при использовании части ключа будут работать совместно, не раскрывая полный ключ. Таким образом, CSR решает одну из главных проблем криптовалют — как не потерять доступ к своим деньгам, при этом сохраняя полный контроль над ними.

Blockchain Commons сознательно выбрала модель "открытых общих благ" (commons), где авторство защищается через признание сообщества, временной приоритет и техническое лидерство, а не через патенты. Это стратегически оправданно для некоммерческой организации, стремящейся к созданию инфраструктуры общего пользования.

Промежуточные итоги

Я привел эти конкретные примеры вклада Кристофера Аллена и созданных им организаций для того, чтобы никто не принял его за очередного «кокотайлу, писателя манифестов». Этот человек много и успешно работал руками и головой. Его активизм и идеи поддержки общественного блага естественным образом произрастают из того, что он делал профессионально.

До сих пор все шло прекрасно, дальше было уже не так безоблачно.

Пять лет спустя после основополагающей публикации Кристофер Аллен публикует статью «Self-Sovereign Identity: 5 Years On» (SSI пять лет спустя). Еще четыре года назад все шло хорошо. Он отмечает как свой наибольший успех создание верифицируемых учетных записей и децентрализованный ID (DID) в качестве рекомендаций W3C, с едкой усмешкой рассказывает о том, что поиск по Self Soveriegn ID пять лет назад показывал его статью на первой странице выдачи, а пять лет спустя ссылку на нее еще надо поискать на последующих нескольких страницах. Но в целом, он, как основатель этого направления, все еще удовлетворен, хотя и понимает уже, что многое можно было сделать по другому. Высказывает тревогу в отношении подъема направления Legally-Enabled Self Sovereign (LESS) Identity, в котором благородные принципы SSI все больше подминались под нужды правительственных систем и юридического признания цифровой идентичности. В загоне оказывалась милая его сердцу Trustless Identity или говоря точнее Trust Minimized Identity, нацеленные в первую очередь на защиту прав человека от могущественных акторов (национальных государств, мультинациональных корпораций, мафии и всего в этом роде). Он все еще довольно спокоен и признает, что понимает, почему LESS получает больше внимания. Он все еще не уверен, что верифицируемые учетные данные и децентрализованные ID следует использовать для «имунных паспортов» для учета вакцинации (эта статья писалась в разгар пандемии). Несмотря на все эти сомнения, он все еще взволнован тем, какого прогресса удалось достичь за прошедшие пять лет.

Но уже в декабре следующего 2022 года он начинает серию публикаций под общим названием «Глубокие размышления над архитектурой доверия». 15 июля этого года вышла уже восемнадцатая статья в этой серии. Читать этот публицистический сериал очень тяжело, потому что он по шагам описывает (по мнению многих скептиков) закат SSI, или как говорили в старину — сошествия во ад.

Этот сериал из публикаций я бы рекомендовал в качестве обязательного чтения для каждого, кто работает в с данными, необязательно персональными, это та отрасль, которую по-английски называют data science и data engineering. Особенно эти публикации полезны потому, что Кристофер Аллен не просто специалист высочайшего класса в области криптографии, информационной безопасности, безопасных архитектур и архитектуры безопасности. Благодаря своему обширному опыту и  глубине проработки, его следует отнести к тем, кого называют Global Thinkers, к тем, кто видит большую картинку. Он не просто возглавляет обширный цикл разработок по спецификации и воплощению созданной им с коллегами Гордиевой Архитектуры, он еще и удерживает обширный спектр гуманитарных целей, ради которых все это делается. По своим общественным взглядам он либертарианец. Для него неприемлемы любые попытки использования цифровых технологий для слежки и контроля за обществом в целом и его отдельными членами.

О чем бы он ни писал, он не устает твердить о том, ради чего все делается — о правах человека на автономию и человеческое достоинство. Совсем недавно, в публикации от 7 января этого года, он собрал все эти разрозненные повторяющиеся обоснования принципов своей работы под заголовком «Как мои ценности определяют мой дизайн». Даже диаграмму нарисовал.

В этом личном манифесте Аллен фактически обобщает принципы SSI, описанные им десять дет назад, на общий случай дизайна любых цифровых систем:

Когда мы проектируем цифровые системы, мы не просто создаём технические спецификации. Мы создаём пространства, где люди будут проживать значительные части своей жизни. Чтобы дать им возможность по-настоящему жить и преуспевать, мы должны дать им автономию: цифровая система должна наделять людей способностью контролировать свои собственные судьбы в этом цифровом пространстве.

