[翻譯] W3C 發布「可驗證憑證2.0」
快評:全球資訊網協會(W3C)近日終於通過了第二版的可驗證憑證標準,這是一部和解大戲,為了讓新世代的「數位身分」或「數位憑證」更簡單易懂的推向全世界,因此與第一代憑證標準相比,收攏了各個標準制定組織的內容,如曾經吵架分裂出去,到 IETF 發展的選擇性揭露憑證(SD-JWT VC),與語意網路(semantic web)源流而產生的、W3C 自家主推的 JSON-LD,都納入標準。這是因為 IETF 的標準已經被歐盟採納,JOSN-LD 即使新穎先進,仍然沒有太多主權實體使用(印象中加拿大卑詩省是用這套)。此外,選擇性揭露、具有時效性的合成憑證(雙證件)、相容於後量子加密技術、零知識證明等,都有被考量納入。真是可喜可賀!
W3C 發布《可驗證憑證2.0》(Verifiable Credential Data Model v2.0 Recommandation)標準:讓數位憑證的呈現、交換與驗證更簡便、安全
作者與發布日期
發布日期:2025 年 5 月 15 日
憑證(credentials)在我們日常生活中隨處可見:駕照用來證明我們有資格開車、學位證書證明我們有畢業、政府核發的護照則用來證明我們的身分。《可驗證憑證》(Verifiable Credentials)系列標準提供一整套機制,讓數位憑證能以加密安全、尊重隱私,且可被機器驗證的方式來呈現,同時也提供擴充機制,讓特定應用場景(如身分憑證、學歷證明等)能使用自身領域專屬的術語系統。
W3C 執行長暨總裁 Seth Dobbs 強調:「當前全球正面臨可信賴數位資訊的重大挑戰,《可驗證憑證2.0》成為正式網際網路標準是一個重要的里程碑。這項進展向全球的創新者、政策制定者,以及政府、產業與公民社會中的技術領袖揭示:『我們必須攜手建構一個以互通性、可信賴與隱私保護為基礎的開放網際網路標準,來支撐全球的數位信任體系。不論是在醫療健康、金融服務、交通旅遊、教育等領域的數位皮夾應用,或是在政府身分驗證、機構認證乃至智慧型裝置認證等社會數位基礎設施中,《可驗證憑證》標準都將提供堅實的技術基礎,讓安全可信賴與隱私保護的數位互動的以實踐。」
所謂「可驗證憑證」指的是一組由發證者對某個主體所提出的聲明(claims)。持有者可將其出示給驗證者,驗證者能檢查這些聲明確實來自原發證者,且內容未遭竄改。這些聲明會使用《可驗證憑證資料模型2.0》(VCDM2.0)所定義的標準語彙與屬性,並以 JSON-LD(可在 JSON 中序列化關聯資料的輕量語法)進行呈現,使其支援去中心化、無需授權的擴充方式,進而適用於分散於網路上的現有或新型應用。
憑證的真實性與完整性是透過密碼學技術來實踐的,尤其仰賴數位簽章與相關的數學證明,來確保其結構與內容的有效性。這項設計確保了三方——發證者(issuer)、持有者(holder)、驗證者(verifier)——在解釋所提供或接收的資料時,能建立一致的信任架構。
為了因應多樣化的應用場景及其技術需求與法規要求,《可驗證憑證》系列標準定義了多種可將證明附加至聲明集的技術方式。這些方法皆建構於 IETF 與 W3C 既有技術規範之上。持有者可以只出示憑證的部分內容(達到敏感資訊的選擇性揭露),也可將多張憑證合併為單一展示。這類「可驗證展示」(Verifiable Presentations)通常具有短期有效性,並不適合長期儲存。其所使用的簽章與加密標準,皆來自當今生態系統中廣泛使用且實證成熟的密碼學工具。
整體驗證架構以業界公認的密碼學方法為基礎,定義具體的驗證機制,同時保留開放性,便於未來新興密碼技術(如後量子加密)的導入與整合。
《可驗證憑證》標準工作小組主席 Brent Zundel 表示:「我們的團隊在制定這份最新版 W3C 推薦標準的過程中表現卓越,當前的進展令人振奮。隨著實作加速落地,《可驗證憑證》勢必將深刻改變人與機器之間的資料互動方式。」
關於全球資訊網協會(W3C)
全球資訊網協會(World Wide Web Consortium,簡稱 W3C)致力於制定全面性的技術標準與指引,確保網際網路在全球的開放性、可及性與可互通性,發揮其最大的潛力。W3C 制定的多項標準當中,HTML 與 CSS 是建構網站的核心技術。W3C 同時也致力於確保所有網際網路技術,特別是在無障礙設計、國際化、安全與隱私等領域,能滿足社會大眾的需求。W3C 亦在娛樂、通訊、數位出版與金融服務等領域,提供相關標準,協助業界強化基礎建設。
W3C 的所有標準皆遵循其專利政策並免費提供公眾使用,其工作完全向大眾開放。目前,W3C 聚集了來自全球數十個產業、超過 350 家會員機構與數千名技術專家。W3C 為非營利公益組織,在美國依法設立法人、由董事會監督,並於全球設有員工與據點。
更多資訊請參見:https://www.w3.org/
