原文作者:Vitalik

原文作者:Vitalik

編譯:倩雯,bayemon.eth,ChainCatcher

特別感謝 Worldcoin 團隊、Proof of Humanity 社區和 Andrew Miller 的討論。

以太坊社區的人們一直在努力構建一個去中心化的人格證明解決方案,這是一個比較棘手但可能是最有價值的小工具之一。人格證明(Proof of personhood),又稱唯一人問題,是一種有限的真實世界身份形式,它斷言一個給定的註冊賬戶是由一個真實的人控制的(而且是一個與其他註冊賬戶不同的真實的人),理想情況下可以不透露它是哪個真實的人。

在解決這一問題方面,已經有一些嘗試:例如,人格證明、BrightID、Idena和Circles。它們中的一些都有自己的應用程序(通常是UBI代幣),還有一些在GitcoinPassport中被用來驗證哪些賬戶在四元投票中是有效的。像Sismo這樣的零知識技術為許多此類解決方案增添了隱私性。最近,我們看到了一個規模更大、更雄心勃勃的身份證明項目的崛起:世界幣(Worldcoin)。

Worldcoin 由 SamAltman 共同創建,他因擔任 OpenAI 的執行長而聞名。這個項目背後的理念很簡單:人工智慧將為人類創造大量的財富,但也可能會讓很多人失業。讓人們幾乎無法分辨誰是人類而不是機器人,因此我們需要通過以下方式來堵住這個漏洞:

(i)創建一個非常好的身份證明系統,這樣人類就可以證明自己確實是人類;

(ii)給每個人提供無息貸款。

Worldcoin 的獨特之處在於,它依賴於高度複雜的生物識別技術,使用一種名為Orb的專用硬體掃描每個使用者的虹膜:他們的目標是生產大量的Orb,並在世界各地廣泛分發,將其放置在公共場所,讓任何人都能輕鬆獲得ID。值得稱讚的是,Worldcoin還承諾隨著時間的推移實現去中心化。起初,這意味著技術上的去中心化:成為以太坊上用Optimism堆疊的L2,並使用ZK-SNARK和其他加密技術保護使用者隱私。之後,還包括系統本身的去中心化治理。

Worldcoin曾因Orb的隱私和安全問題、其代幣的設計問題以及該公司所做的一些道德選擇問題而受到批評。其中一些批評非常具體,主要針對該項目所做的決定,而這些決定本可以很容易地以另一種方式做出——事實上,世界幣項目本身可能也願意改變這些決定。但也有人提出了更根本的問題,使用生物識別技術——不僅是世界幣的眼部掃描生物識別技術,還有更簡單的人臉視訊上傳和非機器人、Idena中使的驗證遊戲——是否是個好主意。還有人批評所有的人格證明,認為風險包括不可避免的隱私洩露、人們匿名瀏覽網際網路能力的進一步下降專制政府的脅迫,以及在去中心化的同時實現安全的潛在不可能性。

這篇文章將討論這些問題,並通過一些論據來幫助你決定,在這位球形神的主面前俯首稱臣,掃描你的眼睛(或臉、聲音等)是否是個好主意,以及自然的替代方案——使用基於社交圖譜的人格證明或完全放棄人格證明——是否更好。

什麼是人格證明,為什麼它很重要?

最簡單的定義是:它創建了一個公鑰列表,系統保證每個公鑰都由唯一的人類控制。換句話說,如果你是人類,你可以把一個金鑰放在列表上,但你不能把兩個金鑰放在列表上,如果你是機器人,你不能把任何金鑰放在列表上。人格證明之所以有價值,是因為它解決了許多人面臨的反詐騙和反權力中心化的問題,避免了對中央集權機構的依賴,並儘可能少地披露資訊。如果人格證明問題得不到解決,去中心化治理(包括微治理,如對社交媒體帖子的投票)就更容易被非常富有的參與者(包括敵對政府)攫取。許多服務只能通過設定訪問價格來防止拒絕服務攻擊,而有時足以阻止攻擊者的高價格對許多低收入合法使用者來說太高了。

當今世界的許多主要應用軟體都通過使用政府支持的身份系統(如信用卡和護照)來解決這個問題。這雖然解決了問題,但卻在隱私方面做出了巨大的、也許是不可接受的犧牲,而且政府本身也會對其進行微不足道的攻擊。

鮮有人格證明支持者看到了我們面臨的雙面風險。

在許多人格證明項目中——不僅是世界幣,還有其他項目(Circle、BrightID、Idena)——旗艦應用是一個內建的N-per-person代幣(有時稱為UBI代幣)。每個在系統中註冊的使用者每天(或每小時,或每週)都會收到一定數量的代幣。但還存在很多其他應用:

代幣分發空投

代幣或NFT銷售,為不太富裕的使用者提供更優惠的條件

在DAO中投票

發展基於圖景(graph)的聲譽系統的方法

四元投票(以及資金和注意力支付)

防範社交媒體中的機器人/假人攻擊

防止DoS攻擊的驗證碼替代方案

在許多這些案例中,共同點是希望建立開放和民主的機制,避免項目運營商的中心化控制和最富有使用者的支配。後者在去中心化管理中尤為重要。在許多情況下,現有的解決方案都依賴於以下兩方面的結合:

(1)高度不透明的人工智慧演算法,這種演算法有很大的空間來對運營商根本不喜歡的使用者進行難以察覺的歧視;

(2)中心化的身份證明,又稱KYC。

有效的身份證明解決方案將是更好的替代方案,既能實現這些應用所需的安全屬性,又沒有現有中心化方法的缺陷。

早期有哪些證明人格的嘗試?

人格證明主要有兩種形式:基於社交圖譜的證明和生物識別證明。

基於社交圖譜的人格證明依賴於某種形式的擔保:如果愛麗絲、鮑勃、查理和大衛都是經過驗證的人類,而且他們都說艾米麗是經過驗證的人類,那麼艾米麗很可能也是經過驗證的人類。擔保通常通過激勵措施來加強:如果愛麗絲說艾米麗是人類,但事實證明她不是,那麼愛麗絲和艾米麗可能都會受到懲罰。生物特徵人格證明涉及驗證艾米麗的某些身體或行為特徵,以區分人類和機器人(以及人類個體之間的區別)。大多數項目都結合使用這兩種技術。

我在文章開頭提到的四個系統的工作原理大致如下:

人格證明:上傳一段自己的視訊,並提供押金。要獲得批准,需要一名現有使用者為你擔保,並需要一定的時間,在此期間可以對你提出質疑。如果出現質疑,Kleros去中心化法庭將判定你的視訊是否真實;如果不真實,你將失去押金,質疑者將獲得獎勵。

BrightID:你與其他使用者一起參加視訊通話驗證聚會,在聚會上大家互相驗證。更高級別的驗證可通過Bitu進行,在該系統中,如果有足夠多的Bitu驗證使用者為你擔保,你就能通過驗證。

Idena:你在一個特定的時間點玩一個驗證碼遊戲(以防止人們多次參與);驗證碼遊戲的部分內容包括創建和驗證驗證碼,然後用這些驗證碼來驗證其他人。

Circles:現有的圈子使用者為你擔保。Circles的獨特之處在於,它並不試圖創建一個全球可驗證的ID;相反,它創建了一個信任關係圖,在這個圖中,只能從你自己在圖中的位置來驗證某人的可信度。

每個Worldcoin使用者都會在自己的手機上安裝一個應用程序,該程序會生成一個私人和公共金鑰,就像以太坊錢包一樣。然後,他們親自去訪問一個Orb。使用者盯著Orb的攝像頭,同時向Orb展示由Worldcoin應用程序生成的二維碼,其中包含他們的公鑰。Orb會掃描使用者的眼睛,並使用複雜的硬體掃描和機器學習分類器進行驗證以下兩件事:

1)使用者是真人

2)使用者的虹膜與之前使用過系統的任何其他使用者的虹膜不一致

如果兩次掃描都通過,則Orb會簽署一條資訊,批准使用者虹膜掃描的專門雜湊值。哈希值會被上傳到一個資料庫中(目前是一個中央伺服器),一旦確定哈希值機制有效,它們就會被去中心化的鏈上系統取代。系統不會儲存完整的虹膜掃描結果,只會儲存哈希值,這些哈希值用於檢查唯一性。從那時起,使用者就有了一個世界ID。

世界ID持有者可以通過生成ZK-SNARK來證明自己是獨一無二的人類,該ZK-SNARK證明他們持有與資料庫中的公開金鑰相對應的私鑰,而不會洩露他們持有的金鑰。因此,即使有人重新掃描你的虹膜,也無法看到你的任何操作。

Worldcoin建設的主要問題是什麼?

