身分を証明するアイデンティティは、今日の生活のほぼすべての側面の基盤となっています。 オンラインサービスの利用、銀行口座の開設、選挙での投票、不動産の購入、雇用の確保、これらすべてにおいて身分証明が必要です。
しかし、従来の身分証明書管理システムは、ID とアテステーションを発行、保有、管理する中央管理型の仲介機関に長く依存してきました。 つまり、自分の身元証明に関する情報を自分自身で管理したり、誰が個人を特定できる情報(PII)にアクセスできるか、またこれらの機関がどのくらいアクセス権を持っているかを決めることはできないということです。
こうした問題を解決するために、イーサリアムのようなパブリックブロックチェーン上に分散型アイデンティティシステムを構築しています。 分散型アイデンティティでは、自分の身元証明に関する情報を管理することができます。 サービスプロバイダーや政府などの中央機関に依存することなく、自分自身で身分証明を作成し、本人であるというアテステーションを主張・保持することができます。
ア��イデンティティとは?
アイデンティティとは、自分が自分であるという自覚で、その人が誰であるかということを表す性質や特徴により定義されます。 アイデンティティとは、個であること、すなわち一人の確たる人間存在であることを意味します。 またアイデンティティは、組織や行政機関などのように人間ではない存在を指すこともあります。
ID とは
身分を証明する ID とは、特定のアイデンティティを指し示す情報のことです。 一般的な ID には、次のようなものがあります。
- 名前
- 社会保障番号、納税者番号
- 携帯電話番号
- 生年月日と出生地
- 電子メールアドレス、ユーザー名、アバターなどのデジタル身分証明書
上記のような例では、ID は中央機関や組織により発行、保持、管理されています。 氏名の変更には政府からの、ユーザー名の変更にはソーシャルメディアからの承認が必�要です。
アテステーションとは
アテステーションとは、ある存在が別の存在に対して行われる証明を意味します。 例えばアメリカに住んでいる場合、車両管理局(ある存在)が、あなた(別の存在)が合法的に車の運転を許可されているということを証明するために運転免許証を発行します。
アテステーションは身分を証明する ID とは異なります。 アテステーションには、特定のアイデンティティを参照するための ID を含み、また当該アイデンティティに関連する属性についても証します。 つまり、運転免許証には身分を証明する ID(氏名、生年月日、住所)が含まれ、同時に、運転できるという法的権利(属性)に関しても証明します。
分散型 ID とは
氏名やメールアドレスといった従来の ID は、政府やメールプロバイダーといったサードパーティに依存します。 分散型 ID (DID)は、中央集権組織により発行、管理、制御されないという点で異なります。
分散型 ID は、自分自身で発行、保有、管理することができます。 イーサリアムアカウントは、分散型 ID の一例です。 誰からの許可も不要で、また中央台帳に保存する必要もなく、好きなだけアカウントを作成することができます。
分散型 ID は、分散型台帳(ブロックチェーン)やピアツーピアネットワークに格納されるため、 分散型 ID は世界的に一意で、高い可用性で解決可能で、暗号技術で検証可能(opens in a new tab)なものです。 分散型 ID は、人、組織、政府機関など、さまざまなエンティティに関連付けることができます。
分散型 ID を実現する技術
1. 公開鍵インフラストラクチャ(PKI)
公開鍵インフラストラクチャ(PKI)とは、あるエンティティに対して公開鍵と�秘密鍵を生成する情報セキュリティのことです。 公開鍵の暗号技術は、ブロックチェーンネットワークにおいて、ユーザーの身分を認証し、デジタル資産の所有権を証明するために使用されます。
イーサリアムアカウントなどの分散型 ID には、公開鍵と秘密鍵があるものがあります。 公開鍵はアカウントのコントローラを識別し、秘密鍵はこのアカウントのメッセージに署名および復号化します。 公開鍵インフラストラクチャ(PKI)は、暗号署名(opens in a new tab)を使用し、すべての主張を検証し、エンティティを認証し、なりすましや偽の ID の使用を防ぎます。
2. 分散型データストア
ブロックチェーンは、検証可能なデータレジストリとして、オープンかつ信頼性の高い、分散型の情報リポジトリとして機能します。 パブリックブロックチェーンにより、中央集権的なレジストリに ID を保存する必要がなくなります。
