數據分析公司 Cambridge Analytics 選舉期間的醜聞被曝光後,掀起了一場“卸載 Facebook”的運動,那麼問題來了:“我們還有其它選擇嗎?”
這裏的答案不是“其它社交平臺”,而是另一個以人爲本的、建立在開源標準之上的、足以承載新生態系統的新一代互聯網基礎設施。
Self-Sovereign Identity (自主權身份信息系統)可以讓每個人重新把自己的數字身份信息的權益掌握到自己手中。換句話說,我們對自己的數字身份權益的掌控程度,應當與我們對自己身體的掌控程度一樣高。這是因爲一個事實,即作爲人類,無論出生在什麼地方,無論有什麼特質,我們都有天生的尊嚴。
有了身份信息自主權,任何個人不依賴於第三方,如臉書,來爲他們頒發一個身份標識。人們可以創建、擁有和控制他們自己的身份標識,並且掌控在什麼情況下、與誰共享哪部分信息。
在目前的條件下,我們並不擁有和控制我們自己的身份標識。我們受制於另一方的條款,不管是一家公司(谷歌、臉書、領英、推特等)或是一個政府。這些社會的組成部分在身份信息系統的生態中是可以發揮其作用的,但新興起的具有自主權的身份信息工具將改變現在權力不平衡的狀態。大型企業或組織應當服務於民衆,而不是民衆服務於它們。
個人通過自己所控制的設備或服務,可以收集、存儲、管理和披露自己的身份信息和個人數據,這是我整個職業生涯的努力方向和終極目標。下面我將解釋一些關鍵性的技術突破,它們會共同促進身份信息自主權的實現,這些在五年前是不可想象的。
分層命名空間
到目前爲止,如果想在互聯網上爲自己創建身份標識,只能在分層命名空間中實現。
具體來說,在目前的私有命名空間中,你是處於公司服務條款管轄之下的。公司不需任何原因,可以隨時終止你的數字身份,你還沒有任何法律追索權。無論是谷歌的電郵地址、還是推特、臉書、領英、Instagram 的賬號,幾乎所有網站,只要你創建了用戶名和密碼,你的身份就控制在對方的命名空間之下。
在這個層次之上,還有全球的命名空間。這個層次的命名空間也有很多。最常見的兩種是:由互聯網編號分配機構(IANA)管理的 IP 地址體系,和由互聯網名稱與數字地址分配機構(ICANN) 管理的網站域名體系。這些體系一起形成了今天互聯網的命名空間。
你可以從類似 Godaddy 這樣公司手中購買一個域名,支付 10 到 15 美元一年,然後你就在全球域名系統中擁有了“命名空間”。這有點像你通過電話公司,在全球電話號碼系統中租用一個號碼。
在上面的例子中,公司實際上是在租用一個命名空間。如果公司付款逾期 30 天,或者下一年沒有更新域名,這個的域名可能被其他人租用。最後,個人是在公司建立的命名空間裏建立自己的身份標識。
與此相對應的另一條路徑,是建立一個專門用來標識真人的全球性命名空間。
這條路徑很合理,十多年前就出現過,但到目前爲止還未能實現。一家原名叫 OneName,後來改名叫 Cordance 的公司,曾經嘗試在 2006 年與 Neustar 合作共同推出 iNames 系統。在 2013 年它們又將該系統的更名爲 CloudNames。然而時到今日,有沒有形成良好的土壤,讓真正的身份信息自主權得以生長呢?
去中心化的身份標識
達到這個目標首先需要面臨的挑戰,是要讓身份標識在全網具有唯一性,可識別性和可解析性。
在互聯網標準化聯盟(W3C)的主持下開發的分佈式身份標識(DID)規範是所有解決方案的基礎。它奠定了 DID 的格式以及 DID 的描述體(DDO)的格式,這些文檔包含了驗證標識的所有權需要的一切元數據。分佈式身份標識有很多種不同的類型和途徑,但它們的描述體都遵循同樣的基本框架。
下面的介紹比較偏技術,請原諒。DDO 的包括:
- 分佈式身份標識(DID)
- 公鑰列表
- 分佈式標識的控件列表(用於還原密鑰)
- 服務端點列表(用於交互)。這是圍繞個人創建新工具和服務,並將個人可識別信息置於自己控制之下的關鍵。
- 時間戳(用於審計歷史數據)
- 帶私鑰的數字簽名(確保公正性)
分佈式賬本
我們現在擁有了創建全網唯一性身份標識的方法,可它們存儲在哪裏?人們又如何訪問它呢?
