Çin Blockchain Geliştirme Raporu (2019)
Yazar: Zhang Yifeng düz Qingrui (CBPM blok zinciri Teknoloji Enstitüsü)
Bu makale ilk olarak "China Blockchain Development Report (2019)" Technical Innovation'da yayınlandı.
Özet
Geleneksel İnternetin gelişimi, merkezi hizmetlerle karakterize edilir ve uygulamalar izole adalardır ve kişisel kimlik, farklı merkezi hizmet sağlayıcılarının sağlanmasına bağlıdır. Web2.0'ın hızlı gelişmesiyle birlikte, sermaye, veri ve trafik kaynakları büyük teknoloji devleri tarafından büyük ölçüde tekelleştirildi.Siber suç ve gizlilik sızıntıları giderek daha ciddi hale geliyor. Uygulamalar arasında güvenli, yasal ve uygun işbirliği için birincil ön koşul, güvenilir dijital kimlik sorununu çözmektir. .
Kimliği gerçekten otonom hale getirmek için, dijital kimlik altyapısının tek bir kuruluş veya ittifak kuruluşu tarafından kontrol edilen merkezi kapalı ortamı kırması ve onu açık bir dağıtılmış ortama yerleştirmesi gerekir. Bu makale, okuyuculara dağıtılmış dijital kimlikler hakkında bilgi sağlamak için dağıtılmış dijital kimlikler, temel kavramlar ve dağıtılmış dijital kimliklerin temel içeriği, anahtar teknolojiler, teknik mimari ve geliştirme durumunun araştırma geçmişinden dağıtılmış dijital kimlikleri açıklar. Dijital kimlik daha kapsamlı ve sistematiktir.
Dağıtılmış dijital kimlik, güvenilir bir ağ kurmanın temeli ve ulusal ağ güvenliği stratejisinin temel taşıdır.İlgili teknolojiler üzerine erken araştırmalar, dağıtılmış dijital kimlik altyapısının inşasının teşviki ve ilgili ekoloji ve uygulamaların geliştirilmesi büyük önem taşımaktadır.
Anahtar kelimeler
Dağıtılmış Otonom Dijital Kimlik Doğrulanabilir Beyan Dağıtılmış Defter Gizliliği
Bu yıl İnternetin doğumunun ellinci yıldönümü. Ağ teknolojisinin olgunlaşması ve gelişmesiyle birlikte, giderek daha fazla uygulama hizmeti İnternet üzerinden halka hizmet ediyor.İnsanlığın yarattığı İnternet dijital dünyasının hızla genişlemesiyle, insanların fiziksel dünyadan dijital dünyaya geçiş yaşadığını söylemek abartı olmaz. Göç. Bununla birlikte, ağ hizmetlerini her gün kullanan kişi sayısının artması ve farklı uygulama hizmetleri arasında güvenilir işbirliğine duyulan ihtiyaçla birlikte, İnternette bir kimlik protokol katmanının olmamasından kaynaklanan kullanıcı kimliği sorunu giderek ön plana çıkmaktadır.
İnternet tasarımının başlangıcında, standart ve net bir kullanıcı tanımlama veya organizasyon yöntemi yoktu.İnternet uygulama servis sağlayıcıları, ağ kimliği için ana çözüm haline gelen kullanıcı adı ve şifrelere dayalı yerel hesaplar oluşturarak genellikle kullanıcı kimliği yönetimi sorununu çözdü. Bu hesap tabanlı kimlik yönetimi yöntemi, aşamalı olarak aşağıdaki dezavantajları ortaya çıkardı:
1. Birden çok kimlik oluşturma, yüksek bakım maliyetleri ve düşük kullanım verimliliği
Uygulama merkezli hesap yönetimi yönteminde, kullanıcılar kendi tam dijital kimliklerine sahip değildir, sadece farklı organizasyonlara dağılmış onlarca veya yüzlerce parçaya sahiptir.Bu bilgilerin kontrolü, güncellenmesi ve bakımı uygulama bazında ancak tek tek gerçekleştirilebilir. Tekrarlayan ve hantal. Örneğin, insanların aynı kimlik bilgilerini çeşitli iş sistemlerinde sunmaları ve benzer kimlik doğrulama süreçlerini tekrarlamaları gerekir.
Büyük ölçekli uygulamalarda, bireylerin uygulama hesaplarına dayalı kimlik yönetimi yöntemlerini sürdürmeleri zordur ve güvenlik dezavantajları giderek daha belirgin hale gelmektedir; kimlik doğrulama tarafları (hükümet, finans, sosyal temel hizmet departmanları gibi) ve bağlı taraflar (hizmet sağlayıcılar) Aynı kuruluşun kimlik doğrulama hizmeti için tekrarlanan zaman ve ekonomik maliyetler ödenmesi gerekir; web siteleri ve web uygulamalarının ötesinde, büyük miktarda kullanıcı verisinin edinilmesi, depolanması, yönetilmesi ve korunmasının küresel maliyeti, bu tür verilerin milyonlarca kuruluş tarafından tutulmasına bağlıdır. Sorumluluklar birlikte artar.Global veri çoğaltma ve veriler arasındaki tutarsızlıklar kimlik doğrulama sürecinde büyük israfa yol açar. Tahminlere göre, yalnızca Birleşik Krallık'ta kimlik doğrulama sürecinin maliyeti yılda 3,3 milyar poundu aşıyor ve ABD'deki kimlik doğrulama sürecinin maliyeti yılda yaklaşık 22 milyar ABD doları.
2. Kullanıcı adı ve parolanın neden olduğu gizli güvenlik tehlikeleri
Kullanıcı adı ve parola yöntemini kullanmanın temeli, hesap bilgilerini yalnızca kullanıcının bilmesidir.Bu, mevcut bilgi teknolojisi ortamında en temel ve uygulaması kolay kullanıcı yönetimi çözümüdür. Ancak kullanıcı adı ve şifre yöntemleriyle ilgili pek çok sorun vardır.Birincisi, basit kullanıcı adları ve şifreler temelde sistemin gerektirdiği güvenliğe sahip değildir ve kullanıcıların çok sayıda farklı karmaşık kullanıcı adı ve şifreleri ezberlemesi çok zordur; ayrıca kullanıcı adı ve şifrelerin gizli güvenlik riskleri vardır. Bu güvenlik riskleri yalnızca parola giriş sürecinde değil, aynı zamanda parola iletimi, depolanması ve doğrulama sürecinde de ortaya çıkar.
Şifrelerin yaygın olarak kullanılmasının nedeni ekonomik olmaları ve çoğu kullanıcı için uygulama engellerinin olmamasıdır.Güvenlik yüksek olmasa da güvenlik önlemlerinin olmamasından daha iyidir. Şifrelerle ilgili sorunlar şunları içerir: güvenlik, kapsamlı girişimler, evrensel şifreler, yaşam döngüleri, sızıntılar, vb. Bazı durumlarda, kullanıcılar varsayılan şifreleri kullanır veya uygulamalara veya cihazlara evrensel şifreler oluşturur.Bu bilinen eksiklikler çok ciddidir. Kırılması kolaydır; teknolojinin gelişmesiyle birlikte yüksek güçlü şifreleri zorla kırmak için gereken süre gittikçe kısalıyor. Kullanıcı adlarının ve şifrelerin güvenlik dezavantajları, büyük ölçekli uygulamalarda giderek daha belirgin hale geldi ve ağa büyük güvenlik riskleri getiriyor. Ağdaki kullanıcıların% 10'u siber suç işlemek için kimliklerini taklit ediyor.
Teknolojik gelişme eğilimleri açısından, tek bir kullanıcı adı ve parola, bakım sorunları ve gizli güvenlik riskleri nedeniyle eninde sonunda ana akım kimlik yönetimi çözümlerinin tarihsel aşamasından çekilecektir.
3. Kimlik verileri bağımsız olarak yönetilmez ve gizlilik sızıntısı riski vardır
Hesap modunda, kişisel kimlik bağlı olduğu uygulama tarafından sağlanır - her uygulama kendi kullanıcı veritabanını oluşturarak kullanıcı kimlik verilerini yönetir. Bazı kuruluşlar, diğer kuruluşlara göre daha iyi veri tabanlarına ve daha kapsamlı kullanıcı veri bilgilerine sahiptir.Bu nedenle, kimlik sahibinin kabul edip etmediğine bakılmaksızın, kullanıcı verilerini bir adadan diğerine aktarmak için karmaşık ve pahalı bir mekanizma geliştirmişlerdir. Bu sürece genellikle kullanıcı verilerinin kasıtsız veya istenmeyen sızıntısı eşlik eder.
Yalnızca 2018'de Facebook, Microsoft, Amazon, Spotify, Netflix ve Apple gibi büyük şirketlerin kullanıcıların özel bilgilerini okumasına, göndermesine ve silmesine izin veren Facebook'un öznel olarak erişim arayüzleri sağlaması da dahil olmak üzere birkaç ciddi gizlilik sızıntısı yaşadı. Ayrıca, kullanıcılar tarafından yüklenen özel fotoğraflara üçüncü taraf uygulamalar tarafından erişilmesine neden olan program boşluklarını da içerir; Google ayrıca, erişim arayüzü sorunları nedeniyle kullanıcı verileri sızıntısı vakaları yaşamıştır ve Google, yazılım arızaları nedeniyle Google+ kullanıcısı özel veritabanını gizlemeye maruz kalmıştır. Harici geliştiriciler tarafından erişilebilir ve sonunda, sızıntının neden olduğu sorunu gidermek için Google+ yazılımını kapattı. Ekim 2017'de, bir güvenlik araştırma kuruluşu olan Kromtech Security Researchers, bir tıbbi hizmet kuruluşu tarafından Amazon S3'te depolanan yaklaşık 47 GB tıbbi verinin, en az 150.000 hastayı içeren 315363 PDF dosyası da dahil olmak üzere, yanlışlıkla halka açık olduğunu açıkladı.
25 Mayıs 2018'de, tarihin en katı gizlilik verilerini koruma yönetmeliği olarak tanımlanabilecek AB'nin Genel Veri Koruma Yönetmeliği (GDPR) yürürlüğe girdi. GDPR, veri koruma zincirindeki tüm tarafların sorumluluklarını yukarıdan aşağıya paylaşmasını gerektirerek, veri korumanın zorunlu ve hesap verebilirliğini büyük ölçüde artırmıştır. GDPR şunları şart koşmaktadır:
- Unutulma hakkı;
- Yazılım tasarımı veri koruma ilkesi (Tasarım yoluyla veri koruma);
- Veri kontrolü ve işleme, veri güvenliğini ve bütünlüğün korunmasını sağlamalıdır.
GDPR, siber güvenliğin temeldeki teknik yönetişimini tamamlamak için verileri başlangıç noktası olarak kullanarak gelecekte küresel siber uzay kurallarının temel taşı haline gelebilir. Bunun, kişisel bilgi toplama ve mahremiyetle yönlendirilen İnternet 2.0 endüstri kuruluşlarının gelir modeli üzerinde büyük bir etkisi ve hatta yıkıcı bir etkisi olacaktır.
Özetle, İnternet için birleşik bir kimlik katmanı oluşturmanın, kişilerin, kuruluşların ve şeylerin kendi egemen kimliklerine sahip olmalarına ve kendi kimlik bilgilerini yönetmelerine izin vermenin zamanı geldi. Özerkliğe dayalı güvenilir bir dijital kimlik, güvenilir bir ağ açmanın anahtarıdır ve aynı zamanda güvenilir verilerin ve güvenilen varlıkların gelecekteki sirkülasyonunun temelidir.
1. Ağ dijital kimliğinin gelişimi
İnternet kimliğinin gelişimi, dijital kimliğin üç temel gerekliliğinin karşılanmasının sonucudur:
- Güvenlik - kimlik bilgilerinin kasıtsız olarak dışarı sızmasını önlemelidir;
- Kontrol - Kimlik sahipleri, verilerini kimin ve hangi amaçla görüntüleyebileceğini ve erişebileceğini kontrol etmelidir;
- Taşınabilirlik - Kullanıcılar, tek bir kimlik sağlayıcıya bağlı kalmadan, kimlik verilerini istedikleri yerde kullanabilmelidir.
Çevrimiçi dijital kimliğin gelişim geçmişine bakıldığında, evrimi aşağıdaki dört geliştirme aşamasından geçti.
