Ким Кэмерон, 05.11.2005, перевод 31.12.2025
Законы Identity
Ким Кэмерон (1948-2021)
Архитектор систем доступа с 1980 года, разработал один из первых IDM Zoomit Via, на основе которого развивается современный Microsoft Identity Manager. Стоял у истоков архитектуры Microsoft Active Directory и многих решений по управлению доступом, применённых в Microsoft. В 2005 году опубликовал 7 Законов Identity, которые послужили идейной основой для многих решений и стандартов в тематике Identity & Access Management и Identity Security.
За более чем 20 лет существования Kim Cameron’s The Laws of Identity в русскоязычном сегменте интернета не было обнаружено переводов и каких-либо обсуждений данного документа. Поэтому перевод ставит своей целью устранить данный пробел. Несмотря на 20 прошедших лет идеи не потеряли своей актуальности и по сей день, а многие современные решения построены на основе идей из данных Законов. Перевод подготовлен с попыткой сохранить авторский стиль и вёрстку исходных The Laws of Identity.
Оглавление статьи:
Оглавление статьи:
- Проблематика
- Термины
- Закон 1. Закон контроля и согласия пользователя
- Закон 2. Закон минимального раскрытия для ограниченного использования
- Закон 3. Закон обоснованного участия сторон
- Закон 4. Закон направленной идентичности
- Закон 5. Закон плюрализма операторов и технологий
- Закон 6. Закон интеграции человека
- Закон 7. Закон согласованности опыта в разных контекстах
Интернет был построен без способов узнать с кем и с чем вы устанавливаете соединение. Это является ограничением для наших возможностей и подвергает нас растущим опасностям. Если мы не делаем ничего для защиты, то мы будем сталкиваться с растущим числом случаев кражи и обмана, которые в итоге приведут к потере доверия к интернету.
В данной статье рассматривается, как можно предотвратить утрату доверия и продвинуться вперёд, обеспечив пользователям Интернета глубокое ощущение безопасности, конфиденциальности и уверенности в том, с кем именно они взаимодействуют в киберпространстве. Ничто не является более важным для того, чтобы новые веб-сервисы и приложения продолжали развиваться и выходили за рамки простой «цифровой публикации», охватывая самые разнообразные формы взаимодействия и предоставления услуг.
Наш подход заключался в разработке формального понимания динамики, определяющей успех или провал систем цифровой идентификации в различных контекстах, — понимания, выраженного в виде Законов Identity. В совокупности эти законы определяют унифицированную метасистему идентификации, способную обеспечить Интернет необходимым уровнем управления идентификацией.
Изложенные здесь идеи прошли глубокую доработку благодаря широкой дискуссии в блогосфере, задокументированной на сайте www.identityblog.com, в которой приняли участие специалисты из самых разных сегментов компьютерной индустрии, а также в результате многочисленных личных переписок. В частности, я хотел бы поблагодарить Аруна Нанду, Андре Дюрана, Билла Барнса, Карла Эллисона, Каспара Боудена, Крэйга Бёртона, Дэна Блюма, Дейва Кернса, Дейва Вайнера, Дика Хардта, Дока Сирлса, Драммонда Рида, Эллен Макдермотт, Эрика Норлина, Эстер Дайсон, Фена Лабальме, «Женщину-идентичность» Калию, Джей Си Кэннона, Джеймса Кобиелуса, Джеймса Говернора, Джейми Льюиса, Джона Шевчука, Люка Раззелла, Марка Кэнтера, Марка Уола, Мартина Тейлора, Майка Джонса, Фила Бекера, Радована Яночека, Рави Пандью, Роберта Скобла, Скотта К. Лемона, Саймона Дэвиса, Стефана Брендса, Стюарта Куана и Уильяма Хита.
В данной статье рассматривается, как можно предотвратить утрату доверия и продвинуться вперёд, обеспечив пользователям Интернета глубокое ощущение безопасности, конфиденциальности и уверенности в том, с кем именно они взаимодействуют в киберпространстве. Ничто не является более важным для того, чтобы новые веб-сервисы и приложения продолжали развиваться и выходили за рамки простой «цифровой публикации», охватывая самые разнообразные формы взаимодействия и предоставления услуг.
Наш подход заключался в разработке формального понимания динамики, определяющей успех или провал систем цифровой идентификации в различных контекстах, — понимания, выраженного в виде Законов Identity. В совокупности эти законы определяют унифицированную метасистему идентификации, способную обеспечить Интернет необходимым уровнем управления идентификацией.
Изложенные здесь идеи прошли глубокую доработку благодаря широкой дискуссии в блогосфере, задокументированной на сайте www.identityblog.com, в которой приняли участие специалисты из самых разных сегментов компьютерной индустрии, а также в результате многочисленных личных переписок. В частности, я хотел бы поблагодарить Аруна Нанду, Андре Дюрана, Билла Барнса, Карла Эллисона, Каспара Боудена, Крэйга Бёртона, Дэна Блюма, Дейва Кернса, Дейва Вайнера, Дика Хардта, Дока Сирлса, Драммонда Рида, Эллен Макдермотт, Эрика Норлина, Эстер Дайсон, Фена Лабальме, «Женщину-идентичность» Калию, Джей Си Кэннона, Джеймса Кобиелуса, Джеймса Говернора, Джейми Льюиса, Джона Шевчука, Люка Раззелла, Марка Кэнтера, Марка Уола, Мартина Тейлора, Майка Джонса, Фила Бекера, Радована Яночека, Рави Пандью, Роберта Скобла, Скотта К. Лемона, Саймона Дэвиса, Стефана Брендса, Стюарта Куана и Уильяма Хита.
1
Проблематика
Интернет был создан без возможности надёжно определить, с кем и с чем вы
устанавливаете соединение.
устанавливаете соединение.
Лоскутное одеяло разрозненных решений
Поскольку эта ключевая функция отсутствует, каждый поставщик интернет-услуг вынужден изобретать собственные обходные решения. Можно с уверенностью сказать, что современный Интернет — в отсутствие встроенной системы управления идентификацией — построен на «лоскутном одеяле» разрозненных, изолированных решений.
По мере расширения использования веба растёт и степень вовлечённости пользователей в эти обходные механизмы. Хотя никто конкретно не виноват, последствия крайне негативны: сотни миллионов людей приучены принимать любые требования, предъявляемые сайтами, как «нормальный способ» ведения дел в интернете. Их научили вводить имена, секретные пароли и персональные данные практически в любую форму, возникающую на экране.
У пользователей отсутствует единая, понятная и последовательная основа для оценки подлинности посещаемых ими сайтов, и у них нет надёжного способа понять, когда они раскрывают конфиденциальную информацию недобросовестным участникам.
Поскольку эта ключевая функция отсутствует, каждый поставщик интернет-услуг вынужден изобретать собственные обходные решения. Можно с уверенностью сказать, что современный Интернет — в отсутствие встроенной системы управления идентификацией — построен на «лоскутном одеяле» разрозненных, изолированных решений.
По мере расширения использования веба растёт и степень вовлечённости пользователей в эти обходные механизмы. Хотя никто конкретно не виноват, последствия крайне негативны: сотни миллионов людей приучены принимать любые требования, предъявляемые сайтами, как «нормальный способ» ведения дел в интернете. Их научили вводить имена, секретные пароли и персональные данные практически в любую форму, возникающую на экране.
У пользователей отсутствует единая, понятная и последовательная основа для оценки подлинности посещаемых ими сайтов, и у них нет надёжного способа понять, когда они раскрывают конфиденциальную информацию недобросовестным участникам.
В то же время им не хватает единой системы для управления — или даже просто запоминания — множества отдельных аспектов их цифровой жизни.
Криминализация интернета
Люди начали использовать Интернет для управления и обмена объектами, обладающими всё большей реальной ценностью. Это не осталось незамеченным для криминальной среды, прекрасно осознающей разрозненный и уязвимый характер существующей «лоскутной» системы идентификации — и умеющей её успешно обходить. Эти криминальные структуры всё более профессионализируются и приобретают международную организованную форму.
Отдельные пользователи вводятся в заблуждение с помощью фишинговых схем, в ходе которых злоумышленники используют неспособность жертв удостовериться в подлинности контрагента: их заставляют добровольно раскрывать банковские и другие конфиденциальные данные.
Криминализация интернета
Люди начали использовать Интернет для управления и обмена объектами, обладающими всё большей реальной ценностью. Это не осталось незамеченным для криминальной среды, прекрасно осознающей разрозненный и уязвимый характер существующей «лоскутной» системы идентификации — и умеющей её успешно обходить. Эти криминальные структуры всё более профессионализируются и приобретают международную организованную форму.
Отдельные пользователи вводятся в заблуждение с помощью фишинговых схем, в ходе которых злоумышленники используют неспособность жертв удостовериться в подлинности контрагента: их заставляют добровольно раскрывать банковские и другие конфиденциальные данные.
