الزاوية الهادئة والجادة من ويب 3
في حين أن الميتافيرس (الكون الموازي) لا يزال طريَّ العود، والعملات المشفرة تتعثر، يمكن للمديرين الذين يراقبون تطورات الويب 3 التعلم من التطبيقات الواعدة لإثباتات الاعتماد اللامركزية.
يسمع المديرون التنفيذيون كثيراً عن الويب 3 (Web3)، وهي خريطة طريق تستند إلى سلسلة الكتل Blockchain إلى شبكة الإنترنت المستقبلية، والتي تشمل لبنات بنائها العملات المشفرة Cryptocurrencies، والرموز غير القابلة للاستبدال Non-fungible tokens، والمؤسسات المستقلة اللامركزية Decentralized autonomous organizations، وربما الأكثر شهرة، العوالم الافتراضية المستمرة Persistent virtual worlds التي يتكون منها ما يسمى الكون الموازي Metaverse. هي الأيام الأولى لمعظم هذه التطورات – لكن القادة الذين يريدون أن يكونوا في طليعة استخدام التقنيات الناشئة يجب أن يأخذوا بعين الاعتبار الاعتمادات (المؤهلات/ الشهادات الموثَّقة) اللامركزية Decentralized credentials، وهي واحدة من التطبيقات الأكثر هدوءاً لكن الأكثر وعداً تحت مظلة الويب 3.
في حين لن تحتاج كل مؤسسة إلى تطوير علامتها التجارية في ميتافيرس أو التعامل مع العملات المشفرة، فإن المؤسسات كلها تتعامل مع قضايا اعتماد الإثباتات إما كمُصْدِرة Issuers لها وإما حاملة Holders لها وإما مُتحقِّقة Verifiers منها. تصدر كل مؤسسة اعتمادات الإثباتات للموظفين والعملاء والموردين والشركاء؛ ولعل حساباً Account لإدارة الهوية Identity management هو من أكثر وسائل الاعتماد انتشاراً. كل مؤسسة تحمل Holds اعتمادات متعددة، مثل ترخيص للعمل، وتعريف كدافعة الضرائب، وتسجيلات الأوراق المالية Securities registration. كل مؤسسة تتحقق Verifies من إثباتات اعتمادات الموظفين والعملاء والموردين والشركاء. وتشكل هذه الأدوار الثلاثة – إلى جانب السلطة الحاكمة Governing authority – النظام الإيكولوجي للاعتمادات Credentials ecosystem. واليومَ تدير المؤسسات احتياجاتها من الاعتمادات من خلال قواعد بيانات مركزية Centralized databases، أو من خلال شراء مثل هذه الخدمات من أطراف ثالثة موثوق بها. في الأغلب تكون الحلول باهظة الثمن وبطيئة ومحبطة في الاستخدام، وممتلئة بمخاطر الأمن السيبراني Cybersecurity risks. دعونا لا ننسَ أن اختراق سولار ويندز SolarWinds للعام 2020 الذي أثر في مئات المؤسسات الحكومية والشركات الأمريكية وقع بسبب اعتمادات تسجيل دخول Log-in credentials مسروقة.
اللامركزية تُمكن الحاملين من السيطرة على إثباتات الاعتماد باستحدام محفظة رقمية Digital wallet. الأمر متروك للحامل لقبول الاعتمادات الرقمية المعروضة عليه من قِبل الجهة المُصدرة، أو لتقديم دليل على إثباتات اعتماد إلى الجهة المُتحقِّقة. وهذا يُعزّز الخصوصية لأن الحاملين في الأغلب لا يحتاجون إلا إلى تقديم جزء من إثباتات الاعتماد إلى مؤسسة التحقق. مثلاً، يمكن للعملاء الذين يُتطلب منهم إثبات أنهم في السن القانونية استخدام وسيلة من دون الكشف عن معلومات أخرى قد تكون موجودة على رخصة القيادة، مثل الاسم أو تاريخ الميلاد أو حالة الإعاقة أو عنوان المنزل.
بالنسبة إلى الجهات المُتحققة، فإن إثباتات الاعتماد اللامركزية فاعلة لأن التحقق الرقمي يحدث في ثوان، من دون الحاجة إلى الاتصال بالجهة المُصْدِرة. واحدة من أكثر حالات الاستخدام الواعدة هي استكمال إجراءات توظيف الموظفين الجدد. إذ تنفق شركات موارد كبيرة للتحقق من خلفية المرشح للوظيفة. في المتوسط يكلف كل توظيف 4,129 دولاراً، لكن يمكن أن يصل السعر إلى 40,000 دولار لكل منصب من المناصب التي تتطلب موظفين من ذوي المهارات العالية.1B. Turczynski, “2020 HR Statistics: Job Search, Hiring, Recruiting, & Interviews,” Zety, updated Jan. 9, 2020, https://zety.com; and “Your Organization’s Reputation on the Line: The Real Cost of Academic Fraud,” PDF file (Herndon, Virginia: National Student Clearinghouse, 2016), https://nscverifications.org. ويمكن للجهات المُصْدِرة إنشاء الإثباتات مرة واحدة، من دون الحاجة إلى إعادة التصديق ما لم تنتهِ صلاحية المؤهل أو يتغير.
توفر الاعتمادات اللامركزية أيضاً خصوصية محسنة، لأنها مخزنة في محافظ رقمية، وذلك بدلاً من تخزينها في قواعد بيانات مركزية هي أهداف جذابة للصوص السيبرانيين.
كيف تعمل الاعتمادات اللامركزية
تُستخدَم المحافظ الرقمية لتنسيق التعاملات بين المصدرين والحاملين والمتحققين فيما يخص الاعتمادات اللامركزية. تدير المحافظ علاقات قرين إلى قرين Peer-to-peer relationships بين طرفين، مثل المُصدِر والحامل، أو الحامل والمُتحقِّق. يجب أن يوافق الطرفان على أنهما يريدان أن يكونا متصلين، ويمكن لأي من الجانبين إنهاء الرابط في أي وقت.
