光復自己——保護隱私的分散式身分
民主網絡司 多元宇宙科 黃彥霖(黃豆泥)
web3 公共性研究者與實踐者,現於多元宇宙科服務。嚮往多元宇宙(Plurality)精神,正在尋找有別於電馭極權與財閥亂鬥的第三條路。
部長室 彭筱婷
數位產業署 政策規劃組 雷雅淇
你知道你是誰,但要怎麼讓別人也知道,並且行使這個身分的「權限」呢?在實體世界,政府發放身分證,這是證明「身分」的一種方式;而在要買酒精飲料時,為了證明自己成年而必須出示身分證:透過身分證證明自己十八歲而可以買酒,這則是取得「可以買酒的權限」。
但這樣的身分證明方式,也有相應的風險。要買酒精飲料時為了證明自己成年而出示身分證,不得不連帶洩漏自己的姓名、出生日期、身分證字號、戶籍地址等其它個人資訊;這是因為身分證上有許多資訊,而且無法有效遮蔽。
若同樣的情境出現在數位世界,風險將大幅提高,因為洩漏資料將以電子形式快速流竄,更易於被有心人士蒐集再利用。因此數位身分,必須比現實世界更加謹慎。換句話說,「證明你是誰」以及「證明你有哪些權限」,都必須明確區分,且獲得有效保障,才能受到充足的信任。
本文希望討論的便是:有哪些成熟的技術可以兼顧隱私與便利性,能作為數位基礎建設,建立可信賴的「數位身分」。
-
數位世界的身分與憑證
在物理世界,「身分」(identity) 和「憑證」(credential) 通常是兩回事。我們在哪裏上班或上課,甚至是身為誰的親戚、朋友,這都是「身分」的一種呈現方式。
憑證,則代表了我們可以擁有怎樣的「權限」。例如臺灣的健保卡,一個人擁有健保卡,就代表他擁有運用全民健康保險相關醫療資源的「權限」,反之則無。以日常生活來說,書店的vip、協會組織的會員,這些也都是「憑證」,擁有憑證的人,才有權限享有特定的服務或福利。
在數位世界,如果只是瀏覽網頁、閱讀新聞等單向動作,幾乎不會讓你意識到需要「身分」與「憑證」,不過,一旦要登入到信箱寄信、到串流服務看電影等,就需要確認身分,而目前數位世界中的一大問題,是「數位身分」幾乎等於「數位憑證」。
舉例來說,一個人登入串流服務看影集,就已經確認了他擁有這個串流服務給的憑證,也就是他有權限進入這個服務。
但這也表示使用串流服務、電子郵件、跨境電商或社群網站等這麼多的數位服務,都需要在每個地方都註冊帳號,不只曠日費時,還要管理很多的密碼、增加資安風險。這時,就有像是 Google 、Facebook、Apple 等大型數位服務供應商提供單一登入 (SSO) 服務,透過這些大型數位服務供應商核發憑證,免去我們在使用不同平臺的服務時都要申請帳號的麻煩。
這種中心化服務雖然便利,卻有也有相應的風險:當這個主要使用的數位身分被註銷時,便會碰到使用這個憑證的服務無法登入的情況發生。甚至可能衍生出不少資安問題,有心人士只要刻意攻擊、追蹤某一個帳號或攻擊數位服務供應商,就有可能掌握大量個人資料。
現階段的問題在於,人類是否能攜手協作出一個通用的數位身分標準,使一個人的身分能夠在任何時間、地點、情境下,既然能簡單證明身分,又同時不被任何單一組織綁定,而保有充分的隱私和自主權?或許可以借鑑發展中的區塊鏈技術。
兼顧隱私和便利的區塊鏈技術與分散式身分
如同人類發明了門鎖這樣的「科技」,保障自己和所在的空間。門沒有鎖,人會擔心害怕:不是因為真的隨時都有強盜侵門踏戶,而是不互信的想像,讓人不安心。唯有互信,人與人才能掌握彼此的互動空間,同時替對方保留一點隱私。也因此「密碼」成為現今數位世界最基本的「門鎖」,進行身份驗證與確保憑證的使用——我沒有獲得可以進入這個帳號的權限,便看不到資訊;我不是你,所以我無法登入你的帳號。如此一來,大家對於數位世界中的其他人能有基本信任。
