İnsanlık, merkeziyetsiz dijital para yaratmanın bir yolunu çoktan buldu ve bu işe yarıyor. Ancak son zamanlarda, dikkatler giderek daha fazla başka bir derinden merkezileşmiş alana yöneliyor: kimlik.
Fotoğraflı bir kağıt belge taşıma günleri sona eriyor gibi görünüyor. İşte yeni dalga: World ID, Humanity Protocol, Proof of Humanity, BrightID — hepsi dijital bir devrim vaat ediyor. Blockchain tabanlı kimliğinizi alın ve pasaportlara ve hükümet evraklarına veda edin.
- Forbes, merkeziyetsiz kimliğin çözebileceği sorunlar hakkında editör yazıları yayınlıyor.
- Cryptonomist, bildiğimiz kimliği bozmayı amaçlayan yeni bir uygulama olan Blockchain ID Layer'ı öne çıkarıyor.
- Kongo Demokratik Cumhuriyeti, ulusal bir blockchain tabanlı kimlik sistemi başlatıyor.
Ancak bu sistemlerin gerçekte nasıl çalıştığına ne kadar derinlemesine bakarsam, aynı soruyla o kadar çok karşılaşıyorum:
Dijital bir kimlik, gerçekte birinin — herhangi birinin — şu anda bir özel anahtara veya bir cihaza erişimi olması gerçeğinden daha fazla bir şeyi kanıtlıyor mu?
Gerçek Dünyada Nasıl Çalışıyor?
Kağıt bir pasaportla işler oldukça basittir. Belgenizi gösterirsiniz, kontrol eden kişi fotoğrafla karşılaştırır — “evet, size benziyor.” Başka biri aynı pasaportla gelirse, hile hızla bozulacaktır. Bir arkadaşınızın pasaportunuzu ödünç almasına izin verseniz bile, kullanmaya çalıştıklarında yüz kontrolünden geçemeyeceklerdir. Gerçek bir kimliğin anlamı budur: "Ben tam olarak iddia ettiğim kişiyim."
Kağıt bir pasaportun arkasındaki "protokol" basitçe başka birinin onu kullanmasını engeller. Bu yüzden insanların genellikle pasaport ayrıntılarını paylaşma konusunda çok fazla endişe duyduklarını düşünüyorum. Bir pasaportun kusursuz bir kopyası bile, kendisi için düzenlenmemiş kişi değilseniz işe yaramaz — fotoğraf sizi ele verecektir!
Bununla birlikte, bu "protokol" genellikle uygulamada göz ardı edilir. Bazen insanlar fotoğrafı kontrol etme zahmetine bile girmezler. Diğer zamanlarda, pasaportu — veya yalnızca verilerini — sahibi mevcut olmadan kabul ederler. Bu yüzden kimlik ayrıntılarını paylaşmamayı tercih edenlere saygı duyuyorum. Özellikle de rabbit.io'daki müşterilerimizin çoğu bu şekilde düşündüğü için. Kripto değişimi için bize geliyorlar çünkü geleneksel borsalar pasaportla doğrulanmış kayıt gerektirirken, rabbit.io'da onsuz da takas yapabilirsiniz.
Kripto Endüstrisi Pasaportlara Hangi Alternatifleri Sunuyor?
Son zamanlarda, sürekli olarak “Tek kişi — tek kimlik!” ve “Verileriniz, kontrolünüz sizin!” gibi manşetler görüyorum.
Harika görünüyor. Gözünüzü bir kez tarıyorsunuz — ve işte karşınızda, dijital dünyada doğrulanmış bir insan olarak kaydoluyorsunuz. Bir ruh bağımlı token veya bir tür kimlik bilgisi alıyorsunuz ve şimdi merkeziyetsiz topluluklarda oy kullanabilir, airdrop'lar alabilir veya herhangi bir çevrimiçi uygulamada benzersizliğinizi kanıtlayabilirsiniz.
- Örneğin World'ü (eski adıyla Worldcoin) ele alalım. İrisinizi tarayan ve bunun benzersiz bir karma değerini blockchain'de depolayan bir cihaz inşa ettiler — görüntünün kendisi değil, sadece matematiksel bir parmak izi.
- Ayrıca avuç içi izleriyle aynı şeyi yapan Humanity Protocol da var.
- Ve video kayıtlarına ve sosyal onaya dayanan Proof of Humanity.
- BrightID bağlantılarınızı diğer insanlarla eşler ve sadece başka bir bot hesabı olmadığınızı doğrular.
- Idena, insanların insan olduklarını — ve benzersiz olduklarını — kanıtlamak için gerçek zamanlı olarak CAPTCHA'ları çözmelerini sağlıyor.
Bu sistemlerin her biri aynı soruya yanıt vermeye çalışıyor: Her insanın yalnızca bir dijital kimliğe sahip olduğundan ve bu kimliğin herhangi bir hükümete veya e-posta oturum açma işlemine bağlı olmadığından nasıl emin olabiliriz?
