图片来源@视觉中国
本文原发布于链得得,授权钛媒体App发布,作者:宋宋,原文作者:Vitalik
以太坊社区的人们一直试图构建的一个更棘手、但可能是最有价值的小工具之一就是去中心化的人格证明解决方案。人格证明(Proof of personhood),又名“”,是现实世界身份的一种有限形式,它断言一个给定的注册账户是由一个真实的人(和其他注册账户的真人不同)控制的,理想情况下不会透露是哪个真实的人。
在解决这个问题上已经有了一些努力,例如Proof of Humanity、BrightID、Idena和Circles等。其中一些自带应用程序(通常是UBI令牌),还有一些已经在Gitcoin Passport中获得了使用,以验证哪些帐户可以进行二次投票。像Sismo这样的零知识技术为这些解决方案增添了隐私性能。最近,我们看到了一个更庞大、更雄心勃勃的人格证明项目的兴起,那就是Worldcoin。
Worldcoin由Sam Altman联合创立,他以OpenAI的首席执行官而闻名。这个项目背后的理念很简单:人工智能(AI)将为人类创造大量且丰富的财富,但它也可能会夺走很多人的工作,让我们几乎无法区分谁是人类,谁是机器人,所以我们需要通过(1)创建一个真正好的人格证明系统,这样人类就可以证明自己是人类;(2)给每个人一个UBI来填补这个漏洞。Worldcoin的独特之处在于,它依赖于高度复杂的生物识别技术,使用一种名为“Orb”的专用硬件扫描每个用户的虹膜。
Worldcoin的目标是生产大量这样的“Orb”,将它们广泛分布在世界各地并将它们放置在公共场所,以便任何人都可以轻松获得一个ID。值得称道的是,该项目还承诺随着时间的推移逐步实现去中心化。首先,这意味着技术上的去中心化:使用Optimism堆栈,成为以太坊的L2,并使用ZK-SNARKs和其他加密技术保护用户隐私。之后,它还包括系统本身的去中心化治理。
Worldcoin因Orb的隐私和安全问题,“代币”的设计问题,以及公司所做的一些选择存在道德问题而受到批评。一些批评非常具体,集中在项目做出的决定上,这些决定可以很容易地以另一种方式代替。事实上,Worldcoin项目本身可能愿意改变。然而,一些人则提出了更根本的担忧,即生物识别技术——不仅是Worldcoin的眼睛扫描生物识别技术,还包括在Proof of Humanity和Idena中使用的更简单的面部视频上传和验证游戏等,到底是不是一个好主意。还有一些人围绕人格证明做出批评,其存在的风险包括不可避免的隐私泄露、人们匿名浏览互联网的能力进一步被削弱、专制政府的胁迫,以及在去中心化和安全无法共存。
这篇文章将讨论这些问题,并通过一些争论来帮助你决定是否在我们新的“球形霸主”面前低下头并扫描你的眼睛(或脸,或声音等)是一个好主意,以及自然的替代方案——要么使用基于社交图谱的人格证明,要么完全放弃人格证明——会更好一些。
什么是人格证明,为什么它很重要?定义人格证明系统的最简单方法是:它创建了一个公钥列表,其中系统保证每个密钥由一个唯一的人控制。换句话说,如果你是人类,你可以放一个密钥在清单上,但你不能放两个在清单上;如果你是机器人,你不能放任何密钥在清单上。
人格证明是有价值的,它以一种避免依赖集中权威并揭示尽可能少的信息的方式,解决了许多人面临的反垃圾邮件和反权力集中的问题。如果不能解决人格证明问题,去中心化的治理(包括社交媒体帖子上的投票等“微治理”)就会更容易被非常富有的行为者(包括敌对政府)控制。许多服务只能通过设置访问价格来防止拒绝服务攻击,但有时足以阻止攻击者的高昂价格对于许多低收入的合法用户来说过于昂贵了。
当今世界上许多主要的应用程序都是通过使用政府支持的身份系统(如信用卡和护照)来解决这个问题的。但这在隐私方面也做出了巨大的、或许说是不可接受的牺牲,而且可能被政府轻易攻击。
有多少人格证明的支持者看到了我们正面临的双重风险/图源