بمجرد إنشاء علاقة قرين إلى قرين، يمكن إجراء المعاملات. يمكن للمصدرين إرسال الإثباتات الموقعة رقمياً إلى الحاملين، ويمكن للحاملين إرسال دليل على الإثباتات إلى المتحققين. تُرسل محفظةُ المتحقق سجلَّ ثقة مُوزَّعاً Distributed trust registry (عادة ما يكون سلسلة كتل Blockchain) لضمان أن المصدر، والمصدر فقط، يمكن أن يكون قد وقَّع المؤهل رقمياً.
وبسرّيةٍ، يمكن للمَحافظ الرقمية و”سجلات الثقة الموزعة“ الاستفادة من المُعرِّفات اللامركزية. يمكن للمحفظة إنشاء عديد من المعرِّفات اللامركزية بحسب الحاجة. يجري التحكم في كل معرِّف بواسطة مفتاحين خاص وعام. والمفتاح الخاص Private key موجود في المحفظة. في حين يستخدم المصدرون والمتحققون أحد مفاتيحهم العامة Public keys لإنشاء رابط قرين إلى قرين؛ ينشئ المصدرون إثباتات رقمية لأحد المفاتيح العامة لحاملها، ويوقع المصدرون الإثباتات المعتمدة باستخدام أحد المفاتيح الخاصة بالمصدر.2A. Preukschat and D. Reed, “Self-Sovereign Identity: Decentralized Digital Identity and Verifiable Credentials” (Shelter Island, New York: Manning Publications, 2021).
في حين أن الاعتمادات اللامركزية لا تزال في باكورتها من حيث منحنى النضج Maturity curve، مع توافر عدد قليل فقط من التطبيقات، يجب على القادة التعرف عليها الآن مع إبقاء العين على تكنولوجيات الويب 3 الأخرى. (انظر: تصور الشبكة التالية، الصفحة 23). ويتمثل التحدي الرئيس – إضافة إلى المخاوف بشأن عدم نضج التكنولوجيا – في إقناع المشاركين في النظام الإيكولوجي باعتماد إثباتات لامركزية؛ وتدريب المُصْدِرين والحاملين والمُتحقِّقين على العمليات والتكنولوجيات الجديدة؛ وتوسيع نطاق الحل. يوفر معياران حديثان من ائتلاف الشبكة العالمية World Wide Web Consortium (اختصاراً: الائتلاف W3C) إطاراً لخصوصية اعتمادات الإثباتات والأمان وقابلية التشغيل البيني Interoperability.3The W3C is an international community that develops open standards to ensure the long-term growth of the web. The W3C’s Verifiable Credential standard was published in 2019; its Decentralized Identifiers standard was published in July 2022. وفي حين لا يزال من السابق لأوانه تقديم حلول نهائية، تُظهر أبحاثنا أن التجارب الفعلية حققت نتائج مشجعة.
وفيما يلي، نستعرض الأمثلة والرؤى العميقة (التبصرات) من ثلاثة تطبيقات فعلية لكن صغيرة من الاعتمادات اللامركزية وضعتها هيئة الخدمات الصحية الوطنية في إنجلترا National Health Service England (اختصاراً: الهيئة NHS)، ومقاطعة كولومبيا البريطانية British Columbia الكندية، وائتلاف للاتحادات الائتمانية المالية مقره الولايات المتحدة. يتناول كل تطبيق من هذه التطبيقات تحديات محددة في النظام الإيكولوجي للاعتمادات الخاص به كجزء من مبادرة استراتيجية أكبر.
جواز الموظفين الرقمي لدى الهيئة NHS في إنجلترا لتمكين حركة الموظفين
مصدر الاعتمادات: مؤسسات التوظيف التي تتعامل معها الهيئة NHS في إنجلترا
أسباب التبني: كانت الهيئة NHS في إنجلترا تحتاج إلى نقل الموظفين بين مواقع العمل بسرعة وأمان خلال جائحة كوفيد-19. ويُعَد الحل، الذي يطلق عليه ”جواز الموظفين الرقمي لكوفيد-19“ COVID-19 Digital Staff Passport، جزءاً من الخطة الاستراتيجية للموارد البشرية. تضم الهيئة NHS في إنجلترا أكثر من 200 مؤسسة (مثل المستشفيات) تعمل كوحدات مستقلة، لكل منها أنظمة الموارد البشرية الخاصة بها. ويتنقل الموظفون (الأطباء والممرضون وغيرهم) بنمط متكرر، فيسجلون أكثر من مليون عملية نقل سنوياً. في الماضي، في كل مرة ينتقل فيها الموظف داخل النظام، قضت الموارد البشرية أياماً في التحقق من عدد كبير من الإثباتات: شهادات الدبلوم، وشهادات التدريب، وتراخيص التسجيل المهني، والشهادات الطبية، ونتائج التحقق من الخلفية الجنائية، وإثباتات التوظيف السابقة. وكانت المعاملات المعنية أشبه بكابوس. ولو نظرنا فقط إلى الأطباء قيد التدريب – وهم مجرد جزء صغير من عمليات النقل كلها – فإن وقت العمل الضائع في أثناء انتظارهم للتحقق من الإثباتات يعادل مبلغاً كبيراً كان يقدَّر بملايين الجنيهات الإسترلينية شهرياً.4M. Lacity and E. Carmel, “Self-Sovereign Identity and Verifiable Credentials in Your Digital Wallet,” MIS Quarterly Executive 21, no. 3 (2022): article 6.
رحلة التبني: في العام 2019 جمعت الهيئة NHS في إنجلترا شركاء النظام الإيكولوجي للعمل على الحل التجريبي، بما في ذلك هيئة الخدمات الصحية الوطنية إكس NHSX (وحدة مشتركة بين وزارة الصحة والرعاية الاجتماعية Social Care في المملكة المتحدة، والهيئة NHS في إنجلترا، وهيئة الخدمات الصحية الوطنية المحسنة NHS Improvement، والمجلس الطبي العام General Medical Council في المملكة المتحدة، وعديد من مستشفيات الهيئة NHS، ومزوّدي خدمات التكنولوجيا. اعتمد الفريق معيار Verifiable credential standard المؤهل القابل للتحقق من الائتلاف W3C، كما استخدم منتجاً تجارياً من أفاست Avast (إفرنيم Evernym سابقاً) كمحفظة رقمية. بالنسبة إلى التجربة اختارت الهيئة NHS في إنجلترا شبكة سوفرين Sovrin Network للتحقق من أن المصدر وقَّع على المؤهل.5The Sovrin Network is managed by the nonprofit Sovrin Foundation. The foundation has authorized over 80 independent volunteers on six continents to operate the network’s nodes. وأُطلِق جواز الموظفين الرقمي في صيف 2020 لتسهيل تحركات الموظفين خلال الجائحة.
