為什麼憑證的撤銷一定要回家報到：no-phone-home 的工程經濟學

[Core Thesis]: Phone-home 的默認位置是工程偏好（非工程必然）。技術已生產級，但 issuer 在無監管推力 R 0、無消費者選擇 C 0 條件下自發採用率僅 1.6-5%——三層動機（驗證情報變現、法律免責、切換成本）都是負向 incentive。四件式推力組合（標準層預設關閉採購規格寫入禁止隱私法強制最小聯繫 wallet 單方切換）可推到 60-90%。撤銷新鮮度反論被 time-limited refresh 折衷化解，CRLite 提供規模化 zero phone-home 證明。

<Formal Core>: Formula Issuer Disincentive Theorem (IDT) issuer I P(I adopts no phone home R 0, C 0) f( E(I), L(I), T(I)) 1.6% to 5% (empirical, 2024) where E(I) revenue from verification analytics monetization L(I) legal liability hedge from real-time revocation T(I) one-time switching cost R regulatory push (0 absent) C consumer choice mechanism (0 absent) Four Pronged Push P(I adopts R 0) 60% R (Layer₁ Layer₂ Layer₃ Layer₄) Layer₁ standard default off (W3C ISO EUDI) Layer₂ procurement mandate (EU AAMVA GSA) Layer₃ privacy law minimal contact (GDPR 5(1)(c)) Layer₄ wallet unilateral default switch Time Limited Refresh scenario s finance, license, medical, employee, national security narrow refresh interval(s) privacy preserved freshness satisfied(s) where national security narrow phone home legitimate (但拒絕 scope-creep) Engineering Maturity path W3C BSL 1.0, ISO 18013-5 mDL, Anoncreds v1.0 i 1..4 D i(path) production grade subject to freshness 24h scale 10⁸ credentials Caption IDT 模型解釋為何自發採用率 5% Four-Pronged Push 推到 60% Time-Limited Refresh 化解新鮮度反論 Engineering Maturity 縮限論證範圍於合理使用情境。

[Accepted]: Phone-home 是工程偏好（IDT 解釋）四件式推力可改變均衡. Phone-home 的默認位置是 issuer 經濟動機法律免責動機簡單實作偏好的合流結果。IDT 形式化模型 P(I R 0, C 0) f(-E, -L, -T) 量化估計自發採用率 1.6-5% 四件式推力組合（標準預設採購禁止隱私法 wallet 切換）可推到 60-90%。撤銷新鮮度反論被 time-limited refresh 折衷化解（金融 5min 駕照 1h 醫療 30min 員工 15min），國家安全窄場景的 phone-home 正當性需明確拒絕 scope-creep。論證範圍縮限於「合理使用情境（新鮮度 24h、規模 1 億 credential）」。

[Rejected]: Phone-home 是撤銷新鮮度的工程必然. 把 phone-home 視為撤銷新鮮度的唯一技術解。這個分類預設「即時新鮮度需求 verifier 必須直接接觸 issuer」這個 conflation。但 W3C Bitstring Status List 1.0、ISO 18013-5 mDL、Anoncreds v1.0 等替代機制都已生產級，Mozilla CRLite 在 Firefox 137 預設啟用 12 小時 push 模式更證明規模化 zero phone-home 工程上完全可行。Phone-home 的默認地位是路徑依賴，並非技術必然。

<P1>: Title 六族變種、五維度 trade-off Section 2 — 撤銷機制工程成本對照 Role 提供工程實證根據——若沒有可信的成本對照，「phone-home 不是必然」是空洞主張。本 pillar 把六族撤銷機制（W3C BSL RSA acc Merkle acc batch Idemix Bloom）變種（BBS , Cuckoo, sparse Merkle）的五維度 trade-off 展開，證明工程選擇空間遠比 phone-home 默認暗示的更大。命名修訂 W3C 軌道版本是 Bitstring Status List 1.0（2024-12 Recommendation），非舊稱「Status List 2021」。六族撤銷機制各有 trade-off W3C Bitstring Status List 1.0 隱私強、新鮮度 cache TTL（5min-1h） RSA accumulator 隱私最強（ZK proof）但 witness update 複雜 Merkle accumulator 折衷 batch revocation epoch latency 1-24h、隱私高 Idemix CL 隱私最強（complete unlinkability）但 pairing-based 複雜 Bloom filter 有 false positive 問題。Anoncreds v1.0 採 RSA accumulator，v2 working draft 已轉向 BBS status list Merkle。隱私強度光譜 RSA acc Idemix（最強） Bitstring SL Bloom（中強） phone-home（弱）。 Finding 工程選擇空間多元 phone-home 在隱私維度上是六族中最弱者，命名與版本必須精準（Bitstring SL 1.0 取代 Status List 2021）。 Formal mech W3C BSL 1.0, RSA acc, Merkle acc, batch, Idemix, Bloom privacy(mech) privacy(phone home) cost(mech) feasible range

<P2>: Title D1-D4 四維度評估 Section 3 — 三路徑生產級成熟度 Role 提供技術成熟度根據——若 alternatives 不夠成熟，「phone-home 是路徑依賴」會被指控為理論主張。把「生產級成熟度」拆成 D1 規範穩定 D2 互操作 D3 部署規模 D4 可維護四維度，逐路徑評估，避免一概而論。並縮限論證範圍於「合理使用情境（新鮮度 24h、規模 1 億 credential）」。三路徑 D1-D4 評估 (A) W3C Bitstring Status List 1.0 — D1-D4 全（2024-12 Recommendation 歐盟 EUDI、加 BC、紐 RealMe、新加坡、日本已部署） (B) ISO 18013-5 mDL — D1-D4 全（2021 已發布美國 13 州 EU 27 國加紐新加坡日澳已部署撤銷雙軌「離線可選線上可選」） (C) Hyperledger Anoncreds v1.0 — D1 （Hyperledger Project Spec 等級非 W3C）、D4 （pairing-based 複雜）。論證範圍合理使用情境（新鮮度 24h、規模 1 億 credential），不主張全域 dominate phone-home。 Finding 三路徑在合理使用情境內全部生產級 mDL 撤銷雙軌設計需注意超大規模即時更新場景（國安戰時動員）保留 phone-home 正當性。 Formal path BSL, mDL, Anoncreds i 1..4 D i(path) production grade s.t. freshness 24h scale 10⁸

<P3>: Title P(I R 0, C 0) f(-E, -L, -T) 1.6% to 5% Section 4 — IDT 形式化模型 Role 提供因果根據——若不解釋為何 issuer 不採用，論證會被指控為「忽略現實採用阻力」。Issuer Disincentive Theorem (IDT) 形式化三層動機（驗證情報變現 E 法律免責 L 切換成本 T），量化估計自發採用率，並指出 KYC AML 模板搬運謬誤。 IDT 模型 P(I adopts no phone home R 0, C 0) f(-E(I), -L(I), -T(I))。三層動機量化 E(I) 驗證情報變現（中型 50-300 萬歐元年，大型 1500 萬-8000 萬歐元年） L(I) 法律免責（金融 issuer E，通用 0） T(I) 切換成本（50-200 萬歐元一次性，0.1-0.3 E）。自發採用率 1.6-5%（W3C VC Status List 2024 OID4VC Implementer Survey 2024 交叉驗證）。三反事實 GDPR 5(1)(c) 強解釋 60-90% 強制揭露驗證日誌 30-50% OIDC IdP 預設關閉 introspection 20-30%。KYC AML 模板搬運謬誤把金融場景的法律框架延伸到日常驗證是錯誤的範疇延伸。 Finding Issuer 不採用是動機問題不是技術問題經濟動機法律免責切換成本 KYC AML 場景必須與日常 issuer 拆開。 Formal P(I adopts R 0, C 0) f(-E, -L, -T) 0.016 to 0.05 KYC template extension(daily verification)

