從原則上講,即便是各種實現方式都存在風險,但人格證明的概念仍然極其有價值。 同時,完全不存在任何人格證明的世界依然無法避免風險:一個沒有人格證明的世界似乎更有可能是一個由中心化身份解決方案、貨幣、小型封閉社區或三者的某種組合所主導的世界。

原文:What do I think about biometric proof of personhood?

作者:Vitalik

編譯:倩雯,bayemon.eth,ChainCatcher

封面:WorldCoin

特別感謝 Worldcoin 團隊、Proof of Humanity 社區和 Andrew Miller 的討論。

乙太坊社區的人們一直在努力構建一個去中心化的人格證明解決方案,這是一個比較棘手但可能是最有價值的小工具之一。 人格證明(Proof of personhood),又稱唯一人問題,是一種有限的真實世界身份形式,它斷言一個給定的註冊帳戶是由一個真實的人控制的(而且是一個與其他註冊帳戶不同的真實的人),理想情況下可以不透露它是哪個真實的人。

在解決這一問題方面,已經有一些嘗試:例如,人格證明、BrightID、Idena 和 Circles。 它們中的一些都有自己的應用程式(通常是 UBI 代幣),還有一些在 GitcoinPassport 中被用來驗證哪些帳戶在四元投票中是有效的。 像 Sismo 這樣的零知識技術為許多此類解決方案增添了隱私性。 最近,我們看到了一個規模更大、更雄心勃勃的身份證明專案的崛起:世界幣(Worldcoin)。

Worldcoin 由 SamAltman 共同創建,他因擔任 OpenAI 的首席執行官而聞名。 這個項目背後的理念很簡單:人工智慧將為人類創造大量的財富,但也可能會讓很多人失業。 讓人們幾乎無法分辨誰是人類而不是機器人,因此我們需要通過以下方式來堵住這個漏洞:

(i)創建一個非常好的身份證明系統,這樣人類就可以證明自己確實是人類;

(ii)給每個人提供無息貸款。

Worldcoin 的獨特之處在於,它依賴於高度複雜的生物識別技術,使用一種名為 Orb 的專用硬體掃描每個使用者的虹膜:他們的目標是生產大量的 Orb,並在世界各地廣泛分發,將其放置在公共場所,讓任何人都能輕鬆獲得 ID。 值得稱讚的是,Worldcoin 還承諾隨著時間的推移實現去中心化。 起初,這意味著技術上的去中心化:成為乙太坊上用 Optimism 堆棧的 L2,並使用 ZK-SNARK 和其他加密技術保護用戶隱私。 之後,還包括系統本身的去中心化治理。

Worldcoin 曾因 Orb 的隱私和安全問題、其代幣的設計問題以及該公司所做的一些道德選擇問題而受到批評。 其中一些批評非常具體,主要針對該專案所做的決定,而這些決定本可以很容易地以另一種方式做出——事實上,世界幣專案本身可能也願意改變這些決定。 但也有人提出了更根本的問題,使用生物識別技術——不僅是世界幣的眼部掃描生物識別技術,還有更簡單的人臉視頻上傳和非機器人、Idena 中使的驗證遊戲——是否是個好主意。 還有人批評所有的人格證明,認為風險包括不可避免的隱私洩露、人們匿名瀏覽互聯網能力的進一步下降專制政府的脅迫,以及在去中心化的同時實現安全的潛在不可能性。

这篇文章将讨论这些问题,并通过一些论据来帮助你决定,在这位球形神的主面前俯首称臣,扫描你的眼睛(或脸、声音等)是否是个好主意,以及自然的替代方案——使用基于社交图谱的人格证明或完全放弃人格证明——是否更好。

什么是人格证明,为什么它很重要?

