Kimlik Yönetimi ve Blockchain

(1)

Bu makale, İstanbul Kalkınma Ajansı’nın desteklediği İstanbul Blockchain Okulu Projesi kapsamında hazırlanmıstır. İçerik ile ilgili tek sorumluluk Habitat Derneği'ne ait olup, İstanbul Kalkınma Ajansı veya Sanayi ve Teknoloji Bakanlığı’nın görüşlerini

yansıtmamaktadır. Proje No. TR10/18/YMP/112.

Kimlik Yönetimi ve Blockchain

Kimlik yönetimi bir kurum içinde kişileri tanımlamak, kimliklerini doğrulamak ve onların bu kurum ve/ve ya ilişkili kurumlarda sunulan hizmetlere ve sistemlere erişimleri için gerekli tüm işlem ve teknolojileri içerir. Merkezi olarak yönetilen geleneksel ve dijital dosyalama sistemlerinde kişisel veriler gizlilik ve güvenlik açıklarıyla karşı karşıyadır. Her iki sistemde de kişisel veriler kolaylıkla çalınabilir ve kötüye kullanılabilir. Ayrıca, teknolojinin gelişimiyle kimliklerin faaliyet alanı tekil kuruluşların ötesine geçmiştir. Facebook ve Google hesaplarıyla erişilebilen web siteleri ya da uygulamalarda olduğu gibi, dijital ortamda kullanıcılar herhangi bir alanda belirlenmiş olan kimlik bilgisini başka bir alana erişmek için kullanabilir. Bu da kişilerin kimliklerine ait yaş, cinsiyet, banka ve adres gibi bilgilerin başkaları tarafından öğrenilerek kötüye kullanılma riskini arttırmaktadır. Kimliklerin zaman ve mekândan bağımsız olarak taşınabilir ve doğrulanabilir olması dijitalleşme ile mümkün olmakla birlikte bu dijitalleşmenin de gizlilik ve güvenlik kıstaslarını sağlaması gerekir. Blockchain teknolojisi kimlik yönetiminde özellikle güven ve gizlilik sorunlarını aşmak için firmalar ve devletlere bir alternatif sunabilir.

Günümüzde kimlik yönetimi yalnızca devletleri etkileyen bir konu olmaktan çıkmış sağlık, eğitim, bankacılık gibi kişi ve kurum bilgilerinin ön plana çıktığı sektörleri de etkiler hale gelmiştir. Örneğin, sağlık alanında eczaneler, sigorta şirketleri ve hastaneler gibi paydaşlar arasındaki kimlik veri alışverişinin etkin olmayışı sağlık sisteminin işleyişini ve hastaları olumsuz yönde etkilerken, eğitim alanında da işverenler ve üniversiteler için sahte diplomalar sorun oluşturmaktadır. Öte yandan firmalar çalışanlarının ve müşterilerinin kimlik bilgileri ile diğer kişisel verilerini korumakla yükümlüdür.

Bu yükümlülüğü yerine getirememeleri büyük yasal cezaları beraberinde getirmektedir.¹ Kredi raporlama şirketi Equifax 2017 yılında veri ihlaline uğramış ve 143 milyon müşterisinin bilgilerinin çalındığı bildirmiştir. Kişilerin doğum tarihleri, kredi kartı numaraları gibi önemli bilgiler çalındığından, bu bilgilerin vergi ve sosyal güvenlik dolandırıcılığı vb. suçlarda kullanılmasından korkulmuştur. Firma

1 Identity Management with Blockchain: The Definitive Guide (2019 Update), Erişim Tarihi: 13.08.2019, https://tykn.tech/digital-identity-management-blockchain/.

(2)

uzlaşma anlaşması gereği devlete ve müşterilerine toplamda 700 milyon dolar ödemek zorunda kalmıştır.²

Kimlik yönetiminde üç ana aktörün varlığından söz edilebilir. Bunlar, (1) kimlik sahipleri, (2) kimliği verenler, (3) bankalar, noterler gibi kimlik bilgilerinin doğruluğunu onaylayanlardır. Blockchain altyapısıyla oluşturulmuş uygulamalarda kimliği onaylayanlar kimlik bilgilerinin geçerliliğini kontrol etmekten ziyade kimliği vermiş olan otoriteyi kontrol ederler. Böylelikle blockchain üzerinde, her an değişebilecek olan kişisel bilgilerin depolanması yerine, kimliği onaylayan tarafın bilgisini esas alan güvenli bir kimlik yönetim alanı oluşturulur. Blockchain kullanıcıların kimliklerini kaydedebilmek için açık ve özel anahtar (public and private key) çiftini kullanır. Kişisel bilgiler, diğer bir deyişle çeşitli kimlik nitelikleri- yaş cinsiyet, adres vb. kriptografik algoritma ile şifrelenerek saklanır. Bir kişinin kimlik bilgilerinin doğruluğundan emin olmak istediğinde blok içindeki şifreli bilgiye anahtar aracılığıyla ulaşılır ve böylece gizlilik ve güvenlik sorunlarının önüne geçilir.

