圖片來源@視覺中國
本文原發布于鏈得得,授權钛媒體App發布,作者:宋宋,原文作者:Vitalik
以太坊社區的人們一直試圖構建的一個更棘手、但可能是最有價值的小工具之一就是去中心化的人格證明解決方案。人格證明(Proof of personhood),又名"唯一的人類問題",是現實世界身份的一種有限形式,它斷言一個給定的注冊賬戶是由一個真實的人(和其他注冊賬戶的真人不同)控制的,理想情況下不會透露是哪個真實的人。
在解決這個問題上已經有了一些努力,例如Proof of Humanity、BrightID、Idena和Circles等。其中一些自帶應用程序(通常是UBI令牌),還有一些已經在Gitcoin Passport中獲得了使用,以驗證哪些帳戶可以進行二次投票。像Sismo這樣的零知識技術爲這些解決方案增添了隐私性能。最近,我們看到了一個更龐大、更雄心勃勃的人格證明項目的興起,那就是Worldcoin。
Worldcoin由Sam Altman聯合創立,他以OpenAI的首席執行官而聞名。這個項目背後的理念很簡單:人工智能(AI)将爲人類創造大量且豐富的财富,但它也可能會奪走很多人的工作,讓我們幾乎無法區分誰是人類,誰是機器人,所以我們需要通過(1)創建一個真正好的人格證明系統,這樣人類就可以證明自己是人類;(2)給每個人一個UBI來填補這個漏洞。Worldcoin的獨特之處在于,它依賴于高度複雜的生物識别技術,使用一種名爲"Orb"的專用硬件掃描每個用戶的虹膜。
Worldcoin的目标是生産大量這樣的"Orb",将它們廣泛分布在世界各地并将它們放置在公共場所,以便任何人都可以輕松獲得一個ID。值得稱道的是,該項目還承諾随着時間的推移逐步實現去中心化。首先,這意味着技術上的去中心化:使用Optimism堆棧,成爲以太坊的L2,并使用ZK-SNARKs和其他加密技術保護用戶隐私。之後,它還包括系統本身的去中心化治理。
Worldcoin因Orb的隐私和安全問題,"代币"的設計問題,以及公司所做的一些選擇存在道德問題而受到批評。一些批評非常具體,集中在項目做出的決定上,這些決定可以很容易地以另一種方式代替。事實上,Worldcoin項目本身可能願意改變。然而,一些人則提出了更根本的擔憂,即生物識别技術——不僅是Worldcoin的眼睛掃描生物識别技術,還包括在Proof of Humanity和Idena中使用的更簡單的面部視頻上傳和驗證遊戲等,到底是不是一個好主意。還有一些人圍繞人格證明做出批評,其存在的風險包括不可避免的隐私洩露、人們匿名浏覽互聯網的能力進一步被削弱、專制政府的脅迫,以及在去中心化和安全無法共存。
這篇文章将讨論這些問題,并通過一些争論來幫助你決定是否在我們新的"球形霸主"面前低下頭并掃描你的眼睛(或臉,或聲音等)是一個好主意,以及自然的替代方案——要麽使用基于社交圖譜的人格證明,要麽完全放棄人格證明——會更好一些。
什麽是人格證明,爲什麽它很重要?
