Ridefinire l'Autorità: Trust Registry nel New ID System del Sign Protocol

Hải Yến 1997 · 2026-03-30T09:33:47.000Z
Se si guarda il “trust registry” nel New ID System di S.I.G.N. come un componente tecnico puro, è abbastanza facile fraintenderlo come un semplice elenco di issuer autorizzati. Ma se lo si colloca nel giusto contesto – come uno strato di infrastruttura di fiducia – allora in realtà sta risolvendo un problema che né il PKI né il database centralizzato hanno mai affrontato completamente: il problema del “significato della fiducia” (meaningful trust), non solo “la validità dei dati” (data validity).
Nếu nhìn “trust registry” trong New ID System của S.I.G.N. như một thành phần kỹ thuật thuần túy, nó khá dễ bị hiểu nhầm là chỉ là một danh sách issuer được whitelist. Nhưng nếu đặt nó đúng vị trí – như một lớp hạ tầng niềm tin – thì nó thực chất đang giải một vấn đề mà cả PKI lẫn centralized database đều chưa bao giờ xử lý trọn vẹn: vấn đề “ý nghĩa của sự tin cậy” (meaningful trust), không phải chỉ “tính hợp lệ của dữ liệu” (data validity).
@SignOfficial $SIGN #SignDigitalSovereignInfra 
1. Vấn đề gốc: PKI chỉ chứng minh ai ký, không chứng minh ai có quyền kýPKI (Public Key Infrastructure) sinh ra để trả lời một câu hỏi rất cụ thể:
“Chữ ký này có hợp lệ không? Có đúng là key này ký không?”
Nó làm điều đó cực tốt. Nhưng nó dừng lại ở đó.
Trong hệ thống identity hiện đại (đặc biệt là VC/DID), câu hỏi quan trọng hơn lại là:
Người ký này có được phép phát hành credential này không?
Quyền đó đến từ chính sách nào?
Nếu policy thay đổi thì credential cũ còn hợp lệ không?
Theo cách nói thẳng:
PKI chứng minh cryptographic truth, nhưng không chứng minh institutional truth.
Điểm này cũng được chỉ ra rõ trong các mô hình trust registry: cryptography chỉ đảm bảo “dữ liệu không bị sửa và biết ai ký”, nhưng không nói gì về việc người đó có được phép ký hay không .
→ Đây chính là “lỗ hổng ngữ nghĩa” (semantic gap) của PKI.
2. Centralized database giải được authority, nhưng phá vỡ portabilityỞ phía ngược lại, centralized system (VD: database của một bộ, một ngân hàng):
Có thể encode rõ ràng authority:
bảng “issuer hợp lệ”
rule nội bộ
Nhưng lại có 3 vấn đề chết người:
(1) Không portable
Trust chỉ tồn tại trong hệ thống đó. Ra ngoài là mất.
(2) Không composable
Mỗi hệ thống phải tự xây lại trust logic → không có reuse.
(3) Không audit-friendly ở cấp liên hệ thống
Audit nội bộ thì được, nhưng cross-agency thì trở thành nightmare.
S.I.G.N. gọi thẳng vấn đề này là “fragmentation”: dữ liệu và logic trust bị chia cắt giữa hệ thống, làm cho verification và audit trở nên thủ công và không nhất quán .
3. Trust registry giải bài toán “authority portability”Trust registry xuất hiện đúng ở khoảng trống giữa hai thế giới trên.
Nó không thay PKI. Nó bọc PKI trong một lớp governance có thể truy vấn được.
Cụ thể, nó biến câu hỏi:
“Key này hợp lệ không?”
thành:
“Key này thuộc về ai, trong vai trò gì, dưới policy nào, và có được phép phát hành loại credential này không?”
Một trust registry tốt sẽ encode:
danh tính issuer (DID / organization)
public keys tương ứng
scope quyền (được issue loại credential nào)
trạng thái (active / revoked)
policy context (framework, jurisdiction, version)
→ Nó không chỉ là “registry”, mà là machine-readable authority graph.
4. Điểm khác biệt cốt lõi: từ “chain of trust” → “graph of trust”PKI truyền thống hoạt động theo mô hình:
Root CA → Intermediate → Certificate
Đây là một chain tuyến tính, khá cứng.
Trust registry trong S.I.G.N. (và các hệ SSI hiện đại) chuyển sang:
nhiều issuer + nhiều schema + nhiều authority → liên kết thành graph
Điều này cực kỳ quan trọng vì:
Một issuer có thể được:
Bộ A công nhận cho lĩnh vực X
Bộ B công nhận cho lĩnh vực Y
Một credential có thể:
hợp lệ trong ngữ cảnh này
không hợp lệ trong ngữ cảnh khác
PKI không model được điều này một cách tự nhiên.
Centralized DB thì model được, nhưng không chia sẻ được.
Trust registry làm được cả hai.
5. Trust registry trong Sign: giải bài toán “reusable verification”Trong Sign Protocol, toàn bộ hệ thống xoay quanh “attestation” – tức là các claim có thể verify lại nhiều lần.
Nhưng để reuse verification, bạn cần một điều kiện:
Người verifier phải hiểu được authority context của issuer, không chỉ chữ ký.
Trust registry chính là thứ cho phép:
cùng một attestation
được verify bởi nhiều hệ thống khác nhau
mà không cần gọi về một API trung tâm để hỏi “có tin không?”
Đây là điểm rất khác với centralized identity:
Traditional: verify = call authority
Sign-style: verify = check evidence + check registry
→ chuyển từ “trust by query” → “trust by evidence + registry”
6. Một vấn đề sâu hơn: trust registry chuẩn hóa “niềm tin có thể lập trình”Điểm thú vị nhất không nằm ở kỹ thuật, mà ở hệ quả:
Trust registry biến trust từ:
một quyết định con người (manual, legal, offline)
thành:
một artifact có thể đọc được bởi máy, versioned, và audit được
Điều này mở ra khả năng:
policy engine tự động kiểm tra eligibility
cross-border verification (nếu registry liên thông)
zero-knowledge proof nhưng vẫn gắn với authority thật
Nói cách khác:
PKI làm cho “truth” có thể verify
Trust registry làm cho “authority” có thể compute
7. Kết luận: trust registry không thay thế authority – nó tái cấu trúc authorityĐiểm dễ hiểu sai là nghĩ trust registry là “phi tập trung hóa authority”.
Thực tế không phải.
Nó làm một việc tinh vi hơn:
authority vẫn tồn tại (government, institution)
nhưng:
không còn bị khóa trong database riêng
không cần được query trực tiếp
được biểu diễn như dữ liệu có thể verify
→ authority trở thành một layer dữ liệu, không còn là một endpoint
Tóm lại (ngắn gọn nhưng quan trọng)Trust registry trong New ID System đang giải một bài toán mà PKI và centralized DB đều bỏ ngỏ:
PKI: có cryptographic trust, thiếu governance context
Centralized DB: có governance, thiếu interoperability
Trust registry kết hợp cả hai bằng cách:
biến “ai được tin” thành dữ liệu có thể xác minh, truy vấn, và tái sử dụng ở quy mô hệ thống.
Và đó chính là lý do nó không chỉ là một component — mà là lớp hạ tầng niềm tin mới.