资讯详情

【人话版】分布式数字身份:通往WEB3世界的桥头堡

【注】:1)本系列文章为纯纯的个人思考,和任何职务/机构/商业完全无关。2)面向对网络、IT对动态感兴趣的朋友,谈论风格说话,尽量避免模糊的技术。3本必须不成熟和不完整,并将不时修改细节和句子。4)一个家庭的话,所以这个版本暂时不打开重印。

系列文章

1:摸摸人话版WEB33过河的互联网风景线

2:【人话版】分布式数字身份:通常WEB桥头堡三世界

3:【人话版】WEB3黑暗森林中的隐私游戏

故事线:明确的主体在网络中产生,数据里蕴含,保护人们的隐私,满足和保障...


从匿名到实名

过去互联网上流行一句话:不知道对面是不是狗。这几年听的少了。

在世纪初,互联网通常是匿名的。注册电子邮件、论坛,只需选择一个别人没有占用的ID或者网名,比如Bigfish007、深圳湾码农,设置密码即可登录玩耍。这是最简单的互联网身份。

非实名身份将现实与网络空间分开。一方面,网民可以享受相当放松的氛围。另一方面,当人们戴着面具时,他们的言行往往是肆意的。这方面的主题仍有很长的讨论。

左:网上没有真货。右:社交媒体没有真相。

自2014年起,网络实名制全面实施。ID绑定真实姓名、证件和手机号码。无论是网站/论坛/APP/游戏,基本都是实名。 -- 或者前台匿名后台的实名:页面上看到的是Bigfish007,后台有权限的网管对账号持有人的真实身份门儿清。

在金融、医疗、政府等行业,从一开始就要求实名开户、履行KYC(KnowYourClient)验身。

因此,在当前的互联网环境中,排除不规范的注册行为后,对面是否是狗不再是一个大问题。

PS,在页面上显示一个没有准确到门牌号的页面IP,算是常规操作,算不上实名和隐私。

二:从实名到匿名

随着互联网的多样化,人们必须重复注册无数的网络账户,然后可能会忘记账户密码或被盗号码...都很烦。因此,开放平台账号系统非常流行,在国家级APP上一点登录,多场景通行,如果丢失了账号也有地方去找回,便捷安逸。

但在极客看来,岁月并不安静。他们认为手中只有一个用户名密码,相当于把自己交给平台,人们很难完全控制平台上的一切。一般来说,大多数大型平台不会故意针对用户,但在特定情况下,可能会修改、泄露、冻结甚至删除某些账户。因此,有些人抱怨平台规则不清楚,边界不清楚,执行不透明。

极客认为,在加密网络系统中,生成私钥,基于公钥数字签名和验证算法匿名访问网络,依靠区块链共识机制和密码(细节为5000字),使自己独立控制链资产,避免大平台单点控制,从而掌握自己命运的钥匙。

私钥本体论和加密网络,让身份回到匿名的起源。

借一张流行网图。WEB三钱包,语境偏向于加密网络语境,仅供参考。

(一点吐槽:这张图拼写不是很讲究)

三:三角不可能

有个挺有意思的Zooko三角理论(非学术理论):"没有可同时实现标识"。

每个人都熟悉传统的用户名密码。反正不是分散。然后,很多人的密码是123456...老梗。本节重点关注私钥。

私钥大致长这样:0x82dcd3c98a23d5d06f9331554e14ab4044a1d... (随机生成并抹去后N位)。

既然叫私钥,当然要抄在纸上或者有私人设备,一般不会托管第三方或者平台。对于普通人来说,不可能像天书一样记住二进制格式的私钥和相应的账号地址,更不用说用键盘把字母数字一个个敲进输入框了。

借助钱包App或浏览器插件,在用户的手机或电脑上访问私钥,为加密应用程序提供一键验证体验,提高易用性。然而,在使用私钥跨设备时,考虑到安全性和分散性,目前还没有完美实现太多的产品。

图:私钥钱包和浏览器插件示意

此外,使用私钥直接控制网络资产,耦合非常刚性,这意味着私钥丢失或泄露是一件麻烦的事情。想象一下,如果钥匙丢失了,和机柜焊接的保险柜只能放弃整个机柜。如果保险箱被放置在公共场所(相应的区块链网络),任何人都可能解锁,那么从钥匙泄露到资产损失可能是几秒钟。

注:忘记与泄露私钥完全不同。如果你只是忘记了,你可以尝试通过社交网络、助记词、委员会等机制找到私钥。这有点复杂,但并不是完全没有希望。

然而,没有完全的方法来处理泄露私钥。目前,有一些算法尝试使用多个私钥或私钥割,以防止所有私钥丢失,但实现和使用过程复杂,回到易用性的旧问题。如果像成熟的账户恢复过程一样,再加上刷脸、手机号码等多因素验证的逻辑,就会影响匿名和分散的原则,极客可能暂时难以妥协。