定義人格證明系統的最簡單方法是:它創建了一個公鑰列表,其中系統保證每個密鑰由一個唯一的人控制。換句話說,如果你是人類,你可以放一個密鑰在清單上,但你不能放兩個在清單上;如果你是機器人,你不能放任何密鑰在清單上。
人格證明是有價值的,它以一種避免依賴集中權威并揭示盡可能少的信息的方式,解決了許多人面臨的反垃圾郵件和反權力集中的問題。如果不能解決人格證明問題,去中心化的治理(包括社交媒體帖子上的投票等"微治理")就會更容易被非常富有的行爲者(包括敵對政府)控制。許多服務隻能通過設置訪問價格來防止拒絕服務攻擊,但有時足以阻止攻擊者的高昂價格對于許多低收入的合法用戶來說過于昂貴了。
當今世界上許多主要的應用程序都是通過使用政府支持的身份系統(如信用卡和護照)來解決這個問題的。但這在隐私方面也做出了巨大的、或許說是不可接受的犧牲,而且可能被政府輕易攻擊。
有多少人格證明的支持者看到了我們正面臨的雙重風險/圖源
在許多人格證明項目中——不僅是Worldcoin,還有Proof of Humanity、Circles和其他項目——"旗艦應用程序"是内置的"每人N個代币(N-per-person token)"(有時稱爲"UBI 代币")。在系統中注冊的每個用戶每天(每小時或每周)都會收到一定數量的代币。但還有很多其他的應用,例如:
空投代币分發;
代币或NFT銷售爲不太富裕的用戶提供更優惠的條件;
在DAO中進行投票;
初始化基于圖表的聲譽系統的方式;
二次投票(以及資金和注意力支付);
防止社交媒體上的機器人/女巫攻擊;
防止DoS攻擊的驗證碼替代方案。
在許多案例中,共同的思路是希望建立開放和民主的機制,避免項目運營商的集中控制和最富有的用戶的獨裁。後者在去中心化的治理中尤爲重要。在許多這樣的情況下,現有的解決方案依賴于以下幾個方面的組合:(i) 高度不透明的人工智能算法,這給運營商根本不喜歡的用戶留下了很多無法察覺的歧視空間;(ii) 中心化的身份證明,又名"KYC"。一個有效的人格證明解決方案将是一個更好的選擇,實現這些應用程序所需的安全屬性,而不會出現現有集中式方法的陷阱。
在人格證明方面有哪些早期嘗試?
人格證明主要有兩種形式:基于社會圖譜的證明和基于生物識别的證明。基于社交圖譜的人格證明依賴于某種形式的擔保:如果愛麗絲、鮑勃、查理和大衛都是經過驗證的人類,他們都說艾米麗是經過驗證的人類,那麽艾米麗很可能也是經過驗證的人類。證明通常會因激勵而增強:如果愛麗絲說艾米麗是人類,但結果證明她不是,那麽愛麗絲和艾米麗可能都會受到懲罰。人格的生物識别證明包括驗證艾米麗的一些身體或行爲特征,這些特征将人類與機器人(以及人類個體)區分開來。大多數項目使用這兩種技術的組合。
我在文章開頭提到的四個系統大緻如下:
Proof of Humanity:你上傳自己的視頻,并提供押金。要獲得批準,現有用戶需要爲您擔保,并且需要經過一定的時間,在此期間您可以受到質疑。如果有異議,Kleros的去中心化法庭會決定你的視頻是否真實;如果不是,你将失去你的押金,而質疑者将獲得獎勵。
BrightID:你和其他用戶一起加入一個視頻通話"驗證房間",大家互相進行驗證。Bitu可以提供更高級别的認證,如果有足夠多的Bitu認證用戶爲你擔保,你就可以在這個系統中獲得認證。
Idena:你在一個特定的時間點玩一個驗證碼遊戲(防止人們多次參與);驗證碼遊戲的一部分涉及創建和驗證用于驗證其他人的驗證碼。
Circles:現有的用戶爲您擔保。Circles的獨特之處在于它不試圖創建一個"全球可驗證的ID";相反,它創建了一個信任關系圖表,其中某人的可信度隻能從你自己在該圖表中的位置來驗證。
Worldcoin的運作方式是什麽?
每個Worldcoin用戶在手機上安裝一個應用程序,該應用程序生成私鑰和公鑰,就像以太坊錢包一樣。然後他們親自去訪問一個"Orb"。用戶盯着Orb的攝像頭,同時向Orb展示他們的Worldcoin應用程序生成的二維碼,這個二維碼包含他們的公鑰。Orb掃描用戶的眼睛,并使用複雜的硬件掃描和機器學習分類器來驗證:
1. 用戶是一個真正的人;
2. 該用戶的虹膜與以前使用過該系統的任何其他用戶的虹膜都不匹配。
如果兩次掃描都通過,Orb将簽署一條消息,批準用戶虹膜掃描的專用哈希數列。哈希被上傳到數據庫後——目前是一個中心化的服務器,一旦他們确定哈希機制有效,就會被一個去中心化的鏈上系統所取代。該系統不存儲完整的虹膜掃描;它隻存儲哈希,這些哈希用于檢查惟一性。從那時起,用戶就擁有了"World ID"。
World ID持有者可以證明他們是一個獨一無二的人,通過生成一個ZK-SNARK來證明他們持有與數據庫中公鑰相對應的私鑰,而不需要透露他們持有的是哪個密鑰。因此,即使有人重新掃描你的虹膜,他們也無法看到你的任何操作。
Worldcoin建設的主要問題是什麽?
