identity

2026 年 3 月 ID 技術相關趨勢

Nat 2026-03-31 No Comments
2 VIEWS
Pinterest LinkedIn LINE
.

2026 年 3 月對我來說是忙碌的一個月,在 JTC/SC44、SC27 和 IETF 都舉行了與標準相關的會議。

ISO/IEC JTC 1

ISO 相關事宜很粗略,因為有各種不應該寫的東西。

SC27(資訊安全、網路安全與隱私權)國際會議

    <!-- /wp:list-item -->
  • a) 總會:2026 年 3 月 16/17 日 b) WG 會議:2026 年 3 月 9/13 日
    • 地點:德國紐倫堡。
. .

SC27 是一個技術委員會,負責建立和維護現代 IT 的基礎標準,包括 ISMS、加密技術、共同準則、網路安全、身份和隱私以及生物特徵評估。

.

關於數位身分

    <!-- /wp:list-item -->
  • ISO/IEC 29115 實體驗證保證框架正在討論中。這概述了人類和非人類身份的威脅和控制措施
  • ISO/IEC 29115 實體驗證保證框架正在討論中。
  • ISO/IEC 27566-1 Age assurance systems Part 1:Framework 免費出版
    • ISO/IEC 29184 線上隱私權通知和同意書的系統審查。
. <! 以及其他正在考慮中的項目。順便提一下,單是處理數位身分的 SC 27/WG 5 目前就有 53 個標準/工作項目。

SC44 (Consumer Protection – Privacy by Design in Consumer Products and Services) 國際研討會

    <!-- wp:list-item -->
  • Date:4/5 March 2026
    • .
  • Date:4/5 March 2026
    • .
      位置:虛擬
SC 44 以已發表的「ISO/IEC 31700-1(高層級需求)」和「ISO/TR 31700-2(使用案例)」為基礎,目前約有四個工作項目正在進行中,例如針對特定領域。但我們還無法公布內容……我們或許能在九月份公布更多內容。

.

OpenID Foundation

規格和標準相關的發展

    <!-- /wp:list-item -->
      3 月 16 日 OpenID Connect Advanced Syntax for Claims (ASC) 1.0 公開審核開始。

    • 3 月 22 日 國際政府保證 (iGov) Profile for OAuth 2.0 實施者草案投票開始
    • 3/26 OpenID Connect 信賴方元資料選擇 1.0 最終規格已核准
    .
.

其他

    <!-- /wp:list-item -->
  • 3/11 AIIM 的威脅建模分組告知 NIST 的 AI 代理安全 RFI
  • 3 月 18 日 TrustID 解決方案宣布由 BixeLab、FIDO Alliance、Inc、Fime 和 Raidiam 成為第一波 OpenID Conformance 測試提供者
<! .
.

開放錢包基金會

最近 OWF 的發展較不顯眼,因為情況已不再公開,但從外面可以觀察到的地方有以下幾點。

EUDIPLO

EUDIPLO

<!

EUDIPLO 是一個開放原始碼的中介軟體

,用來連接現有的商業系統和後端與 EUDI Wallet (EU Digital ID Wallet)。
    <!-- wp:list-item -->
  • 3/23 v4.0.0 版本。包括管理 API 的 /api 前綴、OpenAPI 管理/協定分離、AWS KMS 適配器、持續會話日誌、整合式金鑰和憑證管理模型等。
<! .

identity-credential / Multipaz

    <!-- wp:list-item -->
  • Mar 19 0.98.0 版本。增加翻譯基礎架構,支援 21 種語言
<! .

克雷多

    <!-- wp:list-item -->
  • 3/12 在遷移指南中加入 “Credo 0.5.x to 0.6.x”。 9/1-3 GDC 簡介。
  • 3/26 轉移 DIDComm ext repo 到 OWF
    • .
<! .
.

IETF 125

    <!-- /wp:list-item -->
  • 日期: 2026-03-14/20
    • 地點:中國深圳。
. <! 由於與 SC27 重疊,因此我無法參加這次會議,但無論如何,似乎有許多與 AI Agent 相關的提案。然而,其中很多都只是一些想法,并且被 “那么,是否有其他实现正在尝试做同样的事情?其中很多都被 “那么,是否有其他实现也在尝试做同样的事情?

. <!

