基於區塊鏈技術的身分驗證方興起，強調零信任與去識別化

關於身分識別的資安議題，近年不斷受到各界討論，隨著集中化的帳號資料庫外洩事件頻傳、簡訊OTP驗證不夠安全等，如何因應這樣的課題，全球都在關注，而相關的技術也不斷在演進與發展。

例如，在網路身分識別的發展上，2012年FIDO（Fast Identity Online）聯盟成立，並提出應用架構，當中運用了PKI公開基礎金鑰架構，讓伺服器不集中保存密碼只保管公鑰，讓身分保管責任分散在裝置端。這似乎有著些許去中心化的意謂。

另一方面，區塊鏈的應用發展也不斷在擴張，從原本的數位貨幣與支付系統的去中心化，進而發展在智慧合約，以及更多金融領域應用，包括像是貿易金融、再保險等，其中也包含了數位身分的面向。而這樣的趨勢同樣值得重視，像是我們之前也就聽聞，國際間有業者不說自己是FIDO，而是強調去中心化，也有區塊鏈公司的發展面向是在帳號密碼的管理。

值得注意的是，現在臺灣也有業者在推動以區塊鏈技術提供個人身分識別與驗證的服務。今日（6日），BaaSid博斯資訊安全創始人黃啟誠在「大數據時代下法遵科技發展與資訊安全」的研討會中，說明了他們如何應用區塊鏈，提供ID登入的安全保護。關於這場研討會，是由政治大學國際產學聯盟、政治大學金融科技研究中心，以及BaaSid所共同主辦，當中並包含了法遵科技（RegTech）、開放銀行（Open Banking）等廣泛的議題。

以區塊鏈為基礎的應用，是如何套用在身分識別？黃啟誠指出，他們從資料源頭進行保護，不存在完整的原始資料。更具體而言，他們是將身分資料加密後並切碎放在區塊鏈上，讓資料變得比較安全，並能透過對應的技術將這些碎片快速組合以驗證。

黃啟誠指出，他們透過上述的技術架構，來做到零信任（Zero Turst），以及去識別化（De-Identification）。他也舉例解釋：以前只要帳號密碼相符合，就信任你是這個使用者，而所謂的零信任，就是即使帳號密碼正確但還是不信任，因為知道密碼可能會被盜用，而去識別化則是能因應像是GDPR這樣的法規要求。

BaaSid博斯資訊安全創始人黃啟誠指出，零信任與去識別化是因應未來資安問題的兩個重要的概念，而他們藉由區塊鏈技術提供身分識別與驗證的安全，並強調不存在完整的原始資料。

在BaaSid的基礎架構做法上，該公司業務發展經理Kevin Dose進一步解釋，他們目前提供了SDK或API的應用方式，當用戶註冊時，會經過四個步驟，分別是加密、切碎、分配與分散保管，其中，像是碎片數量，可以自行定義。之後，當登入使用時，則可以快速進行資料的驗證，他並強調，這些步驟在非常短的時間內，就會進行完畢，就像刷卡過程一樣的即時。

從他們的技術架構來看，當中包含三項重點，分別是BaaSid引擎、區塊鏈，同時還有一個是名為IPFS的節點。Kevin特別指出，IPFS的功能上，可透過HASH記錄訊息碎片保存的位置，同時在分配與分散保管方面，會將一部分資料放到區塊鏈，另一部分則放到使用者手機設備，分配的比例也是可以自行定義。

為什麼這樣的架構可以更安全一些？Kevin進一步解釋，是因為對於盜用者來說，入侵成本太高－－如果要入侵，就必須從一路從裝置端、BaaSid區塊鏈節點、Core節點，然後入侵到IPFS節點，等於需要破解四道關卡的防護才能取得一筆完整資料。

同時，他也說明了他們的BaaSid，在零信任與去識別化概念的應用。舉例來說，像是透過零信任權限管理，杜絕最高權限濫用情況、依照身分最小限度權限設定，與Log無法竄改或刪除等，以及透過資料去識別化保護，以杜絕資料還原可能性等。

對於區塊鏈在身分安全發展的現況，會後我們也向黃啟誠瞭解這方面的動向。他表示，目前全球已經有不少業者採用基於區塊鏈的方式，來發展身分識別機制，不過這樣的議題還算相當新穎，目前大概也只發展兩年多時間，但也強調現在這樣的產品與技術，已經出現在市場上。此外，他們也希望與FIDO產業合作，以便發展更多可能性，同時，也看好國內數位身分識別證（NEW eID）的發展。

而且，目前已經有業者看重此應用概念，像是亞洲的去中心化交易所STAR BIT，便開始與BaaSid合作，以支援KYC服務。為何有這樣的作法？其實，去年發生了不少虛擬化貨幣交易所遭駭事件，有趣的是，雖然，加密貨幣帶動了去中心化的區塊鏈技術應用，但交易所本身與其身分認證機制卻大多採中心化技術。