世界需要一個願景,就是如何強化數位身份在保護個人隱私,同時實現信任的能力。這個願景就是「身分自主權(self-sovereign identity)」。
(本文轉自The Path to Self-Sovereign Identity)
為什麼我們現在需要這個願景?
各國政府和公司正在共享前所未有的訊息量,從用戶觀看習慣、購物、人們的移動位置,晚上睡榻所在,以及他們與誰往來的所有人事物之間互相關聯作用。
另外,隨著第三世界進入電腦時代,數位公民身份為第三世界居民提供更多的人權和全球經濟機會。
如果設計、實施得當,身份自主權不僅可以提供這些好處,同時還可以保護個人不受日益增長的掌權者的影響,這些人,可能並不關心每個個體的最大利益。
沒有「我」
但「身分自主權」到底是什麼?
身份是一個獨特的人類概念。這種自我意識的「我」是不可言喻的,這是生活在每種文化中的人都能理解的東西。正如René Descartes(法國哲學家,笛卡兒)所說:
「Cogito ergo sum。我思故我在。」
然而,現代社會混淆了這種身份概念。
今天,國家和企業將駕照、身分證和其他國家頒發的憑證與身份混淆。這是有問題的,因為這代表,如果一個國家撤銷其證書或憑證,或者即使他只是跨越國界,一個人可能會失去自己的身份。
「我思,但我不在。」
數位世界中的身份更加棘手。它受到同樣的中心化問題的困擾,但它同時非常分化:
身份是零碎的,不同於互聯網域。
隨著數位世界對現實世界來說變得越來越重要,它也提供了一個新的機會:
它提供了重新定義現代身份概念的可能性。
它可以讓我們將身份置於我們的控制之下,再次與不可言喻的「我」重新統一身份。
近年來,這種對身份的重新定義已經開始出現一個新的名稱:身份自主權。但是,為了理解這個術語,我們需要回顧一些身份技術的歷史
身份的演變
自互聯網出現以來,線上身份模型已經進入了四個廣泛的階段:
中心化身份(centralized identity),聯合身份( federated identity),以用戶為中心的身份(user-centric identity),自我主權身份(self-sovereign identity)。
第一階段:集中身份(centralized identity由單一機構或階級進行管理控制)
在互聯網早期,中心化機構成為數位身份的發布者和認證者。
像IANA(1988, Internet Assigned Numbers Authority,網際網路位址指派機構,管理國際網際網路中使用的IP位址、域名和許多其它參數的機構)這樣的組織確定了IP地址和ICANN(1998, Internet Corporation for Assigned Names and Numbers,美國加州非營利組織,目的為接管包括管理域名和IP地址的分配等與互聯網相關的任務)仲裁域名的有效性。
然後,從1995年開始,證書認證機構(CA,Certificate Authority)加緊協助互聯網商業網站,證明他們是他們「自稱的身份」。
其中一些組織採取了去中心化的一小步,並創建了階級結構。根本控制者可以通過其他組織來標識他們各自的角色。
然而,根源仍然具有核心力量,它們只是在它們之下創造新的,不那麼強大的中心化結構。
不幸的是,對網絡世界的中心化機構授予數位身份控制權的問題,也是由物理世界的國家當局造成的:
用戶被鎖定在可能否認其身份甚至確認虛假身份的單一機構。中心化天生賦予中央實體權力,而不是給用戶。
隨著互聯網的發展,越來越多的權力在階級結構中積累,另外一個問題就暴露出來了:
身份越來越孤立。
它們隨著網站的增加而倍增,迫使用戶在數十個不同的網站上玩弄數十個身份 ,而對其中任何一個都沒有控制權。
在很大程度上,今天互聯網上的身份仍然是中心化的,或者頂多是分階級的。數位身份由CA、域名註冊商和個人網站擁有,然後隨時租給用戶或撤銷。
然而,在過去的二十年中,將身份歸還給人們的呼籲越來越高,以便他們能夠控制自己。
未來的伏筆
PGP(1991, Pretty Good Privacy,套用於訊息加密、驗證的應用程式)提出了可能掌握身分自主權的第一個暗示。
它引入了「信任網絡」,它通過允許同行充當公鑰的介紹者和驗證者來建立對數位身份的信任。任何人都可以成為PGP模型中的驗證者。
