【臉書】身分基盤 4-身分容器

背景

這幾天腦子裡一直有一個揮之不去的問題，是關於皮夾與其主人的，我稱之為有主之物與無主之人問題。

當我們看到一個野外的遺體，警察或救護單位會從其皮夾辨識其身分，將這個遺體還原回社會系統之中。當一個醉漢或遊民被送進急診時，其實我們也是以類似的方法找到他的健保身分（或無健保身分），在美劇中，如果無法尋得身分，會用 John Doe 來代稱之，中文可以翻作無名氏。

根據以上情境，當一個人無法進行「意思之表示」時，皮夾可能比真人更像一個人。

觀察

在現實世界如此，在數位世界更加如此。我們在網路使用情境中，無法達到「意思之表示」的頻率更高，這是因為我們有許多公開身分散落在各服務中，第三方服務隨時可以偵測這些身分，並給予相對應的服務（或騷擾），而我們並非隨時都有時間表示意思。

這讓數位身分比我們還更我們，比較新穎的名詞叫做「數位孿生」（Digital Twin）。那數位世界的皮夾與真人，應該如何關照呢？

這兩三年來，通行密鑰（Passkey）的概念已經大規模部署在日常世界，如果你常常使用 iphone 或 android 手機，可能多少已經用過。很簡單來說，只需要使用指紋或 FaceID，就可以不用輸入密碼，來重獲身分，進而使用服務，這個觀念就做「無密碼」。但 Passkey 其實沒有這麼簡單，而是使用「公鑰—私鑰」的觀念，混合私鑰所在硬體裝置（如手機或硬體金鑰USB），然後在遠方的伺服器儲存公鑰，讓通過驗證的人可以進行簽署憑證，來確定這個裝置為「有主之物」。背後使用的標準為 FIDO2 與 W3C webauthn。

在這麼便利的情境下，我們早已不需要背誦密碼，而可以從手機登入各種代表你的數位身分。

當人們已經習慣使用手機掃臉登入，我們可以試問，當你在數位世界死亡（或真實世界），手機比較能夠代表你，還是屍體才是？這便回到了有主之物與無主之人問題。

想法

遺失、被駭也等同為死亡，成為代行其事的殭屍。這意味著密碼私鑰的管理極為重要，有時候生物辨識也無法好好避免風險，在驗證器保證層級（AAL）也無法太高。

因此腦洞開始大開，最近的 web3 世界開始流行多方運算與閾值簽名解決方案（Multi-Party Computation based Threshold Signature Scheme, MPC-TSS），聽起來很難，但白話來說就是使用不同手機（或其他東西）作為密鑰碎片，當需要登入服務時，需要將碎片整合在一起（如分靈體），不同閾值可以設定不同的碎片數量需求。

閾值設定可以實現一個相對安全的多因素登入（MFA）狀態，其過程就是使用不同私鑰（裝置、登入方法）來重疊一個人的基礎（你有什麼、你是誰等等），這其實與 web3 世界管理一個 DAO（法人體）使用多重簽署的概念非常類似。因此腦洞便開始思考，MPC-TSS 的設定是否可以與 FIDO2/webauthn 這樣的 web3 成熟標準相結合，查了一下果然已經有不少人開始做這個新創題目了。上面這個腦洞，是為了抗衡單一手機（皮夾）取代真人的威脅。

研究密碼學與數位身分的過程實在非常過癮，這是因為背後牽涉到許多抽象概念與社會系統應然／實然建構過程。難怪 OECD、聯合國在討論數位基礎建設時，都會把「身分」強調出來。

回到有主之物與無主之人，我們很難定義一個人的主人是誰，但是在數位世界與嚴密管理的社會制度中很容易。是的，我先預設了數位世界是一個嚴密管理的社會氛圍，而只有適切的加密狀態才能確保隱私，這便是自主身分（Self Sovereign Identity）的核心概念。但是在討論自主身分之前，我們必須先討論乘載自主身分的容器（手機或皮夾），如何成為有主之物，如何只有自己可以啟用，卻不會過於代表你自己。在真實生活中，持有多個皮夾便解決了這個問題，數位生活也應該要這麼做。

只有容器夠安全，才能填入大量數位身分，還原出事實身分（de facto identity）的現狀，生而在世，我們本來就不被單一帝國給登記。

#身分基盤 4