OpenBazaar P2P markkinapaikka

[Sami Lehtinen]

Onkos kukaan teistä ehtinyt tutustua OpenBazaariin ja jos on, niin mitä ajatuksia se herättää? Onko tulevaisuus tässä?

Kyseessä on siis P2P pohjainen verkkokauppa järjestelmä, jonka kautta voi ostaa ja myydä, lähes mitä tahansa.

Joskus harmistuin kovasti kun TPB sanoi että reverse proxy on viimeisintä tietotekniikkaa, odotin niiltä jotain tämän tasoista. Mutta nyt tämä P2P revoluutio on toteutumassa paljon yleisemmällä tasolla, joskin pitkään se on kyllä ottanut.

[Efraiminpoika]

Kannattaa aloittaa lukemalla mitä OpenBazaar on, jonka jälkeen kannattaa miettiä mitä tietoja eBay, PayPal, Google, Facebook ja jopa kotimaiset verkkopankit ja kotimaisten kauppojen asiakkuus- ja bonusohjelmat sinusta keräävät. Onko ilmainen olut, jota mm. Facebook ja Google tarjoavat enää niin hyvää, jos sitä nauttii liikaa. Kyllä niiden ilmaisesta virtualioluesta joutuu myös maksamaan. Ihan niin kuin liiasta ilmaisesta oikeasta oluesta joutuu kuitenkin maksamaan seuraavana päivänä Eikä maksu ole kummassakaan virtuaalisen tai oikean ilmaisen oluen kohdalla rahaa.

Oletko tietoinen, että jos ilmaisen oluen sijasta ostat oikean oluesi asiakaskortilla kaupasta tai ravintolasta maksaen pankkikortilla kaupparyhmäsi  tai pankkisi saattaa tunnistaa mahdollisen ongelmakäyttösi paremmin kuin sinä itse? Sama koskee kaikkea ostotoimintaasi myös verkossa, jossa mukaan tulee Google ja Facebook seuraamaan missä sivuilla ja missä verkkokaupoissa käyt. Kyllä minusta on aika hämmentävää huomata, että nämä ostosteni seuraajat tietävän minusta enemmän kuin minä itse edes muistan,

Jos ilmainen virtuaaliolut maittaa, etkä välitä mitä joudut maksamaan, olen voimaton kuten raittiusliike on oikean oluen suhteen.

Suomenkielinen yksi näkökanta asiaan on My data - johdatus ihmiskeskeiseen henkilötiedon hyödyntämiseen

Vaatiiko nykyisen tilanteen parantaminen OpenBazaarin kaltaista ratkaisua riittävän monen käyttäjän mielestä, on minusta ratkaisevinta sille onko se tulevaisuus.

Kuten OpenBazaarin sivuilla todetaan rahaakaan ei ole kielletty, vaikka sekin kuten moni muukin keksintö auttaa myös rikollista toimintaa.

Käyttäjän kannalta eniten kysymyksiä minulle OpenBazaarissa herätti tämän kaupankäynnin kannalta oleellinen: luotettava tuntemattoman kolmas osapuoli, Kuinka joku on tuntematon ja samalla luetettava?

Välikäsille maksaminenkaan, joka OpenBazaarin kehittäjiä myös tuntuu vaivaavan, ei minulle ole ongelma, kunhan ei olla monopolissa vaan välikäsien eli välittäjien välillä on todellista kilpailua.

Tämä todellisen kilpailun puute käyttäjän kannalta on näiden monien tietoyhteiskunnan palveluiden suurin ongelma. Jos et haluaisi hyväksyä Googlen Android urkintaa, onko sinulla mitään muuta todellista vaihtoehtoa?

[Sami Lehtinen]

Kannattaa aloittaa lukemalla mitä OpenBazaar on, jonka jälkeen kannattaa miettiä mitä tietoja eBay, PayPal, Google, Facebook ja jopa kotimaiset verkkopankit ja kotimaisten kauppojen asiakkuus- ja bonusohjelmat sinusta keräävät.

