24 slov: co je to kryptografická identita Cuadernos Lacre https://solo2.net/cs/sesity/articulos/rozdil-mezi-heslem-a-kryptografickou-identitou.html Kryptografická identita není heslo: neukládá ji žádný server a nelze ji obnovit. Didaktické vysvětlení mechanismu BIP39, proč přesně čtyřiadvacet slov a jaká reálná váha spočívá na tom, kdo je vlastní. --- Abychom si rozuměli: Pokud zapomenete heslo ke Gmailu, Google vám ho resetuje. Pokud ztratíte 24 slov, která tvoří kryptografickou identitu, nemáte koho požádat o jejich vrácení. Nejde o to, že by byl postup přísný — jde o to, že na druhém konci nikdo není. Tento rozdíl je naprosto zásadní. --- Rozdíl mezi heslem a identitou Heslo v klasickém modelu internetu není identitou uživatele. Je to doklad. Uživatel má identitu — jméno, e-mail, zákaznické číslo — a aby serveru dokázal, že je tím, za koho se vydává, předloží heslo, které server porovná s otiskem, jejž má uložený. Pokud se otisky shodují, server povolí relaci. Pokud se heslo ztratí, uživatel zůstává stejným uživatelem; to, co ztrácí, je doklad, a existuje postup pro obnovu — e-mail na registrovanou adresu, bezpečnostní otázka — jak jej získat zpět. Kryptografická identita funguje jinak. Není to pověření, které by někdo porovnával s uloženým otiskem; je to úplné matematické tajemství samo o sobě. Je jedno, kde se nachází — na papíře, v zařízení, nebo dokonce na cizím serveru — identita existuje díky své matematice, nikoli díky tomu, kdo ji ověřuje. Zde se objevuje vlastnost podobná té, kterou jsme viděli v článku «Co je vlastně SHA-256»: vlastnictví se nedokazuje předložením tajemství, ale jeho použitím k podpisu. Takto vytvořený podpis může kdokoli ověřit pomocí veřejné hodnoty, která je matematicky odvozena ze samotného tajemství, aniž by tajemství musel znát a aniž by do ověřování zasahovala třetí strana. Kdo má tajemství, je identitou; kdo ho ztratí, přestává jí být. Rozsudek je kategorický: neexistuje nikdo, koho byste mohli požádat o vrácení identity. Takový někdo neexistuje, protože ji v první řadě vůbec neměl. Co představuje čtyřiadvacet slov Kryptografická identita je obvykle reprezentována matematickým tajemstvím o délce dvaatřiceti bajtů — dvě stě padesáti šesti bitů. Číslo, které je těžké si zapamatovat a ještě těžší ho bezchybně opsat. Kryptografický průmysl vyřešil tento problém v roce 2013 malým a elegantním standardem zvaným BIP39: způsobem, jak reprezentovat těchto dvě stě padesát šest bitů jako sekvenci čtyřiadvaceti slov vybraných z oficiálního seznamu dvou tisíc čtyřiceti osmi slov. Aritmetika v pozadí do sebe elegantně zapadá; kdo ji chce vidět podrobně, najde ji v poznámce na okraji. Počítání není dekorativní. Pokud někdo opíše třiadvacet slov správně a ve čtyřiadvacátém se splete, kontrolní součet to zjistí: software mu řekne «tato sekvence není platná». Pokud někdo opíše všech čtyřiadvacet slov správně, software jednoznačně odvodí stejnou identitu. Volba seznamu slov je také záměrná: slova ze slovníku BIP39 jsou krátká, vzájemně odlišná, bez diakritiky, zvolená tak, aby se minimalizovaly fonetické a pravopisné záměny. Je to slovník navržený tak, aby si ho lidé zapamatovali, zapsali a nadiktovali beze ztrát. Od fráze ke klíči Těch čtyřiadvacet slov není kryptografický klíč, kterým se podepisují zprávy. Jsou obnovitelnou reprezentací původní entropie, která se pomocí deterministického procesu zvaného PBKDF2 transformuje na šedesátibytový seed. Z tohoto seedu se rovněž deterministicky odvozují konkrétní kryptografické klíče, které uživatel používá: soukromý klíč k podepisování a odpovídající veřejný klíč, který se zveřejňuje pro ověřování podpisů. Stejný mechanismus v různých systémech: kryptoměny používají křivku secp256k1; protokol Signal a mnoho moderních