有四個主要的風險擺在眼前:
隐私。虹膜掃描的注冊表可能會洩露信息。至少,如果其他人掃描你的虹膜,他們可以與數據庫進行比對,以确定你是否擁有World ID。虹膜掃描可能會揭示更多信息。
可訪問性。除非世界上的任何人都能輕易獲得許多Orb,否則World ID就不太容易獲得。
中心化。Orb是一個硬件設備,我們無法驗證它的構造是否正确,并且沒有後門。因此,即使軟件層是完美的,完全去中心化的,Worldcoin基金會仍然有能力在系統中插入一個後門,讓它任意創建許多假的人類身份。
安全。用戶的手機可能會被黑客入侵,用戶可能會被迫掃描虹膜,同時出示屬于他人的公鑰,還有可能通過3D打印"假人"進行虹膜掃描獲得World ID。
重要的是要區分(i)針對Worldcoin所做選擇的特定問題,(ii)任何生物識别身份證明都不可避免會存在的問題,以及(iii)任何一般身份證明都會存在的問題。例如,注冊Proof of Humanity意味着在互聯網上發布你的臉。加入BrightID的驗證方并不能做到這一點,但仍然會向很多人暴露你的身份。加入Circles會公開你的社交圖譜。Worldcoin在保護隐私方面比這兩種都要好得多。另一方面,Worldcoin依賴于專門的硬件,這帶來了信任Orb制造商正确構建Orb的挑戰,而這也是在Proof of Humanity、BrightID或Circles中沒有的挑戰。甚至可以想象,在未來,Worldcoin以外的人也将創建一個不同的專業硬件解決方案,具有不同的權衡。
生物識别身份證明方案如何解決隐私問題?
任何身份證明系統都存在的最明顯、最嚴重的潛在隐私洩露問題,就是将一個人的每一個行爲都與真實世界的身份聯系起來。這種數據洩漏風險非常大且難以接受,但幸運的是,它可以用零知識證明技術來解決。用戶無需直接使用對應公鑰在數據庫中的私鑰進行簽名,而是可以通過ZK-SNARK證明自己擁有對應公鑰在數據庫中某處的私鑰,而無需透露自己擁有的具體密鑰。這可以通過像Sismo這樣的工具來完成(參閱此處的 Proof of Humanity特定實現),并且Worldcoin有自己的内置實現。在這裏提供"加密原生"的人格信用證明是很重要的:他們實際上關心采取這個基本步驟來提供匿名化,而基本上所有中心化的身份解決方案都沒有做到這一點。
一個更微妙但仍然重要的隐私洩露是,僅僅存在一個生物識别掃描的公共注冊表。在Proof of Humanity的案例中,存在大量的數據:你會得到每個Proof of Humanity參與者的視頻,讓世界上任何想要調查所有Proof of Humanity參與者是誰的人一目了然。在Worldcoin的案例中,洩露的範圍則有限得多:Orb隻在本地計算并發布每個人虹膜掃描的"哈希"。這個哈希不是像SHA256那樣的常規哈希;相反,它是一種基于機器學習的Gabor過濾器的專門算法,可以處理任何生物識别掃描中固有的不準确性,并确保對同一個人虹膜的連續哈希值有相似的輸出。
藍色:同一個人虹膜兩次掃描之間的差異百分比。
橙色:兩個不同的人的兩次虹膜掃描之間的差異百分比。
這些虹膜隻洩漏出少量數據。如果攻擊者可以強制(或秘密地)掃描您的虹膜,那麽他們可以自己計算您的虹膜哈希值,并根據虹膜哈希值數據庫進行檢查,以查看您是否參與了該系統。這種檢查某人是否注冊的能力對于系統本身來說是必要的,可以防止人們多次注冊,但它總是有可能以某種方式被濫用。此外,虹膜也有可能洩露一些醫療數據(如性别、種族,甚至醫療狀況),但這種洩漏遠遠小于目前使用的任何其他大規模的數據收集系統(例如街頭攝像頭)。總的來說,對我而言,存儲虹膜哈希的隐私性似乎足夠了。
如果其他人不同意這一判斷,并決定設計一個具有更多隐私的系統,有兩種方法可以做到:
1. 如果可以改進虹膜哈希算法,使同一個人的兩次掃描之間的差異大大降低,那麽系統可以存儲更少的虹膜哈希糾錯位,以取代完整的。如果兩次掃描之間的差異小于10%,那麽需要發布的比特數将至少減少5倍。
2. 如果我們想更進一步,我們可以将虹膜哈希數據庫存儲在多方計算(MPC)系統中,該系統隻能由Orb訪問(具有速率限制),使數據無法完全訪問,但代價是會帶來協議複雜性和管理MPC參與者集的社會複雜性。這樣做的好處是,用戶将無法證明他們在不同時間擁有的兩個不同World ID之間的鏈接,即使他們想這樣做。
不幸的是,這些技術不适用于Proof of Humanity,因爲它要求每個參與者的完整視頻都是公開的,以便在有迹象表明它是假的(包括人工智能生成的假視頻)時可以對其進行挑戰,并在這種情況下進行更詳細的調查。
總的來說,盡管盯着一個Orb,讓它深入掃描你的眼球,是一種"反烏托邦的感覺",但專業的硬件系統似乎确實可以在保護隐私方面做得相當不錯。然而,這種做法的另一面是,專用硬件系統引入了更大的中性化問題。因此,我們加密朋克似乎陷入了困境:我們必須權衡一種根深蒂固的加密朋克價值觀與另一種價值觀。
生物識别身份證明系統中的可訪問性問題是什麽?