فقط موظفو الهيئة NHS الحاليون مؤهلون للمشاركة في المشروع التجريبي، والاعتماد اختياري. هذا، وتعمل الموارد البشرية كقناة توظيف وتدريب أساسية، حيث يبدأ كل نقل وينتهي بزيارة إلى الموارد البشرية. كما أن القسم Department هو في وضع أفضل لضمان أن المستشفى يولد إثباتات رقمية للموظف الصحيح، وهي عملية تسمى ربط الهوية Identity binding.
في المستشفى الذي سيغادره الموظف، تشرح الموارد البشرية فوائد جواز الموظفين الرقمي: إلحاق أسرع بالعمل، وحمل الإثباتات المطلوبة كلها في مكان واحد مناسب على هواتفهم، وتوفير النسخ الاحتياطية، واستعادة اعتمادات إثباتاتهم في حالة فقد هواتفهم أو تلفها، والتحكم فيمن يرى إثباتاتهم. ينزل موظف الهيئة NHS المحفظة على هاتفه، وترسل الموارد البشرية إلى محفظة الموظف طلباً للربط من قرين إلى قرين. بعدما يقبل الموظف الطلب، تدعوه الموارد البشرية إلى تحميل إثباتاته في محفظته. كل مؤهل يشهد أساساً، ”هذا هو موظف في المستشفى الذي غادره، وفحصنا بالفعل إثباتاته لكذا وكذا وكذا“. في هذه المرحلة يمتلك الموظف محفظة محمَّلة على هاتفه، ويتحكم فيمن سيشارك إثباتاته معهم. الآن يمكن للموظف الانتقال بسهولة من مستشفى إلى مستشفى بحسب الحاجة. في كل مستشفى جديد، يرسل الموظف إلى الموارد البشرية دليلاً على الإثباتات التي يجري التحقق منها آليا للتأكد من أن المصدر المعتمد وقَّع رقمياً على إثباتات الموظف. الموظف الآن على استعداد لرعاية المرضى.
● يعتمد بحثهم أيضاً بقدر كبير على مناهج رصد المشاركين خلال عمل المؤلفين مع ”Trust Over IP Foundation“، و”مبادرة الاعتمادات خلال كوفيد-19“ -COVID-19 Credentials Initiative، وتعاونية جواز الصحة الجيدة Good Health Pass Collaborative، والبنية التحتية لخدمات سلسلة الكتل الأوروبية European Blockchain Services Infrastructure.
● يدرس المؤلفون الاعتمادات اللامركزية منذ ما يقرب من ثلاث سنوات، وأجروا أكثر من 100 مقابلة مع قادة فكر، ومتبنين أوائل، وهيئات وضع المعايير، ومزوّدي الخدمات التكنولوجية، ووكالات حكومية في أمريكا الشمالية وأوروبا.
اعتمادات كولومبيا البريطانية القابلة للتحقق للشركات والمواطنين
مصدر الاعتمادات: مقاطعة كولومبيا البريطانية
أسباب التبني: تُعَد الاعتمادات الرقمية جزءاً من استراتيجية المقاطعة لتحسين قدرتها على تقديم الخدمات في الاقتصاد الرقمي Digital economy. وأوضح جون جوردان John Jordan، المدير التنفيذي لبي سي ديجيتال تراست سيرفيس BC Digital Trust Service، أن ”الخدمات عبر الإنترنت“ لعديد من الوكالات تعني في الأغلب إرسال نسخ – بالبريد الإلكتروني – من الاعتمادات مثل التسجيلات والتراخيص والجوازات والتصاريح، ما يؤدي إلى ارتفاع مخاطر الاحتيال وسرقة الهوية. وفي سيناريو كهذا، لا تضطلع الحكومة بدورها في توفير الأساس الرقمي للشركات والمواطنين لمساعدتهم على استئجار العقارات بسهولة، وفتح حساب مصرفي، والتقدم بطلب للحصول على قروض، وطلب التأمين، وإجراء المعاملات الأخرى التي تتطلب اعتمادات مرهقة من مثل التسجيلات أو التراخيص أو التصاريح.
تهدف كولومبيا البريطانية إلى إنشاء اعتمادات أكثر انفتاحاً وثقة وسهولة في الاستخدام لشركاتها ومواطنيها. وترى أن الانتقال إلى الإثباتات الرقمية هو التطور التالي للاعتمادات من الوثائق المكتوبة بخط اليد منذ عقود، وكذلك من الوثائق الأكثر حداثة التي يصعب تزييفها والمحميَّة بالأختام والعلامات المائية Watermarks. واختارت الاعتمادات الرقمية اللامركزية بناء على النموذج الذي أنشأته ”مؤسسة الثقة عبر مزود خدمات الإنترنت“ Trust Over IP Foundation التابعة لمؤسسة لينوكس Linux Foundation.7The Trust Over IP Foundation was launched in 2020 with the mission to develop a complete architecture for internet digital trust.
رحلة التبني: بدأت كولومبيا البريطانية في اعتماد الإثباتات الرقمية في العام 2018 بتسجيل الشركات. وبصفتها مصدر هذه الاعتمادات، يمكن للمقاطعة إنشاء إصدارات رقمية بسهولة. الأهم من ذلك، تسجيلات الأعمال التجارية هي في المجال العام، لذلك لم يكن هناك ما يثير القلق بشأن حمايتها مع وجود المعلومات القابلة للتعريف شخصياً في المشروع التجريبي.
