problèmes des identités multiples / service de détection des fraudes

Bonjour,

Tout d’abord, je souhaite partager avec vous l’émotion qui m’a traversé lorsque j’ai découvert et compris la théorie relative de la monnaie. Ces travaux portent en eux un immense potentiel de libération et d’émancipation pour l’ensemble de l’humanité. (rien que ça !)
J’aimerais apporter ma modeste contribution aux initiatives OpenUDC/uCoin.

Je me suis documenté sur les fonctionnalités de Web of Trust de OpenPGP. (concepts de validity, trust, trusted introducer, meta introducer, etc…)
J’ai également écouté les podcasts de Stephane Laborde (galuel si j’ai bien compris) sur OpenUDC et uCoin. Il semble que des fonctionnalités additionnelles soient en cours de développement ou déjà développés.
A quel endroit puis je trouver la description de ces fonctionnalités ?

D’autre part, il me semble qu’il y a une problématique difficile à résoudre dans un réseau de confiance à grande échelle : celui des identités multiples. Il n’est pas difficile de se faire (re)connaître avec une identité X par un groupe de personne et se faire (re)connaître avec une identité Y par un autre groupe de personne. Certains arrivent bien à avoir une double ou même triple vie.
Comment allez vous adresser ce problème ?

De mon point de vue, il faut arriver à associer une clé publique avec un individu et s’assurer qu’une seule clé publique est associée à cet individu.
Je ne vois, pour le moment, pas d’autre moyen que d’utiliser la biométrie pour cela.

Si on utilise l’iris pour faire une empreinte de l’individu et que l’on rend cette donnée publique, il est possible de contrôle que cette empreinte n’est pas associé à deux clés publiques différentes. Se pose alors la question du contrôle (la confiance n’exclue par le contrôle dit on).

Il me semble que des contrôleurs du peuple (qu’il convient de rémunérer) peuvent être tirés au sort pour assurer cette tache.

Qu’en pensez vous ?

@greyzlii la reconnaissance d’un individu n’est jamais définitive mais doit-être renouvelée dans le temps. En sus ce n’est pas l’individu qui choisit par qui il peut être reconnue de façon valide, mais la règle de WoT qui définit quels individus peuvent valider un autre, ce qui change à fréquence déterminée, par exemple tous les ans.

Ainsi tous les ans à l’année “n” un pool de par exemple 100 individus peut validement reconnaître l’individu X, mais ce ne seront pas les mêmes 100 individus pour l’individu Y, et ce ne seront pas les mêmes 100 non-plus pour l’année n+1. Autrement dit ce ne sont donc pas les individus qui choisissent qui ils peuvent reconnaître ou ne pas reconnaître, mais la règle communautaire qui fait partie du système monétaire (mais est indépendante des règles monétaires, c’est un étage complémentaire).

1 « J'aime »

Merci pour ton commentaire, cela fait plaisir de rencontrer de nouvelles forces qui partagent notre point de vue :slight_smile:

A propos de la toile de confiance (WoT) :

Tout à fait, cependant à quelle échelle précisément ? Nous ne visons dans un 1er temps que des échelles de l’ordre d’une distance maximum entre individus de 3. C’est-à-dire que tout membre doit être reconnu par tous les autres membres par l’intermédiaire de 3 membres au maximum. Après quelques recherches, il semble que des toiles de 10k à 100k soient possibles avec cette configuration.

C’est ce que uCoin fait. :wink:

Tout à fait. Et dans uCoin, on considère qu’il n’existe pas d’autorité particulière pouvant faire ce travail. En fait, l’identifiant utilisé importe peu : iris, empreinte digitale ou simple pseudo, il n’y a pas de “bon” identifiant (en tout cas pas pour uCoin).

Par contre, on s’attarde sur le contrôle associé à ces identifiants. Et du point de vue utilisé dans uCoin, la seule “entité” reconnue est celle de la Toile de Confiance, elle-même définie grâce à un ensemble de règles liées à la Théorie des Graphes.

En effet, nous sommes ici dans un système automatisé et décentralisé. Du point de vue du protocole, il n’existe pas “d’humain” ni quelconque “autorité”. Il n’y a que des données et des règles permettant de les structurer (ce que @Galuel vient d’appeler “règles communautaires”) .

Donc malheureusement, ta proposition ne rentre pas dans le cadre du logiciel uCoin. Par contre, elle pourrait rentrer dans le cadre d’un système centralisé, mais ce n’est pas notre but.

L’explication est très claire.
Par contre, une objection me vient immédiatement :
Mes proches sont le plus à même de me donner leur confiance. Or, dans le système que tu décris, ils ne sont pas autorisés à le faire. Ce sont donc d’autres individus, qui potentiellement/probablement ne me connaissent pas, qui doivent me donner leur confiance.
Comment un individu est capable de donner sa confiance à un individu qu’il ne connait ni d’Eve ni d’Adam ?

Ma proposition est plutôt d’avoir un contrôle décentralisé.
Cela serait obtenu en utilisant le tirage au sort des membres de la communauté habilités à contrôler les identités.

Je sais que cette proposition manque de pragmatisme, surtout à ce stade du projet.
Mais le risque est de voir se constituer des pans entiers de fausses identités s’accordant confiance les unes aux autres.
Ceci dit, les règles communautaires décrites par Galuel, empêcherais cela.
Reste à éclaircir une objection que j’ai soulevé dans la réponse précédente.

Merci pour vos réponses !