我對 WG 感興趣的重點如下。

<!
    <!-- /wp:list-item -->
  • OAuth WG – AI 代理的授權擴充激增,包括多 AI 代理協作、OAuth 交易代號的 A2A Profile、代理操作授權等。提出了數個草案;OAuth 2.1 繼續更新至 v15。
    • .
  • JOSE WG – 著重於過渡到後量子密碼術 (PQC);討論了 PQ/T 混合複合簽章、PQ KEMs 和 HPKE 的 JWE 整合,以及 JSON Web Proof (JWP) 的進度報告。此外,「無」演算法和 RSA1_5 停用的討論也在進行中。
    • . <!
  • WIMSE WG – 經過兩年的存在,該規範現在已進入完成階段,HTTP Signatures 中引入了 WIMSE-Audience 標頭,定義了 wimse:// URI 方案,WGLC 有關工作量識別實務的工作正在進行中。
    • . <!
  • WebBotAuth WG – 在 IETF 125 上沒有會話;在 IETF 124 上,大家熱烈討論強制性機器人驗證對生態系統的負面影響 (匿名瀏覽的中斷、大業者受到優待的風險),建議重新思考方向。
    • .
  • CFRG – 舉行了 2 次會議。討論了以 “Two-Lane Publication Model “改革加密標準化流程的提案、Longfellow ZK (PQ 安全零知識證明) 的進展、FHE 在 IETF 中的標準化潛力以及 ARKG 的進展。
. .
.

2026年3月數位身分相關趨勢與新聞摘要

在 2026 年 3 月,數位身分領域的特點包括:許多國家的立法與示範發展、passkey 的普及,以及隨著 AI 代理的興起而出現的新身分管理挑戰。下文將按領域總結主要趨勢。

.

1.各國數位身分政策與立法的進展

.
    <!-- /wp:list-item -->
      European (EU) eIDAS 2.0 and EUDI wallet progress<!-- wp:list -->.
        <!-- wp:list-item -->
      • 為了準備在 2026 年 12 月截止日期前全面實施 EUDI(歐洲數位身份)錢包,3 月 17-18 日在羅馬尼亞進行了一次成員國之間的互操作性測試 [1]。
        • .
      • 對於金融機構和金融科技公司來說,EUDI 電子錢包的準備工作已經進入「準備就緒」[1] 階段,而不是「會否實施」。
  • US developments: first national ‘Digital Identity Bill of Rights’ bill passed in Utah<!-- wp:list -->
      <!-- wp:list-item -->
    • 猶他州立法機關已通過一項法案 (SB 275),針對州認可的數位身分計畫 (預定於 2026 年 5 月 6 日生效)[2]。
      • . 具有里程碑意義的立法規定參與公司有義務向用戶提供明確的同意、最低要求的屬性資訊(選擇性披露),並限制資料保留和共享的目的 [2]。
英國數位身分信賴架構更新<!-- wp:list -->
  • 英國政府發布了英國數位驗證服務信任框架的預發行版本 1.0,並就全國數位身份計劃展開公眾諮詢[3]。
    • .
  • 此處更新了數位驗證服務 (DVS) 提供者的認證標準,引入了新的信任標記,並為協調服務提供者新增了規則 [3]。
Spanish ‘MiDNI’ app fully operational<!-- wp:list -->
  • Spanish ‘MiDNI’ app fully operational<!-- wp:list-item -->
  • 在西班牙,’MiDNI’應用程式,也就是行動版的國家數位身分證,將於2026年4月2日起全面運作[4]。
    • .
  • 這可讓智慧型手機上的數位 DNI(身分證)具有與實體身分證相同的法律效力,並可用於飯店報到、驗證年齡等 [4]。
    • <! .
    .

    2.日本的發展:我的號碼和可驗證的憑證

      <!-- /wp:list-item -->
    • 金融服務局公布使用可驗證憑證(VC)進行身份驗證的示範結果<!-- wp:list -->
        <!-- wp:list-item -->
      • 金融服務管理局 (FSA) 公佈了金融機構使用可驗證憑證 (VC) 進行身份驗證 (KYC) 的示範實驗結果 [5]。
        • .
      • 測試了向用戶發出身份驗證結果的可能性,即用戶作為 VC 進行一次身份驗證後,可在其他金融機構重新使用該結果,這標誌著數位社會中身份驗證的新方向[5]。
        • .
      • 同月,世銀還發表了一份有關VC概述和標準發展趨勢的報告,討論了具有反偽造和選擇性披露功能的VC在金融實務中的潛在應用[6]。
    <!
  • 使用我的號碼卡擴展身份驗證(eKYC)<!-- wp:list -->
      <!-- wp:list-item -->
    • 線上Yahoo推出使用個人號碼卡的身分驗證,使用數位機構提供的數位驗證應用程式[7],例如在Yahoo的帳號復原中!
      • . 使用 My Number Card 的公共個人識別 (JPKI) 進行識別在 PayPay [8] 等私人服務中迅速普及。
    • <! .
    .

    3.Acceleration of passkey adopting and passwordless authentication

    加速通行鑰和無密碼認證的採用。
      <!-- /wp:list-item -->
    • Automatic enabling of passkey by Microsoft<!-- wp:list -->.
        <!-- wp:list-item -->
      • Microsoft 於 2026 年 3 月開始為所有 Microsoft Entra ID 租戶自動啟用 passkey 設定檔 [9]。

        • 這迫使數百萬企業用戶轉用無密碼認證,這是 passkey [9] 普及的一個重要轉折點 (臨界點)。
    Reddit 使用 passkey 作為「人性的證明」<!-- wp:list -->
      <!-- wp:list-item -->
    • Reddit 宣佈將引進一套系統,利用通行鑰(生物識別技術,例如 Face ID 和 Touch ID)來驗證使用者是否為「真人」[9] ,作為反殭屍的措施。
      • . <!
    • 這是 passkey 新興的用例,它可以在不識別個人身份(同時保持匿名性)的情況下證明人類的存在 [9]。

    <! .
    .

    4. 管理 AI 代理和非人類身份 (NHI)

      <!-- /wp:list-item -->
        Agentic AI (自主 AI 代理) 身份管理的挑戰<!-- wp:list -->.
          <!-- wp:list-item -->
        • 隨著人工智能(Agentic AI)的普及,人工智能可自主執行任務,因此迫切需要針對人工智能代理進行身份管理和存取控制 (IAM)[10]。
          • . 一項雲端安全聯盟 (CSA) 研究發現,許多組織無法清楚區分 AI 代理行為與人類行為 [11]。
        • Ping Identity 和 Saviynt 等安全公司推出了一系列新產品,用於管理和監控 AI 代理的身份 [12]。
    <! .
    .

    5.年齡驗證及隱私權保護

      <!-- /wp:list-item -->
    • Popularity and challenges of online age verification tools<!-- wp:list --><!-- wp:list-item -->
    • 隨著美國、英國和其他地區推出一系列針對兒童在線安全的年齡驗證法律,生物識別和基於人工智能的年齡估計技術的使用越來越多[13]。
      • . 另一方面,專家們也提出了強烈的憂慮,擔心這些技術會侵犯成人隱私,並導致監視社會的出現[13]。
    <! .
    .

    參考資料

    [1] Zyphe. “eIDAS 2.0 & EU Digital Identity Wallet: KYC Guide 2026”. https://www.zyphe.com/resources/blog/eidas-2-eu-digital-identity-wallet-kyc-compliance-guide

    .

    [2] Byte Back. “Utah SB 275’s “Digital Identity Bill of Rights”: what It Could Mean for Businesses”. https://www.bytebacklaw.com/2026/03/utah-sb-275s-digital-identity-bill-of-rights-what-it-could-mean-for-businesses/

    .

    [3] Bird & Bird. “UK Digital IDs Early Updates for 2026”. https://www.twobirds.com/en/insights/2026/uk/uk-digital-ids-early-updates-for-2026

    .

    [4]生物特徵最新消息:「西班牙國家數位身分證正式啟用,具有完全合法地位」。 https://www.biometricupdate.com/202603/spains-national-digital-id-going-live-with-full-legal-status

    .

    [5] VESS Labs:「FSA 公佈使用可驗證憑證進行身份驗證示範的結果」。 https://note.com/vesslabs/n/n0fd0ff625e97

    .

    [6] 日本銀行. “Overview of Verifiable Credentials Supporting Identity Proof in the Digital Society and Trends in Standards Development”。 https://www.boj.or.jp/research/wps_rev/rev_2026/rev26j02.htm

    . <!

    [7] Nihon Keizai Shimbun. “LINE Yahoo, Mynacard ‘digital authentication app’ for identity verification”. https://www.nikkei.com/article/DGXZQOUC108FL0Q6A310C2000000/

    .

    [8] PayPay:”已經為’PayPay’驗證身份(eKYC)的用戶數目超過4000萬!”. https://about.paypay.ne.jp/pr/20260318/02/

    .

    [9] Security Boulevard: “Passkeys Hit Critical Mass: Microsoft Auto-Enable for Millions, 87% of Companies Deploy as Passwords Near End-of-Life”. https://securityboulevard.com/2026/03/passkeys-hit-critical-mass-microsoft-auto-enables-for-millions-87-of-companies-deploy-as-passwords-near-end-of-life/

    .

    [10] Security Boulevard. “Agentic AI Governance: How to Approach It”. https://securityboulevard.com/2026/04/agentic-ai-governance-how-to-approach-it/

    .

    [11]雲端安全聯盟。「超過三分之二的組織無法清楚區分 AI 代理與人類行動」。 https://cloudsecurityalliance.org/press-releases/2026/03/24/more-than-two-thirds-of-organisations-cannot-clearly-distinguish-ai-agent-from-human-actions

    .

    [12] THINK Digital Partners. “Digital Identity: Global Roundup”. https://www.thinkdigitalpartners.com/news/2026/03/30/digital-identity-global-roundup-261/

    .

    [13]CNBC。「用於兒童安全的在線年齡驗證工具正在監視成年人」。 https://www.cnbc.com/2026/03/08/social-media-child-safety-internet-ai-surveillance.html

    .

    發佈留言

    這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料