四大風險:

隱私。虹膜掃描註冊表可能會洩露資訊。如果其他人掃描了你的虹膜,他們可以將其與資料庫進行核對,以確定你是否擁有世界身份證。虹膜掃描可能會洩露更多資訊。

可訪問性。如果有足夠多的orb,否則無法實現每個人都能可靠地訪問世界ID是。

中心化。Orb是一個硬體設備,我們無法驗證它的構造是否正確,是否有後門。因此,即使軟體層是完美的,完全去中心化的,世界幣基金會仍然有能力在系統中插入一個後門,讓它任意創建許多虛假的人類身份。

安全性。使用者的手機可能會被駭客入侵,使用者可能會被脅迫掃描虹膜,同時出示屬於他人的公鑰,還有可能通過3D列印假人,讓他們通過虹膜掃描,獲得世界身份證。

重要的是要區分(i)Worldcoin的選擇所特有的問題、(ii)任何生物識別的人格證明都不可避免會有的問題,以及(iii)任何一般的人格證明都會有的問題。

例如,註冊人格證明意味著在網際網路上公佈你的臉。加入BrightID驗證派對雖然不會完全公佈的你的臉,但仍會向很多人暴露你的身份。而加入Circles則會公開你的社交圖譜。

相比之下,Worldcoin在保護隱私方面要好得多。另一方面,世界幣依賴於專門的硬體,這就帶來了信任球體制造商正確製造球體的挑戰–這一挑戰在人格證明、BrightID或Circles中都不存在。甚至可以想象,在未來,除了世界幣之外,還會有人創造出不同的專用硬體解決方案,並做出不同的權衡。

生物識別的人格證明方案如何解決隱私問題?

任何個人身份證明系統最明顯、也是最大的潛在隱私洩露是將一個人的每個行為與真實世界的身份聯繫起來。這種資料洩露非常嚴重,可以說嚴重到令人無法接受的地步,但幸運的是,零知識證明技術很容易解決這個問題。

使用者不需要直接用私鑰(其對應的公鑰就在資料庫中)進行簽名,而是可以用ZK-SNARK證明他們擁有私鑰,而其對應的公鑰就在資料庫中的某個地方,同時又不會洩露他們擁有的具體私鑰。這可以通過Sismo等工具來實現(人格證明的具體實現見此處),世界幣也有自己的內建實現。在此,我們有必要為加密原生的人格證明點個贊:他們確實很重視採取這一基本步驟來提供匿名化,而基本上所有的中心化身份解決方案都沒有做到這一點。

更微妙但仍很重要的隱私洩露是生物特徵掃描的公開登記。就人格證明而言,這就是大量資料:你會得到每個人格證明參與者的視訊,讓世界任何有心調查人格證明參與者的人都一清二楚。而在世界幣中,洩漏的資料要有限得多:Orb只在本地計算並公佈每個人虹膜掃描的哈希值。這個哈希值並不是像SHA256那樣的常規哈希值,而是一種基於機器學習的Gabor過濾器的專門演算法,用於處理任何生物識別掃描中固有的不精確性,並確保對同一個人的虹膜進行的連續哈希值具有相似的輸出。

藍色:同一個人的兩次虹膜掃描結果不同的比特百分比。橙色:兩個不同人的虹膜兩次掃描結果的差異比特百分比。

這些虹膜哈希值只會洩露少量資料。如果對手可以強行(或秘密)掃描你的虹膜,那麼他們就可以自己計算出你的虹膜哈希值,並將其與虹膜哈希值資料庫進行核對,以確定你是否參與了該系統。這種檢查某人是否註冊的功能對於系統本身來說是必要的,可以防止人們多次註冊,但這種功能總是有可能被濫用。

此外,虹膜哈希值有可能會洩露一定量的醫療資料(包含性別、種族,也許還有醫療條件),但這種洩露遠遠小於目前使用的幾乎所有其他大規模資料收集系統(例如,甚至街頭攝像頭)所能捕捉到的資料。

