Momentum of "Identity on BlockChain"

Slide 1

Slide 1 text

Slide 2

Slide 2 text

2 https://idmlab.eidentity.jp 自己紹介

Slide 3

Slide 3 text

Slide 4

Slide 4 text

4 デジタル・アイデンティティ領域における未解決問題

Slide 5

Slide 5 text

Slide 6

Slide 6 text

Slide 7

Slide 7 text

7 非効率で不便

Slide 8

Slide 8 text

Slide 9

Slide 9 text

9 ボトルネック SPOF

Slide 10

Slide 10 text

10 スケールアウト

Slide 11

Slide 11 text

Slide 12

Slide 12 text

12 SPOF そのチケットは本物？本当に本人に付与？

Slide 13

Slide 13 text

13 真正性確認（Phone Home）スケールアウトクラウド化

Slide 14

Slide 14 text

14 ID連携の保証レベル（FAL）は？事業停止アカBAN 本人確認の正確性（KYC/Binding）

Slide 15

Slide 15 text

15 ID連携の保証レベル（FAL）は？事業停止アカBAN 本人確認の正確性（KYC/Binding）アイデンティティ保証 • IDプロバイダの継続性、アカBAN なりすまし防止 • 登録した人とチケットを持っている人は同一か？ • ID連携経路の信頼性

Slide 16

Slide 16 text

16 問い合わせ元で行動把握が可能結託されると行動把握が可能

Slide 17

Slide 17 text

17 問い合わせ元で行動把握が可能結託されると行動把握が可能プライバシー保護 • IDプロバイダによる行動把握 • アプリケーション側の結託での行動把握

Slide 18

Slide 18 text

18 デジタル・アイデンティティ領域における未解決問題

Slide 19

Slide 19 text

19 デジタル・アイデンティティ領域における未解決問題

Slide 20

Slide 20 text

20 アイデンティティとブロックチェーンによる取り組み

Slide 21

Slide 21 text

21 https://blog.goodaudience.com/how-blockchain-could-become-the-onramp-towards-self-sovereign-identity-dd234a0ea2a3

Slide 22

Slide 22 text

Slide 23

Slide 23 text

23 個人は、管理主体が介在することなく、自身のアイデンティティを所有しコントロールできるべきである https://sovrin.org/faq/what-is-self-sovereign-identity/

Slide 24

Slide 24 text

Slide 25

Slide 25 text

25 中央集権型での課題 SSIへの要件プライバシーへの配慮 ID基盤側で利用者の行動履歴の把握が出来てしまうアプリケーションへ連携する属性はID基盤の都合で決まる ID基盤についても利用者の行動履歴を把握できないことアプリケーションへどの属性を渡すかは個人が選べること属性の保証 ID基盤が悪意を持って属性の書き換えを行うことが可能少なくとも単一の組織の都合でアイデンティティの書き換えを行うことが出来ないこと属性の精度・鮮度の維持 ID基盤に登録された時点の情報（いわばコピー）に依存 ID情報のコピーをなるべく作らず、利用者自身で管理できること可用性・事業継続性の担保 ID基盤が停止すると何もできなくなる（デジタル・デス） ID基盤運営事業者のサービス停止、事業停止があってもアプリケーションが使えること 25

Slide 26

Slide 26 text

26 レンタルビデオ店コンビニ会社病院利用者が自身で選択して提示発行元を信頼発行元への問い合わせは不要 IDの発行

Slide 27

Slide 27 text

27 フェデレーションとSSI

Slide 28

Slide 28 text

28 提示されたID情報の信頼性の担保レンタルビデオ店コンビニ会社病院利用者が自身で選択して提示発行元を信頼発行元への問い合わせは不要 IDの発行どうやって提示されたID情報の真正性を発行元に問い合わせをせずに確認・検証するか

Slide 29

Slide 29 text

29 公開鍵基盤の利用レンタルビデオ店コンビニ会社病院利用者が自身で選択して提示発行元を信頼 IDの発行公開鍵基盤

Slide 30

Slide 30 text

30 課題①：誰が公開鍵基盤を運営するか？レンタルビデオ店コンビニ会社病院利用者が自身で選択して提示発行元を信頼 IDの発行誰が公開鍵基盤を運営するか？公開鍵基盤

Slide 31

Slide 31 text

31 課題②：そこに悪意はないのか？レンタルビデオ店コンビニ会社病院利用者が自身で選択して提示発行元を信頼 IDの発行 IDの発行元、公開鍵基盤運営側による改竄や否認はないのか？公開鍵基盤

