33.3.1. Blokklánc alapú identitás

2025.10.06.
AI Biztonság Blog

A digitális térben az identitás koncepciója erodálódik. A központosított szolgáltatók által őrzött adatbázisok, a jelszavak sebezhetősége és a kifinomult MI-alapú impersonációk korában a „ki vagy te?” kérdés megválaszolása egyre nehezebb. A blokklánc technológia erre a problémára kínál egy radikálisan eltérő modellt: az ön-szuverén identitást (Self-Sovereign Identity, SSI).

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

Az ön-szuverén identitás (SSI) alapelve

Az SSI lényege, hogy a digitális identitásod feletti kontrollt visszaadja a te kezedbe. Ahelyett, hogy egy vállalat (pl. Google, Facebook) vagy egy állam tartaná nyilván az adataidat, te magad birtoklod és kezeled azokat egy kriptográfiai tárcában. Ez a modell három fő komponensre épül:

  • Decentralizált Azonosítók (Decentralized Identifiers – DIDs): Egyedi, globálisan egyértelmű azonosítók, amelyeket te hozol létre és birtokolsz, anélkül, hogy egy központi regisztrátorra lenne szükséged. A DID egy blokkláncon vagy más elosztott főkönyvi technológián (DLT) van rögzítve.
  • Ellenőrizhető Igazolások (Verifiable Credentials – VCs): Digitális bizonyítványok (pl. diploma, személyi igazolvány, „emberség igazolás”), amelyeket egy megbízható kibocsátó (issuer) ír alá kriptográfiailag, és te a tárcádban tárolsz.
  • Kriptográfiai Tárca (Wallet): A szoftver, amellyel a DID-jeidet és a VC-idet kezeled, illetve amivel igazolod magad egy harmadik fél (verifier) felé.

A folyamat egy háromszereplős modellben zajlik, amit gyakran „bizalmi háromszögnek” is neveznek.

Kibocsátó (Issuer) Tulajdonos (Holder) Ellenőrző fél (Verifier) 1. Igazolás (VC) kiadása 2. Igazolás bemutatása 3. Ellenőrzés (pl. blokkláncon)

Hogyan működik a „Proof-of-Humanity”?

Ebben a kontextusban egy „Proof-of-Humanity” igazolás egy speciális VC. Egy megbízható kibocsátó (pl. egy állami szerv, vagy egy erre szakosodott szervezet, mint a Worldcoin) elvégzi az egyszeri, valós világbeli ellenőrzést, hogy te egy egyedi ember vagy (pl. biometrikus szkenneléssel). Ezt követően kiállít egy digitálisan aláírt VC-t, ami ezt tanúsítja, és elküldi a tárcádba.

Amikor egy szolgáltatásnak bizonyítanod kell, hogy ember vagy (és nem egy bot), egyszerűen bemutatod ezt az igazolást. A szolgáltatás (az ellenőrző fél) le tudja ellenőrizni a VC kriptográfiai aláírását a kibocsátó publikus kulcsával, amit a kibocsátó a saját DID dokumentumában tett közzé a blokkláncon. 

{
 // Egy "Proof of Humanity" Ellenőrizhető Igazolás (VC) egyszerűsített példája
 "@context": ["https://www.w3.org/2018/credentials/v1"],
 "id": "urn:uuid:c5b14421-258d-4235-8ac6-5d0b2b8c385b",
 "type": ["VerifiableCredential", "ProofOfHumanityCredential"],
 "issuer": "did:example:123456789abcdefghi", // A kibocsátó szervezet DID-je
 "issuanceDate": "2023-10-27T12:00:00Z",
 "credentialSubject": {
 "id": "did:example:987654321fedcba", // A te DID-ed
 "isHuman": true,
 "uniquenessHash": "0xabc...def" // Egy hash, ami a biometrikus adatokból származhat
 },
 "proof": { // Kriptográfiai bizonyíték
 "type": "Ed25519Signature2018",
 "created": "2023-10-27T12:00:00Z",
 "proofPurpose": "assertionMethod",
 "verificationMethod": "did:example:123456789abcdefghi#keys-1",
 "jws": "eyJhbGciOiJFZERTQSIsImI2NCI..." // Az aláírás
 }
}

Red Teaming szempontok: Hol sebezhető a rendszer?