كان الفريق يتألف من مدير وعديد من المطورين. طوّروا أولاً محفظة كولومبيا البريطانية مع واجهة مستخدم User interface على شبكة الإنترنت web-based user interface للحاملين والمتحققين، لكنهم واجهوا عقبة: مع وجود ملايين تسجيلات الشركات في محفظة المقاطعة، كان البحث عن شركة معينة بطيئاً. احتاجت كولومبيا البريطانية إلى محفظة رقمية على المستوى المؤسسي، لذلك أطلقت مسابقة عامة ناجحة بقيمة 50,000 دولار كندي (37,000 دولار أمريكي) لتطويرها كبرمجية مفتوحة المصدر Open-source software. (لهذه الخطوة الأولى تحتفظ المقاطعة بالإثباتات نيابة عن الشركات. في الوضع المثالي، في المستقبل، سيكون للممثلين المعتمدين للشركات محافظهم الخاصة). مثل الهيئة NHS اختار الفريق شبكة سوفرين للتحقق من التوقيعات الرقمية. وفي العام 2019 أُطلِق الحل، الذي يسمى أورغ بوك OrgBook.8The OrgBook for the province of British Columbia is available and can be searched online. والآن يمكن لأي شخص البحث في الموقع للعثور على إثباتات معتمدة للشركات.
إضافة إلى مبادرة تأهيل تسجيل الشركة في المقاطعة، والتي تكون فيها شركة ما هي جهة إصدار، جربت كولومبيا البريطانية حلاً تعمل فيه الحكومة كجهة تحقق. وبالنسبة إلى النظام الإيكولوجي للاعتمادات هذا، فإن جمعية القانون Law Society هي الجهة المصدرة لإثباتات العضوية؛ اختير 100 محامٍ ليكونوا حاملين يعملون مع البرنامج التجريبي، وفرع خدمات العدالة Justice Services Branch التابع لوزارة العدل لتكون الجهة المتحققة. تسهل هذه المبادرة عملية التحقق من الإثباتات، وتسمح للمحامين بالوصول إلى جلسات المحاكم المسجلة والحصول على وثائق سرية أخرى من الحكومة. في سبتمبر 2022، نشرت كولومبيا البريطانية محفظتها الرقمية الخاصة كإطلاق تجريبي؛ يمكن لأي شخص تنزيل تطبيق المحفظة على هاتفه واتباع التعليمات للتدرُّب على تلقي الاعتمادات الوهمية ومشاركتها، وذلك استعداداً لعملية طرح مستقبلية باستخدام اعتمادات حقيقية.9BC Wallet,” Government ID, Government of British Columbia, accessed Jan. 11, 2023, https://www2.gov.bc.ca.
النتائج حتى الآن والخطوات التالية: وصف جوردان رحلة اعتماد الاعتمادات اللامركزية في المقاطعة بأنها عموماً ”عملية تطبيق مسؤولة ورصينة“. ويجري توليد القيمة الإضافية Incremental value مع كل خطوة، مثل توفير خدمة عامة مجانية لأي شخص للبحث عن اعتمادات الشركات، والعثور عليها والتحقق منها. وتخطط كولومبيا البريطانية – بالتعاون مع جهات سيادية أخرى – لتطوير سجل الثقة الموزع الذي أعدته. وقال جوردان: ”عندما تنطلق الاعتمادات القابلة للتحقق، تصبح هي البنية التحتية الحيوية التي يجب على الحكومة توفيرها لمواطنيها حتى يتمكنوا من إدارة حياتهم الرقمية بسرية“.
ما الفرق بين الشبكة المستقبلية والشبكة الثالثة Web 3.0؟ لفهم ما الذي يشكل الرؤى المتنافسة للمكان الذي تتجه إليه الإنترنت، نحتاج إلى مراجعة سريعة لكيفية تطور الشبكة حتى الآن. الإنترنت الذي يعرفه معظمنا وُلد في العام 1989، عندما اخترع تيم بيرنرز-لي Tim Berners-Lee شبكة الإنترنت العالمية World Wide Web، بما في ذلك أول خادم شبكي ومتصفح شبكي، وإتش تي إم أل HTML. ولَّدت هذه الإنجازات الخارقة إمكانات تجارية واستهلاكية مما كان إلى حد كبير بنيةً تحتية شبكية تستخدمها الحكومات ومؤسسات الأبحاث. مع إدخال المتصفحات التجارية Commercial browsers ومحركات البحث Search engines في أوائل تسعينات القرن العشرين، تمكن الأفراد من العثور على المعلومات المستضافة على الخوادم وتحميل صفحات الشبكة الثابتة. ما نسميه الشبكة الثانية Web 2.0 جاء نحو العامين 2003 و2004 عندما أصبحت صفحات الشبكة ديناميكية وتفاعلية، مما مكن المستخدمين من المساهمة في المحتوى. وبنى المطورون تطبيقات شبكية Web apps ذات وظائف ثرية لإنشاء شبكات لوسائل التواصل الاجتماعي جديدة، ومنصات للتجارة الإلكترونية؛ أصبحت الأكثر نجاحاً شركات التكنولوجيا العملاقة التي تتمتع بقوة شبه احتكارية بفضل تأثيرات الشبكة التجارية. ”يدفع“ المستخدمون في مقابل خدمات مجانية ظاهرياً عبر الإنترنت، وذلك من خلال السماح بجمع بياناتهم الشخصية، ومتابعة نشاطهم عبر الإنترنت، حتى يتمكن المعلنون من استهدافهم. وأطلقت شوشانا زوبوف Shoshana Zuboff، أستاذة مدرسة الأعمال بجامعة هارفارد Harvard Business School، على هذه الممارسة اسم ”رأسمالية المراقبة“ Surveillance capitalism. يهدف أنصار التطور المهم الثالث للشبكة إلى توزيع السلطة والتحكم ما بين الأفراد. ولدى المجتمعات المختلفة أفكار مختلفة حول كيفية تحقيق ذلك. تعتقد مؤسسة الشبكة المستقبلية Web3 Foundation، بقيادة المؤسس المشارك لإيثريوم Ethereum غافن وود Gavin Wood، أن من الممكن تحقيق الهدف من خلال شبكة لامركزية تستند إلى التشفير Cryptography