最简单的定义是:它创建了一个公钥列表,系统保证每个公钥都由唯一的人类控制。换句话说,如果你是人类,你可以把一个密钥放在列表上,但你不能把两个密钥放在列表上,如果你是机器人,你不能把任何密钥放在列表上。

人格证明之所以有价值,是因为它解决了许多人面临的反诈骗和反权力中心化的问题,避免了对中央集权机构的依赖,并尽可能少地披露信息。如果人格证明问题得不到解决,去中心化治理(包括微治理,如对社交媒体帖子的投票)就更容易被非常富有的参与者(包括敌对政府)攫取。许多服务只能通过设定访问价格来防止拒绝服务攻击,而有时足以阻止攻击者的高价格对许多低收入合法用户来说太高了。

当今世界的许多主要应用软件都通过使用政府支持的身份系统(如信用卡和护照)来解决这个问题。这虽然解决了问题,但却在隐私方面做出了巨大的、也许是不可接受的牺牲,而且政府本身也会对其进行微不足道的攻击。

鲜有人格证明支持者看到了我们面临的双面风险。

在许多人格证明项目中——不仅是世界币,还有其他项目(Circle、BrightID、Idena)——旗舰应用是一个内置的 N-per-person 代币(有时称为 UBI 代币)。每个在系统中注册的用户每天(或每小时,或每周)都会收到一定数量的代币。但还存在很多其他应用:

  • 代币分发空投
  • 代币或 NFT 销售,为不太富裕的用户提供更优惠的条件
  • 在 DAO 中投票
  • 发展基于图景(graph)的声誉系统的方法
  • 四元投票(以及资金和注意力支付)
  • 防范社交媒体中的机器人/假人攻击
  • 防止 DoS 攻击的验证码替代方案

在许多这些案例中,共同点是希望建立开放和民主的机制,避免项目运营商的中心化控制和最富有用户的支配。后者在去中心化管理中尤为重要。在许多情况下,现有的解决方案都依赖于以下两方面的结合:

(1)高度不透明的人工智能算法,这种算法有很大的空间来对运营商根本不喜欢的用户进行难以察觉的歧视;

(2)中心化的身份证明,又称 KYC。

有效的身份证明解决方案将是更好的替代方案,既能实现这些应用所需的安全属性,又没有现有中心化方法的缺陷。

早期有哪些证明人格的尝试?

人格证明主要有两种形式:基于社交图谱的证明和生物识别证明。

基于社交图谱的人格证明依赖于某种形式的担保:如果爱丽丝、鲍勃、查理和大卫都是经过验证的人类,而且他们都说艾米丽是经过验证的人类,那么艾米丽很可能也是经过验证的人类。担保通常通过激励措施来加强:如果爱丽丝说艾米丽是人类,但事实证明她不是,那么爱丽丝和艾米丽可能都会受到惩罚。生物特征人格证明涉及验证艾米丽的某些身体或行为特征,以区分人类和机器人(以及人类个体之间的区别)。大多数项目都结合使用这两种技术。

我在文章开头提到的四个系统的工作原理大致如下:

人格证明:上传一段自己的视频,并提供押金。要获得批准,需要一名现有用户为你担保,并需要一定的时间,在此期间可以对你提出质疑。如果出现质疑,Kleros 去中心化法庭将判定你的视频是否真实;如果不真实,你将失去押金,质疑者将获得奖励。

BrightID:你与其他用户一起参加视频通话验证聚会,在聚会上大家互相验证。更高级别的验证可通过 Bitu 进行,在该系统中,如果有足够多的 Bitu 验证用户为你担保,你就能通过验证。

Idena:你在一个特定的时间点玩一个验证码游戏(以防止人们多次参与);验证码游戏的部分内容包括创建和验证验证码,然后用这些验证码来验证其他人。

Circles:现有的圈子用户为你担保。Circles 的独特之处在于,它并不试图创建一个全球可验证的 ID;相反,它创建了一个信任关系图,在这个图中,只能从你自己在图中的位置来验证某人的可信度。

每个 Worldcoin 用户都会在自己的手机上安装一个应用程序,该程序会生成一个私人和公共密钥,就像以太坊钱包一样。然后,他们亲自去访问一个 Orb。用户盯着 Orb 的摄像头,同时向 Orb 展示由 Worldcoin 应用程序生成的二维码,其中包含他们的公钥。Orb 会扫描用户的眼睛,并使用复杂的硬件扫描和机器学习分类器进行验证以下两件事:

1)用户是真人

2)用户的虹膜与之前使用过系统的任何其他用户的虹膜不一致

如果两次扫描都通过,则 Orb 会签署一条信息,批准用户虹膜扫描的专门散列值。哈希值会被上传到一个数据库中(目前是一个中央服务器),一旦确定哈希值机制有效,它们就会被去中心化的链上系统取代。系统不会存储完整的虹膜扫描结果,只会存储哈希值,这些哈希值用于检查唯一性。从那时起,用户就有了一个世界 ID。

世界 ID 持有者可以通过生成 ZK-SNARK 来证明自己是独一无二的人类,该 ZK-SNARK 证明他们持有与数据库中的公开密钥相对应的私钥,而不会泄露他们持有的密钥。因此,即使有人重新扫描你的虹膜,也无法看到你的任何操作。

Worldcoin 建设的主要问题是什么?