分散型 ID の正当性を確認する必要がある場合は、ブロックチェーンで関連する公開鍵を調べることができます。 ここが、サードパーティによる認証を必要とする従来の ID とは異なる点です。
分散型アイデンティティを可能にする分散型 ID とアテステーション
分散型アイデンティティとは、アイデンティティに関連する情報は自己管理され、プライベートでポータブルであるべきという考え方であり、分散型 ID とアテステーションにより成り立っています。
分散型アイデンティティの文脈では、アテステーション(検証可能な資格情報(opens in a new tab))とは、改ざんできず、暗号学的に検証できる発行者の主張です。 エンティティ(組織など)が発行するすべてのアテステーション、すなわち検証可能な資格情報は、その分散型 ID (DID)と紐づけられます。
分散型 ID (DID)はブロックチェーンに保存されるため、発行者の DID をイーサリアム上で照合すれば、誰でもアテステーションの正当性を確認することができます。 基本的に、イーサリアムのブロックチェーンは、特定のエンティティに関連する分散型 ID の検証を可能にするグローバルディレクトリのように機能します。
分散型 ID は、アテステーションが自己管理でき、検証可能である理由となります。 発行者が存在しなくなったとしても、ID の保有者は常にアテステーションの出所と正当性を証明することができます。
また、分散型 ID は個人情報のプライバシーを保護する上でも非常に重要になります。 例えば、個人がアテステーション(運転免許証)を提出する場合、検証者は証明書の情報の正当性を確認する必要はありません。 検証者は、アテステーションの正当性の暗号学的な保証と、発行組織のアイデンティティだけで証明書の正当性を判断できます。
分散型アイデンティティにおけるアテステーションの種類
イーサリアムベースの分散型アイデンティティにおいては、アテステーション情報をどのように保存し、取得するかは、従来のアイデンティティ管理とは異なります。 ここでは、分散型 ID システムにおけるアテステーションの発行、保管、検証のためのさまざまなアプローチの概要を説明します。
オフチェーン・アテステーション
アテステーションをオンチェーンで保存する場合の懸念点として、個人が秘密にしたい情報が含まれている可能性があることが挙げられます。 イーサリアムのブロックチェーンはパブリックな性質を持っているため、個人情報が含まれるアテステーションを保存することは望ましくありません。
解決策としては、ユーザーがオフチェーンでデジタルウォレットに保有し、オンチェーンで保存されている発行者の分散型 ID (DID)で署名されたアテステーションを発行することです。 これらのアテステーションはJSON ウェブトークン(opens in a new tab)としてエンコードされ、発行者のデジタル署名を含んでいるため、オフチェーンでの主張を簡単に検証することができます。
ここで、仮想シナリオを用いてオフチェーン・アテステーションの説明します。
大学(発行者)は証明書(デジタル学術証明書)を生成し、大学の鍵で署名し、ボブ(アイデンティティ所有者)に発行します。
ボブは就職活動で、自分の学歴を雇用主に証明するため、モバイルウォレットからアテステーションを共有します。 企業(検証者)は、発行者の分散型 ID (イーサリアム上の公開鍵)を確認することで、アテステーションの正当性を確認することができます。
永続的なアクセスによるオフチェーン・アテステーション
この方式のアテステーションでは、JSON ファイルに変換され、オフチェーンに保存されます(理想�的には、IPFS や Swarm などの 分散型クラウドストレージ プラットフォーム上)。 ただし、JSON ファイルのハッシュはオンチェーンに保存され、オンチェーンレジストリ経由で分散型 ID にリンクされています。 紐づけられる分散型 ID は、アテステーションの発行者または受取人のどちらかのものであることがあります。
このアプローチにより、アテステーションはブロックチェーンベースの永続性を得て、主張する情報を暗号化し検証可能な状態に保つことができます。 また、秘密鍵の保有者は情報を復号化できるため、選択的に開示することも可能です。
オフチェーン・アテステーション
オンチェーン・アテステーションは、イーサリアムのブロックチェーン上のスマートコントラクトに保持さ��れます。 スマートコントラクト(レジストリとして機能)は、アテステーションを該当するオンチェーン分散型 ID 公開鍵)にマッピングします。
ここでは、オンチェーン・アテステーションがどのように機能するか例を紹介します。