وسلسلة الكتل Blockchain.10“About,” Web3 Foundation, accessed Jan. 11, 2023, https://web3.foundation. المكونات الرئيسة لما تسميه هذه المجموعة الشبكة الثالثة تشمل المحافظ الرقمية Digital wallets، ورموز الأصول Asset tokenization، والاتفاقيات الذاتية التنفيذ Self-executing agreements، والعوالم الافتراضية المستمرة Persistent virtual worlds لما يسمى الميتافيرس (الكون الموازي)، وموضوع هذه المقالة – الإثباتات اللامركزية. يستخدم مدير الائتلاف W3C بيرنرز-لي أيضاً مصطلح الويب 3.0 (Web 3.0) لوصف شبكة لامركزية تستند إلى بروتوكول سوليد Solid protocol، الذي نشأ من مشروع بحثي في معهد ماساتشوستس للتكنولوجيا Massachusetts Institute of Technology (MIT). يهدف هذا النهج إلى منح المستخدمين التحكم في بياناتهم ومعلوماتهم عبر مخازن البيانات اللامركزية التي تسمى جرابات Pods. يصفها موقع سوليد الإلكتروني بأنها خوادم شبكية شخصية آمنة للبيانات؛ يتحكم المستخدمون في الأشخاص والتطبيقات الذين يمنكهم الوصول إليها. (قبل عَقدين، كان بيرنرز-لي أكثر تركيزا على تطوير ”شبكة دلالية“ Semantic web مستقبلية من البيانات القابلة للقراءة الآلية). ويرفض علناً فكرة الشبكة المستقبلية القائمة على نظام جديد لتطبيقات الإنترنت مبنية على سلسلة الكتل، واصفاً إياه بأنه ”ليس شبكةً على الإطلاق“.11R. Browne, “Web Inventor Tim Berners-Lee Wants Us to ‘Ignore’ Web3: ‘Web3 Is Not the Web at All,’” CNBC, Nov. 4, 2022, www.cnbc.com. تشمل الاعتمادات اللامركزية تشفير الشبكة المستقبلية، لكنها تتوافق أيضاً مع معايير الائتلاف W3C للشبكة الحالية. – إليزابيث هيشلر
مصدر الإثباتات: اتحادات ائتمانية
أسباب التبني: بونيفي Bonifii هي مؤسسة خدمية تدعم 70 اتحاداً ائتمانياً Credit unions مقرها الولايات المتحدة. إذ سعت الاتحادات الائتمانية إلى الحصول على خدمات رقمية أكثر أماناً وثقة. وظلت أنظمتها للهوية المركزية قائمة على الحسابات Accounts وكلمات المرور Passwords، إذ احتاج الأعضاء إلى استخدام مصادقة Authentication من خطوتين أو ثلاث خطوات. يرسل المحتالون – باطراد – إلى الأعضاء نصوصاً أو رسائل إلكترونية احتيالية، ما يزيد من مخاطر سرقة الهوية والاحتيال. وتوفر الاعتمادات اللامركزية طريقة أفضل للاتحادات الائتمانية للتحقق من الأعضاء وللأعضاء للتحقق من أنهم يتفاعلون في الواقع مع اتحاداتهم الائتمانية.
رحلة التبني: تعاملت بونيفي، وثلاثة اتحادات ائتمانية، ومزود لخدمات التكنولوجيا كان من أوائل المشتغلين بتطوير إثبات العضوية، وفي العام 2019 بدأت في تطوير جواز الأعضاء MemberPass. وكما في الحالتين السابقتين، تعمل شبكة سوفرين كسجل عام للتحقق من التوقيعات الرقمية. تستند سوفرين إلى الثقة بمبادئ ”مؤسسة الثقة عبر مزود خدمات الإنترنت“ Trust Over IP Foundation والهوية السريعة عبر الإنترنت Fast ID Online (اختصاراً: الهوية FIDO).12The FIDO Alliance is an open industry association with a mission to reduce the world’s overreliance on passwords. ويزعم جواز الأعضاء MemberPass أنه ”أول هوية رقمية متوافقة [مع مبدأ اعرف عميلك]“، وخاضعة لسيطرة الأعضاء تصدر عن تعاونيات الاتحادات الائتمانية Credit union cooperatives.13“Bonifii and Entersekt Announce New Context-Aware Authentication Solution for Credit Unions,” Bonifii, April 21, 2022, https://bonifii.com.
وحصل الحرص على أن يكون الاعتماد الرقمي بسيطاً: وذلك بتوفير أدلة مُتحقَّق منها آليا Machine-verifiable proofs تؤكد رقم مُعرِّف العضو Member ID number، واسم الاتحاد الائتماني Credit union name، وتاريخ تنشيط العضوية Membership activation date. في البدء اختارت الاتحادات الائتمانية الأعضاء الحاليين لاستخدام الاعتماد الرقمي عند زيارتهم لأحد الفروع. بعد وقت قصير من الإطلاق، مكنت من التسجيل في الخدمة عبر الهاتف. يمكن الآن استخدام جواز الأعضاء في فرع، وفي أجهزة الصراف الآلي، وعلى المكالمات الهاتفية لمراكز الاتصال، وعبر الإنترنت.14P. Windley, “Building an SSI Ecosystem: MemberPass and Credit Unions,” Phil Windley’s Technometria, June 7, 2021, www.windley.com.
النتائج حتى الآن والخطوات التالية: بحلول الربع الثاني من العام 2021، كانت سبعة اتحادات ائتمانية تشارك في المشروع، ونزل أكثر من 22,000 عضو محفظة جواز الأعضاء. وبحلول الربع الأول من العام 2022، انضم إلى هذا الجهد 10 اتحادات ائتمانية، وزاد عدد المتبنين خمسةَ أضعاف. بالنسبة إلى الأعضاء تتمثل الفوائد الرئيسة في الراحة والثقة بأنهم يتعاملون مع اتحاداتهم الائتمانية وليس مع محتالين. والفوائد المترتبة للاتحادات الائتمانية هي المعاملات الأكثر كفاءة، والحد من مخاطر الاحتيال، وعلاقات أكثر ثقة مع الأعضاء.