四大风险:

l   隐私。虹膜扫描注册表可能会泄露信息。如果其他人扫描了你的虹膜,他们可以将其与数据库进行核对,以确定你是否拥有世界身份证。虹膜扫描可能会泄露更多信息。

l   可访问性。如果有足够多的 orb,否则无法实现每个人都能可靠地访问世界 ID 是。

l   中心化。Orb 是一个硬件设备,我们无法验证它的构造是否正确,是否有后门。因此,即使软件层是完美的,完全去中心化的,世界币基金会仍然有能力在系统中插入一个后门,让它任意创建许多虚假的人类身份。

l   安全性。用户的手机可能会被黑客入侵,用户可能会被胁迫扫描虹膜,同时出示属于他人的公钥,还有可能通过 3D 打印假人,让他们通过虹膜扫描,获得世界身份证。

重要的是要区分(i)Worldcoin 的选择所特有的问题、(ii)任何生物识别的人格证明都不可避免会有的问题,以及(iii)任何一般的人格证明都会有的问题。

例如,注册人格证明意味着在互联网上公布你的脸。加入 BrightID 验证派对虽然不会完全公布的你的脸,但仍会向很多人暴露你的身份。而加入 Circles 则会公开你的社交图谱。

相比之下,Worldcoin 在保护隐私方面要好得多。另一方面,世界币依赖于专门的硬件,这就带来了信任球体制造商正确制造球体的挑战– 这一挑战在人格证明、BrightID 或 Circles 中都不存在。甚至可以想象,在未来,除了世界币之外,还会有人创造出不同的专用硬件解决方案,并做出不同的权衡。

生物识别的人格证明方案如何解决隐私问题?

任何个人身份证明系统最明显、也是最大的潜在隐私泄露是将一个人的每个行为与真实世界的身份联系起来。这种数据泄露非常严重,可以说严重到令人无法接受的地步,但幸运的是,零知识证明技术很容易解决这个问题。

用户不需要直接用私钥(其对应的公钥就在数据库中)进行签名,而是可以用 ZK-SNARK 证明他们拥有私钥,而其对应的公钥就在数据库中的某个地方,同时又不会泄露他们拥有的具体私钥。这可以通过 Sismo 等工具来实现(人格证明的具体实现见此处),世界币也有自己的内置实现。在此,我们有必要为加密原生的人格证明点个赞:他们确实很重视采取这一基本步骤来提供匿名化,而基本上所有的中心化身份解决方案都没有做到这一点。

更微妙但仍很重要的隐私泄露是生物特征扫描的公开登记。就人格证明而言,这就是大量数据:你会得到每个人格证明参与者的视频,让世界任何有心调查人格证明参与者的人都一清二楚。而在世界币中,泄漏的数据要有限得多:Orb 只在本地计算并公布每个人虹膜扫描的哈希值。这个哈希值并不是像 SHA256 那样的常规哈希值,而是一种基于机器学习的 Gabor 过滤器的专门算法,用于处理任何生物识别扫描中固有的不精确性,并确保对同一个人的虹膜进行的连续哈希值具有相似的输出。

蓝色:同一个人的两次虹膜扫描结果不同的比特百分比。橙色:两个不同人的虹膜两次扫描结果的差异比特百分比。

这些虹膜哈希值只会泄露少量数据。如果对手可以强行(或秘密)扫描你的虹膜,那么他们就可以自己计算出你的虹膜哈希值,并将其与虹膜哈希值数据库进行核对,以确定你是否参与了该系统。这种检查某人是否注册的功能对于系统本身来说是必要的,可以防止人们多次注册,但这种功能总是有可能被滥用。

