Decentralisatie: Ingebouwde veiligheid by design
Rijk worden door een bankroof is waarschijnlijker dan een leven lang zakkenrollen. Voor de dief is de verhouding opbrengst versus inspanning in het eerste geval het grootst. Dat geldt ook voor diefstal van digitale data. Stelen bij centrale databanken is lucratiever dan het decentraal stelen van individuele data. De huidige Web2 wereld is – omdat het technisch niet anders kon – opgebouwd met grote centrale systemen en enorme data-kluizen. Uit het oogpunt van veiligheid zouden we onze digitale transformatie veel meer moeten richten op decentrale oplossingen die ‘by design’ minder aantrekkelijk maar tegenwoordig ook heel goed te beschermen zijn. Web3 levert via decentrale en/of mobiele nodes, digitaal gezien een veel veiliger vorm van zowel legitimatie (identiteit), betaling (token) en bezit (NFT).
Honingpotten blijven verleidelijk
Alles dat lekker en met veel inspanning verzameld is, zoals honing, is verleidelijk voor diefstal. Grote honingpotten moet je veel zwaarder en dus logger beveiligen dan als je het in kleine, decentrale potjes bewaart. Eén grote kluis versus veel kleine portemonnees. De combinatie van internet en mobiele telefoon stelt ons als persoon in staat steeds beter decentraal te communiceren, informatie uit te wisselen en te betalen. Echter dit is in de huidige Web2 wereld slechts mogelijk via uitgebreide netwerken, centrale systemen, data-kluizen en grote daarbij behorende organisaties. Direct peer-to-peer digitaal met elkaar communiceren (praten), jezelf identificeren (legitimeren) of transacties uitvoeren (betalen), is in de huidige Web2 wereld technisch niet mogelijk. Ik heb hierover vele blogs geschreven zoals ‘Hoe Web3 nu al onze markt en industrie verandert‘ en ‘Maakt Web3 de digitale overheid mogelijk?’.
In onze fysieke wereld leven, wonen en werken we als individuele personen. We wonen met gegarandeerde privacy in onze woningen. In de publieke fysieke ruimte zijn we anoniem, maar moeten ons wel kunnen identificeren. We kunnen als personen – zonder tussenkomst van derden – met elkaar communiceren (praten), betalen (cash), reizen en werken (diensten). De overheid beheert via registers slechts die gegevens, nodig voor een goede maatschappelijke orde, zoals burgerlijke stand, bevolkingsregister en diensten als belastingen, uitkeringen en veiligheid. Dat hebben we al eeuwen geleden goed en ordentelijk geregeld op basis van de decentrale burger en ondernemer én centrale diensten als overheid en banken. Echter in onze reis naar digitalisering, hebben we ons – vaak informatietechnisch noodzakelijk – laten verleiden, veel centrale oplossingen te accepteren die de centrale ‘man-the-middle’ veel macht geeft en waarvan de individuele positie positie van burger en ondernemer juridisch (nog) niet ordentelijk was geregeld. Dat proberen we, zeker in Europa, nu achteraf te repareren.
Echt digitaal is decentraal
Echt digitaal zijn we pas als we naast beperkte centrale oplossingen, de ‘oude’ inherent veilige en juridisch goed beschermde decentrale oplossingen, digitaal kunnen realiseren. Een veilig, individueel, digitaal huis met achter je digitale voordeur, wettelijk geregelde privacy. In de publieke ruimte kun je je vrij en anoniem bewegen, digitaal identificeerbaar indien nodig maar slechts dat stukje dat minimaal nodig is (zero-proof). Als burger individueel kunnen communiceren, betalen en lokaal samenleven, zonder noodzakelijke of verplichte tussenkomst van derden. Dat is de digitale peer-to-peer visie die in Web3 mogelijk wordt. Als digitale tweeling – net als je ‘eigen fysieke ik’ – op individuele wijze veilig en soeverein ook in een virtuele samenleving en economie kunnen leven, wonen en werken. Maar wel als ‘tweeling’ met een zelf beheerde digitale identiteit of, zoals we dat noemen een Self Souvreign Identity (SSI). Een persoonlijke digitale wallet waarin vanuit de fysieke wereld aantoonbare digitale persoonsbewijzen zitten, zoals ons paspoort, rijbewijs, werknemersbatch, bankpas etc.
In blogs zoals ‘Zelf beheerde identiteit’ en ‘Decentrale Identificatie’ ga ik al jaren in op de paradigmaverandering, nodig om ook als digitale burger, decentraal te kunnen leven. Niet ingelogd in en afhankelijk van grote centrale systemen maar als een ‘native digitale individu’. Aantoonbaar geverifieerd vanuit die fysieke wereld. Alles in de wereld is uiteindelijk fysiek: wij als mens maar ook chip, computer, cloud en zelfs de apps die op je fysieke mobiele telefoon staan. We creëren vanuit onze fysieke unieke wereld, nieuwe digitale ‘werelden’ waar we nieuwe productieve, leuke, interessante of sociale dingen kunnen doen. In die virtuele wereld moeten wij ook als avatar aantoonbaar kunnen bewijzen dat we dezelfde persoon zijn als in die fysieke wereld met dezelfde mogelijkheden en rechten: ‘individueel met elkaar kunnen communiceren (praten), transacties uitvoeren (betalen) en jezelf identificeren (legitimeren)’.