總的來說,在我看來,儲存虹膜哈希值已經足夠保護隱私了。如果其他人不同意這一判斷,並決定要設計一個隱私性更強的系統,有兩種方法可以做到這一點:

1)如果可以改進虹膜雜湊演算法,使同一個人的兩次掃描之間的差異大大降低(例如,比特翻轉可靠地低於10%),那麼系統就可以為虹膜雜湊儲存較少的糾錯比特,而不是儲存完整的虹膜雜湊(參見:模糊提取器)。如果兩次掃描的差異低於10%,那麼需要公佈的比特數至少會減少5倍。

2) 如果我們想更進一步,可以將虹膜哈希資料庫儲存在多方計算(MPC)系統中,該系統只能由Orb訪問(有速率限制),從而使資料完全不可訪問,但代價是管理多方計算參與者的協議複雜性和社會複雜性極大。這樣做的好處是,即使使用者願意,也無法證明他們在不同時間擁有的兩個不同世界ID之間的聯繫。

遺憾的是,這些技術並不適用於人格證明,因為人格證明要求公開每位參與者的完整視訊,以便在出現假視訊(包括人工智慧生成的假視訊)的跡象時可以提出質疑,並在這種情況下進行更詳細的調查。

總的來說,儘管盯著Orb讓它深深地掃描你的眼球會有一種烏托邦式的感覺,但專門的硬體系統在保護隱私方面似乎確實可以做得很好。不過,這也從另一方面說明,專用硬體系統帶來了更大的中心化問題。因此,我們這似乎陷入了一個困境:我們必須在一種價值觀和另一種價值觀之間進行權衡。

生物識別身份證明系統有哪些可訪問性問題?

專業化硬體帶來了可訪問性問題,因為專業化硬體並不是很方便使用。目前,撒哈拉以南非洲地區約有51%至64%的人擁有智慧手機,預計到2030年,這一比例將增至87%。但是,雖然全球有數十億部智慧手機,卻只有幾百個Orb。即使有更大規模的分散式製造,也很難實現每個人身邊五公里內都有一個orb的世界。

值得注意的是,許多其他形式的人格證明都存在更嚴重的可訪問性問題。除非你已經認識社交圖譜中的某個人,否則很難加入基於社交圖譜的人格證明系統。這使得此類系統很容易侷限於單一國家的單一社區。

即使是中心化式身份識別系統也吸取了這一教訓:印度的AadhaarID系統是基於生物識別技術的,因為只有這樣才能在避免大量重複和虛假賬戶欺詐行為的同時,迅速吸納大量人口(從而節省了大量成本),當然,Aadhaar系統作為一個整體,在隱私保護方面要比加密貨幣社區提出的任何大規模建議都要弱得多。

從可訪問性的角度來看,表現最好的系統實際上是像人格證明這樣的系統,你只需使用一部智慧手機就可以註冊。

生物識別身份證明系統的中心化問題是什麼?

1.系統高層管理中的中心化風險(特別是,如果系統中的不同參與者在主觀判斷上存在分歧,由系統做出最終的高層決議)。

2.中心化風險是使用專用硬體的系統所特有的。

3.如果使用專有演算法來確定誰是真實的參與者,則存在中心化風險。

任何人格證明系統都必須與第(1)點做鬥爭,也許被接受的ID集完全主觀的系統除外。如果一個系統使用以外部資產(如以太坊、USDC、DAI)計價的激勵機制,那麼它就不可能是完全主觀的,因此治理風險就變得不可避免。

第二個風險對世界幣來說比人格證明(或BrightID)大得多,因為世界幣依賴於專門的硬體,而其他系統不需要。

第三個風險尤其存在於邏輯中心化的系統中,除非所有演算法都是開源的,而且我們能保證它們確實運行著它們聲稱的程式碼,否則由單一系統來進行驗證尤其具有風險。對於純粹依靠使用者驗證其他使用者的系統(如人格的證明)來說,這不是風險。

Worldcoin如何解決硬體中心化問題?