Aivan mainioita pointteja. Tuo koskee oikeastaan mitä tahansa asiointia, millä tahansa verkkosivulla jne. Kuten olet varmaan huomannut, nykyiset sivustot harvoin toimivat "itsenäisenä", vaan ovat aina vähintään linkitettyjä Googleen, Facebookkiin ja lukemattomiin muihin seurantapalveluihin. Nauroin joskus kun ihmiset sanoi, että on se hienoa että Gooel tarjoaa ilmaista Analytics palvelua. Kumpihan siinä hyötyi enemmän? Google vai 'ilmaisen palvelun' saaja, sekä ne käyttäjäraukat jotka menettivät myös yksitysyytensä sen vuoksi, että sivuston ylläpitäjä ei osaa lukea logeja, vaan halusi käyttää 'ilmaista' Analytics palvelua. Sattuneista syistä mm. mulla on oma sähköpostipalvelin, enkä käytä 'ilmaista' Gmailia tms.

Vaatiiko nykyisen tilanteen parantaminen OpenBazaarin kaltaista ratkaisua riittävän monen käyttäjän mielestä, on minusta ratkaisevinta sille onko se tulevaisuus.

P2P ei välttämättä tarkoita anonyymiä. mm. BitTorrentin tapauksessa anonyymiys on melkoisen olematonta, ainakin jos clienttiä käytetään normaalisti. OpenBazaarissaa on kyllä huomoitu sen käyttäminen Tor:in välityksellä. Sen takia käyttävät TCP:tä DHT:n kanssa, vaikka normisti UDP sopisi siihen paljon paremmin.

Käyttäjän kannalta eniten kysymyksiä minulle OpenBazaarissa herätti tämän kaupankäynnin kannalta oleellinen: luotettava tuntemattoman kolmas osapuoli, Kuinka joku on tuntematon ja samalla luetettava?

Lositava kysymys, mutta tuota he ovatkin pohtineet melkoisesti. EIkä tämä ole lainkaan kysymys, joka liittyy suoranaisesti OpenBazaariin, vaan on ihan perinteinen kysymys kaikenlaisten luottamusratkaisuiden kanssa. Sen takia OpenBazaarissaa on monipuolinen välittäjien, tuomarien asiamiesten, ja pisteiden keräysjärjestelmä rakenteilla. Tuon avulla pitäisi päästä varsin hyvään luottamustasoon, luottamuksen rakentamisen kautta.

Välikäsille maksaminenkaan, joka OpenBazaarin kehittäjiä myös tuntuu vaivaavan, ei minulle ole ongelma, kunhan ei olla monopolissa vaan välikäsien eli välittäjien välillä on todellista kilpailua.

Joskus vaan välitysmaksut tuntuvat varsin kohtuuttomilta. Kun on lukenut mitä mm. nuo isot hotellihuoneiden välityspalvelut ryöväävät välistä ja Amazon ottaa myös ~20% palveluiden arvosta, niin onhan tuossa varaa kilpailulle.

Tämä todellisen kilpailun puute käyttäjän kannalta on näiden monien tietoyhteiskunnan palveluiden suurin ongelma. Jos et haluaisi hyväksyä Googlen Android urkintaa, onko sinulla mitään muuta todellista vaihtoehtoa?

Samojen ongelmien kanssa tässä tuntuu yksi sun toinen, ajatteleva, henkilö painivan. Jotkut vaan eivät ajattele mitään ja niitä sitten viedäänkin kuin pässiä narussa.

Btw. Tähän samaan kategoriaan liittynee myös epäsuorasti tuo Facebookin "business promotions" systeemi, jossa siis alkavat stumppaamaan firmojen prompostauksia jos niistä ei makseta. Toisaalta, jotkut pikkufirmat ovatkin käyttäneet sitä poikkeuksellisen tehokkaana ja halpana mainoskanavana, joten ehkä tuo on vain tervehdyttävää, että joutuvat maksamaan näkyvyydestä jatkossa?

Vielä suurin osa OpenBazaarissa olevista ilmoituksista on pelkkiä testejä. Mutta eiköhän tuo projekti tuosta etene, kun kaikkein raskaimmat työvaiheet on tehty ja projekti on teknisesti toimivaksi saatettu.

[Efraiminpoika]

Vaikka liittyy vain osittain ketjun aiheeseen http://yle.fi/uutiset/sahkoista_tunnistamista_aiotaan_uudistaa__pankkitunnusten_rinnalle_toivotaan_uusia_tunnistuspalveluja/7680837
niin linkkaampa tänne.

