VC 是比 SBT 深入的身份系統要素。
作者:zCloak Eunice
封面:Photo by Milad Fakurian on Unsplash
前言
基於區塊鏈技術的 Web3 顯露在歷史舞臺,有相當部分推力來源於人們對它能夠對抗商業組織特權與非自願審查的期待——通過以代碼代替人治來保障每位參與者的權益。 就目前的情況來看,行業給出的各類解決方案——用戶通過肆意地註冊錢包以進行交互——不僅導致女巫攻擊和釣魚攻擊的頻繁出現且無法問責,侵蝕 Web3 社區的信心,損害 Web3 使用者的隱私安全和資產安全; 也致使擁有鏈上信譽但缺乏資產的 Web3 用戶無法享受到優質的金融服務(好比線下信用貸模式的金融服務)。
Web2 中被詬病的「強者剝削弱者」、傳統社會中「劣幣驅逐良幣」的惡行在 Web3 中重現。 就連 Web3 所呼籲和信奉的數據自主權(SSI)(這也是它吸引使用者的特質之一)也在實現的道路上屢屢受阻,因為使用者的隱私數據要麼被存儲在去中心化專案的中心化伺服器上,要麼被公開完整地呈現在區塊鏈上,其安全性和隱私性並沒有獲得實際保護; 甚至在一定程度上,相較 Web2,帶來了更大程度的經濟損失,且一旦遭受則幾乎無可挽回,並且由於缺乏合適的監管加持,惡意攻擊者的身份難以定位和追責。
在這樣的背景下 Web3 意識到,可視化身份主體的信譽、建議基於身份的契約、以及引入合適的法規,對其長足發展是不可或缺的。 基於這樣一個基礎意識,由「去中心化標識碼(DID)+ 可驗證憑證(VC)」構成的去中心化身份概念逐漸清晰,為 Web3 社會下身份系統的構建提供了一份解決方案。
簡要說明下,身份系統發展從由單一權威機構進行管理和控制的中心化身份; 到使用戶身份數據具備一定程度可移植性、可跨平臺登錄的聯盟身份,如微信、谷歌帳號的跨平台登錄; 到需經授權和許可來進行身份數據共用的初步的去中心化身份,如 OpenID; 再進步到能真正實現數據完全由個人所擁有和控制的自主權身份(SSI:Self-Sovernge Identity)——在 Web3 中通常指基於 DID+VC 構建的具有隱私安全的去中心化身份系統。 中心化正在部分被去中心化所取代,去中心化不再涉及中央數據存儲和收集。
身份隱私數據現狀
身份及其相關信息多用於證明「我是誰」,“我是否符合享受某項服務所需的特定要求”。 如找工作時的學歷要求、購買房屋和辦理銀行貸款時的資產證明、以及我們是否滿足成為某實體或虛擬服務商的 VIP 客戶的條件,等等許多場景都需要用到身份資訊。
現實生活中,人們的身份資訊在公務系統中備案,並在各類生活場景中通過出示相應證件和證書以核查和驗證; 互聯網世界中,我們的身份以賬號密碼表示,基於此的行為數據由相應服務提供者的數據存儲系統記錄。
它們的共同點是:
- 用戶數據由第三方組織保存(他們無法自己控制與身份相關的資訊);
- 用戶無法自由使用自己的數據(因此無法決定誰有權訪問他們的身份資訊、無法控制訪問者的授權範圍)。
因為當使用者需要通過網路來聯接與世界各地的社交、遊戲、金融、購物等活動時, 這些身份資訊需毫無保留地上傳給某個平臺,且用戶活動生成的線上遊戲身份數據、社交身份數據等也被封存在巨頭的伺服器中——也就是說,使用者僅有權查看但無權按照自己的意願刪除、增加或交易自己的數據。 這些數據無保留的暴露給機構存在著相當大的隱私和安全隱患,畢竟機構們利用特權擅自盜用用戶數據的現象似乎已經是 Web2 中屢見不鮮、習以為常的了。
