【臉書】NIST數位皮夾準則新鮮出爐小記

背景

最近「數位身分」的新內容真的頻繁發布，真是太過癮了，彷彿要變成日更連載了。

三天前（8/21），美國國家標準暨技術研究院（NIST）發布了「數位身分準則」（Digital Identity Guidelines, NIST SP 800-63-4）第四次修訂的第二版公開草案，距離上次改版已經是兩年前。

其中最讓我興奮的是加入了「數位皮夾」（Digital Wallet）的章節（在 800-63C，我將初步翻譯放在留言），這表示美國未來的數位身分準則，將於歐盟的《數位識別、授權與信任服務法案》（ eIDAS2.0）一致，將數位皮夾準則化。

觀察

這裡將 Digital Wallet 翻譯為數位皮夾，而非數位錢包，原因在於它並不處理支付，而是處理數位證件驗證與授權的過程。

有意思的是，這份文件並無提到採用哪些標準，無論是 ISO、IETF、W3C、還是 OpenID 標準，僅作為規範性文件存在。

無論如何，隨著「數位皮夾」漸漸標準化，而且走入國家級標準，它不再只是 web3 領域的新潮玩意兒，而是 #數位經濟 、 #跨境資料流通 、 #多邊電子簽章互認 、 #數位人權 乃至於 #數位民主 的基石。能夠身處於時代浪尖實在是非常幸福。

＊

以下 quote 一些 NIST 新聞稿內容：

想法

「當我們需要證明身分時，我們可能會拿出我們的駕照，或者，我們可能會選擇拿出智慧型手機裡的數位證件，者比許多人想像的更快發生。為了確保我們在訪問基本服務時能夠安全地使用新穎和經過時間考驗的方法來證明我們的身分，美國 NIST 已更新了數位身分指南草案。」

「NIST 正試圖在更新中，平衡防詐與便利這兩個目標。」

「NIST 收到了來自 140 個組織和個人的近 4,000 條評論，針對 2022 年草案版本提出意見。其中許多評論集中在擴大對兩項快速成長的技術指導上：可同步驗證器和使用者控制的數位憑證。可同步驗證器，通常被稱為「通行密鑰」，比密碼提供更高的安全性，同時允許用戶在多個設備上保存單一密鑰；此外，幾間主要公司目前提供的使用者控制皮夾，可以安全地儲存付款資訊以及其他項目，如機票和駕照等身分證明文件的數位版本。」

「Galluzzo 說，有關通行密鑰的擴展指南可在 SP 800-63B 卷中找到，而有關數位皮夾的新增內容則在 SP 800-63C 卷中。」

「針對我們在第一份草案中收到的意見，他說：『我們增加了有關皮夾的更多細節。我們提供了如何信任皮夾本身，以及如何信任其內容的指引。有關如何安全地呈儲存在皮夾裡的資訊，以及對方如何信任它的內容，我們也提供了更多內容。」

相關徵求意見募集中，可以回推到 NIST email，截止日期為 2024/10/7。