台灣數位憑證皮夾試玩心得

已經很久沒討論白天工作的內容，這次趁下班來分享一些個人意見。以下只代表個人觀點，其他有意見的部分請盡量寫客服信箱，或打爆客服電話。我在崗位上一直都是意見最多的人，每一個意見都足以成為推動的力量。

從開案至今過了半年，數位憑證皮夾的沙盒系統這週上線了，有興趣的朋友歡迎玩玩看。可以下載皮夾的測試 app，還可以申請發行卡片／驗證卡片的帳號。這意味著你不需要會 coding，就可以體驗從發行、持有到驗證的整個流程。

台灣的數位憑證皮夾是目前世界上極少數已經實現去中心身分（或分散式識別符、DID）的政府官方測試 app，走在全球的尖端著實令人悸動。DID App 的意思是，你領的卡片就是你的，要做什麼運用都需要經過自己決定。我仍然相信這個方向是正確的，會成為建構未來數位社會的骨幹。

才開放三天，共用區就出現了許多奇怪的卡片（which is 好現象），比如「貓咪奴奴卡」、「你的網路不會卡」、「中華民國貢丸駕照」，害我很想領領看裡面到底有什麼。

這個測試，只要是台灣人都可以申請測試，外國人寄個信給客服也同樣可以測試。

我自己也弄了豆泥卡，也領了 Tofus 的「豆腐好朋朋卡」，測試一下流程順不順。以下是實作心得，以及突破性的意義。

真的想試玩，我的朋友 TonyQ 花了兩個小時做了一個可以懶人領取「豆泥卡」的流程體驗，可以試試看，而且還開源！（mashbeanvc.tonyq.org）

A. 不只是影本，做到「可驗證」

這可不是將證件「影本」亮出來這麼簡單。

原因是因為所有卡片都是由發行者簽發出來，而且明確被你手上的 app 所簽收，這意味這張證件不僅是「影本」，還是正本，甚至是唯一的數位正本。

當你將卡片給別人驗證時，就是將正本拿給別人看。我們第一次實現了「數位正本」的概念，而且比紙本證件還要難被偽造。這樣的概念，叫做「可驗證憑證」（Verifiable Credential, VC）。

B. 實現「選擇揭露」

解決了正本的問題，下個問題就是每次提供證件資料時，會被看光光。比如說每次領講師費都要附上身分證影本，還有些單位要證件反面的影本，實在是搞不清楚為什麼。常常還不能塗黑，實在氣鼠。

但我們做到了選擇性揭露，意思就是我只需要揭露你需要知道的最小資訊。比如說餐廳會給當月壽星一些好料的，我就不需要讓他知道我哪一年出生。

這是怎麼做到的？數位憑證皮夾使用了網際網路工程任務組（IETF）所制定的標準，名為 SD-JWT VC。SD，就是選擇性揭露（Selective Disclosure）的意思，把每一個欄位都各自上鎖，只有自己授權才可以各個解鎖。

或許選擇揭露的下一步就是支援黑科技——零知識證明（ZKP），變成隱私超強化完全體。我連一丁點個資都完全不用揭露，你還是可以知道我符合資格。比如我可以證明我成年，但不用知道我哪一年出生。

事實上，西班牙的數發部，第一個數位皮夾的應用案例就是成人網站的年齡驗證...這可不是假新聞，還是數發部部長自己出來講的。

C. 達成「合成展示」

看到這個功能被實作出來，我個人很是感動，因為「合成展示」走在時代的尖端，其他國家也很少有人做到這步。什麼是「合成展示」？其實就是「雙證件」的意思。

我可以讓驗證者一次驗證兩張卡片，合成到一張可驗證的「展示單」（Presentation）裡面，供對方簽收。這表示未來「線上驗證雙證件」是可行的，我們不用再跑臨櫃帶各種證件印影本留存。當然，中間還有一萬個現實問題待克服。但可喜可賀的是，技術面有解了。

D. 「信任清單」雛形上線

我不相信你，但我相信被ＯＯＯ認證的你。

ＯＯＯ可說是一門獨到的藝術，它可以置換為任何政府部門、商業組織或非營利單位，它們發行的各種證書、證件、收據等，都足以作為建構一個人在社會中的身分。

比如說我發的豆泥卡，目前是由「數位憑證皮夾沙盒」發行出來的，如果你相信沙盒，你就可以相信豆泥卡是真的（當然這是講反話，沒有人需要相信沙盒）。

但是如果你手邊有工商憑證，就可以解鎖進入「信任清單」。比如讓你發行的卡片獲得「藍勾勾」，這是因為你的組織進入了「信任清單」。

這實現了「我不相信你，但我相信被ＯＯＯ認證的你」，你的工商憑證就是那個ＯＯＯ。（希望之後不只開工商憑證）

E. 少數實現「完全」自我主權身分架構的國家

自我主權不是指台灣主權，而是指使用者自主使用其證件的精神，全名為自我主權身分（Self-sovereign Identity），簡稱 SSI。國際上各大講得出名字的人權團體、數位標準組織已經大力推廣 SSI 多年。

但是，仍然沒有國家真正完全實現。我覺得主因是太少公務員參與標準組織，或者太少標準制定者成為公務員，兩邊不清楚彼此的狀況，這題之後再來研究。

在嚴格的 DID 國際標準中，信任清單需要放在第三方公證的資料庫，以昭公信，通常是區塊鏈。這麼嚴格的架構全世界講了好幾年，但台灣是第一個做到的，如果不是第一個也是第二個，其他國家都採用封閉式的企業區塊鏈居多。

數位憑證皮夾的信任清單，目前放在多條公共區塊鏈上，作為測試，比如便宜又安全的以太坊二層擴容協議 Arbitrum 與 Polygon zkEVM。在我的研究中，我知道今年開始有許多條專門服務 DID 的公共區塊鏈會上線，著實令人期待，或許未來可以遷移過去。

F. 至於如何管理信任清單，這題還需高手解題。

如何管理藍勾勾或是信任清單，這就是「治理」（Governance）議題，不大可能官方與民間的證件都是由政府認定，因此網路治理（Internet Governance）模式便非常值得學習了。

高手在民間，這意味著數位治理，絕對需要民間多方參與，實現真正的、接下來國際上會遍地開花的數位信任架構（Trust Framework）。

結語

實際上在公部門待了 2 年多，深知一個計畫推動從無到有如何困難，這是一個長期的接力賽，每一手、每一名長官都不能掉棒，計畫才能成功。

數位憑證皮夾是一個充滿人權價值，卻同時又可以提升便利性與數位經濟的專案，定位上難能可貴，個人能從萬事起頭難的時節，就參與其中，已經是非常感恩，希望接下來順利（合十）。

但回過頭來說，有沒有人想要領豆泥卡，下載測試 App，我就發給你。一起壓力測試，給點意見吧！

數位憑證皮夾官方網站 wallet.gov.tw/

APP 下載連結

1. iOS: https://testflight.apple.com/join/gxr3mQFj

2. android: https://play.google.com/apps/testing/tw.gov.moda.diw