與此同時,各組織間相對獨立的數據系統迫使用戶數據被碎片化地保存在不可互相訪問的系統中,因此用戶難以完整地查看、調用、解析自己的數據。 而實現 SSI 的先覺條件之一是使用者能自己掌控自己的隱私數據,即擁有數據主權——數據保管權和數據使用權。 而 DID 實現了這一點。
DID——歸還用戶的數據主權 S
什麼是 DID
簡單來說,去中心化標識碼(DID)是一個字串形式的 URI, 具有全域唯一性、高可用性、可解析性和加密可驗證性,對任何受益於自管理、加密可驗證標識符——如個人身份、組織身份、鏈上活動歷史、物聯網場景等的應用程式都大有裨益,也可用以標識其他形式的主體——如產品或是一些不存在的東西,譬如想法或概念等。
好比 Ethereum 和 Polygon 之類的很多區塊鏈平臺都在關注 DID,但目前都在試驗階段,還沒有一方給出系統化的方案。 最常使用的 DID 標準來自於 W3C(World Wide Web Consortium,全球最大的 Web 規範發展組織)和 DIF(Decentrailized Identity Foundation),其中 W3C 標準使用更為廣泛。
DID 和 VC 是密不可分的,W3C VC 的商業部署大量使用 DID 來標識人員、組織和事物,並實現一定程度的安全和隱私保護保證,未經許可任何其它方都無法訪問、使用、洩露 DID 主體的身份數據。
使用者的 DID 完全由使用者自主控制,根據確定的演算法生成,並非由單一機構全權賦予。 DID 可被解析為存儲於區塊鏈之上的 DID 文件——包含如授權密鑰(Authentication Key)、加密密鑰(Agreement Key)、委託密鑰(Delegation Key)、驗證密鑰(Assertion key),以及與 DID 主體交互的服務端點連結等資訊。 這些密鑰可以被通俗的理解為生活中我們用於不同目的的簽名,簽名的檔(目的)可能是保密涵、委託書、或同意某方使用你的個人資訊的授權書等等。
也正是因為基於這樣的公鑰基礎設施,DID+VC 身份系統才使得戶能更好地保護他們的數據並選擇是否共用以及如何共用數據,因為只有私鑰的所有者才擁有 DID 的完全授權。 這和區塊鏈中資產由私鑰控制同理。
說句題外話,但這也會導致以下問題的出現:
- 找回丟失的私鑰非常困難;
- 一旦你的私鑰被盜,冒充等惡意行為可能會導致「你」行為不端。
因此所有使用者都有責任做好其私鑰和助記符的安全備份。
VC——線上可信賴的身份資訊
VC 是比 SBT 深入的身份系統要素。
2022 年 5 月,乙太坊的聯合創始人 Vitalik Buterin、微軟首席技術官辦公室的研究員 Glen Weyl 、 Flashbots 的策略師 Puja Ahluwalia Ohlhaver 共同發佈了——《Decentralized Society: Finding Web3's Soul – 去中心化社會:尋找 Web3 的靈魂》引發了人們對 SBT(SoulBound Token:靈魂綁定通證)的熱議。 去中心化身份概念也因此獲得更多關注。
SBT 在一定程度上可以代替 VC 用以構建 Web3 的社會關係,EIP-4973、EIP-5114、ERC721S 、EIP-3525 等協定基本代表了對 SBT 應用形式的暢想。 但 SBT 天然的局限性限制著它構成一個完善的去中心化身份系統:
- 首先,SBT 的本質仍是 Token。
Token 指向的是一個錢包位址,而非某個能代表身份的身份標識,任何能獲得錢包位址的人都可以查看該錢包擁有者擁有的 SBTs, 毫無隱私可言。 更重要的是,我們並不希望社會契約主體是一個個錢包而非身份,因為交易只是社會活動的一部分。