在資料傳輸極為便利的網路世界,包含個資的數位身分所需要的保障要求更高。因為,一旦數位身分出現漏洞,讓冒用頂替、竊取破壞惡意活動出現,小至身分詐騙,大至國家安全,社會便會出現重重危機。如同物理世界的身分與資產被政府制度、銀行擔保、社會規範等現代基礎建設所保障,數位身分 、數位資產 、數位資料(智慧財產)需要具備極高的隱私保障,才能創造便利頻繁的往來。
這也是基於密碼學原理創造出來的區塊鏈,能夠派上用場的地方。密碼模擬的是如同門鎖的「物理」關係,區塊鏈便是模擬人與人之間的互動關係,其中甚至包含「時間」——區塊鏈的紀錄包含了每次互動當下的時間戳記,讓紀錄無法被竄改而更有可信度。
2009 年全世界第一條區塊鏈比特幣 (Bitcoin) 誕生,至今 15 年來,數百條公共區塊鏈出現,讓即使信念與價值觀南轅北轍的有志之士與開發者,都能在多元的區塊鏈上打造自己的服務。
早期,有些以強化隱私為終極理念的密碼叛客(Cypherpunk),為了抵抗極權政府監控公民自由和商業平台追蹤個人資料,進而發展加密技術 (Cryptographic Techniques) 與分散式帳本技術 (Distributed Ledger Technology, DLT),讓自己的帳戶與數位資產的交易紀錄,存在於並非由特定組織管理的區塊鏈上,由此脫離中心化服務的掌控。
區塊鏈的設計,讓我們有機會建立不被單一組織掌握、任何人或單位都無法濫用且便利安全的數位身分服務。以區塊鏈的去中心化精神出發,全球資訊網協會 (World Wide Web Consortium, W3C) 在2022年發表的分散式身分識別符 (W3C DID Standard Recommendation)與可驗證憑證 (Verifiable Crendential)1,被廣泛視為下一世代數位身分的起點。
「分散式身分識別符標準」運用區塊鏈技術加密且去中心化的特性,讓數位身分的發行者與驗證者不用依賴於一個集中式、掌握在特定組織或人之下的註冊表,便可以驗證一個人或一個物件的身分。只要使用者之間基於共通的標準,彼此互相承認對方所使用的方法(method)、描述資訊與解析過程,便可以將數位身分進行流通。
歐盟的歐洲身分自主權框架(European Self Sovereign Identity Framework, eSSIF)也是潛在應用了區塊鏈科技、分散式身分(DID),且符合歐盟電子身分識別(Electronic IDentification, Authentication and trust Services, eIDAS)架構,而第二代歐盟電子身分識別(eIDAS2.0),也加入了歐盟數位身分皮夾(EU Digital Identity Wallet)的概念,整合歐盟各國公私部門的身分憑證。
身分作為一種數位公共基礎建設:臺灣的數位皮夾
數位發展部在 2023 年一月,以機關名義加入了 W3C。作為 W3C 會員,從去年開始,數位部也開始在分散式身分上進行研究與初步驗證,並提出「數位皮夾」的概念(全名為「分散式數位身分認證與授權系統」,英文為 Taiwan Digital Identity Wallet, TW DIW,以下簡稱「數位皮夾」)。「數位皮夾」是數位發展部「數位創新關鍵基礎建設計畫」的一環。「數位皮夾」吸收 PGP(Pretty Good Privacy)非對稱加密協定的信任網(Web of trust)精神、對應次世代的「分散式識別符」與「可驗證憑證資料模型」標準(W3C Decentralised Identifier, Verifiable Certificate Data Model)、《電子身分認證與信賴服務規章 2.0》(eIDAS 2.0)的歐盟數位身分錢包(EUDIW)與 web3 各式數位身分服務,如 Gitcoin Passport、Polygon ID、World ID 等,將成為國人下一世代身分連結與延伸服務的可信賴數位基礎建設。