Глядя на путь проделанный Кристофером Алленом и всем сообществом, кажется, что они все делали правильно, и мы все вот-вот уже насладимся плодами их трудов. Однако, кому знать лучше, как не самому Аллену. В октябре 2024 года он выступает на воркшопе по идентификации в Интернете (Internet Identity Workshop XXXIX) и размещает у себя на сайте пост соответствующего содержания с горьким заголовком: «Has our SSI Ecosystem Become Morally Bankrupt?» (Неужели экосистема SSI стала моральным банкротом?). Этот вопрос он задает своим соратникам, хотя формально отвечает на событие предыдущего аналогичного воркшопа, под номером XXXVIII, на котором состоялась секция с провокационным названием «SSI не работает. Мы разворачиваемся». (Мы — это проект Trinsic, который раньше определял свою компетенцию как «Identity Verification», а после разворота вычеркнул (буквально, в заголоке сайта) Verification, и написал — Acceptance.) Выступление предводителя и соучредителя этих «тринзиков» Райли Хьюза тоже осталось на medium.com и читать его очень неприятно, настолько оно ренегатское и гопническое. Я попросил моего друга Клода сделать резюме на русском, поскольку переводить самому эту подрывную агитку я не захотел. Аллен в ответном слове говорит, что он не только отвечает на эту ересь, но и задает еще более тяжелый вопрос: «Не случилось ли так, что в стремлении нашего сообщества к массовому внедрению SSI мы пожертвовали теми самыми принципами, что отличают SSI от других подходов?».

Риторика Аллена фиксирует тревожные тенденции сползания к авторитаризму во всем мире. Он пишет, что SSI должен был стать бастионом против этих посягательств на свободу и достоинство людей, которые должны сами управлять своей цифровой личностью без опасений вмешательства в их жизнь, манипуляций и принуждения. 

Эти стремления стали жертвой недопустимых компромиссов, например, принятием таких «разжиженных» спецификаций как did:web. Аллен считает, что это метод децентрализованного ID снижает выживаемость и независимость суверенных ID. В качестве другого примера недопустимого компромисса указывается, что «недожали» со спецификациями LESS, надо было требовать строгого соблюдения принципа минимизации данных как для бизнесов ТАК И для правительственных органов. Вместо этого позволили распространиться избыточной идентификации. Далее по списку — не сумели противостоять раздутым угрозам со стороны так называемых «Четырех Всадников Инфокалипса» (может быть кто-то помнит историю с шифропанками во главе с Тимом Меем, которые гнали эту пургу) — пиратов, организованной преступности (в первую очередь драгдилеров), детских порнографов и террористов. В то же время просмотрели гораздо больший риск угрозы тирании и ее возможностей наносить реальный вред тем, кто себя защитить не может.

Эти компромиссы, пишет Аллен, привели к эрозии уникальной ценности SSI в сравнении с централизованными правительственными подходами. В результате Apple и Google со своими стандартами mDL/mDoc и усилиями по федерированной корпоративной идентификации, побеждают экосистему SSI на рынке. 

Вот настоящая причина, по которой экосистема SSI может сбоить: не из-за рыночных сил, а потому, что мы не смогли однозначно принять на себя обязательство поддерживать основные ценности децентрализации и конфиденциальности и противостоять компромиссам, подрывающим человеческое достоинство. Поступив таким образом, мы стали неотличимы от тех самых систем, которые мы намеревались разрушить.

Эти ламентации, но уже в более трезвом, осознанном стиле Аллен продолжает в совсем недавнем посте от 15 июля этого года. Внешний повод для поста — опять профессиональная конференция (Global Digital Collaboration GDC25), на которой его даже не было, но отклики соратников были тревожные. Внешне они довольно трогательно жалуются, что почувствовали пренебрежительное отношение к темам децентрализованной идентификации, когда соответствующие секции назначали в самых труднонаходимых, душных и маленьких аудиториях, которые тем не менее набивались под завязку. Несмотря на детский характер этих обид, я по себе знаю, насколько международная бюрократия может манипулировать казалось бы открытыми обсуждениями. Я это все наблюдал вблизи во время заседаний в фокусной группе по облачным вычислениям в Международном Союзе Электросвязи (ITU) в Женеве в 2011 году. Тогда все большие вендоры прислали своих корпоративных экспертов, чтобы строго следить за тем, как бы в спецификациях ITU не появилось ничего противного их интересам. В этой борьбе больших нанайских мальчиков они даже допустили, чтобы меня назначили председателем этой фокусной группы, поскольку считали, что с моей стороны угрозы быть не может, поскольку я представлял всего лишь государственно-общественную ассоциацию интернет-провайдеров из России.

