Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Digital identitet og privatliv er ved en skillevej.
Den traditionelle pung, som vi kender fra baglommen eller tasken, står til at blive erstattet af en digital modpart.
Alt imens har debatten om digital aldersverifikation taget fart over sommeren, og denne forestående revolution synes endnu at være overset af mange.
Tidligere på året fremsatte et regeringsnedsat ekspertudvalg klare anbefalinger vedrørende online-aldersverifikation, og det har siden ikke skortet på meninger om hvor umulig en gordisk knude dette problem tilsyneladende er.
Og selvom digitaliseringsminister Marie Bjerre har et stærkt ønske om at lovgive på området, har hun, i lighed med sit ekspertudvalg, vendt blikket mod Europa, hvor lignende problemstillinger har været til debat i endnu længere tid end i Danmark
Men ingen af de europæiske løsninger virker særlig forløsende.
I Tyskland arbejder man med et forslag, der indebærer ansigtscanning af brugere.
Et nærmest komisk løsningsforslag, når man tænker på, at målgruppen bl.a. er voksne mennesker, der ønsker at se erotik online.
I Frankrig er forslaget at outsource adgangsvalideringen til tredje- eller fjerdepart på en sådan måde, at denne part så til gengæld kan følge brugerens onlineaktivitet via url-redirects, hvilket netop giver mulighed for at tracke brugeren.
Politikerne har tilsyneladende fået mangelfuld rådgivning fra eksperter, meningsdannere og tech-korrespondenter.
En løsning findes allerede, og den involverer hverken ansigtsscanning, aktiv tredjeparts tracking eller andre finurligheder.
Den består i sin enkelthed af forskellige teknologier, vi allerede kender: En digital pung med en enerådig identitet (self-sovereign identity) kombineret med den såkaldte Zero-Knowledge teknologi.
Den enerådige pung
Vi kender alle den gode gammeldags tegnebog, eller pung, som trofast har holdt på kørekort, kreditkort, samt mange andre af vores fysiske medlemskort, identitetsbeviser, akkrediteringer, m.m.
Kørekortet er f.eks politiets akkreditering af både vores identitet, herunder alder, og vores ret til at fremføre et køretøj på offentlig vej.
Når vi er blevet bedt om at bevise vores identitet, herunder vores alder, har vi altid haft det egenrådige valg at efterkomme kravet ved at hive kørekortet op af pungen. Eller lade være. Valget er vores.
Den digitale pung, f.eks. som en mobilapplikation eller browser extension, vil have præcis den samme egenskaber som fra figuren, at vi som holder (mobilapplikation) af et digitalt kørekort egenrådigt kan beslutte om vi vil stole på en validator (butik), der igen vil stole på udsteder (Politiet). Se figur.
Udover gode gammeldags forfalskninger, så har denne treenighed af udsteder, holder og validator virket upåklageligt lige siden vi opfandt papiret, på nær på ét punkt: Holderens privatliv.
Når du viser kørekort, så afslører du selvsagt store dele af din identitet som du måske ikke ønskede. Måske ville du blot bevise din alder for at komme ind på et diskotek, men nu fik validatoren altså også lige dit navn, CPR-nummer, m.m med oven i købet.
Dette er også tilfældet med den allerede eksisterende kørekortsapp. (Der trods alt tilbyder brugeren at skjule CPR-nummeret).
Og det er netop her, at den sidste helt afgørende ingrediens kommer ind i billedet: Zero-Knowledge Proofs.
Zero-Knowledge Proofs
Zero-Knowledge Proofs (ZKPs) er en form for digitalt bevis, hvor én part kryptografisk kan bevise over for en anden part, at de kender en bestemt information, uden at afsløre selve informationen.
Det eneste, der afsløres, er, hvorvidt en påstand er sand. Intet andet afsløres. Deraf termen "Zero-Knowledge".
Din alder kan du have liggende i din digitale pung som et såkaldt Zero-Knowledge Claim (ZKC), som er direkte udledt fra din alder på et nationalt udstedt ID, f.eks. pas, kørekort eller MitID.
Du kan herefter som holder udføre ZKPs på foranledning af spørgsmål direkte fra en verifikator, og verifikatioren kan stole på beviset, hvis den stoler på udsteder.
Ja, faktisk kan alle dine attributter, som et nationalt udstedt ID har, laves om til ZKCs, som din digitale pung så kan bevise i alle tænkelige kombinationer via ét ZKP.
I den konkrete problemstilling med aldersverifikation online, vil det for hjemmeside være trivielt at bede en digital pung bevise en kombineret påstand om, at brugeren er et menneske, der er borger i et EU land, og er over 16 år.
Denne validering sker anonymt pga. ZKP, og fordi udsteder - dvs, tredjeparten - slet ikke er involveret i denne fase. Så brugeren kan overhovedet ikke trackes, udover selvfølgelig IP adresse og user-agent. Der er ingen kommunikation med udsteder.
Så med din digitale egenrådige pung, så kan du nu “vise” kørekort - uden at vise kørekort. Du beviser i stedet, at du har et kørekort, og du afslører ingen yderligere information om din identitet. Maksimal privatliv i fuld offentlighed.
WHAT THE CRYPT!?
Hvis du lige nu sidder og undrer dig som læser over, at du ikke har hørt om ZKPs før nu, så forstår jeg dig godt.
Det er også et mysterie for mig, som det i øvrigt også er i de akademiske kredse, f.eks. på det internationalt anerkendte Aarhus Universitets afdeling for kryptologi, hvor den viden man har opbygget om ZKP igennem årtier, tilsyneladende ikke har fundet frem til beslutningstagerne.
Hvad der derimod ikke er mysterie, er, hvorfor de store techgiganter ikke har omfavnet teknologien endnu. Dit manglende privatliv er det, deres forretningsmodel bygger på, så forvent ikke ZKP's fra den kant.
ZKP's repræsenterer en af de bedste muligheder for forøget privatliv vi har set siden Zimmerman introducerede PGP for over 30 år siden.
Dengang lykkedes det desværre ikke at fremme udbredt anvendelse af både end-to-end kryptering, enerådig identitet eller privatlivsteknologi. I stedet blev det digitale landskab mere og mere centraliseret under kontrol af nogle få dominerende teknologivirksomheder.
Lad os håbe, at det denne gang bliver anderledes.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
