Sovrin 白皮書:第二部分
使用區塊鏈技術,我們最終能夠解決這個問題
一個公共的區塊鏈是一個去中心化的 root of trust,它不屬於任何人,但是任何人都可以使用
區塊鏈技術從頭改變了中心化的 root of trust 模型。它使用一種 共識演算法 在一個去中心化的網路中的不同的機器上執行並且被不同的實體(entities)來複制,而這些並不依賴於 CAs,聯盟或者政府來作為一個加密的 root of trust。比特幣網路通過執行 8 年多而沒有出過問題證實了這個模型。
區塊鏈將對於人類的新人轉化為對於數學計算的信任
不管他們特殊的設計,所有的區塊鏈都是在展示一種加密的三重運算:
- 區塊鏈中的每筆交易(transaction)都被交易的發起者進行了數字簽名(digitally signed)
- 每一筆交易 - 單獨的或是被打包在塊中的 - 都和前一筆交易通過一個數字雜湊值 digital hash 鏈在一起(chained)
這麼做的結果便是生成了一個包含有不可篡改記錄的加密賬本,這讓修改之前的交易或者惡意控制未來的交易變得非常困難,甚至基本是不可能的。
所以區塊鏈是一個理想的作為一個去中心化的自我服務的公鑰註冊的服務
因為區塊鏈中儲存的每筆交易都有一個需要私鑰的數字簽名,這也是一個很明顯的選擇使用區塊鏈本身來儲存對應的公鑰 - 或者任何其他的加密金鑰,這些金鑰都是可以被密所有者用來證明他們的所有權的。這個是從中心化的 PKI 轉移到 去中心化的 PKI(
事實上,使用區塊鏈技術,每個公鑰現在都可以擁有一個自己的地址
這個地址被稱為去中心化的身份標識(Decentralized identifier, DID) - 來自於 W3C 的另外一個標準
DIDs 為個人和組織提供了一中標準的方式來建立永久的、全球唯一的、加密過的可驗證身份資訊,這個身份資訊是完全由身份資訊的所有者所掌控的。不同於域名、IP 地址或者電話號碼,一個 DID 並不是從任何的服務供應商那裡租用來的,並且沒有人能夠將它從擁有或者管控著相關私鑰的人那裡帶走。
DIDs 是第一個無需註冊機構的全球唯一的可驗證身份資訊
一個 DID 是儲存在區塊鏈上的,並且還帶有一個 DID 文件
因為 DID 是一個公開的標準,任何的區塊鏈都可以建立一個 DID 方法 來定義 DIDs 在該區塊鏈上是如何被註冊(寫入)和處理(讀取)的。並且由於對 DID 的控制是完全要使用加密技術的 - 需要在註冊這個 DID 的區塊鏈中對交易進行數字簽名 - 註冊 DID 不需要任何的中心化的機構組織,也不需要任何的中心化的機構組織來追蹤和管理 DIDs。
DIDs 使真正的自我主權的身份資訊(self-sovereign identity)成為可能,這對於任何的個人、組織或者事物都是便攜的數字身份資訊,並且永遠不會被消除
DIDs 對於數字身份是一次巨大的變化。這在歷史中是第一次,一個身份資訊的所有者不再需要依賴於一個外部的提供商來獲得一個在網際網路上可以查詢和使用的永久且唯一的身份資訊。並且基於正確的區塊鏈經濟,DIDs 可以很便宜,所以人們可以生成他們需要數量的 DIDs 來保護他們的隱私。最後也是最重要的一點,每一個能夠訪問網際網路的個人和組織都能夠有一種方式來證明他們對於某個公鑰的所有權,這讓他們的 claims 能夠被驗證成為了可能。
通過一個 DIDs 的公共的區塊鏈,任何人都可以頒發一個經過數字簽名的憑證,並且任何其他的人都可以驗證它
最終我們能夠使用跟離線模式相同的流程來線上進行身份資訊的驗證
因為每個 DID 都有一個相關聯的公鑰私鑰對(public-private key pair),每一個擁有 DID 的人應該都能夠數字化地頒發可驗證的 claims 和其他的文件併為其提供簽名。作為擁有頒發者的 DID 的驗證者(通常這個 DID 會包含在憑證中),它能夠很容易地在區塊鏈中查詢頒發者的公鑰並確認 claims 上的簽名。這個過程太直接了,它應該成為使用數字憑證的軟體的一個預設的行為。
數字憑證的頒發者和驗證者應該不需要再形成身份資訊聯盟(identity federation)了
DID 的特殊性確保了無論在哪裡進行頒發和確認都可以在一個公共的區塊鏈上查詢必要的公鑰,不管他們是否屬於相同的組織或者身份資訊聯盟(identity federation)。這個從沒有連線的每個帶有它自己的 PKI 的 “身份資訊孤島” 到一個基於去中心化 PKI (decentralized PKI, DPKI)的全球身份資訊網路的演進 - 同之前發生的從 “網路的孤島” (本地區域網路)到一個全球的網際網路的演進是相同的。
最終,我們可以從依賴於中心化的 CAs 轉移到一個更有彈性的、去中心化的 web of trust 模型。