За более чем 20 лет существования Kim Cameron's The Laws of Identity в русскоязычном сегменте интернета не было обнаружено переводов и каких-либо обсуждений данного документа. Поэтому перевод ставит своей целью устранить данный пробел. Перевод подготовлен с попыткой сохранить авторский стиль и вёрстку исходных The Laws of Identity.
Ким Кэмерон (1948-2021)
Архитектор систем доступа с 1980 года, разработал один из первых IDM Zoomit Via, на основе которого развивается современный Microsoft Identity Manager. Стоял у истоков архитектуры Microsoft Active Directory и многих решений по управлению доступом, применённых в Microsoft. В 2005 году опубликовал 7 Законов Identity, которые послужили идейной основой для многих решений и стандартов в тематике Identity & Access Management и Identity Security.
Интернет был построен без способов узнать с кем и с чем вы устанавливаете соединение. Это является ограничением для наших возможностей и подвергает нас растущим опасностям. Если мы не делаем ничего для защиты, то мы будем сталкиваться с растущим числом случаев кражи и обмана, которые в итоге приведут к потере доверия к интернету.

В данной статье рассматривается, как можно предотвратить утрату доверия и продвинуться вперёд, обеспечив пользователям Интернета глубокое ощущение безопасности, конфиденциальности и уверенности в том, с кем именно они взаимодействуют в киберпространстве. Ничто не является более важным для того, чтобы новые веб-сервисы и приложения продолжали развиваться и выходили за рамки простой «цифровой публикации», охватывая самые разнообразные формы взаимодействия и предоставления услуг.

Наш подход заключался в разработке формального понимания динамики, определяющей успех или провал систем цифровой идентификации в различных контекстах, — понимания, выраженного в виде Законов Identity. В совокупности эти законы определяют унифицированную метасистему идентификации, способную обеспечить Интернет необходимым уровнем управления идентификацией.

Изложенные здесь идеи прошли глубокую доработку благодаря широкой дискуссии в блогосфере, задокументированной на сайте www.identityblog.com, в которой приняли участие специалисты из самых разных сегментов компьютерной индустрии, а также в результате многочисленных личных переписок. В частности, я хотел бы поблагодарить Аруна Нанду, Андре Дюрана, Билла Барнса, Карла Эллисона, Каспара Боудена, Крэйга Бёртона, Дэна Блюма, Дейва Кернса, Дейва Вайнера, Дика Хардта, Дока Сирлса, Драммонда Рида, Эллен Макдермотт, Эрика Норлина, Эстер Дайсон, Фена Лабальме, «Женщину-идентичность» Калию, Джей Си Кэннона, Джеймса Кобиелуса, Джеймса Говернора, Джейми Льюиса, Джона Шевчука, Люка Раззелла, Марка Кэнтера, Марка Уола, Мартина Тейлора, Майка Джонса, Фила Бекера, Радована Яночека, Рави Пандью, Роберта Скобла, Скотта К. Лемона, Саймона Дэвиса, Стефана Брендса, Стюарта Куана и Уильяма Хита.
1
Проблематика
Интернет был создан без возможности надёжно определить, с кем и с чем вы
устанавливаете соединение.
Лоскутное одеяло разрозненных решений

Поскольку эта ключевая функция отсутствует, каждый поставщик интернет-услуг вынужден изобретать собственные обходные решения. Можно с уверенностью сказать, что современный Интернет — в отсутствие встроенной системы управления идентификацией — построен на «лоскутном одеяле» разрозненных, изолированных решений.

По мере расширения использования веба растёт и степень вовлечённости пользователей в эти обходные механизмы. Хотя никто конкретно не виноват, последствия крайне негативны: сотни миллионов людей приучены принимать любые требования, предъявляемые сайтами, как «нормальный способ» ведения дел в интернете. Их научили вводить имена, секретные пароли и персональные данные практически в любую форму, возникающую на экране.

У пользователей отсутствует единая, понятная и последовательная основа для оценки подлинности посещаемых ими сайтов, и у них нет надёжного способа понять, когда они раскрывают конфиденциальную информацию недобросовестным участникам.
В то же время им не хватает единой системы для управления — или даже просто запоминания — множества отдельных аспектов их цифровой жизни.

Криминализация интернета

Люди начали использовать Интернет для управления и обмена объектами, обладающими всё большей реальной ценностью. Это не осталось незамеченным для криминальной среды, прекрасно осознающей разрозненный и уязвимый характер существующей «лоскутной» системы идентификации — и умеющей её успешно обходить. Эти криминальные структуры всё более профессионализируются и приобретают международную организованную форму.