此外,虹膜哈希值有可能会泄露一定量的医疗数据(包含性别、种族,也许还有医疗条件),但这种泄露远远小于目前使用的几乎所有其他大规模数据收集系统(例如,甚至街头摄像头)所能捕捉到的数据。

总的来说,在我看来,存储虹膜哈希值已经足够保护隐私了。如果其他人不同意这一判断,并决定要设计一个隐私性更强的系统,有两种方法可以做到这一点:

1)如果可以改进虹膜散列算法,使同一个人的两次扫描之间的差异大大降低(例如,比特翻转可靠地低于 10%),那么系统就可以为虹膜散列存储较少的纠错比特,而不是存储完整的虹膜散列(参见:模糊提取器)。如果两次扫描的差异低于 10%,那么需要公布的比特数至少会减少 5 倍。

2) 如果我们想更进一步,可以将虹膜哈希数据库存储在多方计算(MPC)系统中,该系统只能由 Orb 访问(有速率限制),从而使数据完全不可访问,但代价是管理多方计算参与者的协议复杂性和社会复杂性极大。这样做的好处是,即使用户愿意,也无法证明他们在不同时间拥有的两个不同世界 ID 之间的联系。

遗憾的是,这些技术并不适用于人格证明,因为人格证明要求公开每位参与者的完整视频,以便在出现假视频(包括人工智能生成的假视频)的迹象时可以提出质疑,并在这种情况下进行更详细的调查。

总的来说,尽管盯着 Orb 让它深深地扫描你的眼球会有一种乌托邦式的感觉,但专门的硬件系统在保护隐私方面似乎确实可以做得很好。不过,这也从另一方面说明,专用硬件系统带来了更大的中心化问题。因此,我们这似乎陷入了一个困境:我们必须在一种价值观和另一种价值观之间进行权衡。

生物识别身份证明系统有哪些可访问性问题?

专业化硬件带来了可访问性问题,因为专业化硬件并不是很方便使用。目前,撒哈拉以南非洲地区约有 51% 至 64% 的人拥有智能手机,预计到 2030 年,这一比例将增至 87%。但是,虽然全球有数十亿部智能手机,却只有几百个 Orb。即使有更大规模的分布式制造,也很难实现每个人身边五公里内都有一个 orb 的世界。

值得注意的是,许多其他形式的人格证明都存在更严重的可访问性问题。除非你已经认识社交图谱中的某个人,否则很难加入基于社交图谱的人格证明系统。这使得此类系统很容易局限于单一国家的单一社区。

即使是中心化式身份识别系统也吸取了这一教训:印度的 AadhaarID 系统是基于生物识别技术的,因为只有这样才能在避免大量重复和虚假账户欺诈行为的同时,迅速吸纳大量人口(从而节省了大量成本),当然,Aadhaar 系统作为一个整体,在隐私保护方面要比加密货币社区提出的任何大规模建议都要弱得多。

从可访问性的角度来看,表现最好的系统实际上是像人格证明这样的系统,你只需使用一部智能手机就可以注册。

生物识别身份证明系统的中心化问题是什么?

1. 系统高层管理中的中心化风险(特别是,如果系统中的不同参与者在主观判断上存在分歧,由系统做出最终的高层决议)。

2. 中心化风险是使用专用硬件的系统所特有的。

3. 如果使用专有算法来确定谁是真实的参与者,则存在中心化风险。

任何人格证明系统都必须与第(1)点做斗争,也许被接受的 ID 集完全主观的系统除外。如果一个系统使用以外部资产(如以太坊、USDC、DAI)计价的激励机制,那么它就不可能是完全主观的,因此治理风险就变得不可避免。

第二个风险对世界币来说比人格证明(或 BrightID)大得多,因为世界币依赖于专门的硬件,而其他系统不需要。

第三个风险尤其存在于逻辑中心化的系统中,除非所有算法都是开源的,而且我们能保证它们确实运行着它们声称的代码,否则由单一系统来进行验证尤其具有风险。对于纯粹依靠用户验证其他用户的系统(如人格的证明)来说,这不是风险。

Worldcoin 如何解决硬件中心化问题?

