1950年,美國蘭德公司的梅里爾?弗勒德(MerrillFlood)和梅爾文?德雷希爾(Melvin Dresher)擬定出相關困境的理論,后來由顧問艾伯特?塔克(Albert Tucker)以囚徒方式闡述,并正式命名為“囚徒困境”。
該理論闡述的是一個關于信息不對稱情況下相互信任的問題。兩個共謀犯罪的人被關入監獄,不能互相溝通。如果兩個人都不揭發對方,則由于證據不確定,每個人都坐牢一年;若一人揭發,而另一人沉默,則揭發者因為立功而立即獲釋,沉默者因不合作而入獄二十年;若互相揭發,則因證據確實,二者都判刑五年。由于囚徒無法信任對方,因此傾向于互相揭發,而不是同守沉默。
如果將這一理論延伸到數字身份領域,或許可以通過去中心化身份實現信息的完全對稱,從而保證雙方利益的最大化,走出信任的“囚徒困境”。
一問:什么是去中心化身份?
通過運用區塊鏈技術的不可篡改、哈希加密的特性,去中心化身份可以定義為用于證明信息來源和有效性的一組密鑰。借助共識機制,這個基于區塊鏈建立的身份能夠依賴通信和數據交換的各方建立起真實模型。這些密鑰由擁有此身份的主體直接控制,因此它們也被稱作“自我主權身份”。
我們可以把這個身份系統想象成信息的公共注冊表,為每個人或事物繪制不同的身份。每當需要某些信息的時候,我們可以用這些去中心化身份來提供帶有加密簽名的證明,由于這些證明是被身份主體進行簽名,所以具有極高的信任度和真實度。
二問:如何構建去中心化身份?
在區塊鏈世界里,去中心化身份協議主要依賴于三個重要標準的組合:去中心化標識符(DIDs)、可驗證聲明和所有人都可以使用的分類賬。
?去中心化標識符(Decentralized Identifiers,簡稱DIDs)
DIDs完全由DID主體控制,不依賴于任何集中式注冊機構、身份提供商或證書頒發機構。DIDs解析為DID文檔,這是一種描述如何使用該特定DID的簡單文檔。每個DID文檔至少包含三個組件:加密材料、身份驗證套件、服務端點。與身份驗證套件相結合的加密材料提供了一組身份驗證機制(如公鑰、匿名生物識別協議等),服務端點可以用來支持與DID主體的可信交互。
在應用過程中,DID要與特定的分布式賬本或網絡一起使用,需要在單獨的DID規范中定義DID方法,DID方法指定了一組在特定分布式賬本或網絡上如何注冊、解析、更新、撤銷DID的規則集。此設計消除了對集中式注冊機構以及密鑰管理的集中式證書頒發機構——分層PKI(公鑰基礎設施)標準模式的依賴性。
因為DIDs駐留在分布式賬本上,因此每個實體都可以作為它自己的根證書頒發機構——一個被稱為分布式公鑰基礎設施(Decentralized Public KeyInfrastructure,簡稱DPKI)的體系結構。
與此同時,還可以為在聯合或集中身份管理系統中注冊的標識符開發DID方法。所有類型的標識符系統都可以添加對DID的支持,這在集中式、聯合式和去中心化標識符的世界之間建立了互操作的橋梁。
? 可驗證聲明(Verifiable Claims)
在現有以服務為中心的體系結構中,用戶在不丟失數字身份的情況下很難改變他們的服務提供商,這導致了供應商被鎖定無法轉換、身份脆弱性凸顯以及用戶隱私的泄露。而通過可驗證聲明,則可以讓用戶在網絡上以更容易、更安全的方式來表達和交換已被第三方驗證的憑證。
可驗證聲明允許對任何有標識符的東西做出可信斷言。像DIDs一樣,聲明是標準的和可互操作的。所有者對其身份簽署可驗證的聲明,并把這個信息提供給驗證者,聲明由于附加了加密簽名,因此驗證者可以確定該信息是真實有效的。
可驗證聲明的其中一個優勢是可以對信息進行選擇性披露。這種獨特的方法保護不必要共享的數據,并且只提供給那些有興趣的請求方。
?分布式賬本技術(Distributed Ledger Technology)
分布式賬本技術的出現,為完全去中心化的身份管理提供了機會。在去中心化身份系統中,實體可以自由使用任何共享的信任根。分類賬記錄關于聲明的信息,是身份交易的基礎。
全球分布式賬本(或提供類似功能的去中心化P2P網絡)提供了一種管理信任根的方法,數據信息分布在多個節點中,它們不會像傳統的身份系統(如政府數據庫、社交網絡)那樣出現單點故障,同時也避免了單一節點權限過大。
雖然區塊鏈上的一個或兩個節點有可能會變得不活躍,但這不影響用戶的使用,而加密技術可以防止任何敏感信息的泄露。
通過消除單點故障,去中心化身份幾乎不會被黑客攻破。攻擊者將不得不逐個獲取每個人的私鑰,而不是一下子就能攻破一個中心化的數據庫,因為后者將所有用戶信息存儲在一個位置上。
三問:去中心化身份如何演化?
對于數字身份未來將往怎樣的方向進化,現在業界逐漸達成了共識。首先,身份信息不會被有意或是無意披露,對于跟身份隱私相關的信息能夠進行安全儲存。其次,所有的身份信息能夠被自己可控管理,用戶可以允許別人訪問他的個人信息,但必須知道對方是出于什么目的和什么用途來使用個人信息。第三,所有的個人信息不依賴于任何第三方平臺,都是自己可以攜帶的,并可以在不同平臺之間進行無摩擦轉換。
可以說,去中心化身份代表了未來身份管理的最佳形態。在這個技術框架下,未來我們在看病時,會形成統一的健康病例檔案,可以使用DID身份體系里簽發的處方藥單去藥店買藥。我們也可以隨身攜帶醫療檔案,當產生醫療費用報銷時,保險公司可以直接通過DID,查找所需的報銷材料。
在商業及公共服務領域,可以通過DID讓數據在平臺方、用戶、使用方之間流動起來。用戶只需通過一個身份應用程序就可證明自己的身份,輕輕滑動手指,就能夠同意政府分享他們的數據,或讓商業機構使用他們的數據,并獲得一定獎勵,這將真正改變公民與政府、用戶與平臺之間的交互關系。
如今,區塊鏈更多的還只是在虛擬世界里進行自我循環,并未與現實世界產生較多關聯。一旦區塊鏈開始對接現實生活,那么如何通過身份更好地連接兩個世界,則成為需要解決的首要問題。因為只有和身份發生關聯,區塊鏈才能真正與現實社會進行融合,實現更長遠的發展。