目前,一個名為人類工具(Tools for Humanity)的世界幣附屬實體是唯一一個正在製造orb的組織。不過,Orb的源程式碼大部分是公開的:你可以在這個github儲存庫中看到硬體規格,源程式碼的其他部分預計也將很快公佈。該許可證是另一種共享源程式碼,但四年後才算開源的許可證,類似於UniswapBSL,除了防止分叉外,還防止他們認為不道德的行為——他們特別列出了大規模監控和三項國際公民權利宣言。

該團隊的既定目標是允許並鼓勵其他組織創建Orb,並隨著時間的推移,從由人類工具創建Orb過渡到由某種DAO批准和管理哪些組織可以創建被系統認可的Orb。

這種設計有個問題:

1)由於聯合協議中的常見陷阱,它可能最終無法真正實現中心化:長此以往,一家制造商最終會在實踐中佔據主導地位,導致系統再度迴歸中心化。雖然治理機構可以限制每個製造商可以生產多少有效的 Orb,但這需要謹慎管理,而且這給治理機構帶來了很大的壓力,既要去中心化,又要監控生態系統並有效應對威脅。這比只處理頂層爭端解決任務的靜態 DAO 要難得多。

2) 想確保這種分散式製造機制的安全性基本是不可能的,這裡存在兩種風險:

對不良Orb 製造商極其脆弱的抵抗能力:哪怕只有一個Orb製造商是惡意的或是被駭客攻擊,它也可以生成無限數量的假虹膜掃描哈希值,並給他們提供World ID。

政府對Orb的限制:不希望本國公民參與世界幣生態系統的政府可以禁止Orb進入本國。此外,他們甚至可以強迫公民進行虹膜掃描,讓政府獲取他們的賬戶,而公民將無法申訴。

為了使該系統能夠更有效地抵禦不良Orb製造商的攻擊,Worldcoin團隊建議對Orb進行定期審核,以驗證製造過程是否正確,關鍵硬體元件是否按照規格製造,以及事後是否被篡改。這是一項具有挑戰性的任務:它基本上類似於國際原子能機構(IAEA)的核檢查官機構,但針對的是Orb。我們希望即便是在審計制度的實施不完善的情況下,也能大大減少假Orb的數量。

為了限制任何不良Orb成為漏網之魚並對系統造成的危害,有必要採取第二種緩解措施。即在不同的Orb製造商那裡註冊的World ID註冊可以有效區分的Orb。如果這些資訊是私密的,而且只儲存在WorldID持有者的設備上,那也沒有問題,只是確實要求其在必要時加以證明。這樣,生態系統就有可能應對(不可避免的)攻擊,並按需從白名單中刪除單個Orb製造商,甚至是單個 Orb。舉例來講,如果我們發現朝鮮政府到處強迫人們掃描眼球,這些Orb和由它們生成的任何賬戶都會立即被追溯禁用。

人格證明普遍存在的安全問題

除了Worldcoin系統帶來的特有問題外,還有一些問題會影響到一般人格證明設計。我能想到的主要問題有如下幾個方面:

三維列印的假人:人們可以利用人工智慧生成假人的照片或甚至三維列印的假人,其可信度足以讓Orb軟體接受。只要有這樣做的團體,他們就能生成無限多的身份。

出售 ID:有人可以在註冊時提供別人的公鑰,而不是自己的公鑰,讓別人控制自己註冊的 ID,從而換錢。這種情況似乎已經出現了,除了出售之外,還可能會出現租用ID的情況。

入侵手機:如果一個人的手機被駭客入侵,駭客就能竊取控制其WorldID的金鑰。

政府脅迫竊取身份證件:政府可以強迫公民在出示屬於政府的二維碼時進行驗證。這樣,惡意政府就能獲得數百萬個身份證。在生物識別系統中,這甚至可以暗中進行:政府可以使用混淆的 Orb,在海關驗證護照時從每個進入該國的人身上提取World ID。

(1)是生物識別人格證明系統所特有的問題,(2)和(3)是生物識別和非生物識別設計的共同點。第(4)點也是兩者的共同點。儘管在這兩種情況下所需的技術大不相同,但在本節中,我將重點討論生物識別情況下的問題。

這些都是相當嚴重的問題,其中一些已經在現有協議中得到了妥善解決,另一些可以通過未來的改進來消除影響,還有一些似乎是根本性的限制。

如何處理3D列印假人帶來的問題?