專用硬件引入了可訪問性問題,因爲專用硬件的可訪問性不是很好。撒哈拉以南非洲51%到64%的人口現在擁有智能手機,預計到2030年這一比例将增加到87%。但是,雖然有數十億的智能手機,卻隻有幾百個Orb。即使有更大規模的分布式制造,也很難達到一個距離每個人五公裏以内都有一個Orb的世界。
同樣值得注意的是,許多其他形式的人格證明存在更糟糕的可訪問性問題。加入一個基于社交圖譜的人格證明系統是非常困難的,除非你已經認識這個社交圖譜中的某個人。這使得這類系統很容易局限于一個國家的一個社區。
即使是中心化的身份識别系統也吸取了這一教訓:印度的Aadhaar ID系統是基于生物識别的,因爲這是快速進入其龐大人口的唯一途徑,同時避免了重複和虛假賬戶的大規模欺詐,節省了巨額成本,當然,作爲一個整體,Aadhaar系統在隐私方面遠遠弱于加密社區内大規模提出的任何方案。
從可訪問性的角度來看,表現最好的系統實際上是像Proof of Humanity這樣的系統,你可以隻用智能手機就能完成注冊。不過正如我們已經看到的,而且我們将要看到的,這樣的系統會帶來各種各樣的其他權衡。
生物識别身份證明系統中的中心化問題是什麽?
有三種:
1. 系統頂層治理中的中心化風險(特别是如果系統中的不同參與者在主觀判斷上存在分歧,則做出最終頂層決議的系統)。
2. 使用專用硬件的系統所特有的中心化風險。
3. 如果使用專有算法來确定誰是真正的參與者,則也會存在中心化風險。
此外,
1. 任何人格證明系統都必須與"可接受的"身份集完全主觀的系統相抗衡。如果一個系統使用以外部資産計價的激勵機制(例如:ETH, USDC, DAI),那麽它就不能完全主觀,因此治理風險變得不可避免。
2. 對于Worldcoin來說,任何人格證明系統都要比Proof of Humanity或BrightID面臨更大的風險,因爲前者依賴于專門的硬件,而其他系統則沒有。
3. 任何人格證明系統都必須應對一種風險,特别是在"邏輯中心化"系統中,隻有一個系統進行驗證,除非所有算法都是開源的,我們可以保證它們實際上運行的代碼是他們聲稱的。對于純粹依賴于用戶驗證其他用戶的系統(如Proof of Humanity)來說,這并不存在風險。
Worldcoin如何解決硬件中心化的問題?