systémů používají Ed25519 na křivce Curve25519. Pro konkrétní křivku, jako je Ed25519, berou standardy BIP32 a SLIP-0010 onen šedesátibytový seed a deterministicky odvozují dvaatřicet bajtů, které tvoří efektivní podpisový klíč — stejných dvaatřicet bajtů, kterými začíná příklad kódu v následující části. Toto je standardní způsob, jakým celý průmysl prezentuje mechanismus uživateli —kryptoměnové peněženky, správci decentralizované identity, Signal ve své části pro trvalou identitu, Solo2 mezi nimi—: uživatel v praxi nikdy nevidí seed ani odvozené klíče. Vidí oněch čtyřiadvacet slov při vytváření své identity a volitelně si je zapíše na papír. Slova pak cestují mezi jeho zařízeními, když chce identitu migrovat: zadá je do nové aplikace, aplikace odvodí stejný seed, stejné klíče, stejnou identitu. Je to přenosný, kryptograficky solidní a v mezích rozumného zapamatovatelný mechanismus. Jak se podepisuje klíčem (nástin v Zig) Čím fráze není Je vhodné vyjasnit tři časté omyly. Fráze není heslo v pravém slova smyslu: neporovnává se s otiskem uloženým na serveru; zadává se do zařízení uživatele za účelem matematické rekonstrukce identity. Fráze se neobnovuje: pokud se ztratí, není nikdo, koho byste o ni mohli požádat; pokud se duplikuje, duplikuje se i identita. Fráze není pověření oddělitelné od identity: fráze je identita. Kdo ji má, může za ni jednat, bez dalšího svolení, bez procesu autorizace, bez možnosti obnovy. Právě tato třetí vlastnost mění váhu celé věci. Ztracené heslo je administrativní nepříjemnost. Ztracená kryptografická identita je identita sama. Papír s frází nalezený třetí stranou není riziko krádeže účtu: je to odevzdání celé identity. Příslib systému — aby vám nikdo nemohl identitu odebrat nebo vás svévolně zablokovat — je neoddělitelně doprovázen odpovědností — že vy jste jediným strážcem něčeho, co za vás nikdo nemůže obnovit. Příslib a váha Model kryptografické identity se obvykle označuje jako samosuverénní —self-sovereign v anglosaské literatuře—. Volba slova je záměrná a popisuje stav dosti přesně. Uživatel je suverénem nad svou identitou v téměř středověkém smyslu: neuděluje ji žádný král, žádný vydavatel, žádná centrální autorita; ani ji žádný z výše uvedených nemůže odebrat. Ale stejně jako středověký monarcha nese uživatel veškeré následky svých chyb: neexistuje žádný regent, který by rozhodoval za něj, pokud ztratí pečeť. Volba mezi identitou spravovanou třetí stranou a samosuverénní identitou nemá jedinou univerzálně správnou odpověď. Pro účet na nepodstatném fóru je spravovaná identita pravděpodobně úměrná riziku. Pro profesní identitu, která podepisuje právně závazné dokumenty, pro ekonomickou identitu, která střeží vlastní úspory, pro identitu profesní komunikace s klienty, kteří svěřili citlivé informace, se situace mění. Tam otázka přestává být „je to pohodlné?“ a stává se „kdo kromě mě má moc jednat mým jménem a za jakých okolností?“. Kde se tento mechanismus objevuje v reálných systémech BIP39 se zrodil ve světě Bitcoin v roce 2013 a rychle se rozšířil do celého kryptoměnového ekosystému: každá seriózní peněženka dnes přijímá dvanácti- nebo čtyřiadvacetislovnou frázi BIP39 jako zálohu ekonomické identity svého držitele. Mimo kryptoměny se stejný základní koncept — kryptografický pár prokazující autorství bez prostředníka — objevuje v jiných systémech s odlišnou syntaxí. SSH klíče, které správce systému používá k přístupu ke svým serverům, jsou klasickým případem: soukromý klíč, který si správce ukládá na svém stroji, a veřejný, který se kopíruje na každý server; nezasahuje žádný subjekt srovnatelný s centralizovanou službou. Protokol Signal používá Ed25519 s perzistentním materiálem klíče v zařízení; evropské eIDAS se ve své části o kvalifikovaném