أُصدِرت نسخة جديدة من جواز الأعضاء مع ميزات إضافية في أغسطس 2022. وتُواصل الاتحادات الائتمانية وبونيفي العمل على تعميم استخدام جواز الأعضاء من قِبل المجموعة المستهدفة البالغة 6.5 مليون عضو. بوجه عام كان توسيع نطاق التكنولوجيا بطيئاً. قال جون أينسورث John Ainsworth، الرئيس التنفيذي لبونيفي، في العام 2022: ”لا تزال الاعتمادات اللامركزية في باكورتها، لكنها ستكون جزءاً حاسماً من الإنترنت في المستقبل“.
دروس مستفادة من الحالات الرائدة وما بعدها
كما تظهر الحالات الثلاث، تظهر التطبيقات نتائج واعدة للأدوار كلها في النظم الإيكولوجية للإثباتات: يمتلك الحاملون ويتحكمون فيمن يرى اعتمادات إثباتاتهم؛ يمكن للمصدرين إنشاء الاعتمادات مرة واحدة، من دون الحاجة إلى إعادة التصديق ما لم يتغير المؤهل أو يُلغَ؛ ويمكن للمتحققين التثبت من صحة الاعتمادات في ثوانٍ. (انظر: ”الأدوار الرئيسة في الإثباتات“). وفي هذه الحالات، تكون تكلفة المعاملات منخفضة بالنسبة إلى المصدرين ومجانية بالنسبة إلى الحاملين والمتحققين.15The three cases all use the Sovrin Network. In this network, transaction costs are low; only issuers are charged a modest fee (about $10) to post their public keys to the registry, and the issuer can use the key to sign an unlimited number of credentials. At this point, verifiers are not charged for reading the registry. على مستوى المنظومة الإيكولوجية، تنشأ فوائد الأمن السيبراني من إدارة العلاقات مع روابط قرين إلى قرين بدلاً من الحسابات المركزية وكلمات المرور، ومن تخزين الاعتمادات على الأجهزة الطرفية في المحافظ الرقمية بدلاً من قواعد البيانات المركزية.
وفي حين أن هذه النتائج واعدة، تساءلنا عما إذا كان الحل المركزي يمكن أن يحقق نتائج مماثلة، لذلك سألنا الرواد. بالنسبة إلى الهيئة NHS، فإن دمج سجلات الموارد البشرية من 1,200 مستشفى ومركزها سيكون أمراً مانعاً من الناحيتين التقنية والسياسية. وإضافةً إلى ذلك، تعني اللامركزية أن المستشفيات لا تتخلى عن السيطرة. وبونيفي في وضع مماثل، لأن الاتحادات الائتمانية مستقلة. في كندا لن يكون الحل المركزي مناسباً، حيث إن المقاطعات هي الجهات الرسمية المصدرة للاعتمادات مثل شهادات الميلاد وتراخيص القيادة وتسجيلات الأعمال.
على الرغم من القيمة الموعودة هناك تحديات كبيرة في مجال التبني يجب التغلب عليها، مثل تنسيب شركاء المنظومة الإيكولوجية، وإدارة التغيير، وتوسيع نطاق الحل لدعم زيادة المشاركة وأنواع إضافية من الاعتمادات. كما إن قابلية التشغيل البيني وعدم النضج التقني يثيران القلق. إليكم طريقة التبني في هذه المرحلة:
1. ابدؤوا مع المصدرين، الذين هم في وضع أفضل لقيادة التبني. على عكس معظم تطبيقات البرمجيات التي تُعتمَد داخل الحدود المؤسسية، لا تعمل الاعتمادات اللامركزية إلا إذا تبناها نظام إيكولوجي متكامل. ولإطلاق الحل يجب أن تكون هناك إثباتات معتمدة متاحة، لذلك من المنطقي أن يقود المصدرون المشروعات التجريبية في الحالات الثلاث كلها أعلاه، بدعم من السلطات الحكومية. وفي كل من حالتي الهيئة NHS وبونيفي، فإن المستشفيات والاتحادات الائتمانية (على التوالي) هي جهات إصدار وتحقق في وقت واحد، ما يقلل من جهود التوظيف.
2. لا تبالغوا: ابدؤوا مع مجموعة فرعية من المصدرين، والحاملين، والمتحققين. البدء مع مجموعة فرعية من المتبنين يسمح لفريق التطوير بتقديم حل سريع. إذا نجح، يثبت الفريق قيمة النظام الإيكولوجي الأكبر. بدأت الهيئة NHS في إنجلترا بجزء بسيط من مستشفياتها وموظفيها البالغ عددهم 1,200. وبدأت بونيفي مع ثلاثة اتحادات ائتمانية ونسبة صغيرة من الأعضاء. كجهة إصدارٍ بدأت مقاطعة كولومبيا البريطانية بتسجيلات الأعمال لخدمتها الأولى. وفيما يتعلق بخدمة أخرى، شملت مصدراً واحداً (جمعية القانون)، ومتحققاً واحداً (فرع الخدمات القضائية التابع لوزارة العدل)، و100 محام.
3. اجعلوا اعتماد الحامل اختيارياً والإلحاق بالعمل سهلاً. يجب أن يفهم الحاملون كيف سيستفيدون من اعتماد محفظة رقمية. وبمجرد أن يوافقوا على تجربة الحل يجب عليهم تنزيل المحفظة الرقمية الصحيحة، وتعلم كيفية قبول طلبات الربط، وتحميل الاعتمادات من المصدرين، ومشاركة دليل الاعتمادات مع المتحققين. بادر المصدرون في حالتين باستكمال إجراءات التنفيذ والتدريب وتنفيذ الخطوة الأولى المهمة المتمثلة في ربط الهوية في نقطة الخدمة. بالنسبة إلى الهيئة NHS في إنجلترا رُبِطت الهوية عندما كان أحد الموظفين على وشك النقل؛ بالنسبة إلى جواز الأعضاء، حدث ذلك عندما زار أحد الأعضاء فرعاً لاتحادٍ ائتماني. في البداية مكّنت كل مؤسسة الحاملين كلاً على حدة ودربتهم. وفي نهاية المطاف، جرت إضافة قنوات إضافية للتواصل والإلحاق بالعمل، مثل مواقع الشبكة ومقاطع الفيديو الترويجية والدعوات بالبريد الإلكتروني.