В содержательной части хроники поражений парадигмы децентрализованной идентификации Аллен упоминает появление «did:genuineid”, которая по сути является централизованной системы идентификаторов, вопреки своему названию, которое использует в качестве прикрытия. 

«Мы дебатируем тонкие вопросы доказательств с нулевым разглашением (ZKP) и соответствия стандартам DID, но при этом не видим леса за деревьями.»

Пока экосистема SSI была увлечена своими делами, сам нарратив суверенности ID был кооптирован теми самыми платформами, которым он должен был противостоять. Технические стандарты были созданы в результате добровольной открытой кооперации сообщества, но реализуются они корпорациями такими способами, которые извращают их первоначальную цель.

Вот пример корпоративных решений, подрывающих децентрализацию. Google объявил 3 июля с.г., что использование его открытых библиотек для реализации ZKP позволит сети сберегательных банков в Германии (Sparkasse) выполнять проверку возраста (больше 18 лет) без раскрытия информации. Однако, аналитики замечают, что «нулевое разглашение» необязательно означает «нулевое отслеживание». Поскольку ZKP функции интегрированы на уровне операционной системы, а Google известен своими способностями и склонностями к трекингу мобильных устройств, никто не может поручиться, что прошедший проверку ZKP не будет отслежен и запомнен. Сами по себе библиотеки — это прекрасный строительный блок для пользовательско-центричного решения, но для этого они должны быть отделены от общего стека Google.

Не лучше дела обстоят и с реализацией прекрасных идей на правительственном уровне. Европейский Союз объявил о запуске в будущем 2026 году системы eIDAS (electronic IDentification, Authentication and trust Services). Однако специалисты указывают на множественные проблемы в этих спецификациях уже сейчас. Одна из главных, которая сразу бросается в глаза, это процедура отзыва электронных сертификатов, выданных своим гражданам государством-членом EU. Эту процедуру уже сейчас называют единой точкой отказа. 

Аллен не устает напоминать в своих постах о том, что перед второй мировой войной в Нидерландах была самая передовая система социального учета, которая способствовала реализации Холокоста — было уничтожено 75 процентов голландских евреев, в то время как во Франции сведения о религиозной принадлежности были исключены из социальных реестров, благодаря чему погибло «только» 23% французских евреев. Просто государство не интересовалось вероисповеданием своих граждан еще с 1872 года. Кроме этого, инженер Рене Карталь, которому было поручено создать новую систему учета граждан в вишистской Франции, прославился тем, что несмотря на включение в сведения о гражданине знаменитой колонки 11, указывающей вероисповедание, он сумел настроить табуляторы, обрабатывающие перфокарты, так, чтобы колонка 11 не попадала в выдачу. Ну, и еще спрятал сто тысяч карт евреев в своем офисе. Вот прекрасный пример минимизации данных и селективного раскрытия информации, горько шутит Аллен.

С учетом реакционных тенденций в Европе дефекты будущей eIDAS могу повлечь трагические последствия, предупреждает он. Про тенденции политической системы в США Аллен пока не высказывается, возможно из чувства самосохранения.

Подводя итоги, Аллен пишет, что сообщество децентрализованной идентификации оказалось расколото. С одной стороны идеологи продолжают работать над все более изощренными протоколами в отрыве от реальности, а с другой стороны, программисты продолжают идти на один компромисс за другим, пока от первоначального видения ничего не остается. 

Что же дальше? Дальше придется строить мосты. Мосты между доминированием корпоративных платформ и глобальной цифровой суверенностью, между обещаниями децентрализации и реалиями децентрализации, между техническими стандартами и реальными политиками, между абсолютизмом приватности и прагматизмом воплощения.

Сообщество SSI возвращается к чертежной доске. А мы продолжаем пользоваться результатами открытого сообщества SSI, развивая наш технологический стек под новые стратегии бизнеса, учитывающие реалии среды ведения бизнеса для всего спектра компаний, использующих услуги IDX. Мы продолжаем развивать проект, тестируя альтернативные технологии идентификации, о чем будет рассказано в надлежащее время.

Я так подробно рассказал о крушении идеалов SSI, которое происходит на наших глазах, не для того, чтобы пугать читателей очередной страшилкой, в которую можно верить или не верить, в зависимости от настроения и приема таблеток. Мне хотелось показать разворачивание этого процесса через творческую биографию одного из технологических и культурных героев нашей быстро меняющейся эпохи. Получилось ли у меня — судить вам.