Son yıllarda kimlik yönetimi alanında ShoCard, ID.me, uPort gibi uygulamalarla birçok dağıtık kimlik şeması ortaya çıkmıştır. Çeşitli şemalar birlikte incelendiğinde iki farklı kategori görülmektedir; (i) kimlik bilgilerinin kullanıcı tarafından kontrol edildiği (kullanıcı egemen) ve kimlik bilgilerinin merkeziyetsiz şekilde tutulduğu şemalar, (ii) kimlik kartı gibi, daha önce başka bir kurum tarafından onaylanmış kişisel veriler üzerinden kimlik bilgilerinin kontrol edildiği şemalar.³ Kimlik bilgilerinin kontrolünün kullanıcıda olduğu kategoride, blockchain üzerinde kullanıcıya dair veriler yer almaz ve dolayısı ile ekosistemdeki paydaşlar kullanıcıya dair hiçbir veriye sahip değildir. Kullanıcı kimlik bilgilerinin ne kadarının kimlerle paylaşılacağına kendisi karar verir. Diğer kategoride ise ekosistemdeki paydaşlar kullanıcı izni ve onayı ile kimlik bilgisini kullanır ve paylaşır. Kimlik bilgileri parça parça farklı ekosistem paydaşlarında bulunur, hiçbir paydaş verinin tamamına sahip değildir.⁴

Güvenli ve kullanışlı kimlik şemalarının nasıl tasarlanmaları gerektiği konusunda üzerinde uzlaşılmış temel prensipler bulunmaktadır. Kimlik bilgilerinin kontrolünün kimlik sahibinde bulunarak, bu

2 Anita George, Equifax agrees to pay $700 million settlement for its 2017 data breach, 22 Temmuz 2019, Erişim Tarihi: 2.09.2019, https://www.digitaltrends.com/computing/equifax-agrees-to-pay-up-to-700-million-dollar- settlement-for-2017-data-breach/.

3 Paul Dunphy ve Fabien A.P. Petitcolas, A First Look at Identity Management Schemes on the Blockchain, Blockchain Security and Privacy, July/August 2018, Copublished by the IEEE Computer and Reliability Societies, s.20-21.

4 Özlem Özkan (Ed.), Dijital Kimlik Raporu, Türkiye Bilişim Vakfı, Blockchain Türkiye Platformu, Nisan 2019, s. 21.

(3)

bilgilerin paylaşımında kimlik sahibinin onayının alınması ilk temel prensiptir. Kimlik bilgileri yalnızca gerektiğinde toplanmalı ve saklanmalıdır. Bilgiler yalnızca erişimine izin verilmiş meşru taraflar ile paylaşılmalıdır. Dijital kimlik verileri merkezi bir sistemde tutulmamalı, mobil ortamdan kullanıcı tarafından erişilerek doğrulama talebi yapan kuruma kullanım hakkı verilmelidir. Son olarak ise kullanıcılar zorlanmadan ve hızlı bir şekilde işlemlerini gerçekleştirebilmelidirler. ShoCard, ID.me, uPort, Sovrin gibi kimlik yönetim şemaları tasarım prensipleri ışığında incelendiğinde blockchain tabanlı uygulamaların “aracı kişiyi” ortadan kaldırmayı hedef alırken aslında kimlik konusunda güven ihtiyacının yüksek olması sebebiyle bunun ne kadar gerçekçi bir hedef olduğu ve günümüzde mevcut hiçbir kimlik şemasının aracı kişiler olmadan sadece kullanıcılar tarafından işletilemediği sorunları ortaya çıkmaktadır. uPort ve Sovrin uygulamaları her ne kadar merkezi otoriteleri ortadan kaldıracak şekilde anahtar geri kazanımı ile ilgili önemli kavramlar geliştirmiş olsalar da teknik konularda yeterince bilgisi olmayan kullanıcıların anahtarlarını kaybettiğinde teknolojiden soğuma ihtimalleri mevcuttur.⁵ Blockchain altyapısı ile oluşturularak kullanıcılara kişisel verilerini belirli bir oranda da olsa kontrol edebilme imkânı sunan uygulamalara bir diğer örnek MIT Media Laboratuvarında gerçekleştirilmiştir.

Media Lab merkezi otorite şeklinde hareket ederek öğrencilerin derslerini tamamladıklarına dair bilgiyi şifreleyerek akademik sertifikalar hazırlamıştır. Bitcoin blockchainine yazılan şifrelenmiş özet bilgi (hash) öğrenciler, işverenler, ya da başka kurumlar tarafından sorgulanabilir ve doğrulanabilir.