2
Считается, что фишинг и фарминг сегодня являются одними из самых быстрорастущих сегментов компьютерной индустрии: их среднегодовой темп роста (CAGR) достигает 1000%¹. Без существенных изменений в том, как мы сейчас организуем процессы идентификации, эта тенденция будет продолжаться.
Крайне важно посмотреть дальше текущей ситуации и осознать: если нынешняя динамика останется без контроля, нас ждёт глубокий кризис — разрозненная, хаотичная система идентификации в Интернете не выдержит нарастающего напора профессионально организованных злоумышленников.
Глубокий и обостряющийся общественный кризис такого рода приведёт к утрате доверия к Интернету и снижению его приемлемости для экономических транзакций — в то время как, напротив, доверие и готовность использовать сеть для таких целей должны были бы расти. Однако помимо угрозы отката назад необходимо понимать и издержки отсутствия прогресса вперёд. Отсутствие единого слоя управления идентификацией — один из ключевых факторов, сдерживающих дальнейшее освоение киберпространства.
Крайне важно посмотреть дальше текущей ситуации и осознать: если нынешняя динамика останется без контроля, нас ждёт глубокий кризис — разрозненная, хаотичная система идентификации в Интернете не выдержит нарастающего напора профессионально организованных злоумышленников.
Глубокий и обостряющийся общественный кризис такого рода приведёт к утрате доверия к Интернету и снижению его приемлемости для экономических транзакций — в то время как, напротив, доверие и готовность использовать сеть для таких целей должны были бы расти. Однако помимо угрозы отката назад необходимо понимать и издержки отсутствия прогресса вперёд. Отсутствие единого слоя управления идентификацией — один из ключевых факторов, сдерживающих дальнейшее освоение киберпространства.
Более того, отсутствие унифицированной и логически обоснованной инфраструктуры идентификации не позволит нам в полной мере реализовать потенциал веб-сервисов.
Веб-сервисы специально разрабатывались для построения надёжных, гибких и распределённых систем, способных обеспечивать важные новые функциональные возможности и эволюционировать в ответ на изменения внешней среды. Такие «живые» сервисы должны быть слабосвязанными и органичными, отказываясь от парадигмы жёстко заданных, предопределённых и «зашитых» решений.
Однако пока цифровая идентификация остаётся «лоскутным одеялом» изолированных, разрозненных решений, требующих всё той же жёсткой привязки, вся сложная работа по согласованию и согласования, достигнутые нами в других аспектах веб-сервисов, не приведут к появлению чего-либо принципиально нового.
Понимание того, кто взаимодействует с чем, является необходимым условием для того, чтобы веб-сервисы следующего поколения смогли выйти за стартовую черту и раскрыть свой потенциал.
Веб-сервисы специально разрабатывались для построения надёжных, гибких и распределённых систем, способных обеспечивать важные новые функциональные возможности и эволюционировать в ответ на изменения внешней среды. Такие «живые» сервисы должны быть слабосвязанными и органичными, отказываясь от парадигмы жёстко заданных, предопределённых и «зашитых» решений.
Однако пока цифровая идентификация остаётся «лоскутным одеялом» изолированных, разрозненных решений, требующих всё той же жёсткой привязки, вся сложная работа по согласованию и согласования, достигнутые нами в других аспектах веб-сервисов, не приведут к появлению чего-либо принципиально нового.
Понимание того, кто взаимодействует с чем, является необходимым условием для того, чтобы веб-сервисы следующего поколения смогли выйти за стартовую черту и раскрыть свой потенциал.
Сложность добавления слоя Identity
Попытки внедрить в Интернет более стандартизированные сервисы цифровой идентификации уже предпринимались.
В отдельных доменах были достигнуты частичные успехи — например, использование SSL для защиты соединений с публичными сайтами или применение Kerberos в корпоративных средах².
Однако эти успехи почти не повлияли на трансформацию «лоскутного одеяла» идентификационных решений в единую, логически выстроенную инфраструктуру, охватывающую весь Интернет.
Почему же так сложно создать слой идентификации для Интернета? В первую очередь — из-за отсутствия согласованного понимания того, каким именно он должен быть и как должен функционировать.
Попытки внедрить в Интернет более стандартизированные сервисы цифровой идентификации уже предпринимались.
В отдельных доменах были достигнуты частичные успехи — например, использование SSL для защиты соединений с публичными сайтами или применение Kerberos в корпоративных средах².
Однако эти успехи почти не повлияли на трансформацию «лоскутного одеяла» идентификационных решений в единую, логически выстроенную инфраструктуру, охватывающую весь Интернет.
Почему же так сложно создать слой идентификации для Интернета? В первую очередь — из-за отсутствия согласованного понимания того, каким именно он должен быть и как должен функционировать.
Это разногласие возникает потому, что цифровая идентификация тесно связана с контекстом, а Интернет, будучи единым техническим каркасом, используется для передачи тысяч типов контента в не менее многочисленных и разнообразных контекстах — каждый из которых развивается и процветает поверх этой общей базы.
Какими бы важными ни были эти институты, окончательное слово в вопросе принятия любой предлагаемой системы цифровой идентификации всё равно остаётся за отдельным человеком — как потребителем. Любое решение, которое пользователи не одобрят, не будут использовать — или просто не смогут использовать — неизбежно обречено на провал. Вскоре кто-то предложит альтернативу.
Какими бы важными ни были эти институты, окончательное слово в вопросе принятия любой предлагаемой системы цифровой идентификации всё равно остаётся за отдельным человеком — как потребителем. Любое решение, которое пользователи не одобрят, не будут использовать — или просто не смогут использовать — неизбежно обречено на провал. Вскоре кто-то предложит альтернативу.
Опасения потребителей относительно безопасности Интернета не позволяют многим использовать кредитные карты для онлайн-покупок. Всё чаще вредоносное ПО и кража личных данных выводят вопросы приватности в разряд первоочередных для каждого пользователя Интернета. Это, в свою очередь, способствует росту осведомлённости и готовности реагировать на более масштабные проблемы приватности.
По мере развития виртуального мира специалисты по защите приватности разработали тонкие и глубоко продуманные аналитические подходы к вопросам идентификации с точки зрения потребителя и гражданина. Благодаря их усилиям юристы, разработчики государственной политики и избранные представители всё острее осознают множество сложных вопросов приватности, с которыми сталкивается общество в процессе освоения киберпространства.
По мере развития виртуального мира специалисты по защите приватности разработали тонкие и глубоко продуманные аналитические подходы к вопросам идентификации с точки зрения потребителя и гражданина. Благодаря их усилиям юристы, разработчики государственной политики и избранные представители всё острее осознают множество сложных вопросов приватности, с которыми сталкивается общество в процессе освоения киберпространства.
Это уже привело к повышенной чувствительности со стороны вендоров и к вмешательству со стороны государства — и в будущем можно ожидать дальнейшего усиления этих тенденций.
В итоге, какими бы серьёзными ни были угрозы нынешней ситуации, появление единого упрощённого решения в области цифровой идентификации, провозглашаемого универсальным «лекарством от всех бед», нереалистично.
Даже если бы по волшебству всем заинтересованным сторонам удалось достичь широкого межотраслевого консенсуса в одной стране относительно идеального решения, вероятность его универсального внедрения за пределами национальных границ была бы равна нулю.
В итоге, какими бы серьёзными ни были угрозы нынешней ситуации, появление единого упрощённого решения в области цифровой идентификации, провозглашаемого универсальным «лекарством от всех бед», нереалистично.
Даже если бы по волшебству всем заинтересованным сторонам удалось достичь широкого межотраслевого консенсуса в одной стране относительно идеального решения, вероятность его универсального внедрения за пределами национальных границ была бы равна нулю.
3
Метасистема Identity
В случае цифровой идентификации разнообразные потребности множества участников требуют создания единой идентификационной инфраструктуры, сплетённой из множества различных технологических компонентов. Хотя на первый взгляд эта задача может показаться пугающе сложной, подобные вещи уже неоднократно реализовывались в ходе эволюции вычислительных технологий.
Например, в ранние годы персональных компьютеров разработчикам приложений приходилось учитывать конкретный тип видеодисплея и особенности установленных устройств хранения данных.
Со временем появился программный уровень, предоставлявший набор сервисов, абстрагированных от характеристик конкретного оборудования.
Технология «драйверов устройств» позволила подключать взаимозаменяемое оборудование по мере необходимости. Аппаратное обеспечение стало «слабосвязанным» с компьютером — это ускорило его развитие, поскольку для использования новых возможностей уже не требовалось переписывать приложения.
В случае цифровой идентификации разнообразные потребности множества участников требуют создания единой идентификационной инфраструктуры, сплетённой из множества различных технологических компонентов. Хотя на первый взгляд эта задача может показаться пугающе сложной, подобные вещи уже неоднократно реализовывались в ходе эволюции вычислительных технологий.
Например, в ранние годы персональных компьютеров разработчикам приложений приходилось учитывать конкретный тип видеодисплея и особенности установленных устройств хранения данных.
