雖然關於 Web3 的長期相關性爭論仍在激烈進行,但技術本身也在進展中,並找到了更多應用途徑。其中,IAM 即為目前正看到的一塊兼具潛在可能和實際發展的有趣領域。
文/Matthew Tyson‧譯/酷魯
身分識別與存取管理(Identity and access management,IAM)包含廣泛的 IT 實踐,並受到兩種力量的影響,使其重要性更加突顯:與日俱增的威脅發動者活動和不斷攀升的基礎設施複雜性。為了有效應對,我們看到用來處理這兩種問題的工具也變得愈來愈複雜。
Web3 技術具有能處理 IAM 的獨特特性。首先,Web3 建立在密碼學的基礎上,具有前所未有程度的先天隱私性。區塊鏈(Blockchain)的有效性取決於加密;鏈上的每一個資料都在一定程度上受到保護。
以下就讓我們一同檢視一下 Web3 和 IAM 世界的交匯處以及未來的可能性。
區塊鏈基礎知識
我們可以將區塊鏈應用程式(至少在理想的狀態下)視為一個通用的分散式資料儲存庫。
該資料儲存庫有兩種節點:一種會透過申請來參與網路(亦即錢包)的節點;另一個稱之為全節點(Full Node),透過協作來驗證申請以參與網路。
錢包節點向資料庫提交交易。如果協作的全節點網路判定它是有效的,那麼則該交易將成為資料儲存庫共享真理的一部分。然後錢包節點可以對交易提出申請。 最基本的申請是對既定資料的所有權。
這全都可以實現,因為錢包本質上是一個私鑰(就加密的意義上而言),並且錢包執行的每筆交易都用自己的密鑰進行簽章。因此,關鍵在於數學證明,亦即之前提出申請的行為人與現在提出申請的行為人是同一人。
錢包即身分
我們可以看到,區塊鏈錢包的概念就是一種身分。此身分可用於身分驗證。從某種意義上來說,私鑰已經被廣泛用於各方之間建立安全通訊的傳統安全之中,這一點也不神秘,也沒什麼好驚訝的。
不過,它從另一種意義上來看卻頗具革命性。
正如數位身分驗證整合平台 Auth0 Labs 所指出的:「採用區塊鏈的最重要副產品是將私鑰有機地分發給最終使用者,也就是錢包。」換言之,網際網路使用者已經透過他們的個人加密貨幣錢包大量採用了公鑰加密。
[ 推薦閱讀:Web3 新經濟三大商業模式與案例 ]
透過對他們錢包性質、用途和安全隱患的一番了解,一種新的使用者正被引進中。隨著這種新型使用者變得愈來愈普遍,授權可能會發生潛在的巨變。
簡而言之,私鑰安全性和區塊鏈錢包便利性的相互融合會是身分驗證的潛在顛覆者。我會強調潛在可能性,因為這仍然是一種推測,從技術和基礎設施的角度來看,還有很多事情需要釐清與解決。此外,值得注意的是,錢包對非技術人員來說不是很友善。因為丟失自己 ID 身分(徹底丟失並且無法復原)的可能性永遠存在。因此,上述新型使用者的出現並非必然的事情。
儘管如此,Auth0(透過 SIWE,使用以太坊登錄)和其他供應商現在已開始使用錢包進行身分驗證。其中,Auth0 採取以太坊登入(Sign-In with Ethereum,SIWE)技術。基本上,使用錢包進行鏈下身分驗證的障礙正在大幅降低。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
當你考慮到像 Coinbase 這樣受歡迎的錢包已經與嚴格的 KYC 實名認證(Know Your Customer)有所關聯時,那麼一個能與傳統身分識別良好結合在一起的單一技術安全 ID 情景就成形了。
從這個意義上來說,錢包有可能成為官方的數位身分證,類似於社會安全碼的數位等價物。最後一種猜測還有很長的路要走,因為它不僅意味著技術行動者的互動,而且意味著政府行動者的互動。
DID(去中心化 ID)介紹
這個包羅萬想的宏大想法稱之為「去中心化 ID」(Decentralized ID,DID)。 一般來說,我們正在討論將其他身分識別資料點合併成單一數字。即使是像微軟這樣的大公司,也不會忽視這個想法。
這為使用者保留匿名性和控制權提供了可能性。理論上,這是因為錢包和區塊鏈之間的關係在使用者和資料庫之間創建了一個抽象層。實際上,這更像是一種「偽匿名性」(Pseudo-anonymity),使用者仍然是坐在一台實體連網裝置前的人。換句話說,以某種形式將用戶與錢包關聯起來的能力削弱了匿名性。
使用者(錢包持有人)可以說仍在控制之中,因為資訊以分散的方式儲存,使用者可以決定是否以及何時使用或共享資料。
零知識證明
一個相關的理論依據是「零知識證明」(Zero Knowledge Proofs)加密協議。在此的理論是某些事情被證明是真實的,而其餘的情境仍然是私有的。由於公鑰加密的魔力,這再次成為可能。一旦透過某種機制將事實確定為有效並提交給區塊鏈,隨後,擁有的錢包就可以在沒有任何其他揭露的情況下提出申請。例如,我們可以在不暴露我們駕駛執照及其所包含其他資訊的情況下,確立我們駕駛機動車的權利。
因此,使用者有可能控制他們的資訊,並且以高精細度共享他們想要的內容。
這些想法已經成為主流,以至於 W3C 聯盟已經著手將其正式化為一種標準,稱為「可驗證憑證」(Verifiable Credentials,VC)。他們努力將現代去中心化 ID 編碼為包含隱私保護的標準化格式。
代幣閘控和授權
廣泛的錢包採用可能代表 IAM 改變遊戲規則的另一個原因是,以太坊之類更高階區塊鏈的性質。Web3 身分不僅能夠對傳統應用程式進行身分驗證,而且能夠參與其他也具有 IAM 含義的鏈上活動。
一個益受歡迎與關注的重要概念是「代幣閘控」(Token Gating)。從某種意義來說,代幣閘控建立在 NFT 非同質化代幣之上,但卻透過新增存取控制而更進一步。代幣閘控可以看作是一種 Web3 授權,這與我們當前的 IAM 討論相關。代幣閘控被支持者視為一種透過數位內容商品化而引入的新型經濟。
這意味著內容創造者和使用者可以參與某種建立在擁有 NFT 授予內容存取權之概念上的經濟。這種存取授權可以看作是一種基於去中心化 ID 身分驗證的新型授權,它可以找到數位內容之外的使用案例。
這個想法可以應用於資產存取上,因為我們目前使用的是像資料庫中存取控制列表之類的解決方案,進而可建立一個更通用的授權系統。結合 VC 可驗證憑證之類的標準,你將開始看到一種更加標準化與更具通用性 IAM 機制的潛力 ─ 其中一個好處就是會導致它逐漸取代現有的方法。
(本文授權非營利轉載,請註明出處:CIO Taiwan)