Momentum of "Identity on BlockChain"

Transcript

1. 1

2. 2 https://idmlab.eidentity.jp 自己紹介

3. 3

4. 4 デジタル・アイデンティティ領域における未解決問題

5. 5

6. 6

7. 7 非効率で不便

8. 8

9. 9 ボトルネック SPOF

10. 10 スケールアウト

11. 11

12. 12 SPOF そのチケットは本物？ 本当に本人に付与？

13. 13 真正性確認 （Phone Home） スケールアウト クラウド化

14. 14 ID連携の保証レベル （FAL）は？ 事業停止 アカBAN 本人確認の正確性 （KYC/Binding）

15. 15 ID連携の保証レベル （FAL）は？ 事業停止 アカBAN 本人確認の正確性 （KYC/Binding） アイデンティティ保証 • IDプロバイダの継続性、アカBAN

    なりすまし防止 • 登録した人とチケットを持っている人は同一か？ • ID連携経路の信頼性

16. 16 問い合わせ元で 行動把握が可能 結託されると 行動把握が可能

17. 17 問い合わせ元で 行動把握が可能 結託されると 行動把握が可能 プライバシー保護 • IDプロバイダによる行動把握 • アプリケーション側の結託での行動把握

18. 18 デジタル・アイデンティティ領域における未解決問題

19. 19 デジタル・アイデンティティ領域における未解決問題

20. 20 アイデンティティとブロックチェーンによる取り組み

21. 21 https://blog.goodaudience.com/how-blockchain-could-become-the-onramp-towards-self-sovereign-identity-dd234a0ea2a3

22. 22

23. 23 個人は、管理主体が介在すること なく、自身のアイデンティティを所有しコントロールできるべきである https://sovrin.org/faq/what-is-self-sovereign-identity/

24. 24

25. 25 中央集権型での課題 SSIへの要件 プライバシーへ の配慮 ID基盤側で利用者の行動履歴の把握が出 来てしまう アプリケーションへ連携する属性はID基 盤の都合で決まる ID基盤についても利用者の行動履歴を把

    握できないこと アプリケーションへどの属性を渡すかは 個人が選べること 属性の保証 ID基盤が悪意を持って属性の書き換えを 行うことが可能 少なくとも単一の組織の都合でアイデン ティティの書き換えを行うことが出来な いこと 属性の精度・鮮 度の維持 ID基盤に登録された時点の情報（いわば コピー）に依存 ID情報のコピーをなるべく作らず、利用 者自身で管理できること 可用性・事業継 続性の担保 ID基盤が停止すると何もできなくなる （デジタル・デス） ID基盤運営事業者のサービス停止、事業 停止があってもアプリケーションが使え ること 25

26. 26 レンタル ビデオ店 コンビニ 会社 病院 利用者が自身で 選択して提示 発行元を信頼 発行元への問い

    合わせは不要 IDの発行

27. 27 フェデレーションとSSI

28. 28 提示されたID情報の信頼性の担保 レンタル ビデオ店 コンビニ 会社 病院 利用者が自身で 選択して提示 発行元を信頼

    発行元への問い合 わせは不要 IDの発行 どうやって提示されたID情報の 真正性を発行元に問い合わせを せずに確認・検証するか

29. 29 公開鍵基盤の利用 レンタル ビデオ店 コンビニ 会社 病院 利用者が自身で 選択して提示 発行元を信頼

    IDの発行 公開鍵基盤

30. 30 課題①：誰が公開鍵基盤を運営するか？ レンタル ビデオ店 コンビニ 会社 病院 利用者が自身で 選択して提示 発行元を信頼

    IDの発行 誰が公開鍵基盤を運営するか？ 公開鍵基盤

31. 31 課題②：そこに悪意はないのか？ レンタル ビデオ店 コンビニ 会社 病院 利用者が自身で 選択して提示 発行元を信頼

    IDの発行 IDの発行元、公開鍵基盤運営側 による改竄や否認はないのか？ 公開鍵基盤

32. 32 分散台帳の利用 レンタル ビデオ店 コンビニ 会社 病院 利用者が自身で 選択して提示 発行元を信頼

    IDの発行 公開鍵基盤 on 分散台帳 財布の登録 ＋IDとの紐づけ

33. 33 分散台帳

34. 34 That need is to share a database of records

    with people you do not trust. ブロックチェーンが活きるシーンとは？ https://thefinanser.com/2019/03/blockchain-dead-long-live-blockchain-2.html