Metasystemen en digitale identiteiten.
In een eerdere blog schreef ik dat het internet slechts een gekoppeld netwerk is met poorten en netwerken om computers met elkaar te verbinden. Klein of groot. Centraal of decentraal. Vast of mobiel. Koppelen van poorten, meer doet het internet niet. Een metasysteem erboven zorgt dat onderliggend decentrale interoperabiliteit mogelijk wordt – met protocollen, governance en conventies – tussen de op die poorten aangesloten computers, systemen en devices. Het maakt het fysieke netwerk absoluut niet uit wie of wat je bent. Een gebruiker wordt geïdentificeerd via de aangesloten proxyserver. Als je toegang kunt krijgen via die proxy, dan mag in feite alles en iedereen het internet op. Digitale identiteit, authenticatie, tokens, privacy, geld, bezit en veiligheid moet je zelf regelen, dat tot nu toe alleen centraal kon.
Als je dat niet of niet goed doet, loop je onbeveiligd in een ongecontroleerde omgeving die – net zoals vroeger buiten beveiligde stad of kasteel – vol met struikrovers en misdadigers zat. Pas toen door particulieren en later overheden beschermde ‘tolwegen’ ontstonden, konden we ons veilig buiten de centrale stad of het kasteel bewegen. In een eerdere blog ‘A man’s phone is his castle’ beschreef ik dat onze mobiele telefoon ons eigen digitale kasteel is geworden. Een veilige plaats die we zelf kunnen beheren en waar we in principe veilig zijn. Maar als we het kasteel uitgaan, moeten we door die gure en ongecontroleerde omgeving naar een veilige stad kunnen reizen. Het liefst via beschermde tolwegen, die niet vanzelfsprekend gratis zijn.
Naar veilige decentrale nodes en netwerken
In een uiterst leuk historisch overzicht van de struikroverij blijkt dat, toen de overheid tol toestond en particulieren vrijheid gaf kwaliteit en veiligheid van wegen te verbeteren, de struikrovers verdwenen. Overal verschenen tolhuisjes die de bewegingsvrijheid van struikrovers beperkten. De misdaad werd zo uit grootstedelijke gebieden verdreven. In 1830 vormden tolwegen 20% van het wegennet, een wegennet dat eindelijk veilig was geworden. Uiteindelijk hebben we via belastingen gezorgd dat de veiligheid overal op onze lokale wegen werd gewaarborgd. Het internet is echter internationaal en onze overheid kan niet overal voor die veiligheid en het bestrijden van struikroverij en piraterij zorgen. Maar er is zeker wat voor te zeggen om – te beginnen in Nederland – voor alle burgers beveiligde netwerken aan te bieden.
Onze oude publieke PTT deed dat met een publiek netwerk, maar dat is voor een appel en een ei geliberaliseerd en privaat gemaakt. Eeuwig zonde dat we als burgers toestonden een veilige nutsvoorziening zo te grabbel te gooien. Net zoals wegen, elektriciteit, water, gas en riolering zijn het publieke netwerken, dat had dat voor een publiek data-netwerk ook zo moeten zijn. Wat over die netwerken stroomt, mag privaat zijn, zoals auto’s op een weg. Maar het netwerk zelf niet: dat is publiek bezit. Nu zijn we opgezadeld met private netwerken en vormen van eHerkenning om met je – toch al duur betaalde overheid – te ’mogen’ praten. Net zoals je fysieke identiteit publiek is georganiseerd en in principe gratis is, moet je digitale identiteit, als digitale twin van die fysieke identiteit, ook publiek georganiseerd worden en gratis zijn. De enige mogelijkheid om uiteindelijk een digitaal veilige, open overheid te realiseren waar decentrale burgers zonder angst voor struikrovers mee kunnen communiceren.
Photo by Anna Shvets
——————- vertaald door ChatGPT —————————
Decentralization: Built-in Security by Design
Getting rich by robbing a bank is more likely than a lifetime of pickpocketing. For the thief, the return on investment is much higher in the first case. The same goes for stealing digital data. Stealing from central databases is more lucrative than stealing individual data in a decentralized manner. The current Web2 world was built—out of technical necessity—with large central systems and massive data vaults. From a security perspective, we should focus more on decentralized solutions that are inherently less attractive targets, but which can now also be well-protected by design. Web3, through decentralized and/or mobile nodes, provides a much safer digital form of identification (identity), payment (token), and ownership (NFT).
