最近Dalifornia火了,如预想的一样,熊市做事;很遗憾没能参加,错过了那里的美景;

致敬熊市

Mr.bug | !loves,公众号:Sharding Lab

Web3世界的底层逻辑2-拥抱熊市,才能拥有未来

 

乱,思绪是如此纷杂,Web3的世界每天都是生活大爆炸;

在那里,在这里,小宇宙肆意碰撞,狂妄的纠结,无序的组合;

或许尘埃最后还是尘埃,也或许会凝结成形;在这些悄无声息中集结的稀薄的尘埃里,谁能折射出一丝微弱的光。

 

0x01  我们不曾拥有数字身份

如果我有一小时来解决问题,我会花前55分钟确定到底要解决什么问题,因为一旦我知道了正确的问题,我就可以在不到五分钟内解决它。

我思考了很久也无法提出正确的问题,我知道这不是一个容易谈论的主题,到底什么是数字身份,我们真的需要它吗?

如果执意得谈起,这会是一个广泛的,深刻的,多方面的主题,至少会涵盖社会学,心理学,经济学,在洞察复杂的历史和用精妙的计算机技术执行之后,才有可能窥见一斑;

先撇开身份不谈,聊一聊与身份相关的个人数据;

当你问一个人,你的个人数据是什么?得到的通常回答是,姓名,性别,身高,体重,联系方式,好友列表,毕业学校,工作单位等;

可是,停一下,这些真的是我们的个人数据吗?这些数据随着时间的推移都会改变,连姓名/性别都不能保证一直不变,这些变化的数据从本质上不能代表你或者复刻你,所以我们似乎从来也不曾拥有过个人数据,本质是我们是无法被表征的,至少到目前为止无法被准确表征;

我们所拥有的是我们与万物之间的关系,包括自己与自己的关系;我们在这些关系中创建并保存了相关的数据;

从法律层面说,几乎你能想到的,符合法律定义的个人数据的每一种类型,实际上都是人与人的关系或人与组织的关系;

所以,在互联网上有一个头像,有一串标识自己的ID码,并不能把我们带向哪里,我们被固定住了;

我们是物理的,生物的人,不可能真实的进入数字世界,也不可能被一个或一类静止的名词指向;

虽然努力地想进去,但是我们进不去,我们没有办法建立广泛的唯一的自己,我们没有数字身份;

然而,没有数字身份,我们总有现实的身份吧;哲学的观点是,身份是聚集在涉及和产生个人和社会物质信息的关系中,即使现实世界,我们依然无法准确的表达什么是身份;

无论如何,建立一个完美的数字身份,现在并不是一个好时候,所以何必强求变为数字世界的一部分呢,如果我们能在某一个片段,在合适的上下文中能够定义一个临时的自己,也会是一个不错的选择,至少是力所能及的;

传统ID系统就是这样运作的,非常集中,通常由国家机构控制,对于身份的新增,修改与撤销都必须依赖于监管机构批准;

这些监管机构决定了ID与ID应用的一切,再强大的力量都无法与之抗衡,这类ID称之为我们的合法身份;

但由于隐私问题,真实应用中我们并不希望暴露这些信息;

其实,我们不用纠结什么是身份,也不用纠结身份的数字化,应该更在乎自身与他人,与社会交互的关系;

我们可以创造出一个数字实体,一个可以自证明的数字实体,它可以与你的法律身份关联,也可以不关联,但它可以代表某一时刻的自己,更进一步,能够指代某一时刻的自我权利主张;

这种自我声明的身份被称为主权身份,这个我们后面会谈到,现在只需要知道,我们是有机会在这个时间点对Web2的底层架构做一些改进,提供一套算法或服务为整个互联网的身份做一些改变。

我并不是想写一篇关于身份的哲学论文,从人文到技术,辩证得看待这个问题;另外,合法身份也不是本文想要表达的东西;

所以,本文谈及的DID仍然只是计算机科学中,用于索引的一串字符串,我们探究在密码学和存储层发生一些变化后,ID和与之相伴的应用会发生什么样的化学反应;

总之,世界上的主要问题基本都是自然运作方式和人们思维方式之间的差异导致,所以关于数字身份,一定因事因人而异的。

 

0x02  你的ID,游不起来

DID你不清楚,我不怪你,但是ID你一定用过,或许你并没有真正关注过它,但不管怎么样,我相信你经历过关于ID的痛苦;

当你在Web2中穿梭时,你必须携带一麻袋的用户名和密码,并且这个保存麻袋的地方你也必须细心选择;

当然,Web2中的统治者们也实现了账号的互操作性,比如google账号在很多app中可以实现一键登录;

DID:终究是Web2的旧恨还是Web3的新魔

但是要命的是,你驻留在每个app中的数据还是不能随着账号一键带走。

你可以拥有任意数量的 ID,但这使得在不同平台服务中的多个活动里,进行跟踪变得更加困难,同时数据孤岛问题也会日益严重;

随着我们越来越多地使用个人信息,并将这些提供给各种在线服务,我们个人隐私数据泄漏风险也大大提高,各类案例不再赘述;

总之,这一切都不是你造成的,是Web2的基础设施造成的;

我们往前一步,看下ID问题的核心,你带不走的不仅仅是你的历史数据,你更带不走你为这些App平台带来的价值;

你可能不知道,这些Web2的巨鲸们(Google,Meta、Twitter、Instagram、微博、抖音等社交媒体平台)是如何通过你聚集大量财富的;

他们将用户身份、发布的内容(爱好、活动、位置、兴趣等)和社交网络关系融合在一起并放入一个干净数据湖中,之后再将用户数据匿名化,出售给广告商,广告商就能利用这些信息开展更有针对性的活动;

Meta 和 Google 甚至启用了一种拍卖模式,使营销人员对广告位进行竞价;

社交媒体的公司市值可以说完全是建立在平台用户数据上的,本质上他们就是数据公司,公司的核心价值创造并没有来自在公司拿工资的人,而是由花费大量精力想建立存在感的用户创造的,包括他们的社交关系和角色,然而这一切是无偿的;

当你入驻这些社交媒体时,你就基本决定准备付出巨大努力来发展你的社交网络,并且这些努力不可转让;

如果你后期不喜欢平台的政策或服务条款,你唯一的选择就是抛弃你的朋友和关注者,从头开始,在新平台上继续努力;关键的是,你的行为对平台毫无波澜;

这就是Web2的威力,更准确的是平台自有ID的威力,同时,也是个人贡献者沮丧,你没有选择的权利;

整个Web2都是围绕着服务器所有权,和控制所有用户数据,以及用户信任和与之依赖服务的想法构建的;

为了打破Web2的规则,Web3的基建构建方式必须发生一些戏剧性的变化,这也是Web3在去中心化、透明化、防数据篡改和保护个人隐私方面发力的原因;

Web2很强大,请Web3构建者不要忽略这一点,而且必须承认;固化的牢笼如果很容易挣脱,也就不是牢笼;

回到ID上,我们怎样才能撬动这块顽固的石头,还记得我前面提到的,想解决问题,必须先正确的提出问题,那我的问题是:

  • 如何身份验证,以抵御数以千计万计的冒牌身份ID;这些ID在投票和薅羊毛场景的危害尤为突出
  • 如何构建个人信誉网络,通过信誉和保证系统,识别值得信赖的人
  • 如何进行人格证明,即如何安全的,可信任的接受第三方系统的关于身份的唯一性与有效性证明
  • 如何显著削减解决以上问题的经济成本与时间成本

从目前所能企及的阶段,正在探索的可能成功的方案是“区块链 + DID + 可验证凭证”;

DID:终究是Web2的旧恨还是Web3的新魔

以插件的方式嵌入到Web3中,与身份ID,与主权伸张相关的每一个地方;

至此,Web2中社交媒体平台的商业模式会完全推翻,价值贡献用户将拥有平台大部分价值,平台封杀不了你,也不能选择你;

你可以自由的选择你喜欢的平台模式,因为你和你的关系数据只属于你,你会成为真正的数字游民;

 