對於Worldcoin來說,這種風險比對於類似 人格證明 的系統來說要小得多:與精心偽造的視訊相比,當面掃描可以檢查一個人的許多特徵,則很難偽造。專業硬體本身就比普通硬體更難欺騙,而普通硬體又比驗證遠端發送的圖片和視訊的數字演算法更難欺騙。

最終會有人用 3D 列印出連專用硬體都能騙過的東西嗎?有可能。我預計,在未來某些時候,保證開放性和安全性之間的矛盾會越來越大:開源人工智慧演算法在本質上更容易受到對抗性機器學習的影響。黑盒演算法受到的保護更多,但很難確保黑盒演算法在訓練過程中沒有加入私密的惡意資訊。或許,未來的ZK-ML 技術能達到兩全其美,但另外一種角度來講,即使是最好的人工智慧演算法也有可能被最好的 3D 列印假人騙過。

如何防範ID出售?

在短期內,防止這種ID外流是很困難的,因為世界上大多數人甚至不知道身份證明協議,如果你告訴他們舉起一個二維碼,掃描一下眼睛就能得到 30 美元,他們肯定會照辦。一旦有更多人知道什麼是 身份證明協議,一個相當簡單的緩解措施就成為可能,即允許已註冊ID的人重新註冊,並取消之前的ID。這樣一來,出售ID 的可信度就會大大降低,因為把身份證賣給你的人可以直接去重新註冊,註銷剛剛賣給你的身份證。然而,要達到這一點,協議必須廣為人知,而Orb也必須非常容易獲取,才能使按需註冊成為現實。

這也是為什麼將 UBI 硬幣整合到人格證明系統中很有價值的原因之一:UBI Coin提供了一個易於理解的激勵機制,其一,可以讓人們了解協議並註冊,其二,如果他們代表他人註冊,則會立刻觸發重新序號產生器制,同時重新註冊還能有效手機被駭客入侵。

我們能否防止生物識別身份證明系統中的脅迫行為?

這取決於我們談論的是哪種脅迫。可能出現的脅迫形式包括:

政府在邊境管制和其他例行的政府檢查站掃描人們的眼睛(或臉部,等等),並以此對公民進行登記,並經常重新登記。

政府在國內禁止使用Orb,以防止人們獨立進行重新登記

個人購買ID,然後威脅他人,如果自己的ID因重新登記而失效,就會傷害重新註冊的人

(可能是政府運營的)應用程序要求人們直接用自己的公鑰簽名登入,讓他們看到相應的生物特徵掃描,從而看到使用者當前ID與重新註冊後獲得的任何未來ID之間的聯繫。人們普遍擔心的是,這樣就很容易創造出伴隨人一生的永久記錄。

尤其是在不成熟的使用者手中,要徹底防止這些情況似乎相當困難。使用者可以離開自己的國家,在一個更安全的國家Orb上(重新)註冊,但這是一個艱難的過程,而且成本很高。在真正惡劣的法律環境中,尋找一個獨立的Orb太困難、太冒險了。

可行的辦法是讓這種濫用行為更難以實施和檢測。人格證明要求使用者在註冊時說一句特定的短語就是一個很好的例子:這可能足以防止隱蔽掃描,但要求脅迫行為更加明目張膽,而且註冊短語甚至可以包括一項聲明,確認受訪者知道他們有權獨立重新註冊,並可能獲得 UBI Coin或其他獎勵。如果檢測到脅迫行為,用於執行大規模脅迫註冊的設備可能會被取消訪問許可權。為了防止應用程序將人們當前和以前的ID聯繫起來並試圖留下永久記錄,默認的身份證明應用程序可以將使用者的金鑰鎖定在可信硬體中,防止任何應用程序在沒有匿名 ZK-SNARK 層的情況下直接使用金鑰。如果政府或應用程序開發商想繞過這一點,就需要強制使用自己的定製應用程序。

將這些技術和對ID濫用的警惕性結合起來,鎖定那些真正有敵意的政權,並讓那些只是中庸的政權保持誠實(世界上很多地方都是這樣),似乎是有可能的。要做到這一點,可以由像Worldcoin或人格證明這樣的項目維持自己的官僚機構來完成,也可以通過披露更多關於ID如何註冊的資訊(例如,在世界幣中,它來自哪個Orb),並將這一分類任務留給社區來完成。

如何防範ID出租(如出售選票問題)?