Со временем появился программный уровень, предоставлявший набор сервисов, абстрагированных от характеристик конкретного оборудования.
Технология «драйверов устройств» позволила подключать взаимозаменяемое оборудование по мере необходимости. Аппаратное обеспечение стало «слабосвязанным» с компьютером — это ускорило его развитие, поскольку для использования новых возможностей уже не требовалось переписывать приложения.
То же самое можно сказать об эволюции сетевых технологий. Раньше приложениям требовалось знать о деталях используемых сетевых устройств. Впоследствии появились унифицирующие технологии — сокеты и TCP/IP, — способные работать со многими разнородными нижележащими системами (Token Ring, Ethernet, X.25, Frame Relay), а также с технологиями, ещё не изобретёнными на тот момент, такими как беспроводные сети.
Цифровая идентификация требует аналогичного подхода. Нам необходима унифицирующая метасистема Identity, способная защитить приложения от внутренней сложности конкретных реализаций и сделать цифровую идентификацию слабосвязанной. По сути, такая метасистема представляет собой систему систем, предоставляющую единый интерфейс — примерно так же, как это делают драйверы устройств или сетевые сокеты. Это позволяет разрозненным, узкоспециализированным решениям постепенно развиваться в сторону стандартизированных технологий, совместимых с рамками метасистемы, — без необходимости заранее добиваться всеобщего согласия.
Цифровая идентификация требует аналогичного подхода. Нам необходима унифицирующая метасистема Identity, способная защитить приложения от внутренней сложности конкретных реализаций и сделать цифровую идентификацию слабосвязанной. По сути, такая метасистема представляет собой систему систем, предоставляющую единый интерфейс — примерно так же, как это делают драйверы устройств или сетевые сокеты. Это позволяет разрозненным, узкоспециализированным решениям постепенно развиваться в сторону стандартизированных технологий, совместимых с рамками метасистемы, — без необходимости заранее добиваться всеобщего согласия.
Понимание препятствий
Повторим формулировку исходной проблемы: задача метасистемы идентификации — обеспечить надёжный способ установления того, кто взаимодействует с чем, — в любом месте Интернета.
Мы отметили, что различные типы систем успешно обеспечивают идентификацию в конкретных контекстах. Однако, несмотря на этот успех, они не получили распространения в других сценариях.
Какие факторы объясняют эти успехи и неудачи? Кроме того, какими характеристиками должно обладать решение, способное работать в масштабах всего Интернета?
Повторим формулировку исходной проблемы: задача метасистемы идентификации — обеспечить надёжный способ установления того, кто взаимодействует с чем, — в любом месте Интернета.
Мы отметили, что различные типы систем успешно обеспечивают идентификацию в конкретных контекстах. Однако, несмотря на этот успех, они не получили распространения в других сценариях.
Какие факторы объясняют эти успехи и неудачи? Кроме того, какими характеристиками должно обладать решение, способное работать в масштабах всего Интернета?
Отвечая на эти вопросы, можно многому научиться на примере как успешных, так и неудачных попыток, предпринимавшихся с 1970-х годов.
Это исследование привело к формированию набора идей, получивших название «Законы Identity». Слово «законы» мы употребляем здесь в научном смысле — как обозначение гипотез о мире, выведенных на основе наблюдений, которые можно проверить и, при необходимости, опровергнуть³.
Читателю следует помнить, что мы сознательно избегали использования термина в значении юридических или моральных норм, а также не ставили целью вступать в дискуссию о «философии идентичности"⁴.
Это исследование привело к формированию набора идей, получивших название «Законы Identity». Слово «законы» мы употребляем здесь в научном смысле — как обозначение гипотез о мире, выведенных на основе наблюдений, которые можно проверить и, при необходимости, опровергнуть³.
Читателю следует помнить, что мы сознательно избегали использования термина в значении юридических или моральных норм, а также не ставили целью вступать в дискуссию о «философии идентичности"⁴.
4
Эти законы описывают совокупность объективных закономерностей, определяющих метасистему цифровой идентификации, способную получить столь широкое признание, что сможет выступать в качестве базовой платформы («бэкплейна») для распределённых вычислений в масштабах Интернета. В этой связи каждый закон порождает архитектурный принцип, направляющий построение такой системы.
Наши цели — прагматичны. Например, когда мы формулируем Закон контроля и согласия пользователя, мы делаем это не из соображений этики, а потому, что практический опыт показывает: система, не предоставляющая пользователям контроль, — рано или поздно — будет отвергнута достаточным числом людей, чтобы не смогла стать и оставаться унифицирующей технологией. То, как этот закон соотносится с ценностями, — не является здесь существенным вопросом.
Как и остальные законы, этот представляет собой границу, определяющую, какой должна быть и какой не должна быть метасистема идентификации, с учётом разнообразия социальных структур и культур, в рамках которых ей предстоит функционировать.
Наши цели — прагматичны. Например, когда мы формулируем Закон контроля и согласия пользователя, мы делаем это не из соображений этики, а потому, что практический опыт показывает: система, не предоставляющая пользователям контроль, — рано или поздно — будет отвергнута достаточным числом людей, чтобы не смогла стать и оставаться унифицирующей технологией. То, как этот закон соотносится с ценностями, — не является здесь существенным вопросом.
Как и остальные законы, этот представляет собой границу, определяющую, какой должна быть и какой не должна быть метасистема идентификации, с учётом разнообразия социальных структур и культур, в рамках которых ей предстоит функционировать.
Понимание законов позволяет заранее отсеять множество обречённых на провал идей — прежде чем мы потратим на них слишком много времени.
Законы поддаются проверке: они позволяют прогнозировать результаты — и с момента их формулировки мы последовательно подтверждали эти прогнозы на практике. Более того, они объективны: эти закономерности существовали и действовали задолго до того, как были сформулированы.
Например, с их помощью можно объяснить причины успехов и провалов системы цифровой идентификации Microsoft Passport.
В совокупности Законы Identity определяют архитектуру отсутствующего в Интернете слоя управления идентификацией.
Законы поддаются проверке: они позволяют прогнозировать результаты — и с момента их формулировки мы последовательно подтверждали эти прогнозы на практике. Более того, они объективны: эти закономерности существовали и действовали задолго до того, как были сформулированы.
Например, с их помощью можно объяснить причины успехов и провалов системы цифровой идентификации Microsoft Passport.
В совокупности Законы Identity определяют архитектуру отсутствующего в Интернете слоя управления идентификацией.
Слова, делающие возможным диалог
Многие исследователи размышляли об Identity, цифровых идентификаторах, персонах и представлениях. Формулируя законы, мы отнюдь не претендуем на завершение этой дискуссии. Однако, в соответствии с прагматичными целями настоящей работы, мы вводим словарь терминов, который позволит чётко и однозначно понять сами законы.
Что такое цифровой Identity?
Для начала определим цифровой Identity как набор утверждений (claims), сделанных одним цифровым субъектом о самом себе или о другом цифровом субъекте. Попросим читателя сначала дать нам возможность определить, что мы понимаем под цифровым субъектом и набором утверждений, а затем уже вернуться к этому определению для более глубокого анализа.
Что такое цифровой субъект?
Согласно Оксфордскому словарю английского языка (Oxford English Dictionary, OED), слово subject определяется следующим образом:
Исходя из этого, мы определяем цифровой субъект как:
Для начала определим цифровой Identity как набор утверждений (claims), сделанных одним цифровым субъектом о самом себе или о другом цифровом субъекте. Попросим читателя сначала дать нам возможность определить, что мы понимаем под цифровым субъектом и набором утверждений, а затем уже вернуться к этому определению для более глубокого анализа.
Что такое цифровой субъект?
Согласно Оксфордскому словарю английского языка (Oxford English Dictionary, OED), слово subject определяется следующим образом:
«…человек или предмет, который обсуждается, описывается или с которым
ведётся работа".
Исходя из этого, мы определяем цифровой субъект как:
«…человека или объект, представленного или существующего в цифровой сфере
и являющегося объектом описания или взаимодействия".
Большая часть принятия решений в распределённых вычислениях связана именно с "взаимодействием" с инициатором или запрашивающей стороной. Стоит также отметить, что цифровой мир включает множество субъектов, с которыми необходимо «взаимодействовать», помимо людей, в том числе:
Далее OED даёт философское толкование слова subject как «основное содержание или суть вещи, в противоположность её атрибутам». Как мы увидим далее, именно атрибуты выражаются в утверждениях (claims), а субъект — это та самая суть, которая этими атрибутами описывается⁵.
- устройства и компьютеры (благодаря которым мы вообще получаем доступ к цифровой сфере);
- цифровые ресурсы (которые привлекают нас в эту сферу);
- политики и отношения между другими цифровыми субъектами (например, между людьми и устройствами, документами или сервисами).
Далее OED даёт философское толкование слова subject как «основное содержание или суть вещи, в противоположность её атрибутам». Как мы увидим далее, именно атрибуты выражаются в утверждениях (claims), а субъект — это та самая суть, которая этими атрибутами описывается⁵.