- 其次,SBT 依賴於鏈存在。
雖可在如 EVM 等多鏈相容環境態中證明身份,但對於跨生態、跨平臺、甚至脫鏈的場景是無能為力的。
- 最後,SBT 在出示和應用場景方面也具有相當的局限性。
類似於 NFT,現有的 SBT 只有完全展示和完全隱藏這兩種出示形式,並不具有完備的保護數據隱私的功能。
雖然目前業內也在做 SBT 聚合,但各專案發佈的 SBT 的資訊承載形式並不統一,所以也只能是在白板上排列展示,其可讀性極差,並不便於使用者使用和解讀。
即使現在可以選擇性地披露 SBT——即根據需要出示 SBT 中的部分資訊,但這裡要敲黑板的是,這部分資訊也是屬於不加修飾和掩蓋的明文披露,這就存在一個問題——使用者在證明自己的身份情況時由於必須部分暴露 SBT 中的隱私數據,那麼經多次暴露后,這些隱私數據仍可被收集、整理、分析,形成完整的用戶畫像,從而威脅隱私安全。 這一點和我們所說的 Web2 畫像是一樣的,你想想當你打開淘寶看見的推送廣告,居然是相似於你剛才逛過的傢俱店品類的資訊,或者淘寶總是根據你的消費習慣來向你推送對應款式、價位、風格的商品,非常像一個資訊繭房。 並不是所有人都總是喜歡資訊繭房,它會限制你的資訊開拓甚至更嚴重情況下的會局限你的認知。
所以如我們所見, SBT 風華短暫,能夠 廣泛、深度使用的場景非常有限,我們已經對 “SBT 能夠滿足未來 Web3 社會複雜的身份數據交互需求” 這樣一個想法打上了問號。
而 DID+VC 方案則有效地化解了上述 SBT 的三個局限,通過密碼學等技術手段確保發佈、持有和控制 DID 和 VC 的最終權掌握在使用者手中。 並通過系列技術和協議保證
- 身份系統可跨鏈、跨平臺、甚至脫鏈使用;
- 身份資訊展示方案統一,無需根據不同的場景來使用不同的展示方案;
- 甚至可在 DID 協定之上開發定製化的產品。
(補充:至於 NFT,筆者認為並不能拿來和 VC 做比較,因為 NFT 代表的是一種擁有權,且這種擁有權是可以更改和轉讓並可追蹤的。 而 VC 承載的則是與身份相關的資訊,這些資訊是屬於你的、獨一無二的,是不能轉讓的。)
【什麼是 VC】
VC 是一個 DID(如某可信機構,某 DAO 組織、政務系統、商業機構)對另一個 DID(如使用者、合作方)的某些屬性做背書而發出的描述性聲明,是基於密碼學生成和驗證的,用以證明其擁有者某些屬性且這些屬性是真實的(如身份、能力、資質等)[1]。 這些認證結果又可以被記錄在存儲於類似 Arweave、IPFS 之上的其他 VC 之中,所有相關信息公開、可驗、可查、永久可追溯,任何人都可以對其進行獨立驗證以確保憑證內容的真實可信 [2]。 這些 VC 也可以上線各主要公鏈,與其他生態應用程式互操作。 有且僅有具有 VC 擁有權的 DID 主體能夠控制誰可以訪問以及如何訪問他們的 VC。
注意,上面一段我們提到了兩種 VC,一個用於存儲使用者的隱私數據 [1],我們在這裡稱為個人 VC; 另一個用於存儲個人 VC 驗證的憑證 [2],我們在這裡稱為結果 VC。 這裡有個問題,目前大多數的可驗證憑證都是存儲在沒有能力提供隱私保護的中心化資料庫中或區塊鏈上,這對於結果 VC [2] 來講並無大礙,但對於個人 VC [1] 來講則是無法容忍的。
那麼我們要如何才能確保包含個人隱私數據的 VC 的存儲安全性和隱私性呢? 這裡就涉及 VC 的儲存方式:
【VC 的存儲方式】
目前主要有三種:
- 在使用者本地存儲和備份。