Ve İşte İşlerin İlginçleştiği Yer
Tüm bu sistemler, tek bir kişinin yalnızca bir kimlik almasını sağlamaya odaklanıyor. Ancak nadiren ele aldıkları şey, bir sonraki, çok daha karmaşık soru: Yalnızca aynı kişinin daha sonra da bu kimliği kullanmaya devam ettiğinden nasıl emin olabiliriz?
Çünkü bir düşünün — geleneksel bir pasaportla, birisi onu çalabilir, ancak pek uzağa gidemezler. Ortaya çıkacaklar ve kontrol eden kişi fotoğrafa bakacak ve fark edecek: “Durun, bu siz değilsiniz.”
Ancak kripto kimliklerinin dünyasında, bu ikinci doğrulama katmanı — kimliği kullandığınızda gerçekleşen katman — genellikle mevcut değildir. Birçok sistemde, kimliğiniz düzenlendikten sonra, önemli olan tek şey hala özel anahtarı veya depolandığı cihazı kontrol eden tek kişi olup olmadığınızdır.
Ve bu, sistemin artık sizi tanımlamadığı anlamına geliyor. Sadece şu anda anahtarı tutan her kimse'yi tanımlıyor.
Cihaz Bağlama Gerçek Bir Çözüm Değil
Sıklıkla, “Ancak anahtar yalnızca cihazınızda saklanıyor — başka kimse onu kullanamaz!” gibi şeyler duyuyorum. Bu yanlış bir kanı.
Cihazlar kaybolur, hacklenir, onarım için verilir veya bir başkasına ödünç verilir. Telefonunuza tam erişim elde eden herkes, kimlik bilgilerinizin tümüne de otomatik olarak tam erişim elde eder. Önlerinde duran gerçek bir engel yok.
Ve eğer sahibi kasıtlı olarak başka birinin kimliğini kullanmasına izin verirse — diyelim ki sistemi bilerek kandırmak için — o zaman kimliği biyometri yerine bir cihaza bağlamak sadece aldatmayı kolaylaştırır.
Biyometri Günümüzü Kurtaracak mı?
Özel anahtarların kolayca aktarılabilir olmasıyla ilgili eleştirilere yanıt olarak, birçok proje biyometri eklemeye başladı — Face ID, parmak izi, avuç içi taramaları. World ID ile, iris'inizi Orb'da taradıktan sonra, Sözde yalnızca "sizin" yüzünüzün uygulamayı açabilmesi için Face Auth'u etkinleştirmeniz isteniyor. Kulağa güven verici geliyor, değil mi? Ancak işte sistemdeki ilk büyük delik geliyor — insanların genellikle hakkında konuşmadığı delik.
Bir telefondaki herhangi bir biyometrik kimlik doğrulama — ister Face ID ister parmak izi olsun — sadece cihazın kilidini açmanın bir yoludur. Bu aslında onu kullanan kişinin siz olduğunuzu kanıtlamaz. Telefonunuzun ayarlarına gidebilir ve arkadaşınızın veya akrabanızın parmak izini ekleyebilirsiniz ve artık onlar da uygulamanıza sizinle aynı erişime sahip olacaklar. Daha da kötüsü, sizin üzerinizde fiziksel kontrolü olan biri — diyelim ki siz uyurken, bilinciniz kapalıyken veya baskı altındayken — kendi biyometrik verilerini ekleyebilir ve kimliğinizi kullanmaya başlayabilir.
Sistem hangi parmak izini veya yüzü gördüğünü söyleyemez. Tek bildiği, "onaylanmış biyometrik profillerden birinin" eylemi doğruladığıdır. Bu nedenle, "yalnızca orijinal kullanıcının World ID'sine erişebileceği" yönündeki tüm bu vaatler, açıkçası, boş bir umuttur.
Bazı projeler sahtesini yapmayı zorlaştırıyor. Humanity Protocol avucunuzu tarar ve gelecekteki erişim için aynı avucunu gerektirir. Proof of Humanity, yüzünüzün bir videosunu gerektirir ve daha sonra başka birinin yüklemesini yapamazsınız. Ancak bunlar bile daha derin sorunu çözmüyor: aslında kiminle muhatap olduğunuzdan emin olamazsınız. Kendi elini veya yüzünü tarayan kişi mi? Yoksa başka biri tarayıcıyı orijinal kullanıcının eline mi doğrultuyor — veya bir kamerayı başka birinin yüzüne mi?
Sosyal Protokoller ve “Benzersizlik” Fikri
BrightID ve Proof of Humanity gibi projeler farklı bir yol izliyor: biyometri yok, sadece sosyal bağlantılar veya karşılıklı onaylar yoluyla benzersizliğin kanıtı — bazen bir selfie veya kısa bir video ile. Bu bağlamda "benzersiz bir insan" basitçe bir bot, yinelenen bir hesap olmadığı anlamına gelir. Bu dijital kimliklerin doğrulamak için tasarlandığı tek şey budur. Kimliği kullanan kişinin, onu ilk oluşturan kişiyle aynı olduğunu kanıtlamayı amaçlamazlar.