Slide 32

Slide 32 text

32 分散台帳の利用レンタルビデオ店コンビニ会社病院利用者が自身で選択して提示発行元を信頼 IDの発行公開鍵基盤 on 分散台帳財布の登録＋IDとの紐づけ

Slide 33

Slide 33 text

33 分散台帳

Slide 34

Slide 34 text

34 That need is to share a database of records with people you do not trust. ブロックチェーンが活きるシーンとは？ https://thefinanser.com/2019/03/blockchain-dead-long-live-blockchain-2.html

Slide 35

Slide 35 text

35 IDにおける“嘘つき“

Slide 36

Slide 36 text

36 ⇒分散台帳（≒ブロックチェーン）の活用「Decentralized Identity」（非中央集権型アイデンティティ）公開鍵基盤における課題への対応

Slide 37

Slide 37 text

37 認証確認済み属性の連携分散台帳（公開鍵基盤）行政/キャリア/企業など個人のID Wallet アプリケーション

Slide 38

Slide 38 text

38 分散台帳（公開鍵基盤）個人のID Wallet アプリケーション

Slide 39

Slide 39 text

39 真の公共分散台帳上のPKI 利害の一致しない複数の主体で運営 or 特定の主体なし運営主体の消滅や裏切り前提スコープ運営主体実装例利用シーン

Slide 40

Slide 40 text

Slide 41

Slide 41 text

41 Blockchainの特徴と利活用シーン

Slide 42

Slide 42 text

42 Blockchainの特徴と利活用シーンオフチェーンで産まれたデータをチェーン上で管理する仕組みでしかない ⇒トラストフレームワークが大事

Slide 43

Slide 43 text

43 出典）OpenIDファウンデーション・ジャパン/トラストフレームワークWG 登場人物概要ポリシー策定者（Policy Maker）トラストフレームワークのポリシー策定者トラストフレームワーク・プロバイダ（TFP）ポリシーに基づいてトラストフレームワークを策定しIdP、RP の信頼関係構築の仲介を行う事業者認定監査人（Assessor） TFPによって認定され、IdP、 RPがトラストフレームワークに沿って運営されているか監査する事業者 Identity Provider （IdP）利用者のアイデンティティを保持・管理し提供する事業者 Relying Party （RP） IdPの認証結果を受け入れ、アイデンティティ情報の提供を受ける事業者

Slide 44

Slide 44 text

44 SSIとガバナンスモデル Holder /Prover Issuer Verifier Verifiable Credential Proof Trust Trust Verifiable Credential Governanc e Authority Governance Framework Publishes Holder /Prover Issuer Verifier Verifiable Credential Proof Trust

Slide 45

Slide 45 text

45 Sovrin Governance Framework https://docs.google.com/document/d/1WqUOqdTBc3JACIlRviJoWJRcJHTNTNzk9_As9v-jwrY

Slide 46

Slide 46 text

46 デジタル・アイデンティティ領域における未解決問題

Slide 47

Slide 47 text

47 キーワード（再掲）

Slide 48

Slide 48 text

Slide 49

Slide 49 text

Slide 50

Slide 50 text

Slide 51

Slide 51 text

51 DID Documents

Slide 52

Slide 52 text

52 DID Documentのサンプル

Slide 53

Slide 53 text

53 Issuerが発行した検証可能な属性のセット一つ以上のVerifiable Credentialsより派生した検証可能なデータ表現

Slide 54

Slide 54 text

54 Verifiable Credentialsのサンプル

Slide 55

Slide 55 text

Slide 56

Slide 56 text

Slide 57

Slide 57 text

57 Layer One: Public Ledgers Public Blockchain (Permissioned or Permissionless) Public DIDs (Decentralized Identifiers) Cryptographic Trust

Slide 58

Slide 58 text

58 Layer One: Public Ledgers Public Blockchain (Permissioned or Permissionless) Public DIDs (Decentralized Identifiers) Layer Two: Agent-to-Agent (A2A) Protocol Agent + Wallet Connection Agent + Wallet Cryptographic Trust Private Pairwise Pseudonymous DIDs

Slide 59

Slide 59 text

59 Layer One: Public Ledgers Public Blockchain (Permissioned or Permissionless) Public DIDs (Decentralized Identifiers) Layer Two: Agent-to-Agent (A2A) Protocol Connection Cryptographic Trust Private Pairwise Pseudonymous DIDs Agent + Wallet Agent + Wallet

Slide 60

Slide 60 text

60 Layer One: Public Ledgers Public Blockchain (Permissioned or Permissionless) Public DIDs (Decentralized Identifiers) Layer Two: Agent-to-Agent (A2A) Protocol Connection Cryptographic Trust + Human Trust Private Pairwise Pseudonymous DIDs Agent + Wallet Agent + Wallet