目前,一个名为人类工具(Tools for Humanity)的世界币附属实体是唯一一个正在制造 orb 的组织。不过,Orb 的源代码大部分是公开的:你可以在这个 github 存储库中看到硬件规格,源代码的其他部分预计也将很快公布。该许可证是另一种共享源代码,但四年后才算开源的许可证,类似于 UniswapBSL,除了防止分叉外,还防止他们认为不道德的行为——他们特别列出了大规模监控和三项国际公民权利宣言。

该团队的既定目标是允许并鼓励其他组织创建 Orb,并随着时间的推移,从由人类工具创建 Orb 过渡到由某种 DAO 批准和管理哪些组织可以创建被系统认可的 Orb。

这种设计有个问题:

1)由于联合协议中的常见陷阱,它可能最终无法真正实现中心化:长此以往,一家制造商最终会在实践中占据主导地位,导致系统再度回归中心化。虽然治理机构可以限制每个制造商可以生产多少有效的 Orb,但这需要谨慎管理,而且这给治理机构带来了很大的压力,既要去中心化,又要监控生态系统并有效应对威胁。这比只处理顶层争端解决任务的静态 DAO 要难得多。   

2)想确保这种分布式制造机制的安全性基本是不可能的,这里存在两种风险:

对不良 Orb 制造商极其脆弱的抵抗能力:哪怕只有一个 Orb 制造商是恶意的或是被黑客攻击,它也可以生成无限数量的假虹膜扫描哈希值,并给他们提供 World ID。

政府对 Orb 的限制:不希望本国公民参与世界币生态系统的政府可以禁止 Orb 进入本国。此外,他们甚至可以强迫公民进行虹膜扫描,让政府获取他们的账户,而公民将无法申诉。

为了使该系统能够更有效地抵御不良 Orb 制造商的攻击,Worldcoin 团队建议对 Orb 进行定期审核,以验证制造过程是否正确,关键硬件组件是否按照规格制造,以及事后是否被篡改。这是一项具有挑战性的任务:它基本上类似于国际原子能机构(IAEA)的核检查官机构,但针对的是 Orb。我们希望即便是在审计制度的实施不完善的情况下,也能大大减少假 Orb 的数量。

为了限制任何不良 Orb 成为漏网之鱼并对系统造成的危害,有必要采取第二种缓解措施。即在不同的 Orb 制造商那里注册的 World ID 注册可以有效区分的 Orb。如果这些信息是私密的,而且只存储在 WorldID 持有者的设备上,那也没有问题,只是确实要求其在必要时加以证明。这样,生态系统就有可能应对(不可避免的)攻击,并按需从白名单中删除单个 Orb 制造商,甚至是单个 Orb。举例来讲,如果我们发现朝鲜政府到处强迫人们扫描眼球,这些 Orb 和由它们生成的任何账户都会立即被追溯禁用。

人格证明普遍存在的安全问题

除了 Worldcoin 系统带来的特有问题外,还有一些问题会影响到一般人格证明设计。我能想到的主要问题有如下几个方面:

  1. 三维打印的假人:人们可以利用人工智能生成假人的照片或甚至三维打印的假人,其可信度足以让 Orb 软件接受。只要有这样做的团体,他们就能生成无限多的身份。
  2. 出售 ID:有人可以在注册时提供别人的公钥,而不是自己的公钥,让别人控制自己注册的 ID,从而换钱。这种情况似乎已经出现了,除了出售之外,还可能会出现租用 ID 的情况。
  3. 入侵手机:如果一个人的手机被黑客入侵,黑客就能窃取控制其 WorldID 的密钥。
  4. 政府胁迫窃取身份证件:政府可以强迫公民在出示属于政府的二维码时进行验证。这样,恶意政府就能获得数百万个身份证。在生物识别系统中,这甚至可以暗中进行:政府可以使用混淆的 Orb,在海关验证护照时从每个进入该国的人身上提取 World ID。

(1)是生物识别人格证明系统所特有的问题,(2)和(3)是生物识别和非生物识别设计的共同点。第(4)点也是两者的共同点。尽管在这两种情况下所需的技术大不相同,但在本节中,我将重点讨论生物识别情况下的问题。

这些都是相当严重的问题,其中一些已经在现有协议中得到了妥善解决,另一些可以通过未来的改进来消除影响,还有一些似乎是根本性的限制。

如何处理 3D 打印假人带来的问题?