目前,一家名爲Tools for Humanity的worldcoin附屬實體是唯一一家制作Orb的組織。然而,Orb的源代碼大部分是公開的:您可以在這個github存儲庫中看到硬件規範,源代碼的其他部分預計将很快發布。該許可證是另一個類似于Uniswap BSL的"共享源代碼,但技術上要到四年後才開放源代碼"許可證,除了防止分叉之外,它還防止了他們認爲不道德的行爲。
該團隊的既定目标是允許和鼓勵其他組織創建Orb,并随着時間的推移,從Tools for Humanity創建的Orb過渡到擁有某種DAO,該DAO批準和管理哪些組織可以制作被系統識别的Orb。
這種設計可能在兩種情況下失敗:
1. 它沒有真正實現去中心化。這可能是因爲聯邦協議的常見陷阱:一個制造商最終在實踐中占據主導地位,導緻系統重新集中化。據推測,治理可能會限制每個制造商可以生産多少有效的Orb,但這需要仔細管理,而這又給治理帶來了很大的壓力,既要去中心化,又要監控生态系統,并有效地應對威脅:這是一個比隻處理頂級争議解決任務的相當靜态的DAO更難的任務。
2. 事實證明,使這樣的分布式制造機制變得安全是不可能的。在這一方面,我又觀察到兩個風險:
1)針對不良Orb制造商的脆弱性:即使一個Orb制造商是惡意的或被黑客攻擊的,它也可以生成無限數量的假虹膜掃描哈希,并給他們World ID。
2)政府對Orb的限制:不希望其公民參與World Coin生态系統的政府可以禁止Orb進入其國家。此外,他們甚至可以強迫公民掃描他們的虹膜,讓政府獲得他們的賬戶,而公民卻沒有辦法。
爲了使系統不被不良Orb制造商影響,Worldcoin團隊建議對Orb進行定期審計,驗證它們是正确構建的,關鍵硬件組件是根據規格構建的,并且在事實發生後沒有被篡改。這是一項具有挑戰性的任務:它基本上有點像國際原子能機構(IAEA)的核檢查機構,隻不過是針對Orb的。我們希望,即使審計機制的實施非常不完善,也能大大減少假Orb的數量。
爲了限制任何Orb所造成的傷害,有必要添加第二個緩解措施。在不同的Orb制造商注冊World ID,理想情況下是不同的Orb,應該彼此區分。如果這些信息是私人的,并且隻存儲在World ID持有者的設備上,這是可以的;但它确實需要按需證明。這使得生态系統可以根據需要從白名單中删除單個Orb制造商,甚至單個Orb,從而應對難以避免的攻擊。如果我們看到朝鮮政府四處走動,強迫人們掃描他們的眼球,那麽這些眼球和它們産生的任何賬戶都可能立即被追溯後禁用。
人格證明中的安全問題
除了Worldcoin特有的問題外,還有一些問題會影響人格證明的設計。我能想到的主要有:
1. 3D打印假人:人們可以使用AI生成假人的照片,甚至3D打印,讓這些假人足夠有說服力,可以被Orb軟件接受。即使隻有一個組織這樣做,他們也可以生成無限數量的身份證明。
2. 出售ID:某人可以在注冊時提供其他人的公鑰而不是自己的,讓這個人控制自己的注冊ID,以換取金錢。似乎已經有這樣做的了。除了出售之外,還可以在一個應用程序中租用ID進行短期使用。
3. 手機黑客:如果一個人的手機被黑客入侵,黑客可以竊取控制他們的World ID的密鑰。
4. 政府強制竊取ID:政府可以通過出示屬于政府的二維碼來強制公民進行身份驗證。通過這種方式,惡意的政府就可以訪問數百萬個ID。在生物識别系統中,這甚至可以秘密完成。政府可以使用模糊的Orb在護照檢查站從進入他們國家的每個人那裏提取World ID。
第一種是特定于生物識别人格證明系統。第二種和第三種是生物特征和非生物特征設計所共有的。第四種對兩者也是共同的,盡管所需的技術在兩種情況下會有很大的不同;在本節中,我将重點讨論生物識别案例中的問題。
這些都是相當嚴重的弱點。有些已經在現有協議中解決了,有些可以通過未來的改進來解決,還有一些似乎是根本的限制。
我們該如何對付假冒僞劣的人?
對于Worldcoin來說,這比類似于Proof of Humanity系統的風險要小得多:面對面的掃描可以檢查一個人的許多特征,而且與僅僅深度僞造視頻相比,這些特征很難僞造。專業硬件天生就比普通硬件更難騙,而普通硬件又比驗證遠程發送的圖片和視頻的數字算法更難騙。
有人能通過3D打印的東西最終騙過專門的硬件嗎?也有可能。我預計,在某種程度上,我們将看到保持機制開放和保持其安全的目标之間的緊張關系日益加劇:開源AI算法本質上更容易受到對抗性機器學習的攻擊。黑盒算法的保護力度更大,但很難說這個算法沒有經過包括後門在内的訓練。也許ZK-ML技術可以給我們兩全其美的解決方案。但是,在未來的某個時候,即使是最好的AI算法也可能會被最好的3D打印假人愚弄。
然而,從我與Worldcoin和Proof of Humanity團隊的讨論來看,似乎目前這兩個協議都沒有看到重大的深度虛假攻擊,原因很簡單,雇傭真正的低薪工人代表你進行注冊是非常便宜和容易的。
我們能阻止出售ID嗎?
