Mình cứ quay lại câu hỏi này mấy ngày nay, và thật ra vẫn chưa có câu trả lời nào làm mình thấy “ổn” hoàn toàn.
Về mặt kỹ thuật thì khá rõ rồi. Trust registry là nơi lưu issuer nào được phép, public key của họ là gì, dùng schema nào, revoke ra sao. Nhưng cái mình quan tâm lại là lớp phía trên: trong một deployment thật, ai có quyền thêm hoặc gỡ một issuer? Quy trình diễn ra thế nào? Có kiểm soát chéo không?
Vì nếu nhìn vào cách Sign build ID system, thì toàn bộ “trust” đều đi qua cái registry này. Credential hợp lệ vì issuer hợp lệ. Issuer hợp lệ vì có trong registry. Và registry hợp lệ vì… ai đó kiểm soát nó đúng cách.
Chính cái “ai đó” này mới là điểm mình thấy khó.
Trong bối cảnh quốc gia, sẽ có nhiều bên cùng tham gia. Bộ y tế, bộ tài chính, cơ quan cấp phép, mỗi bên đều có lợi ích và quyền hạn khác nhau. Nếu tất cả cùng dùng một trust registry, thì governance gần như chắc chắn sẽ có xung đột. Ai được quyền deaccredit một issuer? Ai xử lý khi key bị lộ? Ai duyệt schema mới?
Sign docs có nhắc tới governance, nhưng không đi sâu vào việc “ai quyết định cuối cùng”. Lúc đầu mình nghĩ đây là thiếu sót, nhưng nghĩ lại thì có thể đây là chủ ý. Nếu protocol áp đặt một governance model cố định, thì rất khó phù hợp với từng quốc gia, vì mỗi nơi có cách vận hành khác nhau.
Tức là Sign đưa ra framework, còn governance là do deployer tự thiết kế. Nghe hợp lý, nhưng cũng đồng nghĩa là mức độ “trust” sẽ phụ thuộc rất nhiều vào cách mỗi nước triển khai. Cùng một hạ tầng, nhưng độ an toàn có thể khác nhau rất xa.
Có một chỗ mình thấy họ làm khá gọn là key rotation với DID. Key cũ vẫn được lưu trong lịch sử, nên credential cũ vẫn verify được theo context thời điểm phát hành. Cái này mình thấy sạch sẽ hơn mình nghĩ ban đầu.
Revocation cũng vậy, dùng Bitstring Status List thì revoke theo batch khá hiệu quả. Nếu một issuer bị loại khỏi registry, thì toàn bộ credential của họ gần như mất trust ngay lập tức mà không cần xử lý từng cái.
Nhưng tới phần dispute thì lại quay về câu chuyện ban đầu. Nếu một credential bị revoke sai thì sao? Protocol có thể chứng minh chuyện đó đã xảy ra, nhưng giải quyết tranh chấp lại nằm ngoài chain. Nó là vấn đề pháp lý, hành chính, và mỗi quốc gia sẽ xử lý khác nhau.
Nên cuối cùng mình thấy câu hỏi về trust registry không phải là vấn đề kỹ thuật khó nhất, mà là vấn đề hệ quả lớn nhất. Nếu payment rail lỗi thì còn sửa được. Nhưng nếu trust registry bị lỗi, hoặc tệ hơn là bị lạm dụng, thì ảnh hưởng sẽ sâu hơn nhiều.
Sign có vẻ đã đưa ra đủ công cụ để xây một hệ thống “đáng tin”. Nhưng việc nó có thực sự đáng tin hay không lại phụ thuộc vào cách người ta sử dụng nó.
Mình vẫn chưa có kết luận rõ ràng cho câu này. Có lẽ đây là kiểu vấn đề mà chỉ khi có deployment thật mới thấy rõ được.