bok

IDPro Body of Knowledgeの日本語訳を載せていきます

View on GitHub

概要

デジタルトランスフォーメーションが世界中に広がるにつれて、市民から従業員、企業から政府に至るまで、すべての人に影響を及ぼしてきました。デジタルアイデンティティは、デジタル経済におけるビジネスプロセスの基本的なイネーブラーです。分散型IDは、デジタルID機能の次の進化であり、人々が他の機関、物理的オブジェクト、および相互に対話する方法を合理化する機会をもたらします。このホワイトペーパーでは、分散型IDの将来の世界について考察し、分散型IDの利点、用語、サンプルシナリオ、およびサンプルの技術的実装について明確に説明すると同時に、このモデルのいくつかの制限についても説明します。このホワイトペーパーでは、分散型ID機能の現在の状態を考慮しつつ、過去から現在までのIDプラクティスの進化について概説します。

キーワード:セルフソブリンアイデンティティ、デジタルウォレット、デジタルカード、分散型アイデンティティ

引用方法:Sorokin L., (2020) “A Peek into the Future of Decentralized Identity”, IDPro Body of Knowledge 1(3).

公開: 2020年10月30日 査読済み ライセンス: クリエイティブ・コモンズの帰属-非営利-NODERIVS 4.0

分散型アイデンティティの未来を垣間見る

レオ・ソロキン ©2020IDPro、レオ・ソロキン

前書き

組織がデジタル化するにつれて、デジタルIDは私たちの世界で急速に重要性を増しています。 IDは、デジタルトランスフォーメーションにおいて極めて重要な役割を果たし、政府と企業の両方が、従業員、パートナー、顧客、市民を問わず、あらゆる利害関係者にデータへのアクセスを制限しながら安全を提供できるようにします。デジタルIDは、無数のデバイスでのデータの急増と、定義がこれまで以上に困難なネットワーク境界を備えた世界で、セキュリティの重要なコンポーネントになりつつあります。

アイデンティティ空間で開発が進められているアクティブな領域の1つは、分散型アイデンティティの概念です。分散型IDは、アカウントベースの資格情報からVerifiable Credentialsへの根本的な移行であり、ID関連の情報を取得および表示する方法における主要な哲学的および技術的な変更です。 World Wide Web Consortium(W3C)は、Verifiable CredentialsとDID(分散型識別子)に関する標準の公開に取り組んでいます。 [1]、[2] ただし、他の技術標準と同様に、大規模に使用するには、コミュニティで広く採用されている必要があります。

今日、個人のデジタルID(および関連する個人データ)は多くのオンラインサービスに散在しており、そのようなサービスへのアクセスは主にユーザー名とパスワードを介して実行されます。このようなアカウントベースの資格情報は、通常、サービスプロバイダーによって直接プロビジョニングされるか、サービスプロバイダーアプリケーションが連携するGoogle、Facebook、Twitterなどの大規模でかなり集中化されたIDプロバイダー(IdP)によってプロビジョニングされます。ただし、このアカウントベースのフェデレーションモデルには、いくつかの重要な制限があります。IdPがサードパーティへのサービスの提供を停止する場合があります。このIdPでサポートされているIDが危険にさらされる可能性があるため、そのIDを使用するすべてのサービスプロバイダーアプリケーションに影響を与えます。 IdPは、複数のサービスにわたる個人の活動を追跡する場合があります。 IdPは、認証に使用されているアカウントを廃止する場合があります。フェデレーションIDモデルには多くの課題がありますが、各サービスプロバイダーがユーザーに独自の資格情報のセットをプロビジョニングおよび管理するIDサイロに戻ると、ユーザーはそのようなアカウントベースの資格情報を数十個管理する必要があります。

分散型IDは、IDデータ交換の中心に個人を挿入することを試みることにより、デジタルIDエクスペリエンスの中心に個人を配置しようとします。最も単純な分散型IDは、物理的なウォレットとその中の物理的なカードを、デジタルの世界で非常によく似た概念、つまりデジタルカードを備えたデジタルウォレットにマッピングしようとします。

今日、このモデルの可能性に非常に興奮している人もいれば、懐疑的な人もたくさんいます。分散型IDとそれを支える概念は、過去数十年にわたってデジタルIDで抱えていた課題を解決しようとしますが、個人、政府、企業がどのようにそれにアプローチし、これらの各アクターがどのようにアプローチし、価値を引き出すかを予測するにはまだ時期尚早です。

