Decentralisatie: Ingebouwde veiligheid by design

Honingpotten blijven verleidelijk

Alles dat lekker en met veel inspanning verzameld is, zoals honing, is verleidelijk voor diefstal. Grote honingpotten moet je veel zwaarder en dus logger beveiligen dan als je het in kleine, decentrale potjes bewaart. Eén grote kluis versus veel kleine portemonnees. De combinatie van internet en mobiele telefoon stelt ons als persoon in staat steeds beter decentraal te communiceren, informatie uit te wisselen en te betalen. Echter dit is in de huidige Web2 wereld slechts mogelijk via uitgebreide netwerken, centrale systemen, data-kluizen en grote daarbij behorende organisaties. Direct peer-to-peer digitaal met elkaar communiceren (praten), jezelf identificeren (legitimeren) of transacties uitvoeren (betalen), is in de huidige Web2 wereld technisch niet mogelijk. Ik heb hierover vele blogs geschreven zoals ‘Hoe Web3 nu al onze markt en industrie verandert‘ en ‘Maakt Web3 de digitale overheid mogelijk?’.

In onze fysieke wereld leven, wonen en werken we als individuele personen. We wonen met gegarandeerde privacy in onze woningen. In de publieke fysieke ruimte zijn we anoniem, maar moeten ons wel kunnen identificeren. We kunnen als personen – zonder tussenkomst van derden – met elkaar communiceren (praten), betalen (cash), reizen en werken (diensten). De overheid beheert via registers slechts die gegevens, nodig voor een goede maatschappelijke orde, zoals burgerlijke stand, bevolkingsregister en diensten als belastingen, uitkeringen en veiligheid. Dat hebben we al eeuwen geleden goed en ordentelijk geregeld op basis van de decentrale burger en ondernemer én centrale diensten als overheid en banken. Echter in onze reis naar digitalisering, hebben we ons – vaak informatietechnisch noodzakelijk – laten verleiden, veel centrale oplossingen te accepteren die de centrale ‘man-the-middle’ veel macht geeft en waarvan de individuele positie positie van burger en ondernemer juridisch (nog) niet ordentelijk was geregeld. Dat proberen we, zeker in Europa, nu achteraf te repareren.

Echt digitaal is decentraal

Echt digitaal zijn we pas als we naast beperkte centrale oplossingen, de ‘oude’ inherent veilige en juridisch goed beschermde decentrale oplossingen, digitaal kunnen realiseren. Een veilig, individueel, digitaal huis met achter je digitale voordeur, wettelijk geregelde privacy. In de publieke ruimte kun je je vrij en anoniem bewegen, digitaal identificeerbaar indien nodig maar slechts dat stukje dat minimaal nodig is (zero-proof). Als burger individueel kunnen communiceren, betalen en lokaal samenleven, zonder noodzakelijke of verplichte tussenkomst van derden. Dat is de digitale peer-to-peer visie die in Web3 mogelijk wordt. Als digitale tweeling – net als je ‘eigen fysieke ik’ – op individuele wijze veilig en soeverein ook in een virtuele samenleving en economie kunnen leven, wonen en werken. Maar wel als ‘tweeling’ met een zelf beheerde digitale identiteit of, zoals we dat noemen een Self Souvreign Identity (SSI). Een persoonlijke digitale wallet waarin vanuit de fysieke wereld aantoonbare digitale persoonsbewijzen zitten, zoals ons paspoort, rijbewijs, werknemersbatch, bankpas etc.

In blogs zoals ‘Zelf beheerde identiteit’ en ‘Decentrale Identificatie’ ga ik al jaren in op de paradigmaverandering, nodig om ook als digitale burger, decentraal te kunnen leven. Niet ingelogd in en afhankelijk van grote centrale systemen maar als een ‘native digitale individu’. Aantoonbaar geverifieerd vanuit die fysieke wereld. Alles in de wereld is uiteindelijk fysiek: wij als mens maar ook chip, computer, cloud en zelfs de apps die op je fysieke mobiele telefoon staan. We creëren vanuit onze fysieke unieke wereld, nieuwe digitale ‘werelden’ waar we nieuwe productieve, leuke, interessante of sociale dingen kunnen doen. In die virtuele wereld moeten wij ook als avatar aantoonbaar kunnen bewijzen dat we dezelfde persoon zijn als in die fysieke wereld met dezelfde mogelijkheden en rechten: ‘individueel met elkaar kunnen communiceren (praten), transacties uitvoeren (betalen) en jezelf identificeren (legitimeren)’.