這和我們把私鑰記錄在筆記本或不介入互聯聯網的程式之上是同理的。 但類似的,一旦丟失就幾乎不能被找回。 使用者在享有更多的主權時需要承擔更多責任。
- 加密後存儲在使用者控制的雲存儲內。
这种方式并不相同于 Web2 中将数据直接存储在互联网巨头中心化的服务器上。加密后的 VC 的访问、使用和删除权限,只有掌握其相应 DID 私钥的所有者可以进行操作。当然,用户一样需要保存好 DID 的私钥或助记词。
3. 在去中心化存储平台上存储需要公开的 VC 信息存储。
通过这种方式使得信息可追踪、可验证。且这些信息的所有权仍旧归属于 VC 所有者。
在此强调,无论是哪种方式,用户都应该做好 VC 和私钥的备份。
【VC 的出示方式】
讓我們更深入一點,更細心的讀者或許會意識到,即使我們做到了存儲方面的隱私和安全,但在出示 VC 的時候如果無法實現「在不透露任何隱私信息的情況下讓對方知道我滿足他們的條件」,那麼我們披露的那部資訊不仍是完全暴露在網路中的嗎? 不就又回到前文講的存在類似 SBT/NFT 資訊被追蹤、收集,進而形成完整的用戶畫像,侵擾我們的日常生活和經濟活動嗎?
這種缺乏隱私保護的數據呈現並不是 SSI 所追求的!
這裡也恰是當下被熱議的 ZKP(零知識證明)技術的切入點。
實現隱私的技術有多種,如安全多方計算(Secure Multi-Party Computation)、同態加密(Homomorphic encryption)、零知識證明(Zero-Knowledge Proof)等。
- 安全多方計算要求參與方 >n,在獨立用戶層面具有很大的使用場景限制,不過卻是電子投票、門限簽名以及網上拍賣等諸多應用得以實施的密碼學基礎。
- 同態加密往往需要較高的計算時間或存儲成本,相比傳統加密演算法的性能和強度還相差甚遠。
- 零知識證明不具備以上兩者的限制,且可以通過多次遞歸使網路非常具有可擴展性,但唯一不足是開發門檻較高。
ZKP 是目前 Web3 在隱私安全和網路擴展性方面最受關注的技術, 可以幫助使用者在不透露任何資訊的情況下證明自己的某種屬性、資質,也可以僅僅只是返回服務方一個 “yes” or “no” 的答覆。 新興的 zCloak Network 在這方面做了很好的表率,實現了對身份資訊展示的細粒度控制——其 VC 出示方式有四種:零知識證明披露(ZKP Disclosure)、摘要披露(Digest Disclosure)、選擇性披露(Selective Disclosure)、全資訊明文披露(Full disclosure0)。
也就是說,基於 ZKP 技術,使用者可以選擇或全部、或部分、或完全不披露自己的資訊、抑或通過隱秘的數據分析來獲得一個 “DeFi 達人” 的標籤以顯示自己的某種能力和資質,於此同時還能夠讓服務提供方識別使用者是否完全符合他們某種業務的目標用戶的標準。 這不僅極大地保護了用戶的數據隱私安全,還充分尊重了使用者多樣的資訊披露意願。
ZKP 浅析
ZKP 目前分為 SNARK(Scalable Transparent Argument of Knowledge)和 STARK(Succinct Non-interactive Argument of Knowledge)兩個系統,都可用來創建有效性證明,主要區別我們用以下表格來說明:
SNARK:
- 證明大小非常小,因此驗證時間短,所以在像乙太坊這樣的區塊鏈上處理 SNARK 證明時需支付的 Gas 費也較低,這是它的一大優點。
- 但它依賴於非標準的安全假設,且需要信任的生成階段,如果在這個階段出現問題,可能導致系統的安全性遭到破壞。