其結果是去中心化信任管理的一個強而有力的例子,但它著重於電子郵件地址,這意味著它仍然依賴於中心化階級結構。由於各種原因,PGP從未被廣泛採用。
其他早期的想法出現在Carl Ellison的一篇論文「建立沒有認證機構的身份認證」中。
該論文研究如何建立數位身份。他認為像PGP這樣的認證機構和對等系統(P2P,peer-to-peer,點對點系統)這兩個權威機構是定義數位身份的選項。
然後,他決定通過在安全管道上交換共享秘密來驗證線上身份。這允許用戶在不依賴管理權限的情況下控制自己的身份。
Ellison也是SPKI / SDSI計畫的核心。此計畫目標是建立一個更簡單的身份證書公共基礎設施,以取代複雜的X.509系統。
雖然中心化機構被認為是一種選擇,但它們並不是唯一的選擇。
這只是一個開始,但要真正把自主權置於前線,還需要在21世紀進行更具革命性的身份重新設想。
第二階段:聯合身份( Federated Identity由多個聯邦機構進行管理控制)
數位身份的下一個重大進步發生在世紀交替之時,當時各種商業組織已經超越階級,以新的方式將網路上的身份去除。
微軟的Passport(1999)計劃是第一個。它設想了聯合身份,它允許用戶在多個網站上使用相同的身份。但是,它將微軟置於聯邦的中心,使得它幾乎與傳統機構一樣中心化。
作為回應,微軟公司組織了自由聯盟(2001)。他們抵制中心化權威的想法,而是建立了一個「真正的」聯邦。
但結果卻是寡頭政治,中央集權的力量現在分散在幾個強大的實體之中。
聯邦改進了巴爾幹化問題(balkanization,分割成小實體):
用戶可以在系統下從一個地點到另一個地點漫遊。但是,每個單獨的網站仍然是一個權威。
第三階段:以用戶為中心的身份(User-Centric Identity, 跨多個權限的個人或管理控制,無需聯合)
增強型社交網絡(2000,ASN, Augmented Social Network)為建立下一代互聯網奠定了新型數位身份的基礎。在一篇內容廣泛的白皮書中,他們建議在互聯網的架構中建立「持久的線上身份」。
從身分自主權的角度來看,他們最重要的進步是「假設每個人都有權控制自己在網路上的身份。」
ASN小組認為Passport和自由聯盟無法實現這些目標,因為「基於商業的措施」過於強調訊息的私有化以及用戶作為消費者的模型。
這些ASN的想法,將成為許多隨之而來後繼者的基礎。
身份公民(2001年至今,IC, Identity Commons 支持網路用戶為中心的組織)開始鞏固數位身份的新工作,重點放在去中心化上。
他們最重要的貢獻可能是與Identity Gang(另一支持網路用戶為中心的組織)聯合創建的互聯網身份研討會(2005-Present, Internet Identity Workshop)。
在過去的十年中,IIW在一系列半年一度的會議上推廣了身份去中心化的理念。
IIW社群專注於一個新術語,一個反駁以伺服器為中心中心化機構的術語:
以用戶為中心的身份。
此術語暗示用戶處於身份識別過程中。該主題的初步討論集中於創造更好的用戶體驗,強調需要把用戶尋求線上身份這件事列為第一優先。
然而,以用戶為中心的身份的定義很快擴展到包括希望用戶對他的身份有更多的控制,而且信任被分散。
IIW的工作是去支持許多創立數位身份的新方法,包括OpenID(2005),OpenID 2.0(2006),OpenID Connect(2014),OAuth(2010)和FIDO(2013)。
如他們所實施的,以用戶為中心的方法傾向於關注兩個要素:用戶同意和互操通性。通過採用它們,用戶可以決定將一個機構提供的身份分享給另一個機構,從而將他或她的數位自我「去巴爾幹化(debalkanize,去分散化)」。
以用戶為中心的身份社群有更雄心勃勃的願景,他們打算讓用戶完全控制自己的數位身份。
不幸的是,強大的機構了共同決定了他們的努力結果,使他們無法完全實現自己的目標。就像自由聯盟一樣,今天以用戶為中心的身份最終歸屬於註冊它們的實體。
OpenID提供了一個例子。用戶理論上可以註冊他自己的OpenID,然後他可以自主使用。
但是,這需要一些技術知識,所以偶然的互聯網用戶更可能使用來自一個公共網站的OpenID作為另一個公共網站的登錄。
如果用戶選擇了一個值得信賴的網站,他可以獲得許多身份自主權的優勢,
但這個可能隨時被註冊實體,例如Facebook帶走!
