此为历史版本和 IPFS 入口查阅区,回到作品页
豆泥
IPFS 指纹 这是什么

作品指纹

分散式身分會被資本市場的鐵拳制裁嗎?

豆泥
·
在以人為本的數位身分領域,這兩週業界的煙硝味頗爲濃厚,標準制定組織(SDO)的各方專家隔空在各自的部落格上駁火兼喊話,討論數位身分的新興標準到底還有沒有譜。但凡新興科技與民主治理,向來沒有標準答案,希望藉由這幾篇橫跨不同組織、不同關係人、不同意見路線的文章,能讓我們自行摸索出屬於自己的 Best Practice。

(本文作為案例分析教案,首次公開於區塊鏈大學聯盟分散式ID讀書會10月30日場)

在以人為本的數位身分領域,這兩週業界的煙硝味頗爲濃厚,標準制定組織(SDO)的各方專家隔空在各自的部落格上駁火兼喊話,討論數位身分的新興標準到底還有沒有譜。由於標準制定者往往是經驗老到,文章寫得是雅俗共賞,作為新興科技標準教案的分析特別適合,因此稍微整理的各方立場。

核心議題有二,分別是「價值導向的技術,有無可能受市場青睞」與「分散式的技術,是否仍有網絡效應的紅利」?這兩題都很困難,在以人為本的科技發展進程中,究竟應該是市場說了算,還是要沉得住氣,等待價值驅動的資金持續挹注,直到開花結果。雖然論戰主角們沒有明言,但我認為這就是右傾路線的「科技—資本複合體」與中間路線的「密碼龐克—價值政策複合體」之爭,詳情可參考此前寫過的《數位時代的意識形態光譜》。

本文以 Trinsic 共同創辦人 Riley Hughes、TBD(為 Block 或 Square子公司)開放標準總監兼全球資訊網協會(W3C)分散式識別符工作組共同主席 Gabe Cohen,還有OpenID Foundation 理事長崎村夏彦(Nat Sakimura)之言論為重點進行摘要。這些人都是分散式身分、可驗證憑證乃至於數位皮夾(Digital Identity Wallet)的核心貢獻者,惟立場不盡相同。

話說這也不是這個圈子第一次進行大規模論戰。每隔數月這個圈子就會出現高品質駁火,從科技大廠與開放標準的論戰(主要是在W3C分散式識別符標準頒布前)、傳統標準制定組織與Web3新興標準組織的論戰(主要是可驗證憑證(VC)與靈魂綁定代幣(SBT)之爭),到標準制定組織之間的論戰(如網際網路工程任務組(IETF)與全球資訊網協會(W3C)爭奪關於可驗證憑證的定義權),一路顛頗下來,許多技術倒也是漸漸成熟了。這幾年間關於數位皮夾的相關開放標準也接連頒布,甚至成為許多主權國家的重點法律與科技政策,特別是歐盟。


故事從今年4月矽谷山景城的第38屆網路身分工作坊(IIW38)開始講起,我剛好人也在現場。IIW 是一個不由特定組織主導的非會議(Unconference),為期三天的活動不會有特定的議程,更不會有明確要表決通過的標準。這剛好創造了相關舒適的空隙,讓不同重要組織、重要企業、乃至於各國政府人士,以個人身分參與其中。也因其開放性與自由度,各方人士之間放下歧見,好好進行討論。也因此 IIW 成為了國際公認的,分散式身分(DID)、可驗證憑證(VC)、數位身分自主權(SSI)與數位皮夾(DIW)的發源地。

(以上四個名詞或許會讓你看得眼花撩亂,但無需擔心,這四個名詞基本上是一體四面的概念,SSI 是價值主張、DID 與 VC 是技術標準、而數位皮夾是應用服務,我自己最近喜歡統稱為「以人為本的數位身分」,不過這樣又出現了第五個專有名詞...)

Riley Hughes 作為該領域資深參與者,於今年四月的工作坊逆風發表了一個講座,名為「SSI 沒有成功,Trinsic 正在轉換題目」。這個講題讓觀眾塞滿了會場,搞得晚來的我只能坐在地上,最後這個題目獲得了滿堂彩。Riley 在半年後將此題寫成了文章,刊在自己的部落格上,點燃了戰火。Riley 分析了作為 VC 與數位皮夾的先鋒新創企業,他們如何慘遭滑鐵盧,他認為市場的失敗就是殘酷的現實,沒什麼好說的,只能摸著鼻子修改題目,並持續預測市場。