5
Что такое утверждение (claim)?
Утверждение (claim) — это:
«…заявление о истинности какого-либо факта, обычно в условиях, когда данный факт оспаривается или вызывает сомнение».
Вероятно, несколько примеров утверждений в цифровой сфере помогут прояснить суть:
Утверждение (claim) — это:
«…заявление о истинности какого-либо факта, обычно в условиях, когда данный факт оспаривается или вызывает сомнение».
Вероятно, несколько примеров утверждений в цифровой сфере помогут прояснить суть:
- Утверждение может просто передавать идентификатор — например, что номер студента (субъекта) равен 490−525, или что имя пользователя субъекта в системе Windows — REDMOND\kcameron. Именно так функционируют многие существующие системы идентификации.
- Другое утверждение может подтверждать, что субъект владеет определённым ключом — и при этом должен иметь возможность это доказать.
- Набор утверждений может содержать персональные идентификационные данные — например, имя, адрес, дату рождения и гражданство.
- Утверждение может просто указывать, что субъект принадлежит к определённой группе — например, что её возраст менее 16 лет.
- Утверждение также может констатировать наличие у субъекта определённых полномочий — например, право оформлять заказы до установленного лимита или изменять конкретный файл.
Концепция «наличия сомнений» отражает тонкости распределённого мира, подобного Интернету. Утверждения (claims) должны подвергаться оценке со стороны той стороны, которая на них полагается.
Чем более федеративными и открытыми становятся наши сети, тем очевиднее становится эта необходимость. Поэтому в распределённой и федеративной среде термин «claim» («утверждение», «заявление») оказывается более уместным, чем такие альтернативы, как «assertion» («утверждение» в смысле «уверенного и категоричного заявления о факте или убеждении»)⁶.
При переходе от закрытой доменной модели к открытой федеративной модели отношения между стороной, делающей заявление, и стороной, его оценивающей, становятся всё более сложными и даже двойственными. В таком контексте любые утверждения неизбежно должны восприниматься с долей сомнения — не только сомнения в том, что они были переданы отправителем получателю без искажений, но и сомнения в их истинности, а также в их актуальности и значимости для получателя.
Чем более федеративными и открытыми становятся наши сети, тем очевиднее становится эта необходимость. Поэтому в распределённой и федеративной среде термин «claim» («утверждение», «заявление») оказывается более уместным, чем такие альтернативы, как «assertion» («утверждение» в смысле «уверенного и категоричного заявления о факте или убеждении»)⁶.
При переходе от закрытой доменной модели к открытой федеративной модели отношения между стороной, делающей заявление, и стороной, его оценивающей, становятся всё более сложными и даже двойственными. В таком контексте любые утверждения неизбежно должны восприниматься с долей сомнения — не только сомнения в том, что они были переданы отправителем получателю без искажений, но и сомнения в их истинности, а также в их актуальности и значимости для получателя.
Преимущества определения, основанного на утверждениях (claims)
Приведённое здесь определение цифровой идентичности охватывает все известные системы цифровой идентификации и тем самым позволяет нам концептуально начать унификацию рациональных элементов существующего «лоскутного одеяла». Оно даёт возможность определить цифровой Identity в рамках метасистемы, вмещающей самые разные реализации и подходы.
Формулируя это определение, мы осознаём, что оно расходится с некоторыми устоявшимися представлениями — например, с убеждением, будто в пределах заданного контекста идентификаторы обязательно должны быть уникальными. Многие ранние системы строились именно на этой предпосылке, и в целом ряде ситуаций она остаётся чрезвычайно полезной.
Ошибка заключается лишь в том, чтобы считать её обязательной для всех контекстов.
Приведённое здесь определение цифровой идентичности охватывает все известные системы цифровой идентификации и тем самым позволяет нам концептуально начать унификацию рациональных элементов существующего «лоскутного одеяла». Оно даёт возможность определить цифровой Identity в рамках метасистемы, вмещающей самые разные реализации и подходы.
Формулируя это определение, мы осознаём, что оно расходится с некоторыми устоявшимися представлениями — например, с убеждением, будто в пределах заданного контекста идентификаторы обязательно должны быть уникальными. Многие ранние системы строились именно на этой предпосылке, и в целом ряде ситуаций она остаётся чрезвычайно полезной.
Ошибка заключается лишь в том, чтобы считать её обязательной для всех контекстов.
В качестве иллюстрации рассмотрим отношения между компанией, например Microsoft, и аналитическим агентством, которое мы назовём Contoso Analytics. Допустим, Microsoft заключает с Contoso Analytics договор, согласно которому любой сотрудник Microsoft может читать аналитические отчёты о рыночных тенденциях. При этом Microsoft не хочет, чтобы Contoso Analytics знала, кто конкретно из сотрудников Microsoft проявляет интерес к тем или иным темам или читает определённые отчёты.
В данном сценарии мы, наоборот, не хотим использовать уникальные персональные идентификаторы в качестве цифровых идентичностей. Однако Contoso Analytics всё равно нуждается в механизме, гарантирующем, что к её отчётам получают доступ только действительные клиенты. В этом примере цифровая идентичность лучше всего выражается крайне ограниченным утверждением — а именно утверждением, что цифровой субъект, в данный момент обращающийся к сайту, является сотрудником Microsoft.
В данном сценарии мы, наоборот, не хотим использовать уникальные персональные идентификаторы в качестве цифровых идентичностей. Однако Contoso Analytics всё равно нуждается в механизме, гарантирующем, что к её отчётам получают доступ только действительные клиенты. В этом примере цифровая идентичность лучше всего выражается крайне ограниченным утверждением — а именно утверждением, что цифровой субъект, в данный момент обращающийся к сайту, является сотрудником Microsoft.
Наш подход, основанный на утверждениях, здесь полностью оправдывает себя: он позволяет одному цифровому субъекту (корпорации Microsoft) делать заявления о другом цифровом субъекте, не прибегая к использованию каких-либо уникальных идентификаторов.
Такое определение цифровой идентичности требует чёткого разделения между представлением утверждений и возможностью доказать связь субъекта с реальным объектом в физическом мире.
Наше определение оставляет оценку полезности (а также истинности или достоверности) утверждения на усмотрение доверяющей стороны. Сама истина и возможная привязка к реальному миру не содержатся в самом утверждении — они возникают в результате его оценки. Если оценивающая сторона принимает решение принять данное утверждение, то это решение само по себе представляет собой ещё одно утверждение о субъекте — уже сделанное оценивающей стороной (и, возможно, передаваемое далее или нет).
Такое определение цифровой идентичности требует чёткого разделения между представлением утверждений и возможностью доказать связь субъекта с реальным объектом в физическом мире.
Наше определение оставляет оценку полезности (а также истинности или достоверности) утверждения на усмотрение доверяющей стороны. Сама истина и возможная привязка к реальному миру не содержатся в самом утверждении — они возникают в результате его оценки. Если оценивающая сторона принимает решение принять данное утверждение, то это решение само по себе представляет собой ещё одно утверждение о субъекте — уже сделанное оценивающей стороной (и, возможно, передаваемое далее или нет).
Таким образом, оценка цифровой идентичности сводится к простому преобразованию исходных данных: на выходе вновь получается набор утверждений, сделанных одним цифровым субъектом о другом. Вопросы доверия, приписывания и полезности могут быть вынесены за скобки и рассмотрены на более высоком уровне системы — отдельно от базового механизма представления цифровой идентичности.
6
Законы Identity
Теперь мы можем перейти к рассмотрению семи ключевых законов, объясняющих успехи и неудачи систем цифровой идентификации.
1 Закон контроля и согласия пользователя
Технические системы идентификации должны раскрывать идентифицирующую информацию о пользователе только в минимально необходимом объёме и исключительно с согласия пользователя.
Технические системы идентификации должны раскрывать идентифицирующую информацию о пользователе только в минимально необходимом объёме и исключительно с согласия пользователя.
Именно подход, наилучшим образом ограничивающий использование такой информации, оказывается наиболее устойчивым в долгосрочной перспективе.
Никто не играет более ключевой роли в успехе метасистемы идентификации, чем сам пользователь, который ею пользуется. Прежде всего система должна привлекать удобством и простотой. Однако для того чтобы удержать доверие пользователя, она, в первую очередь, должна заслужить это доверие.
Завоевание доверия требует целостного подхода. Система должна быть спроектирована так, чтобы пользователь полностью контролировал: какие цифровые идентичности используются и какая информация раскрывается.
Система также обязана защищать пользователя от обмана, проверяя подлинность всех сторон, запрашивающих информацию. Если пользователь всё же решает предоставить идентификационные данные, он должен быть абсолютно уверен, что они попадут именно туда, куда предназначены. Кроме того, система должна предоставлять механизмы, позволяющие пользователю ясно понимать цели, в которых собирается та или иная информация.
Никто не играет более ключевой роли в успехе метасистемы идентификации, чем сам пользователь, который ею пользуется. Прежде всего система должна привлекать удобством и простотой. Однако для того чтобы удержать доверие пользователя, она, в первую очередь, должна заслужить это доверие.