Böylelikle öğrenciler ve işverenler gibi sertifikayı talep eden kişi ve kurumlar açısından şeffaf ve güvenli bir alanda veri alış verişi gerçekleştirilebilir. Bu projenin zayıf yönlerinden biri olarak gizli-açık anahtar çiftini herkesin oluşturamayacak olması ve bunu öğrenciler yerine Media Lab’in oluşturarak öğrencilere sunması verilmiştir. İkinci sorun ise öğrenciler ya da başka birinin sertifikayı veren kurum ya da blockchainin bulunduğu alanın meşruluğuna karar verecek yetkide olmayışıdır.⁶

Blockchain tabanlı dijital kimlik uygulamalarının bazı örnekleri insani yardım alanında kullanılmaktadır.

Dünya Bankası tahminlerine göre dünyada 1.1 milyardan fazla insan kimliğini kanıtlayamamaktadır.

Kimliğin kanıtlanamaması kişilerin birçok temel insan hakkına erişimine kısıtlamalar getirir. Banka hesabı açamama, sosyal yardımlardan faydalanamama, aşılama gibi sağlık hizmetlerine erişememe,

5 Paul Dunphy ve Fabien A.P. Petitcolas, A First Look at Identity Management Schemes on the Blockchain, Blockchain Security and Privacy, July/August 2018, Copublished by the IEEE Computer and Reliability Societies,s.26.

6 Hilarie Orman, Blockchain: the Emperor’s New PKI?, March/April 2018, IEEE Internet Computing, s.27.

(4)

mülkiyet edinememe, oy kullanamama, göçmen haklarından faydalanamama gibi birçok hakka erişim kimliklerin kanıtlanabilmesiyle mümkündür.⁷ ABD’de kurulmuş BanQu firması mülteciler, bankalara erişimi olmayan kitleler ve dünyanın fakir bölgelerinde yer alan küçük işletmelere blockchain kullanarak ekonomik pasaportlar oluşturmaktadır. Kısa mesaj, akıllı telefonlar ve internet üzerinden erişilebilen blockchain tabanlı platform aracılığıyla kişiler ve küçük işletmeler ürün satın alabilir, finansal işlemlerinin kaydını tutabilir ve küresel tedarik zincirinde varlıklarını kanıtlayabilirler. BanQu firmasının bu uygulaması altı ülkede çiftçiler, işçiler; dünyanın en fakir bölgelerindeki mikro işletmeler ve büyük firmalar, finans kurumları tarafından kullanılmaktadır.⁸

Kimlik, birçok alan ve sektörün işleyişinde kilit ve kişilerin sağlık, eğitim, mülkiyet, barınma, seçme hakkına erişim gibi temel hak ve özgürlüklerinden faydalanabilmeleri için elzem bir konu olduğundan kimlik yönetiminin güvenli ve etkin bir şekilde uygulanması önemlidir. Blockchain tabanlı dijital kimlik uygulamalarının yukarıda da belirtildiği gibi merkeziyetsizliğin tam olarak sağlanamaması, kullanıcıların yeterli teknik bilgiye sahip olmaması gibi sınırlamaları olsa da blockchain teknolojisinin ilerlemesiyle kimlik yönetimi alanındaki bu engeller aşılabilir.

7 1.1 Billion ‘Invisible’ People without ID are Priority for new High Level Advisory Council on Identification for Development, Press Release October 12, 2017, Erişim Tarihi: 13.8.2019,

https://www.worldbank.org/en/news/press-release/2017/10/12/11-billion-invisible-people-without-id-are- priority-for-new-high-level-advisory-council-on-identification-for-development.

8 Blockchain For Social Impact Moving Beyond the Hype, Stanford Graduate School of Business in Collaboration with Ripple Works, s. 29.

(5)

Kaynaklar:

 Paul Dunphy ve Fabien A.P. Petitcolas, A First Look at Identity Management Schemes on the Blockchain, Blockchain Security and Privacy, July/August 2018, Copublished by the IEEE Computer and Reliability Societies.

 Özlem Özkan (Ed.), Dijital Kimlik Raporu, Türkiye Bilişim Vakfı, Blockchain Türkiye Platformu, Nisan 2019.

 Identity Management with Blockchain: The Definitive Guide (2019 Update), https://tykn.tech/digital-identity-management-blockchain/.

 Anita George, Equifax agrees to pay $700 million settlement for its 2017 data breach, 22 Temmuz 2019, https://www.digitaltrends.com/computing/equifax-agrees-to-pay-up-to-700- million-dollar-settlement-for-2017-data-breach/.

 Hilarie Orman, Blockchain: the Emperor’s New PKI?, March/April 2018, IEEE Internet Computing.

 Billion ‘Invisible’ People without ID are Priority for new High Level Advisory Council on Identification for Development, Press Release October 12, 2017,

https://www.worldbank.org/en/news/press-release/2017/10/12/11-billion-invisible-people- without-id-are-priority-for-new-high-level-advisory-council-on-identification-for-

development

 Blockchain For Social Impact Moving Beyond the Hype, Stanford Graduate School of Business in Collaboration with Ripple Works.