在许多人格证明项目中——不仅是Worldcoin,还有Proof of Humanity、Circles和其他项目——“旗舰应用程序”是内置的“每人N个代币(N-per-person token)”(有时称为“UBI 代币”)。在系统中注册的每个用户每天(每小时或每周)都会收到一定数量的代币。但还有很多其他的应用,例如:
空投代币分发;
代币或NFT销售为不太富裕的用户提供更优惠的条件;
在DAO中进行投票;
初始化基于图表的声誉系统的方式;
二次投票(以及资金和注意力支付);
防止社交媒体上的机器人/女巫攻击;
防止DoS攻击的验证码替代方案。
在许多案例中,共同的思路是希望建立开放和民主的机制,避免项目运营商的集中控制和最富有的用户的独裁。后者在去中心化的治理中尤为重要。在许多这样的情况下,现有的解决方案依赖于以下几个方面的组合:(i) 高度不透明的人工智能算法,这给运营商根本不喜欢的用户留下了很多无法察觉的歧视空间;(ii) 中心化的身份证明,又名“KYC”。一个有效的人格证明解决方案将是一个更好的选择,实现这些应用程序所需的安全属性,而不会出现现有集中式方法的陷阱。
在人格证明方面有哪些早期尝试?人格证明主要有两种形式:基于社会图谱的证明和基于生物识别的证明。基于社交图谱的人格证明依赖于某种形式的担保:如果爱丽丝、鲍勃、查理和大卫都是经过验证的人类,他们都说艾米丽是经过验证的人类,那么艾米丽很可能也是经过验证的人类。证明通常会因激励而增强:如果爱丽丝说艾米丽是人类,但结果证明她不是,那么爱丽丝和艾米丽可能都会受到惩罚。人格的生物识别证明包括验证艾米丽的一些身体或行为特征,这些特征将人类与机器人(以及人类个体)区分开来。大多数项目使用这两种技术的组合。
我在文章开头提到的四个系统大致如下:
Proof of Humanity:你上传自己的视频,并提供押金。要获得批准,现有用户需要为您担保,并且需要经过一定的时间,在此期间您可以受到质疑。如果有异议,Kleros的去中心化法庭会决定你的视频是否真实;如果不是,你将失去你的押金,而质疑者将获得奖励。
BrightID:你和其他用户一起加入一个视频通话“验证房间”,大家互相进行验证。Bitu可以提供更高级别的认证,如果有足够多的Bitu认证用户为你担保,你就可以在这个系统中获得认证。
Idena:你在一个特定的时间点玩一个验证码游戏(防止人们多次参与);验证码游戏的一部分涉及创建和验证用于验证其他人的验证码。
Circles:现有的用户为您担保。Circles的独特之处在于它不试图创建一个“全球可验证的ID”;相反,它创建了一个信任关系图表,其中某人的可信度只能从你自己在该图表中的位置来验证。
Worldcoin的运作方式是什么?每个Worldcoin用户在手机上安装一个应用程序,该应用程序生成私钥和公钥,就像以太坊钱包一样。然后他们亲自去访问一个“Orb”。用户盯着Orb的摄像头,同时向Orb展示他们的Worldcoin应用程序生成的二维码,这个二维码包含他们的公钥。Orb扫描用户的眼睛,并使用复杂的硬件扫描和机器学习分类器来验证:
1. 用户是一个真正的人;
2. 该用户的虹膜与以前使用过该系统的任何其他用户的虹膜都不匹配。
如果两次扫描都通过,Orb将签署一条消息,批准用户虹膜扫描的专用哈希数列。哈希被上传到数据库后——目前是一个中心化的服务器,一旦他们确定哈希机制有效,就会被一个去中心化的链上系统所取代。该系统不存储完整的虹膜扫描;它只存储哈希,这些哈希用于检查惟一性。从那时起,用户就拥有了“World ID”。
World ID持有者可以证明他们是一个独一无二的人,通过生成一个ZK-SNARK来证明他们持有与数据库中公钥相对应的私钥,而不需要透露他们持有的是哪个密钥。因此,即使有人重新扫描你的虹膜,他们也无法看到你的任何操作。
Worldcoin建设的主要问题是什么?有四个主要的风险摆在眼前:
隐私。虹膜扫描的注册表可能会泄露信息。至少,如果其他人扫描你的虹膜,他们可以与数据库进行比对,以确定你是否拥有World ID。虹膜扫描可能会揭示更多信息。
可访问性。除非世界上的任何人都能轻易获得许多Orb,否则World ID就不太容易获得。
中心化。Orb是一个硬件设备,我们无法验证它的构造是否正确,并且没有后门。因此,即使软件层是完美的,完全去中心化的,Worldcoin基金会仍然有能力在系统中插入一个后门,让它任意创建许多假的人类身份。
安全。用户的手机可能会被黑客入侵,用户可能会被迫扫描虹膜,同时出示属于他人的公钥,还有可能通过3D打印“假人”进行虹膜扫描获得World ID。
重要的是要区分(i)针对Worldcoin所做选择的特定问题,(ii)任何生物识别身份证明都不可避免会存在的问题,以及(iii)任何一般身份证明都会存在的问题。例如,注册Proof of Humanity意味着在互联网上发布你的脸。加入BrightID的验证方并不能做到这一点,但仍然会向很多人暴露你的身份。加入Circles会公开你的社交图谱。Worldcoin在保护隐私方面比这两种都要好得多。另一方面,Worldcoin依赖于专门的硬件,这带来了信任Orb制造商正确构建Orb的挑战,而这也是在Proof of Humanity、BrightID或Circles中没有的挑战。甚至可以想象,在未来,Worldcoin以外的人也将创建一个不同的专业硬件解决方案,具有不同的权衡。
生物识别身份证明方案如何解决隐私问题?任何身份证明系统都存在的最明显、最严重的潜在隐私泄露问题,就是将一个人的每一个行为都与真实世界的身份联系起来。这种数据泄漏风险非常大且难以接受,但幸运的是,它可以用零知识证明技术来解决。用户无需直接使用对应公钥在数据库中的私钥进行签名,而是可以通过ZK-SNARK证明自己拥有对应公钥在数据库中某处的私钥,而无需透露自己拥有的具体密钥。这可以通过像Sismo这样的工具来完成(参阅此处的 Proof of Humanity特定实现),并且Worldcoin有自己的内置实现。在这里提供“加密原生”的人格信用证明是很重要的:他们实际上关心采取这个基本步骤来提供匿名化,而基本上所有中心化的身份解决方案都没有做到这一点。
一个更微妙但仍然重要的隐私泄露是,仅仅存在一个生物识别扫描的公共注册表。在Proof of Humanity的案例中,存在大量的数据:你会得到每个Proof of Humanity参与者的视频,让世界上任何想要调查所有Proof of Humanity参与者是谁的人一目了然。在Worldcoin的案例中,泄露的范围则有限得多:Orb只在本地计算并发布每个人虹膜扫描的“哈希”。这个哈希不是像SHA256那样的常规哈希;相反,它是一种基于机器学习的Gabor过滤器的专门算法,可以处理任何生物识别扫描中固有的不准确性,并确保对同一个人虹膜的连续哈希值有相似的输出。
蓝色:同一个人虹膜两次扫描之间的差异百分比。
橙色:两个不同的人的两次虹膜扫描之间的差异百分比。
这些虹膜只泄漏出少量数据。如果攻击者可以强制(或秘密地)扫描您的虹膜,那么他们可以自己计算您的虹膜哈希值,并根据虹膜哈希值数据库进行检查,以查看您是否参与了该系统。这种检查某人是否注册的能力对于系统本身来说是必要的,可以防止人们多次注册,但它总是有可能以某种方式被滥用。此外,虹膜也有可能泄露一些医疗数据(如性别、种族,甚至医疗状况),但这种泄漏远远小于目前使用的任何其他大规模的数据收集系统(例如街头摄像头)。总的来说,对我而言,存储虹膜哈希的隐私性似乎足够了。
如果其他人不同意这一判断,并决定设计一个具有更多隐私的系统,有两种方法可以做到:
1. 如果可以改进虹膜哈希算法,使同一个人的两次扫描之间的差异大大降低,那么系统可以存储更少的虹膜哈希纠错位,以取代完整的。如果两次扫描之间的差异小于10%,那么需要发布的比特数将至少减少5倍。