0x03  为Web3注入灵魂

回顾比特币创世,十多年间,基于区块链技术的代币与DeFi已经打造了一个具有前所未有的流动性和创造力的平行金融系统,惊艳了全世界;

但是,金融显然不是Web3的全部,更全面的去中心化社会(DeSoC)才是未来Web3强劲的可持续发展的动力,才是Web3发生范式转移的核心;

构建去中心化社会的基石是信任,很多人认为信任能够数字化,因为区块链上的数据通过共识,不可更改,它本身是去信任化系统;

这是一个误区,区块链的链上数据仅仅只是数据而已,它与信任并无关系,你可以放真实数据,也可以放假数据,这取决于你上链的动机;

信任本身无法被数字化,它需要有其他力量的加持,这对区块链的信仰者可能会是一个打击;

但是,信任可以与身份关联,通过身份的数字化,间接实现数字化,我是信任你,所以信任你的数据,而不是反过来;

甚至现有的交易系统也是违背区块链技术初衷的,比如,人们无法点对点交易NFT或其他金融资产,大多数交易钱包仍然是托管在Coinbase 或 Binance上,DAO也无法执行真正意思上的分布式投票,由于Defi的自嗨属性(自循环,未对实体经济赋能),目前仍不能与现实世界资产交互;

所以,Web3要与真实世界结合,产生有意义的应用,实现去中心化社会,必须要有一套社会性属性的DID系统,使得社会关系可以被部分编码,配合权威中心机构出具的身份信息真实性背书,DID本身变得可信;

这样就通过身份层对Web3注入了灵魂,从此Web3不再是不可审查,在里面的动作也会更加合规,DID也能够推动Web3健康发展,同时使个人拥有链上数据的所有权;

DID:终究是Web2的旧恨还是Web3的新魔
  • SO,什么是DID

DID(Decentralized Identifier)是去中心化标识符,简单理解就是个人、组织、物联网设备等的自主数字标识;

更近一步,它可以是个人主权身份 (SSI) ,是一个基于开放标准的框架,可以产生个人拥有的、独立的、可验证的凭证,并能实现可信的数据交换;

DID本质上不区分应用场景,只是一种数字化身份标识,所以也无所谓Web3或Web2,但是它所衍生的技术或者应用确实会有Web3或Web2之分;

在Web3里,由于基础设施的改变,当ID与真实个人绑定时,数字化社会协作模式会发生变化,强大的生产力或许能够迸发;

但绑定是非常困难的事情,原因有三:

  • 身份ID本身必须可辨真伪
  • 身份ID能够证明仅且只有所有者才能使用
  • 身份ID下的数据是否只能被所有者支配

DID一旦被绑定,在一个无政府阻拦的情况下,你的身份被全网锁定,除了你自己无人有权更改,在对抗系统容灾,政治性与社会性人身攻击或封杀层面具有极强的韧性;

由DID衍生出的身份系统,会脱离某个具体产品或公司,在互联网整体性上进行架构设计,即插入一个身份层,改变应用层的开发模式与运作模式;

DID系统并不是一个去中心化部署的ID系统(这类系统Web2早已玩的如火纯青),而是去中心权利的ID系统,就是如同钱包一样,数据主权回归自身,由ID带来的与他人关系、社交、内容创作等数据都将悉数回归;

DID不仅仅是身份ID,也是Web3中所有活动与关系属性的根ID,DID由于去中心化属性,使得只有你才拥有密钥,不被平台牵绊,身份与数据安全得到了极大保护;

所以,DID系统核心愿景应该是在Web3世界里帮用户获得持久性身份,信任和合作模式,它是Web3世界持续发展的核心,我们不能也不应该在一个持续隐蔽的环境中生存,至少是可选择的曝光;

  • Web2正在发生着什么

如果说Web2可能正在反向统治Web3,你信吗?

Web3中很多事情立不起来,一个很重要的原因是很多技术都没有标准,没有标准就没有生态,也就不会被更好的应用,DID就正在这世事而非的漩涡中;

Web2世界出于对个人隐私保护的压力,身份系统正在从传统的集中式解决方案演变为分布式身份解决方案;

相关标准组织正在积极探索去中心化身份这种新兴技术,以及如何与身份和访问管理(IAM)技术相结合,将身份控制权交还给用户,用户可以自主决定将哪些信息共享给第三方;

2022年6月30日, Tim Berners Lee否决了

「Director's Decision on DID 1.0 Proposed Recommendation Formal Objections」

(https://www.w3.org/2022/06/DIDRecommendationDecision.html ),为 DID Core 最终成为 W3C建议铺平了道路;

 

这是W3C CCG(Credentials Community Group )所有成员和贡献者的胜利,更是用户的胜利;

DID是第一个成为W3C标准的自主身份(SSI,Self-Soverign Identity) 协议,至少从标准层面,Web2已经走在了前面,并且给出了实际执行架构;

DID:终究是Web2的旧恨还是Web3的新魔

上图内含DID标准格式,看起来很像现在非常常见的以 https:// 开头的web网址,它分为三个部分:

  • 第1部分称为“DID” ,这是一个“去中心化标识符”
  • 第2部分称为“方法(Method)”, 作用于第3部分
  • 第3部分可以是任何字符串,其定义、产生和解释等完全由第2部分的方法Method来实现
  • 发行者 Issuers,是颁发证书、证明或资格的实体、机构或组织
  • 验证者 Verifiers,是查询凭证,和参与活动的最终用户

之前提到的“区块链 + DID + 可验证凭证”方案中,Web2大概率会替换其中的区块链(标准并非否定存储于区块链),也就是”DID+可验证凭证“的存储方案会选择传统的云计算存储,这套方案不会影响用户体验,也可能是更高效的;

不过,Web2的DID标准的提出,并不是让用户数据可以游走在各类APP中,而是在每类APP中控制共享额度,本质依然没有变化,是属于技术革新,可以丰富其应用生态;

DID 仅仅是最基础的一层,基于DID之上的可验证凭证(Verifiable Credentials)才是让DID能解锁各自应用场景的关键;

VC(可验证凭证),是一种包含了数字签名来实现可验证的数据格式规范,是当前身份和凭证卡的数字版本,并在用户和证书之间建立了可验证的链接;

简单说就是,VC可以是任何你觉得有意义的东西(比如,学历,收入证明等),是 Web2 或区块链中的数据或文件,里包含了一些验证信息,使其可以高效得被验证,并保证不被被篡改和破坏;

DID:终究是Web2的旧恨还是Web3的新魔

VC也可以是POAP和SBT,由权威机构发布或自行发布,VC与NFT有着本质的不同,它不是可交易的;

DID:终究是Web2的旧恨还是Web3的新魔

验证原理

每个 DID 通常与其颁发的一系列可验证凭证 (VC) 相关联,以证明该 DID 的特定声明(比如,生日,性别,履历等);

这些凭证由其发行者进行加密签名,这使得它们可以独立于签名者进行私下验证,它们被设计为可在其原始上下文之外进行解释,并且还包含用于独立重构和解释该上下文的机制;

DID 所有者自己存储这些凭据,而不是依赖某个提供商;

可验证数据注册表 (VDR) 是数据可验证注册方式的通用术语;

原则上,VDR 不一定必须采用区块链、云或其他任何形式,但最常见的 VDR 是通过区块链实现的;

  • 可信与隐私统一

DID 技术为个人用户和组织都带来了好处,让最终用户拥有和控制他们的身份,并以高度安全的方式保护隐私;

对于组织,比如,欧盟 GDPR(通用数据保护条例)等法规加强了需要新身份解决方案的身份标准,DID 使组织能够进行电子数据验证,并提高透明度和可审计性;

DID:终究是Web2的旧恨还是Web3的新魔

DID为个人或组织提供的VC,可以作为输入源验证其他业务流程,比如你在银行贷款,你接受了银行的KYC,贷款结束后你获得一个此银行的贷款VC,你可以将此贷款VC作为其他资产担保类业务的凭证,因为此次VC已经证明了你已经具备了原始资料过审资格,类似的例子还有很多;

但是这里,我们立刻就面临一个显而易见的问题,比如你拿着银行贷款VC做其他担保业务A时,VC出于隐私保护,不会记录办理的原始记录,A怎样相信你的VC?这正是密码学发挥作用的地方,准确的说这会涉及零知识证明;

通过零知识证明,你可以决定向验证者显示凭证的哪些数据,而不暴露其他的不必要信息;比如,持有者可以向验证者表明他们满足某个要求(如收入,按时还款率,购买过什么理财等),而无需明文显示支持该证明的数据。

 

0x04  DID辐射范围

DID系统是一个赋能系统,离开了周边关联应用,价值很小;

从演变看,在2C市场,产生新应用并获利是最直接的方式;在2B市场升级老应用,往往是阻力重重;

因为,企业对DID本身并不是那么感兴趣;相反,他们对DID与其他系统交互的身份验证解决方案更感兴趣;

比如,DID如何与公司系统(SAP,ERP,VPN,CRM等)整合,它是否会破坏已经落地的身份和访问管理方案,

我不知道下一波DID创新会是什么,但越来越多的人开始关注这个空间,学习它能做些什么来改变传统的应用方式,这本身就是DID带来的意义;

毫无疑问,DID技术将继续冲击Web2和Web3世界,未来如何演变不得而知,但终归是会创造一个更好的身份标识系统;

写到最后,总结一把Web3 DID发展现状,给希望或将要在这个方向的朋友一些启示;

DID:终究是Web2的旧恨还是Web3的新魔

Layer 1: 身份标识与标准 (Identifiers and Standards)

共同构建公共身份层,确保其标准化、可移植性、与互操作性;

DIF https://identity.foundation

Layer 2: 基础设施 (Infrastructure)

基础设施与代理框架可以让应用之间直接交互,也可使应用与可验证数据直接交互。

Unstoppable Domains https://unstoppabledomains.com

Identity Labs https://docs.nfid.one/

Context https://context.app/

Ceramic https://ceramic.network/

Upala https://docs.upala.id/en/latest/

Worldcoin https://worldcoin.org/

Jumio https://www.jumio.com/

Layer 3: 身份凭证 (Credentials)

对身份凭证进行管理、更新,它们之间还需要具备可互相交换的功能。

这一层旨在解决 DID 如何确定对身份的 「控制证明” (proof of control) 」和 「认证证明” (proof of authentication)」,以及如何在身份所有者之间安全地传递数据;

POAP http://poap.xyz/

Verite https://www.circle.com/en/verite

Disco https://www.disco.xyz/

Layer 4: 应用、钱包和产品

钱包已然成为了Web3应用入口,但是钱包登录和恢复体验上还远未达到Web2水平;

与用户手机,邮箱的绑定必然会是未来趋势,2FA(双因素身份认证)在某些场合也会带入其中;

MintGate https://www.mintgate.io/

Iden3 https://iden3.io/

CollabLand https://collab.land/

Guild https://guild.xyz/

Rabbithole https://rabbithole.gg/

Spruce https://www.spruceid.com/

Sismo https://www.sismo.io/

UniPass https://www.unipass.id/

AstroX Me https://astrox.me/

Next.ID https://next.id/

LVL Protocol https://www.lvlprotocol.xyz/

Backdrop https://backdrop.so/

CyberConnect https://cyberconnect.me/

Lens Protocol https://lens.dev/

Relation https://relationlabs.ai/

Yup https://yup.io/

Showtime https://showtime.xyz/

Tally https://www.tally.xyz/

Boardroom https://boardroom.io/

DeepDAO https://deepdao.io/organizations

SkillWallet https://skillwallet.id/

Layer X: 横向项目

这些项目跨越多个层级;

DeWork https://dework.xyz/

Magic https://magic.link/

Orange https://www.orangeprotocol.io/

Bloom https://bloom.co/

DIDSign https://didsign.io/

 

扫码关注由Sharding DAO运营的「Sharding Lab」公众号,获取更多Web3深度思考。

   DID:终究是Web2的旧恨还是Web3的新魔

DID:终究是Web2的旧恨还是Web3的新魔