Bár az SSI modell robusztusnak tűnik, egy Red Teamer számára számos támadási felületet kínál. A decentralizáció nem csodaszer, csupán áthelyezi a bizalmi pontokat és a sebezhetőségeket.

1. A Kibocsátó (Issuer) kompromittálása

Ez a legkritikusabb pont. Ha egy támadónak sikerül kompromittálnia a „Proof-of-Humanity” igazolásokat kiállító szervezetet, akkor tetszőleges számú, hamis, de kriptográfiailag érvényes „ember” identitást hozhat létre az MI botjai számára. A támadás fókuszálhat a kibocsátó belső rendszereire, az aláírókulcsok ellopására, vagy a fizikai ember-ellenőrzési folyamat kijátszására (pl. deepfake videóval egy online verifikációnál).

2. A Tulajdonos (Holder) kulcsainak ellopása

Az ön-szuverenitás felelősséggel jár. Ha a felhasználó privát kulcsait (amivel a DID-jét és a VC-it kezeli) ellopják, a támadó teljes mértékben átveheti az áldozat digitális identitását. Egy MI tökéletesen tudja használni a lopott, legitim „Proof-of-Humanity” igazolást, mivel a kriptográfiai ellenőrzésen át fog menni. A védelem a felhasználó eszközbiztonságán és a kulcskezelési gyakorlatán múlik.

3. A kezdeti regisztráció (Onboarding) gyengeségei

A rendszer láncának legerősebb láncszeme a leggyengébb láncszem. Hogyan biztosítja a kibocsátó, hogy valóban egyedi embert regisztrál? A biometrikus adatok (írisz-szken, ujjlenyomat) hamisíthatók, a „liveness” tesztek (pislogás, fejfordítás) pedig egyre inkább sebezhetők a valós idejű deepfake technológiákkal szemben. Egy sikeres Sybil-támadás itt azt jelentené, hogy egyetlen szereplő (vagy egy MI) több száz, érvényes „ember” identitást szerez.

4. Korrelációs és adatvédelmi kockázatok

Bár a DIDs célja a privát szféra védelme (pl. minden szolgáltatáshoz más DID-t használhatsz), a rosszul implementált rendszerek lehetővé tehetik az azonosítók összekapcsolását. Ha egy „Proof-of-Humanity” VC-t több helyen is felhasználsz, és a szolgáltatók adatokat osztanak meg, a viselkedésed alapján de-anonimizálhatóvá válhatsz, ami újfajta megfigyelési vektorokat nyit meg.

Erősségek Gyengeségek és Támadási Vektorok
Felhasználói kontroll: A felhasználó birtokolja és kezeli az identitását. Kulcsmenedzsment: A privát kulcs elvesztése vagy ellopása katasztrofális.
Decentralizáció: Nincs központi, feltörhető adatbázis (single point of failure). Kibocsátói centralizáció: A bizalom a VC-t kibocsátó szervezetben összpontosul.
Interoperabilitás: A szabványos VC-k különböző rendszerekben használhatók. Sybil-támadás a regisztrációnál: Az eredeti „emberség” igazolása a legnehezebb probléma.
Szelektív adatközlés: Csak a szükséges információt kell megosztani (pl. „18 év feletti vagyok” a születési dátum helyett). Korrelációs támadások: A DID-k használatának mintázatai felfedhetik a felhasználót.

Összefoglalva, a blokklánc alapú identitás nem egy varázspálca, ami megoldja az MI vs. ember hitelesítési problémát. Inkább egy rendkívül erős kriptográfiai építőelem, ami a bizalom és a felelősség terhét áthelyezi. A támadási felület a központi adatbázisokról áttevődik a kibocsátók integritására, a felhasználók biztonságtudatosságára és a kezdeti ember-ellenőrzési folyamatok kijátszhatóságára. A Red Teaming feladata pontosan ezeknek a gyenge pontoknak a feltárása és kihasználása, mielőtt egy rosszindulatú MI megtenné.

33.2.5. Kvantum-rezisztens CAPTCHA-k

2025.10.06.

33.3.2. „Web of Trust” (bizalmi háló) rendszerek

2025.10.06.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit