Danh tính hoặc mã định danh phi tập trung (DID) không hơn gì một lược đồ có một số thuộc tính xác định duy nhất một người, đối tượng hoặc tổ chức. Các hệ thống quản lý danh tính thông thường dựa trên các cơ quan quản lý tập trung, chẳng hạn như dịch vụ danh bạ công ty hoặc cơ quan cấp chứng chỉ. DID hoàn toàn nằm dưới sự kiểm soát của chủ thể DID, độc lập với bất kỳ cơ quan đăng ký, nhà cung cấp danh tính hoặc cơ quan cấp chứng chỉ tập trung nào. 

Sự xuất hiện của công nghệ blockchain mang đến cơ hội để thực hiện quản lý danh tính hoàn toàn phi tập trung (DIDM). Trong DIDM, tất cả các chủ sở hữu danh tính đều có chung nguồn gốc tin cậy dưới dạng một sổ cái phân tán toàn cầu.

Mỗi bản ghi DID được bảo mật bằng mật mã bằng các khóa riêng tư dưới sự kiểm soát của chủ sở hữu danh tính. Nó được cho là liên kết còn thiếu để xác định lại các giá trị bảo mật của Internet, vì nó có thể trở thành lớp nhận dạng của Internet. Thông số kỹ thuật cho DID đang được tạo ra bởi World Wide Web Consortium (W3C).

Ưu điểm của DID

Markus Sabadello, đồng tác giả của thông số kỹ thuật DID và là Giám đốc điều hành của Danube Tech, đã giải thích những lợi ích chung của việc sử dụng DID:

“DID là một sự đổi mới quan trọng vì chúng cung cấp cho chúng tôi khả năng thiết lập các số nhận dạng kỹ thuật số bền bỉ, an toàn và có thể phân giải được trên toàn cầu, tuy nhiên việc tạo ra chúng không yêu cầu cơ quan trung ương hoặc trung gian”.

DID được kiểm soát độc quyền bởi thực thể mà chúng đề cập đến và do đó là một khối xây dựng cơ bản cho những gì thường được gọi là "nhận dạng cá nhân toàn quyền" hoặc là "danh tính phi tập trung".

Hãy tưởng tượng có một số điện thoại không được nhà cung cấp dịch vụ di động của bạn gán cho bạn, mà thay vào đó, bạn tự chọn nó. Bất kỳ ai trên thế giới vẫn có thể gọi cho bạn và không ai có thể lấy số điện thoại đó khỏi bạn – DID cũng tương tự như trường hợp này.

Về mặt kỹ thuật, DID là Mã định danh tài nguyên đồng nhất (URI) hợp lệ, do đó chúng tương thích với nhiều công nghệ web có mục đích chung. Chúng không giới hạn trong một giao thức hoặc trường hợp sử dụng duy nhất.

Một lợi ích khác là DID được thiết kế để hoạt động với các blockchains khác nhau và các hệ thống mục tiêu khác, do đó cung cấp khả năng tương tác.

Công dụng của DID là gì?

DID có thể được sử dụng để xác định bất kỳ tài nguyên kỹ thuật số hoặc trong cuộc sống thực, chẳng hạn như tài liệu, cá nhân, công ty hoặc một đối tượng vật lý. Nói chung, bản thân DID không chứng minh tính duy nhất hoặc bất kỳ điều gì khác về chủ sở hữu của nó. DID chỉ đơn thuần là một định danh. Bạn có thể và trong nhiều trường hợp nên có nhiều DID cho các mục đích, mối quan hệ và giao dịch khác nhau.

Tuy nhiên, mặc dù bản thân DID không cung cấp nhiều thông tin về chủ sở hữu, bạn có thể sử dụng các giao thức trên DID để xác minh một số thứ. Để chỉ cần chứng minh rằng bạn kiểm soát một DID nhất định và để sử dụng nó (ví dụ: để đăng nhập vào một trang web), bạn có thể sử dụng giao thức thử thách / phản hồi được gọi là DID Auth. Điều này đáp ứng một chức năng tương tự cho "danh tính phi tập trung" như OpenID Connect và những người khác làm cho "danh tính liên hợp".

Để chứng minh các sự kiện phức tạp hơn về chủ sở hữu của DID, chẳng hạn như tuổi của một người, sở hữu bằng lái xe hợp lệ hoặc tư cách thành viên trong một tổ chức, bạn có thể sử dụng Thông tin đăng nhập có thể xác minh, đang được tiêu chuẩn hóa bởi W3C.

Thông tin đăng nhập có thể xác minh là các tuyên bố được nhà phát hành chứng thực về DID. Sau đó, chúng có thể được chủ sở hữu DID sử dụng làm bằng chứng trong một giao dịch. Không có giới hạn về phạm vi và ngữ nghĩa của các tuyên bố có thể được liên kết với DID; chúng có thể phong phú như tất cả bản sắc con người và tổ chức trong đời thực tạo nên xã hội của chúng ta.