分散型IDのメリット

分散型IDシステムを使用して、通常の認証シーケンス中の従来のユーザー名とパスワードを置き換えることができます。これはおそらく、ほとんどの人が考える最初のユースケースです。ただし、今日では、分散型IDコンポーネントがなくても、パスワードなしの方法での認証が可能です。そのため、分散IDの真の価値は、承認時に簡単に理解できます。承認中、サービスプロバイダーは、特定のトランザクションに伴うリスクのレベルと取得される価値のレベルに見合った1つ以上のデジタル署名された証明書の提示を個人に要求することにより、リスクを軽減できます。この機能を活用して、当事者間の信頼を高め、個人のユーザーエクスペリエンスを向上させると同時に、ビジネスのコストを削減することができます。

分散型IDの目的は、個人がデジタルIDを所有および制御し、IDデータにアクセスして使用する方法を支援することです。分散型IDの背後にある前提は、ユーザー名とパスワードの概念または従来のアカウントベースのモデルからそれを切り離します。デジタルIDは、サードパーティによってプロビジョニングおよび維持される別のユーザー名およびパスワードベースのアカウントではありません。分散型IDモデルを使用すると、個人を認証および認可して、1つのサービスでトランザクションを実行し、同じID情報を別のエンティティに提示できます。さらに、個人は独自のIDプロバイダーになることができます。これは、現在の集中型モデルまたはフェデレーションモデルでは実現がより困難です。

分散型デジタルIDとそれに関連する個人データにより、個人はそのデータへのアクセス方法と使用方法をより細かく制御できるようになります。この哲学の副産物として、個人データは、特定の使用条件とともに、必要に応じてサービスプロバイダーに個人によって提示されるべきです。この原則は、分散型アイデンティティの基本です。分散型IDエコシステムでは、単一の中央機関はありません。値は、よりpeer-to-peerの方法で交換されます。個人は個人データを管理および所有しているため、特定のアクセス許可を付与することにより、他の当事者がデータにアクセスできるようにします。これは、個人データが個人の管理外の第三者によって共有および保存される可能性があり、個人がID関連情報を共有するための使用条件を指定する手段を持たないという今日の現実とはまったく対照的です。

分散型ID環境では、運転免許証、クレジットカード、さらにはパスポート用のデジタルカードを所有し、モバイルデバイスで利用することが可能にあります。別のシナリオでは、海外に旅行中に医者を訪ねなければならないときに役立つかもしれません。今日では、簡単な口頭での説明以外に、病歴や投薬を医師と共有することは非常に面倒で実用的ではありません。ただし、発行者と検証者の健全な分散型IDエコシステムを使用すると、重要な医療情報をデジタルプライバシー保護の方法で共有できるため、医師はより適切な医療判断を下し、患者により良いサービスを提供できます。もう一つの例は、住宅所有者が有効な不動産保険の証明を提供する必要があるかもしれない住宅ローン会社です。そのために、住宅所有者は住宅ローンの貸し手に財産保険情報を提示することができ、貸し手は定期的に保険契約の現在のステータスを自分で確認することができ、定期的な確認のために貸し手にこの文書を常に提示しもらう必要がなくなります。集中型またはフェデレーションIDもこれらのユースケースをサポートする可能性がありますが、分散型IDの方が適している可能性があります。

分散型アイデンティティは、新しいビジネスモデルと価値交換を可能にする可能性があります。それは、個人が高価値の取引を実行するために直接会う必要をなくす、完全にデジタルのみの体験への道を開くかもしれません。分散型IDにより、人が物理的な財布をまったく持ち歩く必要がなく、さまざまな状況でより良い対面ユーザーエクスペリエンスが可能になる場合もあります。また、企業が顧客との信頼を検証および構築する方法を合理化する潜在的なメリットもあります。ここには明確な可能性がありますが、分散型アイデンティティに対する大きな期待が実際に長期的に完全に実現されるかどうかは、時間と市場によってのみわかります。

分散型アイデンティティの用語

以下は、分散型IDエクスペリエンスに関係する主要なコンポーネントです。これらの定義は、アクターとそれらがどのように相互作用するかを理解しやすくするために簡略化されています。

次の図は、主要なアクターとそれらの関係について概説した用語の一部を示しています。また、このドキュメントの後半で説明するサンプルシナリオも表しています。

https://bok.idpro.org/article/id/51/image1.JPG

図1-Verifiable Credentialsの発行と提示

個人を特定できる情報を分散型公開鍵インフラストラクチャに保存してはならないことに注意する必要があります。個人IDデータは、個人のデジタルウォレットまたはIDハブの一部として安全な場所に保存されます。

通常、所有者は、国境検問所で現在パスポートを提示する方法のように、商取引中にVerifiable Credentialsを検証者にリアルタイムで提示します。ただし、より高度なシナリオでは、実装によっては、所有者が所有者のIDハブ内のデータへの検証者固有のアクセスを許可できる場合があります。これにより、個人が定期的にVerifiable Credentialsを検証者に手動で提示する代わりに、検証者は個人がアクセスを許可したデータにアクセスできます。それでもなお、従来のアプローチでは、所有者がVerifiable Credentialsを検証者に明示的に提示する必要がありますが、検証者は、資格情報が発行者によって取り消されたかどうかなど、資格情報のステータスを定期的にチェックすることができます。所有者に負担をかけずにそれ自身。

用語を理解できたので、サンプルシナリオを詳しく見てみましょう。

分散型アイデンティティシナリオ

以下の例は、分散型IDエコシステムの価値と有用性のエンドツーエンドのユースケースを提供することを目的としています。これは、分散型IDフローの1つにすぎないため、分散型IDで可能なすべての包括的または網羅的な説明ではありません。

サムがファブリカム保険から自動車保険を購入したいとしますが、良いレートを得るために、ファブリカム保険はサムがコントソ大学の卒業生であることの証明を必要とします。分散型IDシナリオでは、アクターは次のとおりです。

次の一連の手順は、SamがContoso大学からデジタル卒業証書を受け取り、それを確認のためにFabrikam Insuranceに提示して、自動車保険の割引を請求するという最終目標のフローを表しています。

  1. サムは、コントソ大学から卒業を祝うメールを受け取ります。また、サムがサムの携帯電話でスキャンするために使用できるQRコードも提供します。サムは、そのようなリクエストを処理するために登録されているサムの電話上のアプリを持っています。このアプリは、時間をかけて収集されたすべてのデジタルカードを保持するサムのデジタルウォレットを表しています。サムはQRコードをスキャンし、デジタルウォレットアプリが起動します。サムのデジタル卒業証書を受け取るには、サムはコントソ大学のWebサイトにサインインする必要があることが通知されます。

  2. 私たちの場合、サムはリンクを押して、大学のWebサイトにサムの既存の資格情報を入力して認証します。または、サムがそのような資格情報を持っていなかった場合、サムは直接レジストラのオフィスに来てID証明を行い、資格情報。サムが既存の資格情報を提供すると、サムは先に進んでコントソ大学からこのデジタルカードを受け入れることができることを通知されます。サムがカードを受け入れると、サムは指紋、顔、さらにはPINなどの生体認証を使用してこの操作を保護するように求められます。サムがこのアクションを実行した後、カードはサムのデジタルウォレットに安全に保管されます。サムはカードを検査し、サムの氏名、専攻、卒業日、発行日など、カードにサムに関するデータ(大学によって証明されたもの)を表示できます。また、Samは、発行された日時、提示された相手、使用方法など、このカードが関与したアクティビティを表示できます。これらはすべて、Samの電話のデジタルウォレットアプリから実行できます。このような各アクティビティは、サムがこのカードのデータにアクセスした(またはアクセスした)ユーザーを追跡するために使用できるデジタルレシートまたは検証可能な履歴と見なすことができます。これらのデジタルレシートは、常にサムの管理下にあるサムのデジタルウォレットにカードと一緒にローカルに保存されます。より一般的には、このデジタルカードをVerifiable Credentialsと呼ぶこともできます。

  3. ここで、Samの割引を請求するために、SamはSamの携帯電話でFabrikam InsuranceのWebサイトに移動し、[資格情報の確認]ボタンに気付きます。これはディープリンクであり、サムがそれを押すと、デジタルウォレットアプリが許可リクエストで開きます。許可リクエストは、サムの割引を受けるために、ファブリカム保険がサムのためにコントソ大学の卒業生のデジタルカードを受け取る必要があることを示しています。 Samは、ユーザー名とパスワードを使用してFabrikam Insuranceに対して認証する必要も、フェデレーションIDPを使用する必要もないことに注意してください。サムは、サムがすでに持っているデジタル卒業証書をサムのデジタルウォレットに提示するだけです。私たちのシナリオでは、サムはサムのコントソ大学の卒業生のデジタルカードのみをFabrikam Insuranceに提示しますが、サムが特定の地域の居住者であることを証明する、またはサムの居住者であることを証明するデジタルカードなど、サムがサムのデジタルウォレットに持っている他のデジタルカードを提示することもできます。現住所。サムが指紋スキャンなどのサムの生体認証を使用して許可要求を承認すると、Fabrikam Insuranceはデジタルカードを受け取り、それが実際にコントソ大学からサムに発行されたことを確認できます。このデジタルカードを提示しているのはサムです。 Fabrikam。 Fabrikam Insuranceが検証を完了すると、Samに割引を提供できるようになります。サムは、サムのデジタルウォレットアプリにこのカードの領収書があることを確認できます。これは、このカードが特定の日付に、特定の目的でFabrikamの利用規約に従ってFabrikamInsuranceに提示されたことを示します。一部の実装では、SamがFabrikamInsuranceがSamのデジタルカードを表示するために必要なアクセスを取り消すことができる場合があります。この取り消しアクションにより、サムがファブリカムのサムのデジタルカードへのアクセスを取り消した日時を明確に示す別の領収書が生成される場合があります。繰り返しになりますが、サムはサムの携帯電話にあるサムのデジタルウォレットアプリからこれらすべてを実行できます。サムが時間の経過とともに収集するすべてのデジタルカードとサムの関連する領収書は、サムの管理下にあります。