相比之下,STARK
- 則基於較弱的安全假設、完全透明,不需要信任的生成階段,且可抗量子計算(也就是安全性非常高)。
- 且更為通用,對於並行化有更好的適應性,無需針對對不同的場景進行電路定製,這可以大大的節省開發成本、簡化開發工作。 而 SNARK 是需要的。
(所以,我們看到,目前在跨鏈和 L2 擴容方面都多採用 SNARK, 而隱私數據的保護則多採用 STARK。 因為前者證明更小、驗證時間更短、Gas 費更低,而後者具有極高的安全性和也更利於開發。 6 月 20 日,乙太坊聯合創始人 Vitalik Buterin 在最新文章《更深入探討錢包和其他用例的跨 L2 讀取》中就指出:在跨鏈證明的實現上,零知識證明(ZK-SNARK)等是非常可行的技術選擇,未來 10 年 zk-SNARK 將與區塊鏈一樣重要。)
讓我們用一個場景來說明這兩者的應用。 假設我們要在區塊鏈上實現一個隱私投票系統。 這個系統要求驗證使用者是否有投票權,但又不能洩露使用者的身份:
- 如果我們優先考慮系統的效率和 Gas 費用,那麼 SNARK 可能是一個更好的選擇,因為它可以生成更小的證明並且驗證速度更快。 然而,
- 如果我們更關心系統的透明性和安全性,那麼 STARK 可能會是一個更好的選擇,儘管它的證明大小更大,驗證時間更長,但是它不需要信任的生成階段,並且基於較弱的安全假設。
總的來說,SNARK 和 STARK 各有千秋,具體使用哪種技術取決於應用的特定需求和場景。
DID 身份系統中的參與方
主要包括 VC 持有者 Holder、簽發方 Issuer、驗證者 Verifier。
Holder 是某一 DID 的拥有者,VC 的持有者。他们是唯一有权共享其凭证,且唯一有权选择他们愿意共享其自身身份信息的个人或组织。
Issuer 是 VC 的签发方,通常由受信任的组织扮演,比如 DAO、政府、行业协会。需要注意的是,即使 Issuer 创建并签发了 VC,但他并不拥有 VC 的使用权,因为需要其对应的 DID 的私钥进行授权签名才能使用,而 Issuer 并不拥有 Holder 的私钥。但是,对某些类型的 VC 而言,Issuer 拥有将其吊销的权利。例如,如果发现某社区成员作恶,DAO 社区可以撤回曾经对他颁发的荣誉证书,或是交管局在处理违章时有权吊销已经签发给某个司机的数字驾照。
Verifier 是 VC 的验证和接收方,他们只有在 Holder 授权同意的情况下才可验证相应的 DID 和 VC 并知晓 Holder 是否拥有某些属性或满足某些条件(如用户合规),从而使 Holder 通过其 DID 享受他们提供的某种有限定条件的服务。
我們舉例來理解以上三者的關係:
(Web 2)比如,入職背調時,公司要驗證潛在新員工的求職資訊以確定其是否具有相應學歷背景、過往工作經歷是夠屬實、以及是否是合法公民等; 此時公司即是 Verifier,發放學歷證書的教育機構以及發放職業證書的前僱主即是 Issuer,持有這些證書的新員工即是 Holder。
(Web 3)比如,mockDAO 的某項社區提案要求僅 Level>2 的社區成員才可參與投票,這個過程中 mockDAO 需要驗證事前發放的成員證書(VC)來確認他們是否滿足這些條件; 此時,mockDAO 即是 Issuer 也是 Verifier,擁有成員證書的社區成員是 Holder。
為什麼需要 DID+VC 去中心化身份系統
DID+VC 身份系統具有非常廣泛的應用場景,此處筆者舉出了 6 種 Web3 中常用的應用場景:
1. 通用且安全的登錄
用戶可通過一個 DID 實現對所有平臺的直接登錄,且由平臺或合約授權的 VC 可以控制使用者的訪問許可權,如此能夠打通平臺間的壁壘,不再是傳統的登陸不同平臺需要不同的「帳號+密碼」; 同時,使用者還可自由地向平臺展示不同的 VC 以證明自己的某些條件,改善使用者登錄體驗和資訊暴露意願。
另外,Web3 中慣用的錢包登錄致使錢包與平臺的交互會被公佈在鏈上,刺激部分平臺可能通過鏈上數據(如財產狀況)來為使用者提供歧視化的服務。 使用 DID 登錄能杜絕這一情況的發生。
2. KYC 認證
從更長遠、廣泛的角度來講,所有涉及身份資訊應用的現實場景或線上場景都可以使用 DID——比如許多在線服務,包括部分加密行業的交易所、錢包,需要我們掃描上傳身份證件以完成 KYC 認證——它們通常需要憑藉繁瑣的文檔和電子記錄來驗證身份,昂貴又耗時,且可能導致使用者隱私的洩露,並且也存在服務提供者無法驗證證明真實性的情況。
然而,在 DID 身份系統中,服務商是在經使用者允許的情況下通過 VC 來驗證用戶資格的,使用者的敏感資訊可以有選擇的或完全隱秘、或部分、或全部共用,所以相較傳統 KYC 認證更加可信,同時也大大減少了使用者與組織的溝通成本。
即使在現實生活中,DID+VC 的身份系統可以幫助貸款公司輕鬆驗證申請人的財務憑證,同時也能尊重使用者想要保持某些數據私密性的意願; 員工盡職調查中,既便於雇員調取資質材料並做好妥善保管,也保證了材料在流轉的過程中不被篡改,同時也可避免因驗證過程中可能存在諸多不便而難以驗證資訊真偽的情況。 等等。
3. 社區治理
(1)以保护隐私的方式完成社区身份和贡献数据管理:
Web3 的很多平台和社区采用了中心化的模式来管理成员的身份和贡献数据,即使有一些组织尝试将其上链,但 Gas 费已然会成为组织运营的一笔不小的成本,且上链后的内容即使得到所有者的许可,也无法再进行修改,所有者的隐私很难得到保护。将授权密钥和协议与 DID+VC 身份系统关联,能够便利而隐秘地完成身份和贡献数据管理,充分保护所有者的数据主权和隐私。
(2)DAO 的高效治理
前文讲到的 mockDAO 投票资质认证的例子,也很好地说明了基于 DID+VC 身份系统可以实现 DAO 等组织的高效管理,节约项目方的综合成本,用户操作体验也更简洁丝滑。而由于 VC 的保管、使用权完全在用户手中,所以社区成员也可用 VC 来证明自己对某个项目或 DAO 的贡献,大大减少他们与组织的沟通成本。
4. 反女巫攻击
女巫攻击是指小部分人通过控制大量机器人来模拟人的行为,从而达到干涉组织运行以牟取利益的目的。在很多空投、投票治理中很容易见到此类攻击。DID 系统可以确保 VC 只被颁发给真实有效的用户,用户仅能通过出示并验证凭证的方式来获得参与这些活动与的资格,同时隐私也不会被泄露。
5. 反钓鱼攻击
在助记词、私钥处于保密状态时,用户的数字资产通常是安全的,但黑客利用人为错误或中心化平台发起攻击,如利用 Discord、邮箱、Twitter、交易平台发布虚假信息,或通过伪造网站引导用户错误操作来实现。用户除了需要提高警惕、细心核对交易信息、保护好账户敏感信息以外,更重要最根本且最行之有效的是能够及时验证未知信息是否源自于某真实组织本身,这个验证过程涉及到
(1)确定发布信息的组织的身份真实有效性,是非假冒的、非已注销的;
(2)确认信息里的所有内容均出自该真实有效的组织;
