dimanche, novembre 17, 2024

Comment l’authentification sans preuve de connaissance aide-t-elle à créer une solution d’identité numérique portable ?

Les ingénieurs Web travaillent depuis longtemps pour déterminer s’il existe un moyen de prouver que quelque chose est vrai sans révéler de données qui étayent l’affirmation. La technologie Zero-knowledge proof (ZKP) a permis le déploiement d’algorithmes cryptographiques pour vérifier la véracité des affirmations concernant la possession de données sans les démêler. Ces mécanismes de preuve ont conduit à des mécanismes avancés qui améliorent la confidentialité et la sécurité.

L’exploitation de la blockchain traite des problèmes liés à la centralisation, tandis que le manque de confidentialité dans les applications décentralisées (DApps) peut être compensé par des algorithmes cryptographiques ZKP.

Cet article fournit une introduction aux preuves à connaissance zéro, à l’identité portable, aux problèmes des solutions d’identité dominantes, aux solutions d’identité portables à preuve zéro connaissance basées sur la blockchain, à l’authentification sans confiance et au processus de création d’identifiants de mot de passe.

Qu’est-ce qu’une preuve sans connaissance ?

Une preuve à connaissance nulle est une technique cryptographique qui établit l’authenticité d’une revendication spécifique. Il permet à un protocole de démontrer à un vérificateur qu’une affirmation concernant certaines informations confidentielles est exacte sans divulguer d’informations critiques. La technologie facilite les applications interactives et non interactives sans aucune connaissance.

Une preuve interactive nécessite plusieurs mécanismes de communication entre les deux parties. En revanche, une preuve à connaissance nulle non interactive nécessite un seul échange d’informations entre les participants (prouveur et vérificateur). Il améliore l’efficacité de la connaissance zéro en réduisant les allers-retours entre le prouveur et le vérificateur.

Une preuve de connaissance zéro fonctionne par un prouveur montrant à un vérificateur qu’il a un secret d’identification sans divulguer le secret lui-même. Par exemple, un prouveur peut détenir une paire de clés asymétriques et utiliser le secret d’identification comme clé privée pour répondre à la déclaration envoyée avec la clé publique. Cela aboutit à une situation où le vérificateur est convaincu que le prouveur a la clé sans que le prouveur ne la révèle.

Grâce à la technologie de preuve de connaissance zéro, un utilisateur peut démontrer qu’il a l’âge approprié pour accéder à un produit ou à un service sans révéler son âge. Ou quelqu’un pourrait prouver qu’il a un revenu suffisant pour remplir les critères sans avoir à partager des informations précises sur son solde bancaire.

Authentification d’identité sans connaissance

La nécessité pour les entreprises de gérer de grandes quantités de données sur les consommateurs tout en garantissant la confidentialité des consommateurs et la conformité réglementaire complexe a conduit à un besoin croissant de solutions d’identité numérique innovantes. La preuve sans connaissance a contribué à faire fructifier efficacement le concept d’identité numérique portable.

La portabilité de l’identité fait référence à la capacité des utilisateurs à générer un ensemble unique d’identifiants numériques utilisables sur plusieurs plates-formes. Un système de gestion de l’identité numérique associe des identifiants uniques sur l’appareil d’un utilisateur, des documents juridiques pertinents et des éléments biométriques tels que l’identification faciale ou les empreintes digitales.

Comprendre comment un portefeuille d’identité décentralisée (DID) est stocké sur un smartphone vous aidera à mieux comprendre. Un émetteur attache une clé publique aux informations d’identification vérifiables qu’il a émises. Conservées en toute sécurité dans le portefeuille, les informations d’identification sont transmises aux vérificateurs. Tout ce qu’un vérificateur doit faire est de confirmer que l’émetteur approprié a signé cryptographiquement un identifiant envoyé par un utilisateur.

Problèmes dans les solutions d’identité courantes

Les violations de données percutantes, l’atteinte à la vie privée et l’authentification abyssale ont été les ennemis des applications en ligne. C’est radicalement différent de l’époque de l’architecture Web initiale lorsque l’identité de l’utilisateur n’était pas une priorité.

Les méthodes d’authentification traditionnelles ne suffisent plus en raison de notre environnement de sécurité complexe et en constante évolution. Ces méthodes restreignent fortement le contrôle des utilisateurs sur leur identité et la gestion des risques, compromettant ainsi l’accès aux données essentielles. Généralement, les entreprises utilisent différents services d’identité pour résoudre divers problèmes liés à l’identité.

L’obtention de données provenant de diverses sources grâce à une série de technologies avancées a fait de la préservation des données liées à l’identité une tâche fastidieuse. La collecte de données multidimensionnelles tout en respectant un vaste ensemble de réglementations a rendu extrêmement complexe pour les entreprises la résolution rapide des problèmes liés à l’identité, la détection des fraudes et la découverte simultanée d’opportunités commerciales.