Şekil 1. Dijital kimlik geliştirme aşamaları
İnternet kimliklerinin büyük çoğunluğu merkezileştirilmiştir. Bu, e-ticaret web siteleri veya sosyal ağlar gibi ayrı varlıklara sahip oldukları ve bunları kontrol ettikleri anlamına gelir. Belirli bir uygulama alanında, yerel kimlik normal şekilde çalışabilir, ancak çeşitli çevrimiçi web siteleri ve hizmetlerle etkileşim için kullanıcıların hızla artan ihtiyaçlarını karşılamak zordur.
Çoğu kişinin çevrimiçi benzersiz kimlikleri merkezileştirildiğinden, bir hesabın silinmesi, bir kişinin çevrimiçi kimliklerini de siler. Bu kimlikler yıllar içinde kullanıcılar tarafından biriktirilebilir ve onlar için çok değerlidir ve değiştirilemez. veri.
İttifak kimlikleri, merkezi kimlik sorununu çözmek için kullanılır ve belirli bir derecede taşınabilirlik sağlayabilir. Örneğin, bir kullanıcı belirli hizmet kimlik bilgilerini kullanarak başka bir hizmette oturum açabilir. Daha karmaşık bir düzeyde, farklı hizmetlerin kullanıcılar hakkında ayrıntılı bilgi paylaşmasına izin verilebilir.
İttifaklar büyük işletmelerde yaygındır. Tekli oturum açma mekanizması, kullanıcıların birden fazla bağımsız iç hizmete erişmek için bir kullanıcı adı ve şifre kullanmasına olanak tanır. Bazı ülkelerdeki devlet kurumları da vatandaşlarına hizmet etmek için ittifak kimliklerini kullanır. İttifak taşınabilir gibi görünse de, yine de ittifak kimlik sağlayıcısının gücüne güveniyor ve ittifak hesabını silmek, kullanıcılara daha büyük zararlar verecek. Aslında, ittifak kimliği, merkezi veri tekelini yoğunlaştırdı, bilgisayar korsanları için büyük miktarda bal küpü verisi hazırladı ve daha büyük veri güvenliği risklerine neden oldu.
Kullanıcı kontrolünün temel gerekliliği, talep sağlayıcıdan güvenen tarafa bilgi akışının yalnızca kullanıcı bunu talep ettiğinde gerçekleşmesidir. Kişi, kendi veri deposunu diğer kuruluşlara sağlamasına izin verebileceği bilgilerle doldurur ve bunu yaparken kayıtları tutar. Bununla birlikte, bu süreç, kullanıcının kimlik sağlayıcıyı seçmesine ve tek taraflı ek sözleşmesini kabul etmesine dayanır.Faydalar nedeniyle, veriler bir veritabanından diğerine taşındığında kasıtlı veya kasıtsız veri sızıntısı meydana gelir ve kullanıcı bilgileri satış için bir ürün haline gelir.
Bağımsız kişisel veri depolama da mevcuttur, ancak sorun hala mevcuttur. Olgun bir kişisel veri depolama ekosisteminde, bağlı tarafların çok çeşitli müşteri gruplarını kapsamak için bu tür birçok kimlik sağlayıcıyla bağlantı kurması gerekir. Karmaşık ve zaman alan entegrasyon nedeniyle, ölçek efektleri üretmek zordur. .
Özerk kimlik, kimliğin ait olduğu bireyin (veya kuruluşun) kimliğine tamamen sahip olduğu, kontrol ettiği ve yönettiği anlamına gelir.Yukarıdaki üç aşamada merkezi dış kontrolü ortadan kaldırır, böylece bireylerin dijital varlığının tek bir organizasyonla ilgisi yoktur ve kimse yapamaz. Birini özerkliklerinden mahrum bırakın. Kendi kendine egemen kimlik, kimlik sahibi tarafından kontrol edilen dijital bir konteyner olarak kabul edilebilir, başkalarına verileri paylaşma yetkisi verilerek, taşınabilir kimlik uygulaması gerçekleştirilebilir. Kimlik beyanı verileri kendi kendine beyan veya üçüncü taraf beyanı olabilir ve doğruluğu, güvenen taraf tarafından bağımsız olarak doğrulanabilir.
"Özerk kimliğin" tipik özellikleri aşağıdaki üç noktada özetlenebilir.
Tablo 1. Dağıtılmış dijital kimlikle ilgili teknik standartlar
2. Dağıtılmış dijital kimlik
Kimliği gerçekten özerk hale getirmek için, dijital kimlik altyapısının tek bir kuruluş veya ittifak kuruluşu tarafından kontrol edilen merkezi bir ortam yerine dağıtılmış bir ortama yerleştirilmesi gerekir.
Dağıtılmış Defter Teknolojisi (DLT), bunu mümkün kılan teknolojik bir devrimdir. Birden çok kurum, kuruluş ve hükümetin İnternet gibi etkileşime giren dağıtılmış bir ağ aracılığıyla birlikte çalışmasını sağlar. Kimlik verileri, arızalara direnmek için birden çok konumda çoğaltılır ve kurcalamak. Dağıtık defter teknolojisi bir süredir var olmuş ve gelişmiştir, dağıtım ve güvenlik konusundaki yeteneği kanıtlanmıştır.Açık anahtar altyapısı ve anonim kimlik bilgisi teknolojisi ile birleştirildiğinde, dağıtılmış otonom dijital kimlik teknolojisi gerçekleşir. mümkün hale gelir.
01 Dijital Kimlik ve Doğrulanabilir İddia Modeli
1.1 Dijital kimlik gösterimi
Uluslararası Elektroteknik Komisyonu, "kimlik" i "bir varlıkla ilişkili bir dizi özellik" olarak tanımlar. Dijital kimlik genellikle bir kimlik tanımlayıcı ve bununla ilişkili öznitelik bildirimi ile temsil edilir Dağıtılmış dijital kimlik iki bölümden oluşur: dağıtılmış dijital kimlik tanımlayıcı ve dijital kimlik sertifikası (beyan toplama).
Dağıtılmış Dijital Kimlik Tanımlayıcı (DID), dijital bir kimliği temsil etmek için kullanılan karakter dizilerinden oluşan bir tanımlayıcıdır ve merkezi bir kayda ihtiyaç duymadan küresel benzersizliğe ulaşabilir. Genel olarak, bir varlık birden fazla kimliğe sahip olabilir ve her kimliğe benzersiz bir DID değeri ve onunla ilişkili bir asimetrik anahtar atanır. Farklı kimlikler arasında hiçbir ilişkilendirilmiş bilgi yoktur, dolayısıyla sahip kimlik bilgilerinin toplanması etkin bir şekilde önlenir.