35. 35 IDにおける“嘘つき“

36. 36 ⇒分散台帳（≒ブロックチェーン）の活用 「Decentralized Identity」（非中央集権型アイデンティティ） 公開鍵基盤における課題への対応

37. 37 認証 確認済み属性の 連携 分散台帳（公開鍵基盤） 行政/キャリア/企業 など 個人のID Wallet アプリケーション

38. 38 分散台帳（公開鍵基盤） 個人のID Wallet アプリケーション

39. 39 真の公共 分散台帳上のPKI 利害の一致しない複 数の主体で運営 or 特定の主体なし 運営主体の消滅や 裏切り前提 スコープ

    運営主体 実装例 利用シーン

40. 40

41. 41 Blockchainの特徴と利活用シーン

42. 42 Blockchainの特徴と利活用シーン オフチェーンで産まれたデータを チェーン上で管理する仕組みでし かない ⇒トラストフレームワークが大事

43. 43 出典）OpenIDファウンデーション・ ジャパン/トラストフレームワークWG 登場人物 概要 ポリシー策定 者（Policy Maker） トラストフレームワークのポリ シー策定者

    トラストフ レームワー ク・プロバイ ダ（TFP） ポリシーに基づいてトラストフ レームワークを策定しIdP、RP の信頼関係構築の仲介を行う事 業者 認定監査人 （Assessor） TFPによって認定され、IdP、 RPがトラストフレームワークに 沿って運営されているか監査す る事業者 Identity Provider （IdP） 利用者のアイデンティティを保 持・管理し提供する事業者 Relying Party （RP） IdPの認証結果を受け入れ、ア イデンティティ情報の提供を受 ける事業者

44. 44 SSIとガバナンスモデル Holder /Prover Issuer Verifier Verifiable Credential Proof Trust

    Trust Verifiable Credential Governanc e Authority Governance Framework Publishes Holder /Prover Issuer Verifier Verifiable Credential Proof Trust

45. 45 Sovrin Governance Framework https://docs.google.com/document/d/1WqUOqdTBc3JACIlRviJoWJRcJHTNTNzk9_As9v-jwrY

46. 46 デジタル・アイデンティティ領域における未解決問題

47. 47 キーワード（再掲）

48. 48

49. 49

50. 50

51. 51 DID Documents

52. 52 DID Documentのサンプル

53. 53 Issuerが発行した検証可能な属性のセット 一つ以上のVerifiable Credentialsより派生した 検証可能なデータ表現

54. 54 Verifiable Credentialsのサンプル

55. 55

56. 56

57. 57 Layer One: Public Ledgers Public Blockchain (Permissioned or Permissionless)

    Public DIDs (Decentralized Identifiers) Cryptographic Trust

58. 58 Layer One: Public Ledgers Public Blockchain (Permissioned or Permissionless)

    Public DIDs (Decentralized Identifiers) Layer Two: Agent-to-Agent (A2A) Protocol Agent + Wallet Connection Agent + Wallet Cryptographic Trust Private Pairwise Pseudonymous DIDs

59. 59 Layer One: Public Ledgers Public Blockchain (Permissioned or Permissionless)

    Public DIDs (Decentralized Identifiers) Layer Two: Agent-to-Agent (A2A) Protocol Connection Cryptographic Trust Private Pairwise Pseudonymous DIDs Agent + Wallet Agent + Wallet

60. 60 Layer One: Public Ledgers Public Blockchain (Permissioned or Permissionless)

    Public DIDs (Decentralized Identifiers) Layer Two: Agent-to-Agent (A2A) Protocol Connection Cryptographic Trust + Human Trust Private Pairwise Pseudonymous DIDs Agent + Wallet Agent + Wallet

61. 61 Layer One: Public Ledgers Public Blockchain (Permissioned or Permissionless)

    Public DIDs (Decentralized Identifiers) Layer Two: Agent-to-Agent (A2A) Protocol Issuer Verifier Holder Trust Layer Three: Credential Exchange Verifiable Credential ✔ Proof Connection Cryptographic Trust + Human Trust Private Pairwise Pseudonymous DIDs Agent + Wallet Agent + Wallet

