本体技术视点火币网客户端 | 数字凭证钱包如何“双赢”?既保护隐私又证明身份(中)
机场安检中的身份证明认证
和在银行等机构
开立新账户
两个案例,进一步解释数字凭证钱包如何基于密码学原理,在保证验证的可靠性、密钥找回和简化繁琐手续方面发挥重要作用。
ht
tps://github.com/WebOfTrustInfo/rwot7-toronto/blob/master/draft-documents/Digital%20Credential%20Wallet.md
数字凭证钱包的用途在于储存凭证,而非发放凭证。然而,在特定场景下,可能会需要数字凭证钱包来管理公共密钥或私人密钥。由于使用公共密钥总是存在隐患,本节将描述一个与私人密钥管理有关的场景,并介绍几种方法,用于找回丢失的密钥。
用例:使用密钥作为双因素认证方法
在机场安检时,安检人员往往要求旅客出示驾照等身份证明,驾照属于政府发放人民日报讯 火币网的身份凭证。而使用数字凭证钱包,则可以储存带有电子签名的驾照凭证,并将驾照凭证发送给安检人员,用它来证明自己的身份。
图片来源于网络
在一些情况下,这一用例足以证明旅客额身份。但是,这一用例存在一个问题,就是身份证明可能会被盗。
如果存在另一套双因素认证机制,能证明身份证明上的信息真实有效,确实记录了待检查人员的身份信息,则会比单纯的数字身份证明更加安全、可靠。
在美国,如果执法人员要求某个人出示 ID,人们出示的往往是驾照。那么执法人员如何证实,这一 ID 证明不仅真实,并且确实是这个人的 ID 证明呢?
要验证这一 ID 证明是否真实,执法人员需要查看该 ID 上是否有特殊印迹(例如全息图或微缩图像)。要伪造这类特殊印记十分困难,所以具有特殊印记的 ID 应该是真实 ID。
要验证这一 ID 证明是否属于当前这个人,执法人员需要查看 ID 上的照片是否是当前这个人的面部照片。有时可向这个人提问一些关于生日、出生地的问题,看这个人能否答对。
如果使用数字凭证钱包,将有效改善这一身份检查流程。数字凭证钱包不需要检查实体身份证明上是否有难以伪造的标识,而是采用难以被盗的数字密钥,即“私钥”。如果考虑到与实体 ID 证明相比,数字身份凭证上可能不包含照片这一点,数字凭证钱包还可在该密钥上绑定一张凭证持有者的数字照片(该照片已通过私钥签名)。值得注意的是,这张数字照片不需要在线上储存,只需要经过凭证发行方的私钥签字即可。
可见,只要当凭证持有者想要向凭证发行方证明,该 ID 凭证属于他自己时,凭证持有者的密钥才会发挥作用。
找回丢失的密钥
在“去中心化公钥基础设施(Decentralized Public Key Infrastructure, DPKI)文件”的综述部分中,讨论了人们如何找回丢失的密钥这一问题,并提供了几种方法。这些方法都非常依赖于“通过社交关系找回密钥”这一步骤。“通过社交关系找回密钥”是找回密钥的关键步骤,需要此前保存在家人和朋友等受信赖方手中的密钥分片。在使用 Shamir 密钥分享(Shamir Secret Sharing)和门限加密方案(Threshold Cryptography)后,密钥被分为多个分片。
图片来源于网络
例如,对数字凭证钱包进行基础设置时,用户可以选择一种方法,将自己的密钥分割为 N 个碎块,并将这些碎块发送给信任的人。如果密钥丢失,需要找回密钥,用户只需拿回这 N 个碎片中的 M 个碎片,便可重新得到密钥(M 的具体数值取决于用户选择哪种密钥分割的方法)。但是,需注意,如果出现密钥泄露(Key Compromise)的情况,则无法使用这一方法找回丢失的密钥。关于密钥泄露的情况,可查看“去中心化公钥基础设施文件”综述中第6.2.2节。
应用与用例
在此前章节,我们列举了在创建和使用数字凭证钱包时,需要注意的具体要求和需要考虑的重要问题。在本节中,我们要展现,上述内容如何体现在实际用例中。
开立账户
如果要在一家新的机构开立账户(如电信公司、公共服务部门、银行),需要个人提供相应信息。要提供个人信息,可填写线上表格或纸质表格,并为一些细节信息提供证据(如出示驾照)。通过使用数字凭证钱包,该组织可以要求数字凭证钱包提供上述信息;如果钱包中包含上述信息的话,钱包就可以将上述信息发送给该机构。
图片来源于网络
在线上开立账户的场景下,会发生如下步骤:
用户前往该机构的网站,提出开户要求;
该网站显示,用户可以填写几个表格,并提供政府发放的ID证明(包括驾照上的照片),或者可以选择使用数字凭证钱包;
如果用户选择使用数字凭证钱包,该网站会列出其需要收集的信息,可能包括政府发放的 ID 证明,拥有其他商业关系的证明(与银行或者公共服务部门)、在职证明等;
通过扫描二维码、发送短信验证等方式将网站与数字凭证钱包联系起来,完成网站向钱包发送请求的步骤;
用户打开数字凭证钱包,授权其想要分享的信息。在这一过程中,用户可以选择同类凭证中分享哪一凭证,比如分享驾照还是护照,分享过往的银行关系证明还是电信公司的关系证明;
钱包将已验证的凭证发送给网站;
基于协议内容,网站验证这些凭证的有效性。
这样,数字凭证钱包就帮助用户完成了开立账户的步骤,不用跑冤枉路便可完成手续办理。
未完待续…
作者:本体研究院,来源:本体研究院