本聪老师:今天开始我们一起学习一些与去中心化数字身份相关的基础知识。数字身份远比现实世界中的身份复杂,现实世界中的身份证明是实物,需要人这个主体用大脑验证。数字世界中的数字身份数据,很容易被篡改伪造,而且只能通过机器验证,因此发展过程中面临众多难题。
为了解决这些难题,就需要广泛吸收各个领域的技术和理论成果,这一章我们就简单学习一下相关的技术,包括密码技术、数字证书、区块链技术、去中心化存储技术和隐私计算技术。
小云:感觉内容好多啊?
本聪老师:看起来不少,其实学习理解还是比较容易的。你们谁对其中哪方面比较熟悉,可以带领大家学习一下?
小云:我来说说密码学这部分吧。
小天:我试试找找资料,一起学习数字证书的内容。
小明:我最近对去中心化存储感兴趣,可以一起学习吧。
本聪老师:好的。那么区块链技术和隐私计算我来带领大家一起学习吧。还有读者朋友,如果对基础篇中的哪一部分内容比较熟悉,就可以跳过,直接学习后面的内容。
还有,开始之前,我们还是很有必要回顾一下数字身份发展都经历哪些过程。
1.1. 数字身份发展之路
本聪老师:我们之前说过,数字身份远比现实世界中的身份复杂,那么难在哪里呢?
1.1.1. 数字身份面临的难题
本聪老师:现实世界中我们经常需要证明自己的身份,比如购买大宗资产、办理银行业务、工作就业、驾驶车辆、旅行登机等,主要方式是出示各种各样的证明文件,比如公民身份证、护照、驾驶证、毕业证、学位证、工作证、执业资格证等等。这些证明文件都是由权威机构颁发的,这些权威机构之所以可信,是由政府主管部门或者社会影响力背书带来的,并且这些证明文件颁发过程中使用了形形色色的防伪措施,避免验证过程被欺骗,身份被仿冒。
小明:这么看来,要在数字世界,实现等价的数字身份的确有很多困难。
本聪老师:对,数字世界最显著的特征是身份的主体(可以是人,也可以是组织、程序或者设备等)通过互联网进行交互,包括电子商务、网络银行、旅行预定以及游戏娱乐等,我们如何创建一个数字身份证或者驾照,并向互联网另一端的一台电脑“出示”?最重要的是出示的不是物理证明凭证的电子图像,而是数字文档。数字文档更容易被篡改,被复制,主体的数字身份更容易被仿冒。
小云:那么在数字世界实现数字身份应该怎么做呢?
本聪老师:哈哈,不要急。首先是数字身份凭证的标准化。
数字身份凭证也就是数字文档不是给网络对端的人阅读的,是给对端的电脑(或者机器和软件)阅读的,因此要符合电脑的阅读方式。数字身份与物理身份证一样,有一个全局唯一的id编号,还有与此id编号相关的属性,比如人的姓名、性别、住址、出生日期,或者组织名称、注册地址、业务范围、官方网址等等。数字身份的id编号及其属性以标准化的格式存储在计算机及网络中,在被接收方阅读时呈现的是完全相同的数据内容。
小天:是啊,标准化相当于秦始皇统一了度量衡。
本聪老师:对。标准化是规范要求,还需要第二点,需要技术手段保障实现数字身份凭证的一致性。这种技术需要能够确认数字身份凭证的所有者身份,技术上能够保障其不可抵赖,并且数字身份凭证数据在传送过程中没有发生篡改。
除了上面两点,还有就是数字身份的隐私保护。
小云:对,人的数字身份中包括了最多的个人隐私。世界各国都有明确的法律保护公民隐私,这方面做的不好是会触犯法律的。
本聪老师:是啊,我们现实世界的身份凭证在使用过程中基本没有隐私可言,比如身份证、驾驶证,上面都会记录年龄、住址等隐私信息,我们出示的时候是不可能进行遮挡保护的,不过受限于使用环境、频率和影响范围,因此不会造成严重的隐私泄露。但是数字身份凭证会在网络中高频次多场景使用,因此从身份的诞生,到保存以及流通验证过程都有可能发生身份主体的隐私被泄露的情况。特别是存储大量用户数据的公共服务平台,数据泄露会带来严重的违法行为。
小明:这个听说过,就是2022年7月的滴滴数据安全违法案件,滴滴多个app涉嫌过度收集用户手机相册、人脸、职业、家庭关系、位置等数据,被判定违反《网络安全法》《数据安全法》《个人信息保护法》,罚款80亿元,对滴滴两个主要负责人各罚款人民币100万元。
本聪老师:这是一个典型案例,世界许多国家也有类似案例。数字身份从标准规范编写开始,就重视隐私保护的问题,也可以采用相关技术手段,比如联邦学习、多方安全计算以及零知识证明等来保护个人隐私。
下面我们来了解一下数字身份发展过程,都经历了哪些阶段。
1.1.2. 数字身份实现发展阶段
本聪老师:大家都认可的说法是,数字身份实现方案演进经历了4个历史阶段,分别是中心化数字身份(centralized identity),联邦数字身份(Federated Identity),以用户为中心的数字身份(user centric identity),用户自主数字身份(Self-Soverein Identity)。不过,并不是说这些阶段都已经经历过,成为过去式了。应该说这些阶段是技术演进的过程,其实到现在为止,还是每个阶段都会存在于特定的业务场景中,共存共生,满足不同业务需求。
小云:哦,明白了。不是绝对的一个替代一个,更新换代式的革命。
本聪老师:第一阶段是中心化数字身份,简单来讲,这类数字身份平台都是由某一个权威机构或者由具有隶属关系的多层次组织进行管理和控制的数字身份。当前我们使用的数字身份大部分都是中心化数字身份平台,比如连接互联网的电脑或者其他终端分配的IP地址以及网络域名,就是分别由中心化的组织IANA和ICANN进行管理分配的。为了提高效率,这些组织采用树形结构,但树的所有分支最终到受跟中心的控制和管辖。除此之外,比如公民的身份ID卡,推特、微信等社交平台注册登记的社区账户,京东、淘宝等电子商务平台的交易账户等等都属于中心化数字身份。
小明:看起来中心化数字身份实现方案还是占据了垄断地位,那么它有哪些优缺点呢?
本聪老师:这个问题问得好。中心化数字身份实现方案能够实现全局统一管理,大多数情况下效率较高。但是缺点就是用户需要向垄断平台申请身份,并且要经过授权才能登陆使用,还有,中心化平台一般是互联网巨头,用户个人数据会被有意(利益)或者无意(攻击或者自身风险漏洞)泄露。
接下来我们介绍下第二阶段的联邦类数字身份。联邦类数字身份是由多个机构联合共同管理的,虽然权力得到分散,但是其实是从垄断变成寡头,严格来讲还是属于中心化数字身份实现。联邦类数字身份由微软在1999年推出的通行证(Passport)计划中首次提出,该平台是用户ID跨多网站联盟。我们可以理解为多方共同构建一个单点登录平台,用户账户在单点登陆平台登陆后可以在多个平台进行漫游。
小云:ok,明白了。那么接下来的以用户为中心的数字身份实现又是什么呢?
本聪老师:这种以用户为中心的实现,主要特点是国际性非盈利组织编写制定数字身份规范,各个机构可以根据此规范建设自己的身份平台,用户使用统一身份自行决定是否登陆某个平台,是否授权某个平台存储自己的身份。这样用户就可以完全掌握自己的数据。
小云:看起来这种方案很不错,都有哪些实现呢?
本聪老师:以用户为中心的数字身份实现,最著名的就是OpenID。OpenID首先是一个国际性数字身份组织,其成员包括了Google、Yahoo、SourceForge、LiveJournal、Zooomr等公司和机构。该组织负责制定和更新openID规范。 遵循OpenID 的建立的数字身份平台(比如AOL网站)叫做OpenID身份提供者。用户在任意一个OpenID身份提供者(甚至是自建一个)进行身份注册。使用兼容openID规范的应用平台网站时,用户输入自己的用户名,就会跳转到OpenID身份提供者,输入口令验证通过后就会返回到登录的网站,并且已经成功登录。
小天:这个感觉越来越接近去中心化实现了。后来发展状况怎么样?
本聪老师:是啊,初期发展还是不错。但是后来偏离了初衷。这是由于Google和Yahoo加入OpenID,极大方便了各自的用户,可以把数字身份自主且方便地移植到其他网站,但是随之而来的是越来越多用户使用了Google和Yahoo的OpenID身份提供者,还有后来的Facebook Connect,又席卷了大量用户并出现滥用用户数据的现象,其他一些不知名的第三方身份提供者被更少用户使用,OpenID再次面临中心化复辟。
小云:真是“屠龙少年变成恶龙”。
本聪老师:最后第四阶段是去中心化数字身份实现。这是行业内第一次旗帜鲜明以“去中心化”作为数字身份实现方案。去中心化数字身份以W3C的DID(Decentralized Identity)规范为代表,以可验证凭证(Verifiable Credential)以及DIDcomm等形成去中心化数字身份标准规范体系(这些内容也是本书的主要内容)。这里还需要提一下用户自主管理(Self-sovereign identity,SSI)的身份管理。DID协议作为SSI的实现形式在2022年成为了W3C的推荐协议。
本文内容摘自《对话去中心化数字身份》。作者:乔布施。首发平台:https://ytm.app
欢迎转载,请注明出处及作者。