就第一点而言,从用例层面出发,用户可通过类似 “天眼查” 的可信黄页知悉组织存在的合法依据和官方身份信息,或通过各大社交平台的 “蓝 V” 标识来相信组织公共账号及其公布的内容的真实性。但这两种方式都是人工的、中心化的、低效的认证过程,平台也无法及时更新项目的发展、注销、所有权更改状态,无法验证即将或已离职高层的发言是否能代表组织的意图。
自技术层面,可通过证书签发机构(CA)的公钥基础设施(PKI)体系,或通过菲尔·齐默尔曼开发的 PGP 与 Web of Trust 个人密钥系统来完成身份真实有效性的认证。前者是完全中心化的,应用范围也局限于网站的 SSL/TLS 加密通信之中,各类 HTTPS 网站就是用了这种证书进行网站身份验证。后者则要求事先明确知晓交互对象的 PGP 公钥,会存在一定的安全性和可扩展性顾虑,且相互之间知晓 PGP 公钥这件事本身就存在没有明确的方法检查身份的真实性和有效性,也没有处理错误认证的惩罚机制,且由于涉及密码学基本原理及命令行操作使得普通用户的使用友好性极差,难以为一般组织或个人信誉赋能并形成网络效应。
就第二点——“确定信息里的所有内容均出自某真实有效的组织” ——面对海量信息,尤其是涉及会发生钱包、资产交互的信息,无论在 Web2 或 Web3 都需要一个有效验证的路径来帮助组织、名人都需要一个官方能够及时辟谣,帮助用户及时验证的信息的政委,以维护声誉并、保护信息和资产安全。
Web3 一直缺乏相应解决以上两点问题的反欺诈身份验证方式和反欺诈的可验证信息表达路径。直到 DID+VC 身份系统的出现,为他们提出了一种解决思路。
因为一个主体的 DID 可以是完成了 KYB、KYC 认证的,其历史通过 VC 记录并验证,但在这个认证、记录、验证的过程中,除了用户自己和签发 VC 的具有法律责任的公信机构,无一人知晓用户的隐私个人隐私数据
抑或是,针对那些对 KYB 感到敏感的组织而言,可通过将其面向公众的官方渠道与其 DID 相关联认证来授权一个 DID 的官方属性,自此有且仅有经该 DID 发布的信息是具有公信度(虽然无法完全具有法律保障,但信誉也是社会认可中非常重要的一个要素),使用户更愿意选择相信其发布的信息,帮助真假 DID 的识别。
6. 推动 DeFi 发展
用户的所有链上行为都可以被写入 VC,逐渐积累形成自己的链上信用以作为身份的一种重要属性,也可为用户获取第三方服务提供便利性。DID+VC 身份系统可以保护用户隐私的方式反应用户的链上经济行为,并将其以 VC 的方式被记录、验证、出示,既能帮助 DeFi 判断组织或个体用户的链上金融信用,也能帮助用户获得类似传统金融那样的信用贷款服务,代币质押模式或将被削弱或替代,为当前 DeFi 生态带来更好的流动性和资本效率。
現階段,DeFi 信貸業務的擴張主要受限於鏈上身份對應真實身份的識別。 如若 DeFi 要準確有效地與用戶鏈下金融數據交互,以幫助評定用戶鏈上信用,甚至追償鏈上失信行為,KYC 認證則是不可避免的,但這可能使 Web 3 的原住民們感到不適,因為涉及隱私資訊暴露隱患以及認證機構的道德隱患。
另一方面,Web3 使用者的信用水準難以判斷和衡量,同時也成為了阻礙 DeFi 實現低抵押率信貸業務的主要原因之一 ,所以只能通過提高使用者抵押率或超額抵押來保障專案自身資金安全,卻又與此同時降低了 DeFi 生態的資金利用效率,削弱了加密生態的整體流動性的同時,也將大多數希望利用信用槓桿的加密使用者者拒之門外,然而,對於這部分人群來講, 他們貸款正是因為是缺少資金或缺少可抵押的資產,且由於鏈下信用系統的成熟和應用範圍限制,他們可能因現實世界的信用記錄不夠豐富而難以獲得理想的額度。