Bu yaklaşım, bot önleme için harika ve çevrimiçi oylama veya airdrop sistemlerine bir bütünlük katmanı ekliyor. Ancak hesabınıza erişimi başka birine verirseniz, sistem açısından onlar "siz" olmaya devam edeceklerdir — o anda telefonu gerçekte kimin tuttuğunu doğrulamak için bir kontrol yoktur.
Bir Devlet Belgesine Bağlantı (Pasaport, Sürücü Ehliyeti)
Bazı projeler bir “kanıt öğesi” eklemeyi teklif ediyor — örneğin, merkeziyetsiz kimliğinize doğrulanmış vatandaşlık veya yaş eklemek için NFC aracılığıyla gerçek bir biyometrik pasaporttan veri okumak.
Ancak işte yakalama. Bu çözümlerin çoğu aslında yüzünüzü pasaporttaki fotoğrafla karşılaştırmaz. Sadece dijital imzayı kontrol ediyorlar ve alanların eşleştiğini doğruluyorlar. Yani eğer rastgele bir şekilde başka birinin pasaportuna sahipseniz, onu kolayca kimliğinize bağlayabilirsiniz — ve sistem ikameyi algılamaz.
Tipik olarak, yalnızca merkezi hizmetler — bankalar, KYC sağlayıcıları vb. — canlı bir selfie veya video karşılaştırması gerektirir. Merkeziyetsiz, Web3 tarzı çözümler genellikle bu tür gizlilik tavizlerinden kaçınır.
Web3'te Canlı Selfie
Birçok kişi “Gelecekte, mükemmel ZK ve SSI sistemlerine sahip olacağız — her şey yalnızca kullanıcının cihazında depolanacak, özçekimler doğrulama için kullanılacak ve gizlilik tamamen korunacak!” diyor. Ama işte sorun: tüm biyometrik veriler yalnızca kullanıcının tarafında depolanıyorsa, doğrulayan taraf canlı selfie'yi tam olarak neyle karşılaştıracak?
Aynen öyle — kullanıcının fotoğrafını veya biyometrik şablonunu harici bir hizmete (genellikle bulut tabanlı bir yapay zeka) göndermesi gerekecek ve ardından hizmetin kontrol sonrasında verileri silmesini umut edecektir. Garanti yok.
Peki, İşin Özü Nedir?
Şu anda kripto endüstrisinde geliştirilmekte olan merkeziyetsiz dijital kimlikler gerçekten de ilerlemeyi temsil ediyor — özellikle de kullanıcılara kendi verileri üzerinde kontrol sağlama konusunda.
Toplu sahteciliğe, çoklu hesaplara ve bot çiftçiliğine karşı sağlam koruma sunuyorlar. Anonimliği koruyorlar — sen açmayı seçmediğin sürece kimse senin adını bilmiyor. Pasaportunuzu yüklemeden veya her yeni web sitesinde kişisel verileri doldurmadan “Gerçek bir insanım” ı kanıtlamayı kolaylaştırıyorlar.
Ama işte sunmadıkları şey: kimliği kullanan kişinin, onu ilk alan kişiyle aynı olduğuna dair güçlü bir garanti.
Bu sistemlerin gerçekte koruduğu şey, birinin bir özel anahtarı — veya bir cihazı — kontrol etmesi gerçeğidir. Belirli bir insanla bire bir bağlantı değil.
Biyometri, sosyal grafikler, doğrulama belirteçleri — botları durdurmada harikalar. Ancak çok insani bir senaryoya karşı korunmazlar: orijinal kullanıcı gönüllü olarak (veya baskı altında) cihazına veya anahtarlarına başka birinin erişmesine izin verdiğinde.
Bu nedenle, “yalnızca sahibi dijital kimliğini kullanabilir” gibi herhangi bir iddiayı sağlıklı bir şüphecilikle değerlendirin. Gerçekte elde ettiğiniz şey sadece bir belirteç — ve ona erişmek için bir anahtar. Unutulabilen, kaybedilebilen, paylaşıabilen veya alınabilen bir anahtar.
Daha güçlü garantiler istiyorsanız, tetikte kalın ve blockchain büyüsü hakkındaki peri masallarına kanmayın. Blockchain, değer depolamak ve aktarmak için harika — kimlik için değil. Ve eski güzel "pasaporttaki fotoğraf" olmadan, hala kritik bir parçayı kaçırıyoruz. Tıpkı o fotoğrafı belgeyi tutan kişinin gerçek yüzüyle karşılaştırmak için hala yüz yüze kontrollere ihtiyacımız olduğu gibi.