Отдельные пользователи вводятся в заблуждение с помощью фишинговых схем, в ходе которых злоумышленники используют неспособность жертв удостовериться в подлинности контрагента: их заставляют добровольно раскрывать банковские и другие конфиденциальные данные.
2
Считается, что фишинг и фарминг сегодня являются одними из самых быстрорастущих сегментов компьютерной индустрии: их среднегодовой темп роста (CAGR) достигает 1000 %¹. Без существенных изменений в том, как мы сейчас организуем процессы идентификации, эта тенденция будет продолжаться.

Крайне важно посмотреть дальше текущей ситуации и осознать: если нынешняя динамика останется без контроля, нас ждёт глубокий кризис — разрозненная, хаотичная система идентификации в Интернете не выдержит нарастающего напора профессионально организованных злоумышленников.

Глубокий и обостряющийся общественный кризис такого рода приведёт к утрате доверия к Интернету и снижению его приемлемости для экономических транзакций — в то время как, напротив, доверие и готовность использовать сеть для таких целей должны были бы расти. Однако помимо угрозы отката назад необходимо понимать и издержки отсутствия прогресса вперёд. Отсутствие единого слоя управления идентификацией — один из ключевых факторов, сдерживающих дальнейшее освоение киберпространства.

Более того, отсутствие унифицированной и логически обоснованной инфраструктуры идентификации не позволит нам в полной мере реализовать потенциал веб-сервисов.

Веб-сервисы специально разрабатывались для построения надёжных, гибких и распределённых систем, способных обеспечивать важные новые функциональные возможности и эволюционировать в ответ на изменения внешней среды. Такие «живые» сервисы должны быть слабосвязанными и органичными, отказываясь от парадигмы жёстко заданных, предопределённых и «зашитых» решений.

Однако пока цифровая идентификация остаётся «лоскутным одеялом» изолированных, разрозненных решений, требующих всё той же жёсткой привязки, вся сложная работа по согласованию и согласования, достигнутые нами в других аспектах веб-сервисов, не приведут к появлению чего-либо принципиально нового.

Понимание того, кто взаимодействует с чем, является необходимым условием для того, чтобы веб-сервисы следующего поколения смогли выйти за стартовую черту и раскрыть свой потенциал.

Сложность добавления слоя Identity

Попытки внедрить в Интернет более стандартизированные сервисы цифровой идентификации уже предпринимались.
В отдельных доменах были достигнуты частичные успехи — например, использование SSL для защиты соединений с публичными сайтами или применение Kerberos в корпоративных средах².

Однако эти успехи почти не повлияли на трансформацию «лоскутного одеяла» идентификационных решений в единую, логически выстроенную инфраструктуру, охватывающую весь Интернет.

Почему же так сложно создать слой идентификации для Интернета? В первую очередь — из-за отсутствия согласованного понимания того, каким именно он должен быть и как должен функционировать. Это разногласие возникает потому, что цифровая идентификация тесно связана с контекстом, а Интернет, будучи единым техническим каркасом, используется для передачи тысяч типов контента в не менее многочисленных и разнообразных контекстах — каждый из которых развивается и процветает поверх этой общей базы. Участники любого конкретного контекста стремятся сохранить контроль над цифровой идентификацией в рамках своей сферы и зачастую намеренно препятствуют «вытеканию» идентификационных данных в другие контексты.

Например, предприятия рассматривают отношения с клиентами и сотрудниками как ключевые активы и ревностно их охраняют. Было бы неразумно ожидать, что они добровольно ограничат собственный выбор или откажутся от контроля над тем, как цифровым образом формируют и представляют эти отношения. Более того, до сих пор не появилось ни одного подхода, который бы настолько очевидно и убедительно демонстрировал преимущества стандартизации, чтобы мотивировать такие уступки. Различия в контекстах отдельных компаний диктуют необходимость свободы выбора и применения самых разных решений. Для многих даже разрозненные, узкоспециализированные схемы идентификации предпочтительнее единой системы, выходящей из-под их контроля.

Правительственные структуры также пришли к пониманию того, что их потребности отличаются от потребностей других типов организаций. И отдельные отраслевые объединения — так называемые «вертикали», например финансовый сектор — осознали, что при поддержании цифровых отношений со своими клиентами они сталкиваются со специфическими трудностями и преследуют особые цели.
3
Какими бы важными ни были эти институты, окончательное слово в вопросе принятия любой предлагаемой системы цифровой идентификации всё равно остаётся за отдельным человеком — как потребителем. Любое решение, которое пользователи не одобрят, не будут использовать — или просто не смогут использовать — неизбежно обречено на провал. Вскоре кто-то предложит альтернативу.

Опасения потребителей относительно безопасности Интернета не позволяют многим использовать кредитные карты для онлайн-покупок. Всё чаще вредоносное ПО и кража личных данных выводят вопросы приватности в разряд первоочередных для каждого пользователя Интернета. Это, в свою очередь, способствует росту осведомлённости и готовности реагировать на более масштабные проблемы приватности.