"İddialar", bir kimlikle ilişkili öznitelik bilgisine atıfta bulunur Bu terim, kendisine güvenilmesi gereken herhangi bir özel sistemden bağımsız olarak, bir dijital kimliği iddia etmenin bir yolu olan bir iddiaya dayanan dijital bir kimlikten kaynaklanır. Beyanname bilgileri genellikle şunları içerir: isim, e-posta adresi, yaş, meslek vb.
Bir beyan, bir kimlik sahibi (bir birey veya kuruluş gibi) tarafından verilebilir veya başka bir açıklama düzenleyen tarafından verilebilir.Ekran, yayıncı tarafından kontrol edildiğinde, doğrulanabilir bir ifade olarak adlandırılır. Kullanıcı ifadeyi ilgili uygulamaya gönderir, uygulama kontrol eder ve uygulama hizmet sağlayıcısı kendisi tarafından imzalanan doğrulanabilir beyana bir yayıncı gibi güvenebilir. Birden çok ifadenin toplanmasına kimlik bilgileri denir.
1.2 Doğrulanabilir iddia modeli
Dijital kimlik yönetiminin temel amacı, kimlik sahiplerinin kimlik özelliklerini ispatlamak için iddiaları kolayca almalarını ve kullanmalarını sağlamaktır.İfade yönetimi, dijital kimlik sisteminin ana içeriğidir.
Önceki bölümdeki dağıtılmış dijital kimliğin tasarımına bağlı olarak, ifade yönetimi ve doğrulanabilir talep modeline dayalı iş akışı iyi bir şekilde uygulanabilir: doğrulanabilir iddia, kimlik sahibinin talebine göre kimlik onaylayıcı (talep yayıncısı) tarafından imzalanır ve serbest bırakılır. Sahip, doğrulanabilir ifadeyi şifreli bir şekilde kaydeder ve doğrulama için gerektiğinde kimliğe bağlı tarafa (beyan doğrulayıcı) gönderir; kimliğe bağlı tarafın (beyan doğrulayıcı) geri alma yoluyla kimlik onaylayıcısına bağlanması gerekmez. Kimlik kayıt formu, talep ile gönderen arasındaki ilişkiyi onaylayabilir ve kimlik sahibinin öznitelik talebinin gerçek kaynağını doğrulayabilir.
Şekil 2. Doğrulanabilir talep modeli
Geleneksel kimlik doğrulama yöntemiyle karşılaştırıldığında - kimliğe güvenen taraf, kullanıcı bilgilerini toplar ve kimlik doğrulayıcısına kimlik doğrulama için güvenli bir kanal aracılığıyla iletir. Doğrulanabilir ifade modelinde, kimlik doğrulayıcının kimliğe güvenen taraf sistemine dikkat etmesi, güvenmesi ve bağlantı kurması gerekmez. , Yalnızca kimlik talep eden için orijinallik beyanı dosyasını onaylamanız ve yayınlamanız gerekir ve kimliğe güvenen taraf, farklı kimlik doğrulayıcılarla bağlantı kurmadan farklı kullanıcı kimlik bilgilerine erişim ve bilgilerin gerçekliğinin doğrulanmasını gerçekleştirebilir.
Dijital kimlik uygulamasında, kimlik tanımlayıcıların üretimi ve sürdürülmesini, kimlik öznitelik bildirimlerinin oluşturulması / depolanması / kullanımından ayırmak, modüler, esnek ve rekabetçi bir kimlik hizmeti ekosistemi oluşturmaya yardımcı olacaktır. .
02 Neden dağıtılır
Başlangıçta belirtildiği gibi, bugün herhangi bir varlığın İnternet üzerindeki dijital kimliğinin kontrolü aslında üçüncü bir tarafın elindedir. E-posta adresleri, kullanıcı adları ve dijital sertifikalar olsun, hizmet sağlayıcılara, CA merkezlerine ve sosyal ağlara iletiyoruz. İnternette ciddi kullanılabilirlik ve güvenlik sorunlarına neden olan "Leasing". Dijital kimliğin kontrolünü sahip varlığa geri döndürmek için, kimlik sahibinin izinsiz bir önyükleme şifreli dijital kimlik oluşturmasına destek olacak bir mekanizmaya ihtiyaç vardır.Bu, dijital kimlik altyapısının dağıtılmış bir ortama yerleştirilmesini gerektirir.
Dağıtılmış dijital kimlik altyapısının aşağıdaki sorunları ele alması gerekir:
Dijital kimlik tanımlayıcıların otonom kontrolü ve yönetimi
Asimetrik anahtarlara dayalı noktadan noktaya kimlik doğrulama ve güvenlik bilgisi alışverişi
Kriptografi uygulamalarının kullanıcı dostu olmasını sağlayın
Dağıtılmış bir dijital kimliğin oluşturulmasının yanıtı DPKI'dır, yani: Dağıtılmış Açık Anahtar Altyapısı. Dağıtılmış defter teknolojisine dayalı olarak DPKI, kimlik sahibinin kimlik ID-vk (doğrulama genel anahtarı) bilgilerinin değişmezliğini ve küresel paylaşımını gerçekleştirir, böylece bölgelerdeki ve kuruluşlardaki farklı varlıklar, paylaşılan kimlik verilerinin içeriği ve durumu üzerinde bir fikir birliğine varabilir ve bir dağıtım oluşturabilir. Güven.
DPKI, kimlik kimliğinin kontrolünü sahibine iade etmeyi destekler ve geleneksel açık anahtar altyapısını (PKI) rahatsız eden MITM'nin (Orta Saldırıda Adam) etkisini ortadan kaldırırken, hiçbir üçüncü tarafın tüm sistemi tehlikeye atmamasını sağlar. Dürüstlük ve güvenlik.
03 Dağıtılmış Dijital Kimliğin Temel Teknolojileri
Dağıtılmış dijital kimlik teknolojisinde, dağıtılmış dijital kimlik tanımlayıcı ve dağıtılmış dijital kimlik ifadesi için doğrulanabilir ifadeye ek olarak, aşağıdaki temel teknolojileri de içerir:
Şu anda DNS ve X.509 PKIX tabanlı İnternet kimlik yönetim sisteminde bazı güvenlik ve kullanılabilirlik sorunları bulunmaktadır.Bu sorunların kökü sistemin merkezileşmesinde yatmaktadır. Merkezileştirilmiş tasarım, kimlik sahibinin kimliğini temsil eden kimlik tanımlayıcısını kontrol etmesini engeller ve böylece üçüncü tarafların kendi kimlik güvenliklerini tehlikeye atmasına olanak tanır. Bu sorunu çözmek için, dağıtılmış bir genel anahtar altyapısı oluşturmamız ve dağıtılmış anahtar yönetimi yöntemlerini netleştirmemiz gerekiyor.