ある企業(XYZ Corp)は、スマートコントラクトを使用して所有権の株式を売却することを計画していますが、バックグラウンドチェックを通った買手のみを求めています。
XYZ Corp は、バックグラウンドチェックを行う会社に、イーサリアム上でオンチェーン・アテステーションを発行してもらうことができます。 このアテステーションは、個人情報を明かすことなくバックグラウンドチェックに通ったことを証明するものです。
株式を売却するスマートコントラクトは、レジストリコントラクトで審査した買い手の身元を確認し、株式の買手を判断することができます。
ソウルバウンド・トークン��とアイデンティティ
ソウルバウンドトークン(opens in a new tab)(譲渡不可の非代替性トークン)は、特定のウォレットに固有の情報の収集に使用される可能性があります。 これは、特定のイーサリアムアドレスに結びついた一意のオンチェーンアイデンティティを効果的に作成し、業績(例えば、特定のオンラインコースの修了や、ゲームで閾値のスコアの通過など)やコミュニティへの参加を表すトークンを含むことができます。
分散型アイデンティティの利点
分散型アイデンティティは、自分自身の ID 情報をより管理することができます。 中央集権機関やサードパーティのサービスに依存することなく、分散型 ID とアテステーションを検証することができます。
分散型アイデンティティのソリューションは、信頼性が高く、シームレスで、プライバシーを保護しつつ、ユーザーのアイデンティティの検証と管理を容易にします。
分散型アイデンティティは、ブロックチェーン技術を活用し、異なる当事者間の信頼関係を構築し、暗号的にアテステーションの正当性を証明することができます。
分散型アイデンティティは、アイデンティティデータのポータブル化を実現します。 ユーザーは、アテステーションと ID をモバイルウォレットに保存し、任意の相手と共有することができます。 分散型 ID とアテステーションは、発行組織のデータベースに保管されることはありません。
分散型アイデンティティは、新しいゼロ知識証明技術とうまく機能すると考えられています。ゼロ知識証明とは、個人の所有または何かを行ったことを、それが何であるかを明かすことなく証明できるものです。 これは、投票などのアプリケーションでの応用において、信頼性とプライバシーを両立させる強力な方法となる可能性を秘めています。
分散型アイデンティティは、一人の人間が複数の人間になりすましてゲームやスパムを行う場合、それを特定でき、シビル攻撃を防ぐことができます。
分散型アイデンティティのユースケース
分散型アイデンティティには、多くの潜在的なユースケースがあります。
1. ユニバーサルログイン
分散型アイデンティティは、パスワードによるログインを分散型認証(opens in a new tab)に置き換えることができます。 サービスプロバイダーは、アテステーションを発行することができ、ユーザーはそれをイーサリアムのウォレットに保存できます。 アテステーションの例としては、非代替性トークン(NFT)保有者にオンラインコミュニティへのアクセス許可などが挙げられます。
イーサリアムでサインイン(opens in a new tab)機能を使うと、サーバはユーザーのイーサリアムアカウントを確認し、アカウントアドレスから必要なアテステーションを取得することができます。 これにより、ユーザーは長いパスワードを記憶することなくプラットフォームやウェブサイトにアクセスでき、オンライン・エクスペリエンスを向上させることができます。
2. KYC 認証
オンラインサービスの多くを利用するには、運転免許証やパスポートなどのアテステーションを提出する必要があります。 しかし、この方法では、ユーザーの個人情報が漏洩するおそれがあり、サービスプロバイダーはアテステーションの正当性を確認できないという問題があります。
分散型アイデンティティにより、企業は従来の本人確認(KYC)(opens in a new tab)プロセスを省略し、検証可能な資格情報を利用してユーザーのアイデンティティを認証することができます。 これにより、ID 管理のコストを削減し、偽造文書の使用を防ぐことができます。
3. 投票とオンラインコミュニティ
オンライン投票とソーシャルメディアは、分散型アイデンティティの新しい適用です。 オンライン投票の仕組みでは、悪意ある者が偽の ID を作成し投票することで、改ざんされるおそれがあります。 個人に対してオンチェーン・アテステーションを求めることで、オンライン投票プロセスの信頼性を向上できます。
