轉載 | 身份體系中一個極端的存在：SSI（自主身份）

時間 2019-11-08

標籤轉載身份體系一個極端存在 ssi 自主简体版

原文原文鏈接

自主身份(SSI：self-sovereign identity)是數字身份體系中一個極端的存在。其焦點放在將控制交回用戶手中。但SSI不是解決問題的惟一方式。html

身份領域流傳有不少關於自主身份(SSI)的話題。SSI的宗旨就是將用戶置於數字身份管理和控制的中心。以用戶爲中心的數字身份不是新鮮概念，2005年 Kim Cameron 的《身份法則》一書中就提出了這一律念。法則1：身份元系統的成功取決於其使用者。git

SSI以用戶爲中心，但以用戶爲中心的不止SSI系統一家。github

理論上講，SSI很不錯。畢竟，數字身份就是用來解決你如何處理自身標識信息的——這固然應該在你本身的掌控之下。然而，有幾個問題使人懷疑SSI真的可以知足咱們對身份的需求嗎？安全

1. 自主身份是什麼？

自主身份採用區塊鏈註冊我的身份屬性。這是什麼意思呢？你的身份數據(屬性或聲明)——決定「數字化的你」或「此物是此物」的東西，被註冊到區塊鏈中的某個區塊上。該區塊鏈是個分佈式帳本(沒有中央權威控制)，後續的去中心化聲明是我的識別數據的一部分，可在用戶控制下與請求方(如銀行或政府機構等)共享。網絡

SSI的實質基於可驗證聲明。數字身份領域裏，驗證是件頗爲棘手的事；沒那麼直觀，也不是弄點「用戶友好」就能應付過去的。但Sovrin這樣的組織就是創建在經過適用於數字身份的分佈式帳本技術主幹網管理可驗證聲明的概念上。(Sovrin提供SSI骨幹網。)架構

2. 什麼是可驗證聲明？

關於我的的數據點必須是真實的，或者至少要具有能知足服務提供商要求的必定真實性，纔是有效的。由可信第三方覈實(驗證)過的聲明即被視爲可驗證的。Web標準監管者W3C就曾研究過可驗證聲明標準的問題。其研究極不看好用戶爲中心的和隱私加強的模式。他們的聲明極爲強硬：沒有以用戶爲中心的、隱私加強的可驗證聲明生態系統。app

該研究的結論包括：框架

信任是去中心化的。可驗證聲明的消費者決定哪些發佈者可信任。
用戶可共享可驗證的聲明而無需向用於存儲聲明的軟件代理透露既定接收方。

可是，這種狀況下，你須要一套去中心化的身份系統來實現去中心化的可驗證聲明嗎？兩者是不是互斥的呢？分佈式

3. 關於SSI的3個關鍵問題

1). 誰來支付？

咱們生活的世界創建在必定商業架構基礎之上。這種架構很大程度上受金錢驅動。基於出示可驗證聲明的身份框架要如何應用到服務上呢？誰來支付驗證費用？若是某家公司付費，這些數據被競爭公司共享來與之創建可信關係了怎麼辦？ide

咱們是否是又回到了當初聯合身份的那些老問題上？就像2006年時 Phillip Windley 所說的：

絕不意外，困難的部分一般都不是技術，而是管理那些過程和商業關係以確保聯盟可靠、安全，並提供適當的隱私保護。

自主系統是否會遇到聯合身份遭遇的相似商業問題？只不過，此次問題大概會出在使用付費上？

信任網絡工做組研究了上述問題的解決辦法，他們正在著述的論文《SSI如何挺過資本主義》對此提出了一些有趣的觀點。他們的分析中有個值得關注的論述：因爲缺少平臺而致使的前期融資缺少(雞生蛋蛋生雞問題)。

另外，英國某政府官員還提出：政府認證的身份文件，好比護照，真是你持有的數據嗎？

2). 弱點在哪兒？

SSI是不是難民的神奇萬靈丹也沒法肯定。Sovrin之類的自主框架採用管家模式維護信任。其中管家就是可信第三方——運營分佈式帳本中節點的組織。Sovrin目前有50多個管家機構提供人力及算力。

這種模式延伸了去中心化的概念。但管家自身會不會成爲系統中的弱點呢？網絡罪犯會不會對管家機構下手以獲取節點的控制權呢？

3). 到底有多隱私？

去中心化的隱私方面，SSI正是該系統的魅力所在。以Sovrin爲例，採用零知識證實做爲最小化數據披露的底層機制。「你滿18歲了嗎？」這種問題只披露了「是/否」。固然，提供隱私屬性的系統不止SSI一個。有不少方法能夠運用傳統身份服務達成隱私目的。其中之一就是 Sid Sidner 在2006年開發的「可變聲明」。該機制已應用在傳統身份服務中，與SSI相似，僅披露必定數據，好比「是/否」或部分屬性。

問題就出在這兒。最小披露固然很是好，但若是你想要網購一雙鞋呢？不讓賣家知道你的地址，他怎麼給你快遞？出於營銷目的，他們可能會索要你的姓名和其餘信息。你的數據就此跑出SSI，以更傳統的方式被持有了。固然，也就不在你控制之下了。

4. 身份生態系統

以前的PGP協議基於「信任網」的概念提供了安全電子郵件通訊的但願。PGP看起來可能有點過於「極客」，總以爲得有計算機科學博士學位才能用的樣子。是可用性而不是其方法論阻斷了PGP的推廣，甚至PGP的發明者 Phil Zimmerman 本身都已經再也不使用PGP了。SSI風潮裏也透着一絲PGP的極客感受。SSI圈的人努力打造和整合簡潔易用的應用，但仍能嗅到一股相似PGP的味道。或許咱們不只須要技術來實現功能，還得理解使用數字身份的初衷，瞭解真正的用例，知道此類用例的缺陷。

區塊鏈確實已經有些用例適應良好，能夠做爲技術棧的附加層，具備巨大的潛力。

加拿大政府財務委員會祕書處身份管理高級政策分析師 Tim Bouma 最近完美總結了有關SSI的爭論：

最極端的(去中心化)案例就是無服務提供商，但它極可能是集中、聯合和分散選項的組合。這沒什麼，由於有選擇才能造就健康的生態系統。

自主身份(SSI)是數字身份體系中一個極端的存在。其焦點放在將控制交回用戶手中。但SSI不是解決問題的惟一方式。至少在可預見的將來，多種技術的綜合才能適應身份生態系統的各類不一樣需求。SSI用例固然有，但它可否成爲人類在數字領域解決問題的首要方式還沒有可知。估計除非上述3個問題有了使人信服的答案，不然SSI仍然只是衆多解決方案中的一種。

Sovrin：

https://sovrin.org/

W3C關於可驗證聲明的研究：

https://www.w3.org/2017/vc/charter.html

原文連接：https://www.aqniu.com/news-views/45921.html。做者：nana 星期六, 三月 30, 2019

什麼是 Authing？

Authing 提供專業的身份認證和受權服務。
咱們爲開發者和企業提供用以保證應用程序安全所需的認證模塊，這讓開發人員無需成爲安全專家。
你能夠將任意平臺的應用接入到 Authing（不管是新開發的應用仍是老應用均可以），同時你還能夠自定義應用程序的登陸方式（如：郵箱/密碼、短信/驗證碼、掃碼登陸等）。
你能夠根據你使用的技術，來選擇咱們的 SDK 或調用相關 API 來接入你的應用。當用戶發起受權請求時，Authing 會幫助你認證他們的身份和返回必要的用戶信息到你的應用中。