分佈式賬本(又稱爲 區塊鏈)是實現這一切的偉大創新。網絡上的計算機彼此保持同步,維護一個在無數臺機器上覆制的鏡像賬本和數據庫。數據庫中的條目會定期的(每隔一到十分鐘,視具體情況而定)被加密並“封存”,使得它們幾乎不可能被篡改。因此,當你創建一個分佈式身份標識,並將其存儲在區塊鏈之上時,沒有任何第三方可以將其刪除,只有你或你的代理可以將其更新。
現在我們有了一個全網可解析的分佈式命名空間,接下來,我們需要用密碼學鑰匙增加其安全性。
公鑰和私鑰
如何證明你擁有一個分佈式身份標識(DID)呢?答案是老派的公鑰設施(PKI)。
對外行人來說:公鑰和私鑰是在數學上相關的兩組代碼。公鑰可以公之於衆,而私鑰應該保密,只有所有者可以使用它。假如說我想給你發一條只有你才能看到的信息,我就得用你的公鑰、我的公鑰和私鑰,必須有這三條元素才能加密這條信息,併發送出去。然後,你必須有你的公鑰和私鑰、我的公鑰,這三條元素才能解密這條信息。這是一切加密信息通道的基礎架構。
現在,我們已經瞭解瞭如何在全網建立唯一的、有控制權和保障措施的數字身份標識。接下來,能否爲我們與不同實體之間的關係各自建立唯一的身份標識呢?
具有導向性的身份標識
在如今糟糕的身份信息體系中,你在多處使用相同的身份標識,因此有人可以將你所有活動聯繫在一起。
政府頒發的統一身份標識被到處使用,例如美國的社保號碼或印度的 Aadhaar 號碼,這裏存在嚴重的隱私問題,也給系統製造了巨大的弱點。只要瞭解某人的個人信息,你就可以充當那個人採取行動。而收集這些個人信息易如反掌,姓名和出生日期是公開的,而社保號碼也被廣泛共享,無論是通過合法途徑獲得,還是通過黑市上拍賣黑客的戰利品。
但是現在,用分佈式身份標識(DID)基礎設施,個人可以創建具有全網唯一性的身份標識,通過公鑰機制(PKI),使個人和機構之間的安全信息通道成爲可能。
假如說,你使用的銀行的數據庫遭到入侵,您的私鑰暴露,那麼只有這個帳戶會受到影響。這個私鑰在其它地方是沒有用的——不像今天的社保號碼。該銀行還可以重新建立新的公鑰和私鑰和你安全連接。這種技術無法防止數據泄露,但它卻降低了數據泄露的影響,因爲每個不同關係都有各自獨特的標識,而不是在多個地方使用相同的標識。
上面我已經介紹了平時用戶接觸不到的底層基礎設施。接下來,我們來講如何應用。
手機應用和雲端服務
在我們的新系統中,每個人都有成百上千個獨特的身份標識,用於與不同的人、應用程序和服務提供商連接。記住這麼多不同的標識聽起來像一場噩夢,但幸運的是,軟件可以幫助我們管理這些密鑰。將會有很多公司提供這類應用程序和雲服務,個人也可以在不同的供應商之間選擇。此外,人們仍然可以將數據管理權委託給信任的代理人——可能是青少年的父母、老年人的成年子女、或某人的律師或會計師。最終的控制權始終是在個人(或代理人)的手上。你可以更換服務提供商,就像我們從一家銀行取回我們的錢,存到另一家銀行一樣。在這種環境設置中,我們賦予了人們以非常安全的方式管理許很多應用的能力。
信息的可驗證性問題
在過去,任何信息的驗證問題,都需要通過檢驗者與信息源聯繫,才能覈對信息的真實性。
舉個例子:你想去酒吧喝點酒,酒保一般都會看你的駕照,以及你駕照上的出生日期。但如果那是一張數字駕照呢?酒保就需要聯繫頒發證件的相關部門來確定證件上的信息是否屬實。這恰恰是你不願意看到的,因爲如此一來,信息源就會知道你所有的行蹤和動作。換句話說,就像有無數的天眼在監視着你。
而在另一種狀況中,如果信息源的證明是存儲在一個分佈式的公共賬本中的,那麼檢驗者就可以在不聯繫信息源的情況下,確認信息的真實性。
這還不是最厲害的,接下來的技術讓我們在驗證信息的時候,又可以讓信息不被看到。
零知識證明
如何證明信息的真實性,又不披露信息呢?回到上面的例子,如何證明你的年齡超過 21 歲,而又不披露你的生日(以及你證件上的其他信息,如姓名、地址等)呢?強大的密碼學和數學工具可以幫你忙。
當你發出一份零知識證明(ZKP)信息時,檢驗者可以通過檢驗信息加密的編碼方式,來驗證信息的真實性。然後,你可以通過該證明,向對方披露你想披露的信息。在這種情況下,檢驗者驗證了信息的真實性,但你的信息不用被完全披露,你的隱私得到了保護。
總結
當所有這些技術彙集到一起時,一個具有自主權的身份信息體系(Self-sovereign identity)便成爲了可能。請注意這個術語相對來說比較新,當我們 15 年前開始這條道路時,我們習慣稱其爲“以用戶爲中心的身份體系”。
這種開放標準的設施平臺爲新一代的互聯網奠定了基礎,類似 Facebook 這樣的平臺將成爲過去。在這種新一代的互聯網基礎設施之上,人們將擁有對自己身份信息的控制權,並根據自己設定的條件連接到應用工具和服務商。下一代 Facebook 的替代方案,必定要建立在有身份信息自主權的基礎設施之上。
原文鏈接:https://www.coindesk.com/theres-alternative-facebook-called-self-sovereign-identity
原文作者:Kailya Young
編譯作者:greatandrew
來源鏈接:www.8btc.com
繁體中文
简体中文
English
日本語
Español