По мере развития виртуального мира специалисты по защите приватности разработали тонкие и глубоко продуманные аналитические подходы к вопросам идентификации с точки зрения потребителя и гражданина. Благодаря их усилиям юристы, разработчики государственной политики и избранные представители всё острее осознают множество сложных вопросов приватности, с которыми сталкивается общество в процессе освоения киберпространства. Это уже привело к повышенной чувствительности со стороны вендоров и к вмешательству со стороны государства — и в будущем можно ожидать дальнейшего усиления этих тенденций.

В итоге, какими бы серьёзными ни были угрозы нынешней ситуации, появление единого упрощённого решения в области цифровой идентификации, провозглашаемого универсальным «лекарством от всех бед», нереалистично.
Даже если бы по волшебству всем заинтересованным сторонам удалось достичь широкого межотраслевого консенсуса в одной стране относительно идеального решения, вероятность его универсального внедрения за пределами национальных границ была бы равна нулю.

Метасистема Identity

В случае цифровой идентификации разнообразные потребности множества участников требуют создания единой идентификационной инфраструктуры, сплетённой из множества различных технологических компонентов. Хотя на первый взгляд эта задача может показаться пугающе сложной, подобные вещи уже неоднократно реализовывались в ходе эволюции вычислительных технологий.

Например, в ранние годы персональных компьютеров разработчикам приложений приходилось учитывать конкретный тип видеодисплея и особенности установленных устройств хранения данных.

Со временем появился программный уровень, предоставлявший набор сервисов, абстрагированных от характеристик конкретного оборудования.
Технология «драйверов устройств» позволила подключать взаимозаменяемое оборудование по мере необходимости. Аппаратное обеспечение стало «слабосвязанным» с компьютером — это ускорило его развитие, поскольку для использования новых возможностей уже не требовалось переписывать приложения.

То же самое можно сказать об эволюции сетевых технологий. Раньше приложениям требовалось знать о деталях используемых сетевых устройств. Впоследствии появились унифицирующие технологии — сокеты и TCP/IP, — способные работать со многими разнородными нижележащими системами (Token Ring, Ethernet, X.25, Frame Relay), а также с технологиями, ещё не изобретёнными на тот момент, такими как беспроводные сети.

Цифровая идентификация требует аналогичного подхода. Нам необходима унифицирующая метасистема Identity, способная защитить приложения от внутренней сложности конкретных реализаций и сделать цифровую идентификацию слабосвязанной. По сути, такая метасистема представляет собой систему систем, предоставляющую единый интерфейс — примерно так же, как это делают драйверы устройств или сетевые сокеты. Это позволяет разрозненным, узкоспециализированным решениям постепенно развиваться в сторону стандартизированных технологий, совместимых с рамками метасистемы, — без необходимости заранее добиваться всеобщего согласия.

Понимание препятствий

Повторим формулировку исходной проблемы: задача метасистемы идентификации — обеспечить надёжный способ установления того, кто взаимодействует с чем, — в любом месте Интернета.

Мы отметили, что различные типы систем успешно обеспечивают идентификацию в конкретных контекстах. Однако, несмотря на этот успех, они не получили распространения в других сценариях. Какие факторы объясняют эти успехи и неудачи? Кроме того, какими характеристиками должно обладать решение, способное работать в масштабах всего Интернета? Отвечая на эти вопросы, можно многому научиться на примере как успешных, так и неудачных попыток, предпринимавшихся с 1970-х годов.

Это исследование привело к формированию набора идей, получивших название «Законы Identity». Слово «законы» мы употребляем здесь в научном смысле — как обозначение гипотез о мире, выведенных на основе наблюдений, которые можно проверить и, при необходимости, опровергнуть³.
Читателю следует помнить, что мы сознательно избегали использования термина в значении юридических или моральных норм, а также не ставили целью вступать в дискуссию о «философии идентичности»⁴.
4
Эти законы описывают совокупность объективных закономерностей, определяющих метасистему цифровой идентификации, способную получить столь широкое признание, что сможет выступать в качестве базовой платформы («бэкплейна») для распределённых вычислений в масштабах Интернета. В этой связи каждый закон порождает архитектурный принцип, направляющий построение такой системы.

Наши цели — прагматичны. Например, когда мы формулируем Закон контроля и согласия пользователя, мы делаем это не из соображений этики, а потому, что практический опыт показывает: система, не предоставляющая пользователям контроль, — рано или поздно — будет отвергнута достаточным числом людей, чтобы не смогла стать и оставаться унифицирующей технологией. То, как этот закон соотносится с ценностями, — не является здесь существенным вопросом.

Как и остальные законы, этот представляет собой границу, определяющую, какой должна быть и какой не должна быть метасистема идентификации, с учётом разнообразия социальных структур и культур, в рамках которых ей предстоит функционировать.
Понимание законов позволяет заранее отсеять множество обречённых на провал идей — прежде чем мы потратим на них слишком много времени.