  4. サムはそのようなデジタルカードをサムのデジタルウォレットに集めることができ、サムが高度なエンタープライズアーキテクチャトレーニングアカデミーに参加したい場合など、ある時点で複数のカードを提示する必要がある場合もあります。どちらも、サムがコントソ大学の卒業生であることを証明しています。認定エンタープライズアーキテクトとして。その後、アカデミーは提示された両方の資格情報を即座に確認し、サムがサムの高度なトレーニング資料にアクセスできるようにします。

サムが検証可能なプレゼンテーションをFabrikamInsuranceに送信することを明確にすることが重要です。検証可能なプレゼンテーションには、SamがContoso大学から受け取ったVerifiable Credentialsであるネストされたアーティファクトが含まれています。このようにして、検証者として機能しているFabrikam Insuranceは、次の2つの重要な要素を検証できます。

Verifiable Credentialsのデジタル署名に基づいて、Fabrikam Insuranceは、Verifiable Credentialsが本物であり、実際にContoso大学からSamに発行されたことを確認します。

検証可能なプレゼンテーションのデジタル署名に基づいて、Fabrikam Insuranceは、この資格情報のプレゼンテーションを実行しているのは実際にSamであることを確認します。

Fabrikam保険が上記を確認した後、SamにSamの自動車保険の割引を自信を持って提示することができます。

分散型アイデンティティの技術的実装

次のシーケンスは、上記と同じシナリオの技術的な説明です。分散型IDエクスペリエンスをセットアップするために実行する必要のある手順、およびVerifiable Credentialsの発行とプレゼンテーションのフローについて概説します。ただし、このシナリオでは、分散型公開鍵インフラストラクチャ(dPKI)がすでにセットアップされていることを前提としているため、ここでは詳しく説明しません。

セットアップ

  1. Contoso大学が発行者を代表しています。 Contosoは、公開鍵と秘密鍵のペアに関連付けられた分散識別子(DID)を生成し、それらのDIDをdPKIに登録します。秘密鍵は、Contoso UniversityITチームによってKeyVaultまたはハードウェアセキュリティモジュールに保存されます。対応する公開鍵は、ブロックチェーンなどの分散型台帳に公開され、誰でも見つけられるようになっています。

  2. Contoso University ITは、そのDIDをcontoso.eduなどの登録済みのパブリックドメインネームシステム(DNS)ドメインに関連付けるDIDドキュメントを公開しています。これは、ドメインリンケージのVerifiable Credentialsを表します。 Contoso University ITは、ドメインの所有権と特定のDIDの両方を証明するWebサイトでこのファイルをホストできます。検証者(Fabrikam Insuranceなど)は、このDIDドキュメントを使用して、Contoso UniversityのDID所有権を確認し、受け取ったVerifiable CredentialsがContoso Universityによって発行され、ContosoUniversityであると主張する他の発行者によって発行されていないことを確認できます。

  3. Contoso University ITは、Verifiable Credentialsの発行の要件を説明する契約を作成します。たとえば、Contoso University ITは、ユーザーが直接自己発行する必要のある証明書や、個人が最初に提供する必要のあるその他のVerifiable Credentialsを指定できます。このシナリオでは、ITチームは、学生がOpenID ConnectプロトコルをサポートするフェデレーションIdPで認証することを義務付けています。これにより、学生はセキュリティトークンを受け取り、そこから名、姓、名前などのクレームを抽出できるようになります。学籍番号。発行者は、Verifiable Credentialsで発行する属性にそれをマップできるようになります。重要なことに、Contoso Universityは、Verifiable Credentialsが準拠するスキーマを示します。これにより、世界中の他の検証者は、検証者が受け取るVerifiable Credentialsのコンテンツを利用できるようになります。

