我正在学习去中心化标识符(DIDs)。DIDs 规范说:
这种架构不仅消除了对标识符集中注册的依赖,而且消除了对集中式证书颁发机构进行密钥管理的依赖,这是分层 PKI(公钥基础设施)的典型特征。相反,每个身份所有者都通过共享账本上的自己的 DID 记录充当自己的根权限——这种架构称为DPKI(去中心化 PKI)。
据我了解,两个概念(DID 和 DPKI)有一些相似之处。例如,两者都需要像区块链(或 DLT)这样的去中心化注册表。也都说公钥应该由主题控制。所以,
我的问题:去中心化标识符是否涵盖去中心化 PKI。换句话说,DID 和 DPKI 之间有什么区别或相同点?
据我所知,在标准化 dpki 方面还没有完成工作。
这里有一些关于这个主题的资源,您可能会觉得很有价值
本文档旨在作为一个起点,将 DPKI(出现在第一个 RWOT 中)与 DID(出现在第二个 RWOT 中)这两个世界联系起来。
Sidetree 协议本身不是 DID 方法,它是代码级组件的组合,包括确定性处理逻辑、内容可寻址存储抽象和状态验证程序,可以部署在第 1 层去中心化账本系统(例如公共区块链)上生成无需许可的第 2 层 DID 网络。该协议可用于通过将其核心组件与特定于链的适配器相结合,在不同的链上创建不同的 L2 DID 网络,该适配器处理对底层 L1 的读取和写入。几乎所有 Sidetree 的协议实现代码都保持不变,无论它被应用到哪个目标 L1 系统。
我认为真正的答案可能是焦点已从 DPKI 转移到 DKMS
分散式密钥管理系统 (DKMS) 是一种没有中央权限的加密密钥管理方法。DKMS 利用分布式账本的安全性、不变性、可用性和弹性属性来提供高度可扩展的密钥分发、验证和恢复。
从该目录中,我找到了基于NIST SP 800-130的DKMS 设计和架构 V3
他的分散式信任网络模型利用分布式账本的安全性、不变性、可用性和弹性属性来提供高度可扩展的密钥分发、验证和恢复。这种将传统公钥基础设施 (PKI) 反转为分散式 PKI (DPKI) 的做法消除了集中式看门人,使每个人都可以享受 PKI 的好处。
该领域的另一个重要发展是 KERI(关键事件接收基础设施)
主密钥管理操作是通过一种新颖的密钥预旋转方案进行的密钥轮换(转移)。两种主要的信任模式激发了设计,它们是直接(一对一)模式和间接(一对一)模式。间接模式依赖于见证的关键事件接收日志(KERL)作为验证事件的二级信任根。这就产生了关键事件接收基础设施的首字母缩略词 KERI。在直接模式下,身份控制器通过控制密钥对的验证签名来建立控制。间接模式通过见证关键事件接收日志 (KERL) 来扩展该信任基础以验证事件。间接模式的安全性和责任保证由 KA2CE 或 KERI 的一组见证人之间的控制建立协议算法提供。
KA2CE 方法可能比依赖于总排序分布式共识分类账的更复杂的方法更具性能和可扩展性。然而,当其他考虑因素使其成为最佳选择时,KERI 可能会采用分布式共识分类账。DKMI 的 KERI 方法允许更细粒度的组合。此外,由于 KERI 是事件流式传输的,它使 DKMI 能够与数据事件流式传输应用程序同步运行,例如 web 3.0、物联网和其他性能和可扩展性更重要的应用程序。核心 KERI 引擎独立于标识符。这使得 KERI 成为通用便携式 DKMI 的候选者。
在DID 规格中:
因为 DID 驻留在分布式账本上,所以每个实体都可以充当自己的根权限——一种称为 DPKI(去中心化 PKI)的架构。
DPKI 仅在密钥管理基础设施层强制要求如何存储、读取、访问和检索密钥。