多控保管箱與保管箱金鑰 DID：不用交出鑰匙的身份管理

我們習慣的帳號模型

多數線上帳號都從 email 開始。email 是使用者名稱、密碼重設管道、客服識別方式，有時也被服務默默當成「你本人」。

這很方便，但也代表身份通常錨定在產品外部。如果你失去存取權，服務商往往可以透過 email、簡訊、客服流程或管理員替你重設。對影音串流帳號來說，這很實用；但對一個存放身份文件、助記詞、銀行資料與登入憑證的保管箱來說，就不那麼舒服。

NT² 選擇另一條路。你的 保管箱 有自己的密碼學身份，而保護這個身份背後金鑰的，是 多控保管箱。這些詞聽起來很重，所以先用白話說：

• 你的保管箱有一個穩定、可被驗證的公開名稱，叫做 保管箱金鑰 DID。
• 能證明這個身份的私鑰，會加密留在你的保管箱裡。
• 解鎖保管箱不是靠單一秘密躺在單一位置。
• NT² 伺服器可以確認「這個保管箱正在說話」，但不能變成你的保管箱。

這就是 NT² 裡自主身份的實際核心：不是口號、不是區塊鏈帳號，也不是說軟體能取代護照。它的意思是，app 被設計成讓 你掌握解鎖、證明、共用與還原的能力。

多控保管箱是什麼

一般密碼保護的保管箱，常讓人感覺像一道單一鎖：輸入主密碼、衍生金鑰、打開資料。

NT² 多加了一層。建立新保管箱時，重要的保管箱根材料會被拆成幾份。可以想像成一個保險箱需要 兩份證明 才能打開，而不是只靠一把鑰匙。目前模型中，日常會遇到的幾份是：

三份中任兩份可以重建保管箱解鎖所需的材料。只有一份不夠。

這會改變「還原」的故事。NT² 不保留伺服器端的還原份額。沒有隱藏的客服鑰匙。你在信任的裝置上時，主密碼加裝置份額可以解鎖；換到一台冷裝置時，主密碼加你保存的還原包可以協助恢復存取權。如果你在某台裝置上選擇生物辨識解鎖，那也是同一套多控模型上的本機便利功能，不是雲端繞道。

最重要的使用者承諾不是「還原很神奇」，而是更誠實的一句話：

還原權屬於使用者，不屬於 NT²。

如果你好好保存還原包，你就有一條不依賴客服的路徑。若你遺失所有必要因素，NT² 也無法替你打開保管箱。這和我們在 Null Trust² 裡說的零知識邊界相同，只是這次談的是還原，而不只是加密。

保管箱金鑰 DID 是什麼

接著談身份。

保管箱金鑰 DID 是一個保管箱的公開識別碼。它看起來技術味很重，因為它建立在 DID 標準之上；但工作很簡單：讓你的保管箱能簽署某件事，使另一個系統可以驗證「對，這是那個保管箱發出的」。

它不是你的 email。不是電話號碼。也不是 NT² 替你取的使用者名稱。

當你的保管箱和 NT² 雲端服務互動時，例如可選的加密雲端同步或中繼，伺服器可以送出一個挑戰。已解鎖的保管箱會用自己的私鑰簽署這個挑戰。伺服器再用公開的保管箱金鑰 DID 材料驗證簽章。這能證明你掌控該保管箱身份，而不需要索取主密碼，也不需要讀取保管箱內容。

用日常語言說：

• Email 表示：「寄給這個人的訊息會到這裡。」
• 密碼表示：「有人輸入了共享秘密。」
• 保管箱金鑰 DID 表示：「持有這把私鑰的保管箱核准了這個動作。」

差別就在最後一句。雲端帳號身份綁定的是保管箱的金鑰，不是能收到重設連結的收件匣。

為什麼這和自主身份有關

「自主身份」很容易變成一串縮寫：DID、VC、DIDComm、錢包、發行者、驗證者。NT² 在 v1 並不打算變成全部。

我們選擇的是對結構化隱私保管箱真正有用的部分：

1. 你可以證明保管箱的身份。 保管箱金鑰 DID 讓保管箱能簽署動作與封包。
2. 你可以選擇什麼離開裝置。 Store、Share、Present 的流程都圍繞選定欄位或選定項目，而不是整個保管箱倒出去。
3. 你可以還原，而不必要求我們變成你。 多控保管箱提供由使用者持有的還原路徑。
4. 伺服器保持盲視。 可選雲端服務搬運的是密文並驗證簽章；它們不接收主密碼或明文資產。

這已足以讓身份不再像服務商擁有的帳號，而更像使用者自己掌握的一種能力。

想像未來一次 NT² 保管箱對保管箱的共用。寄件者的保管箱可以簽署封包。收件者可以驗證是哪一個保管箱送出。內容可以加密給接收端。若使用中繼，它只是在兩邊之間搬運密封的位元組，不需要讀取銀行欄位、API key、文件掃描或筆記。

這不等於「誰都不用信任」。你仍然要決定是否信任某個聯絡人，也仍然要確認保管箱背後的人是誰。但軟體可以給你更好的底座：知道是哪一個保管箱簽署，以及讓中間人無法讀取內容的加密。

這不代表什麼

限制也很重要。

NT² 不是泛用 SSI 錢包。我們不會在保管箱 app 裡加入 Verifiable Credential JSON-LD、DIDComm 路由函式庫、區塊鏈錨定，或全域身份目錄。我們借用身份領域有用的想法，但產品保持聚焦：一個本機優先、零知識、用來保管高價值個人資料的保管箱。

這也不代表保管箱金鑰 DID 在所有情境下都是私密的。當你把它提供給聯絡人、使用雲端同步，或請客服查詢某個前綴時，這個識別碼就是該互動的一部分。隱私目標更窄，也更務實：不同保管箱不會自動被串成一個全域個人檔案，而 NT² 不把 email 當作保管箱身份。

最後，多控還原的安全性取決於你如何保管因素。如果把 .nt2recovery 還原包和主密碼放在同一台筆電、同一個資料夾裡，就削弱了設計意義。把它保存在離線媒體或另一個你掌控的位置，這個模型才真正有價值。

我們想要的使用體驗

理想狀態應該很日常：

• 你打開保管箱，用主密碼解鎖，或在信任裝置上使用本機生物辨識捷徑。
• 你把還原包存到另一個地方，就像把備用鑰匙放在合理的位置。
• 你只在需要時啟用雲端同步，並知道同步綁定的是保管箱的金鑰身份，傳輸的是密文。
• 你只共用或呈現當下需要的欄位。
• 你不需要為了擁有本機保管箱而用 email 建立雲端帳號。

底層機制刻意嚴肅，因為資料本身嚴肅。但面向使用者的想法並不複雜：

你的保管箱應該能證明自己，而不必把冒充它的能力交給 NT²。

這就是為什麼多控保管箱與保管箱金鑰 DID 必須放在一起。前者保護存取的根；後者讓保管箱有穩定的被識別方式。兩者合起來，讓身份更像你持有與管理的物件，而不是服務商帳號資料表裡的一列。

信任不應該從註冊畫面才開始，而應該從理解金鑰在哪裡、誰能還原它們、伺服器永遠看不到什麼開始。

你可以先閱讀更完整的產品故事：nt2.me/zh-TW/about，瀏覽實際情境：nt2.me/zh-TW/help/use-cases，或透過 RSS 追蹤新文章。