2. 如果我们想更进一步,我们可以将虹膜哈希数据库存储在多方计算(MPC)系统中,该系统只能由Orb访问(具有速率限制),使数据无法完全访问,但代价是会带来协议复杂性和管理MPC参与者集的社会复杂性。这样做的好处是,用户将无法证明他们在不同时间拥有的两个不同World ID之间的链接,即使他们想这样做。
不幸的是,这些技术不适用于Proof of Humanity,因为它要求每个参与者的完整视频都是公开的,以便在有迹象表明它是假的(包括人工智能生成的假视频)时可以对其进行挑战,并在这种情况下进行更详细的调查。
总的来说,尽管盯着一个Orb,让它深入扫描你的眼球,是一种“反乌托邦的感觉”,但专业的硬件系统似乎确实可以在保护隐私方面做得相当不错。然而,这种做法的另一面是,专用硬件系统引入了更大的中性化问题。因此,我们加密朋克似乎陷入了困境:我们必须权衡一种根深蒂固的加密朋克价值观与另一种价值观。
生物识别身份证明系统中的可访问性问题是什么?专用硬件引入了可访问性问题,因为专用硬件的可访问性不是很好。撒哈拉以南非洲51%到64%的人口现在拥有智能手机,预计到2030年这一比例将增加到87%。但是,虽然有数十亿的智能手机,却只有几百个Orb。即使有更大规模的分布式制造,也很难达到一个距离每个人五公里以内都有一个Orb的世界。
但值得赞扬的是,他们一直在努力!
同样值得注意的是,许多其他形式的人格证明存在更糟糕的可访问性问题。加入一个基于社交图谱的人格证明系统是非常困难的,除非你已经认识这个社交图谱中的某个人。这使得这类系统很容易局限于一个国家的一个社区。
即使是中心化的身份识别系统也吸取了这一教训:印度的Aadhaar ID系统是基于生物识别的,因为这是快速进入其庞大人口的唯一途径,同时避免了重复和虚假账户的大规模欺诈,节省了巨额成本,当然,作为一个整体,Aadhaar系统在隐私方面远远弱于加密社区内大规模提出的任何方案。
从可访问性的角度来看,表现最好的系统实际上是像Proof of Humanity这样的系统,你可以只用智能手机就能完成注册。不过正如我们已经看到的,而且我们将要看到的,这样的系统会带来各种各样的其他权衡。
生物识别身份证明系统中的中心化问题是什么?有三种:
1. 系统顶层治理中的中心化风险(特别是如果系统中的不同参与者在主观判断上存在分歧,则做出最终顶层决议的系统)。
2. 使用专用硬件的系统所特有的中心化风险。
3. 如果使用专有算法来确定谁是真正的参与者,则也会存在中心化风险。
此外,
1. 任何人格证明系统都必须与“可接受的”身份集完全主观的系统相抗衡。如果一个系统使用以外部资产计价的激励机制(例如:ETH, USDC, DAI),那么它就不能完全主观,因此治理风险变得不可避免。
2. 对于Worldcoin来说,任何人格证明系统都要比Proof of Humanity或BrightID面临更大的风险,因为前者依赖于专门的硬件,而其他系统则没有。
3. 任何人格证明系统都必须应对一种风险,特别是在“逻辑中心化”系统中,只有一个系统进行验证,除非所有算法都是开源的,我们可以保证它们实际上运行的代码是他们声称的。对于纯粹依赖于用户验证其他用户的系统(如Proof of Humanity)来说,这并不存在风险。
Worldcoin如何解决硬件中心化的问题?目前,一家名为Tools for Humanity的worldcoin附属实体是唯一一家制作Orb的组织。然而,Orb的源代码大部分是公开的:您可以在这个github存储库中看到硬件规范,源代码的其他部分预计将很快发布。该许可证是另一个类似于Uniswap BSL的“共享源代码,但技术上要到四年后才开放源代码”许可证,除了防止分叉之外,它还防止了他们认为不道德的行为。
该团队的既定目标是允许和鼓励其他组织创建Orb,并随着时间的推移,从Tools for Humanity创建的Orb过渡到拥有某种DAO,该DAO批准和管理哪些组织可以制作被系统识别的Orb。
这种设计可能在两种情况下失败:
1. 它没有真正实现去中心化。这可能是因为联邦协议的常见陷阱:一个制造商最终在实践中占据主导地位,导致系统重新集中化。据推测,治理可能会限制每个制造商可以生产多少有效的Orb,但这需要仔细管理,而这又给治理带来了很大的压力,既要去中心化,又要监控生态系统,并有效地应对威胁:这是一个比只处理顶级争议解决任务的相当静态的DAO更难的任务。
2. 事实证明,使这样的分布式制造机制变得安全是不可能的。在这一方面,我又观察到两个风险:
1)针对不良Orb制造商的脆弱性:即使一个Orb制造商是恶意的或被黑客攻击的,它也可以生成无限数量的假虹膜扫描哈希,并给他们World ID。
2)政府对Orb的限制:不希望其公民参与World Coin生态系统的政府可以禁止Orb进入其国家。此外,他们甚至可以强迫公民扫描他们的虹膜,让政府获得他们的账户,而公民却没有办法。
为了使系统不被不良Orb制造商影响,Worldcoin团队建议对Orb进行定期审计,验证它们是正确构建的,关键硬件组件是根据规格构建的,并且在事实发生后没有被篡改。这是一项具有挑战性的任务:它基本上有点像国际原子能机构(IAEA)的核检查机构,只不过是针对Orb的。我们希望,即使审计机制的实施非常不完善,也能大大减少假Orb的数量。
为了限制任何Orb所造成的伤害,有必要添加第二个缓解措施。在不同的Orb制造商注册World ID,理想情况下是不同的Orb,应该彼此区分。如果这些信息是私人的,并且只存储在World ID持有者的设备上,这是可以的;但它确实需要按需证明。这使得生态系统可以根据需要从白名单中删除单个Orb制造商,甚至单个Orb,从而应对难以避免的攻击。如果我们看到朝鲜政府四处走动,强迫人们扫描他们的眼球,那么这些眼球和它们产生的任何账户都可能立即被追溯后禁用。
人格证明中的安全问题除了Worldcoin特有的问题外,还有一些问题会影响人格证明的设计。我能想到的主要有:
1. 3D打印假人:人们可以使用AI生成假人的照片,甚至3D打印,让这些假人足够有说服力,可以被Orb软件接受。即使只有一个组织这样做,他们也可以生成无限数量的身份证明。
2. 出售ID:某人可以在注册时提供其他人的公钥而不是自己的,让这个人控制自己的注册ID,以换取金钱。似乎已经有这样做的了。除了出售之外,还可以在一个应用程序中租用ID进行短期使用。
3. 手机黑客:如果一个人的手机被黑客入侵,黑客可以窃取控制他们的World ID的密钥。
4. 政府强制窃取ID:政府可以通过出示属于政府的二维码来强制公民进行身份验证。通过这种方式,恶意的政府就可以访问数百万个ID。在生物识别系统中,这甚至可以秘密完成。政府可以使用模糊的Orb在护照检查站从进入他们国家的每个人那里提取World ID。
第一种是特定于生物识别人格证明系统。第二种和第三种是生物特征和非生物特征设计所共有的。第四种对两者也是共同的,尽管所需的技术在两种情况下会有很大的不同;在本节中,我将重点讨论生物识别案例中的问题。
这些都是相当严重的弱点。有些已经在现有协议中解决了,有些可以通过未来的改进来解决,还有一些似乎是根本的限制。
我们该如何对付假冒伪劣的人?对于Worldcoin来说,这比类似于Proof of Humanity系统的风险要小得多:面对面的扫描可以检查一个人的许多特征,而且与仅仅深度伪造视频相比,这些特征很难伪造。专业硬件天生就比普通硬件更难骗,而普通硬件又比验证远程发送的图片和视频的数字算法更难骗。
有人能通过3D打印的东西最终骗过专门的硬件吗?也有可能。我预计,在某种程度上,我们将看到保持机制开放和保持其安全的目标之间的紧张关系日益加剧:开源AI算法本质上更容易受到对抗性机器学习的攻击。黑盒算法的保护力度更大,但很难说这个算法没有经过包括后门在内的训练。也许ZK-ML技术可以给我们两全其美的解决方案。但是,在未来的某个时候,即使是最好的AI算法也可能会被最好的3D打印假人愚弄。
