24-те думи: какво е криптографска идентичност Cuadernos Lacre https://solo2.net/bg/zhurnal/articulos/razlikata-mezhdu-parola-i-kriptografska-identichnost.html Криптографската идентичност не е парола: никой сървър не я съхранява и тя не може да бъде възстановена. Дидактично обяснение на механизма BIP39, защо точно двадесет и четири думи и каква реална отговорност пада върху този, който ги притежава. --- За да се разберем: Ако забравите паролата си за Gmail, Google я нулира. Ако загубите 24-те думи, които съставляват криптографска идентичност, няма от кого да ги поискате. Не че процедурата е строга – просто на другия край няма никого. Тази разлика е фундаментална. --- Разликата между парола и идентичност Паролата в класическия модел на интернет не е идентичността на потребителя. Тя е доказателство. Потребителят има идентичност – име, имейл, клиентски номер – и за да докаже пред сървър, че е този, за когото се представя, представя парола, която сървърът сравнява със съхранен отпечатък. Ако отпечатъците съвпадат, сървърът разрешава сесията. Ако паролата бъде загубена, потребителят остава същият потребител; това, което губи, е доказателството, и съществува процедура за възстановяване – имейл до регистрирания адрес, таен въпрос – за възстановяването му. Криптографската идентичност работи по друг начин. Тя не е удостоверение, което някой сравнява със съхранен отпечатък; тя е пълна математическа тайна сама по себе си. Без значение къде се намира – на хартия, в устройство или дори в чужд сървър – идентичността съществува благодарение на своята математика, а не заради този, който я валидира. Тук се появява свойство, подобno на това, което видяхме в „Какво всъщност е SHA-256“: притежанието не се доказва чрез показване на тайната, а чрез използването ѝ за подписване. Така произведеният подпис може да бъде проверен от всеки с публична стойност, която се извежда математически от самата тайна, без да е необходимо тя да бъде известна и без намесата на трета страна. Който има тайната, е идентичността; който я загуби, престава да бъде такава. Присъдата е категорична: няма от кого да поискате да ви върне идентичността. Такъв човек не съществува, защото той изначално не я е притежавал. Какво представляват двадесет и четири думи Криптографската идентичност обикновено се представя чрез математическа тайна от тридесет и два байта – двеста петдесет и шест бита. Число, което е трудно за запомняне и още по-трудно за преписване без грешка. Криптографската индустрия реши този проблем през 2013 г. с малък и елегантен стандарт, наречен BIP39: начин за представяне на тези двеста петдесет и шест бита като последователност от двадесет и четири думи, взети от официален списък от две хиляди четиридесет и осем. Аритметиката зад него пасва елегантно; желаещите да я видят в детайли могат да я намерят в страничната бележка. Броенето не е декоративно. Ако някой препише двадесет и три думи правилно и сгреши двадесет и четввъртата, контролната сума ще го засече: софтуерът ще му каже „тази последователност е невалидна“. Ако някой препише и двадесет и четирите думи правилно, софтуерът ще изведе същата идентичност без неясноти. Изборът на списъка с думи също е преднамерен: думите в речника на BIP39 са кратки, различни една от друга, без диакритични знаци, избрани да минимизират фонетични и правописни грешки. Това е речник, проектиран да бъде запомнян, записван и диктуван от хора без загуби. От фразата до ключа Двадесет и четирите думи не са криптографският ключ, който подписва съобщения. Те са възстановимо представяне на оригиналната ентропия, която чрез детерминиран процес, наречен PBKDF2, се трансформира в семе (seed) от шестдесет и четири байта. От това семе се извеждат, също по детерминиран начин, конкретните криптографски ключове, които потребителят използва: частен ключ за подписване и съответен публичен ключ, който се публикува за проверка на подписите. Същият механизъм в различни системи: криптовалутите използват кривата secp256k1; протоколът Signal и много модерни системи използват Ed25519 върху кривата Curve25519. За конкретна крива като Ed25519 стандартите BIP32 и SLIP-0010 вземат това семе от