為什麼可驗證憑證沒有被廣泛採用,以及為什麼 Trinsic 調整了方向

by Riley Hughes

Riley Hughes 部落格

文章標題是「為什麼可驗證憑證沒有被廣泛採用,以及為什麼 Trinsic 調整了方向(Why Verifiable Credentials Aren’t Widely Adopted & Why Trinsic Pivoted)。

Riley 於 2019 年創辦 Trinsic,是一個致力於讓 SSI 概念更普及,更好用的新創企業,當時的主要目標是為了改善許可制區塊鏈 Sovrin Network(以 Hyperledger Indy 為基礎的數位身分專用區塊鏈)與其相關基金會 Sorvin Foundation 的應用服務。當時他認爲可驗證憑證(VC)大有可為,世界上每個人都需要它,來保護自己的數位身分。

也確實 Trinsic 替客戶發行了非常多張 VC,但是 Trinsic 並沒有獲得風險投資(縮寫也是 VC)的青睞。Riley 説反而是使用封閉標準與意圖建立壟斷地位的數位身分服務商獲得了大量投資,他的結論是,SSI 與其產品並不被市場青睞,原因在於它不是一個好產品。

「可驗證憑證」難以成為好產品的主要原因有三個。

第一,不同發行者所頒發的VC,可以讓不同的驗證者來驗,這個概念稱為「可互通性」。但即使到了現在,可互通性的技術難題已漸漸被克服,實際上就是沒有驗證者來「互通」一下,比如說菸酒商還是不會用數位駕照來證明使用者成年。更大的問題是,標準與創新彼此甚至打架,過早的產業標準化,讓好產品難產;反過來說,夠好的產品若無標準化,便不會有更多人來使用。標準化與創新彼此之間互相扞格,此題無解。

第二,數位皮夾的使用者體驗(UX)從來沒好過。Riley 舉的案例是「以皮夾登入」的按鈕將是一個大災難,因為太多皮夾、太多憑證了,企業與消費者不會買單。Riley 說他的潛在客戶,往往選擇 OAuth 作為登入手段(譬如以 Google 登入)。我們等等會提到崎村的看法,OpenID Foundation 過去基於 OAuth 發表了 OpenID Connect 標準,解決使用者數位身分議題,如今也積極參與 SSI 宇宙的各式標準制定工作。

第三,同第一個問題,Trinsic 的客戶很多,但彼此的憑證與服務不會彼此交流應用,這是不會產生網絡效應的。白話來說便是「目的外使用的數位身分並不存在」,在數位世界中,目前還是不太有機會透過數位駕照來證明成年。

最後 Riley 認為未來仍是有所希望,但仍然取決於政府持續資助數位基礎建設開發,以及技術成熟的時代到來。在碎片化、難以互通,以及非開放的數位身分解決方案持續主導市場走向的殘酷現實中,Riley 仍在反省「以人為本的數位身分」堅守原則,但他的公司就修改前進方向。

這是 Riley 的故事。文章發表於 2024 年 10 月 16 日。

這篇文章結束後沒過幾天,Sorvin 區塊鏈宣布停止營運,這也代表了一個特許制區塊鏈的滅亡,相關資料何去何從?我們該如何原則開放區塊鏈與特許區塊鏈,這又是另一個大題目,暫且按下不表。


SSI 之死被誇誇其談:反駁這則早到的悼詞

by Gabe Cohen

Gabe Cohen 的部落格

就在 Riley 文章發表的同一天,全球資訊網協會(W3C)分散式識別符(DID)工作組共同主席 Gabe Cohen 也發表了一篇文章作為回應。W3C 的 DID 工作組與 VC 工作組相生相息,兩者皆於 2022 年發布了最新標準,作為全新一代的數位身分解決方案。不過由於技術創新發展快速,此時 W3C VC 工作組正在提交最新的 2.0 標準,進入最後投票程序,用以取代 2022 年發布的 1.1 版本。這正是 Riley 提到的「可互通標準 vs. 創新技術」之爭的具體而微。

Gabe 的文章標題名為「SSI 之死被誇誇其談:反駁這則早到的悼詞」(The Greatly Exaggerated Demise of SSI: A Rebuttal to Premature Eulogies),Gabe 認為願意為「以人為本的數位身分」打拼的同行夥伴們,都更應該具備勇氣、耐心和長期視角,因為我們都只是長江後浪推前浪裡頭的一股前浪而已。

Gabe 認為「看不見的手並非聖旨」,自由市場並非萬靈丹,歷史上太多科技產品並非效率、消費、體驗至上,而且政府或標準制定組織具有引導「公共利益」的治理力量。(身為標準治理組織內的主席,這番話非常符合 Gabe 的身分認同)。

