前言
每个人都有过回答“你是谁”这个问题的经验。最近一次被问到“你是谁”时,你是怎麽介绍自己的?是回答姓名与职称?或是身份证字号?还是某活动的报名序号?
当我们在尝试回答“你是谁”的时候,也正在定义我们的身份。
身份会因情境不同而不同,有时是姓名,有时是身份证字号,也有时是某个临时编号。
什么是数位身份(Digital Identity)?
数位身份就是以数位形式表现与储存的身份,自全球资讯网被发明以来,数位身份便跟著开始发展直到今日,网站域名、电子信箱、社群帐号等等都是数位身份的一种。
我们的日常生活离不开数位身份的使用:上社群网站发文、订演唱会门票、上PTT看废文、用 GMail 联络公事、用线上课程进修、用云端硬碟备份资料等等。
几乎可以说没有数位身份,就没有现代便利的生活。
自主身份出现之前,数位身份的发展大致可以分为三个阶段:
第一阶段:中心化身份(Centralized Identity)
数位身份第一次随著全球资讯网的流行而有了大量的需求。
如雨后春笋般冒出来的各种网站显露了一个迫切的问题:要怎麽证明你正在浏览的网站是可信任的?
一个直觉的思路是:我们可以对可信任的网站域名颁发凭证(Certificate),那么由谁来颁发?
由于颁发凭证的机构必须是具有公信力的机构,因此凭证机构(Certificate Authority, CA)被设立,负责域名的审核与凭证的颁发。
自1995年发展至今,凭证机构现在仍是Https的骨干。
然而,CA是中心化且阶层化的(Hierarchical):
根CA(Root CA)颁发凭证给次级CA,次级CA再颁发凭证给更次级的CA,更次级的CA可以颁发凭证给注册某域名的网站,拥有凭证的域名则可以让用户信任,使用户愿意于此域名注册身份。
马斯克回应查理芒格关于加密货币言论的推文:我们可能会死,但无论如何都值得一试:2月17日消息,马斯克回应一条关于芒格最新的批评加密货币言论的推文,加密货币应该被禁止,并称加密货币就像“性病”一样令人不齿。马斯克评论称,“2009年,我曾和芒格共进午餐,他向整个餐桌的人说特斯拉将如何失败。这让我很难过,但我告诉他,我同意所有这些理由,我们可能会死,但无论如何都值得一试。[2022/2/17 9:57:26]
在这样阶层化的架构下,一个用户的身份可以一直往上追朔到根CA,也就是说,根CA是身份的根基。
由此可知,这样的数位身份非常依赖可信的根凭证机构,且用户的身份完全掌控于注册身份的域名拥有者,随着使用服务的增长,一个用户可能必须同时在数十个服务注册身份,身份变得破碎而脆弱。
第二阶段:联合身份(Federated Identity)
为了解决身份的破碎,一个直觉的思路是:让身份由数个组织组成的联盟共同管理,于联盟中任一个域名注册的身份都可以在联盟中通用,其中一个例子就是由昇阳(Sun)主导的自由联盟(Liberty Alliance, 2001)。
联合身份虽然稍微解决在联盟之间身份破碎的问题,但是于联盟之外的身份仍然是破碎的,且身份仍由服务提供者掌控。
第三阶段:以用户为中心的身份(User-Centric Identity)
这就是我们目前所在的阶段:让不同服务、不同联盟的身份互通以及给予用户更多对身份的掌控,是此阶段的目标。
若要使某一服务的身份可以在多个服务之间通用,则各家服务需要共同制定同一套规格以跨服务验证身份。
重视用户允许(User Consent)与互通性(Interoperability)的结果使用户成为了身份的中心。
用户可以自行决定是否要从一个服务分享自己的身份至另一个服务,防止数位身份的破碎。
美国监管机构认为稳定币绕过监管漏洞,正在研究如何监管稳定币:9月20日消息,美国监管机构认为稳定币绕过监管漏洞,可能会从以下几个方面监管稳定币,分别为:把稳定币指定为系统风险;称稳定币为证券;视稳定币为货币市场共同基金;像监管银行一样监管稳定币;美联储正在研究与稳定币有竞争性质的中央银行数字货币 (CBDC)。
此外,全球性监管机构金融稳定委员会正在研究建立稳定币相关的标准和计划,可能会在 2023 年出台相关监管。(纽约时报)[2021/9/20 23:37:37]
例如Open ID(2005)/OAuth(2010)/FIDO (2013)这些开发者熟知的验证(Authentication)协定就是遵循此原则的产物。
虽然用户对身份拥有更多掌控以及有更好的互通性,但用户对于中心化服务的依赖程度却更胜以往,导致服务商拥有“滥用”用户隐私的权力,例如以广告营收为主要获利来源的企业,可以在不经用户同意下便使用或贩售用户资讯,用户隐私有受到侵犯的风险。
身份的价值与厚度来自社交行为与频繁的互动,在完全理想(例如非数位)的场景下,身份应当是一个整体,并能依据情境不同而揭露不同资讯,正如同当我被询问“我是谁”时,我可以依照情境的不同给予不同的身份证明。
然而,我们当今使用的数位身份既脆弱也无法表达身份的厚度。
那么要如何实现一个不受任何中心化服务掌控的身份呢?