对于 Worldcoin 来说,这种风险比对于类似 人格证明 的系统来说要小得多:与精心伪造的视频相比,当面扫描可以检查一个人的许多特征,则很难伪造。专业硬件本身就比普通硬件更难欺骗,而普通硬件又比验证远程发送的图片和视频的数字算法更难欺骗。

最终会有人用 3D 打印出连专用硬件都能骗过的东西吗?有可能。我预计,在未来某些时候,保证开放性和安全性之间的矛盾会越来越大:开源人工智能算法在本质上更容易受到对抗性机器学习的影响。黑盒算法受到的保护更多,但很难确保黑盒算法在训练过程中没有加入私密的恶意信息。或许,未来的 ZK-ML 技术能达到两全其美,但另外一种角度来讲,即使是最好的人工智能算法也有可能被最好的 3D 打印假人骗过。

如何防范 ID 出售?

在短期内,防止这种 ID 外流是很困难的,因为世界上大多数人甚至不知道身份证明协议,如果你告诉他们举起一个二维码,扫描一下眼睛就能得到 30 美元,他们肯定会照办。一旦有更多人知道什么是 身份证明协议,一个相当简单的缓解措施就成为可能,即允许已注册 ID 的人重新注册,并取消之前的 ID。这样一来,出售 ID 的可信度就会大大降低,因为把身份证卖给你的人可以直接去重新注册,注销刚刚卖给你的身份证。然而,要达到这一点,协议必须广为人知,而 Orb 也必须非常容易获取,才能使按需注册成为现实。

这也是为什么将 UBI 硬币整合到人格证明系统中很有价值的原因之一:UBI Coin 提供了一个易于理解的激励机制,其一,可以让人们了解协议并注册,其二,如果他们代表他人注册,则会立刻触发重新注册机制,同时重新注册还能有效手机被黑客入侵。

我们能否防止生物识别身份证明系统中的胁迫行为?

这取决于我们谈论的是哪种胁迫。可能出现的胁迫形式包括:

  • 政府在边境管制和其他例行的政府检查站扫描人们的眼睛(或脸部,等等),并以此对公民进行登记,并经常重新登记。
  • 政府在国内禁止使用 Orb,以防止人们独立进行重新登记
  • 个人购买 ID,然后威胁他人,如果自己的 ID 因重新登记而失效,就会伤害重新注册的人
  • (可能是政府运营的)应用程序要求人们直接用自己的公钥签名登录,让他们看到相应的生物特征扫描,从而看到用户当前 ID 与重新注册后获得的任何未来 ID 之间的联系。人们普遍担心的是,这样就很容易创造出伴随人一生的永久记录。

尤其是在不成熟的使用者手中,要徹底防止這些情況似乎相當困難。 用戶可以離開自己的國家,在一個更安全的國家 Orb 上(重新)註冊,但這是一個艱難的過程,而且成本很高。 在真正惡劣的法律環境中,尋找一個獨立的 Orb 太困難、太冒險了。

可行的辦法是讓這種濫用行為更難以實施和檢測。  人格證明要求用戶在註冊時說一句特定的短語就是一個很好的例子:這可能足以防止隱蔽掃描,但要求脅迫行為更加明目張膽,而且註冊短語甚至可以包括一項聲明,確認受訪者知道他們有權獨立重新註冊,並可能獲得 UBI Coin 或其他獎勵。 如果檢測到脅迫行為,用於執行大規模脅迫註冊的設備可能會被取消訪問許可權。 為了防止應用程式將人們當前和以前的 ID 聯繫起來並試圖留下永久記錄,預設的身份證明應用程式可以將使用者的密鑰鎖定在可信硬體中,防止任何應用程式在沒有匿名 ZK-SNARK 層的情況下直接使用密鑰。 如果政府或應用程式開發商想繞過這一點,就需要強制使用自己的定製應用程式。

將這些技術和對 ID 濫用的警惕性結合起來,鎖定那些真正有敵意的政權,並讓那些只是中庸的政權保持誠實(世界上很多地方都是這樣),似乎是有可能的。 要做到這一點,可以由像 Worldcoin 或人格證明這樣的項目維持自己的官僚機構來完成,也可以通過披露更多關於 ID 如何註冊的資訊(例如,在世界幣中,它來自哪個 Orb),並將這一分類任務留給社區來完成。

如何防範 ID 出租(如出售選票問題)?