此外 Gabe 也認為,「創業家轉換公司方向,不代表這就是成功的預言」,我們做不出來,不代表做不出來的它沒用,這中間跳太快。Gabe 認為 SSI 領域的各路好漢仍正在等待數位身分的「串流時刻」,並且不認為 Trinsic 的 Pivoting 是煤礦坑中的金絲雀。

接著 Gabe 搬出了網際網路、GPS、時區標準化等案例,指出分散式技術領域中,政府的力量比想像中的大。他認為不能只是把政府的介入僅視為「一絲希望」(silver lining,穿雲之光),這就如同把太陽視為有用的燈泡一樣(用詞實在非常典雅)。Gabe 認為要擁抱混亂與模糊,共識是在集體治理的努力下達成的。

接著 Gabe 也提出「唯利是圖」的觀點之外,還有許多重要的概念,或許也可以成為一門好生意,比如對抗資料外洩、監控資本主義、侵犯隱私的政府等,這些新興數位人權觀念,只會讓資安防禦更佳重要,這樣的市場進程,還需要時間熟成。

最後 Gabe 喊話,他認爲以人為本的數位身分是一場無限賽局,若追逐於眼前的財務報表將無法得到最後的聖杯。他說:「最引人注目的技術變革來自於那些在道路變得艱難時,依然堅持不懈的人。未來的數位身分——一個不僅由政府或科技壟斷企業所控制的身分體系——正寄望於我們的努力。」

看到這裡,是否有一絲絲聞到「科技—資本複合體」與「密碼龐克—價值政策複合體」路線之爭所產生的煙硝味呢?


VC未來會消失嗎?

by 崎村夏彦

看完了正反意見,該是來到了辯證的最後「合」階段,OpenID Foundation 理事長崎村夏彦於 11 月 2 日發表的部落格文章足堪此目的(hint:標準制定者都有自己的部落格)。

崎村夏彦的部落格

崎村的文章為「VC未來會消失嗎?」(検証可能資格情報に未来は無いのか)。崎村認為他的觀點與 Riley 在文章引述之 Autho 首席架構師、微軟 Azure AD 總專案經理 Vittorio Bertocci 的意見一致(Vittorio 於 2024 年因癌症逝世,數位身分界痛失傳教士),原文引述如下:

「當以使用者為中心的身分識別計畫在實際產品中無法有效落地時,身分產業雖然引入了一些重要的創新(像是claims的應用),但整體上卻拒絕採用了我所珍視的許多核心理念,這讓我內心產生了某種裂痕。我開始對純粹的原則性觀點感到失望,轉而採取一種更嚴謹的『任務完成』和『使用者導向』的立場。」

—— Vittorio Bertocci

崎村反駁並解釋了 Riley 在文章中的疏漏之處,他說無論是上述業者採用的專用標準,還是業者使用 OAuth 而非以 Wallet 登入,其實背後都使用了 OpenID 基金會所頒布的 OpenID Connect 標準(OIDC),足見目前 OIDC 是更實用且優秀的技術。

不過這代表 VC 沒救了嗎?崎村並不這麼認為。他認為 VC 比起 OIDC,就彷彿要在鐵軌上打造一輛水陸兩用的汽車。從過去推動 OIDC 的經驗來看,崎村認為簡化技術複雜度、打造出足夠好用的營運模式,該標準就會慢慢勝出。

崎村認為足夠好的 VC 是「若發行者下線,使用者還是可以使用」、「即使手機沒連上網絡,還是可以用」、「使用者不應該困擾要使用哪個數位皮夾」、「若公共資金補助消失了,商業模式要是『發行者』得以從『驗證者』得到收益分潤」,只要專注解決這幾個核心問題,或許未來便不會很遙遠。最後崎村仍然認為要盡力簡化目前過於複雜的語法,包含自家 OpenID 相關的標準。


以上關於「以人為本的數位身分」近期論戰雖然沒有答案,但是我個人受益良多,因此將此題材作為核心教案,放入以大學生、研究生為對象的分散式ID讀書會供同學們討論。

於中央機關服務的我,日常業務也處理與上文完全相同的議題,但是在政策規劃的進程上又更加前期,究竟應該如何是好?因此時常會糾結在資源分配的路線圖、數位經濟產業扶植、標準定規與國際銜接、數位領域裡的進步價值如何堅守(並且推廣),更重要的是,如何成功逐層說服上級長官,讓這些公共策略真正可以受益於大眾。

這實在是極度有趣又是困難的議題。最棒也最不好的是,但凡新興科技與民主治理,向來沒有標準答案,希望藉由這幾篇橫跨不同組織、不同關係人、不同意見路線的文章,能讓我們自行摸索出屬於自己的 Best Practice。


CC BY-NC-ND 4.0 授权