  4. 最後に、Contoso UniversityのIT管理者は、カードの色、ロゴ、アイコン、画像、役立つテキストなど、まもなく発行される検証可能な資格カードのブランドを設定およびカスタマイズできます。管理者は、資格情報データ用にカードで発行された証明書に基づいて、カードの一部として表示されるメタデータを介して、役立つテキスト文字列をカスタマイズできます。これは、コントソ大学によって発行された検証可能な資格卒業生カードのルックアンドフィールを設計するのに役立ち、発行されたデジタルカードが大学のブランドを反映していることを確認します。将来的には、これらのグラフィック要素を標準化して、学生が使用することを選択したユーザーエージェントまたはデジタルエージェントを開発するベンダーに関係なく、学生が一貫したデジタルカードのビジュアルレンダリングエクスペリエンスを享受できるようにする必要があります。

Verifiable Credentialsの発行

  1. 資格情報の発行要求フローは、SamがSamの携帯電話を使用してQRコードをスキャンしたときに始まります。発行リクエストの目的は、Samのユーザーエージェントが発行者の指示に従って資格情報の発行要件を取得し、ユーザーエージェントを介して適切なUXをユーザーに表示することです。そのため、QRコードはContoso UniversityのWebサイトに表示され、QRコードをスキャンすると、Samのデジタルウォレットモバイルアプリが開き、ユーザーエージェントからContosoUniversityへの発行要求の取得操作がトリガーされます。ユーザーエージェントは、Contoso Universityから発行要求を受信すると、資格情報を発行するためのフローを開始します。発行要求はContoso大学によってデジタル署名され、ユーザーエージェントはそのような要求の信憑性を検証できます。発行リクエストには、ユーザーエージェントがUXをレンダリングする方法と、検証可能な卒業生の資格情報を取得するためにSamが提供する必要のある情報を説明する契約への参照が含まれます。

  2. ユーザーエージェントは、リクエストが本物であることを確認した後、UXをSamにレンダリングします。このシナリオでは、Contosoがデジタル卒業生カードを発行するための特定の要件があるため、SamはSamの既存のContoso Universityアカウントでサインインする必要があります。これにより、Samの名などのクレームを含むセキュリティトークンがユーザーエージェントに発行されます。氏名、学位、卒業日。 (上記のセットアップ中に、信頼できる準拠したOpenID Connect IDプロバイダーからのセキュリティトークンを受け入れるように発行者を構成でき、ユーザーエージェントは発行プロセス中にこのIDプロバイダーを使用することに注意してください。)したがって、個人が[Login toContoso]を押すと大学のユーザーエージェントでは、ユーザーエージェントはIdPで認証するように個人をリダイレクトでき、そこで個人はユーザー名とパスワードの入力、多要素認証(MFA)の実行、の条件の受け入れなどの標準的な認証タスクを実行できます。サービス、または彼らの資格の支払いさえ。このすべてのアクティビティは、ユーザーエージェント(モバイルアプリなど)を介してクライアント側で発生します。ユーザーエージェントが最終的にIdPからセキュリティトークンを受け取ると、発行者に渡して、前述のように発行者からクレームを抽出し、それらを属性として結果のVerifiable Credentialsに挿入して、クレームを情報で強化できる可能性があります。他のソースから取得。同様に、個人がIdPで認証した後、ユーザーエージェントは、個人が自由に自己選択できる追加の入力フィールドを表示できます。個人が必要なすべての情報を提供した後、ユーザーエージェントは、必要な発行者の要件がすべて満たされていることを確認し、サムがカードを受け入れるかどうかを尋ねることができます。

  3. このシナリオでは、サムがカードを受け入れると、サムは指紋スキャンなどの生体認証ジェスチャを使用するように求められます。このアクションにより、SamのDIDの秘密鍵と公開鍵のペアが生成されます。これにより、秘密鍵は携帯電話の安全なエンクレーブに保存され、公開鍵は分散型台帳に公開されます。

  4. 最後に、発行者はSamのDIDと一緒に必要なすべての情報を受け取り、Samにデジタルカードを発行します。SamはVerifiable Credentialsを受け取ります。SamはVerifiable CredentialsのW3C標準に従ったJSON Web Token(JWT)です。 JWTには、サブジェクトのDIDであるSamと発行者のDIDであるContoso Universityの両方、資格情報のタイプ、および名、姓、専攻、卒業日などの証明書が含まれます。また、発行者であるContoso Universityによって資格情報が後で取り消された場合に、資格情報の取り消しステータスを確認する方法も含まれています。このVerifiable Credentialsは、発行者のDIDによってデジタル署名されています。

  5. ユーザーエージェントは、コントソ大学から受け取ったVerifiable Credentialsを検証すると、このデジタルカードをサムのデジタルウォレットに挿入します。これは、サムがFabrikamInsuranceなどの他の組織に提示できるカードです。