Solutions d’identité portables alimentées par zéro connaissance

Les solutions d’identité auto-souveraines et portables cross-canal permettent aux entreprises de sécuriser l’accès et les données des clients à l’aide d’une plate-forme unique. Une telle expérience d’identité transparente réduit le taux de désabonnement des clients. La connexion sécurisée et sans effort au poste de travail permet de sécuriser le travail à distance et de réduire les risques de fraude associés aux mots de passe faibles.

Une solution basée sur la blockchain stocke l’identité dans un écosystème décentralisé, permettant de prouver son identité si nécessaire. NuID, par exemple, exploite un protocole de preuve de connaissance zéro et des technologies de grand livre distribué pour faciliter l’identification numérique des particuliers et des entreprises.

L’écosystème de NuID permet aux utilisateurs de posséder et de contrôler leur identité numérique en utilisant des services basés sur des solutions fondamentales d’authentification sans connaissance. La nature décentralisée de la solution se traduit par une plate-forme d’identité intrinsèquement portable et appartenant à l’utilisateur. Ils peuvent posséder, contrôler, gérer et permettre l’utilisation efficace des données liées à l’identité.

La solution fait des entreprises commerciales des «consommateurs» de ces identités et de leurs métadonnées associées, favorisant ainsi des interactions plus centrées sur la confidentialité. La propriété dynamique des données profite à la fois à l’utilisateur et au fournisseur de services. Il élimine le besoin pour les entreprises de sécuriser une quantité énorme de données utilisateur, car elles n’ont plus besoin de cacher des informations d’identification sensibles.

Authentification sans confiance

Lors de la création d’une application logicielle, l’authentification est l’une des principales étapes. Dans un paysage de sécurité en évolution rapide, où les besoins UX (expérience utilisateur) spécifiques au contexte augmentent régulièrement, les problèmes de confidentialité des utilisateurs nécessitent plus qu’une authentification conventionnelle. Les applications nécessitent une plate-forme qui facilite l’adaptation aux demandes changeantes d’identification numérique.

L’authentification sans confiance offre une alternative robuste au modèle de stockage des mots de passe dans des bases de données privées. NuID Auth API (Application Programming Interface), par exemple, déploie des points de terminaison pour créer et vérifier les informations d’identification des utilisateurs via la technologie ZKP, facilitant la génération de preuves et d’informations d’identification dans les applications clientes pour des cas d’utilisation tels que l’enregistrement et la connexion des utilisateurs.

On peut s’attendre à ce qu’une plate-forme avancée résolve les problèmes courants d’authentification et de gestion des utilisateurs. Les fonctionnalités pourraient inclure une liste noire de mots de passe pour informer en toute sécurité les utilisateurs des informations d’identification faibles et volées, des composants d’interface utilisateur d’authentification modulaires et accessibles et une fonctionnalité MFA (authentification multifacteur) avancée.

Le processus de création d’identifiants de mot de passe

Le processus est quelque peu similaire au flux de travail existant pour la création et la vérification des mots de passe. L’un prend les informations de l’utilisateur (nom, e-mail, mot de passe), les publie sur le point de terminaison d’enregistrement et lance une session. Pour intégrer le processus d’enregistrement, il faut créer un identifiant côté client. À la place du mot de passe, comme c’est le cas dans les applications héritées, les informations d’identification vérifiées sont envoyées aux applications basées sur ZPK.

Voici le processus habituel d’enregistrement des utilisateurs dans une solution d’identité portable basée sur la preuve à connaissance nulle :

Le processus n’a aucune incidence sur le flux d’enregistrement restant qui peut inclure l’émission d’une session, l’envoi de notifications par e-mail, etc.

La route devant

Au fur et à mesure que la technologie de preuve de connaissance zéro progresse dans les années à venir, de grandes quantités de données et d’informations d’identification devraient être représentées sur une blockchain par un identifiant public qui ne révèle aucune donnée utilisateur et ne peut pas être résolu en amont pour le secret d’origine. L’adaptation de solutions d’identité portables basées sur des protocoles à connaissance zéro aidera à éviter l’exposition de la propriété des attributs, éliminant ainsi efficacement les menaces associées.

Soutenues par la technologie ZKP, les solutions d’identité portables ont le potentiel de faire passer la confidentialité et la sécurité des données à un niveau supérieur dans un large éventail d’applications, de l’alimentation de données dans l’Internet des objets (IoT) aux systèmes de prévention de la fraude.

Acheter un Licence pour cet article. Propulsé par SharpShark.