重新註冊並不能阻止出租ID。這在某些應用中是沒有問題的:出租領取當日UBI Coin權利的成本將僅僅是當日UBI Coin的價值。但在社區投票等應用中,出售選票則是個大問題。

像MACI這樣的系統可以防止你以可信的方式出售你的選票,允許你隨後再投一票,使你之前的投票無效,這樣就沒有人能知道你是否真的投了這樣一票。但是,如果有心之人控制了你在註冊時獲得的金鑰,這就無濟於事了。

我認為有兩種解決方案:

在 MPC 內部運行整個應用程序:這也涵蓋了重新註冊的過程,即當一個人向 MPC 註冊時,MPC 會分配給他一個獨立於其人格證明ID且不可與之關聯的 ID,當一個人重新註冊時,只有 MPC 知道該停用哪個賬戶。這可以防止使用者對自己的行為進行證明,因為每一個重要步驟都是在 MPC 內部使用只有 MPC 才知道的私人資訊完成的。

分散式註冊儀式:去中心化式註冊儀式。基本上,實施類似這種當面金鑰註冊協議,要求四名隨機抽取的本地參與者共同完成註冊。這可以確保註冊是一個可信的程序,攻擊者無法在註冊過程中進行窺探。

實際上,基於社交圖譜的系統在這方面可能表現得更好,因為它們可以自動創建存於本地的分散式註冊流程,這是其工作方式的副產品。

生物識別技術 v.s. 基於社交圖譜的驗證

除了生物識別方法外,迄今為止,證明個人身份的其他主要競爭者是基於社會圖譜的驗證。基於社會圖譜的驗證系統都基於同樣的原則:如果有一大堆現有的已驗證身份都證明了你身份的有效性,那麼這種有效性成立,你也應該獲得驗證身份。

如果只有少數真實使用者(意外或惡意)驗證了虛假使用者,那麼就可以使用基本的圖論技術,為系統驗證的虛假使用者數量設定一個上限。

基於社交圖譜的驗證的支持者通常將其描述為生物識別技術的更好替代品,原因有以下幾點:

它不依賴於特殊用途的硬體,因此更易於部署

它避免了3D假人制造商與Orb 之間的長期軍備競賽

不需要收集生物識別資料,更有利於保護隱私

它可能對匿名更友好,因為如果有人選擇將自己的網際網路生活分割成多個相互獨立的身份,那麼這兩個身份都有可能被驗證(但維持多個真實而獨立的身份會犧牲網路效應,而且成本很高,所以攻擊者不容易做到這一點)。

生物識別方法給出的是「是人」或「不是人」的二元評分,這種方法很脆弱,因為不小心被拒絕的人最終根本無法獲得UBI,也可能無法參與網路生活。基於社會圖譜的方法可以給出一個更細緻的數字分數,這當然可能對某些參與者略有不公,但不太可能讓某人完全無法參與網路生活。

對於這些論點,我的觀點是基本贊同。這些都是基於社會圖譜的方法的真正優勢,應該認真對待。不過,基於社交圖譜的方法也有不足之處,這一點也值得考慮:

初始人脈關係:要加入基於社交圖譜的系統,使用者必須認識圖譜中的某個人。這就給大規模應用帶來了困難,並有可能將在初始引導過程中運氣不佳的整個地區排除在外。

隱私:雖然基於社交圖譜的方法可以避免收集生物識別資料,但最終往往會洩露一個人的社交關係資訊,這可能會導致更大的風險。當然,零知識技術可以緩解這一問題(例如,請參閱Barry Whitehat提出的建議),但圖中固有的相互依賴關係以及對圖進行數學分析的需要,使其難以達到與生物識別技術相同的資料隱藏水平。

不平等:每個人只能擁有一個生物識別 ID,但一個社牛可以利用他們的關係生成許多 ID。從根本上說,基於社會圖譜的系統可以靈活地為真正需要該功能的人(如活動組織者)提供多個假名,這也可能意味著更有權勢、人脈更廣的人可以獲得比權勢、人脈更少的人更多的假名。

陷入中心化的風險:大多數人都懶得花時間向網際網路應用程序報告誰是真人,誰不是。因此,隨著時間的推移,該系統有可能會偏向於依賴中央機構的 簡易 入場方式,而系統使用者的 社交圖譜 將事實上成為哪些國家承認哪些人是公民的社交圖譜–為我們提供中央化的 KYC,但卻增加了不必要的額外步驟。

在現實世界中,人格證明與假名是否兼容?