Dağıtılmış anahtar yönetimi, varlıklar için dağıtılmış bir dijital kimlik cüzdanı uygulaması sağlanarak gerçekleştirilebilir.Kimlik cüzdanı, kullanıcıların kendi kimliklerini yaratmalarını, kimlik gizli (özel) anahtarlarını korumalarını ve anahtar kullanımını kontrol etmelerini destekler; aynı zamanda kurcalanamaz dağıtımı yoluyla Defter, sahibin kimlik tanımlayıcısını ve ilişkili doğrulama genel anahtar bilgilerini kaydetmek ve yayınlamak için kullanılır. Bu tasarıma dayalı DPKI, kaynakları kısıtlı mobil cihazlarda bile normal şekilde çalışabilir ve özel anahtar koruması sağlayarak kullanıcı kimliği tanımlayıcılarının bütünlüğünü sağlayabilir.
DPKI tabanlı noktadan noktaya kimlik doğrulamanın ve güvenli iletişimin uygulanmasının amacı, kullanıcılar ve veriler için güvenli ve gizli bir noktadan noktaya güven ilişkisi sağlamaktır. Güvenli bir noktadan noktaya iletişim sisteminin aşağıdaki üç temel gereksinimi karşılaması gerekir.
Gizlilik - eşler arası ağdaki verilere yetkisiz kişiler tarafından erişilmemesini sağlamak için.
Bütünlük - gönderilen verilerin yetkili bir eş düğüm tarafından gönderilmesini ve verilerin yetkisiz kişiler tarafından taklit edilememesini veya değiştirilememesini sağlamak.
Kullanılabilirlik - yetkili eş düğümlerin ağ kaynaklarını normal şekilde kullanabilmesini ve yetkisiz kişilerin bunu kullanamamasını sağlamak için.
İki nokta arasındaki iletişim söz konusu olduğunda, güvenli iletişiminin çalışma prensibi hala geleneksel PKI sınama yanıt mekanizmasına ve anlaşmalı veri şifreleme yöntemine dayanmaktadır; tüm ağdaki tüm düğümler söz konusu olduğunda, kimlik anahtarlarının merkezi olmayan sunuculara ve kişisel istemcilere dağıtılması yoluyla Tüm ağ tarafından paylaşılan cüzdan ve DID dağıtılmış defter, herhangi bir farklı varlık kimliğini temsil eden düğümler arasındaki asimetrik anahtar yöntemine dayalı kimlik doğrulama etkileşimini gerçekleştirebilir ve nihayet, varlıklar arasında bu tür bir güven aktarımı yoluyla tüm ağın güvenini gerçekleştirebilir.
Geleneksel erişim kontrol yöntemi, kullanıcının kimlik bilgilerini hizmet sağlayıcıya göstermesine dayanır ve ardından hizmet sağlayıcı, kullanıcının hizmeti kullanıp kullanamayacağını belirler. Bu kimlik tabanlı erişim kontrolü anonim değildir ve kullanıcıların ifşa etmesi gereken bilgiler, hizmete erişim elde etmek için gerekli kapsamın çok ötesindedir.
Anonim Kimlik Bilgisi (AC) adı verilen bir çözüm, kullanıcıların bu durumdan kurtulmasına yardımcı olabilir. Anonim kimlik bilgileri, kimlik bilgilerini veren kuruluş tarafından sağlanan kullanıcı bilgilerini içeren özel bir kimlik bilgisidir. İfade bilgilerini iletmek için kullanılır, ancak gerçekte ifade verilerinin düz metin veya şifreli metin sürümünü içermez, ancak ifade sonucu için bir kriptografik doğrulama yöntemi sağlar. İsimsiz bir kuponun tipik bir örneği, gerçek doğum tarihini açıklamadan yaşın kanıtını ("21 yaş ve üstü" gibi) göstermektir. AC'nin avantajlarından biri, hizmet sağlayıcının verileri içeren tam bir kimlik bilgisi alamaması veya başka bir kullanıcıyı simüle etmek için yeniden kullanamamasıdır. AC, anonimlik sağlar; bu, diğer kişilerin yetkili özniteliklere sahip kullanıcıları görebileceği, ancak kullanıcının kim olduğunu belirleyemediği anlamına gelir.
Sıfır bilgi kanıtlarına dayanan anonim kimlik bilgileri, gizliliği artıran önemli bir teknolojidir ve on yıldan uzun bir süredir Microsoft ve IBM tarafından kapsamlı araştırma ve geliştirmenin konusu olmuştur. Son derece hassas veya alakalı bilgileri paylaşırken gizliliği koruma konusunda büyük potansiyele sahiptirler.
Anonim kimlik bilgileri, öznitelik tabanlı erişim kontrolü (Öznitelik Tabanlı Erişim Kontrolü, ABAC) yöntemleri için uygundur - nesnenin özniteliklerine, çevresel koşullara ve bu özniteliklere ve koşullara dayalı bir dizi ilkeye göre, nesne üzerinde işlem yapma isteği verilir veya Hayır, ABAC kontrol modu, açık bir ortamda dinamik ve esnek erişim politikalarını iyi bir şekilde destekleyebilir.
Şekil 3. Nitelik tabanlı erişim kontrolü
Küresel ölçekte, dağıtılmış dijital kimlikler üzerine yapılan araştırmalar sadece son yılların meselesidir, ancak hızla gelişmiştir.Ayrıca, ilk tek proje ve tek teknoloji araştırmasından süper büyük teknoloji şirketlerinin önderlik ettiği standardizasyon araştırma sürecine geçmiştir. Dağıtılmış tanımlayıcılar (DID) ve doğrulanabilir kimlik bilgileri (doğrulanmış kimlik bilgileri) spesifikasyonları gibi dağıtılmış dijital kimliklerdeki anahtar verilerin organizasyonu, uluslararası standartlar organizasyonu W3C tarafından geliştirilmiştir; dağıtılmış anahtar yönetim standartları uluslararası olarak yapılandırılmıştır. Bilgi standartları tanıtım organizasyonu OASIS, hazırlık ve sunumu teşvik eder.