短期來看,防止這種是很困難的,因爲世界上大多數人甚至不知道人格證明協議,如果你告訴他們拿起二維碼掃描他們的眼睛就有30美元,他們就會照做。一旦更多的人意識到身份證明協議是什麽,一個相當簡單的緩解措施就将成爲可能:那就是允許擁有已注冊ID的人重新注冊,取消之前的ID。這使得"賣ID"變得不那麽可信,因爲賣給你ID的人可以去重新注冊,取消他們剛剛賣的ID。然而,要做到這一點,協議必須廣爲人知,而Orb必須能夠被廣泛訪問,才能實現按需注冊。
這就是爲什麽将UBI Token集成到人格證明系統中是有價值的,原因之一在于:UBI Token爲人們提供了一種容易理解的激勵,促使人們了解協議并注冊;如果他們代表其他人注冊,則立即進行重新注冊。重新注冊還可以防止電話被竊聽。
我們能在生物識别身份證明系統中防止強制行爲嗎?
這取決于我們談論的是哪種強制。可能的強制形式包括:
1. 政府在邊境控制和其他常規政府檢查站掃描人們的眼睛(或臉等),并用它來登記(并經常重新登記)他們的公民;
2. 各國政府禁止在國内使用"Orb",以防止人們獨立重新注冊;
3. 個人購買ID,然後威脅他們說,一旦他們發現自己的ID由于賣家重新注冊而變得無效,就會傷害他們;
4. (可能是政府運行的)應用程序要求人們直接用他們的公鑰簽名來"登錄",讓他們看到相應的生物識别掃描,從而在用戶當前的ID和他們從重新注冊中獲得的任何未來的ID之間建立聯系。一個普遍的擔憂是,這使得創建"永久記錄"變得太容易了,這些記錄會伴随一個人的一生。
你們所有的UBI和投票權都屬于我們/圖源
特别是在不熟練的用戶手中,似乎很難完全防止這些情況的發生。用戶可以離開自己的國家,在一個更安全的國家的Orb重新注冊,但這是一個困難的過程,成本也很高。在一個真正充滿敵意的法律環境中,尋找一個獨立的Orb似乎過于困難和冒險。
可行的做法是讓這種濫用行爲更加難以被執行和檢測。Proof of Humanity的方法要求一個人在注冊時說出一個特定的短語就是一個很好的例子:它足以防止隐藏掃描,要求強制更明顯,注冊短語甚至可以包括一個聲明,确認受訪者知道他們有權獨立重新注冊,并可能獲得UBI币或其他獎勵。如果檢測到強制注冊,則用于執行強制注冊的設備的訪問權限可能會被撤銷。爲了防止應用程序鏈接人們的當前和以前的ID并試圖留下"永久記錄",默認的人格證明應用程序可以将用戶的密鑰鎖定在受信任的硬件中,防止任何應用程序在沒有在兩者之間匿名化ZK-SNARK層的介入下直接使用密鑰。如果政府或應用程序開發人員想要解決這個問題,他們需要強制使用他們自己的自定義應用程序。
把這些技巧和積極警惕結合起來,把那些真正懷有敵意的政權拒之門外,讓那些僅僅是中等壞的政權保持誠實(世界上大部分國家都是如此),似乎是可能的。這可以通過像Worldcoin或Proof of Humanity這樣的項目來完成,或者通過披露有關ID如何注冊的更多信息,并将此分類任務留給社區。
我們能阻止租用ID嗎(賣投票權)?
