Le W3C annule les objections de Google et Mozilla à la spécification d’identifiant décentralisé

Le World Wide Web Consortium (W3C) a rejeté les objections de Google et Mozilla à la proposition des identificateurs décentralisés (DID), ouvrant la voie à la publication de la spécification DID dans une recommandation du W3C le mois prochain.

Les deux sociétés de technologie craignent que la nature ouverte de la spécification ne favorise le chaos à travers une ruée vers les espaces de noms qui encourage une prolifération de spécifications de méthodes non interopérables. Ils ont également des inquiétudes quant à l’éthique de s’appuyer sur des blockchains de preuve de travail pour gérer les DID.

La spécification DID décrit un moyen de déployer un identifiant unique au monde sans autorité centralisée (par exemple, Apple pour se connecter avec Apple) en tant qu’entité de vérification.

“Ils sont conçus pour permettre aux individus et aux organisations de générer leurs propres identifiants à l’aide de systèmes auxquels ils font confiance”, explique la spécification. “Ces nouveaux identifiants permettent aux entités de prouver leur contrôle en s’authentifiant à l’aide de preuves cryptographiques telles que des signatures numériques.”

L’objectif des DID est d’avoir : pas d’agence centrale d’émission ; un identifiant qui persiste indépendamment de toute organisation spécifique ; la capacité de prouver cryptographiquement le contrôle d’un identifiant ; et la possibilité de récupérer des métadonnées sur l’identifiant.

Ces identifiants peuvent faire référence à des personnes, des organisations, des documents ou d’autres données.

Les DID sont conformes au schéma URI : did:example:123456789abcdefghi. Ici “did” représente le schéma, “example” représente la méthode DID, et “123456789abcdefghi” représente l’identifiant spécifique à la méthode DID.

“Les méthodes DID sont le mécanisme par lequel un type particulier de DID et son document DID associé sont créés, résolus, mis à jour et désactivés”, explique la documentation.

Cela serait exprimé dans un document DID, qui est juste un objet JSON qui contient d’autres données clé-valeur décrivant des choses comme la façon de vérifier le contrôleur DID (l’entité capable de changer le document DID, généralement par le contrôle des clés cryptographiques) afin d’avoir une interaction pseudonyme de confiance.

Ce à quoi Google et Mozilla s’opposent, c’est que la méthode DID n’est pas définie, il n’y a donc aucun moyen d’évaluer le fonctionnement des DID ni de déterminer comment l’interopérabilité sera gérée.

“DID-core n’est utile qu’avec l’utilisation de” méthodes DID “, qui nécessitent leurs propres spécifications”, a expliqué Google. “… Il est impossible d’examiner l’impact de la spécification DID de base sur le Web sans examiner simultanément les méthodes avec lesquelles elle sera utilisée.”

Une spécification de méthode DID représente un nouveau schéma d’URI, comme le http schème [RFC7230] mais chacun étant différent. Par exemple, il y a la spécification de la méthode trx DID, la spécification de la méthode web DID et la spécification de la méthode meme DID.

Celles-ci sont documentées quelque part, comme GitHub, et enregistrées dans un registre de données vérifiable, qui, au cas où vous ne l’auriez pas deviné, est susceptible d’être une blockchain – un grand livre public distribué et décentralisé.

Cependant, il existe un point de centralisation : le groupe de travail DID du W3C, qui a été chargé de gérer la résolution des litiges concernant les spécifications de la méthode DID qui violent l’une des huit politiques de processus d’enregistrement.

Mozilla soutient que la spécification est fondamentalement brisée et ne devrait pas être avancée vers une recommandation du W3C.

“L’approche architecturale DID semble encourager la divergence plutôt que la convergence et l’interopérabilité”, a écrit Tantek Çelik, responsable des normes Web chez Mozilla, dans une liste de diffusion l’année dernière. “La présence de plus de 50 entrées dans le registre, sans aucune interopérabilité réelle, semble impliquer qu’il existe de plus grandes incitations à introduire une nouvelle méthode, qu’à tenter d’interopérer avec l’une des nombreuses méthodes existantes en pleine croissance.”

Mozilla est nettement sous-estimé. Il y a actuellement 135 entités répertoriées par le groupe de travail DID du W3C, contre 105 en juin 2021 et 86 en février 2021 lors de l’élaboration de la spécification. Si un intérêt significatif se développe pour la création de méthodes DID, le W3C – qui a déclaré cette semaine qu’il poursuivait le statut d’organisme à but non lucratif d’intérêt public – pourrait se retrouver mal préparé à superviser les choses.

Google et Mozilla ont également soulevé d’autres objections lors des débats sur la spécification l’année dernière. Comme l’a relaté Manu Sporny, co-fondateur et PDG de Digital Bazaar, lors d’une discussion sur une liste de diffusion, les représentants de Google ont estimé que la spécification était nécessaire pour traiter les méthodes DID qui violent les normes éthiques ou de confidentialité, par exemple en permettant un suivi omniprésent.

Les deux sociétés se sont également opposées aux dommages environnementaux des blockchains.

“Nous (W3C) ne pouvons plus adopter une position attentiste ou neutre sur les technologies à consommation d’énergie flagrante”, a déclaré Çelik. “Nous devons plutôt nous opposer fermement à ces technologies de preuve de travail, y compris au mieux de nos capacités en les empêchant d’être incorporées ou activées (même facultativement) par les spécifications que nous développons.”

Malgré ces préoccupations, ainsi que la résistance d’Apple et de Microsoft, le W3C a rejeté les objections dans une décision publiée, une exigence pour faire avancer le statut de la spécification. ®