Законы поддаются проверке: они позволяют прогнозировать результаты — и с момента их формулировки мы последовательно подтверждали эти прогнозы на практике. Более того, они объективны: эти закономерности существовали и действовали задолго до того, как были сформулированы.

Например, с их помощью можно объяснить причины успехов и провалов системы цифровой идентификации Microsoft Passport.

В совокупности Законы идентификации определяют архитектуру отсутствующего в Интернете слоя управления идентификацией.
Слова, делающие возможным диалог
Многие исследователи размышляли об Identity, цифровых идентификаторах, персонах и представлениях. Формулируя законы, мы отнюдь не претендуем на завершение этой дискуссии. Однако, в соответствии с прагматичными целями настоящей работы, мы вводим словарь терминов, который позволит чётко и однозначно понять сами законы.
Что такое цифровой Identity?

Для начала определим цифровой Identity как набор утверждений (claims), сделанных одним цифровым субъектом о самом себе или о другом цифровом субъекте. Попросим читателя сначала дать нам возможность определить, что мы понимаем под цифровым субъектом и набором утверждений, а затем уже вернуться к этому определению для более глубокого анализа.

Что такое цифровой субъект?

Согласно Оксфордскому словарю английского языка (Oxford English Dictionary, OED), слово subject определяется следующим образом:

«…человек или предмет, который обсуждается, описывается или с которым

ведётся работа".


Исходя из этого, мы определяем цифровой субъект как:

«…человека или объект, представленного или существующего в цифровой сфере

и являющегося объектом описания или взаимодействия".


Большая часть принятия решений в распределённых вычислениях связана именно с "взаимодействием" с инициатором или запрашивающей стороной. Стоит также отметить, что цифровой мир включает множество субъектов, с которыми необходимо «взаимодействовать», помимо людей, в том числе:

  • устройства и компьютеры (благодаря которым мы вообще получаем доступ к цифровой сфере);
  • цифровые ресурсы (которые привлекают нас в эту сферу);
  • политики и отношения между другими цифровыми субъектами (например, между людьми и устройствами, документами или сервисами).

Далее OED даёт философское толкование слова subject как «основное содержание или суть вещи, в противоположность её атрибутам». Как мы увидим далее, именно атрибуты выражаются в утверждениях (claims), а субъект — это та самая суть, которая этими атрибутами описывается⁵.
5
Эти законы описывают совокупность объективных закономерностей, определяющих метасистему цифровой идентификации, способную получить столь широкое признани
Как и остальные законы, этот представляет собой границу, определяющую, какой должна быть и какой не должна быть метасистема идентификации, с учётом разнообразия
11
Заключение
Тем из нас, кто разрабатывает или работает с системами идентификации, необходимо соблюдать Законы Identity. В противном случае мы порождаем цепную реакцию усиливающихся побочных эффектов, которые в конечном счёте подрывают саму основу создаваемых технологий. Результат будет схож с тем, что произошло бы, если бы инженеры-строители пренебрегли законом всемирного тяготения. Соблюдая эти законы, мы можем построить унифицирующую метасистему идентификации, получившую всеобщее признание и способную существовать долгосрочно.
12
¹ Например, в отчёте Рабочей группы по борьбе с фишингом (Anti-Phishing Working Group) «Phishing Activity Trends Report» за февраль 2005 года приводится среднемесячный темп роста числа фишинговых сайтов за период с июля по февраль, составлявший 26% в месяц, что соответствует среднегодовому темпу роста (CAGR) в 1600%.

² И в последнее время мы наблюдаем успешные примеры федерации в сфере обмена идентификационными данными между компаниями (B2B).

³ Сознательно были избегаем слова «proposition» («положение»), подразумевающее нечто доказанное логикой, а не экспериментом, а также «axiom» («аксиома»), означающее нечто самоочевидное.

⁴ Все три области (юридические нормы, мораль, философия идентичности) представляют несомненный интерес, однако для решения надвигающегося кризиса инфраструктуры идентификации крайне важно сфокусироваться исключительно на вопросах, которые можно напрямую проверить и практически применить.

⁵ Мы предпочли слово «subject» («субъект») альтернативам вроде «entity» («сущность»), означающего «нечто, обладающее отчётливым и независимым существованием». Самостоятельное существование объекта здесь — спорный момент: вполне возможно, что речь идёт лишь об одном из аспектов чего-то более широкого. Важно другое: данный объект вступает во взаимодействие с доверяющей стороной, и о нём делаются определённые утверждения.

⁶ Oxford English Dictionary (OED)

⁷ Мы предпочли использовать более современную форму слова «reify» («оформить как сущность», «материализовать»), классический вариант которого звучит несколько архаично.