Kysymys osapuolten tunnistamiseen liittyy kuitenkin kaupankäyntiin huijausten estämisen ja selvittämisen osalta ainakin.
Vaikka kuinka itse kauppatapahtuma maksamisineen saadaan tehtya täysin anonyymisti niin entäs sitten, kun fyysisten esineiden kaupassa tavaroiden toimittamisesta, toimittamattomuudesta, kunnosta, vastaavuudesta sovittuun, kuten eräässä hiljattain uutisoidussa halkokaupassa on erimielisyyttä. Onko huijatun osapuolen vain nieltävä tappionsa eikä päästä riitelemään toisen osapuolen ovella ja rastuvassa kuten halkokaupassa. Jospa huijatuksi itsensä väittävä onkin todellinen huijari.
Jotenkin vaan tuntuu, että ehkä jonkinlainen vastapuolen tunnistus yksinkertaistaa asioita, vaikka ei kaikkea ratkaise. Vai onko se vain  sukupuuttoon kuolevien dinosaurusten ajattelua.
Passit, henkilökortit, ajokortit, kelakortit, pankkikortit, eri kaupparyhmien asiakaskortit kaikki ovat osa jonkinlaista tunnistusta ainakin tässä dinosaurusten ajassa. Mutta jos haen suomalaista henkilökorttia niin ajatus, että sähköinen tunnistautuminen tapahtuu pankkien tai muiden yksityisten toimijoiden avulla hieman askarruttaa. Entäs sitten, kun pankit myyvät tunnistaumisesta huolehtivat toiminnat ulkomaille esim. Tanskaan kuten esimerkiksi Luottokunnan, joka hoiti luottokortteja. Niin Danske Bankin kohdallahan tunnistautuminen on jo tanskalaisessa pankissa ja eikö Nordeakin ole jo ruotsalainen.

Onko sähköisesti haettu suomalainen passi, ajokortti, henkilökortti, kelakortti, jota myönnettäessä sähköinen tunnistautuminen on tapahtunut ties minkä maanlaisessa pankissa muistakin kuin dinosauruksista hieman outoa?

Koska sähköinen henkilökortti ei mennyt putkeen niin valtio ei tarvitse omaa sähköistä tunnistamispalvelua, kuten esimerkiksi Virossa?

Tapahtuuko sähköiset vaalitkin, jos sellaisiin joskus päädytään, pankkitunnuksilla tanskalaisessa pankissa?

Kyllä tämä asioiden hoitaminen verkossa tuntuu olevan ihan perusasioiden osalta hieman hakusessa ihan lainsäätäjiä myöten. Uuttahan tämä on kaikille ja uudet asiat olivat vaikeita myös dinosauruksille.

[Sami Lehtinen]

OpenBazaar projektissa on panostettu nimenomaisesti PSEUDO-anonyymiin kaupankäyntiin. Joka tarkoittaa sitä, että jokaisella kauppiallaa on vahvasti tunnistettu pseudoanonyymi identiteetti. Mahdollisuutta  perinteisiin asioiden selvittelymenetelmiin tuskin on. Mutta tilalle tarjotaan arbitrator ja  escrow menettelyjä. Joka tarkoittaa sitä, että kaupassa on ulkopuoliset tahot, jotka katsovat onko kauppa toteutunut sääntöjen mukaisesti ja kuuluuko myyjän saada rahansa jne. Tuomareita on mahdollisuus valita jatkossa useampia. Eli esim. kolmen hengen jury joka päättää, kenelle kaupparahat rahat kuuluu, palautetaanko ne ostajalle vai meneekö myyjälle.

Kaikki osapuolet keräävät arvostuspisteitä ja arvostusverkostoa kyseisessä palvelussa. Mikäli mitään aikaisempaa luottamussidettä ei ole olemassa, niin silloin lähdetään luonnollisesti siitä tilanteesta liikenteeseen, että normaalisti kaupankäynti on Win-Win tilanne. Jossa sekä myyjä, että ostaja voittavat. Kun kauppaa lähdetään käymään progressiivisesti riittävän pienestä erästä, niin luottamus rakentuu sitä kautta. Ei ole järkevää menettää luottamusta pienen summan vuoksi ja suurempiin summiin päästään vasta kun luottamus on muodostettu. Toisaalta jos luottamuksen menettää pienen summan vuoksi, niin sekin on tavallaan Win-Win, koska silloin tiedetään että kauppakumppani ei ole luottamuksenarvoinen ja menetys jäi pieneksi. Toisaalta, eipä se yhtään siinä vähennä henkistä k*setetuksi tulemisen ärsytystä.

