分散型デジタル・アイデンティティ入門

著者：ICBC金融技術研究所ブロックチェーン研究チーム

インターネットの出現と普及に伴い、デジタルIDは徐々に日常生活に溶け込み、伝統的なID（IDカードやフクオ帳などの物理的な書類）は徐々にデジタルIDに取って代わられた。デジタルIDは徐々に私たちの日常生活に溶け込み、伝統的なID（IDカードやhukou bookのような物理的な書類）は徐々にデジタルIDに取って代わられました。現在、われわれが使用しているデジタル ID は主に中央集権化されたデジタル ID であり、単一のサービス・プラットフォームが ID 情報管理と ID 認証サービスを提供している。同時に、サービス・プラットフォームは、合意に従って、一方的にユーザー・アカウントを 無効化または取り消すことができ、回復後にアカウントを他のユーザーに再割り当てするこ ともできる。 これらのアカウント（携帯電話番号や電子メールアドレスなど）がユーザーの他のア カウントと関連付けられ、SMS 認証コードを通じてログインしたりパスワードをリセット したりする場合、他人のアカウントを不正に使用したり他人の情報をのぞき見したりする リスクがある。また、各サービスプラットフォームは、大量のユーザーIDデータを保有しており、管理レベルの違いにより、データ流出事例が随時発生している。以上のような問題を解決するために、ブロックチェーンに代表される分散型台帳技術と組み合わせることで、業界では分散型デジタルIDという解決策が提案されている。本稿では、分散型デジタルID技術の原理を簡単に紹介し、金融業界における応用の展望を展望する。

I.分散型デジタルIDとは

デジタルIDとは、サイバー空間におけるエンティティ（人、デバイス、アプリケーションなど）のIDのマッピングである。これはエンティティの ID のデジタル表現である。デジタル ID は主にデジタル ID マークと ID 属性で構成され、デジタル ID マークはエンティティ ID の ID カード番号に相当し、ID 属性は性別、年齢、自宅住所、個人的な趣味など、エンティティ ID に関連するすべてのデジタル情報に相当する。従来のデジタル ID は集中型のデジタル ID であり、単一のアプリケーション・サービス・プラット フォームによって提供および管理される。

分散型アイデンティティ（DID）は、分散型デジタルアイデンティティ（DID）またはブロックチェーンベースのデジタルアイデンティティ（BDI）としても知られ、分散型台帳技術によって分散化された新しいタイプのデジタルアイデンティティです。DIDによって、ユーザーは中央集権的なサービスプロバイダーに依存するのではなく、自分のデジタルIDを所有し、管理することができます。

従来の中央集権化されたデジタルIDと比較して、DIDは管理、プライバシー保護、相互運用性、セキュリティ、管理コストの面で利点があります。管理という点では、ユーザーはサードパーティ組織に依存することなく、自分の ID データの保存方法と使用方法を決定できる。プライバシー保護の面では、ユーザーの ID 情報はユーザーの承認がある場合にのみアクセスおよび使用できるため、ユーザー情報の誤用や漏えいのリスクが低減される。相互運用性の面では、統一されたオープンな仕様プロトコルに従うことで、プラットフォーム、組織、およびシナリオ全体で、ユーザー認証されたIDデータを共有および使用することができ、ユーザーが異なるプラットフォームやアプリケーションで異なるアカウントに繰り返し登録する必要がなくなります。セキュリティの面では、ユーザーIDデータは分散型台帳（ブロックチェーンなど）を通じて公開・検証されるため、改ざんや悪用のリスクが低減します。管理コストの面では、ユーザーIDデータはユーザー自身が管理することができ、企業はユーザーIDデータを保存・保管するために大量のリソースを投資する必要がありません。

分散型デジタルID（DID）技術

近年、業界はW3C（World Wide Web Consortium）のDID仕様やプロトコルを含む、DIDに関する一連の技術標準やプロトコルを開発してきました。W3C（ワールド・ワイド・ウェブ・コンソーシアム）のDID仕様とプロトコルは広く認知され、適用されており、業界のDID製品は基本的にこれらの仕様とプロトコルに準拠している。W3C仕様では、DIDの構成には主に分散ID、検証可能なクレデンシャル、分散台帳が含まれる（図1）。

図1 分散型デジタルIDの構成要素

分散IDデザイナー（DID Designer）は、フォーマット固有の文字列（フォーマット：did:example:123456789abcdefghi）で、次のように使用できる。DID 識別子は公開鍵-秘密鍵のメカニズムを使用して、秘密鍵署名と公開鍵検証による認証を実現します。各DID識別子はDID文書にバインドされ、最も重要な公開鍵情報を含むDID識別子の関連情報を記録するために使用される。公開鍵はDID文書とともにネットワーク全体の分散台帳に公開され、秘密鍵はエンティティ自身が保持し、分散型のデジタル認証方式を実現する。