原則上,人格證明可與各種假名兼容。應用程序可以這樣設計:擁有一個身份證明的人最多可以在程序中創建五個配置檔案,以此為假名賬戶留出空間,甚至可以使用二次公式,將 N 個賬戶的成本為 N² 美元。但他們會這樣做嗎?

然而,悲觀主義者可能會說,試圖創建一種對隱私更友好的ID形式,並希望它能以正確的方式被採用,這種想法太不切實際了,因為當權者並不在意普通人的隱私安全。如果一個有權勢的人獲得了一種可以用來獲取更多個人資訊的工具,他們必定就會這樣使用它。在這樣的世界裡,不幸的是,唯一現實的方法就是在阻止任何身份解決方案推行,以此捍衛一個完全匿名和高信任度的數字世界。

我深知這種方法的合理性,但我擔心即使這種方法成功,也會導致在這個世界上,任何人都無法採取任何行動來抵制財富中心化和治理集權,因為一個人總是可以冒充一萬個人。反過來,這種中心化也很容易被當權者握在手中。相反,我更傾向於一種溫和的方法,即我們大力提倡具有強大隱私性的人格證明解決方案,如果需要,甚至可以在協議層加入 註冊N 個帳戶成本為 N² 美元 的機制,並創建一些具有隱私友好價值且有機會被外部世界接受的東西。

那麼我的看法是,在不存在理想的人格證明方式的情況下,我們有三種不同的證明方法,它們都有各自獨特的優缺點,比較圖表如下:

我們最理想的做法是將這三種技術視為互補品,並將它們結合起來。正如印度的Aadhaar所顯示的那樣,專門的硬體生物識別技術具有大規模安全的優點,但它們在去中心化方面非常薄弱,不過這可以通過追究單個Orb的責任來解決。如今,通用生物識別技術已經達到大規模應用的程度,但其安全性正在迅速下降,並且未來的使用預期可能僅剩下1-2 年。基於社交圖譜的系統僅靠幾百個與創始團隊關係密切的人就能啟動,但很對大部分地區而言需要在直接忽略或採用卻易受攻擊之間不斷權衡。然而,一個基於社交圖譜的系統,如果起源於數千萬生物識別ID持有者中,就能真正發揮作用。生物識別引導可能在短期內更有效,而基於社會圖譜的技術可能在長期內更穩健,並隨著演算法的改進而能夠有更廣闊的應用前景。

一個可實現的混合解決方案

一個可實現的混合解決方案

所有團隊都有可能犯很多錯誤,商業利益與更廣泛的社區需求之間也不可避免地存在緊張的衝突,因此我們必須保持高度警惕。作為一個社區,我們應當在開源技術方面推進至所有參與者的舒適區,將第三方進行審計、編寫軟體或進行其他制衡措施。我們還需要在這三類技術中各自都有更多的替代技術。

與此同時,我們也必須對已經完成的工作表示讚許:許多運行這些系統的團隊都表現出了他們對隱私的重視,比任何政府或大型企業運行的身份系統都要認真得多,這是我們應該發揚光大的美好品質。

要建立一個有效可靠的身份證明系統,尤其是由遠離並不處於加密社區的人負責的系統,似乎相當具有挑戰性。我絕對不羨慕那些試圖完成這項任務的人,他們很可能需要數年的時間才能找到一個行之有效的方案。從原則上講,即便是各種實現方式都存在風險,但人格證明的概念仍然極其有價值。同時,完全不存在任何人格證明的世界依然無法避免風險:一個沒有人格證明的世界似乎更有可能是一個由中心化身份解決方案、貨幣、小型封閉社區或三者的某種組合所主導的世界。我期待看到各種類型的人格證明取得更多進展,並希望看到不同的方法最終匯聚成一個連貫的整體。

Source

Visited 3 times, 1 visit(s) today
Subscribe
Notify of
guest
0 Comments
Most Voted
Newest Oldest
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x