Tablo 2. Dağıtılmış dijital kimlikle ilgili teknik standartlar
3. Dağıtılmış dijital kimlik sistemi mimarisi
Daha önce belirtildiği gibi, dağıtılmış dijital kimlik teknolojisinin özü, dağıtılmış defter ve kriptografidir.İkisinin birleşimi, reddedilemeyen ve değiştirilemez kimlik kayıtları oluşturmak için kullanılır. Dağıtılmış dijital kimlik defterinde dijital kimliğin başlangıç noktası, yalnızca davranışlar, dijital varlıklar veya net bir kullanıcı kimliğine sahip verilerle ilişkilendirilen bağlanamayan bir güvenlik kimliğidir (ID-vk); bireyler dijital kimlik "kapsayıcıları" oluşturur "Dijital kimlik sertifikalarını yönetin ve kullanın. Dağıtılmış dijital kimlik ağındaki herhangi bir kuruluş tarafından verilen kimlik sertifikalarını kabul edebilir ve yetkilendirme hizmetlerini almak için doğrulama sağlamak için gerektiğinde sertifikaları sunabilirler; her kuruluş Güven ve sertifikanın doğrulama sonucu, kapsayıcıdaki sertifikaya güvenilip güvenilmeyeceğini belirler.
Dağıtılmış dijital kimlik sistemi mimarisi açısından bakıldığında, kimlik cüzdanı istemcisi, bulut aracı ve dağıtılmış dijital kimlik defteri, dağıtılmış dijital kimlik sisteminin üç katmanlı mimarisini oluşturur.
Şekil 4. Dağıtılmış dijital kimlik sisteminin üç katmanlı mimarisi
01 Dağıtık Dijital Kimlik Defteri
DPKI'nin temeli, dağıtılmış dijital kimlik tanımlayıcı kayıt defteri olarak kullanılan, dağıtılmış anahtar-değer veri depolama yeteneklerine sahip dağıtılmış bir defterdir. Bu kayıt geçerli bir durumda olduğu ve kimlik sahibinin kendi özel anahtarının kontrolünü elinde tutması sağlandığı sürece, hiçbir üçüncü şahıs kimlik sahibinin kimliğine bürünemez ve isteklerini tehlikeye atamaz.
Dağıtılmış defterin ana özelliği, genel defter kayıtlarının tahrif edilmemesini sağlamak için birden çok düğümün ortak bakımıdır. Dağıtılmış dijital kimlik mimarisinde, dağıtılmış defter esas olarak dağıtılmış dijital kimlik verilerinin (ID, genel anahtar, iletişim giriş noktası) yayınlanması ve sürdürülmesini desteklemek için kullanılır, böylece tüm varlıklar etkileşimli nesnenin kimliğini ve anahtarını alabilir. Karşılıklı kimlik doğrulama ve güvenli ağ iletişimi, dağıtılmış dijital kimlik defterleri, anahtar keşfini destekleme yeteneği esasen ücretsizdir. Ek olarak, dağıtılmış dijital kimlik defteri, makbuz şablon bilgilerinin yanı sıra makbuz dolaşım bilgilerinin kaydedilmesi ve yayınlanması için de kullanılır.
Farklı kimlik varlıkları kimlik gizliliği için farklı gereksinimlere sahip olduğundan, kimlik verisi paylaşımının kapsamı farklı olacaktır.Örneğin, hükümetler, endüstri kurumları ve üniversiteler için kimlik verilerinin tam ekolojik ifşası genellikle desteklenir; işletmeler ve tüccarlar için Yukarı ve aşağı kooperatif şirketlerinin ve müşterilerinin görünürlüğünü destekleyin; bireyler için en yüksek derecede anonimlik koruması gereklidir. Farklı kimliklerin görünür ihtiyaçlarını karşılamak için, birlikte çalışmak üzere farklı dağıtılmış dijital kimlik defterleri oluşturmak gerekli olabilir.Kayıt defterlerinin tasarımı, temel hususlar olarak karşılıklı ilişki, veri tutarlılığı ve genel işletim verimliliğini alır.
Gizlilik koruması açısından, dağıtılmış defterler işlemlerin kalıcı kayıtlarını saklamak için kullanılır.Kişisel kimlik bilgilerinin (özel verilerin karması dahil) dağıtılmış defterlerde saklanması tavsiye edilmez.Kişisel kimlik anahtarı kaybolur veya hasar görürse veya sertifika tarafı Veya güvenen taraf istila edilirse, saldırgan, kimlik sahibinin reddedemeyeceği, kullanıcıların haklarını etkileyen ve AB'nin Genel Veri Koruma Yönetmeliği gibi yasaların gereklerini ihlal eden kimlik veri kayıtlarını elde edebilir.
02 Dağıtılmış dijital kimlik cüzdanı
Dağıtılmış dijital kimlik cüzdanı, kişisel kimlik verileri için bir kaptır ve varlık özerkliğini ve kimliğini yönetmek için bir altyapıdır ve aynı zamanda kimlik yönetimi yazılım modülleri için popüler bir terimdir. Bireysel kimlik sahibi söz konusu olduğunda, genellikle kullanıcının terminal cihazında bir istemci uygulaması olarak görünür Kurumsal kimlik sahibi söz konusu olduğunda, anahtar yönetim işlevlerine sahip belirli bir sunucuya yerleştirilmiş bir öğe olabilir. hizmet.
Dağıtılmış bir dijital kimlik cüzdanı, kimliğin kontrolünün kimlik sahibinin elinde olduğunun garantisidir.Genel olarak, aşağıdaki işlevlere sahiptir:
Tanımlayıcılar, kullanıcılardan eşyalarına kadar kimlik doğrulamak için kullanılabilir.Güçlü ve güvenilir tanımlayıcılar bu tanımlayıcıları çok değerli hale getirebilir.Bu tanımlayıcılarla eşleşen anahtar, sahibinin elinde tuttuğu "dijital krallık anahtarı" dır. Varlığa karşılık gelen dijital kimlik ve kimlikle ilgili veriler veya dijital varlıkların kilidi açılabilir.
