現今是數位身分正面臨什麼問題?
– 在現今的網路世界裡,大部分的個人數據都由第三方控制 ,這毫無疑問是錯的 –
不可否認,我們目前在網路世界的各項互動,舉凡臉書按讚、IG發文、手機遊戲的互動,所有的 App 不可避免的都需要進行帳號登入,以作為用戶資料的控管與儲存。隨著網路世界的演進、APP 的百花齊放,各家 APP 以及平台所需要的帳號皆不相同,造成了明顯的數據孤島問題 – 用戶的數據只能單純地依附在各家平台,無法跨平台使用。
在網路世界中沒人知道誰是狗...
我們每日在不同數位平台遊走,登入 Netflix 觀看最近更新的影集,手機跳出 Facebook 朋友的生日通知,檢查 Google 信箱裡的會議邀請,在 Istagram 發限時動態分享今天的天空,用 Uber Eat 叫外送當作午餐,我們在每個平台創建自己的身份,為了使用不同的服務,而我們的個人資料如碎片般散布在不同的平台上,為了保障網路安全,創建多組不同的帳號密碼來管理同一個人的個人資訊。也許我們能夠適應這些繁複的註冊過程,或是倚靠大企業利用單一帳號登入 (Single Sign-on, SSO) 代管所有身份,但這些管理數位身分方式真的安全嗎?
想像有一天你的 Google 帳號被封鎖,那些令人莞爾一笑的舊照、光榮的得獎紀錄,還有你這個人在網路上的所有足跡,都可以在不需要取得你任何同意的情況下被瞬間抹除。反之,當我們試圖要求 Facebook 等平台移除關於自己的負面訊息,或是不堪入目的虛假事實時,我們只能透過向平台投訴,等待漫長而遙遙無期的處理程序,由平台方做出最終決定。
我們其實沒有這些數位身份的所有權。
大企業如 Google 和 Facebook,這些平台提供者又稱為身分識別提供商 (Identity Provider, IdP),他們搜集大量使用者個人資訊和平台上的數位足跡,訓練演算法投放廣告來獲取豐厚的利潤,同時,他們全權管理我們在網路上的身份,我們明明是身份的擁有者,實際上卻沒有身份的掌控權。
有沒有一種方法,可以讓我們只需要有一個帳號,同時完全擁有自己的數位身分掌控權,擺脫由大企業掌控多數人的數位身分的現狀?
解決網路身份認證的方案— DID
– 目前沒有一個簡單的方式來辨別網路上民眾的身分 ,所以我們需要 DID –
為了解決數據的自主權問題,我們必須先知道“網路身份”與平台如此密不可分的原因。許多的應用程式舉凡社交媒體 FB、串流平台 Netfliex 或是遊戲都需要確認用戶具備一定的權利,例如 Netflix 要確定是否付費訂閱具備觀看資格、社交媒體需要透過一個身份將用戶的相關資料與此身份作綁定、電商平台需要確認身份驗證確認物流資料以及金流的消費,種種的數位服務都是建立在這個“身份”的入口身上。為了避免如此繁瑣的帳戶控管以及中心化控管資料帶來的資安風險,由 W3C 所制定的相關標準產生了一個可以打破現況的契機 — 去中心化身分識別(Decentralized Identifiers, DIDs)和可驗證憑證(Verifiable Credentials, VCs)。
什麼是去中心化身份 DID?
– 一旦我們創立了一個共同標準 (DID),讓使用者互相承認、解析其背後的資訊,便可以將數位身分流通 ,如此便解決了許多現今網路世界的身份認證問題 –
DID (Decentralized Identifiers ),一種去中心化的身分識別方式的標準。這類的標準不會被單一的大型機構給獨斷,設計的出發點便是藉由區塊鏈的加密且去中心化精神建立。透過區塊鏈透明公開且自由存取的特性,讓每個人接受這個數位身分標準去與各項 APP 互動或是儲存各項資料如自然憑證、身分證等,並且各個 App 與平台可以通過背後的密碼學去驗證並認可這個身份,甚至任何平台都可以在這個身份上去發行“憑證”作為各項服務的使用權存取。
一個 DID 系統的構成主要由兩者組成:
- W3C 去中心化身分識別(Decentralized Identifiers, DIDs):一個去中心化身分識別的標準,使用者可以使用一個基於密碼學的數位身分來進行身分驗證。
- 可驗證憑證(Verifiable Credentials, VCs)標準:一個 DID 要替另外一個 DID 的聲明背書時所發出的憑證
舉例來說,今天 Rita 與鏈鋸惡魔交易獲得惡魔的心臟,鏈鋸惡魔會發給 Rita 一個獲得惡魔心臟的證明,此時 Rita 自己有一個 DID 身份識別,鏈鋸惡魔也會有一個 DID 身份識別,鏈鋸惡魔在交付心臟前,會先從 Rita 的 DID 識別裡取得如何驗證的資訊,並且驗證 Rita 的 DID 識別。當 Rita 通過 DID 驗證獲得心臟後,鏈鋸惡魔會發給 Rita 一個採用 VC 標準格式的獲得心臟的證明,VC 內容包含由鏈鋸惡魔作為發行者證明 Rita 已經獲得心臟的針對這一行為背書的憑證,之後收到這個 VC 的系統或個體可以驗證 VC 記載的資訊是否正確。
欲知下集請移駕到: Web3 DID:打破數據孤島,重塑身份自主(下)