數位皮夾的目的,是打造一個符合現代數位人權精神,用於日常數位生活的分散式身分系統,核心的兩項功能為認證(Authentication, AuthN)與授權(Authorization, AuthZ)。這個計畫不發行集中式的數位國民身分,而是藉由各界(事業、機關、團體及自然人)所發行的各式證件,來建構國人日常的事實身分(de facto identity),完成所須的基本數位身分服務,達到「個人身分自主,資料授權自決」目的。
這如同現實生活,人們可以將自然人憑證、員工證、信用卡、集點卡放進皮夾,數位生活也需要一個皮夾,用於「證明你是誰」與「讓你授權他人」等目的。個人,或是各式公私部門等單位,都可以將自己的憑證放進皮夾,這些證件可以是自然人憑證、信箱帳號、學歷證書等公務用證件,也可以是會員卡、入場券等娛樂需求的兌換券。
對於證件或身分的發證者(Issuer)而言,「數位皮夾」是一個軟體開發工具套件(Software Development Kit, SDK)與使用介面,它協助任何身分的發行商,如政府數位憑證、企業金融憑證或一般人,介接已發行的數位憑證,並自動轉換成符合分散式身分識別符(Decentralized Identifiers, DIDs)與可驗證憑證(Verifiable Credentials, VCs)標準的「卡片」,存放在使用者(Holder)的「數位皮夾」中,這個過程為認證(AuthN)。
對於使用者而言,「數位皮夾」則是一個操作介面,透過應用程式或網頁服務,讓使用者可以認證其任一身分。
在取得認證身分後,使用者可以自行決定是否開啟這些身分的授權功能,應用於外連服務,如政府簽章、企業活動或一般娛樂目的等,這個過程為授權(AuthZ)。
授權過程必須符合隱私保留(Privacy Preserving)原則,並進行分層授權處理,降低透露不必要身分資訊的風險,如應用零知識證明(Zero Knowledge Proof, ZKP)等加密演算法進行。而相關授權功能由使用者個人自主管理,使用者隨時可以取消授權服務,此模式也因此稱為「授權開關」。
使用者的授權開關背後的技術規格,應可介接任何符合互通標準的服務,如行動裝置提供的作業系統預設錢包、區塊鏈錢包服務或他國數位皮夾(digital identity wallet)等。而無論被授權者為政府機關、企業服務或個人,皆可成為驗證者(Verifier)來驗證該名使用者是否為真。
此外,如同現實生活中每個人可以不只擁有一個皮夾,在數位世界中,使用者也可以擁有多個「數位皮夾」,以區隔不同用途的身分憑證;使用者可以隨時撤銷與建立這些憑證,而不用擔心其數位足跡與身分被有心人士追蹤。
而為了有效建構「可組合、可跨境、非特許」的合作模式,上述分散式身分相關憑證,將可被儲存在公共區塊鏈等分散式儲存系統中,讓這些經過隱私強化的憑證呈現可介接狀態,也供非特許的第三方進行公證,進而促成國際駕照使用等跨境應用案例。本計畫將致力打造適合各地開發者複刻(fork)的數位皮夾,尤其是讓行動裝置服務、瀏覽器開發商與各國政府服務介接,並有效使用 SDK 與 API,讓臺灣所開發的數位皮夾可以跨境應用。
本文以如何兼顧隱私與便利為開頭,以區塊鏈世界的分散式身分作為參考案例,推論分散式身分為個人身分自主權的基石,並分享數位發展部即將開展的分散式身分計畫。當我們不再受制於大型平台或特定企業,每個人都能「光復」自己——有效掌握自身狀態,且有權自主決定使用服務,就能有餘裕產生由下而上的數位行動,並賦權(Empower)自己,進而互相協作貢獻社會。多元宇宙(Plurality)將以「光復自己」作為起點,繼續往前發展,創造人與人之間得以互信且協作的未來。
註1:可驗證憑證(Verifiable Credentials, VC)為全球資訊網協會頒布的標準建議之一,此標準提供了一種機制,讓網路上流動的憑證,如駕照、學歷證書、個人身分,可以用加密安全、尊重隱私和機器可驗證的方式運作。