Metasystemen en digitale identiteiten

In een eerdere blog schreef ik dat het internet slechts een gekoppeld netwerk is met poorten en netwerken om computers met elkaar te verbinden. Klein of groot. Centraal of decentraal. Vast of mobiel. Koppelen van poorten, meer doet het internet niet. Een metasysteem erboven zorgt dat onderliggend decentrale interoperabiliteit mogelijk wordt – met protocollen, governance en conventies – tussen de op die poorten aangesloten computers, systemen en devices. Het maakt het fysieke netwerk absoluut niet uit wie of wat je bent. Een gebruiker wordt geïdentificeerd via de aangesloten proxyserver. Als je toegang kunt krijgen via die proxy, dan mag in feite alles en iedereen het internet op. Digitale identiteit, authenticatie, tokens, privacy, geld, bezit en veiligheid moet je zelf regelen, dat tot nu toe alleen centraal kon.

Als je dat niet of niet goed doet, loop je onbeveiligd in een ongecontroleerde omgeving die – net zoals vroeger buiten beveiligde stad of kasteel – vol met struikrovers en misdadigers zat. Pas toen door particulieren en later overheden beschermde ‘tolwegen’ ontstonden, konden we ons veilig buiten de centrale stad of het kasteel bewegen. In een eerdere blog ‘A man’s phone is his castle’ beschreef ik dat onze mobiele telefoon ons eigen digitale kasteel is geworden. Een veilige plaats die we zelf kunnen beheren en waar we in principe veilig zijn. Maar als we het kasteel uitgaan, moeten we door die gure en ongecontroleerde omgeving naar een veilige stad kunnen reizen. Het liefst via beschermde tolwegen, die niet vanzelfsprekend gratis zijn.

Naar veilige decentrale nodes en netwerken

In een uiterst leuk historisch overzicht van de struikroverij blijkt dat, toen de overheid tol toestond en particulieren vrijheid gaf kwaliteit en veiligheid van wegen te verbeteren, de struikrovers verdwenen. Overal verschenen tolhuisjes die de bewegingsvrijheid van struikrovers beperkten. De misdaad werd zo uit grootstedelijke gebieden verdreven. In 1830 vormden tolwegen 20% van het wegennet, een wegennet dat eindelijk veilig was geworden. Uiteindelijk hebben we via belastingen gezorgd dat de veiligheid overal op onze lokale wegen werd gewaarborgd. Het internet is echter internationaal en onze overheid kan niet overal voor die veiligheid en het bestrijden van struikroverij en piraterij zorgen. Maar er is zeker wat voor te zeggen om – te beginnen in Nederland – voor alle burgers beveiligde netwerken aan te bieden.

Onze oude publieke PTT deed dat met een publiek netwerk, maar dat is voor een appel en een ei geliberaliseerd en privaat gemaakt. Eeuwig zonde dat we als burgers toestonden een veilige nutsvoorziening zo te grabbel te gooien. Net zoals wegen, elektriciteit, water, gas en riolering zijn het publieke netwerken, dat had dat voor een publiek data-netwerk ook zo moeten zijn. Wat over die netwerken stroomt, mag privaat zijn, zoals auto’s op een weg. Maar het netwerk zelf niet: dat is publiek bezit. Nu zijn we opgezadeld met private netwerken en vormen van eHerkenning om met je – toch al duur betaalde overheid – te ’mogen’ praten. Net zoals je fysieke identiteit publiek is georganiseerd en in principe gratis is, moet je digitale identiteit, als digitale twin van die fysieke identiteit, ook publiek georganiseerd worden en gratis zijn. De enige mogelijkheid om uiteindelijk een digitaal veilige, open overheid te realiseren waar decentrale burgers zonder angst voor struikrovers mee kunnen communiceren.

Door: Hans Timmerman (foto)