шестдесет и четири байта и извеждат детерминирано тридесет и двата байта, които съставляват ефективния ключ за подписване — същите тридесет и два байта, с които започва примерният код в следващия раздел. Това е стандартният начин, по който цялата индустрия представя механизма на потребителя —портфейли за криптовалути, мениджъри на децентрализирана идентичност, Signal в неговата част за постоянна идентичност, Solo2 сред тях—: потребителят на практика никога не вижда семето или извлечените ключове. Той вижда двадесет и четирите думи при създаването на идентичността си и по желание ги записва на хартия. След това думите пътуват между неговите устройства, когато иска да мигрира идентичността: той ги въвежда в новото приложение, приложението извлича същото семе, същите ключове, същата идентичност. Това е преносим, криптографски надежден и в рамките на разумното, запомнящ се механизъм. Как се подписва с ключа (щрих от Zig) Какво фразата не е Три чести погрешни схващания трябва да бъдат изяснени. Фразата не е парола в истинския смисъл на думата: тя не се сравнява с отпечатък, съхранен на сървър; тя се въвежда в устройството на потребителя, за да се възстанови математически идентичността. Фразата не се възстановява: ако бъде загубена, няма от кого да я поискате; ако бъде дублирана, се дублира и идентичността. Фразата не е удостоверение, което може да се отдели от идентичността: фразата е идентичността. Който я притежава, може да действа като нея, без допълнително разрешение, без процес на оторизация, без възможност за възстановяване. Това трето свойство е това, което променя тежестта на въпроса. Загубената парола е административно неудобство. Загубената криптографска идентичност е идентичността. Хартия с фразата, намерена от трети лица, не е риск от кражба на акаунт: това е предаване на цялата идентичност. Обещанието на системата — че никой не може да отнеме идентичността ви или да ви блокира произволно — е придружено неразривно от отговорността — че вие сте единственият пазител на нещо, което никой не може да възстанови вместо вас. Обещанието и тежестта Моделът на криптографска идентичност често получава определението самосуверенна —self-sovereign в англосаксонската литература—. Изборът на дума е съзнателен и описва състоянието доста точно. Потребителят е суверен на своята идентичност в почти средновековен смисъл: тя не се предоставя от никой крал, никой издател, никоя централна власт; нито някой от изброените може да я отнеме. Но също така, като средновековния монарх, потребителят носи цялата последица от своите грешки: няма регент, който да взема решения вместо него, ако загуби печата. Изборът между идентичност, управлявана от трета страна, и самосуверенна идентичност няма универсален правилен отговор. За акаунт в маловажен форум управляваната идентичност вероятно е пропорционална на риска. За професионална идентичност, която подписва правно обвързващи документи, за икономическа идентичност, която съхранява собствени спестявания, за професионална комуникационна идентичност с клиенти, които са поверили чувствителна информация, въпросът се променя. Там въпросът престава да бъде „удобно ли е?“ и става „кой, освен мен, има силата да действа като мен и при какви обстоятелства?“. Къде се появява този механизъм в реалните системи BIP39 се роди в света на Bitcoin през 2013 г. и бързо се разпространи в цялата екосистема на криптовалутите: всеки сериозен портфейл днес приема фраза BIP39 от дванадесет или двадесет и четири думи като резервно копие на икономическата идентичност на своя притежател. Извън криптовалутите, същата основна концепция — криптографска двойка, която доказва авторство без посредник — се появява в други системи с различен синтаксис. SSH ключовете, които системният администратор използва за достъп до своите сървъри, са класически случай: частен ключ, който администраторът съхранява на своята машина, и публичен, който се копира на всеки сървър; не се намесва субект, сравним с централизирана услуга. Протоколът Signal използва Ed25519 с постоянен ключов материал на устройството; европейският eIDAS, в частта си за квалифициран подпис, се основава на същия