<P4>: Title EU 規範分層 AAMVA mDL v1.4 v1.5 半年案例 Section 5 — 四件式監管推力 Role 提供溯因根據——若不證明監管推力可改變 issuer 行為，IDT 模型只是描述性。EU EUDI ARF 規範分層四級結構與 AAMVA 半年內從警告升級到禁止 server retrieval 的採購層案例，證明四件式推力組合在現實中可運作。 EU EUDI 規範分層四級 Reg 2024 1183 第 5a 條（一級） Implementing Reg 2024 2979（二級） ARF Annex 2 Topic 7（規範性） Discussion Topic A G（指導性）。AAMVA mDL Implementation Guidelines v1.4（2024-12 警告 server retrieval） v1.5（2025-05 禁止 server retrieval）半年案例。No Phone Home 連署 100 專家（CDT ACLU EFF EPIC Bruce Schneier Brendan Eich Jan Camenisch）2025-06 公民社會推力。四件式推力 Layer₁ 標準預設關閉（W3C ISO EUDI） Layer₂ 採購規格寫入禁止（EU AAMVA GSA） Layer₃ 隱私法強制最小聯繫（GDPR 5(1)(c) CNIL Bitouzet 2022） Layer₄ wallet 單方切換預設。互補邏輯 EU 用 1 2 3、AAMVA 用 1 2、亞洲僅倚 3 推力薄弱。 Finding 四件式推力組合可達採用率 60-90% EU 與 AAMVA 是兩個成功先例亞洲缺機制需建立平行推力。 Formal P(I adopts R 0) 60% R (Layer₁ Layer₂ Layer₃ Layer₄)

<P5>: Title 化解新鮮度反論 Section 6 — Time-Limited Refresh CRLite 證明 Role 提供反例支柱——若不化解「金融場景需要即時」反論，論證會被擱置在窄場景。Time-limited refresh 機制 Mozilla CRLite 在 Firefox 137 規模化部署的存在性證明，把「即時新鮮度需求 phone-home 必要」這個 conflation 徹底駁倒。國家安全窄例外明確拒絕 scope-creep。五場景 latency 對照金融制裁（即時 SWIFT 5-15min refresh 5min）駕照吊銷（分鐘級 mDL 24h push refresh 1h push）醫療執業資格（當日 1 日級 refresh 30min）員工 ID 開除（分鐘級 MFA 5-15min refresh 15min）國家安全（即時 phone-home 窄例外）。Time-limited refresh 機制 driver 端自動 refresh verifier 端 cache 過期 issuer 端常規維護隱私維持。Mozilla CRLite Firefox 137（2025-04 預設啟用）是規模化 zero phone-home 證明全網 WebPKI 12h push Bloom filter cascade 1MB，取代傳統 OCSP phone-home 模式。國家安全反恐名單窄例外保留 phone-home 正當性，但需明確拒絕 scope-creep 到民用 wallet ecosystem。 Finding Time-limited refresh 化解新鮮度反論 CRLite 提供規模化證明國安窄例外不可 scope-creep。 Formal s finance, license, medical, employee refresh interval(s) (privacy preserved freshness satisfied) national security narrow no scope creep

<Causal Chain>: Title Phone-home 默認形成六步因果鏈從 issuer 動機到工程默認 T0 (deterministic) OAuth OIDC SAML 等 phone-home 工具鏈成熟（1990s-2010s 累積），成為默認設計 T1 (deterministic) Issuer 端建立驗證日誌基礎設施（用於 debug、風控、行銷分析），E(I) 動機顯化 T2 (deterministic) 金融場景因 FATF OFAC AMLD 6 要求即時撤銷查詢，建立 KYC AML phone-home 法律先例 T3 (probabilistic) KYC AML 模板被錯誤延伸到日常驗證（登入、年齡、學歷），phone-home 成為「真實必要」的修辭包裝 T4 (deterministic) T(I) 切換成本累積替代機制需要新 client-side cryptography，OAuth 工具鏈鎖定 issuer 在 phone-home T5 (probabilistic) R 0 C 0 條件下 IDT 預測自發採用率 1.6-5% 四件式推力組合可推到 60-90%

[Deployment Conditions]: No-phone-home 的合法部署，必須通過四件式推力五場景 refresh 三維工程約束. deploy(no phone home, W) valid (Layer₁ Layer₂ Layer₃ Layer₄) ( s S refresh interval(s)) (D₁ D₂ D₃ D₄)

<C1>: Title Layer 1 — 標準層預設關閉 W3C ISO EUDI OpenID Foundation 等標準組織把 phone-home 從 default 移到 exception。已部分實現（W3C Bitstring Status List 1.0 2024-12 Recommendation ISO 18013-5 撤銷雙軌 EUDI ARF Annex 2 Topic 7）。 Formal Layer₁ standard default(W) no phone home phone home exception list(justified)

<C2>: Title Layer 2 — 採購規格寫入禁止政府數位身分專案採購規格寫入「不得使用 phone-home 機制」。EU 政府專案 AAMVA mDL v1.5（2025-05 禁止 server retrieval）美國 GSA 數位身分採購標準（草稿）加 BC Government Verifiable Organizations Network 已部分實現。 Formal Layer₂ procurement spec(W) phone home in EU gov, AAMVA, GSA

<C3>: Title Layer 3 — 隱私法強制最小聯繫 GDPR Article 5(1)(c) 資料最小化原則延伸 CNIL Bitouzet 2022 對 phone-home 的具體 guidance UK ICO Code of Practice for Online Identity。 Formal Layer₃ privacy law minimal contact principle phone home(W) minimal contact

<C4>: Title Layer 4 — Wallet 單方切換預設 Apple iOS Google Android 的隱私介面強化第三方 wallet（Spruce Trinsic）的差異化策略消費者保護機構（FTC CMA）的執法。 Formal Layer₄ wallet default(W) no phone home user notified

<C5>: Title Refresh Interval 5 場景金融制裁 5 分鐘駕照吊銷 1 小時 push 醫療執業 30 分鐘員工 ID 15 分鐘國安窄例外保留 phone-home。Time-limited refresh 機制 driver 端自動 refresh verifier 端 cache 過期 issuer 端常規維護隱私維持。 Formal s finance, license, medical, employee refresh interval(s) (privacy preserved freshness satisfied(s))

<C6>: Title D1 規範穩定標準必須升 normative recommendation 並有版本相容性保證。W3C Bitstring Status List 1.0 達標 ISO 18013-5 達標 Anoncreds v1.0 是 Hyperledger Project Spec 等級。 Formal D₁ standard normative recommendation with versioning

<C7>: Title D2 互操作跨 issuer verifier wallet 廠商的互通實作 interop test reports。三路徑全部達標。 Formal D₂ interop test report(path, 3 vendors)

<C8>: Title D3 部署規模 D4 可維護 D3 實際部署國家數 credential 數量。D4 工程實作複雜度工具鏈成熟度。三路徑在合理使用情境（新鮮度 24h、規模 1 億 credential）內全部達標。 Formal D₃ D₄ deployment scale production threshold maintainability tooling maturity

<Conclusion>: Phone-home 的默認位置是工程偏好（非工程必然）。技術已生產級（W3C Bitstring Status List 1.0 ISO 18013-5 mDL Anoncreds v1.0 三路徑 D1-D4 四維度全部達標），但 issuer 在 R 0 C 0 條件下自發採用率僅 1.6-5%。Issuer Disincentive Theorem (IDT) 形式化解釋三層動機（驗證情報變現 E 法律免責 L 切換成本 T）都是負向 incentive。這個結構是路徑依賴而非技術必然。辯論應從「即時新鮮度 vs 延遲容忍」轉向「廠商蒐集動機 vs 互通義務」。四件式監管推力組合（標準預設關閉採購規格寫入隱私法強制最小聯繫 wallet 單方切換）可推到採用率 60-90%。EU EUDI ARF 規範分層四級結構與 AAMVA mDL v1.4 v1.5 半年內升級為禁止 server retrieval 的採購層案例，證明推力組合在現實中可運作。No Phone Home 連署 100 專家是公民社會推力。亞洲（台、日、韓、新加坡）目前缺機制，需建立平行推力。一條跨層級原則貫穿全文技術成熟是必要條件而非充分條件，治理推力決定承諾是否兌現。本文延續 article 01「可問責的假名性」的判斷模式，把同樣結構從密碼學工程延伸到撤銷機制工程與 article 02 𝒩.M₄、article 04 T Trigger、article 07 SRP、article 09 NCT、article 11 wallet essential facility 形成跨文章的耦合論證。No-phone-home 是政治經濟成就，CRLite Firefox 137 預設啟用是規模化 zero phone-home 證明，國安窄例外不可 scope-creep。 Formal Coda Final form Issuer Disincentive Theorem (IDT) I P(I adopts no phone home R 0, C 0) f( E(I), L(I), T(I)) 1.6% to 5% Four Pronged Push P(I adopts R 0) 60% R (Layer₁ Layer₂ Layer₃ Layer₄) Time Limited Refresh s finance, license, medical, employee refresh interval(s) (privacy preserved freshness satisfied(s)) national security narrow phone home legitimate (但拒絕 scope-creep) Engineering Maturity path W3C BSL 1.0, ISO 18013-5 mDL, Anoncreds v1.0 i 1..4 D i(path) production grade subject to freshness 24h scale 10⁸ credentials deploy valid (Layer₁ Layer₂ Layer₃ Layer₄) ( s S refresh interval(s)) (D₁ D₂ D₃ D₄) Cross-article coupling article 01. V₁..V₆ phone-home 違反 V₃ 密碼學替代測試 V₆ 事後審計 article 02.M₄ phone-home 違反隱私衡量規範矩陣 article 04.T Trigger phone-home 撤銷武器化的救濟條款設計 article 07.SRP phone-home 是主權容器內 ID 武器化的工程化通道 article 09.NCT 商業壟斷 phone-home 雙重 last-mile capture article 11.essential facility no-phone-home 標準正式化 wallet portability spec Layer₃