分散型アイデンティティは、偽アカウントのないオンラインコミュニティの構築に役立ちます。 例えば、ENS(イーサリアム・ネーム・サービス)のようなオンチェーンのアイデンティティシステムを使って認証させることで、ボットを減らすことができる可能性があります。
4. シビル攻撃の防御
シビル攻撃とは、一人の人間が偽って複数の人間と思わせ、影響力を増大させることです。 クアドラティック・ボーティング(opens in a new tab)を用いた助成金授与アプリケーション(opens in a new tab)では、より多くの投票が集まることで助成金の価値が上がり、多くの ID を使って寄付するというインセンティブが働くため、こうしたシビル攻撃を受けやすくなっています。 分散型アイデンティティは、多くの場合、特定の個人情報を明らかにすることなく、各参加者自身が機械ではなく本当に人間であることを証明するという負担を高めることで、シビル攻撃の防止に役立ちます。
分散型アイデンティティの利用
分散型アイデンティティソリューションの基盤としてイーサリアムを使用する、大掛かりなプロジェクトが数多くあります。
- イーサリアム・ネーム・サービス(ENS)(opens in a new tab) - イーサリアムウォレットアドレス、コンテンツハッシュ、メタデータなどのオンチェーン、機械読み取り可能な ID の分散型ネーミングシステム
- SpruceID(opens in a new tab) - サードパーティーのサービスに頼らず、イーサリアムアカウントと ENS プロファイルでデジタルアイデンティティを管理できるようにする分散型アイデンティティプロジェクト
- Proof of Humanity(opens in a new tab) - Proof of Humanity (PoH)は、イーサリアム上に構築されたソーシャル ID 認証システム
- BrightID(opens in a new tab) - ソーシャルグラフの作成と分析を通じて、本人確認の改革を目指す分散型オープンソース・ソーシャルアイデンティティネットワーク
- Proof-of-personhood Passport(opens in a new tab) - 分散型デジタル ID アグリゲーター
参考文献
記事
- ブロックチェーンの活用事例: デジタル ID におけるブロックチェーン(opens in a new tab) —ConsenSys
- イーサリアム ERC725 とは ブロックチェーン上の自己主権型 ID 管理(opens in a new tab) — Sam Town
- ブロックチェーンはデジタル ID 問題をどのように解決するか(opens in a new tab) — Andrew R. Chow
- 分散型アイデンティティとは、注目に値する理由(opens in a new tab) — Emmanuel Awosika
ビデオ
- 分散型アイデンティティ(ボーナスライブストリームセッション)(opens in a new tab) — Andreas Antonopolous による分散型アイデンティティに関する秀逸な解説ビデオ
- イーサリアムでサインインし、Ceramic、IDX、React、および 3ID Connect を使用した分散型 ID(opens in a new tab) — Nader Dabit によるイーサリアムウォレットを使用したユーザープロファイルの作成、読み取り、更新の ID 管理システムの構築に関する YouTube チュートリアルビデオ
- BrightID - イーサリアム上の分散型アイデンティティ(opens in a new tab) — イーサリアムの分散型 ID ソリューション「BrightID」に関する Bankless ポッドキャスト
- オフ・チェーン・インターネット: 分散型アイデンティティと検証可能な資格情報(opens in a new tab) — Evin McMullen による EthDenver 2022 のプレゼンテーション
コミュニティ
- GitHub 上の ERC-725 アライアンス(opens in a new tab) — イーサリアムのブロックチェーン上で ID を管理するための規格「ERC725」のサポーターコミュニティ
- SpruceID Discord サーバ(opens in a new tab) — 「イーサリアムでサインイン」に取り組むファンやデベロッパーのためのコミュニティ
- Veramo Labs(opens in a new tab) — アプリケーション向けの検証可能なデータのフレームワークの構築に貢献するデベロッパーのコミュニティ