Cấu trúc DID mẫu

Có thể có nhiều biến thể cho một DID. Tệp thông số kỹ thuật đầy đủ có thể được tìm thấy tại W3C. Dưới đây là một cách khả thi để xác định DID. Những gì chúng ta thấy ở đây là một định nghĩa đơn giản về DID với ngày tạo, ngày tài liệu được cập nhật lần cuối cùng, trường chữ ký (tùy chọn) và “Khả năng ủy quyền”. Trường cuối cùng này chứa các đối tượng đề cập đến các DID khác nhận được quyền cụ thể đối với DID này. Ví dụ: DID có ID 215cb1dc-1f44-4695-a07f-97649cad9938 nhận được quyền cập nhật DID này.

ví dụ DID

Nguồn: W3C – https://w3c-ccg.github.io/did-spec/#requirements-of-did-method-specification

Trường “chữ ký” thường bị hiểu nhầm. Các "Chữ ký" trường chỉ chứng minh rằng Tài liệu DID không bị giả mạo và người ký đã kiểm soát một khóa cá nhân nhất định tại thời điểm nó được ký. Tuy nhiên, chữ ký không chứng minh rằng người ký là chủ sở hữu DID thực sự. Vì vậy, mặc dù nó có thể là một tính năng bảo mật bổ sung, nhưng nó không thể tự dựa vào khi làm việc với DID. Nó tương tự như quy trình đặt khóa PGP công khai trên diễn đàn Bitcointalk.com để chứng minh bạn sở hữu khóa đó được liên kết với tài khoản Bitcointalk của bạn.

Markus Sabadello đã tuyên bố rằng trường “quyền” là phần tử không ổn định trong thông số DID và có thể sẽ bị xóa. Mục đích của nó là thể hiện quyền liên quan đến người có thể cập nhật Tài liệu DID. Tuy nhiên, có một số vấn đề với điều này:

  1. Các loại DID khác nhau (phương pháp DID) có những ý tưởng và khả năng rất khác nhau về cách quản lý các bản cập nhật. Mọi thông tin ủy quyền về các bản cập nhật DID phải được chỉ định bằng các phương pháp DID cụ thể đó, thay vì ủy quyền điều này theo cách chung cho tất cả các DID.
  2. Thay vì danh sách kiểm soát truy cập truyền thống để thể hiện quyền, chúng tôi đã xem xét một mô hình thay thế được gọi là khả năng đối tượng. Đây là một ví dụ về đặc điểm kỹ thuật này rất giống với DID.

khả năng đối tượng được liên kết với DID

Nguồn: W3C – https://w3c-ccg.github.io/ld-ocap/

Trường hợp sử dụng

Ví dụ đơn giản nhất là đăng nhập vào các trang web. Bạn sẽ có một ví kỹ thuật số lưu trữ DID và các khóa được liên kết của mình và bạn có thể sử dụng plugin hoặc ứng dụng trình duyệt bật lên và yêu cầu xác nhận khi bạn đăng nhập. Ý tưởng này có thể so sánh một chút với plugin MetaMask, nhưng ít nâng cao hơn.

Một ví dụ khác là "Mang bản sắc riêng của bạn" khi mua sắm trực tuyến. Bạn có thể mua sách tại một cửa hàng trực tuyến và khi thanh toán, bạn chỉ cần cung cấp DID của mình (một lần nữa bằng cách sử dụng plugin hoặc ứng dụng). Bằng cách này, bạn sẽ có thể chia sẻ địa chỉ giao hàng và thông tin thanh toán của mình mà không cần phải tạo tài khoản trên trang web của cửa hàng. Chúng tôi thậm chí có thể vẽ đường đến thế giới thực nơi chúng tôi liên kết thẻ khách hàng thân thiết mà chúng tôi nhận được ở mọi cửa hàng để nhận được một khoản chiết khấu nhỏ, với trường ID của Mã định danh phân cấp của chúng tôi.

Cuối cùng, một ví dụ nâng cao hơn là sổ địa chỉ phân tán. Bạn có thể duy trì kết nối với bạn bè cũng như các doanh nghiệp mà bạn quan tâm và chia sẻ địa chỉ cá nhân của bạn và thông tin hồ sơ khác với họ, với toàn quyền kiểm soát, minh bạch và khả năng di chuyển dữ liệu. Mỗi khi thông tin hồ sơ của bạn thay đổi, các kết nối của bạn có thể được thông báo tự động. DID cho phép kết nối suốt đời giữa các chủ sở hữu DID mà không ai có thể lấy đi của bạn.

DID tăng cường bảo mật

Để hiểu cách DID tăng cường bảo mật, trước tiên chúng ta cần làm quen với Cơ sở hạ tầng khóa công khai (PKI) là gì. PKI được sử dụng chủ yếu để mã hóa và / hoặc ký dữ liệu. Mã hóa dữ liệu đề cập đến việc xáo trộn dữ liệu theo cách khiến nó không thể đọc được ngoại trừ những người được ủy quyền. PKI dựa trên một cơ chế được gọi là chứng chỉ số, còn được gọi là chứng chỉ X.509. Hãy coi chứng chỉ như một thẻ ID ảo. PKI còn được gọi là cơ quan cấp chứng chỉ (CA). Ví dụ: VeriSign là một CA nổi tiếng để tạo ra một trang web đáng tin cậy bằng cách cung cấp chứng chỉ SSL / TLS do họ ký.