Tässä aika mainio luento hajautetuista järjestelmistä:
https://www.youtube.com/watch?v=8oeiOeDq_Nc

Sitten vahvasti offtopic linjalle:

Mitä tulee tuohon vahvaan tunnistamiseen, niin se on monesta asiasta kiinni. Tilanteesta, asiayhteydestä, jne. Monesti silloin kun hoidetaan virallisia asioita, niin mikäs sen kätevämpää kuin vahva säköinen tunnistaminen. Todella kätevää monessakin asiayhteydessä mikäli palvelut ovat helppoja ja yksinkertaisia käyttää.
Nykyjään tosin tuo pseudo-anonymitetti on nostanut kovasti päätään. Joskus suorastaan naurattaa miten pitkälle se on mennyt, kun ihmiset eivät esiinny enää omilla nimillään. Erityisesti erilaisissa sopimuksen tekotilanteissa se huvittaa. Miltä kuulostaisi vaikka tehdä "Jorman" investointipankiin vaikka 100k€:n sijoitus. Ei Jormalla ei ole koko nimeä, se on vain se investointi jorma u know. Olen Tiina, osta höpöhöpö. Vai tarkoittaako tämä sitä, että palvelu on niin luokatonta ja toiminta sen luoka kusetusta, että ihmiset eivät kehtaa / uskalla tuoda koko nimeään esille? Ehkä meillä on tulevaisuudessa maan hallituksessa, eduskunnassa ja pörssiyhtiöiden johdossakin vaan (väärällä) etunimellä tai nimimerkillä esiintyviä henkilöitä? Miksi tää parodia pätkä saikin mut ajattelemaan Alexandria nimistä firmaa, naurattaa.

Virossa myönnettävä sähköinentunnistamispalvelu on ainakin tällä hetkellä käsittääkseni erittäin samanlainen kuin Suomalainen henkilökortti.

Säköisissä vaaleissa on ihan omat ongelmansa. Periaatteessa helppoa, mutta käytännössä aika haastavaa toteuttaa niin että vaatimukset täyttyvät. Vielä jos huomoidaan mahdollisten client side exploittien käyttäminen jne, niin menee melkoisen mahdottomaksi tarjota luotettavaa ratkaisua.

Säköiseen asiointiin voi olennaisesti vaikuttaa jatkossa Kansallinen Palveluväylä.
https://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirjat/03_muut_asiakirjat/20130516Kansal/name.jsp

[Efraiminpoika]

Jos ostaisin jotain Sami Lehtiselle, kenen kuuluu tietää, että Sami Lehtinen on myynyt minulle jotain ja myös mitä?

Jos se tapahtuu verkossa tuntuu, että ainakin Googlen tulee tietää ja myös kuka minä olen ja myös mitä myytiin.

Tämä verkko on ihan hassu juttu. Maailma, jossa vaikka olisin keskellä metsää, jossa siis verkko toimii, ja Android kännykkäni on päällä ja GPS-paikannus päällä, Google tietää missä olen. Mitäs sillä jos Google tietää? Ei kai sillä väliä, mutta kuka muu tietää? Sehän tässä on ongelma.

Jos asioin verovirastossa, miksi se tapahtuu pankkitunnuksilla? Miksi pitäisi tunnistautua pankkitunnuksilla mihinkään muualle kuin pankkiin. Näiden tunnusten takana on kaikki vähäiset käteisvarani. Nythän näitä 'mies välissä' (man in the middle) -hyökkäyksiä pitää varoa joka paikassa, jossa käytän pankkitunnuksia. Ei vain verkkopankissa vai olenko ihan paranoidinen vai vain hiukan varovainen. Suurin osa ihmisistähän käyttää verkkoa tyytyväisenä ilman, että miettii moisia. Mutta kun Elisan tai Soneran verkko kaatuu tai GPS-ohjaa aivan väärään paikkaan on aivan hukassa.

Minä ymmärsin, että OpenBazarissa tämän pseudo-anonyymiteetin päätarkoitus on, että jos joku kolmas osapuoli tietää kaupan osapuolet niin sitten sen tietää "kaikki". Parasta on siis, jos ei edes vastapuoli tiedä kuka olen, sillä muuten hän kertoo kuka osti ja mitä Facebook-sivuillaan, ilman mitään pahaa tarkoitusta. Entä sitten? No, kun ostin joululahjan hyvissä ajoin ennen joulua ja nyt mitä ostin on nähtävissä Facebookissa, hyvissä ajoin ennen joulua.

Siis toisaalta haluan esiintyä anonyymisti ja vaikuttaa luotettavalta ja toisaalta haluan olla mahdollisimman varma kenen kanssa toimin. Enkä halua kaikkien tietävän kenen kanssa toimin. Eikä minulla ole oikeasti, välttämättä mitään salattavaa.