Verifiable Credentialsの提示

  1. サムが携帯電話でFabrikamInsuranceのWebサイトにアクセスして自動車保険の割引を受けると、SamはFabrikam Webサイトの[資格情報の確認]ボタン(ディープリンク)を押すか、Fabrikamによって生成されたQRコードをスキャンします。携帯電話。これにより、SamがSamのContosoUniversityの卒業生のステータスを確認するためのプレゼンテーション/確認リクエストが生成されます。リクエストには、SamがFabrikam Insuranceに提示する必要のあるカードの種類が記載されています。たとえば、Contoso UniversityのSamのデジタル卒業生カードです。このリクエストは、検証者のDID(この場合はFabrikam Insurance)によってデジタル署名されています。プレゼンテーションリクエストには、Fabrikamの利用規約を含めることもできます。

  2. リクエストの署名がユーザーエージェントによって確認された後、SamにはユーザーエージェントのUIが表示され、FabrikamInsuranceがSamのContosoUniversity卒業生カードを表示する許可を要求していることを示します。サムが彼らの割引を受けることができるようにすることに関して)。

  3. サムが携帯電話での指紋スキャンなどの生体認証ジェスチャで要求を承認した後、本質的に資格情報応答の提示(検証可能な提示とも呼ばれます)である検証応答がFabrikamInsuranceに送信されます。応答はSamの秘密鍵によって署名され、JWTペイロード内にネストされたSamに対してContosoUniversityによって発行されたVerifiable Credentialsが含まれます。

  4. Fabrikam Insuranceは、資格情報の提示を実行する人を、ネストされたVerifiable Credentialsの件名と照合して、Fabrikam Insuranceに提示しているのが実際にサムであり、他の誰でもないことを確認しようとします。したがって、SamのDIDは、Samが資格情報の提示を実行しているため、外側のJWTペイロードと、Contoso大学によって発行されたVerifiable CredentialsのサブジェクトとしてネストされたJWTペイロードの両方に存在します。プレゼンテーションのDIDが発行された資格情報の件名と一致することをFabrikamInsuranceが確認すると、SamはFabrikam Insurance Webサイトに対して認証され、Samの割引を請求する権限が与えられます。このメカニズムでは、Fabrikam Insuranceは、この資格情報を提示する人がカードが発行された人と同じであることを知っているため、これは単にユーザー名とパスワードを所有するよりもはるかに優れています。ユーザー名とパスワードを使用すると、他の誰かがそれを使用してあなたになりすますことができます。ただし、このアーキテクチャでは、これを行うのは非常に困難です。この悪意のあるタスクを実行できるようにするには、他の誰かがサムの電話の安全なエンクレーブに保存されているサムの秘密鍵を制御する必要があります。

  5. 最後に、Fabrikam Insuranceは、Samの名、姓、専攻、卒業日などのVerifiable Credentialsから必要なデータを抽出し、SamにSamの自動車保険の割引を提示できます。

  6. 資格情報の確認フローは、SamがFabrikam Insuranceによる署名済みの領収書を保存すると完了します。この領収書は、Samのウォレットのカードに関連付けられます。サムは現在、サムがサムの卒業生カードを提示したすべてのWebサイトを表示できる単一の場所を持っています。このシナリオでは、領収書には、Fabrikam Insurance、Fabrikamがカードを受け取る必要がある理由、Fabrikamの契約条件、および領収書が生成された日付に関する情報が含まれています。この署名された領収書は、サムのデジタルウォレットのカードに関連付けられており、常にサムが所有します。

  7. 一部の実装では、Samが先に進んで、FabrikamによるSamのContosoUniversityデジタル卒業生カードへのアクセスを取り消すことを決定できる場合があります。したがって、Fabrikamは、Samの要求に確実に準拠するために、必要な失効措置を実装する必要があります。その後、検証者は、サムが提示したカードのデータの使用を停止する必要があります。サムは後で、そのような必要が生じた場合にサムが失効要求を発行したことを証明できます。これは、一般データ保護規則(GDPR)への準拠に役立ちます。

シナリオの概要

上記の単純なユースケースでは、Verifiable Credentialsの発行者はContoso大学でしたが、他のコンテキストでは、発行者は雇用者、政府機関、デバイス、デーモンプロセス、または個人である可能性があります。同様に、ベリファイアは前述のアクターのいずれでもかまいません。分散型IDエコシステムは非常に広く、標準により、無数のコンテキストでデジタルインタラクションを実行するための、より柔軟で安全なプライバシー保護の方法を解き放つ機会が与えられます。