Vì PKI sử dụng cơ sở dữ liệu tập trung để lưu trữ thông tin này, nên chúng ta có thể coi DID như một biến thể phi tập trung của PKI. DID tạo cơ sở cho Cơ sở hạ tầng khóa công khai phi tập trung (DPKI).

Điều này có nghĩa là tất cả chia sẻ dữ liệu và nhắn tin giữa các DID đều được xác thực và mã hóa bằng các khóa mật mã được liên kết với DID, tương tự như PKI truyền thống, nhưng không có nhược điểm của tổ chức phát hành chứng chỉ truyền thống..

Có rất nhiều ví dụ trong đó, trong quá khứ, kiến ​​trúc chứng chỉ TLS hiện có được sử dụng bởi các máy chủ web đã trở nên dễ bị kiểm duyệt và thao túng. Với DID, mối đe dọa từ người trung gian này có thể được loại bỏ, vì mỗi DID đại diện cho "gốc rễ của sự tin tưởng". Điều này có nghĩa là chúng không phải được kiểm soát và ban hành bởi các cơ quan trung ương để được tin cậy.

Một tính năng bảo mật quan trọng khác là DID có tính ổn định. Điều này có nghĩa là các khóa mật mã được liên kết với DID có thể được xoay và thu hồi một cách an toàn thông qua các cơ chế khác nhau mà không cần phải tạo một DID mới. Chúng tôi sẽ nghiên cứu kỹ hơn về khía cạnh “thu hồi” này trong tiêu đề phụ tiếp theo.

Xóa hoặc thu hồi DID

Phiên bản mới nhất (v0.7) của thông số kỹ thuật W3C về Số nhận dạng phi tập trung thảo luận về các hoạt động DID khác nhau mà chúng tôi có thể tìm thấy “Xóa / Thu hồi”. Điều này khá lạ vì bản chất các công nghệ sổ cái phi tập trung (DLT) là bất biến. Hãy khám phá thêm khía cạnh này.

Khi giao dịch ban đầu đã được phát hành để tạo DID, các giao dịch khác có thể cập nhật và "thu hồi" hoặc là "chấm dứt", DID. Mặc dù lịch sử của một DID có thể chỉ là phần phụ và tồn tại vô hạn, trạng thái hiện tại của DID được xác định bằng tổng tích lũy của tất cả các giao dịch.

Nếu một giao dịch đặc biệt được thêm vào lịch sử đó, thì điều đó đánh dấu DID là "thu hồi". Ngoài ra, hãy lưu ý rằng mặc dù các tệp DLT có các thuộc tính hữu ích làm cho chúng phù hợp để tạo và lưu trữ DID, nhưng DLT không phải là công nghệ duy nhất có thể sử dụng cho DID. DID cũng có thể được tạo bằng cách sử dụng bảng băm phi tập trung (DHT), hệ thống tệp phân tán (IPF), cơ sở dữ liệu (BigchainDB) hoặc các mạng phi tập trung khác.

Trạng thái của đặc điểm kỹ thuật DID

Vẫn còn một số vấn đề còn mở, nhưng nhóm làm việc W3C dành cho DID dự kiến ​​sẽ xuất bản Bản dự thảo của Người triển khai tương đối ổn định vào tháng 3 hoặc tháng 4 năm 2018. Để đạt được tiêu chuẩn W3C hoàn chỉnh là một quá trình dài hơn nhiều mà họ chưa thể đoán trước được..

Ngoài ra, W3C cũng đang phát triển các công cụ, như Universal Resolver, hoạt động như một trình phân giải mã định danh và hoạt động với bất kỳ hệ thống định danh phân quyền nào. Các triển khai có sẵn cho các ngôn ngữ lập trình Java và Python3.

Suy nghĩ trong tương lai và cuối cùng:

Markus Sabadello cho biết “Những người trong chúng tôi đang làm việc trên DID đều nhận thấy sự quan tâm đáng kinh ngạc đối với công nghệ này từ khắp nơi trên thế giới. Chúng tôi nghĩ về DID không kém gì việc cuối cùng có cơ hội nhận ra "thiếu lớp nhận dạng" của Internet." DID có tiềm năng thay thế phần lớn cơ sở hạ tầng nhận dạng Internet hiện tại, bao gồm những thứ như tên người dùng, tên miền, tổ chức phát hành chứng chỉ và các dịch vụ nhận dạng tập trung như "Đăng nhập Facebook". Có thể mất một thời gian để thích nghi với điều này "danh tính phi tập trung" mô hình, nhưng nó sẽ trở thành cơ sở tốt hơn cho cách xác thực, chia sẻ dữ liệu và nhắn tin sẽ hoạt động.