Honeypots Remain Tempting Anything collected with effort, like honey, is tempting to steal. You need much heavier, bulkier security for large honeypots than if you store it in small, decentralized jars. It’s the difference between a large vault and a small wallet. The combination of the internet and mobile phones enables us as individuals to increasingly communicate, exchange information, and make payments in a decentralized way. However, in the current Web2 world, this is only possible through extensive networks, central systems, data vaults, and the large organizations that come with them. Direct peer-to-peer digital communication (talking), identification (authenticating), or transactions (paying) are technically impossible in the Web2 world. I’ve written many blogs about this, such as How Web3 is Already Changing Our Market and Industry and Is Web3 Making the Digital Government Possible?
In our physical world, we live, reside, and work as individuals. We live with guaranteed privacy in our homes. In public spaces, we are anonymous but must still be able to identify ourselves. As individuals, we can communicate (talk), pay (cash), travel, and work (services) without third-party intervention. The government only manages the necessary data to maintain societal order, such as civil registries, population records, and services like taxes, benefits, and security. We’ve organized this well and orderly for centuries based on decentralized citizens and entrepreneurs, along with central services like government and banks. However, in our digital transition, we’ve been tempted—often out of technical necessity—to accept more centralized solutions, giving intermediaries significant power, with the legal standing of citizens and entrepreneurs still not properly addressed. Europe is now trying to fix this retrospectively.
Truly Digital is Decentralized We will only be truly digital when, in addition to limited central solutions, we can digitally recreate the ‘old,’ inherently secure and legally protected decentralized solutions. A safe, individual digital home with legally protected privacy behind your digital front door. In public spaces, you can move freely and anonymously, but be digitally identifiable when necessary—only sharing the minimum required (zero-proof). As citizens, we should be able to communicate, pay, and live locally without mandatory third-party intervention. This is the peer-to-peer digital vision that Web3 makes possible. Like a ‘digital twin’—similar to your physical self—you can live, reside, and work safely and sovereignly in a virtual society and economy. But as a ‘twin’ with a self-managed digital identity, or as we call it, a Self-Sovereign Identity (SSI). A personal digital wallet containing verifiable digital credentials from the physical world, like a passport, driver’s license, employee badge, bank card, etc.
In blogs like Self-Managed Identity and Decentralized Identification, I’ve discussed for years the paradigm shift needed for citizens to live in a decentralized digital world. Not logged into or dependent on large central systems, but as a ‘native digital individual,’ verifiably authenticated from the physical world. Everything in the world is ultimately physical: we as humans, but also chips, computers, clouds, and even the apps on your physical mobile phone. From our unique physical world, we create new digital ‘worlds’ where we can engage in productive, fun, interesting, or social activities. In that virtual world, we must also be able to prove as avatars that we are the same person as in the physical world, with the same rights and capabilities: the ability to communicate (talk), conduct transactions (pay), and identify ourselves (authenticate).
Metasystems and Digital Identities In an earlier blog, I wrote that the internet is simply a connected network of gateways and networks to link computers together—small or large, central or decentralized, fixed or mobile. The internet merely connects gateways, nothing more. A metasystem above it ensures underlying decentralized interoperability—using protocols, governance, and conventions—between the computers, systems, and devices connected to those gateways. The physical network doesn’t care who or what you are. A user is identified through the proxy server they are connected to. If you can access the internet through that proxy, then basically anyone or anything is allowed on. Digital identity, authentication, tokens, privacy, money, ownership, and security must all be arranged by the user, which so far has only been possible centrally.
If you don’t or can’t do this well, you’re left unprotected in an uncontrolled environment full of threats, just like the lawless areas outside fortified cities or castles in the past. Only when protected toll roads emerged—first private and later public—could we safely travel outside the central city or castle. In a previous blog, A Man’s Phone is His Castle, I described how our mobile phone has become our own digital castle. A safe place we can manage ourselves and where we are essentially secure. But when we leave the castle, we need to travel through that rough, uncontrolled environment to reach a safe city. Ideally, via protected toll roads, which aren’t necessarily free.
Towards Safe Decentralized Nodes and Networks A fascinating historical overview of highway robbery shows that when governments allowed tolls and gave individuals the freedom to improve the quality and safety of roads, highwaymen disappeared. Tollhouses sprang up everywhere, restricting the movement of criminals and driving crime out of metropolitan areas. By 1830, toll roads made up 20% of the road network, which had finally become safe. Eventually, we ensured safety on our local roads through taxes. However, the internet is international, and our government cannot ensure safety and fight piracy and crime everywhere. But there is a strong argument to start offering secure networks to all citizens—beginning in the Netherlands.
Our old public PTT network did this with a public network, but that was liberalized and privatized for next to nothing. It’s a shame that we allowed a secure utility to be sold off. Just as roads, electricity, water, gas, and sewage are public utilities, public data networks should have been the same. What flows over those networks can be private, like cars on a road, but the network itself should not be—it’s public property. Now, we are stuck with private networks and forms of eRecognition to ‘allow’ us to talk to our government, which we already pay dearly for. Just as your physical identity is public, your digital identity—your digital twin—should also be free. This is the only way to eventually realize a digitally secure, open government where decentralized citizens can communicate without fear of highwaymen.