62. 62 Layer One: DID Networks Public Blockchains (Permissioned or Permissionless)

    Public DIDs (Decentralized Identifiers) Layer Two: Agent-to-Agent Protocol Issuer Verifier Holder/Prover Trust Layer Three: Credential Exchange Verifiable Credential ✔ Proof Connection Cryptographic Trust + Human Trust Layer Four: Governance Frameworks Trust Anchor Credential Registry Governance Authority Auditor Auditor Accreditor Private Pairwise Pseudonymous DIDs Agent + Wallet Agent + Wallet

63. 63 Layer One: Public Ledgers Public Blockchain (Permissioned or Permissionless)

    Public DIDs (Decentralized Identifiers) Layer Two: Agent-to-Agent (A2A) Protocol Issuer Verifier Trust Layer Three: Credential Exchange Verifiable Credential ✔ Proof Connection Cryptographic Trust + Human Trust Layer Four: Governance Frameworks Trust Anchor Credential Registry Governance Authority Auditor Auditor Accreditor Private Pairwise Pseudonymous DIDs Holder/Prover Agent + Wallet Agent + Wallet

64. 64 Layer One: Public Ledgers Public Blockchain (Permissioned or Permissionless)

    Public DIDs (Decentralized Identifiers) Layer Two: DID Comm Protocol Issuer Verifier Trust Layer Three: Credential Exchange Verifiable Credential ✔ Proof Connection Cryptographic Trust + Human Trust Layer Four: Governance Frameworks Trust Anchor Credential Registry Governance Authority Auditor Auditor Accreditor Private Pairwise Pseudonymous DIDs Holder/Prover Agent + Wallet Agent + Wallet

65. 65

66. 66 66

67. 67 標準化しようとしている要素 コンポーネント 概要 User Agent いわゆるIdentity Wallet。スマホアプリやブラウザExtensionとして 実装される。鍵ペアの生成とDID（Decentralized Identifier／

    識別子）の登録、DID Authにおける認証器の役割を果たす Identity Hub DIDに関連するIdentity情報を保存する Distributed Systems DIDとDID Documentを記録する分散台帳 （ブロックチェーンなど。ブロックチェーンが必須なわけではない） Universal Resolver 他の台帳上にあるDID Documentを解決する （複数の系の分散台帳で運営される前提） DID Authentication DID Documentを利用した認証

68. 68 処理の流れ 68

69. 69 処理の流れ 69

70. 70 処理の流れ 70

71. 71 処理の流れ 71

72. 72 処理の流れ 72

73. 73 デモ）Azure AD B2C（改）＋uPort ID Wallet 証明書発行 ID発行 ID Wallet

    登録されたWallet へ証明書を配信 ID管理 従業員ID管理 ID Wallet管理 Walletの 登録 サプライヤ：Wallet登録、社員証発行 ホスト企業：ID登録とアプリ利用 オフラインシナリオ 入館 サプライヤ 従業員 ID Wallet管理 従業員IDで ログイン フェデレー ション ID管理 社員証を提示し、セルフサービスでのID 登録＋本人確認を行う アプリケーションへの ログイン オンラインシナリオ QRコードで社員証を 提示 • サプライヤIDでホスト企業にID登録を行う（セルフサービス） • ID Wallet上のサプライヤの社員証を使ってアイデンティティを証明する • フェデレーション構成や外部ID管理を行う必要なし 従業員が退職したら 証明書（社員証）を 取り消すことが可能 提示された証明書を 分散台帳上の公開鍵で 検証する

74. 74 1. ID Walletの登録と社員証の発行 2. ID Wallet上の証明書を使ってア カウントのセルフサインアップ

75. 75 今後の課題①：技術・ポリシー・ビジネスのバランス

76. 76 ⇒自身のアイデンティティ情報を渡す先の信頼性の確認 や事故が起きた時の責任もユーザ自身が取る必要がある ⇒利用者に代わって信頼を担保する枠組みの必要性 • 情報銀行 • Identity Custodian 今後の課題②：利用者は管理主体となれるのか

77. 77

78. 78 OpenIDファウンデーション・ジャパンでの取り組み

79. 79 https://www.openid.or.jp/news/2020/01/kycwg-report.html

80. 80 まとめ