可驗證憑證
什麼是憑證?
Section titled “什麼是憑證?”憑證是關於某人的一種陳述 — 大學文憑、員工識別證、護照、專業執照。在實體世界中,這些是帶有印章和簽名的紙本文件。它們雖然可用,但驗證速度慢、容易偽造,且無法選擇性使用。
數位憑證是其電子版本:由發行方簽名的結構化聲明集合(姓名、學位、到期日)。但數位憑證本身只是資料。是什麼讓它具備可驗證性?
「可驗證」是什麼意思?
Section titled “「可驗證」是什麼意思?”可驗證憑證帶有發行方的密碼學簽名。這個簽名提供兩項保證:
- 真實性 — 憑證確實由所聲稱的組織發行,而非偽造者。
- 完整性 — 憑證自發行後未被竄改。只要改動一個字元,簽名就會失效。
任何人都可以透過驗證簽名來即時確認這兩項屬性 — 無需聯繫發行方、等待回應,或信任中介機構。數學負責完成這項工作。
SD-JWT VC 格式
Section titled “SD-JWT VC 格式”TCS 對所有憑證使用 IETF SD-JWT VC 格式(dc+sd-jwt)。SD-JWT 代表選擇性揭露 JSON Web Token,是一種以隱私保護為首要設計的現代憑證格式。
一張 SD-JWT 憑證由三個部分組成:
- Issuer JWT — 由發行方簽名的基礎憑證,包含固定聲明及可選擇性揭露聲明的密碼學雜湊值。
- Disclosures — 持有者可選擇揭露或隱藏的個別聲明值。
- Key Binding JWT — 在展示時附加,用以證明展示憑證者確為合法持有者。
選擇性揭露:只分享必要的資訊
Section titled “選擇性揭露:只分享必要的資訊”傳統憑證是全有或全無的。出示護照來證明年齡,同時也揭露了全名、國籍、文件號碼和照片。
選擇性揭露改變了這一點。持有 SD-JWT 憑證時,持有者可以精確選擇在每次展示時要分享哪些聲明。
範例: Alice 持有一張包含姓名、職位、部門、員工編號和到職日期的員工憑證。當合作公司要求驗證她的職務時:
- Alice 揭露:職位和部門
- Alice 隱藏:員工編號、到職日期及其他細節
驗證方收到密碼學證明,確認 Alice 持有來自受信任發行方的有效員工憑證,且其職位和部門與聲明完全相符 — 而不會獲知任何其他資訊。
這不是塗黑遮蔽。被隱藏的聲明永遠不會傳送給驗證方,它們留在 Alice 的錢包中。
為什麼這很重要
Section titled “為什麼這很重要”| 屬性 | 紙本憑證 | 數位憑證(SD-JWT VC) |
|---|---|---|
| 驗證速度 | 數天(電話確認、密封信封) | 數秒(密碼學驗證) |
| 防偽能力 | 印章、浮水印(可複製) | 密碼學簽名(無法偽造) |
| 隱私保護 | 全有或全無 | 每項聲明可選擇性揭露 |
| 攜帶便利性 | 實體文件 | 任何裝置上的數位錢包 |
| 驗證時是否需要發行方介入 | 通常需要 | 永遠不需要 |