検証可能なクレデンシャルは、日常生活におけるさまざまな証明（出生証明書、所得証明書など）と同様、一般的に信頼できる機関によって発行されます。検証可能なクレデンシャルには、指定されたユーザーに関する発行者の情報（例えば、病院が発行する出生証明書。この証明書には、所持者の出生時刻と出生場所、および両親に関する情報などが含まれている）が記載されているだけでなく、発行者の DID で識別された秘密鍵を使用して生成されたデジタル署名も含まれている。秘密鍵は発行者が保持し使用するため、他の誰もそれを偽造できない。 同時に、他のユーザは、クレデンシャルが信頼できる機関によって発行され、クレデンシャルのコンテンツが改ざんされていないことを検証するなど、迅速な検証のために公開鍵を使用することができ、クレデンシャルが信頼でき権威のあるものであることを保証する。

分散型台帳は、ピアツーピアのネットワークに基づくデータベースで、分散化を中核機能の1つとしており、すべての参加者間で台帳の記録が一貫していることを保証するために、すべてのトランザクションはコンセンサスメカニズムによって検証される必要があります。分散型台帳を使ってDID識別子を登録・管理し、DID文書を保存・公開することで、権威ある中央集権的なCA（認証局）がなくても、DID識別子をネットワーク全体で一意にすることができ、各エンティティは一意な識別子を1つ（または複数）持つことができる。さらに、すべてのユーザーは分散型台帳を通じてDID識別子の公開鍵を入手し、ユーザーによって提供されたデジタル署名と認証情報を検証することができる。

第三に、分散型デジタルIDのワークフロー

W3C仕様は、検証可能なクレデンシャルのフローの参照モデルも提案しています。このモデルは、ID 保持者、クレデンシャル発行者、クレデンシャル検証者、および検証可能なデータ・レジストリで構成される（図 2）。

図2 検証可能なクレデンシャルフロー・モデル

ID保持者は、1つまたは複数のDID識別子と検証可能なクレデンシャルを持つエン ティティである。クレデンシャル発行者もまた、1つまたは複数のDID識別子と一定レベルの 権限を持つエンティティであり、たとえば政府部門、金融機関などである。クレデンシャル検証者は一般にサービス・プロバイダであり、ID 保持者から提供された 1 つまたは複数の検証可能なクレデンシャルを受け取って ID 保持者の ID を確認し、資格のあるユーザにサービスを提供する。DID文書の保存と公開に分散型台帳（ブロックチェーンなど）を採用する。

検証可能なクレデンシャルフローモデルのワークフローは、IDの登録、クレデンシャルの要求、クレデンシャルの発行、クレデンシャルの保存、クレデンシャルの提示、クレデンシャルの検証という6つの主要セグメントで構成される。

IDの登録

ID所有者、クレデンシャル発行者、およびクレデンシャル検証者は、最初に検証可能なデータレジストリにDIDを登録し、ネットワーク全体の一意のデジタルIDを取得する必要がある。固有のデジタル ID を取得する。ID を登録する操作は、暗号アルゴリズムによって公開鍵と秘密鍵のペアを生成することで、ユー ザーが自律的に行うことができる。秘密鍵はユーザーが保持し、公開鍵は検証可能データ・レジストリの DID 文書の一部として登録される。

クレデンシャルを要求する

前述したように、「デジタルIDは主にデジタルIDマークとID属性で構成される。「ID登録によって、ユーザーはネットワーク全体で一意のデジタルIDマークを取得し、ID属性は検証可能なクレデンシャルによって実現する必要がある。すべてのエンティティは検証可能なクレデンシャルを発行できるが、サービス・ プロバイダは、信頼し認識するサービス・プロバイダによって発行された検証可能なクレデン シャルのみを受け入れる。したがって、ユーザーは、クレデンシャル発行者として誰もが信頼し認識するサービス・ プロバイダを選択して、そのデジタル・クレデンシャルを発行する必要がある。

クレデンシャルの発行

クレデンシャル発行者は、ユーザーによって提供された ID 情報を検証してから、ユーザーが必要とするデジタル・クレデンシャルを発行する。電子署名によって生成されたクレデンシャル発行者の DID ID 秘密鍵を持つクレデンシャルは、裏書内容の文中のクレデンシャルのためであるため、ユーザーはクレデンシャルを通して提示され、その ID と権利を証明することができる。

クレデンシャルの保持

クレデンシャル発行者がユーザーにクレデンシャルを発行した後、ユーザーは ID 保持者として、自身の ID 属性情報を運ぶデジタル・クレデンシャルに対して独立した制御権を持つ。

クレデンシャル発行者はユーザにクレデンシャルを発行し、ユーザは ID 保持者として自分の ID 属性情報を持つデジタル・クレデンシャルを自律的に制御できる。

クレデンシャルの提示

サービス・プロバイダは、ユーザにサービスを提供する前に、ユーザの ID と権利を確認するためにクレデンシャル検証者として動作する必要があり、ユーザが ID と権利を証明するために適切なクレデンシャルを提供する必要がある。ユーザーは、自分の ID および権利を証明できる対応するクレデンシャルを提供する必要がある。ID 保持者であるユーザーは、保存されたクレデンシャルのリストから要件を満たすクレデンシャルを選択し、サービスプロバイダに提供する。