这个问题的答案一直到最近才出现?—?分散式帐本就是实现自主身份的最后一块拼图。
什么是自主身份?
自主身份(Self-sovereign Identity)就是用户可以完全掌控且于任何服务之间互通使用的数位身份。
自主身份与当今的数位身份不同?—?自主身份锚定于分散式帐本,不被任何中心化服务掌控。
分散式帐本使数位身份具备下列特性,且正是这些特性保证了数位身份的自主性:
Roger Ver将与国家元首探讨如何使比特币现金成为主权国家的官方货币:5月31日消息,Roger Ver声称,将与国家元首见面讨论如何使比特币现金成为主权国家的官方货币。 有分析师发布了来自Discord频道的帖子屏幕截图,该帖子的用户名作者为“ rogerver”。随后比特币现金联盟的subreddit / r / BTC的成员声称已确认该作者即是Roger Ver,即“比特币耶稣”(Beincrypto)[2020/5/31]
存在性(Existence)
中心化服务可以随时窜改数位身份的存在;分散式帐本则使身份能以去中心化识别符(DID)的形式锚定在其上且保护其不受篡改。
掌控性(Control)
中心化服务可以完全掌控数位身份;分散式帐本使用数位签章,掌控私钥即掌控身份,且私钥由用户自行保管。
存取性(Access)
中心化服务可以轻易限制身份存取;分散式帐本是复制状态机,用户可以于任一节点随时存取身份。
透明性(Transparency)
中心化服务多为闭源专案;分散式帐本大多为开源专案,用户可以掌控软体运作的细节。
持续性(Persistence)
中心化服务有服务中断的风险;分散式帐本多由受到经济激励的节点共同维护,不易中断服务。
自主身份的技术架构
Overview of Self-sovereign Identity
数位身份由识别(Identifier)、验证机制(Authentication)、凭证(Credential)这三个要素组成。
比特币大手子:大手子教你如何提前预知爆涨趋势:4月30日19:00,实盘大V 比特币大手子 做客金色财经《币情观察室》直播间,将分享《大手子教你如何提前预知爆涨趋势》,欲观看直播扫描下图二维码即可![2020/4/30]
自主身份除了这三个要素,还具备了第四个要素:私钥与资料管理机制(DKMS),这是由于自主身份使用数位签章而有管理私钥的需求。
自主身份并不是全新的发明?—?许多技术的思路基本上沿用了现有的规格,自主身份真正的创举在于制定一套通用规格:
去中心化识别符(Decentralized Identifier, DID),使身份能够以同一标准锚定于不同分散式帐本并且互相通用。
自主身份的四个要素之间具有如上图所示的关系,这些要素形成一个堆叠(Stack)的架构:
最底层的#1负责身份的锚定;
第二层的#2需要和底层的分散式帐本互动及负责用户资料与私钥的储存;
第三层的#3则需要使用第二层的资料以进行用户身份的验证;
成功完成验证后,最顶层的#4则可以发送各种凭证以表明用户的身份。
这种上层依赖下层且同层之间互通的架构类似TCP/IP的七层网路协定?—?各层具有各自的协定与规格,且各层之间的运作细节是抽象的。
哪些组织在推动自主身份?
由于自主身份需要一系列协定的紧密配合,因此自主身份的进展有赖于统一的规格与设计良好的协定,这需要由业界组成的非营利组织共同推动与维护。
目前有许多非营利的组织都在自主身份领域持续贡献,例如:
重启信任网路
(Rebooting Web of Trust, RWoT)
全球资讯网协会的凭证社群组
(W3C Credential Community Group, W3C CCG)
BM:对代理如何运作和“dApp开发者”如何计费的理解可能需要调整:北京时间今日凌晨,BM在开发者群发表对代理如何运作和“dApp开发者”如何计费的理解:
??1)所有CPU/带宽都是“执行操作的用户”;
??2)所有存储都按照dApp的选择向用户或dApp付费;
??3)dApp开发人员希望授权用户将带宽委托给用户;
??4)授权带宽理论上可以用于任何dApp。
现在想象一下,你是一个社交媒体公司,希望为用户提供免费账户。用户在您的网站上注册,您为他们创建一个区块链账户,然后将一些带宽委托给他们。您的应用可以选择为每个授权用户支付有限的存储空间,这使他们能够在他们需要携带自己的存储空间之前,拥有N份杰出的帖子和V张投票。如果您的应用不想为用户支付存储费用,则该应用可能完全是BYOS(注:Bring your own storage,使用你自己的存储)和BYOB(注:Bring your own Bandwith,使用你自己的带宽)应用。如果用户不继续他们的订阅或停止使用您的服务,那么您可以将带宽重新分配给其他用户。[2018/4/30]
去中心化身份基金会
(Decentralized Identity Foundation, DIF)
网际网路身份工作坊
(Internet Identity Workshop, IIW)
这些组织在近3年来都有非常丰硕的产出。
其中最活跃的应该就属RWoT:自2016年开始启动以来,RWoT发表超过40篇的论文、技术规格与开源程式码;RWoT孕育的技术规格也进一步提案给W3C或者IETF以进行标准化;
DID规格草稿有一大部分是奠基于RWoT的工作成果;甚至连“自主身份”这个词彙也是在RWoT被创造的。
实现自主身份的技术规格
那么自主身份架构中的各层是如何运作的?
1.去中心化识别符(Decentralized Identifier, DID)
DID是自主身份技术架构中最底层、也是最关键的一层?—?它负责身份于分散式帐本的写入/读取,其对于识别符的格式以及解析方法都有明确的定义,下列简述几个重要的部分:
DID(Decentralized Identifier)
DID是一个由数字与英文字母组成的识别符,其是唯一的且映射至一个位于某个帐本的DID文件。
DID由三个部分组成:格式(scheme)、DID方法(DID Method)以及DID方法特化字串(DID Method-specific String)。
DID方法将于下一点阐述;DID方法特化字串的产生方式则需于DID方法的规格中明确定义。
DID方法(DID Methods)
为位于DID中的一组字串,功能为区分每个DID 的解析方式?—?每一种帐本都有专属该帐本的 DID方法,且其对应位于该帐本之DID文件的创建/解析规则。
例如注册于以太坊的DID会是像 did:eth:12345 这样的形式,DID方法需要向W3C注册以被解析器辨识。
DID文件(DID Document)
分散式帐本可以被想像成一个键值资料库(Key-value Database)?—?DID是键值,它所对应的内容就是写入分散式帐本的DID文件(DID Document)。
DID文件包含:代表身份的公钥、验证协定、能与此身份互动的的服务终端等等。
DID解析器(DID Resolver)
协助更上层协定便于查询DID文件,解析器能够针对不同的DID方法进行解析,再将解析结果返回上层,上层协定不需要理会关于文件解析的细节。
DIF针对解析的需求开发了通用解析器(Universal Resolver),如此该解析器只需要部署一次,日后若有新的DID方法被注册,只需针对该方法进行扩充即可。
2. 去中心化私钥管理系统(Decentralized Key Management System, DKMS)
DKMS是用户使用自主身份的主要介面,除了与底层的DID连接之外,还需提供凭证的储存、私钥的备份等等,任务相当多元。
规格上来说,DKMS可以再细分成三个子层:
DID层(DID Layer)
负责与更底层的分散式帐本连结以执行DID查询。
云端层(Cloud Layer)
负责储存用户的个人资料供上层协定使用,例如可验证凭证。
边缘层(Edge Layer)
负责管理私钥,同时也是让用户可以使用自主身份的去中心化应用程式(DApp)。
3.DID验证(DID Authentication)
目前仍尚未有任何准备成为通用标准的DID验证规格的提案,只有一份RWoT的文件深入探讨了验证流程。
DID验证的任务只有一个:就是让用户证明自己拥有某身份?—?用户只要证明自己拥有跟某个自主身份公钥匹配的私钥即可。
进行验证后便能使不同个体之间建立可信任且更长久的通讯管道,以利更上层协定交换其他资料,例如可验证凭证。
现今存在许多行之有年的验证方式,例如 OAuth / OpenID 等等。
类似这些验证方法,DID验证也使用挑战-回应循环(Challenge-response Cycle)进行验证:
验证者发出挑战,身份拥有者根据挑战作出回应,验证者再检验回应是否有效。
至于挑战的形式则没有明确的定义,不过我们一定都有回应挑战的经验— 我们在登入某帐号前都必须输入的帐号密码就是其中一种挑战的方式。
4. 可验证凭证(Verifiable Credential, VC)
VC是自主身份架构中发展最早、也是最成熟的规格。
作为自主身份架构最顶层的协定,它只有一个目的:取代用户皮夹裡的所有证件。
VC是基于密码学的数位凭证,可在不同应用程式间通用,它让身份回归到最理想的状态:身份是完整的且完全受用户掌控的,用户可以依照情境的不同而揭露不同的凭证。
由于所有自主身份都能发行与保存凭证,也就没有身份破碎的问题。
VC包含三个部分:
断言(Claims)
为关于主体的一段陈述,表示[主体?—?性质?—?内容]之间的关係,例如:[小明?—?学生?—?有间学校]代表小明为有间学校的学生。
凭证后设资料(Credential Metadata)
为有关凭证的其他资讯,例如类型、发行者、发行时间等等。
证明(Proof)
为发行者对凭证内容的数位签章。
在使用VC揭露身份时,要如何避免不会暴露过多的隐私?
可验证陈述(Verifiable Presentation)便是利用零知识证明(Zero-knowledge Proof)保护凭证的进阶规格,细节容笔者于日后令撰文分析。
近期,虎符智能链HSC(Hoo Smart Chain) 基于全新发展方向,向全球去中心化应用开发者推出Grant Plan——「万物生长计划」.
1900/1/1 0:00:00Web3这个专业名词诞生于2014年,一开始,它被用来描述实现去中心化共识的新型协议。如今,它已经成为了对公链生态、应用程序甚至设计理念的统称.
1900/1/1 0:00:00本文由“老雅痞laoyapicom”授权转发一项旨在迫使比特币等工作证明型加密货币转向更环保的权益证明型共识机制(POS)的条款被列入周一议会投票的MiCA草案.
1900/1/1 0:00:00加密货币公司在网络安全方面投入巨大,但黑客仍然可以通过攻击第三方供应商“得手”。这就是 Circle、BlockFi、Pantera Capital、NYDIG 和其他知名加密公司在上周末披露其客户数据遭到黑客攻击的情况.
1900/1/1 0:00:00俄乌间的冲突不止发生在战场,也发生在一个个舆论场之中。战争伊始,多个西方官员敦促各大社交媒体平台封锁“俄罗斯国有媒体”和宣传;同时这些平台也承受着俄罗斯方面的压力.
1900/1/1 0:00:00火爆的数字藏品,正在“攻入”社交平台。3月17日,数字藏品资深玩家王子健注意到,大V@天才小熊猫在微博上发布了数字藏品《奔跑》。他关注这一IP多年,当下没有犹豫,第一时间花8888元下了单,“它有一定的收藏价值”.
1900/1/1 0:00:00