DID从提出到现在已经有四年时间,各行业协会、互联网平台、基金会都在积极推动并完善DID技术。经过长时间探索,W3C于2021年8月3日发布了DID 1.0版白皮书。相比初期0.1版搭建了一个全新的身份标识体系,到1.0版开始考虑如何融合市场上已有的身份标识方法。其他协会、组织及企业也基于W3C的DID规范提出了多种DID Method,但距离DID技术落地应用,仍然有很多问题需要进一步去解决,主要包括:
1、如何满足合规性要求?
互联网最初只需要通过用户名/密码实现平台身份验证即可,但为了满足合规要求,增加了物理世界身份验证。这种方法初衷是为了让网络用户的行为可问责、可追溯,逐步建立网络信任体系,但负面影响是造成大量个人信息泄露。DID有效解决了这些问题,但面临的仍然是合规性问题。虽然当前未出台相关规定,但不远将来肯定会面临如何将不同的DID映射到具体主体的问题,同时需要考虑这种映射关系,是否会造成新一轮信息泄露问题?该问题有待进一步探讨及观察。
2、如何验证DID与持有人之间的关系?
DID具有匿名性,当前主流DID技术给出的解决方案是:谁持有DID,谁就有权享受相关权益。这种方案无法验证DID提供者是不是本人,也无法避免DID被盗取并用于非法目的。虽然部分DID Method提出将DID映射到中心化数据库,通过中心化的一套方法验证DID提供者是不是本人的问题,但这仍将给个人信息保护留下漏洞,例如是否能够通过中心化数据库倒推出DID持有人?
3、DID如何市场化推行?
DID市场化过程中,当前有两方面瓶颈:第一方面,没有企业愿意主动放弃用户数据;用户数据如同平台护城河,产生了大量价值,如果同意DID的使用,就等于同意拆除护城河,对于互联网企业是致命性打击。第二方面,DID技术推行谁来买单?第一,不同用户愿不愿意为自己的身份信息买单?换句话说,用户是否愿意向类似智能钱包这种供应方付费?虽然未来个人行为数据有机会变现,并足够支付这部分费用,但商业模式不清晰的情况下,有多少人感兴趣参与其中?第二,DID技术将打破各平台方原有数据管理结构,必定需要新增相关验证平台,相关成本谁来承担?这些瓶颈将会极大阻碍DID技术的推行,如何平衡相关方利益关系,目前仍没有理想的方案。
4、密钥管理风险大
DID的可信性主要依赖于密钥技术,如果第三方机构的私钥被窃取,会不会出现随意签发证书的行为?或者某个身份主体将私钥无意丢失,是否永远无法使用这些DID证书?这些问题目前没有非常理想的解决方案,对于现实使用也会提出较大挑战。
5、身份信息泄露风险
相比传统身份信息管理手段,DID已经在很大程度上提升了数据的安全性,但在XM账户xmvay.com具体应用中仍有一定的风险,例如当第三方收集足够量的个人DID数据时,有可能通过海量数据进行逆向推理,发现DID标识符之间的映射关系并推出物理世界的个人身份。这一问题的根本原因在于大多基于W3C的DID Method是静态身份,而非动态身份;如果未来能够设计一套动态身份管理体系,定期可以更新DID标识符,那么即使第三方能够收集到部分DID Subject的数据,但也无法通过海量数据发现DID之间的关联关系。