Dağıtılmış bir dijital kimlik cüzdanının en kritik işlevi, kimlik sahibinin ilişki zincirini yönetmek ve korumaktır İlişki zinciri şunları içerir: DID ilişki çifti, DID ilişki anahtarı ve DID iletişim giriş noktası. Bu tasarımın anahtarı, her kimliğin ve ona karşılık gelen iletişim giriş noktasının ve anahtarının farklı olmasıdır.Bu bilgi, kimlik sahibinin farklı rolleri için herhangi bir ipucu sağlamayacaktır.Kimlik ilişkilendirmesi yalnızca kimliğe ait olabilir. Yazar tarafından başlatılmış ve gerçekleştirilmiştir.
Şekil 5. İlişki zinciri yapısı
Sahip ilişkileri zinciri yönetimini gerçekleştirmenin yanı sıra, dağıtılmış dijital kimlik cüzdanları, sahibinin yerel dijital kimlik bilgileri depolamasını da destekler ve bu verilerin, belirli bir işletim sistemi ile yüklenmiş belirli kişisel terminal cihazlarında nasıl güvenli bir şekilde depolanacağını yönetir.
Farklı cihazların depolama kapasitesi ve bant genişliği büyük ölçüde değiştiğinden, kişisel veri kabı verilerinin tam bir kopyasına sahip olabilecek bir kimlik sahibinin cüzdan istemcisi olmayabilir. Bu nedenle, cüzdan istemcisinin bir başka işlevi, cihazın veri kabında depolanan içeriğin nasıl paylaşılacağını yönetmek ve gerektiğinde diğer sahiplerin cüzdan müşterileriyle senkronize etmektir.
Dağıtılmış dijital kimlik cüzdanı istemcisi, Bluetooth, NFC veya diğer ağ protokolleri aracılığıyla noktadan noktaya iletişimi destekler veya bulut aracıları aracılığıyla dağıtılmış güvenli iletim protokollerini kullanan diğer varlıklarla güvenli bir bağlantı kurar.
03 Dağıtılmış Dijital Kimlik Bulut Aracısı
Bulut proxy, dağıtılmış dijital kimlik sistemi mimarisinin "orta katmanını" oluşturur ve yalnızca DID dağıtılmış dijital kimlik defterinin istemcisi değil, aynı zamanda adreslenebilir ağ girişine sahip dağıtılmış dijital kimlik cüzdanının sunucusudur. Dağıtılmış dijital kimlik mimarisinde dağıtılmış dijital kimlik bulutu aracısı tarafından sağlanan ana işlev, kalıcı P2P mesaj yönlendirmesidir.Bunun nedeni, terminal cihazında (akıllı telefon, dizüstü bilgisayar, araba vb.) Çalışan kimlik istemcisinin genellikle kendine ait olmamasıdır. Mesajlaşma tarafında, bulut proxy hizmetleri onlara adreslenebilir ağ iletişim işlevleri ve kalıcı mesaj çevrimiçi hizmetleri sağlayabilir.
Ayrıca bulut proxy hizmetleri, şifreleme anahtarı yedekleme işlevleri sağlayarak anahtar kurtarmayı basitleştirebilir; kimlik sahibinin yetkisi altında şifrelenmiş veri depolama ve paylaşımını destekleyebilir ve verilerin depolanması ve paylaşılması sürecini basitleştirip otomatikleştirebilir.
Teorik olarak, bir bulut proxy'nin var olması gerekmez.Bulut proxy'nin yokluğunda, sistemin DID dağıtılmış dijital kimlik defterine doğrudan erişmesi için istemci uygulamalarını desteklemesi gerekir. Her durumda, bulut proxy hizmetleri ticarileştirilmeli ve rekabete açık olmalıdır.Herhangi bir kimlik sahibinin belirli bir bulut proxy hizmet sağlayıcısına bağlı olması gerekmez ve herhangi bir bulut proxy hizmeti geçişi veya iptali Kimlik sahibinin takdirine bağlı olarak.
04 Dağıtılmış Dijital Kimlik Uygulaması
Dağıtılmış dijital kimlik hizmetleri, dağıtılmış uygulama sistemleri, geleneksel İnternet hizmetleri ve hatta merkezi uygulama hizmet sistemleri için uygundur.
Uygulama ile hiçbir ilgisi olmayan birleşik bir dijital kimlik olarak, dağıtılmış dijital kimlik uygulamasının (doğrulama) tipik yolu aşağıdaki gibidir:
Şekil 6. Kimlik bilgilerine dayalı yetkilendirme erişimi
Kimlik özniteliklerine dayalı yetkilendirilmiş erişim sürecinde kimlik sahibinin kullanıcı adı ve şifre gibi güvenlik unsurlarını ezberlemesi ve sağlaması gerekmediği görülebilmektedir.Kriptografiye dayalı kimlik bilgilerinin oluşturulması da tamamen kimlik sahibinin ihtiyaç duyduğu program tarafından yapılmaktadır. Yaptığı şey, doğru işlemi onaylamak için kimlik talep bilgilerine yanıt vermektir ve bu tür bir yanıt onayı, biyometrik tanımlama yoluyla güvenli, basit ve kolay bir şekilde elde edilebilir.
4. Dağıtılmış dijital kimliğin araştırma ve geliştirme durumu
İnternetin "beşinci sınırı" olarak, ağ güvenliği tüm ülkeler tarafından oldukça değerlidir. Ağ güvenliğinin araştırılmasını ve geliştirilmesini güçlendirmek için ülkeler kendi "Ulusal Siber Güvenlik Stratejisini" başlatmıştır. Çin ayrıca Aralık 2016'da "Ulusal Siber Güvenlik Stratejisi" ni yayınlamıştır. "," ağ yönetişim sistemini geliştirmek, ağ güvenliği temelini güçlendirmek ve siber uzay koruma yeteneklerini geliştirmek. " Ağ güvenliğini sağlamanın temel bir yolu olan güvenilir kimlik yönetimi, ağ güvenliği alanında her zaman önemli bir araştırma içeriği olmuştur.
Amerika Birleşik Devletleri, 2011 yılında "Siber Uzayda Güvenilir Kimlik için Ulusal Strateji" yi yayınladı ve birkaç ila on yıl içinde bir ağ varlık kimliği ekosistemi oluşturmayı planlıyor; 2011'de Birleşik Krallık, tek noktadan bir kimlik güvencesi programı başlattı. Evrensel kimlik hizmeti, halkın hükümet web sitelerini ziyaret etmesi için güvenli ve hızlı bir kimlik doğrulama yöntemi sağlar; Rusya, son yıllarda vatandaşlara çevrimiçi kimlik tanıma işlevlerine sahip kimlik kartları vermeye başladı; Güney Kore hükümeti ayrıca bir "I-PIN" çevrimiçi kimlik platformu kurdu, İlgili hizmetleri ağ varlıklarına kaydetmek için kullanılır.