podpisu opírají o stejný kryptografický princip s tím rozdílem, že klíč opatruje kvalifikovaný poskytovatel důvěryhodných služeb namísto uživatele. Solo2, vydavatelská platforma této publikace, používá čtyřiadvacetislovnou frázi BIP39 jako identitu každého uživatele. Uživatel při vytváření svého účtu vidí slova jednou. Neukládají se na žádném serveru Solo2 ani nikoho jiného: pokud si je uživatel poznamená a opatruje, uchová si svou identitu navždy. Pokud je ztratí, ztratí je. Je to logický důsledek architektury bez operátora uprostřed: kdyby Solo2 mohla vrátit identitu uživateli, který ji ztratil, mohla by ji také dát komukoli, kdo na Solo2 zatlačí, aby ji vydala. Pro profesionálního čtenáře Čtyři úvahy pro ty, kteří zvažují přijetí kryptografické samovrstevné (autosoberana) identity v profesionálním kontextu: 1. Fráze je identita. Fyzické opatrování — papír, několik kopií na různých místech, případně kov s gravírováním pro dlouhodobé použití — nabízí více záruk než digitální opatrování, které zvětšuje útočnou plochu, aniž by snižovalo riziko ztráty. 2. Neexistuje žádná obnova. Navrhnout proces za předpokladu, že jednoho dne dojde ke ztrátě primární kopie, je mnohem vhodnější než to zjistit v den, kdy ke ztrátě dojde. Druhá geograficky oddělená kopie řeší téměř všechny scénáře. 3. Není to totéž co kvalifikovaný certifikát eIDAS. Pro kvalifikovaný podpis v Unii — notářské zápisy, určité úkony s úřady — legislativa vyžaduje kvalifikovaného poskytovatele, který klíč opatruje. Kryptografická samovrstevná identita slouží pro profesionální komunikaci a podepisování dokumentů s důkazní hodnotou, ale nenahrazuje automaticky kvalifikovaný certifikát v případech, kdy to norma vyžaduje. 4. Pokud má být identita převedena — dědictví, profesní nástupnictví, ukončení činnosti — je vhodné připravit postup předem, nikoli až poté. Formální postupy s obálkami zapečetěnými pečetním voskem (lacre), instrukce pro vykonavatele závěti, uložení u notáře, jsou klasická ujednání dokonale slučitelná s kryptografickou povahou aktiva. --- Tento článek uzavírá konceptuální trio, které cyklus otevřelo — hash, šifrování, identita —. Tyto tři myšlenky se staví jedna na druhé: hash dává neměnný otisk, šifrování dává důvěrnost bez důvěryhodné třetí strany, identita dává autorství bez poskytující třetí strany. Všechny tři sdílejí vlastnost, která také není ideologická: přenášejí od toho, kdo spravuje službu, na toho, kdo ji používá, technické možnosti, které tradičně spočívaly na operátorovi. Spolu s nimi přenášejí i odpovědnost. Mluvit čestně o kterékoli z těchto tří vyžaduje mluvit i o zbývajících dvou. Zdroje a další čtení - Palatinus, M.; Rusnak, P.; Voisine, A.; Bowe, S. — BIP-0039: Mnemonic code for generating deterministic keys, návrh na vylepšení Bitcoin z roku 2013. De facto standard pro fráze pro obnovu v kryptoprůmyslu. - RFC 8032 — Edwards-Curve Digital Signature Algorithm (EdDSA), včetně Ed25519. IETF, leden 2017. Normativní specifikace schématu podpisu používaného ve velké části současného průmyslu. - RFC 2898 — PKCS #5: Password-Based Cryptography Specification, verze 2.0. IETF, září 2000. Definuje algoritmus PBKDF2 použitý v derivaci BIP39 z fráze na seed. - Nařízení (EU) 910/2014 (eIDAS) a jeho vývoj nařízením (EU) 2024/1183 (eIDAS 2) — evropský rámec pro elektronickou identitu a kvalifikovaný podpis. Jiný režim než samovrstevný, ale konceptuálně se opírající o stejná kryptografická primitiva. - Allen, C. — The Path to Self-Sovereign Identity (2016). Kanonický text o principech a závazcích samovrstevného modelu, starší, ale relevantní pro pochopení rodiny současných řešení. --- Cuadernos Lacre · Publikace Menzuri Gestión S.L. · napsal R.Eugenio · rediguje tým Solo2. https://solo2.net/cs/sesity/