Kyllä tämä taitaa olla jonkinlainen parodia tai sitten skitsofrenian oireita lisättynä paranoidialla.

Miksi en ole täällä omalla nimelläni? Siinäpä onkin ihan mielenkiintoinen kysymys. Enkä hetkeäkään epäile, että olisin oikeasti 'tuntematon'. Näin joulun lähestyessä sanoisin olevani joulupukki, jonka kaikki hiukankin fiksut lapset tunnistaa esimerkiksi kengistäni. Mutta Google ei vielä ole fiksu lapsi, eivätkä nekään, jotka uskovat Googlen olevan fiksu lapsi, joka tietää kaiken.

Kuinka hienoja olivatkaan joulut silloin, kun vielä uskoin joulupukkiin.

[Sami Lehtinen]

itä tulee tuohon tietojen yhdistelyyn, se on oikeasti iso ongelma. Jossain vaiheessa kiinnitin huomiota siihen, että mm. MePIN https://www.mepin.com/ mainosti samaan aikaan tunnistatumisen olevan anonyymi ja tarjovan kuitenkin samaan aikaan vanhvan identiteetin. Oli ihan heti pakko kysyä, että mitä tuo mahtaa oikein tarkoittaa? Lupasivat parantaa dokumentaatiota, mutta en saanut koskaan kunnollist vastausta. Toisaalta, teknisesti tuo on varsin mahdollista. Vahvatunnistautuminen ei tarkoita sitä, että se tarjoaisi vahvan yleisesti tunnistettavan identiteetin. Se onko tuo vahva tunnistautuminen kytköksissä lainkaan tunnettuu indentiteettiin kun on teknisesti erillinen asia.

Esimerkkinä: Luon kolme GnuPG (PGP) avainta.
1. Yhtä niistä käytän vaikka kirjoitusteni allekirjoittamiseen ja kotisivultani löytyy julkinen avain jota vastaan nuo kirjoitukset voi halutessaan varmistaa.
2. Yhtä niistä käytän siihen, että allekirjoitan sillä jotkut asiat jotka kuitenkin postaan anonyyminä. Miksi sitten allekirjoittaa? No, se antaa minulle mahdollisuuden osoittaa yksiselitteisesti myöhemmin, että olen kirjoitusten kirjoittaja. Samalla kirjoitusten julkaiseminen julkisesti anonyyminä eri alustoilla mahdollistaa myös ajankohdan kiistattoman osoittamisen. Eli tiesinkö asiasta X esimerkiksi tiettynä ajankohtana. Kyllä tiesin, koska olen postannut sen julkisesti anonyyminä, mutta anonyymisti allekirjoitettuna. Samalla voin myös tarpeen vaatiessa osoittaa olevani kirjoittaja myös anonyymissä kontekstissa. Tämä luo monenlaisia käteviä mahdollisuuksia.
3. Minulla on avainpari, jonka julkinenavain on allekirjoitettu jonkun viranomaisen toimesta. Tämä mahdollistaa minkä tahansa tiedon allekirjoittamisen niin, että se on juridisesti pätevä ja yksiselitteinen allekirjoitus. Sekä sitoo tuon identiteetin vahvasti henkilöllisyyteeni.

Se oli joku pankki-heebojen palaveri joskus 90 luvun loppupuolella Tampereella, missä porukka oli näistä asioista niin pihalla, että. Oli pakko nousta yleisöstä ylös ja selittää nuo asiat kaikille perusteellisesti.

Juuri tuo tunnusten jakaminen ja federated login on yksi asia mistä erityisesti en tykkää. On paljon parempi yksityisyyden kannalta, että jokaisessa palvelussa on täysin erillinen identiteetti, kuin että kaikissa palveluissa käytetään samaa identiteettiä.

OpenBazaarin tapauksessa kolmas osapuoli ei tiedä muista osapuolista mitään. Mutta osapuolet voivat esittää näkemyksensä kaupan tapahtumista kolmannelle osapuolelle (tai useammalle osapuolelle) tarpeen niin vaatiessa.

Se että tahot jakavat sinusta tietoja, ratkeaa sillä, että käytetään useita pseudoanonyymejä tunnuksia, jotka kuitenkin voidaan tunnistaa luotettavasti. Eli kenenkään ei tarvitse tietää kuka olet, mutta he tietävät että olet luotettava. Sekä voit varmustia siitä, että asioit toisen luotettavan tahon kanssa.