криптографски принцип, с разликата, че ключът се съхранява от квалифициран доставчик на доверителни услуги вместо от потребителя. Solo2, издателската платформа на тази публикация, използва фраза BIP39 от двадесет и четири думи като идентичност на всеки потребител. Потребителят вижда думите веднъж при създаването на своя акаунт. Те не се съхраняват на нито един сървър на Solo2 или на когото и да било друг: ако потребителят ги запише и съхранява, той запазва идентичността си завинаги. Ако ги загуби, ги губи. Това е логичното следствие от архитектурата без оператор в средата: ако Solo2 можеше да върне идентичността на потребителя, който я е загубил, тя щеше да може да я даде и на всеки, който окаже натиск върху Solo2 да я предостави. За професионалния читател Четири съображения за тези, които обмислят приемането на криптографска самосуверенна (autosoberana) идентичност в професионален контекст: 1. Фразата е идентичността. Физическото съхранение — хартия, няколко копия на различни места, евентуално гравиран метал за дългосрочна употреба — предлага повече гаранции от дигиталното съхранение, което увеличава повърхността за атака, без да намалява риска от загуба. 2. Няма възстановяване. Проектирането на процеса с предположението, че един ден основното копие ще бъде загубено, е много по-разумно, отколкото да го откриете в деня на загубата. Второ географски отделено копие решава почти всички сценарии. 3. Това не е същото като квалифициран сертификат eIDAS. За квалифициран подпис в Съюза — нотариални актове, определени процедури с Администрацията — законодателството изисква квалифициран доставчик, който съхранява ключа. Криптографската самосуверенна идентичност служи за професионална комуникация и документално подписване с доказателствена стойност, но не заменя автоматично квалифицирания сертификат в случаите, когато нормата го изисква. 4. Ако идентичността предстои да бъде прехвърлена — наследство, професионално правоприемство, прекратяване на дейност — е препоръчително процедурата да се подготви предварително, а не след това. Формални процедури със запечатани с червен восък (lacre) пликове, инструкции към изпълнител на завещание, депозит в нотариална кантора, са класически договорености, напълно съвместими с криптографския характер на актива. --- Тази статия затваря концептуалното трио, което откри цикъла — хеш, криптиране, идентичност. Трите идеи се изграждат една върху друга: хешът дава неизменния отпечатък, криптирането дава поверителността без доверена трета страна, идентичността дава авторството без предоставяща трета страна. Трите споделят свойство, което също не е идеологическо: те прехвърлят от този, който управлява услугата, към този, който я използва, технически способности, които традиционно са принадлежали на оператора. Заедно с тях се прехвърлят и отговорности. Честният разговор за всяка от трите изисква разговор и за другите две. Източници и допълнително четиво - Palatinus, M.; Rusnak, P.; Voisine, A.; Bowe, S. — BIP-0039: Mnemonic code for generating deterministic keys, предложение за подобрение на Bitcoin от 2013 г. Де факто стандарт за фрази за възстановяване в крипто индустрията. - RFC 8032 — Edwards-Curve Digital Signature Algorithm (EdDSA), включително Ed25519. IETF, януари 2017 г. Нормативна спецификация на схемата за подпис, използвана в голяма част от съвременната индустрия. - RFC 2898 — PKCS #5: Password-Based Cryptography Specification, версия 2.0. IETF, септември 2000 г. Определя алгоритъма PBKDF2, използван при извличането на BIP39 от фраза към seed. - Регламент (ЕС) 910/2014 (eIDAS) и неговата еволюция чрез Регламент (ЕС) 2024/1183 (eIDAS 2) — европейска рамка за електронна идентичност и квалифициран подпис. Режим, различен от самосуверенния, но концептуално подкрепен от същите криптографски примитиви. - Allen, C. — The Path to Self-Sovereign Identity (2016). Каноничен текст за принципите и ангажиментите на самосуверенния модел, предхождащ, но актуален за разбирането на фамилията от съвременни решения. --- Cuadernos Lacre · Публикация на Menzuri Gestión S.L. · написана от R.Eugenio · редактирана от екипа на Solo2. https://solo2.net/bg/zhurnal/