上記のフローに示されているコンポーネントは、オープンスタンダードに基づいています。Verifiable Credentialsの発行と提示のフローは、W3C Verifiable Credentials規格の基本仕様に依存し、ブロックチェーンや元帳などの分散型システムは、W3C分散型識別子の機能に基づいています。分散型台帳テクノロジーの目的は、分散型公開鍵インフラストラクチャ(dPKI)をサポートすることです。 dPKIは、DIDとその公開鍵を固定するため、少数の特権IDプロバイダーや認証局だけに依存することなく、DIDの所有権を検証できます。

Decentralized Identity Foundationは、分散IDの取り組みを主導していますが、スペースを完全に定義するための作業はまだ残っています。 3たとえば、分散型IDコミュニティは、サムの正確な生年月日を検証者に不必要に開示することなく、サムがプライバシーを保護する方法でサムの年齢を提示できるようにすることで、より良いプライバシー保護を可能にする方法について話し合っています。議論中の別の領域は、サムがサムの電話を紛失または損傷した場合に、サムが自分所有のキー回復を実行できるようにする方法です。これにより、サムは以前に取得したすべてのデジタルカードを別のデバイスまたは別のユーザーエージェントに簡単に取得できます。よりシームレスな方法。

分散型IDの制限

分散型IDには、個人の生産性を向上させ、政府や企業の既存のビジネスプロセスをデジタル化する可​​能性がありますが、既知の制限や、さらなる調査や調査が必要な領域があります。分散型IDエコシステムは、政府、企業、および個人による重要な大量採用を達成した場合にのみ成功することができます。 Appleが最初のiPhoneをリリースしたとき、購入者が新しいデバイスを手にした瞬間に、ユーザーエクスペリエンスに新しい即時の変化がもたらされました。対照的に、個人は、多くの検証者でVerifiable Credentialsを使用できない限り、発行者からVerifiable Credentialsを取得することで多くの利益を得ることができない場合があります。たとえば、デジタルパスポートは、世界中のほとんどの空港や国境検問所で使用できる場合にのみ、市民に役立ちます。組織は、健全なエコシステムがすでに整っていない限り、Verifiable Credentialsの発行者または検証者になることを躊躇する可能性がありますが、これらの新しい資格情報を発行および検証するエンティティがない限り、そのエコシステムは開発できません。

分散型IDはデジタルIDです。携帯電話やある種のコンピューティングデバイスなど、デジタルウォレットを保持するために必要な技術がなければ、デジタルIDの約束を世界中のすべての個人が実現することは非常に困難です。個人がデバイスを紛失したり、適切な予防措置を講じずにデバイスを他のユーザーと共有することにした場合、データを別のデバイスに復元したり、特定の対話を実行したユーザーを証明したりすることが困難になる可能性があります。平均的な人にこれを理解し、秘密鍵の資料を保護するように依頼することは、分散型鍵管理にとって依然として重要な課題です。

ほとんどの分散型IDのユースケースでは、開発者は関係するすべての関係者がインターネットにアクセスできると想定しています。そうではないかもしれません。個人をインターネットアクセスから遠ざける他のシナリオでは、そのようなシナリオでVerifiable Credentialsをどのように検証できるかという疑問が残ります。Verifiable Credentialsを確認するには、dPKIの情報を検索するか、少なくとも、提示されている資格情報が取り消されているかどうかを確認する必要があります。これには、ネットワーク接続が必要です。完全に切断されたオフライン環境では、これは課題を提起し、特定のコンテキストや状況での分散型IDの採用に対する潜在的な障害となります。

分散型IDの約束は、個人がデジタルIDと個人データを所有および制御できるようにすることです。ただし、個人データを含むVerifiable Credentialsをサービスプロバイダーに提供する場合、サービスプロバイダーは、マーケティング目的でこのデータを独自のデータベースにコピーしたり、ユーザーにサービスを提供し続けることができます。個人は、サービスプロバイダーがVerifiable Credentialsに対して持っているアクセスを取り消そうとすることができますが、サービスプロバイダーがそのような要求を尊重し、ユーザーに関して保存されているすべてのデータを削除するという保証はありません。これは、厳密な技術的手段によって解決するのは非常に困難な問題であり、すべての個人データを確実に保護し、監査記録を確実に保持し、紛争の管理と解決のための文書化されたプロセスを確立するために、法的およびポリシーのフレームワークを整備する必要があります。