重新註冊並不能阻止出租 ID。 這在某些應用中是沒有問題的:出租領取當日 UBI Coin 權利的成本將僅僅是當日 UBI Coin 的價值。 但在社區投票等應用中,出售選票則是個大問題。

像 MACI 這樣的系統可以防止你以可信的方式出售你的選票,允許你隨後再投一票,使你之前的投票無效,這樣就沒有人能知道你是否真的投了這樣一票。 但是,如果有心之人控制了你在註冊時獲得的密鑰,這就無濟於事了。

我認為有兩種解決方案:

  1. 在 MPC 內部運行整個應用程式:這也涵蓋了重新註冊的過程,即當一個人向 MPC 註冊時,MPC 會分配給他一個獨立於其人格證明 ID 且不可與之關聯的 ID,當一個人重新註冊時,只有 MPC 知道該停用哪個帳戶。 這可以防止使用者對自己的行為進行證明,因為每一個重要步驟都是在 MPC 內部使用只有 MPC 才知道的私人資訊完成的。
  2. 分散式註冊儀式:去中心化式註冊儀式。 基本上,實施類似這種當面密鑰註冊協定,要求四名隨機抽取的本地參與者共同完成註冊。 這可以確保註冊是一個可信的程式,攻擊者無法在註冊過程中進行窺探。

實際上,基於社交圖譜的系統在這方面可能表現得更好,因為它們可以自動創建存於本地的分散式註冊流程,這是其工作方式的副產品。

生物识别技术 v.s. 基于社交图谱的验证

除了生物识别方法外,迄今为止,证明个人身份的其他主要竞争者是基于社会图谱的验证。基于社会图谱的验证系统都基于同样的原则:如果有一大堆现有的已验证身份都证明了你身份的有效性,那么这种有效性成立,你也应该获得验证身份。

如果只有少数真实用户(意外或恶意)验证了虚假用户,那么就可以使用基本的图论技术,为系统验证的虚假用户数量设定一个上限。

基于社交图谱的验证的支持者通常将其描述为生物识别技术的更好替代品,原因有以下几点:

  • 它不依赖于特殊用途的硬件,因此更易于部署
  • 它避免了 3D 假人制造商与 Orb 之间的长期军备竞赛
  • 不需要收集生物识别数据,更有利于保护隐私
  • 它可能对匿名更友好,因为如果有人选择将自己的互联网生活分割成多个相互独立的身份,那么这两个身份都有可能被验证(但维持多个真实而独立的身份会牺牲网络效应,而且成本很高,所以攻击者不容易做到这一点)。
  • 生物识别方法给出的是 “是人” 或 “不是人” 的二元评分,这种方法很脆弱,因为不小心被拒绝的人最终根本无法获得 UBI,也可能无法参与网络生活。基于社会图谱的方法可以给出一个更细致的数字分数,这当然可能对某些参与者略有不公,但不太可能让某人完全无法参与网络生活。

对于这些论点,我的观点是基本赞同。这些都是基于社会图谱的方法的真正优势,应该认真对待。不过,基于社交图谱的方法也有不足之处,这一点也值得考虑:

  • 初始人脉关系:要加入基于社交图谱的系统,用户必须认识图谱中的某个人。这就给大规模应用带来了困难,并有可能将在初始引导过程中运气不佳的整个地区排除在外。
  • 隐私:虽然基于社交图谱的方法可以避免收集生物识别数据,但最终往往会泄露一个人的社交关系信息,这可能会导致更大的风险。当然,零知识技术可以缓解这一问题(例如,请参阅 Barry Whitehat 提出的建议),但图中固有的相互依赖关系以及对图进行数学分析的需要,使其难以达到与生物识别技术相同的数据隐藏水平。
  • 不平等:每个人只能拥有一个生物识别 ID,但一个社牛可以利用他们的关系生成许多 ID。从根本上说,基于社会图谱的系统可以灵活地为真正需要该功能的人(如活动组织者)提供多个假名,这也可能意味着更有权势、人脉更广的人可以获得比权势、人脉更少的人更多的假名。
  • 陷入中心化的风险:   大多数人都懒得花时间向互联网应用程序报告谁是真人,谁不是。因此,随着时间的推移,该系统有可能会偏向于依赖中央机构的 简易 入场方式,而系统用户的 社交图谱 将事实上成为哪些国家承认哪些人是公民的社交图谱– 为我们提供中央化的 KYC,但却增加了不必要的额外步骤。

在现实世界中,人格证明与假名是否兼容?

