W3C发布数字凭证API规范草案：构建Web身份隐私保护新体系

本周，包括我在内的W3C团队成员将参加在日内瓦召开的“全球数字协作大会”，围绕数字身份的未来展开系列对话。对W3C而言，这个时机非常理想——我们刚刚发布了多项技术规范，这些成果将推动Web身份认证进入全新发展阶段。

可验证凭证2.0（Verifiable Credentials 2.0）

无论是驾驶证、护照、学历证书还是支付凭证，这些凭证文件在我们的日常生活中都扮演着重要角色。随着数字场景的扩展，人们越来越需要通过数字方式交换这些凭证，各国政府也开始推动支持这一需求的互操作技术。凭证生态系统的信任基础在于参与方能通过密码学技术验证这些凭证。作为W3C安全领域的负责人，我特别关注这些凭证的安全交换机制。

今年五月，W3C正式发布了可验证凭证2.0版系列标准（参阅新闻稿）。这套标准支持安全、保护隐私以及加密可验证的数字凭证表达方案。

为适应多样化应用场景和政府监管要求，新标准支持多种编码模式（如JSON-LD、SD-JWT），并提供了多种将加密证明附加或嵌入声明的技术路径。鉴于密码学技术快速发展，该标准采用“模块化加密”设计以兼容后量子密码（PQC）和零知识证明（ZKP）等新兴技术。通过选择性披露和多重凭证组合验证机制，该模型实现了安全高效且保护隐私的用户数据管理。

数字凭证（Digital Credentials API）

这些标准的共同目标是让用户能在Web上安全、私密且无缝地交换可验证信息。但具体如何实现？例如当网站要求提供公民身份凭证时该如何操作？这正是数字凭证API的核心价值。该API最初由Web孵化器社区组（Web Incubator Community Group）构思，现已被纳入联邦身份工作组（Federated Identity Working Group）的标准化流程，并于2025年7月1日发布为首个公开工作草案。

数字凭证API允许网站请求凭证，同时让用户自主决定是否同意从其数字钱包中调取凭证。前文提到的"无缝"体验，关键就在于用户代理（通常是浏览器）的核心作用。要打造卓越的用户体验——包括理解网站请求内容、从相关凭证中选择、授权共享凭证，以及获取颁发机构（如高校、车管所、银行等）签发的新凭证——浏览器在这方面具有得天独厚的优势。

数字凭证API已经过较长时间的孵化，谷歌和苹果目前均已推出早期实现版本，开发者可在此查看演示并开展测试。这些实践成果将为该技术规范的持续演进提供重要参考。

当前发布的仅是首个公开工作草案，工作组仍需解决若干关键的安全与隐私问题。其中一个热议焦点在于：如何在保障数据隐私的同时，确保用户代理（如浏览器）能够提供安全的凭证选择体验。尽管数字凭证API已要求凭证必须由钱包进行加密签名（之后才会作为API输出返回至用户代理），但关于API数据输入的“不可关联性”（unlinkability）机制仍在持续讨论中。针对这一议题及其他技术方向，我们仍需开展更多研究工作。诚邀行业专家加入联邦身份工作组的讨论，共同推进相关技术发展。

生态系统构建

正如前文所述，W3C正在标准化的这些API涉及与数字钱包的交互。目前W3C预期，数字钱包生态系统将通过更广泛的操作系统及标准合作伙伴组织（包括FIDO联盟、OpenID基金会、IETF和ISO等）共同构建。当前推动各方协作的主要动力源自欧盟数字身份钱包（EUDI）计划——目前已有多个大型试点项目正在进行，这些实践将为欧盟最终制定钱包生态相关法规提供重要依据。

开放钱包基金会（Open Wallet Foundation）将于下周主办“全球数字协作大会”，旨在汇聚包括关注钱包开放标准的政府机构、认证项目方及政策制定者在内的广泛生态参与者。作为联合主办方之一，W3C专家团队将主持多场专题会议：聚焦隐私保护的数字钱包威胁建模、数字身份全景安全观、数字凭证API深度解析以及W3C可验证凭证技术规范专场。

我和同事们期待通过这些对话传递W3C的核心使命价值，这些理念深刻体现在Web隐私原则和Web伦理原则等近期发布的W3C声明中。以W3C制定的APIs为例，其核心原则坚持用户对数字身份的自主控制权——这些数字身份无需与法定身份直接关联。W3C强调用户应能根据场景需求呈现多重身份（包括临时或匿名身份）。用户代理（如浏览器等交互界面）作为关键中介，动态协调用户与在线服务的交互，持续保障数字隐私与安全。该方案既有效防范非自愿的身份识别，又确保必要的身份认证畅通无阻，从而在隐私保护与使用便利之间实现最优平衡。

我将在后续文章中分享这次会议的见闻与体会。