最後に

分散型IDは、まったく新しいビジネスチャンスを可能にし、市民がIDと個人データをより管理できるようにします。今日、IT管理者は、2つの組織エンティティ間の信頼を確立するために、暗号化キー交換セレモニーを実行する必要があります。これは、数十またはおそらく数百の他のベンダーとよりアドホックな方法でビジネスを行う場合には拡張できません。今日、銀行が顧客にクレジットカードを発行すると、その顧客はそのクレジットカードを使用して、世界中のほぼすべての加盟店で購入できます。このようなシナリオでは、すべてのマーチャントがクレジットカードを発行する可能性のあるすべての銀行と事前に暗号化キーを交換することを期待することは現実的ではありません。分散型IDエコシステムは、さまざまな業界のさまざまな信頼コミュニティにガバナンス機関とフレームワークを導入することで、クレジットカード協会と同様の概念を実現できます。その結果、マーチャントまたは他の検証者は、複数の信頼フェデレーションの設定を回避できます。発行者が、検証者がすでに信頼を確立している特定のガバナンス機関のメンバーであることを証明する追加の証拠を提示するように発行者に依頼するだけです。関係。

今日のエンタープライズシナリオでブロックチェーンを採用する際の主要なハードルの1つは、分散型IDインフラストラクチャの欠如です。結局のところ、分散型ブロックチェーンネットワーク上のすべてのIDが依然として集中管理されたアカウントに依存している場合、それを使用することはあまり論理的ではありません。さらに、分散型IDエコシステムでは、消費者はオンラインでアクセスしたWebサイトや取引相手をより簡単に追跡できるようになります。どの企業があなたの個人データを持っているかを知ることができ、あなたが望むならそれへのアクセスを取り消すことができます。紙の文書や物理的なカードを共有する代わりに、完全にデジタル化され、プライバシーを保護し、監査可能な方法でデジタル文書やデジタルカードを共有することができます。組織の場合、個人データは個人の管理下にあるIDハブに保存されるため、GDPR関連のリスクが軽減される可能性がありますが、組織はユーザーによって許可された特定のデータにのみアクセスできます。さらに、個人はデータへのアクセスを取り消す機会があり、これにより組織のGDPRコンプライアンスが簡素化されるだけでなく、個人に対するそのような要求が合理化される可能性があります。また、個人が実際に特定のデータを提供した証拠として暗号化された証拠を所有できるため、GDPRへの準拠が容易になる可能性があります。

結論

分散型IDは、IDおよびアクセス管理コミュニティが過去にIDにアプローチしてきた方法からの概念的な変化ですが、数十年にわたって存在していたアカウントベースのIDモデルと共存することができます。分散型IDは、承認の決定を行うために高い信頼性の保証を必要とするトランザクションに多くの価値を追加できます。個人が従来の「アカウント」を使用してWebサイトで認証を続ける場合、たとえば、別の個人または組織に多額のお金を送金するために、Verifiable Credentialsを提示する必要があることを妨げるものではありません。これにより、デジタルコマースの無数の新しい機会を開拓し、世界中の消費者、従業員、市民がより安全、安全、プライバシーを保護する方法でWeb上で取引できるようになります。今日の私たち全員が物理的なウォレットや物理的なカードを使用する方法のように、それはデジタルカードを備えたデジタルウォレットへの道を開くかもしれません。Verifiable Credentialsは、その多くが、私たちがすでに財布に毎日入れている物理的なカードのデジタル表現にすぎないため、簡単に推論できます。

私たちはまだ分散型アイデンティティの初期段階にあります。単一の企業が単に市場にリリースできる技術ではありません。発行者、保有者、検証者の健全なエコシステムを持つためには、基準と民間部門と公共部門の間の協力の両方が必要です。私たちが最終的に重要な大量採用に到達したとき、デジタル体験は今日の体験とは大きく異なって見えるかもしれません。分散型IDは、IDスペースにおけるエキサイティングな開発であり、より信頼できるデジタルエクスペリエンスを提供し、すべての人により多くの価値をもたらす可能性があります。


著者略歴

https://bok.idpro.org/article/id/51/image2.jpeg

著者Leo Sorokinは、金融、製造、ソフトウェア業界の大規模な組織で、さまざまなソリューションアーキテクチャとエンタープライズアーキテクチャの役割で10年以上の経験があります。彼は現在、マイクロソフトのクラウドソリューションアーキテクトであり、カナダ最大の組織がクラウドテクノロジーを採用するのを支援しています。 Leoは、ID、サービス指向アーキテクチャ、アプリケーション統合、クラウドネイティブアプリケーション、ハイブリッドクラウドアーキテクチャ、およびセキュリティソフトウェアアーキテクチャに関する豊富な経験を持っています。 Leoは、マイクロソフト認定のAzureソリューションアーキテクトであるTOGAF®9認定も取得しており、ヨーク大学でコンピューターサイエンスの学位を取得しています。レオはまた、いくつかの教育機関でテクノロジー関連のコースを教えてきました。