クレデンシャルの検証

サービスプロバイダはクレデンシャル検証者として、ユーザーから1つまたは複数のクレデンシャルを受け取り、クレデンシャルからクレデンシャル発行者のDIDを取り出すことができる。クレデンシャル検証者としてのサービス・プロバイダは、ユーザから提供された 1 つ以上のクレデンシャルを受け取り、クレデンシャルからクレデンシャル発行者の DID を取得することができ、検証可能なデータ・レジストリからクレデンシャル発行者の DID の公開鍵を取得し、クレデンシャル内のデジタル署名を検証することで、クレデンシャルの真正性を確 認し、改ざんの有無にかかわらずクレデンシャルの内容を確認することができる。検証後、サービス・プロバイダは適格なユーザーに関連サービスを提供する。

全体として、分散型デジタルIDと従来の中央集権型デジタルIDの主な違いは、サービスプロバイダがサードパーティの認証サービスに依存せずにユーザーを認証できることである。ユーザーは自分の認証データ（秘密鍵と認証情報）を保持し、必要なときにサービス・プロバイダーに提供する。認証情報は分散型台帳を通じて保存・公開され、サービス・プロバイダーは検証可能なデータ・レジストリからDID IDの公開鍵を取得し、ユーザーから提供されたデジタル署名とデジタル認証情報を検証して、ユーザーの身元を確認することができる。

4、分散型デジタルIDアプリケーション

分散型デジタルIDは、異なるプラットフォームや機関間でのユーザー認証の問題を解決できます。データ共有やコラボレーションなど以下は、サプライチェーンファイナンス、デジタル資産、データ流通アプリケーションにおける分散型デジタルIDの役割の一例です。

サプライチェーンファイナンス

サプライチェーンファイナンスにおける問題には、情報の非対称性や不十分なリスク防止、管理、規制などがあります。さまざまな種類の情報がさまざまな参加者の手に散在し、オフラインプロセスの紙文書の真正性を確認することが難しく、川上や川下のマルチレベルのサプライヤーや販売業者は、中核企業の信用を活用して融資を実行することができないため、中小企業（SME）の資金調達が困難になっています。分散型デジタルIDは、サプライチェーンファイナンスに統一的なID認証メカニズムを提供することができ、検証可能な認証情報によって、参加者は技術的手段を通じて情報や文書の流れの真正性と有効性を検証し、リスクの予防、管理、監督を改善し、取引を追跡可能でオープンで透明なものにし、中核企業の信用を川下の中小企業に伝達することを実現し、サプライチェーンにおける中小企業の資金調達が困難で高コストであるという問題を解決することができる。

デジタル資産

デジタル資産の問題には主に、デジタル資産の認証と私有化、デジタル資産の出所における真正性の問題が含まれる。デジタル資産の分野での分散型デジタル ID 技術の応用には、主にデジタル資産取引と所有権検証が含まれる。デジタル資産取引の面では、参加者は第三者機関に依存することなく、本人確認に分散型デジタルIDを使用することができ、取引のプライバシーとセキュリティの向上に役立ちます。所有権検証の面では、デジタル資産の所有者は、検証可能なクレデンシャルによって資産の所有権を証明することができ、デジタル資産の盗難や不正使用の防止に役立ちます。

データ循環

データ循環における問題点には、複雑なデータの共有と循環があり、一方ではデータの所有権を定義することが難しく、他方ではユーザー情報を適切に保護することが難しく、プライバシー漏えいの影響を受けやすい。一方ではデータの所有権を定義することが難しく、他方ではユーザー情報を適切に保護することが難しく、プライバシーが漏洩しやすい。分散型デジタル ID は、データの流通において重要な役割を果たす。 データの共有と流通の面では、分散型デジタル ID システムを使用することで、ユー ザまたは機関は、他の個人や機関が自分のデータにアクセスすることを承認できると同時に、データのア クセス権と共有範囲を制御できるため、データの漏えいや乱用を回避できる。さらに、検証可能なクレデンシャルと組み合わせることで、データ購入者はデータ販売者の身元とデータの真正性を確認することができ、データ詐欺や偽造を回避し、データの流通と利用を促進することができる。

分散型デジタルIDは応用範囲が広く、より安全で信頼性の高いID認証・管理手段を提供できるため、運用・保守のリスクとコストを削減できる。現在、分散型デジタル ID はまだ継続的な開発と改善の過程にあり、国内の適用シナリオは 主に試験的検証に基づいている。個人情報主権およびプライバシー保護に対する利用者の要求の高まり、関連する国内法 律および規制の継続的な改善、金融科学技術の継続的な発展、デジタル化の加速化、Web3.0 やメタ・ユニバースなどの最先端分野における革新的なシナリオの継続的な探求に伴い、分散型デジ タル ID はますます広く使用されるようになり、将来の ID 認証システムを構築するための不可欠なイ ンフラストラクチャとなり、より良い方法で働き、生活する機会をもたらすと考えられる。それは、私たちの仕事や生活にさらなる利便性と安全性をもたらすだろう。