分布式数字身份与自我主权身份

xiejin77

再说一个我之前一直研究的领域——数字化身份。来聊聊一个既前沿又实用的话题——自我主权身份（SSI），以及它如何为我们的数字生活带来革命性的变化。在这个数字化的时代，我们每个人的个人信息就像是一把双刃剑，既方便了我们的生活，也带来了隐私泄露的风险。那么，有没有什么办法能让我们既享受数字生活的便利，又能牢牢掌握自己的隐私呢？答案就是SSI。
5 ~( p+ S0 L; ?- b6 N9 U
; Z+ Q) C3 r  L; c3 I& wSSI的核心思想其实很简单：让用户对自己的身份数据拥有完全的控制权。这意味着，你可以决定何时、以何种方式、向谁展示你的身份信息，而不是被动地接受平台的隐私政策。这种自主权的实现，依赖于一个关键的技术——分布式身份标识符（DID）。DID允许我们在去中心化的网络中唯一标识和定位实体，就像是你的数字签名，无论走到哪里，都能证明“你就是你”。
" `3 ~7 @( x1 _1 d' h) X
现在，让我们深入了解一个典型的SSI解决方案——TCID系统。TCID系统由荷兰代尔夫特理工大学与荷兰政府合作开发，它不仅遵循SSI的核心原则，还提供了一个模块化的参考架构，支持不同安全等级的SSI应用，甚至可以用在数字护照这样的高安全要求场景中。

8 [: S% y6 n4 Z5 X+ vTCID系统的工作原理可以概括为以下几个关键点：

模块化设计：TCID系统由多个组件协同工作，满足SSI的七大功能需求，包括端到端通信、消息真实性、消息完整性、网络匿名性、同步目录、自主身份披露和问责制。这些功能共同确保你的身份信息既安全又私密。

通信基质与网络覆盖层：TCID的通信基质提供了端到端加密通信，而网络覆盖层则利用类似Tor的匿名化技术，实现网络级别的身份隐藏。这样，你的通信不仅安全，而且匿名，就像穿上了一件隐身衣。
( x" B. }0 t* y  `5 S
- z! ]% H' G4 W8 {SSI组件：这是管理和验证数字身份凭证的核心。你可以用它生成密钥对，创建数字身份，并请求认证方对身份信息进行签名。在身份验证时，你可以自主选择披露哪些凭证，而验证方则根据签名判断凭证的真实性。
% `4 R9 b* i9 Q) n0 @1 Z" E/ H
6 H' j* ^. e6 Q; C4 Q关键技术：TCID综合运用了多种密码学和分布式技术，构建了一个安全可信的SSI系统。它利用公钥密码学原理，为每个主体生成独立的公私钥对，建立起一套去中心化的信任体系。

TCID与DID虽然都属于分布式身份领域，但它们在设计理念和技术实现上还是有一些重要区别的。TCID更侧重于网络层面的隐私保护，而DID则关注应用层的隐私。此外，TCID采用账户模型，而DID则以DID为中心，每个DID实质上就是一个独立的身份。
8 n6 o2 ?$ R1 A! U" t
, ~' n' |8 Z# D, h- R/ W2 W0 [尽管有差异，但TCID和DID可以在分布式身份领域形成互补，发挥各自的优势。TCID在网络层面提供了高度的匿名性和隐私保护，而DID则提供了灵活的身份模型和广泛的应用场景。这种结合，有望实现分布式身份的网络效应，加速分布式身份的普及和发展。
" z3 p- c& f8 R/ c" J, p
; p1 j+ {9 ]1 B* Q, ~安全性与隐私保护是SSI系统的生命线。TCID从多方面强化了系统的安全性和隐私性，包括去中心化的架构、端到端加密通信、多层匿名化和同步混淆技术，以及基于零知识证明等隐私保护技术。这些设计使得TCID能更好地应对现实世界的威胁。
6 }) ]. Q; M/ @8 z% N3 ?
+ o+ [1 J1 ^2 `1 K当然，要真正实现TCID和DID的愿景，仍需要在技术、标准、法律、生态等方面持续发力，攻克诸多挑战。但可以预见的是，分布式身份管理必将成为数字经济时代的重要基础设施，让每个人都拥有安全、自主、可信的数字身份，成为数字世界的完整公民。总之，分布式身份技术为数字时代的隐私保护和身份安全带来了新的希望。
! {% A6 |$ a8 J+ J
原文链接

mezhan

The MATRIX is coming.

pcb

"TCID 采用了模块化的设计理念,由多个组件协同工作,共同满足 SSI 的七大功能需求:
3 {9 l  J  K4 [  ^) B  \    端到端通信:主体间能直接通信,无需可信第三方
  h( \, P2 P  |9 y2 n0 T% v    消息真实性:通过数字签名防止假冒
    消息完整性:确保消息未被篡改
    网络匿名性:多层匿名化隐藏通信方身份
    同步目录:去中心化同步隐藏服务目录信息
    自主身份披露:主体可选择性披露经认证的身份信息
    问责制:必要时可追溯主体真实身份"
' d. s( [5 u: X- K' z
- B; I% d0 n3 R  t! u+ |这里
. Y: {2 ?! X% U3 k! {) ]“网络匿名性:多层匿名化隐藏通信方身份”
( Y; m/ k% K" b6 M0 i; X和
“问责制:必要时可追溯主体真实身份"
1 v7 H6 t  ?0 H/ s8 h- }看上去自相矛盾呀

xiejin77

pcb 发表于 2024-12-13 00:45
"TCID 采用了模块化的设计理念,由多个组件协同工作,共同满足 SSI 的七大功能需求:
4 d9 I$ P& j8 a9 z& f3 Y  D    端到端通信:主体间能 ...

! Q6 q5 t; b+ n+ D8 w4 C嘿嘿，其实这个思路和e-cny的所谓匿名化思路如出一辙。能保证网络层的匿名，但是在关键的身份密钥环节只有中心化的机构能够确认溯源。我的理解是，可以把通信层的匿名和应用层的签名拆看看，就像你使用tor的网络进行加密资产交易一样。交易的加密数据报文是通信报文的paylord层，通信匿名，但是交易用的身份不匿名。
2 L9 \5 ~* o( [1 n. h. t
当然，e-cny的实现比这个复杂多了。而且国密标准中的sm9也就是通常所说的IBC密码体系就是为了类似这样的场景安排的。这篇论文阐述的SSI，我后来查过一些资料，感觉并没有被荷兰政府真正使用，更像是一个Demo。但是这个思路一定是未来数字化身份的基础思路，能分能合的中心化架构，匿名化的分布式网络体系。

xiejin77

xiejin77 发表于 2024-12-13 09:42
5 y2 e$ J4 X  R$ q$ U嘿嘿，其实这个思路和e-cny的所谓匿名化思路如出一辙。能保证网络层的匿名，但是在关键的身份密钥环节只 ...

' e& ~6 ^& Y# ~( z7 R这个话题上，ecny的我不能多说。最多只能把以前研究的一些DID相关的情况讲讲，各位老师要是有兴趣的哈，可以留言点菜