基於 DID+VC 身份系統能夠為以上 DeFi 信貸業務問題提供了一種潛在解決方案 —— 通過具有多種出示功能的、完全由使用者掌控的 VC, 既可(1)降低信貸機構完成過往信用數據收集並驗證的成本,同時,即使未來 DeFi 與鏈下數據交互被強制實施 KYC 認證; 也能(2)保證使用者數據驗證和出示過程中的隱私訴求,除認證 KYC 的公信機構、認證相應金融數據的機構和使用者自身,無人知曉使用者的任何相關隱私數據,如若出現洩露也有明確的對應資訊追責路徑。 如此 DeFi 應用程式便可以輕鬆地為不同的使用者提供針對性的服務,如,通過使用者的 DID 和可驗證數位憑證來驗證使用者過往鏈上鏈下信用情況,若還款記錄良好則可獲得低利息的信用貸款或低質押率貸款。
結語
DID+VC 身份系統是 Web3 走向大眾的基石。
正如開篇所說的,我們對於區塊鏈或者說對 Web3 的期待都來源於其對抗特權與非自願審查的能力,但這並不意味著完全不需要信任。 我們只是想要或削弱或消除對那些會出賣、篡改我們資訊的中心機構的信任,想要通過數據自主權來達到這樣的目的; 但,與此同時,我們同樣需要具有公信力的、具有法律義務和責任的機構,比如公安、政府,來認證網路中各色各樣的組織和個體身份真實可信性,甚至資訊、物件的真實可信性,需要他們來監督網路中的各類實體(組織、個人、資訊),以避免和監督因身份資訊偽造帶來的欺詐事件,並在事後能實施法律問責程式,切斷資訊洩漏的鏈條,追回部分或全部的經濟損失。 這些都需要監管的加持,需要 KYC、KYB 的實施。 即使一個人能同時擁有多個 DID,但我們的真實身份只有一個,當某個人的多個 DID 都和他的現實唯一身份關聯、認證,才能實質性的杜絕 Web2 和 Web3 中的因資訊盜竊而產生的欺詐事件; 也才能讓 Web2 的數據一定要以某種方式在 Web3 的世界裡使用起來,才能得以豐富鏈上 DID 的應用場景。 在人類進入賽博世界的過渡期,DID 將會承載 Web2 身份與社會關係在 Web3 世界的映射。
當然無論是安全多方計算還是同態加密抑或零知識證明,如果能大規模的實現基於這些加密技術的、由具有法律責任的公信機構完成的 K YC 認證,可以說 Web3 是比 Web2 更安全的,因為目前我們的部分 KYC 認證以及非常重要的身份隱私數據都是由許多商業機構自行掌控的。 且當某一組織、個人的 DID 在網路中具有一定的辨識度時,更加具有可讀性的 DID 可以為他們代言,當然這條路很很長,在這個過程中也或許會湧現出其他的解決方案,所以就暫不做過多討論。
DID 身份系統通過密碼學的方式以及系統的技術交互邏輯,讓使用者掌握了自己身份數據的擁有權,突破了傳統互聯網中資訊被濫用的痛點,提高了組織和駭客的 “作惡” 成本,在給予使用者數據主權的同時賦予了使用者安全感。 讓人們看到了理想的 Web3 中「用代碼代替人治」構成的 DeSoc 數字社會的曙光; 可以揉合 DeFi、DAO、GameFi 等賽道的使用者識別問題,解決鏈上 KYC 隱私保護問題、改革社區治理方式、防範女巫和釣魚攻擊等問題,使 Web3 成為一個比 Web2 安全、對使用者更包容、更尊重用戶權利和意願的社會。
當然,這一美好願景的實現還需要一套標準的跨鏈、跨平臺甚至脫鏈的協定來加持,也需要無數用戶和平臺乃至線下機構的認可,以及需要形成使用的網路效應。
免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。