PSE, l’équipe de la Fondation Ethereum (EF) qui développe des outils axés sur la confidentialité, a présenté OpenAC, une conception cryptographique open source permettant de délivrer des preuves représentant des informations d’identification numériques « anonymes, transparentes et légères ».
Le système, partagé sur X le 29 novembre, est désormais opérationnel pour que les développeurs puissent l’implémenter dans leurs projets.
OpenAC est une proposition de documents numériques qui ils certifient les conditions ou les autorisations de l’utilisateur (comme être majeur), mais qui peuvent être présentés au moyen de preuves cryptographiques qui ne révèlent pas de données personnelles.
En plus, j’obtiendrais ça sans laisser de traces permettant de suivre les actions des utilisateurs.
L’équipe PSE a souligné ce qui suit à propos d’OpenAC dans l’annonce :
OpenAC décrit une construction d’identité basée sur des preuves sans connaissance (ZK) conçue pour fonctionner avec les piles d’identités existantes et délibérément construite pour être compatible avec l’architecture et le cadre de référence européens d’identité numérique (EUDI ARF).
Équipe PSE en X.
Cela signifie qu’OpenAC est conçu pour s’intégrer aux systèmes d’identité déjà déployés, publics et privés.
Un design conçu pour s’intégrer aux identités existantes
Leur livre blanc explique qu’OpenAC utilise des preuves sans connaissance (ZK, preuves de connaissance nulle), une méthode cryptographique qui permet de prouver qu’un attribut est valide sans révéler les données originales qui le prouvent.
Dans le cadre de l’identité numérique, cela permet un utilisateur affiche un identifiant sans exposer l’intégralité du document ou autorisez un tiers à suivre votre historique d’utilisation.
Le fonctionnement d’OpenAC s’organise en trois rôles qui interviennent dans le cycle de délivrance et d’utilisation d’un identifiant :
- Émetteur: l’entité qui crée et signe le titre : il peut s’agir d’une entreprise, d’un organisme public, d’une université ou de toute institution ayant le pouvoir de certifier les données.
- Utilisateur: enregistre ces informations d’identification et produit le test ZK sur demande.
- Vérificateur: application ou entité qui doit confirmer que le test est valide, mais sans accéder au contenu réel du document ni obtenir d’informations supplémentaires sur l’identité de l’utilisateur.
Pour que ce système fonctionne, l’émetteur doit gérer de manière sécurisée ses clés cryptographiques et signer uniquement les attributs corrects.
OpenAC en fait partie hypothèse de confiance initiale– Si l’émetteur certifie de fausses informations ou si sa clé privée est compromise, toutes les informations d’identification qu’il a émises deviennent invalides.
Le document précise également qu’OpenAC n’intègre pas son propre mécanisme de révocation. Par conséquent, si un émetteur doit invalider un identifiant en raison d’une erreur ou d’une expiration, doit s’appuyer sur des systèmes externes.
Cette exigence introduit un point de dépendance dans le modèle, puisque la gestion de la révocation est entre les mains d’un tiers.
Selon PSE, ces outils doivent être des listes cryptographiques qui permettent de vérifier si un identifiant est toujours valide sans révéler l’identité du titulaire ni suivre ses activités.
Implications possibles pour Ethereum
OpenAC positionnerait Ethereum comme une plateforme adaptée à la gestion des identités numériques sans sacrifier la confidentialité, bien que la conception nécessite des composants hors chaîne et dépend d’émetteurs fiables.
La possibilité de délivrer des documents numériques non traçables et conformes aux normes internationales pourrait ouvrir un espace à des applications telles que les dossiers scolaires, les permis administratifs, les certifications professionnelles ou l’accès à des services nécessitant une validation sans révéler l’identité.
Comment OpenAC empêche-t-il le traçage d’un identifiant ?
Pour qu’un identifiant ne puisse pas être lié entre différents usages, à chaque fois que l’utilisateur le présente doit générer un test complètement différent.
Si deux éléments de preuve répètent une certaine valeur, un vérificateur pourrait se rendre compte qu’ils proviennent tous deux de la même personne, même s’il ne sait pas de qui il s’agit.
Pour éviter ce lien éventuel, OpenAC force l’utilisateur ou l’application qui gère les identifiants incorporer des graines aléatoires dans chaque présentation. Cette randomisation garantirait que deux tests sur le même attribut semblent complètement différents.
Implémentation et limites pratiques d’OpenAC
La génération des tests OpenAC s’effectue hors chaîne (hors chaîne).
Cela signifie tout le calcul lourd (créer la preuve cryptographique qui prouve un attribut sans révéler de données) se fait sur l’appareil de l’utilisateur ou dans une application externeet pas au sein d’Ethereum.
En évitant d’exécuter ce processus sur le réseau, le coût est réduit et la saturation de la chaîne est évitée.
En revanche, la vérification du test peut être effectuée soit à l’extérieur de la chaîne comme à l’intérieur d’un contrat intelligent. Voici pourquoi PSE qualifie ces informations d’identification de « légères » : l’équipe a signalé un temps de vérification de “0,129 seconde”, ce qui rend le système gérable pour les applications nécessitant des réponses rapides.
De toute façon, les performances dépendront du matériel. Sur les appareils de moindre capacité ou dans des scénarios très chargés, les délais peuvent augmenter.
La conception vise à minimiser les informations qui atteignent Ethereum, mais OpenAC a encore besoin de composants supplémentaires pour fonctionner dans des environnements réels.
Les émetteurs sont tenus de gérer les clés, les portefeuilles pour prendre en charge le format des informations d’identification et les systèmes externes pour gérer les mécanismes tels que la révocation.
Sans cette infrastructure, le projet ne peut pas être déployé à grande échelle.