Dağıtılmış dijital kimlik, güvenilir dijital kimlik sorununa cevap ve veri tekelini kırmanın anahtarıdır. Dağıtık defter teknolojisinin doğrulanması ve uygulanması ile ortaya çıkan dağıtık dijital kimlik araştırması, hızla gelişti ve bugüne kadar önemli teknik ve standardizasyon araştırma sonuçları elde etti ve uluslararası ölçekte birçok ana akım çözüm çerçevesini oluşturdu.
2018'de Microsoft ve ID2020, bireylerin ve mültecilerin yeni ikamet yerlerinde sağlık ve eğitim hizmetlerine erişim dahil temel hizmetleri elde etmelerine yardımcı olmak ve aynı zamanda geleneksel kağıt doğum sertifikalarını ve eğitim sertifikalarını dijital hale getirmek için ortaklaşa bir dağıtılmış dijital kimlik doğrulama ağı geliştirdi; aynı yıl , Microsoft ve MasterCard, mülteci statüsü sorununu çözmek ve bu kullanıcıların normal mali ve sosyal hizmetlere erişebilmelerini veya kara para aklamayı önlemek için kullanmalarını sağlamak için dijital kimlik işbirliği planını teşvik etmek için işbirliği yapıyor.
IBM, dijital kimlik alanında bir lider ve uygulayıcı olarak, son yıllarda dağıtılmış dijital kimliklerle ilgili çok sayıda başlangıç şirketi, proje ve ittifak kurmuştur. Bunların arasında, IBM ve HyperLedger tarafından ortaklaşa başlatılan Indy açık kaynak projesi, tüm taraflar için promosyon ve işbirliği sağlar. IBM, SecureKey ve Kanada dijital kimlik ekosisteminin üyeleri (büyük bankalar, telekomünikasyon şirketleri ve devlet kurumları dahil) bir blok zinciri kimlik doğrulama ağı inşa ediyor. Visa ayrıca, sınır ötesi ödeme güvenliğini iyileştirmek için 2019'un ilk çeyreğinde IBM ile blockchain tabanlı bir dijital kimlik sistemi başlattı. Ek olarak, dünya çapında ortaya çıkan birkaç blockchain tabanlı dijital kimlik projesi var: UPort, Civic, AirPlatform, ISelfKey, vb.
Çin'de İnternet dijital kimliğinin gelişimi temelde hala ittifak kimliği aşamasındadır. WEB2.0'ın geliştirilmesiyle BAT gibi platform sağlayıcıları gelişti ve büyüdü, WeChat ve Alipay'in çok sayıda kullanıcısı var ve Ali ve Tencent büyük miktarda kullanıcı kimlik bilgisi biriktirdi. İnternet üzerinden müşteri edinmenin artan maliyeti nedeniyle, birçok küçük ve mikro işletme ve tüccar, İnternet üzerinden hizmet sağlarken, WeChat veya Alipay tarafından sağlanan kullanıcı kimliği bilgilerine erişim arayüzlerini ittifak kimlik yöntemleriyle edinme eğilimindedir. Matthew etkisine göre uzun vadede İnternet devlerinin kullanıcı verilerinin ölçeği çok büyük ve verilerin tekeli büyük bal küpü veri riskleri getirecek.
son sözler
Bugün dünya dijital ekonomi çağına girmiştir. IDC'ye göre, 2021 yılına kadar küresel GSYİH'nın en az% 50'si dijital ekonomi tarafından sağlanacak. Çin söz konusu olduğunda, Çin'deki toplam dijital ekonomi 2016'da 22,6 trilyona ulaştı. 2018'de, Çin'in dijital ekonomisi 31,3 trilyon yuan'a ulaştı ve GSYİH'nın% 34,8'ini oluşturdu ve Çin'in ekonomik gelişimi için önemli bir motor haline geldi. 2030 yılına kadar Çin'in dijital ekonomisinin GSYİH'nın% 50'sinden fazlasını oluşturacağı ve Çin'in dijital ekonomi çağına tamamen gireceği tahmin ediliyor.
Ağ güvenliği ve bilişim tek bir gövdenin iki kanadıdır İtici gücün iki çarkı Ağ güvenliği olmadan ulusal güvenlik olmazdı ve ağ bilgisi olmadan modernizasyon olmazdı. Ağ güvenliği ve bilgilendirme, birleşik planlama, birleşik dağıtım, birleşik tanıtım ve birleşik uygulama olmalıdır.
Referanslar
1. Christopher Allen and Arthur Brock, Decentralized Public Key
Infrastructure. DPKI v1.0.0, 23-Dec-2015
2. Paul Dunphy and Fabiew A.P.Petitcolas, A First Look at Identity Management Schemes on the Blockchain. VASCO Data Security,2018
3. Evernym HSHQDC-17-C-00018 DKMS Milestone 3. Evernym DKMS Project, 15-Dec-2017
4. Andrew Tobin and Drummond Reed, The-Inevitable-Rise-of-Self-Sovereign-Identity. The Sovrin Foundation, 29-Sep-2016
5. Sovrin Provisional Trust Framework. Sovrin Board of Trustees,28-June-2017
6. Dan Gisol and Milan Patel, Decentralized Identity Introduction. IBM Trusted Solution, 2018
7. Drummond Reed, Jason Law and Daniel Hardman, What-Goes-On-The-Ledger. The Sovrin Foundation, 29-Sep-2016
8. Gregory Neven, A Quick Introduction to Anonymous Credentials. IBM Zurich Research Lab, Aug-2008
9. Melissa Chase, Anonymous Credentials: How to show credentials without compriomising privacy. Microsoft Reserch,
10. Decentralized Identity: Own and control your identity, Microsoft, 2018
11. Decentralized Identifiers (DIDs) v0.12, Draft Community Group Report 09, May 2019
12. Les Chasen, Decentralized Identifiers (DIDs) and Decentralized Identity Management (DIDM), A paper for the ID2020 Design Shop, Respect Network 2016-05-16
13. Verifiable Credentials Data Model 1.0, W3C Candidate Recommendation, 28 March 2019