Deployment Conditions

[Deployment Conditions]

Objections And Replies

[Objection 1]: 金融場景需要即時 phone-home. 反論訴求是「金融制裁名單即時更新需要 verifier 直接接觸 issuer」。但檢驗實際 latency SWIFT 內 5-15 分鐘已是當前標準，FATF Recommendation 6 並未要求毫秒級即時。Time-limited status list refresh 5 分鐘間隔可滿足相同新鮮度需求，且隱私強度顯著提升。Mozilla CRLite（Firefox 137 預設 12 小時 push 全網 WebPKI 撤銷）證明規模化 zero phone-home 工程上完全可行。

<Reply 1>: Title 金融場景需要即時 phone-home 金融場景的 latency 反論不僅未支持「phone-home 必要」，反而給「time-limited refresh 在金融場景已可行」提供了最強論證——SWIFT 5-15 分鐘標準與 5 分鐘 refresh 完全對應。CRLite 在 WebPKI 場景的成功證明把同樣機制延伸到金融 credential 是漸進工程問題，不是 paradigm shift。

[Objection 2]: 替代技術不夠成熟. 反論訴求是「W3C Bitstring Status List 太新、Anoncreds 太複雜、mDL 撤銷雙軌混亂」。但 D1-D4 四維度評估顯示三路徑全部生產級 BSL 2024-12 W3C Recommendation mDL 2021 已 ISO 標準美國 13 州 EU 27 國加紐新日澳部署 Anoncreds 在 Hyperledger Sovrin 主網運行多年。論證範圍縮限於合理使用情境（新鮮度 24h、規模 1 億 credential），三路徑都已 production-grade。

<Reply 2>: Title 替代技術不夠成熟「替代技術不夠成熟」反論不僅未支持「phone-home 必要」，反而暴露反論者對近年標準進展的訊息延遲——2021 之前可能成立，2024-2025 之後事實已變。三路徑全生產級的證據與 IDT 模型疊加，反向支持「採用阻力在動機不在技術」這個核心主張。

[Objection 3]: Issuer 沒有真的蒐集驗證資料 E(I) 估計過高. 反論訴求是「issuer 在 GDPR 規範下不會蒐集驗證資料 E(I) 50-8000 萬歐元年估計缺乏直接證據」。但 GDPR DSR（Data Subject Request）公開揭示部分 issuer 確實儲存驗證日誌 Apple Wallet 與 Apple Pay 透過驗證行為了解用戶模式是已被學界記錄的案例（Acquisti et al. 2015 Science 、Zuboff 2019）。E(I) 區間是估計，但區間下界（50 萬歐元年）即使打對折仍顯著高於 T(I) 切換成本，IDT 模型核心結論不變。

<Reply 3>: Title Issuer 沒有真的蒐集驗證資料 E(I) 估計過高「E(I) 估計過高」反論不僅未支持「phone-home 沒有經濟動機」，反而給「即使 E(I) 打折，IDT 模型仍預測自發採用率 0 只是估計值有爭議。這個爭議在 RA-level 量化驗證後可進一步精細化，但不改變定性結論。