KeyBaseとかKeyOxideとかはデジタル証明書で手元に私有鍵があることを証明・検証できるので、それを利用して信用のハシゴみたいなものをつないでいけるんよね。C2PAにもそういうデジタル証明書を放り込む場所がありそうよね。
@zundan 素人目ですが、C2PAはドキュメントを眺めているとTPMやIntel SGXといった単語が出てくるなどあんまり署名鍵をエンドユーザーの自由になる形にしたくないような雰囲気があって、信用チェーンもだいたい「権威あるバリデーター→カメラメーカーやソフトウェアベンダー→個々のデバイスやソフトウェアの鍵」というようなスタイルに見えるので、ユーザーが管理する鍵を用いたアイデンティティどうこうの話はスコープ外にしているのではないかという感想を抱いています。
https://c2pa.org/specifications/specifications/1.4/guidance/Guidance.html#_trust_model
https://c2pa.org/specifications/specifications/1.4/explainer/Explainer.html#_trust
実際、DIDsを用いたユーザーのプロフィールやアイデンティティ、AI学習有無の意思表示などは仕様から切り離されてよそ(DIF)の子になってるので、そちらを見たほうがお求めのものがあるかもしれないです。
https://opensource.contentauthenticity.org/docs/getting-started/#identity
https://cawg.io/
c2pa.orgC2PA Implementation Guidance :: C2PA Specifications