Technology In Depth

Account abstraction per la sicurezza dell’identità digitale

Ideato come sistema per migliorare la gestione del wallet Ethereum, l’account abstraction introduce nuove interazioni con l’identità digitale. In particolare, per quanto riguarda la sicurezza e la possibilità di recuperare l’identità stessa

Pubblicato il 04 Gen 2024

Immagine di PopTika su Shutterstock

L’identità digitale sta acquistando sempre maggiore importanza nella nostra quotidianità. Dall’accesso con SPID per i portali governativi, per arrivare ai pagamenti contactless alla cassa del supermercato, durante la giornata facciamo continua esperienza di transazioni validate per mezzo di un rapporto di trust con un equivalente digitale della nostra persona, che autorizza per conto nostro la visibilità di un dato o il trasferimento di fondi da un conto bancario. L’identità digitale è diventata una comodità che semplifica e velocizza numerose esperienze, e presto potrebbe smettere di essere un semplice facilitatore, per diventare il requisito sine qua non di interi processi. In un mondo in cui essere connessi e smart diventa sempre più importante per lavorare e vivere, che cosa potrebbe esserci di peggio che perdere all’improvviso l’accesso alla propria identità digitale?

Recovery dell’identità digitale

Gli attuali sistemi di gestione dell’identità digitale prevedono dei sistemi di recupero più o meno elaborati, che possono basarsi su processi KYC o impiego di device di recovery. I sistemi KYC (Know Your Customer) prevedono la registrazione di dati identificativi del “mondo reale” e la loro validazione per mezzo dell’invio di copie digitali di documenti che attestino questi dati (una carta di identità o la fattura di un’utenza, come ad esempio quella elettrica). Nel caso di smarrimento delle credenziali di autenticazione, si può chiedere il loro ripristino per mezzo di un processo che tenta il match tra gli identificativi salvati sul sistema e quelli in possesso dell’utente al momento della richiesta.
Il sistema di ripristino basato su device, invece, cerca sempre di effettuare un match tra dati salvati sul sistema, ma in questo caso non con documenti ma con una stringa alfanumerica conservata mnemonicamente o salvata su una chiave hardware.

Limiti degli attuali recovery system

Le attuali procedure di recovery soffrono di limiti che possono compromettere l’esito del recupero. Nel caso dei KYC, i documenti potrebbero essere scaduti al momento della richiesta, oppure l’indirizzo potrebbe non essere più valido (ad esempio, se l’utente dovesse aver traslocato senza ricordarsi di caricare a sistema una fattura intestata al nuovo indirizzo). I recovery tramite KYC sono spesso ostici a causa degli step audio e video richiesti da alcune procedure, in cui una registrazione video in tempo reale viene verificata contro dati archiviati,
Nel caso del recovery tramite device, oltre al rischio di smarrimento, può anche verificarsi la corruzione del dato o un guasto hardware che rende la chiave illeggibile.
Sono stati elaborati sistemi alternativi che superano questi limiti, tra cui uno che si presenta particolarmente interessante per i suoi sviluppi potenziali, che è quello del social recovery basato su account abstraction.

Che cos’è l’account abstraction

L’account abstraction è un sistema sviluppato nel mondo della blockchain per migliorare certe funzionalità dei wallet digitali. L’implementazione iniziale dei wallet digitali si basava sul concetto di EOA (Externally Owned Account), ossia sul fatto che le transazioni di un wallet fossero regolate da una coppia di chiavi crittografate, pubblica e privata, la cui corrispondenza veniva verificata per validare una transazione.

Con l’account abstraction, invece, le regole di gestione di un wallet vengono separate dalla sua chiave privata, e vengono implementate all’interno di uno smart contract. In questo modo vengono abilitate operazioni complesse a livello di account, come ad esempio l’impiego di una sola transazione per operazioni che richiedono conferme multiple, la risoluzione automatica di un indirizzo blockchain in un nome di dominio ENS, la gestione di pagamenti automatizzati analoghi a un SDD bancario. In questo modo, gli smart contract possono interagire con altri smart contract in modo affidabile e sicuro, senza la necessità di un’autorità centrale per mediare la transazione. Questa possibilità ha gettato le basi per nuovi scenari applicativi, tra cui quello del social recovery.

Come funziona il social recovery

Con il social recovery, gli utenti possono designare un gruppo di tutori fidati che possono concedere loro l’accesso al proprio account nel caso in cui perdessero le credenziali di login. Questi tutori, o “guardiani”, possono essere account di terzi ben conosciuti (familiari o collaboratori stretti) registrati su cloud mainstream, come Google o Microsoft.

L’utilizzo dei tutori va inizialmente configurato, collegando l’account “guardiano” allo smart contract per mezzo di una procedura di validazione. Questa procedura di registrazione richiede diversi passaggi di autenticazione, tra cui anche un OTP (One Time Password). In seguito, se l’utente non riesce più ad accedere alla propria identità digitale, può inviare una richiesta di ripristino che lo smart contract inoltrerà ai tutori. I tutori, al loro successivo login, vedranno la richiesta e potranno deciderla di approvarla, notificando lo smart contract dell’esito positivo della procedura di recovery.

Orizzonti applicativi dell’identità digitale

Questo nuovo concetto di validazione dell’identità digitale ha aperto degli scenari con importanti implicazioni di privacy e sicurezza, ma che consentirebbero enormi passi in avanti nelle gestioni di certi ambiti, sia finanziari sia legati al welfare. La possibilità di avere un trustless party come validatore dell’identità ha permesso non solo l’applicazione dell’identità digitale in scenari più ovvi, come la burocrazia o la finanza, ma ha dato avvio a programmi sperimentali in cui l’identità digitale viene usata in ambiti medici, non profit e di intervento in scenari geopolitici critici.

Ad esempio, ci sono programmi che mirano a migliorare la tracciabilità degli aiuti umanitari, oppure destinati a mappare l’identità di persone appartenenti alla popolazione senza tetto di alcune aree urbane degradate.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 4