Завоевание доверия требует целостного подхода. Система должна быть спроектирована так, чтобы пользователь полностью контролировал: какие цифровые идентичности используются и какая информация раскрывается.
Система также обязана защищать пользователя от обмана, проверяя подлинность всех сторон, запрашивающих информацию. Если пользователь всё же решает предоставить идентификационные данные, он должен быть абсолютно уверен, что они попадут именно туда, куда предназначены. Кроме того, система должна предоставлять механизмы, позволяющие пользователю ясно понимать цели, в которых собирается та или иная информация.
Система обязана уведомлять пользователя, когда он выбирает поставщика идентификационных услуг, способного отслеживать его поведение в Интернете.
Более того, необходимо укреплять у пользователя ощущение контроля независимо от контекста, избегая произвольных изменений условий взаимодействия с ним. Это означает поддержку принципа согласия как в корпоративной, так и в потребительской среде. Крайне важно сохранять парадигму осознанного согласия даже в тех случаях, когда отказ от участия может нарушить условия трудового договора. Такой подход одновременно информирует сотрудника и защищает работодателя от юридических рисков.
Закон контроля и согласия пользователя допускает использование механизмов, позволяющих метасистеме запоминать решения пользователя, а самому пользователю — по своему усмотрению применять их автоматически при последующих обращениях.
Более того, необходимо укреплять у пользователя ощущение контроля независимо от контекста, избегая произвольных изменений условий взаимодействия с ним. Это означает поддержку принципа согласия как в корпоративной, так и в потребительской среде. Крайне важно сохранять парадигму осознанного согласия даже в тех случаях, когда отказ от участия может нарушить условия трудового договора. Такой подход одновременно информирует сотрудника и защищает работодателя от юридических рисков.
Закон контроля и согласия пользователя допускает использование механизмов, позволяющих метасистеме запоминать решения пользователя, а самому пользователю — по своему усмотрению применять их автоматически при последующих обращениях.
2Закон минимального раскрытия для ограниченного использования
Решение, раскрывающее наименьший объём идентифицирующей информации и наилучшим образом ограничивающее её использование, оказывается наиболее устойчивым в долгосрочной перспективе.
Решение, раскрывающее наименьший объём идентифицирующей информации и наилучшим образом ограничивающее её использование, оказывается наиболее устойчивым в долгосрочной перспективе.
Мы должны проектировать системы так, будто утечка информации всегда возможна — ведь такая утечка представляет собой реальный риск. Чтобы смягчить этот риск, лучше всего собирать данные только по принципу «нужно знать» (need to know) и хранить их лишь в соответствии с принципом «нужно хранить» (need to retain). Соблюдение этих принципов позволяет свести к минимуму потенциальный ущерб в случае утечки.
В то же время ценность идентифицирующей информации снижается по мере сокращения её объёма. Следовательно, система, построенная на принципах информационной минимизации, представляет собой менее привлекательную цель для кражи личных данных, что дополнительно снижает риски.
Ограничение использования информации чётко определённым сценарием (в совокупности с политикой использования, описанной в Законе контроля и согласия) многократно усиливает эффективность принципа «нужно знать» при снижении рисков. Исчезает сама возможность собирать и хранить данные «на всякий случай», «вдруг когда-нибудь пригодятся».
Под понятием «наименьший объём идентифицирующей информации» следует понимать не только минимальное число утверждений (claims), но и информацию, наименее способную идентифицировать конкретное лицо в различных контекстах.
Например, если в сценарии требуется лишь подтверждение достижения определённого возраста, предпочтительнее получать и хранить возрастную категорию (например, «18−25 лет»), а не точную дату рождения.
В то же время ценность идентифицирующей информации снижается по мере сокращения её объёма. Следовательно, система, построенная на принципах информационной минимизации, представляет собой менее привлекательную цель для кражи личных данных, что дополнительно снижает риски.
Ограничение использования информации чётко определённым сценарием (в совокупности с политикой использования, описанной в Законе контроля и согласия) многократно усиливает эффективность принципа «нужно знать» при снижении рисков. Исчезает сама возможность собирать и хранить данные «на всякий случай», «вдруг когда-нибудь пригодятся».
Под понятием «наименьший объём идентифицирующей информации» следует понимать не только минимальное число утверждений (claims), но и информацию, наименее способную идентифицировать конкретное лицо в различных контекстах.
Например, если в сценарии требуется лишь подтверждение достижения определённого возраста, предпочтительнее получать и хранить возрастную категорию (например, «18−25 лет»), а не точную дату рождения.
Дата рождения, будучи связанной с другими данными, гораздо чаще позволяет однозначно идентифицировать субъекта и, следовательно, представляет собой «более идентифицирующую информацию», от которой следует воздерживаться, если она не требуется.
Точно так же универсальные идентификаторы, применимые в разных контекстах (например, номера водительских прав, страховых свидетельств и т. п.), несут в себе «больше идентифицирующей информации», чем специализированные уникальные идентификаторы, привязанные к конкретной цели и не пересекающиеся между контекстами. В этом смысле сбор и хранение SSN, страхового номера индивидуального лицевого счёта (аналог СНИЛС в Российской Федерации — примечание переводчика) представляет значительно бо́льший риск, чем присвоение случайно сгенерированного номера студента или сотрудника.
Многочисленные катастрофы, связанные с утечками идентификационных данных, произошли именно там, где данный закон был нарушен.
Закон минимального раскрытия можно также сформулировать иначе: агрегация идентифицирующей информации — это агрегация рисков. Чтобы минимизировать риски, необходимо минимизировать агрегацию.
Точно так же универсальные идентификаторы, применимые в разных контекстах (например, номера водительских прав, страховых свидетельств и т. п.), несут в себе «больше идентифицирующей информации», чем специализированные уникальные идентификаторы, привязанные к конкретной цели и не пересекающиеся между контекстами. В этом смысле сбор и хранение SSN, страхового номера индивидуального лицевого счёта (аналог СНИЛС в Российской Федерации — примечание переводчика) представляет значительно бо́льший риск, чем присвоение случайно сгенерированного номера студента или сотрудника.
Многочисленные катастрофы, связанные с утечками идентификационных данных, произошли именно там, где данный закон был нарушен.
Закон минимального раскрытия можно также сформулировать иначе: агрегация идентифицирующей информации — это агрегация рисков. Чтобы минимизировать риски, необходимо минимизировать агрегацию.
7
3Закон обоснованного участия сторон
Системы цифровых Identity должны проектироваться так, чтобы раскрытие идентифицирующей информации ограничивалось лишь теми сторонами, которые занимают необходимую и обоснованную позицию в рамках конкретных отношений, связанных с идентификацией.
Системы цифровых Identity должны проектироваться так, чтобы раскрытие идентифицирующей информации ограничивалось лишь теми сторонами, которые занимают необходимую и обоснованную позицию в рамках конкретных отношений, связанных с идентификацией.
Система идентификации обязана информировать пользователя о том, с кем именно он взаимодействует при обмене информацией.
Требование обоснованности применимо как к субъекту, раскрывающему информацию, так и к доверяющей стороне, которая на неё полагается. В этом смысле показательным является опыт Microsoft Passport. Пользователи Интернета воспринимали Passport как удобный способ доступа к сайтам MSN, а сами сайты MSN охотно использовали эту систему — ежедневно происходило более миллиарда взаимодействий. Однако для подавляющего большинства сторонних, не-MSN сайтов участие Microsoft в их клиентских отношениях было необоснованным. Пользователи также не выражали желания, чтобы единая система идентификации от Microsoft отслеживала все их действия в Интернете. В результате Passport не смог выполнить свою изначальную миссию — стать универсальной системой идентификации для всего Интернета.
Впереди нас ждёт множество других примеров применения данного закона. Сегодня некоторые правительства рассматривают возможность предоставления собственных сервисов цифровой идентификации. Использование выданных государством удостоверений личности при взаимодействии с самим государством логично и, безусловно, обоснованно. Однако станет ли, к примеру, «необходимым и оправданным» — с точки зрения граждан — применение государственной идентификации для доступа к семейной вики, или для связи потребителя с её увлечениями и привычками, — это уже вопрос культурного и общественного согласия.
Требование обоснованности применимо как к субъекту, раскрывающему информацию, так и к доверяющей стороне, которая на неё полагается. В этом смысле показательным является опыт Microsoft Passport. Пользователи Интернета воспринимали Passport как удобный способ доступа к сайтам MSN, а сами сайты MSN охотно использовали эту систему — ежедневно происходило более миллиарда взаимодействий. Однако для подавляющего большинства сторонних, не-MSN сайтов участие Microsoft в их клиентских отношениях было необоснованным. Пользователи также не выражали желания, чтобы единая система идентификации от Microsoft отслеживала все их действия в Интернете. В результате Passport не смог выполнить свою изначальную миссию — стать универсальной системой идентификации для всего Интернета.
Впереди нас ждёт множество других примеров применения данного закона. Сегодня некоторые правительства рассматривают возможность предоставления собственных сервисов цифровой идентификации. Использование выданных государством удостоверений личности при взаимодействии с самим государством логично и, безусловно, обоснованно. Однако станет ли, к примеру, «необходимым и оправданным» — с точки зрения граждан — применение государственной идентификации для доступа к семейной вики, или для связи потребителя с её увлечениями и привычками, — это уже вопрос культурного и общественного согласия.
С аналогичными проблемами столкнутся и посредники, выстраивающие инфраструктуру доверия («траст-фабрик»). Данный закон не призван накладывать ограничения на технические возможности, а скорее обозначает ключевые динамические закономерности, которые необходимо учитывать.
Как мы знаем из Закона контроля и согласия, система должна быть предсказуемой и «полупрозрачной» (translucent), чтобы заслужить доверие. Однако пользователю важно понимать, с кем он взаимодействует, и по другим причинам — об этом пойдёт речь в шестом законе («человеческая интеграция»). В физическом мире мы способны оценить ситуацию и решить, какую информацию о себе раскрывать. В цифровой сфере аналогом этого выступает принцип обоснованного участия сторон.
Каждая сторона, получающая информацию, обязана предоставить раскрывающей стороне заявление о политике её использования. Эта политика должна регулировать дальнейшую судьбу раскрытых данных. Можно рассматривать такую политику как определение «делегированных прав», предоставленных раскрывающей стороной.
Любая политика использования должна предусматривать возможность сотрудничества всех участников с правоохранительными органами в рамках уголовных расследований. Однако это не означает, что государство автоматически становится участником отношений идентификации. Разумеется, данный момент должен быть прямо и недвусмысленно прописан в политике, регулирующей обмен информацией.
Как мы знаем из Закона контроля и согласия, система должна быть предсказуемой и «полупрозрачной» (translucent), чтобы заслужить доверие. Однако пользователю важно понимать, с кем он взаимодействует, и по другим причинам — об этом пойдёт речь в шестом законе («человеческая интеграция»). В физическом мире мы способны оценить ситуацию и решить, какую информацию о себе раскрывать. В цифровой сфере аналогом этого выступает принцип обоснованного участия сторон.
Каждая сторона, получающая информацию, обязана предоставить раскрывающей стороне заявление о политике её использования. Эта политика должна регулировать дальнейшую судьбу раскрытых данных. Можно рассматривать такую политику как определение «делегированных прав», предоставленных раскрывающей стороной.
Любая политика использования должна предусматривать возможность сотрудничества всех участников с правоохранительными органами в рамках уголовных расследований. Однако это не означает, что государство автоматически становится участником отношений идентификации. Разумеется, данный момент должен быть прямо и недвусмысленно прописан в политике, регулирующей обмен информацией.
8
4Закон направленной идентичности
Универсальная система идентификации должна поддерживать как «всенаправленные» (omni-directional) идентификаторы для публичных сущностей, так и "однонаправленные" (unidirectional) идентификаторы для частных сущностей — обеспечивая, таким образом, возможность обнаружения, но при этом предотвращая неоправданное раскрытие «корреляционных маркеров», позволяющих увязывать разные проявления личности.
Универсальная система идентификации должна поддерживать как «всенаправленные» (omni-directional) идентификаторы для публичных сущностей, так и "однонаправленные" (unidirectional) идентификаторы для частных сущностей — обеспечивая, таким образом, возможность обнаружения, но при этом предотвращая неоправданное раскрытие «корреляционных маркеров», позволяющих увязывать разные проявления личности.
Техническая идентичность всегда утверждается относительно какой-либо другой идентичности или множества идентичностей. Проводя аналогию с физическим миром, можно сказать, что идентичность обладает не только «модулем», но и направлением. Один из особых «наборов идентичностей» — это совокупность всех остальных идентичностей (публичная сфера). Однако существуют и другие значимые наборы: например, идентичности внутри предприятия, в рамках определённого домена или в составе конкретной группы единомышленников.
Публичные сущности могут использовать идентификаторы, которые инвариантны и широко известны. Такие публичные идентификаторы можно рассматривать как маяки, излучающие информацию об идентичности любому, кто к ним обратится.
Публичные сущности могут использовать идентификаторы, которые инвариантны и широко известны. Такие публичные идентификаторы можно рассматривать как маяки, излучающие информацию об идентичности любому, кто к ним обратится.
И маяки, по определению, «всенаправленные» — они готовы раскрыть своё существование всем другим сущностям.
Хороший пример такой публичной сущности — корпоративный веб-сайт со стабильным, общеизвестным URL и публичным сертификатом ключа. Изменение публичного URL не даёт никаких преимуществ — наоборот, это серьёзный недостаток.
Совершенно нормально, что любой посетитель сайта может ознакомиться с публичным сертификатом, и столь же естественно, что все знают: сайт существует — его присутствие публично.
Хороший пример такой публичной сущности — корпоративный веб-сайт со стабильным, общеизвестным URL и публичным сертификатом ключа. Изменение публичного URL не даёт никаких преимуществ — наоборот, это серьёзный недостаток.
Совершенно нормально, что любой посетитель сайта может ознакомиться с публичным сертификатом, и столь же естественно, что все знают: сайт существует — его присутствие публично.
Второй пример — публично видимое устройство, например видеопроектор. Он установлен в конференц-зале компании, и посетители зала могут его увидеть; проектор предлагает цифровые сервисы, «рекламируя» себя тем, кто приближается. В рамках рассматриваемой концепции он обладает всенаправленной идентичностью.
С другой стороны, потребитель, посещающий корпоративный сайт, может воспользоваться «маяком» этого сайта, чтобы решить, хочет ли она вступить с ним во взаимодействие. Её система тогда может установить «однонаправленное» отношение идентичности с сайтом, выбрав идентификатор, используемый только для этого конкретного сайта и ни для какого другого. Для другого сайта будет использоваться полностью независимый идентификатор. Вследствие этого не создаётся никакого «корреляционного маркера», который можно было бы использовать разными сайтами для объединения данных о поведении и предпочтениях в единые, детализированные профили («супер-досье»).
С другой стороны, потребитель, посещающий корпоративный сайт, может воспользоваться «маяком» этого сайта, чтобы решить, хочет ли она вступить с ним во взаимодействие. Её система тогда может установить «однонаправленное» отношение идентичности с сайтом, выбрав идентификатор, используемый только для этого конкретного сайта и ни для какого другого. Для другого сайта будет использоваться полностью независимый идентификатор. Вследствие этого не создаётся никакого «корреляционного маркера», который можно было бы использовать разными сайтами для объединения данных о поведении и предпочтениях в единые, детализированные профили («супер-досье»).
Когда пользователь компьютера входит в конференц-зал с упомянутым проектором, она может воспользоваться его всенаправленным «маяком» (в соответствии с Законом контроля и согласия), чтобы решить, хочет ли она с ним взаимодействовать.
Если да — между компьютером и проектором может быть установлено краткосрочное однонаправленное отношение идентичности: это обеспечит защищённое соединение с минимальным раскрытием идентифицирующей информации — как того требует Закон минимального раскрытия.
Технологии вроде Bluetooth и других беспроводных стандартов пока что не соответствуютчетвёртому закону: они используют публичные «маяки» для частных сущностей. Именно это объясняет негативную реакцию потребителей, с которой сегодня сталкиваются инноваторы в этих областях.
Если да — между компьютером и проектором может быть установлено краткосрочное однонаправленное отношение идентичности: это обеспечит защищённое соединение с минимальным раскрытием идентифицирующей информации — как того требует Закон минимального раскрытия.
Технологии вроде Bluetooth и других беспроводных стандартов пока что не соответствуютчетвёртому закону: они используют публичные «маяки» для частных сущностей. Именно это объясняет негативную реакцию потребителей, с которой сегодня сталкиваются инноваторы в этих областях.
Ту же проблему имеют и сертификаты открытых ключей при их использовании для идентификации физических лиц в контекстах, где важна приватность. Не случайно, вероятно, сертификаты получили широкое распространение именно тогда, когда они соответствовали этому закону — то есть при идентификации публичных веб-сайтов, — и практически игнорировались при попытках применить их для идентификации частных лиц.
Ещё один пример — предлагаемое применение RFID-технологий в паспортах и системах учёта студентов. Современные RFID-устройства излучают всенаправленные публичные «маяки», что неприемлемо для частных лиц.
Считывающие устройства паспортов — это публичные устройства, и потому они должны использовать всенаправленные маяки. Однако паспорта должны отвечать только на запросы проверенных, доверенных считывателей.
Ещё один пример — предлагаемое применение RFID-технологий в паспортах и системах учёта студентов. Современные RFID-устройства излучают всенаправленные публичные «маяки», что неприемлемо для частных лиц.
Считывающие устройства паспортов — это публичные устройства, и потому они должны использовать всенаправленные маяки. Однако паспорта должны отвечать только на запросы проверенных, доверенных считывателей.
Они не должны излучать сигналы для любого подслушивающего устройства, раскрывая тем самым личность владельца и его принадлежность к тому или иному государству.
Уже приводились примеры устройств-ловушек, которые могут быть приведены в действие именно такими маяками. В Калифорнии уже принимаются первые законодательные меры, направленные на устранение нарушений принципа направленности идентичности.
То, что законодатели осознали эти проблемы раньше, чем разработчики, свидетельствует о недостатке технического видения в индустрии.
Уже приводились примеры устройств-ловушек, которые могут быть приведены в действие именно такими маяками. В Калифорнии уже принимаются первые законодательные меры, направленные на устранение нарушений принципа направленности идентичности.
То, что законодатели осознали эти проблемы раньше, чем разработчики, свидетельствует о недостатке технического видения в индустрии.
9
5Закон плюрализма операторов и технологий
Универсальная система идентификации должна обеспечивать взаимодействие и согласованную работу множества технологий идентификации, управляемых разными поставщиками идентификационных услуг.
Универсальная система идентификации должна обеспечивать взаимодействие и согласованную работу множества технологий идентификации, управляемых разными поставщиками идентификационных услуг.
Было бы удобно, если бы существовал единый способ выражения идентичности. Но многообразие контекстов, в которых требуется идентификация, делает это невозможным. Одна из причин, по которой никогда не появится единой, централизованной, монолитной системы (т.е. противоположности метасистеме), заключается в том, что параметры, делающие какую-либо систему идеальной в одном контексте, делают её непригодной — или даже нежелательной — в другом.
Использование цифровой идентичности, выданной государством, логично при взаимодействии с государственными службами (при этом наличие единой общей идентичности не означает и не исключает возможность корреляции идентификаторов между отдельными ведомствами).
Однако во многих культурах работодатели и сотрудники не захотели бы использовать государственные идентификаторы для входа в корпоративные системы. Государственные идентификаторы могут применяться, например, для передачи данных о налогообложении и даже быть обязательными при оформлении на работу.
Использование цифровой идентичности, выданной государством, логично при взаимодействии с государственными службами (при этом наличие единой общей идентичности не означает и не исключает возможность корреляции идентификаторов между отдельными ведомствами).
Однако во многих культурах работодатели и сотрудники не захотели бы использовать государственные идентификаторы для входа в корпоративные системы. Государственные идентификаторы могут применяться, например, для передачи данных о налогообложении и даже быть обязательными при оформлении на работу.
Но контекст трудовых отношений достаточно автономен, чтобы обосновывать наличие собственной, независимой идентичности — свободной от ежедневного наблюдения со стороны государственных структур.
В то же время потребители и частные лица, просматривающие веб, во многих случаях будут стремиться к более высокому уровню приватности, чем могут обеспечить работодатели.
Таким образом, цифровая идентификация требует не просто разнообразия поставщиков (включая возможность самому пользователю выступать в этой роли), но и сосуществования различных систем идентификации с радикально разными (и даже потенциально противоречивыми) функциональными возможностями.
Универсальная система должна принимать и поощрять это разнообразие, признавая при этом, что каждый из нас одновременно — в разных контекстах — является гражданином, сотрудником, клиентом, виртуальной персоной.
В то же время потребители и частные лица, просматривающие веб, во многих случаях будут стремиться к более высокому уровню приватности, чем могут обеспечить работодатели.
Таким образом, цифровая идентификация требует не просто разнообразия поставщиков (включая возможность самому пользователю выступать в этой роли), но и сосуществования различных систем идентификации с радикально разными (и даже потенциально противоречивыми) функциональными возможностями.
Универсальная система должна принимать и поощрять это разнообразие, признавая при этом, что каждый из нас одновременно — в разных контекстах — является гражданином, сотрудником, клиентом, виртуальной персоной.
Это ещё раз подтверждает, что в рамках метасистемы должны сосуществовать различные системы идентификации. Отсюда вытекает необходимость в простом инкапсулирующем протоколе — то есть в способе согласования и передачи данных. Также требуется единый пользовательский интерфейс, позволяющий физическим и юридическим лицам в процессе своей повседневной деятельности выбирать подходящих поставщиков идентификационных услуг и нужные функции.
Универсальная метасистема идентификации не должна стать ещё одним монолитом.
Универсальная метасистема идентификации не должна стать ещё одним монолитом.
Она должна быть полицентричной (федерация уже подразумевает это) и полиморфной (существовать в различных формах). Лишь в этом случае сможет сформироваться, развиваться и самоорганизовываться экосистема идентификации.
Системы вроде RSS и HTML обладают силой благодаря тому, что способны передавать любой контент. Аналогично, и сама идентичность будет иметь несколько — возможно, множество — «содержаний», и всё же сможет быть выражена в рамках единой метасистемы.
Системы вроде RSS и HTML обладают силой благодаря тому, что способны передавать любой контент. Аналогично, и сама идентичность будет иметь несколько — возможно, множество — «содержаний», и всё же сможет быть выражена в рамках единой метасистемы.
10
6Закон интеграции человека
Универсальная метасистема идентификации должна рассматривать человека-пользователя как неотъемлемую часть распределённой системы, интегрированную посредством однозначных механизмов человеко-машинного взаимодействия, обеспечивающих защиту от атак на идентичность.
Универсальная метасистема идентификации должна рассматривать человека-пользователя как неотъемлемую часть распределённой системы, интегрированную посредством однозначных механизмов человеко-машинного взаимодействия, обеспечивающих защиту от атак на идентичность.
Мы довольно успешно защитили канал между веб-серверами и браузерами с помощью криптографии — канал, который может простираются на тысячи километров. Однако мы не смогли в достаточной мере защитить канал длиной всего в два-три фута — от экрана браузера до мозга человека, им управляющего. Именно этот неизмеримо короткий канал и становится мишенью фишеров и фармеров.
И неудивительно. С какими идентичностями взаимодействует пользователь, переходя по веб-страницам? Насколько понятно ему передаётся информация об идентичности? Используют ли наши системы цифровой идентификации интерфейсы, эффективность которых подтверждена объективными исследованиями? Сегодня информация об идентичности чаще всего представлена в виде сертификатов. Есть ли доказательства, что сертификаты действительно понятны и значимы для пользователей?
Что же мы на самом деле делаем? Что бы это ни было — нам необходимо делать это лучше: система идентификации должна охватывать и органично включать в себя самого человека-пользователя.
И неудивительно. С какими идентичностями взаимодействует пользователь, переходя по веб-страницам? Насколько понятно ему передаётся информация об идентичности? Используют ли наши системы цифровой идентификации интерфейсы, эффективность которых подтверждена объективными исследованиями? Сегодня информация об идентичности чаще всего представлена в виде сертификатов. Есть ли доказательства, что сертификаты действительно понятны и значимы для пользователей?
Что же мы на самом деле делаем? Что бы это ни было — нам необходимо делать это лучше: система идентификации должна охватывать и органично включать в себя самого человека-пользователя.
Карл Эллисон и его коллеги ввели термин «церемония» (ceremony) для описания взаимодействий, охватывающих гибридную сеть компонентов — как человеческих, так и кибернетических, — то есть полный канал от веб-сервера до сознания пользователя. «Церемония» выходит за пределы чисто технических протоколов и направлена на обеспечение целостности и достоверности коммуникации с человеком.
Эта концепция требует кардинального изменения пользовательского опыта — настолько предсказуемого и однозначного, чтобы пользователь мог принимать осознанные решения.
Поскольку система идентификации должна работать на всех платформах, она обязана быть безопасной на всех платформах. Свойства, обеспечивающие её безопасность, не могут основываться на сокрытии, «безопасности через неизвестность» или на том факте, что лежащая в основе платформа или программное обеспечение малоизвестны или мало распространены.
Эта концепция требует кардинального изменения пользовательского опыта — настолько предсказуемого и однозначного, чтобы пользователь мог принимать осознанные решения.
Поскольку система идентификации должна работать на всех платформах, она обязана быть безопасной на всех платформах. Свойства, обеспечивающие её безопасность, не могут основываться на сокрытии, «безопасности через неизвестность» или на том факте, что лежащая в основе платформа или программное обеспечение малоизвестны или мало распространены.
В качестве иллюстрации можно привести Channel 9 авиакомпании United Airlines — канал, передающий прямую связь между кабиной пилотов и диспетчерской службой. Разговор по этому каналу технически сложный, чрезвычайно важный и строго сфокусированный. Участники не «болтают» — все стороны точно знают, чего ожидать от диспетчера и от экипажа. В результате, несмотря на радиопомехи и шумы, пилот и диспетчер легко выделяют точное содержание сообщения. Когда возникает аварийная ситуация, нарушение предсказуемости канала сигнализирует об экстренности происходящего и мобилизует все человеческие способности для осознания угрозы и реагирования на неё.
Ограниченная семиотика (набор знаков и сигналов) канала обеспечивает высочайшую надёжность коммуникации.
Точно такая же строго ограниченная и предельно предсказуемая «церемония» необходима для обмена информацией об идентичности.
Ограниченная семиотика (набор знаков и сигналов) канала обеспечивает высочайшую надёжность коммуникации.
Точно такая же строго ограниченная и предельно предсказуемая «церемония» необходима для обмена информацией об идентичности.
«Церемония» — это не нечто вроде «делай, как тебе удобнее». Это чётко определённый, заранее установленный процесс.
Но не противоречит ли такое ограничение возможностей нашим представлениям о вычислениях? Разве не многие прорывы в IT возникли благодаря неоднозначности и непреднамеренным последствиям — тем самым, которые в строгой «церемониальной» среде были бы исключены?
Это справедливые вопросы. Однако при определении того, с кем мы общаемся или какую персональную информацию раскрывать, мы точно не хотим непреднамеренных последствий. Задача состоит в том, как достичь крайне высокой надёжности коммуникации между системой и её пользователем. Во многом это можно объективно измерить с помощью пользовательского тестирования.
Но не противоречит ли такое ограничение возможностей нашим представлениям о вычислениях? Разве не многие прорывы в IT возникли благодаря неоднозначности и непреднамеренным последствиям — тем самым, которые в строгой «церемониальной» среде были бы исключены?
Это справедливые вопросы. Однако при определении того, с кем мы общаемся или какую персональную информацию раскрывать, мы точно не хотим непреднамеренных последствий. Задача состоит в том, как достичь крайне высокой надёжности коммуникации между системой и её пользователем. Во многом это можно объективно измерить с помощью пользовательского тестирования.
11
7Закон согласованности опыта в разных контекстах
Унифицирующая метасистема идентификации должна гарантировать своим пользователям простой и согласованный пользовательский опыт, одновременно позволяя разделять контексты за счёт использования множества операторов и технологий.
Унифицирующая метасистема идентификации должна гарантировать своим пользователям простой и согласованный пользовательский опыт, одновременно позволяя разделять контексты за счёт использования множества операторов и технологий.
Представим будущее, в котором у нас есть набор контекстно-зависимых вариантов идентичности.
Например:
Например:
- Для просмотра (browsing): самоутверждаемая идентичность, используемая при исследовании веба (без раскрытия реальных личных данных);
- Личная (personal): самоутверждаемая идентичность для сайтов, с которыми я хочу поддерживать долгосрочные, но приватные отношения (включая моё имя и постоянный адрес электронной почты);
- Сообщественная (community): публичная идентичность для совместной работы с другими;
- Профессиональная (professional): публичная идентичность для сотрудничества, выданная моим работодателем;
- Банковская карта (credit card): идентичность, выданная моим финансовым учреждением;
- Гражданская (citizen): идентичность, выданная государством.
Можно ожидать, что у разных людей будет различный набор таких цифровых идентичностей — и, вероятно, появятся и другие их типы.
Чтобы это стало возможным, мы должны «овеществить» (thingify)⁷ цифровые идентичности — превратить их в «объекты», которые пользователь может видеть на рабочем столе, добавлять, удалять, выбирать и предоставлять по своему усмотрению. Насколько удобными были бы современные компьютеры, если бы мы не изобрели значки и списки, последовательно и наглядно представляющие папки и документы? С цифровыми идентичностями нам необходимо поступить точно так же.
Какой тип цифровой идентичности допустим в том или ином контексте? Свойства подходящих кандидатов будут задаваться веб-сервисом, у которого пользователь запрашивает услугу. Затем пользователю могут быть представлены соответствующие «овеществленные» цифровые идентичности — он сможет выбрать нужную и понять, какую именно информацию от него запрашивают. Это даёт ему контроль над тем, что раскрывается.
Чтобы это стало возможным, мы должны «овеществить» (thingify)⁷ цифровые идентичности — превратить их в «объекты», которые пользователь может видеть на рабочем столе, добавлять, удалять, выбирать и предоставлять по своему усмотрению. Насколько удобными были бы современные компьютеры, если бы мы не изобрели значки и списки, последовательно и наглядно представляющие папки и документы? С цифровыми идентичностями нам необходимо поступить точно так же.
Какой тип цифровой идентичности допустим в том или ином контексте? Свойства подходящих кандидатов будут задаваться веб-сервисом, у которого пользователь запрашивает услугу. Затем пользователю могут быть представлены соответствующие «овеществленные» цифровые идентичности — он сможет выбрать нужную и понять, какую именно информацию от него запрашивают. Это даёт ему контроль над тем, что раскрывается.
Разные доверяющие стороны будут требовать разные типы цифровых идентичностей. При этом очевидны две вещи:
При этом пользовательский интерфейс должен исключать двусмысленность как в вопросах согласияпользователя, так и в понимании того, с кем он взаимодействует, и как планируется использовать его данные.
- Одна и та же доверяющая сторона зачастую захочет принимать более одного типа идентичности;
- Пользователь захочет понимать свои возможности и выбирать наиболее подходящуюидентичность для конкретного контекста.
При этом пользовательский интерфейс должен исключать двусмысленность как в вопросах согласияпользователя, так и в понимании того, с кем он взаимодействует, и как планируется использовать его данные.
Эти варианты должны быть согласованными и прозрачными.
Именно единообразие опыта в разных контекстах позволяет достичь однозначной коммуникации с человеком как компонентом системы.
Как пользователи, мы должны воспринимать свои различные идентичности как часть единого, целостного мира — но при этом мир этот обязан уважать нашу потребность в независимых контекстах.
Именно единообразие опыта в разных контекстах позволяет достичь однозначной коммуникации с человеком как компонентом системы.
Как пользователи, мы должны воспринимать свои различные идентичности как часть единого, целостного мира — но при этом мир этот обязан уважать нашу потребность в независимых контекстах.
Заключение
Тем из нас, кто разрабатывает или работает с системами идентификации, необходимо соблюдать Законы Identity. В противном случае мы порождаем цепную реакцию усиливающихся побочных эффектов, которые в конечном счёте подрывают саму основу создаваемых технологий. Результат будет схож с тем, что произошло бы, если бы инженеры-строители пренебрегли законом всемирного тяготения. Соблюдая эти законы, мы можем построить унифицирующую метасистему идентификации, получившую всеобщее признание и способную существовать долгосрочно.
12
¹ Например, в отчёте Рабочей группы по борьбе с фишингом (Anti-Phishing Working Group) «Phishing Activity Trends Report» за февраль 2005 года приводится среднемесячный темп роста числа фишинговых сайтов за период с июля по февраль, составлявший 26% в месяц, что соответствует среднегодовому темпу роста (CAGR) в 1600%.
² И в последнее время мы наблюдаем успешные примеры федерации в сфере обмена идентификационными данными между компаниями (B2B).
³ Сознательно были избегаем слова «proposition» («положение»), подразумевающее нечто доказанное логикой, а не экспериментом, а также «axiom» («аксиома»), означающее нечто самоочевидное.
⁴ Все три области (юридические нормы, мораль, философия идентичности) представляют несомненный интерес, однако для решения надвигающегося кризиса инфраструктуры идентификации крайне важно сфокусироваться исключительно на вопросах, которые можно напрямую проверить и практически применить.
⁵ Мы предпочли слово «subject» («субъект») альтернативам вроде «entity» («сущность»), означающего «нечто, обладающее отчётливым и независимым существованием». Самостоятельное существование объекта здесь — спорный момент: вполне возможно, что речь идёт лишь об одном из аспектов чего-то более широкого. Важно другое: данный объект вступает во взаимодействие с доверяющей стороной, и о нём делаются определённые утверждения.
⁶ Oxford English Dictionary (OED)
⁷ Мы предпочли использовать более современную форму слова «reify» («оформить как сущность», «материализовать»), классический вариант которого звучит несколько архаично.
² И в последнее время мы наблюдаем успешные примеры федерации в сфере обмена идентификационными данными между компаниями (B2B).
³ Сознательно были избегаем слова «proposition» («положение»), подразумевающее нечто доказанное логикой, а не экспериментом, а также «axiom» («аксиома»), означающее нечто самоочевидное.
⁴ Все три области (юридические нормы, мораль, философия идентичности) представляют несомненный интерес, однако для решения надвигающегося кризиса инфраструктуры идентификации крайне важно сфокусироваться исключительно на вопросах, которые можно напрямую проверить и практически применить.
⁵ Мы предпочли слово «subject» («субъект») альтернативам вроде «entity» («сущность»), означающего «нечто, обладающее отчётливым и независимым существованием». Самостоятельное существование объекта здесь — спорный момент: вполне возможно, что речь идёт лишь об одном из аспектов чего-то более широкого. Важно другое: данный объект вступает во взаимодействие с доверяющей стороной, и о нём делаются определённые утверждения.
⁶ Oxford English Dictionary (OED)
⁷ Мы предпочли использовать более современную форму слова «reify» («оформить как сущность», «материализовать»), классический вариант которого звучит несколько архаично.