相关课题,Vitalik提出过ERC4337提案,努力兼顾安全易用,供参考。

综上所述,基于加密算法的匿名账户逻辑在方便性和安全性方面并不完全令人满意。更不用说分散的匿名性了。

根据互联网经验,强调用户体验是一个颠扑不破的真理,否则用户会用完后放弃,不会回头(除非能让用户赚很多钱,否则会忍受~)。

四:重读身和份

在纠结了不可能的三角问题之后,我们来拆下身份这个词。

第一,,也就是说,实体本身被简化为唯一的标志。例如,在现实中,身份证号码是我们唯一的标志。如果你在网站上注册账户,其他人使用它Bigfish那你只能用007Bigfish008,不能重复。私钥通常由随机算法生成,选择合理的算法,所以私钥很有可能是世界上唯一的。这里不谈技术细节,默认全局唯一是一个很有价值的特点。

第二,,即重量,是指可识别的属性,包括基本属性、凭证、资格和信用...等等。不同的应用程序向用户索要不同的重量,有些更多,有些更少。例如,21岁以下不能买酒,虚假教育不能找工作,地址不正确不能收到快递,没有卡不能花钱,缺乏信用不能得到一些金融服务...这样,很难一一列举。

图:身 份=身份

随着数字生活的普及,人们在网络上做的事情越来越多,注册材料也越来越详细,网络身份的重量也越来越重,所以我们离不开网络身份。

个人忘记密码或者被盗号、平台之间身份不互通不互认,都导致体验糟糕寸步难行;更重要的是,网络放大器效应意味着一个人的言行举止会影响更多人,乃至影响社会和经济。于是,对网络身份的管理越来越趋于严格规范,如果技术和机制不完善,会给某些恶意身份留出空间。这些都是现实存在的痛点。

强调以上对身份的差异化对待,是基于公序良俗和合规语境,以用户知情同意为前提,而不是歧视或控制。

那么,为什么私钥身份可以匿名呢?因为在大多数公共链网络中,人们只关心账户中有多少资产,而不关心它是否是一只狗。本质上,资产是衡量重量的唯一指标。这种逻辑简单而粗糙,在货币标准环境中足够有效,显然在治理层面上太简单了。

实体身份的重与匿名账户的轻背道而驰。要互相学习,找到更合适的平衡吗?

五、分布式数字身份

基本哲学:不要太集中,也不要失控,找中间度。

顾名思义,分布式数字身份系统面向分布式网络,采用数字技术,包括密码学,集识别、认证和验证能力于一体,实现用户与多平台之间的交流和交流。

此外,该系统不仅面向人,而且以一致的模式将机构、物联网设备和数字资产连接到网络。

图:平衡之道

整个系统以用户为中心,注重实现这些基本目标:

1:。注册时,分配一个永远不会重复的标志,比如整个宇宙的通用身份证号码。你可以只注册一次,也可以根据需要注册多个身份,让你选择。然后根据身份证申请各种凭证,如数字学位证书、活动入场证书等,并与身份绑定。

2:。注重用户体验,卡包管理多身份多凭证,切换顺畅,与扫码刷卡没什么区别。在多台设备上同步也很方便。

3:。验证身份和凭证后,整个网络认识你,认识你,当然,前提是整个网络已经传播。特别是在跨境、跨行业、跨区域的环境中,互通互认只是需要的。

4:。用户独立管理身份和凭证,只需出示证明进行验证,不暴露明文,保护隐私;引入可选管理员角色,帮助检索或重置账户私钥,放心。只有在达成共识的基础上,才能对账户进行必要的控制,避免单个机构的控制。

5:.放飞想象,毕竟是新事物。

和单一平台的账号体系对比,分布式数字身份强调“分布式”,即加入网络的各方共享必要信息,各司其职,共同管理和验证用户身份;用户自主管理身份,不用反复证明我妈是我妈,办事不用跑八趟。这是一种多方平等的开放生态玩法,“生态"和"平台",显然是不同的词。

要注意的是,分布式数字身份体系并不排斥原有的KYC、权威机构颁证等设定,这是合乎现实逻辑的。比如一个人的学位证,肯定是学校颁发的,驾驶证肯定是考过才有,银行流水也得有银行签名盖章。这意味着,它并非只面向完全“虚拟”的加密网络,而是更强调将实体世界里的“信任”恰如其分的传导到数字世界里,虚实结合。

分布式数字身份相当于通往数字世界的桥头堡,或者更生动一点,像哈利波特里的9¾月台,人们纵身而入,登上去往神奇世界的列车。

六:技术上有什么问题

既然是“分布式”,就需要互通的协议规范了。目前得到广泛共识的是W3C DID和VC(可验证凭据Verifiable Credentials)协议。

DID的第一个D是“Decentralized",原意是“分散/分权"等,有翻译成“去中心化”。出于众所周知的原因,我取义更中性的“分布式”,几乎等同“Distributed ”。