4. انظروا في قابلية التشغيل البيني: هل ستنقذنا المعايير؟ في حين أن الحالات الثلاث كلها استخدمت شبكة سوفرين للتحقق من التوقيعات الرقمية لأنه، كما أخبرنا عديد من المشاركين في البحث، ”كانت شبكة بيانات الاعتماد اللامركزية الوحيدة التي كانت موجودة في ذلك الوقت“، فإن أكثر من 100 شبكة منافسة قيد الإنشاء.16The W3C lists 136 methods for decentralized credentials. See “DID Specification Registries: The Interoperability Registry for Decentralized Identifiers,” W3C, updated Jan. 7, 2023, www.w3.org. وسيكون التشغيل البيني مشكلة إن عملت الشبكات كجزر. أيضاً، هناك عدد قليل فقط من المحافظ الرقمية المتاحة تجارياً، مع توقع مزيد منها. يخشى المشاركون في البحث من أن المؤسسات قد تحل محل عدد كبير من الحسابات وكلمات المرور (الرمز السري) مع عدد كبير من المحافظ الرقمية. قد يتطور هذا ليبدو مثل عديد من التطبيقات التي لدينا جميعاً على هواتفنا الذكية اليوم.
تعمل عديد من مؤسسات المعايير – بنحو مباشر أو عرضي – على تطبيق الاعتمادات اللامركزية، مثل استخدام القياسات الحيوية Biometrics لربط الهوية. ويشمل مشهد المعايير الشبكة المستقبلية للمعرفات اللامركزية والاعتمادات القابلة للتحقق؛ و”مؤسسة الثقة مزود خدمات الإنترنت“ للأوراق البيضاء والمواصفات والتوصيات للمحافظ لتكون قابلة للتشغيل المتبادل مع أي سجل ثقة موزع؛ ومؤسسة الهوية اللامركزية Decentralized Identity Foundation لنظام إيكولوجي قابل للتشغيل المتبادل والمفتوح؛ والهوية السريعة عبر الإنترنت للمصادقة على الأجهزة الطرفية مثل الهواتف الذكية؛ ومنظمة المعايير الدولية International Standards Organization لعدة معايير ذات صلة، بما في ذلك واحدة حول رُخص السائقين المتنقلة. قد تكمل المعايير بعضها بعضاً أو تتنافس بعضها مع بعض، اعتماداً على كيفية تطورها.
يرى عديد من الخبراء أن الحكومات يجب أن تستثمر في الاعتمادات اللامركزية كجزء من البنية التحتية الرقمية الدولية.
5. فكِّروا في قابلية التوسع: هل يجب على الحكومات أن تأخذ زمام المبادرة؟ حتى الآن، لا توجد حلول موسعة. ولأن عديداً من اعتمادات المجتمع الأساسية تأتي من الحكومات، جادل عديد من الخبراء الذين تحدثنا معهم بأن الحكومات يجب أن تتدخل وتستثمر في الاعتمادات اللامركزية كجزء من البنية التحتية الرقمية الدولية. فقد اضطلعت الحكومة الأمريكية بدور مماثل في الماضي من خلال تمويل تطوير شبكة الإنترنت ودعمها في مراحلها الناشئة.
ولعل المبادرة الأكثر إثارة للاهتمام التي تقودها حكومة هي مشروع محفظة الهوية الرقمية الأوروبية European Digital Identity Wallet. لطالما شكلت المصادقة على الهوية عبر الحدود تحدياً في أوروبا، حيث تصدر كل دولة اعتمادات فريدة من نوعها، وتعتبر مخاوف الخصوصية ذات أهمية قصوى. اتخذ الاتحاد الأوروبي نهجاً من أعلى إلى أسفل في قيادة تكلفة محافظ الهوية الرقمية القابلة للتشغيل المتبادل. تشمل المشروعات الوطنية المبكرة لإثبات المفهوم Proof of concept والمشروعات التجريبية مشروع نيسي NESSI لمعرفات الضرائب الرقمية في ولاية بافاريا الألمانية، وبطاقة الهوية المعتمدة Validated ID مع كايكسا بنك CaixaBank وإيغو دي برشلونة Aigües de Barcelona لتحديد هوية العملاء في إسبانيا. وهناك حالة استخدام تجريبية حالياً عبر الحدود هي المشروع المتعدد الجامعات للدبلوم الرقمي في البنية التحتية لخدمات سلسلة الكتل الأوروبية European Blockchain Services Infrastructure. وستتيح مراجعة تنظيم خدمات تحديد الهوية والثقة الإلكترونية للاتحاد الأوروبي Electronic Identification and Trust Services Regulation، التي ستطرح هذا العام، التحقق من الهوية ومصادقة المؤهل لبطاقات الهوية ورخص القيادة.
حتى لو حفزت الحكومات بعض الاعتمادات الرئيسة، يعتقد خبراء آخرون أن بعض المصدرين قد لا يزالون يقاومون التحوُّل إلى نموذج عمل حيث يجري التحقق من الاعتمادات مع سجلات الثقة العامة بدلاً من قواعد البيانات الداخلية الخاصة بهم. وبعض المصدرين، مثل شركات الإبلاغ عن الائتمان، يجنون أموالهم من خلال فرض رسوم على عمليات التحقق، ونموذج الاعتمادات اللامركزية الذي وصفناه في الحالات الثلاث من شأنه أن يزعزع هذا النموذج. يعتقد ديفيد هاسبي David Huseby، الذي عمل سابقاً في مجال الأمن في هايبرلدجر Hyperledger، بأن توسيع نطاق نماذج الاعتمادات اللامركزية التي تعتمد على المحافظ الرقمية والتحقق من الصحة الخارجية كان بطيئاً، لأنها تتطلب نموذج أعمال وفق قاعدة ”التمزيق والاستبدال“ Rip and replace. شارك هاسبي وريك كرانستون Rick Cranston، أحد مؤسسي بونيفي، في تأسيس كريبتيد Cryptid، حيث لا يستخدم الحل اللامركزي الجديد المحافظ الرقمية، لكنه يعتمد بدلاً من ذلك على واجهات برمجة التطبيقات للبنية التحتية الحالية. وفي حلولهم، لا يزال الحاملون يتحكمون رقمياً في الطلبات المقدمة من المتحققين، لكن يمكن للحاملين أيضاً توجيه الطلبات إلى المصدرين. يستجيب المصدرون في وقت تقديم الطلبات لاسترداد أحدث دليل على الاعتمادات من قواعد البيانات الداخلية الخاصة بهم. يمكن للمصدرين الاستمرار في فرض رسوم للتحقق، لكن هناك جانباً سلبياً يجب الاعتراف به: يمكن للمصدرين متابعة نشاط المستخدم.