重新注冊不會阻止你出租你的ID。在某些應用程序中,這是可以接受的:出租您當天UBI币份額的權利的成本将恰好就是當天UBI币份額的價值。但在投票等應用中,輕易出售選票是個大問題。
像MACI這樣的系統可以阻止你可信地出售你的選票,因爲它允許你以後再投一次票,使你之前的投票無效,這樣就沒有人能知道你是否真的投了這樣的票。然而,如果賄賂者控制你在注冊時獲得的密鑰,這就沒有效果了。
兩種解決方案:
1. 在MPC中運行整個應用程序。這也将涵蓋重新注冊的過程:當一個人注冊到MPC時,MPC分配給他們一個與他們的身份證明ID分開且不可鏈接的ID,當一個人重新注冊時,隻有MPC知道該停用哪個帳戶。這阻止了用戶對他們的行爲進行證明,因爲每個重要的步驟都是在MPC内部完成的,使用的是隻有MPC知道的私有信息。
2.中心化注冊儀式。基本上,實現像這樣的現場密鑰注冊協議,需要四個随機選擇的本地參與者一起工作來完成注冊。這可以确保注冊是一個攻擊者無法窺探的"可信"過程。
基于社交圖譜的系統實際上可能在這裏表現得更好,因爲它們可以自動創建本地去中心化的注冊過程,這是它們工作方式的副産品。
生物識别技術與基于社交圖譜的驗證相比如何?
迄今爲止,除了生物識别方法之外,其他主要的人格證明競争者是基于社交圖譜的驗證。這種驗證系統都是基于同樣的原則運行的:如果有一大堆現有的驗證身份都證明了你身份的有效性,那麽你可能是有效的,也應該得到驗證身份。
如果隻有少數真實用戶(意外或惡意地)驗證了假用戶,那麽您可以使用基本的圖論技術來确定系統驗證的假用戶數量的上限。
基于社交圖譜的身份驗證的支持者經常将其描述爲比生物識别技術更好的選擇,原因如下:
它不依賴于特殊用途的硬件,這使得它更容易被部署;
它避免了試圖制造假人的制造商和需要不斷更新Orb以應對這些假人之間的永久性對抗;
它不需要收集生物特征數據,使其更加隐私友好;
它可能對假名更有包容度,因爲如果有人選擇将他們的互聯網生活分散到他們彼此獨立存在的多個身份上,這些身份都可能被驗證(但維護多個真實和獨立的身份會犧牲網絡效應,并且成本很高,所以攻擊者不容易做到這一點);
生物識别方法給出了"是人類"或"不是人類"的二元分類,這是脆弱的:意外被拒絕的人最終将根本無法獲得UBI,而且可能無法參與在線生活。基于社交圖譜的方法可以給出一個更微妙的數字評分,當然這對一些參與者來說可能有點不公平,但不太可能完全變成"非人"。
我對這些論點的看法是,我在很大程度上同意他們!這些都是基于社會圖譜的方法的真正優勢,應該被認真對待。然而,我們也應該考慮到基于社交圖譜的方法的弱點:
1. 引導:用戶要加入基于社交圖譜的系統,必須認識已經在該圖譜中的人。這使得大規模采用變得困難,并且有可能在最初的啓動過程中不幸地将某個國家整個地區排除在外。
2. 隐私:雖然基于社交圖譜的方法避免了收集生物特征數據,但它們往往最終會洩露一個人的社交關系信息,這可能會導緻更大的風險。當然,零知識技術可以緩解這種情況。但是圖形中固有的相互依賴性以及對圖形執行數學分析的需要使得實現與生物識别技術相同級别的數據隐藏變得更加困難。
3. 不平等:每個人隻能擁有一個生物識别ID,但一個富有且社會關系良好的人可以利用他們的關系生成許多ID。從本質上講,同樣的靈活性可能會允許基于社交圖譜的系統爲某人提供多個假名(例如一個真正需要這個功能的激進分子),但也可能意味着更有權力和社會關系的人比沒有權力和社會關系的人可以獲得更多的假名。
4. 陷入中心化的風險:多數人懶得花時間向互聯網應用報告誰是真人,誰不是。因此,有一種風險是,随着時間的推移,系統将傾向于依賴于中心化機構的"簡單"入會方式,而系統用戶的"社交圖譜"實際上将成爲哪些國家承認哪些人是公民的社交圖譜,從而爲我們帶來了中心化的KYC以及不必要的額外步驟。
然而,悲觀主義者可能會認爲,試圖創建一個更加注重隐私的身份識别方式并希望它能夠以正确的方式被采用是天真的,因爲權力者并不關心隐私,如果一個強大的行動者有一個可以用來獲取一個人更多信息的工具,他們會這樣做。在這樣的世界中,這個論點認爲,唯一現實的方法,遺憾的是,要破壞任何身份識别解決方案,并捍衛一個完全匿名和數字化的高信任社區島嶼的世界。
我理解這種思維方式背後的原理,但我擔心這種方法即使成功,也會導緻一個世界,其中沒有任何方式可以做任何事情來反對财富集中和治理中心化,因爲一個人總是可以假裝是一萬個人。反過來,這樣的中心化點将很容易被權力者掌控。相反,我更傾向于一個适度的方法,我們應該大力倡導人身證明解決方案具有強大的隐私性,可能如果需要甚至在協議層面包括一個"$N² 的成本用于 N 個賬戶"的機制,并創建一個符合隐私友好價值觀并有機會被外界接受的東西。
人格證明與現實世界中的假名兼容嗎?