惯例,不讲技术细节,大致对比下全世界网站和浏览器都支持的HTTP协议:HTTP协议核心部分简单直观,来回就GET/POST等几个基本操作。同样,DID和VC协议试图统一标识和凭据格式,定义颁发、出示、验证等一些关键操作,帮助大家打开新世界的大门。

程序员眉头一皱,心想肯定没这么简单。

如果有同学写过WEB服务器或者浏览器,会知道要实现一整套能用好用的东西,还有相当大的工作量:要实现所有HTTP指令和数据解析、长短连接、安全运行、海量服务...还有用户界面、插件、HTML、JavaScript这些相关的东西呢。

HTTP的RFC文档体量有几十万字,DID协议族也是同样规模。要读完读懂这些协议,需要了解大量前置知识,如应用密码学、JWS/JWT(JSON Web验证相关术语)、CBOR(二进制对象展现)等编解码,零知识证明、选择性披露、区块链等....

更鸡贼的是,协议会告诉你:这边建议你实现互通互认和隐私保护呢~至于具体用什么技术,你自己看着办,最好是用区块链,不用嘛,能跑通就行...还有,用户体验和普及性还是要重视哈,怎么做,当然也自己看着办...

于是,看起来在协议规范层面有了共识,但在工程上仍存在差异化。在协议大框架的基础上,工程百花齐放,意味着对接起来依旧有不少大坑小坑;在普及性方面,至少得相当一部分主流手机、智能设备、APP有待嵌入分布式数字身份基础能力,否则用户感知不到或体验不好。这些事情肯定都需要时间。

当然,行业研究分布式数字身份体系也有好几年了,相关开源项目、软硬件解决方案,以及实际场景应用,很多人都做过,有的已经成了行业事实标准。

从技术上讲,并没有什么不可逾越的门槛。作为一个码农,甚至可以大胆说一句,当需求来了,技术基本不是问题。

七:还有什么问题

深入想想,是谁需要分布式数字身份?用户只关心好不好用,并不关心是什么。对企业,平台呢?

一般来说,“身份管理”本身不会成为平台的主力商业模式(除了卖“靓号”以及提供基础服务),而是前置的重要基础入口,以及应用互通的门岗。

如果平台玩家们心态Open,开门迎客,互通起来那是极好。根本问题是:

在WEB2.0时代,有些平台的运营哲学是花大成本拉新,然后筑起一道道防火墙把用户留住,“我的地盘听我的”。让平台把最宝贵的用户资源轻易放出去,显然不是愉快的事情,即使平台被强令要求互通,也是扭扭捏捏开放一点点栅栏而已。

全面、顺滑、体验优秀的互通,目前还非常鲜见。

假定“人口红利见顶”这个逻辑成立,意味着拉新空间不大且边际收益降低。最终业务增长要回归“价值”和“体验”,给存量用户更大空间,也是给平台自己更多可能性:用户通了,数据和资金可能也随着了。如果大家认同这个趋势,从利益动机出发寻求合作共赢(听起来像口号),才有可能会出现更多场景可能性。

在商业之上,还有公信力和治理挑战。简单来说,人在数字世界里自由流动,很容易突破原有地域管辖、行业规范和法律边界,那么一个国家/行业/机构颁的证,到其他地方以及行业是否被认可?如果出现违规,导致用户权益或公共安全受损,是否有相应法规和治理方法,来保证全网通办的检测审计,并跨域协作、有效执行?

以上,就不仅是技术问题了。亟需找到有强驱动力的刚需场景,设计更完善的合作模式和治理框架,构建更周全的技术基础设施,寻求更广泛的行业共识,如此,方能迎来更大规模应用落地。

结语

只谈趋势还是笼统,细谈场景却篇幅不够。我懂,有兴趣以后聊。

理想是美好的,现实是骨感的。一地的砖肯定是要慢慢搬,总之,技术得先有足够准备度。

当技术和场景需求互相推动,相应治理法规逐步完善,拼图将更加完整,更多人将拥有新一代数字身份。

就像大话西游里那首歌:

参考资料:

网络实名制_百度百科

2020 年使用率最高的密码,它排第一_技术

https://github.com/w3c/did-core DID协议规范

https://github.com/w3c/vc-data-model VC规范协议

https://medium.com/infinitism/erc-4337-account-abstraction-without-ethereum-protocol-changes-d75c9d94dc4a ERC4337

标签: 继电器rs1a23d25

锐单商城拥有海量元器件数据手册IC替代型号,打造 电子元器件IC百科大全!

锐单商城 - 一站式电子元器件采购平台