原则上,人格证明可与各种假名兼容。应用程序可以这样设计:拥有一个身份证明的人最多可以在程序中创建五个配置文件,以此为假名账户留出空间,甚至可以使用二次公式,将 N 个账户的成本为 N² 美元。但他们会这样做吗?

然而,悲观主义者可能会说,试图创建一种对隐私更友好的 ID 形式,并希望它能以正确的方式被采用,这种想法太不切实际了,因为当权者并不在意普通人的隐私安全。如果一个有权势的人获得了一种可以用来获取更多个人信息的工具,他们必定就会这样使用它。在这样的世界里,不幸的是,唯一现实的方法就是在阻止任何身份解决方案推行,以此捍卫一个完全匿名和高信任度的数字世界。

我深知这种方法的合理性,但我担心即使这种方法成功,也会导致在这个世界上,任何人都无法采取任何行动来抵制财富中心化和治理集权,因为一个人总是可以冒充一万个人。反过来,这种中心化也很容易被当权者握在手中。相反,我更倾向于一种温和的方法,即我们大力提倡具有强大隐私性的人格证明解决方案,如果需要,甚至可以在协议层加入 注册 N 个帐户成本为 N² 美元 的机制,并创建一些具有隐私友好价值且有机会被外部世界接受的东西。

那么我的看法是,在不存在理想的人格证明方式的情况下,我们有三种不同的证明方法,它们都有各自独特的优缺点,比较图表如下:

我们最理想的做法是将这三种技术视为互补品,并将它们结合起来。正如印度的 Aadhaar 所显示的那样,专门的硬件生物识别技术具有大规模安全的优点,但它们在去中心化方面非常薄弱,不过这可以通过追究单个 Orb 的责任来解决。如今,通用生物识别技术已经达到大规模应用的程度,但其安全性正在迅速下降,并且未来的使用预期可能仅剩下 1-2 年。基于社交图谱的系统仅靠几百个与创始团队关系密切的人就能启动,但很对大部分地区而言需要在直接忽略或采用却易受攻击之间不断权衡。然而,一个基于社交图谱的系统,如果起源于数千万生物识别 ID 持有者中,就能真正发挥作用。生物识别引导可能在短期内更有效,而基于社会图谱的技术可能在长期内更稳健,并随着算法的改进而能够有更广阔的应用前景。

一個可實現的混合解決方案

所有團隊都有可能犯很多錯誤,商業利益與更廣泛的社區需求之間也不可避免地存在緊張的衝突,因此我們必須保持高度警惕。 作為一個社區,我們應當在開源技術方面推進至所有參與者的舒適區,將第三方進行審計、編寫軟體或進行其他制衡措施。 我們還需要在這三類技術中各自都有更多的替代技術。

與此同時,我們也必須對已經完成的工作表示贊許:許多運行這些系統的團隊都表現出了他們對隱私的重視,比任何政府或大型企業運行的身份系統都要認真得多,這是我們應該發揚光大的美好品質。

要建立一個有效可靠的身份證明系統,尤其是由遠離並不處於加密社區的人負責的系統,似乎相當具有挑戰性。 我絕對不羡慕那些試圖完成這項任務的人,他們很可能需要數年的時間才能找到一個行之有效的方案。 從原則上講,即便是各種實現方式都存在風險,但人格證明的概念仍然極其有價值。 同時,完全不存在任何人格證明的世界依然無法避免風險:一個沒有人格證明的世界似乎更有可能是一個由中心化身份解決方案、貨幣、小型封閉社區或三者的某種組合所主導的世界。 我期待看到各種類型的人格證明取得更多進展,並希望看到不同的方法最終彙聚成一個連貫的整體。

免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。