原則上,人格證明與各種假名都是兼容的。應用程序可以設計成這樣一種方式,即擁有一個身份證明的人可以在應用程序中創建多達五個配置文件,爲假名帳戶留出空間。我們甚至可以使用二次公式:N = N²。但他們會這樣做嗎?
然而,悲觀主義者可能會争辯說,試圖創建一種更隐私友好的ID形式,并希望它實際上會以正确的方式被采用,這種想法是天真的。當權者并不隐私友好,如果一個強大的行動者得到了一個可以用來獲取一個人更多信息的工具,他們就會這樣使用它。這種觀點認爲,在這樣一個不幸的世界裏,唯一現實的方法是在任何身份解決方案的進程中形成阻礙,也是在捍衛一個完全匿名和高度信任社區的數字孤島的世界。
我明白這種思維方式背後的原因,但我擔心,這種方法即使成功,也會導緻任何人都無法做任何事情來對抗财富集中和治理集中化的世界,因爲一個人可以假裝成一萬個人。這樣的中心化反過來又很容易被當權者抓住。相反,我更傾向于一種溫和的方法,我們大力提倡具有強大隐私性的人格證明解決方案,如果需要的話,甚至可能在協議層包括"N個帳戶爲$N²(N accounts for $N²)"的機制,創建具有隐私友好價值的東西,并有機會被外界接受。
我的觀點
沒有理想的人格證明形式。相反,我們至少有三種不同的方法範例,它們都有自己獨特的優點和缺點。比較圖表可能如下所示:
最理想的做法是把這三種技術看作是互補的,并把它們結合起來。正如印度的Aadhaar在規模上所展示的那樣,專用硬件生物識别技術在規模上的安全性有其好處。它們在去中心化方面非常弱,但這可以通過讓單個Orb負責來解決。如今,通用生物識别技術可以很容易地被采用,但其安全性正在迅速下降,而且可能隻能再使用1-2年。
基于社交圖譜的系統由幾百個與創始團隊在社交上關系密切的人啓動,可能會面臨不斷的權衡:要麽完全錯過世界的大部分地區,要麽容易受到他們無法看到的社區内的攻擊。然而,一個基于社交圖譜的系統,依靠數以千萬計的生物識别ID持有者,實際上是可行的。生物識别技術可能在短期内更有效,而基于社交圖譜的技術可能在長期内更強大,随着算法的改進,它們将承擔更大的責任。
一個可能的混合路徑。
所有這些團隊都有可能犯許多錯誤,并且在商業利益和更廣泛的社區需求之間存在不可避免的緊張關系,因此保持高度警惕非常重要。作爲一個社區,我們可以也應該推動所有參與者在開源技術方面的舒适區,要求第三方審計,甚至第三方編寫的軟件,以及其他制衡。在這三個類别中,我們還需要做出更多的選擇。
與此同時,重要的是要認識到已經完成的工作:許多運行這些系統的團隊已經表現出比任何政府或大型企業運行的身份系統更重視隐私的意願,這是我們應該在此基礎上取得的成功。
制作一個有效和可靠的人格證明系統的問題,特别是在遠離現有加密社區的人手中,似乎相當具有挑戰性。我不羨慕那些嘗試這項任務的人,而且很可能需要數年時間才能找到一個有效的公式。人格證明的概念在原則上似乎非常有價值,盡管各種實現都有其風險,但完全沒有人格證明也有其風險:一個沒有人格證明的世界似乎更有可能是一個由中心化的身份解決方案、金錢、小型封閉社區或三者的某種組合所主導的世界。我期待在所有類型的人格證明上看到更多的進展,并希望看到不同的方法最終彙集成一個連貫的整體。
更多精彩内容,關注钛媒體微信号(ID:taimeiti),或者下載钛媒體App
