Basta dare un'occhiata alla pagina statistiche del portale Have I been pwned per capire che ci si trova di fronte a un'emergenza e che c'è bisogno di agire nel minor tempo possibile. Nel database creato con i dati dei furti di credenziali conosciuti e resi pubblici nel corso degli anni troviamo quasi 5 miliardi di account trafugati da 270 portali web o liste utilizzate da spambot. Un bottino piuttosto ingente, insomma, che ci aiuta a comprendere, se ancora ce ne fosse bisogno, che la sola password non è sufficiente per proteggere la nostra identità online.
Tra le varie soluzioni proposte per rendere più sicuri i nostri account online, acquista sempre più credito e sempre più sostenitori quella di mutuare alcuni aspetti e alcune "strutture" tecnologiche oggi utilizzate principalmente nel mondo delle criptovalute. In particolare, la blockchain potrebbe garantire sia alti livelli di sicurezza, sia un maggior controllo da parte degli utenti sui propri dati e sulle proprie informazioni presenti online.
Se ciò dovesse avvenire, ci troveremmo di fronte a una sorta di rivoluzione copernicana dell'intero settore. Ci si distaccherebbe, una volta per tutte, da un modello nel quale le credenziali e altre informazioni sensibili sono controllate e gestite da grandi organizzazioni – fornitori di servizi telefonici o servizi email, banche, governi e altre autorità centrali – per passare a un modello nel quale i dati sono conservati in grandi registri pubblici controllati da una rete di utenti. Una blockchain, insomma.
Identificazione a "sovranità autonoma"
Sistemi di protezione delle credenziali di questo genere sono stati già abbozzati, tanto da un punto di vista teorico quanto da un punto di vista pratico, e sono identificati con il nome di sistemi a "sovranità autonoma" (self-sovereign in inglese). Il perché di questa definizione è presto detto. Come accade per Bitcoin, Ethereum e altre altcoin basati sulla blockchain, il controllo del database (e delle informazioni che contiene) è nelle mani degli stessi utenti, che lo gestiscono e amministrano in piena autonomia. Non c'è, dunque, un organo di controllo centrale che possiede i dati, ma sono distribuiti tra tutti gli appartenenti allo stesso network.
La protezione delle informazioni presenti nel database, invece, è affidata alla crittografia a chiave pubblica, lo stesso sistema adottato dalle criptovalute per certificare e validare le transazioni di coin.
La crittografia a chiave pubblica e la protezione dell'identità digitale
Proprio mutuando questo particolare metodo di "autenticazione", alcune startup stanno provando a implementare sistemi di crittografia a chiave pubblica nel mondo della protezione dell'identità digitale. La crittografia a chiave pubblica basa il suo funzionamento su una coppia di chiavi, una pubblica e una privata, utilizzate per identificare gli utenti e consentire lo scambio di dati in maniera protetta e sicura. Nel caso delle app di messaggistica istantanea, le due chiavi sono usate per inviare messaggi criptati e decifrarli una volta che sono ricevuti dal destinatario (crittografia end-to-end); nel caso dei Bitcoin, invece, per "riconoscere" gli utenti e verificare le transazioni.
I possessori di Bitcoin – e le loro criptovalute – sono identificati nella blockchain tramite una stringa di caratteri, chiamata "indirizzo", derivata dalla loro chiave crittografica pubblica. Gli indirizzi sono conservati all'interno di software chiamati wallet, sistemi di gestione e conservazione degli "indirizzi" che permettono di risalire all'identità del possessore della criptovaluta in maniera immediata. Questo stesso sistema potrebbe essere utilizzato per conservare e proteggere l'identità online e consentire agli utenti di accedere ai loro account senza dover utilizzare password. Basterebbe creare dei wallet speciali che contengano credenziali anziché criptovalute e il gioco è fatto.
Opzioni in campo
L'idea di utilizzare la blockchain per proteggere l'identità digitale potrebbe essere meno campata per aria di quanto si pensi. Alcune istituzioni governative, infatti, hanno iniziato a collaborare con startup per implementare la catena di blocchi in varie attività legate alla gestione dell'identità personale. Lo Stato dell'Illinois, ad esempio, utilizzerà la blockchain per registrare i certificati di nascita dei suoi cittadini, mentre le autorità cittadine di Zug (in Svizzera) vogliono sfruttare la blockchain di Ethereum per la gestione dell'identità dei loro concittadini.
4 marzo 2018