Facebook Connect(2008)在OpenID之後幾年出現,充分利用了過去的經驗教訓,他們主要以更好的用戶界面而獲得數倍於過去的成功。
不幸的是,Facebook Connect進一步偏離了以用戶為中心的用戶控制理念。
首先,這是Facebook,一般人沒有選擇供應商的權力。
更糟糕的是,Facebook的帳戶被任意關閉,一如他們最近的真實姓名的爭議。
因此,使用「以用戶為中心」的Facebook Connect身份訪問其他網站的用戶可能比OpenID用戶更容易在許多地方一次失去Facebook的身份。
這是中心化機構再現。更糟的是,這就像是國家控制的身份,而且Facebook是未經選舉的「流氓」狀態
換句話說,以用戶為中心是不夠的。
(相關文章:海盜灣創辦人:我們已經中心化所有資料,並全部交給馬克.祖克伯)
第四階段:身份自主權(Self-Sovereign Identity, 對任何數量的權力進行個人控制)
以用戶為中心的設計通過中心化控制,將中心化身份轉化為可互通的聯合身份,同時也某種程度上尊重用戶對如何共享身份(以及與誰共享)同意權。
這是向真正的用戶控制身份邁出的重要一步,但僅僅是一步。下一步需要用戶自主權。
這是身分自主權的核心,這個術語在2010年開始越來越常被使用。身份自主權要求用戶成為自己身份的統治者,而不僅是身份認同過程的中心。
2012年2月,當開發商Moxie Marlinspike撰寫關於「主權來源管理機構(Sovereign Source Authority)」時,首次提到身份自主權。
他說:
個人「對『身份』有確定的權利」,但國家註冊破壞了這一主權。一些想法正在浮現,所以毫不奇怪。
幾乎同時,在2012年3月,Patrick Deegan開始開發Open Mustard Seed,這是一個開源代碼框架,可讓用戶在去中心化系統中控制其數位身份和數據。
這是幾個同時出現的「個人雲」措施之一。自那以來,認同身份自主權的意識激增。 Marlinspike已經發表了關於這個詞如何演變的部落格。
作為一名開發人員,他展示了一種解決身份自主權的方法,作為數學策略,其中使用密碼學來保護用戶的自主權和控制權。
但是,這不是唯一的模式。尊重這個網絡而非將身份自主權作為法律政策來處理,他們定義網絡成員同意遵循的合約規則和原則。
Windhover Principles(一種原則,每個個體都該有權控制自己的數據及數位身分自主權),對數位身份、信任、數據以及身份系統提供了一些關於自2012年以來身份自主權快速散播的更多觀點。
去年,身份自主權認同也進入了國際政策領域。這主要是受困於歐洲的難民危機所驅使,這導致許多人由於從發出身分證書的國家逃離而缺乏公認身份。
然而,這是一個長期存在的國際問題,因為外國工人由於缺乏國家頒發的身分證書而經常被他們工作的國家濫用。
如果身份自主權幾年前就變得很相關,鑑於目前的國際危機,其重要性已經暴漲。
現在是向身分自主權邁進的時候了。
(在下集文章中,將會詳細介紹何謂身份自主權,而同時,區塊鏈已經成為在身份領域十分具潛力的解決方案。)
《BlockTempo動區動趨》LINE官方號開通囉~立即加入獲得第一手區塊鏈、加密貨幣新聞報導!