Slide 61

Slide 61 text

61 Layer One: Public Ledgers Public Blockchain (Permissioned or Permissionless) Public DIDs (Decentralized Identifiers) Layer Two: Agent-to-Agent (A2A) Protocol Issuer Verifier Holder Trust Layer Three: Credential Exchange Verifiable Credential ✔ Proof Connection Cryptographic Trust + Human Trust Private Pairwise Pseudonymous DIDs Agent + Wallet Agent + Wallet

Slide 62

Slide 62 text

62 Layer One: DID Networks Public Blockchains (Permissioned or Permissionless) Public DIDs (Decentralized Identifiers) Layer Two: Agent-to-Agent Protocol Issuer Verifier Holder/Prover Trust Layer Three: Credential Exchange Verifiable Credential ✔ Proof Connection Cryptographic Trust + Human Trust Layer Four: Governance Frameworks Trust Anchor Credential Registry Governance Authority Auditor Auditor Accreditor Private Pairwise Pseudonymous DIDs Agent + Wallet Agent + Wallet

Slide 63

Slide 63 text

63 Layer One: Public Ledgers Public Blockchain (Permissioned or Permissionless) Public DIDs (Decentralized Identifiers) Layer Two: Agent-to-Agent (A2A) Protocol Issuer Verifier Trust Layer Three: Credential Exchange Verifiable Credential ✔ Proof Connection Cryptographic Trust + Human Trust Layer Four: Governance Frameworks Trust Anchor Credential Registry Governance Authority Auditor Auditor Accreditor Private Pairwise Pseudonymous DIDs Holder/Prover Agent + Wallet Agent + Wallet

Slide 64

Slide 64 text

64 Layer One: Public Ledgers Public Blockchain (Permissioned or Permissionless) Public DIDs (Decentralized Identifiers) Layer Two: DID Comm Protocol Issuer Verifier Trust Layer Three: Credential Exchange Verifiable Credential ✔ Proof Connection Cryptographic Trust + Human Trust Layer Four: Governance Frameworks Trust Anchor Credential Registry Governance Authority Auditor Auditor Accreditor Private Pairwise Pseudonymous DIDs Holder/Prover Agent + Wallet Agent + Wallet

Slide 65

Slide 65 text

Slide 66

Slide 66 text

66 66

Slide 67

Slide 67 text

67 標準化しようとしている要素コンポーネント概要 User Agent いわゆるIdentity Wallet。スマホアプリやブラウザExtensionとして実装される。鍵ペアの生成とDID（Decentralized Identifier／識別子）の登録、DID Authにおける認証器の役割を果たす Identity Hub DIDに関連するIdentity情報を保存する Distributed Systems DIDとDID Documentを記録する分散台帳（ブロックチェーンなど。ブロックチェーンが必須なわけではない） Universal Resolver 他の台帳上にあるDID Documentを解決する（複数の系の分散台帳で運営される前提） DID Authentication DID Documentを利用した認証

Slide 68

Slide 68 text

68 処理の流れ 68

Slide 69

Slide 69 text

69 処理の流れ 69

Slide 70

Slide 70 text

70 処理の流れ 70

Slide 71

Slide 71 text

71 処理の流れ 71

Slide 72

Slide 72 text

72 処理の流れ 72

Slide 73

Slide 73 text

73 デモ）Azure AD B2C（改）＋uPort ID Wallet 証明書発行 ID発行 ID Wallet 登録されたWallet へ証明書を配信 ID管理従業員ID管理 ID Wallet管理 Walletの登録サプライヤ：Wallet登録、社員証発行ホスト企業：ID登録とアプリ利用オフラインシナリオ入館サプライヤ従業員 ID Wallet管理従業員IDでログインフェデレーション ID管理社員証を提示し、セルフサービスでのID 登録＋本人確認を行うアプリケーションへのログインオンラインシナリオ QRコードで社員証を提示 • サプライヤIDでホスト企業にID登録を行う（セルフサービス） • ID Wallet上のサプライヤの社員証を使ってアイデンティティを証明する • フェデレーション構成や外部ID管理を行う必要なし従業員が退職したら証明書（社員証）を取り消すことが可能提示された証明書を分散台帳上の公開鍵で検証する

Slide 74

Slide 74 text

74 1. ID Walletの登録と社員証の発行 2. ID Wallet上の証明書を使ってアカウントのセルフサインアップ

Slide 75

Slide 75 text

75 今後の課題①：技術・ポリシー・ビジネスのバランス

Slide 76

Slide 76 text

76 ⇒自身のアイデンティティ情報を渡す先の信頼性の確認や事故が起きた時の責任もユーザ自身が取る必要がある ⇒利用者に代わって信頼を担保する枠組みの必要性 • 情報銀行 • Identity Custodian 今後の課題②：利用者は管理主体となれるのか