تشير البدايات المتواضعة التي درسناها إلى مستقبل واعد للاعتمادات اللامركزية في الأعمال والمجتمع. تعرض الاعتمادات اللامركزية نموذجاً مختلفاً تماماً للثقة عبر الإنترنت. وإذا تمكنا من ترسيخ الأسس التكنولوجية، تكثر حالات الاستخدام ذات القيمة المضافة Value-added use cases. سيتمكن رواد الأعمال من فتح حساب مصرفي والحصول على عروض منافسة للحصول على قرض أعمال بنقرة زر واحدة. لن تحتاج الشركات إلى إصدار نماذج ”دبليو-2“ W-2 حتى يتمكن العاملون من تقديم إقرارات ضريبية في الولايات المتحدة. سيكون تشغيل عمليات التحقق من الخلفية وإلحاق الموظفين والموردين بالعمل فورياً تقريباً. لن يقع الموظفون في هجمات التصيد الاحتيالي، لأنه سيكون من السهل التحقق من أصل الرسالة. وستمنع زيادة الشفافية حول اعتمادات الموردين غسل الأموال وتعزز سلاسل التوريد الأخلاقية. وستتمكن خدمات البث من التحقق بسرعة من أن المستخدم الذي يستأجر فيلماً مصنفاً ”بي جي-13“ PG-13 يبلغ من العمر 13 سنة أو أكثر. وسيتمكن المرضى من مشاركة السجلات الطبية مع الأطباء في أنظمة المستشفيات المختلفة وطلب الأدوية الموصوفة عبر الإنترنت.
إضافة إلى توفير إثباتات للبشر، يمكن استخدام الاعتمادات اللامركزية لأي شيء يحتاج إليها، بما في ذلك الحيوانات والنباتات والمستحضرات الصيدلانية والمواد الخام، والآلات، والمنتجات النهائية. وستكون سمات الشركة أو المنتج مثل ”المملوكة لامرأة“ أو ”التجارة العادلة المعتمدة“ أكثر فائدة للتحقق منها.
هذه الاحتمالات ليست حتمية؛ فهي لن تحدث إلا إذا عرفت الحكومات والشركات والأفراد مزيداً عن الاعتمادات اللامركزية، وانخرطت بفاعلية في تطوير النظم الإيكولوجية الداعمة التي يمكن أن تتفاعل في عديد من المجالات وتوحيدها. وسيكون التعاون والتنظيم على نطاق واسع أمراً محورياً لاعتماده في الوقت المناسب، والقدرة على تحقيق القيمة من هذا المكون الحاسم من جدول أعمال القرن الحادي والعشرين.
المراجع
| ↑1 | B. Turczynski, “2020 HR Statistics: Job Search, Hiring, Recruiting, & Interviews,” Zety, updated Jan. 9, 2020, https://zety.com; and “Your Organization’s Reputation on the Line: The Real Cost of Academic Fraud,” PDF file (Herndon, Virginia: National Student Clearinghouse, 2016), https://nscverifications.org. |
|---|---|
| ↑2 | A. Preukschat and D. Reed, “Self-Sovereign Identity: Decentralized Digital Identity and Verifiable Credentials” (Shelter Island, New York: Manning Publications, 2021). |
| ↑3 | The W3C is an international community that develops open standards to ensure the long-term growth of the web. The W3C’s Verifiable Credential standard was published in 2019; its Decentralized Identifiers standard was published in July 2022. |
| ↑4 | M. Lacity and E. Carmel, “Self-Sovereign Identity and Verifiable Credentials in Your Digital Wallet,” MIS Quarterly Executive 21, no. 3 (2022): article 6. |
| ↑5 | The Sovrin Network is managed by the nonprofit Sovrin Foundation. The foundation has authorized over 80 independent volunteers on six continents to operate the network’s nodes. |
| ↑6 | The NHS lists the organizations that have registered to use the Digital Staff Passport on its website. |
| ↑7 | The Trust Over IP Foundation was launched in 2020 with the mission to develop a complete architecture for internet digital trust. |
| ↑8 | The OrgBook for the province of British Columbia is available and can be searched online. |
| ↑9 | BC Wallet,” Government ID, Government of British Columbia, accessed Jan. 11, 2023, https://www2.gov.bc.ca. |
| ↑10 | “About,” Web3 Foundation, accessed Jan. 11, 2023, https://web3.foundation. |
| ↑11 | R. Browne, “Web Inventor Tim Berners-Lee Wants Us to ‘Ignore’ Web3: ‘Web3 Is Not the Web at All,’” CNBC, Nov. 4, 2022, www.cnbc.com. |
| ↑12 | The FIDO Alliance is an open industry association with a mission to reduce the world’s overreliance on passwords. |
| ↑13 | “Bonifii and Entersekt Announce New Context-Aware Authentication Solution for Credit Unions,” Bonifii, April 21, 2022, https://bonifii.com. |
| ↑14 | P. Windley, “Building an SSI Ecosystem: MemberPass and Credit Unions,” Phil Windley’s Technometria, June 7, 2021, www.windley.com. |
| ↑15 | The three cases all use the Sovrin Network. In this network, transaction costs are low; only issuers are charged a modest fee (about $10) to post their public keys to the registry, and the issuer can use the key to sign an unlimited number of credentials. At this point, verifiers are not charged for reading the registry. |
| ↑16 | The W3C lists 136 methods for decentralized credentials. See “DID Specification Registries: The Interoperability Registry for Decentralized Identifiers,” W3C, updated Jan. 7, 2023, www.w3.org. |