Tes proches ne sont pas les proches d’autrui. Ce n’est donc pas un critère valide devant les membre du système monétaire. Il ne s’agit pas d’une question de “confiance”, mais d’une question de “reconnaissance”. Or “reconnaître” quelqu’un c’est procéder à une vérification qui peut passer de proche en proche, ainsi que par des éléments divers complémentaires au choix de l’individu. C’est pour cette raison fondamentale que la distance maximale d’une toile de confiance est déterminée (par exemple 3 liens).

1 « J'aime »

Très souvent nous faisons l’amalgame entre « confiance » et « reconnaissance », je trouve que le terme « Réseau de reconnaissance » est plus claire que « Réseau de confiance », mais bien souvent on s’attache à des termes car devenu populaire.

Bienvenue sur le forum @greyzlii,

Le réseau de « confiance », confiance en l’identité du membre et non à considérer comme étant un individu « de confiance », ne nécessite nullement au protocol de la monnaie de déléguer la confiance à une partie tiers, c’est pourquoi la solution que tu proposes n’est pas compatible avec uCoin.

Bon, @Galuel et @canercandan on en partie répondu : il ne s’agit pas de donner sa confiance en la personne, mais en son identité. Le terme reconnaître, le mot est juste.

Quant au fait que tes proches ne peuvent pas te signer, non ce n’est pas ça : c’est simplement qu’il ne suffiront pas ad vitam aeternam pour te reconnaître. Les signatures doivent être renouvelées (elles expirent), et ne peuvent pas l’être par les mêmes personnes avant un certain délai (suffisamment long pour obtenir une rotation).

Tu viens de me donner un clé de compréhension importante !
Cela fait une grosse différence en effet !

D’ailleurs, je me demande si on ne ferai pas mieux de choisir un autre terme que “Toile de Confiance” et de manière officielle dans uCoin, pour bien se distinguer de cette notion de confiance que vous pointez à juste titre.

Toile de Reconnaissance, ça sonne bien ? (Web of Recognition)

1 « J'aime »

Cette toile de reconnaissance me fait penser à l’effrayant Facebook.
J’ai toujours été scotché par leur rubrique : “Connaissez vous ces personnes ?”

Après ces échanges, mon sentiment est que les fausses identités seront toujours possibles

Le fait d’avoir une expiration des signatures est une arme redoutable contre les fraudeurs.
Néanmoins, il faut se préparer à l’idée que certains groupes d’individus chercheront à s’organiser pour créer (et reconnaître) de fausses identités et utiliser ces fausses identités pour en créer de nouvelles.

Est ce qu’il y a un moyen de détecter cela ?

Je suis d’accord avec toi, cela a le merite de supprimer toutes ambiguités concernant la reconnaissance en l’identité du membre.

Et pourquoi donc ? Je pense justement le contraire.

Comme j’ai tenté de le dire dans cet autre post, il y également le fait qu’il faille régulièrement prouver à la toile que l’on est bien à une distance de 3 (par exemple) de chaque autre membre, c’est-à-dire que tout membre de la toile peut passer par un chemin de reconnaissance de maximum 3 personnes jusqu’à notre identité.

De fait, cela implique que créer de fausses identités doit se faire par des personnes de niveau max - 1 (dans notre ex., max = 3). Pourquoi ? Parce que signer une identité crée immédiatement une distance de 1, et que donc si l’on se trouve à une distance de 3 d’une autre personne, la fausse identité passe immédiatement à 4 pour celle-ci. Bref, elle doit trouver d’autres signataires que l’initiateur de la fausse identité.

Or, il peut être très difficile de trouver les bonnes personnes pour créer une fausse identité (en terme de niveau, et en terme d’acceptation de frauder). De plus, il faut renouveler l’opération à chaque fois que les signatures expirent.

Bon, il est vrai que ça n’est peut-être toujours pas suffisant. Cela complique la tâche en tout cas. J’avais également pensé à une notion de “diversité” des signatures. J’ai encore besoin d’y réfléchir, je ne sais pas si c’est bien nécessaire.

En fait, j’en sais rien.

Je me rends compte que j’utilise mon intuition mais qu’il faut plutôt se tourner vers les mathématiques.
La théorie des graphes a l’air d’être un bon endroit pour commencer.

L’intuition n’est pas une mauvaise chose beaucoup d’algorithmes s’en inspirent y compris de phénomènes réels.

Avez vous des documents de référence à me conseiller concernant les WoT ?
Je pense que c’est un point essentiel à vulgariser pour espérer une adoption importante de la monnaie.

Personnellement non, mais je suis demandeur.

C’est juste pour le fait qu’il faille être de “niveau” max-1 et qu’il faille convaincre N-1 autres personnes elles aussi du même niveau pour créer des fausses identités.

Mais comme je le disais dans l’autre post (en anglais donc peut être plus difficilement :)), l’important ici est que quand ces N personnes se sont mises d’accord pour frauder, elles peuvent créer potentiellement une infinité de fausses identités. Je ne suis pas sûr que l’expiration sur les signatures soit vraiment efficace contre ça : la création de fausses identitiés (et son exploitation) arrivera sans doute avant l’expiration, sauf à faire expirer les signatures tous les dt, ce qui serait intenable.

Je proposais d’ajouter une limite sur le nombre de signatures qu’une personne peut donner pour éviter la tentation de pouvoir créer trop de fausses identités. Mais ça limite aussi au passage l’entrée de vraies nouvelles identités légitimes et limite fortement la croissance du réseau.

Peut être que ça pourrait être une limite sur le nombre de nouveaux entrants par … dt ou par période d’expiration.

Comme ça a été dit, cette toile de confiance ou de reconnaissance est l’élement essentiel du système et ce qui fait sa crédibilité. J’ai pour l’instant peur que trouver un bon compromis entre facilité d’utilisation et sécurité soit très difficile, mais j’espère me tromper :slight_smile: