透过历史脉络了解自主权身份
— 导读 / 原用标题
原文:Seeing Self-Sovereign Identity in Historical Context(IDENTITY WOMAN)
编译:zCloak Network
摘要
当前,出现了一套名为 "自我主权身份"(SSI)的新技术标准,它重新构造了数字身份系统的工作方式。我的论题是,这种新组态的出现,与西方社会系统进化出的身份系统 ——用以开展大规模工作、基于早期纸质技术的兴起方式非常一致。
为了说明这一点,我追溯了两段不同的历史。
第一段历史有关在计算机系统中设计和管理身份的方式。新兴的 SSI 的创新是计算机身份系统设计中的一个重大突破。
第二段历史考察了出现在欧洲的纸质身份系统的演变。在有关第二段历史的行文中,整合了一项最近的学术研究,有关于伴随第一批纸质身份文件的出现而出现的特殊社会心理学。这项学术研究解释了纸质身份意味着什么,以及为什么它被接受并对人们有意义。
本文的最后一节将这两段历史结合起来,解释了为什么 SSI 的基本技术设计是与西方自由民主价值观相一致的,而早期的数字身份系统设计却没有做到这一点。
引言
开发者和政策制定者都认为当下的社会系统和技术系统是一个既定事实。现有的系统是给定的这一假设,适用于纸质身份系统、数字身份系统,也适用于与我们紧密相关并用来形成我们身份的社会系统。本文采取唯物主义的方式,将所有事物视为过程的结果。
本文的第一部分,为不熟悉自我主权身份(SSI:Self-Sovereign Identity)技术的读者回顾了该技术的一些基本知识,但并不是讲诉 SSI 的发展历史。
第二部分解释了自计算机出现以来,数字身份系统是如何演变的。这一节为非专业人士明确了这些早期系统之间的关键区别。例如,新的 SSI 系统减少了内在的跟踪机会,因此也就降低了早期数字身份系统以及当前企业身份和访问管理主流技术架构的隐私风险。
第三部分探讨了如今广泛使用的纸质身份系统的历史,解释了它们是如何运作的,以及为什么要在可问责性和可见性之间对它们做出有效的跨系统权衡。相比大多数其它的记述,本节对这段历史追溯到了更早的时期 —— 从公元 500 年左右天主教会的行动开始。这一节整合了最近的一项学术研究,即当第一批纸质身份文件诞生的时候,出现了一种特定的社会心理学,它阐述了这些文件是被人们接受,且对他们是有一定意义的。该项学术研究还回顾了纸质身份文件从最初出现到现在的材料演进过程。
第四部分解释了 SSI 技术与其它数字身份管理模式的不同之处 —— 特别是企业身份、访问管理,和消费者身份提供者模型。它们的主要区别在于,SSI 提供了一种以数字格式表达具有高置信度数字证书的方法,而无需将身份信息锚定到一些诸如由国家或企业实体控制的网络端点等类型的标识符上。纸质文件拥有一种品质,即一旦将它发放给个人,文件就完全由个人控制,个人可以仅向他们选择的任何人展示这份文件。而 SSI 提供了在数字世界中恢复这种品质的方法。此外,SSI 通过限制个人为验证其身份各方面情况而必须透露的信息,提高了早期身份系统的效率和安全性。
我的工作使我每天都在和技术专家、商业领袖和政策制定者打交道。我所在的社区充满了真挚的人,他们努力为新兴的数字身份系统开发良好的设计。我天生热爱研究知识,广泛地阅读了一系列学科知识,包括那些专注于设计和理解系统的学科,我在本文中运用了自己在这些领域的知识素养。
全文通篇解释了纸质身份和数字身份的基础系统设计,并探讨了每一种身份在各自历史背景下的品质。这包括探讨这些身份本身,以及它们与现实世界的相交点 —— 西方自由民主国家(新西兰、加拿大、美国、欧盟)设计的基于 SSI 的系统。
这些有关身份的哲学问题,可能自从人类首次获得意识以来就已经存在了。如果不承认这些问题的存在,就无法合理地书写身份。我们在各种文化的神话、故事、宗教和哲学中都能找到它们。所问的主要问题是 "我是谁?"、"我是否不仅仅是我的身体" 等等。我把这些正统的探索路径搁置一旁,选择用历史唯物主义的方法来解读人类身份的建立。这种方法认为 "所有围绕在我们周围的,并形成现实结构(山脉、动物和植物、人类语言、社会机构)的东西,都是特定历史过程的产物"。
在继续之前,我必须强调,在这种历史唯物主义传统中,一切都源于过程。每一个你可以指出的、你可以识别的 "东西",都是随着时间推移而出现的过程的结果;我们作为人类生活在身体里是过程的结果;在我们生活的复杂社会中,我们为指出或识别出人们身份而创造的物品,如 "身份文件",也是这些过程的结果。鉴别本身就是一个过程。
当讨论 "身份" 时,似乎被识别的实物对象一直都是我们关注的重点 ,然而,塑造身份文件的历史过程或是用来表达身份的技术往往被忽略。含有 "身份信息" 的文件是那些历史决定、历史事件和帮助组织运作的创新所共同形成的结果。一个人本身以及他的身份文件都具有物质性体现,但它们是如何形成的,或者说创造它们的过程是怎样的,是与它们的 "物性" 同样重要的。
我引入这个锚定框架来理解历史进程,是因为我将在本文中使用它来解释各种身份系统的进程。通过观察这些进程,可以发现和理解这些系统之间的关键差异。如果着眼于 "东西" 或产生的人工制品,差异就不那么明显了。不同身份架构的形成,是通过对人们有着不同含义的进程,以及通过人们和组织交互权力关系的过程来达到的。
第一部分:SSI 技术
以下是对 SSI 的简要概述,并非是讲诉其历史。关于其历史发展,推荐阅读《自我主权身份》一书中的第 16 章。
本节涵盖了 SSI 的基本架构和核心标准,以便:a)可以在技术部分讨论 SSI 和其它系统的差异;b)可以在最后一节探讨 SSI 是否适合取代纸质的身份文件。
可验证凭证
可验证凭证(VC:Verifiable Credentials)是一种万维网联盟(W3C:World Wide Web Consortium)规范,它定义了数字凭证的通用数据格式以及如何分享其真实性证明。一个凭证可以证明一个实体想要证实的关于另一个实体的任何东西,并且适用于多种目的。举例来说,政府颁发的出生证明凭证,民间社会颁发的专业协会会员资格证书;又比如,商店的会员卡属于商业凭证;员工徽章属于就业凭证。
由于巧妙地使用了公私钥加密技术,凭证发行者(Issuer)和凭证验证者(Verifier)无需直接通信。Issuer 在将证书作为结构化数据发放给凭证持有者(Holder)之前,会使用他们的私钥对凭证进行密封。Holder 将这些凭证存储在他们的数字钱包中,并可以选择向任何人展示存储在他们数字钱包中的可验证凭证,就像你可以有选择地展示你的物理钱包一样。
当 Holder 想要向任何 Verifier 出示凭证时,Holder 会发送一个可验证的凭证呈现。然后,通过使用 Issuer 的公钥,Verifier 进行数学计算以验证数据结构是否来源于 Issuer 且没有被更改。具体一点说,由于 Issuer 的公钥是被广泛共享的(有时通过区块链),所以 Verifier 可以使用数学计算来验证 Holder 的可验证凭证的真实性。
自可验证凭证规范第 1 版(2018 年)编制以来,开发人员已显著扩大了其有效性,可以更好地保护隐私。也就是说,Holder 现在可以只是提供特定的信息,而无需提供整个凭证。举例来说,Holder 可以因此只显示他们的年龄,而非具体的出生日期;或者,Holder 可以证明他们曾在军队服役,但不必共享他们曾在哪个部门服役或其具体服役日期;又或者,Holder 可以证明他们是某所学校的学生,但不透露他们的学生号。这种类型的共享被称为选择性披露。
去中心化标识符
为了更好的支持可验证凭证和(与 Issuer 相关的)加密密钥资料之间的交换,我们需要一个用于管理的应用程序以及与其相关的存储,该应用程序还必须使用由 Holder 生成和管理的加密密钥资料,但这些资料从未存储在任何其他人那里。
管理这类资料是很困难的。早期的系统使用特殊的密钥注册服务,来发布与特定电子邮件地址相关联的公钥。也就是说,如果某人欲向某特定地址发送加密安全的电子邮件,那么他可以使用与收件人电子邮件地址相关联的公钥来达到该目的。为了解密来自特定发件人的消息,收件方将查询发件人的公钥并确定它来自该发件人。
可验证凭证系统的密钥管理规模非常巨大,要知道,一个数据库,如 MIT 的密钥服务器,或一个网站,如 keys.openpgp.org,并不具有规模。依靠这样的中心化的服务会使系统变得脆弱和易损。
除此之外,更重要的是,与电子邮件地址相关联的密钥被锚定在一个全球性的中心化系统上。SSI 技术的革新者决定以一种既可扩展又可访问但不受中心化机构控制的方式来存储和管理密钥。
开发人员需要向用户提供持久的标识符和指向加密密钥的指标。尽管如此,在更新这些密钥可以解锁的内容时,密钥管理员仍需重新为一个标识符分配不同的密钥。和上面描述的 MIT 密钥数据库一样,开发人员不能将加密密钥存储在那些分配给某电子邮件地址的固定数据库中。开发人员需要找到另一个抽象级别,以便随着时间的推移,与持久的去中心化标识符相关联的加密密钥仍可以进行轮换。区块链集体管理着数据库(无论是需要权限的还是无需权限的),数据一旦写入就不可擦除。尽管可验证凭证可以在没有去中心化标识符或没有区块链的情况下发行,但当这两项创新碰撞一起时,则为以可解析的方式共享密钥提供了一个有益的通用标准。以下是来自 W3C 标准的描述。
去中心化标识符(DID)是一种新型标识符,能够实现可验证的、去中心化的数字身份。DID 可以识别任何主体(如个人、组织、事物、数据模型、抽象实体等),DID 的管理者(Controller)决定它可以识别这些主体。与典型的联合标识符相比,DID 的设计使它们可以与中心化的注册机构、身份提供者和证书颁发机构解耦。具体来讲,虽然其它各方可能被用来帮助发现与 DID 相关的信息,但这种设计使 DID 管理者在无需任何其他各方许可的情况下,就可证明其对 DID 的控制权。DID 是将 DID 主体与 DID 文档关联起来的统一资源标识符(URI:Uniform Resource Identifiers),可以与其主体进行可信交互。
每个 DID 文档都可表达加密材料、验证方法或服务端点。它提供了一套机制,使 DID 管理者能够证明其对 DID 的控制。服务端点支持与 DID 主体关联的可信交互。另外,一个 DID 文档可能包含其 DID 主体本身,也就是说,如果一个 DID 主体是一种信息资源,如数据模型,那么该 DID 文档中也将包含这些信息资源本身。
该规范包括一个通用数据模型、一种 URL 格式和一组用于 DID、DID 文档和 DID 方法的操作指导。
去中心化标识符与早期的标识符系统形成了鲜明的对比,早期的标识符系统要么是永久固定在全球化性的注册中心(例如,基于 ICANN 创建在 DNS 上的域名,或基于 ITU-T 的电话号码),要么是固定在私有命名空间中,如网站(在域名系统内)的用户名、Twitter 账号或 Instagram 账号。
去中心化标识符是技术架构上的一个突破,它将标识符的控制权,通过实体所控制的软件,集中在了其实体本身。另外,标识符不再需要由一些外部发行机构来分配,实体本身就可以生成标识符。这些标识符的所有权可以被证明是独立于任何 "发行机构" 的,这种证明是通过使用公私钥密码学的特性实现的。
去中心化标识符并非一定要存储在区块链上才有效。任何实体(个人或组织)都可创建和拥有一个 DID,与该 DID 相关联的公钥可以连接到任何其他各方,而这些连接对双方来说可以是具有唯一性的。一个正在开发的名为 DIDComm 的规范,将标准化这种类型的通信。
DIDComm 与之前的一些技术形成了对比,比如通过 PGP 的加密安全电子邮件。电子邮件通过 PGP,以可公开访问的形式,在密钥服务器上公布相关的公钥。所有发送到这个邮件地址的信息都会使用该公钥,这使得每个连接都丧失了唯一性。另外,和像 WhatsApp、Signal 和 Telegram 这样被广泛使用的消息传递应用程序相比, DIDComm 也有所不同。前者在每个连接中都使用唯一的密钥对,虽然它们避免了用户名/标识符,但利用电话号码来作为一个可识别网络中用户的持久标识符,这是一种 "作弊" 行为。每次与其它方连接时,它们也不会交换这些不同的密钥,而是选择在它们参与的所有连接中都共享使用一个单一的公钥。
(因本文篇幅过长,后续详见中、下篇)
免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。本文内容仅用于信息分享,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。