然而,从我与Worldcoin和Proof of Humanity团队的讨论来看,似乎目前这两个协议都没有看到重大的深度虚假攻击,原因很简单,雇佣真正的低薪工人代表你进行注册是非常便宜和容易的。
我们能阻止出售ID吗?短期来看,防止这种是很困难的,因为世界上大多数人甚至不知道人格证明协议,如果你告诉他们拿起二维码扫描他们的眼睛就有30美元,他们就会照做。一旦更多的人意识到身份证明协议是什么,一个相当简单的缓解措施就将成为可能:那就是允许拥有已注册ID的人重新注册,取消之前的ID。这使得“卖ID”变得不那么可信,因为卖给你ID的人可以去重新注册,取消他们刚刚卖的ID。然而,要做到这一点,协议必须广为人知,而Orb必须能够被广泛访问,才能实现按需注册。
这就是为什么将UBI Token集成到人格证明系统中是有价值的,原因之一在于:UBI Token为人们提供了一种容易理解的激励,促使人们了解协议并注册;如果他们代表其他人注册,则立即进行重新注册。重新注册还可以防止电话被窃听。
我们能在生物识别身份证明系统中防止强制行为吗?这取决于我们谈论的是哪种强制。可能的强制形式包括:
1. 政府在边境控制和其他常规政府检查站扫描人们的眼睛(或脸等),并用它来登记(并经常重新登记)他们的公民;
2. 各国政府禁止在国内使用“Orb”,以防止人们独立重新注册;
3. 个人购买ID,然后威胁他们说,一旦他们发现自己的ID由于卖家重新注册而变得无效,就会伤害他们;
4. (可能是政府运行的)应用程序要求人们直接用他们的公钥签名来“登录”,让他们看到相应的生物识别扫描,从而在用户当前的ID和他们从重新注册中获得的任何未来的ID之间建立联系。一个普遍的担忧是,这使得创建“永久记录”变得太容易了,这些记录会伴随一个人的一生。
你们所有的UBI和投票权都属于我们/图源
特别是在不熟练的用户手中,似乎很难完全防止这些情况的发生。用户可以离开自己的国家,在一个更安全的国家的Orb重新注册,但这是一个困难的过程,成本也很高。在一个真正充满敌意的法律环境中,寻找一个独立的Orb似乎过于困难和冒险。
可行的做法是让这种滥用行为更加难以被执行和检测。Proof of Humanity的方法要求一个人在注册时说出一个特定的短语就是一个很好的例子:它足以防止隐藏扫描,要求强制更明显,注册短语甚至可以包括一个声明,确认受访者知道他们有权独立重新注册,并可能获得UBI币或其他奖励。如果检测到强制注册,则用于执行强制注册的设备的访问权限可能会被撤销。为了防止应用程序链接人们的当前和以前的ID并试图留下“永久记录”,默认的人格证明应用程序可以将用户的密钥锁定在受信任的硬件中,防止任何应用程序在没有在两者之间匿名化ZK-SNARK层的介入下直接使用密钥。如果政府或应用程序开发人员想要解决这个问题,他们需要强制使用他们自己的自定义应用程序。
把这些技巧和积极警惕结合起来,把那些真正怀有敌意的政权拒之门外,让那些仅仅是中等坏的政权保持诚实(世界上大部分国家都是如此),似乎是可能的。这可以通过像Worldcoin或Proof of Humanity这样的项目来完成,或者通过披露有关ID如何注册的更多信息,并将此分类任务留给社区。
我们能阻止租用ID吗(卖投票权)?重新注册不会阻止你出租你的ID。在某些应用程序中,这是可以接受的:出租您当天UBI币份额的权利的成本将恰好就是当天UBI币份额的价值。但在投票等应用中,轻易出售选票是个大问题。
像MACI这样的系统可以阻止你可信地出售你的选票,因为它允许你以后再投一次票,使你之前的投票无效,这样就没有人能知道你是否真的投了这样的票。然而,如果贿赂者控制你在注册时获得的密钥,这就没有效果了。
两种解决方案:
1. 在MPC中运行整个应用程序。这也将涵盖重新注册的过程:当一个人注册到MPC时,MPC分配给他们一个与他们的身份证明ID分开且不可链接的ID,当一个人重新注册时,只有MPC知道该停用哪个帐户。这阻止了用户对他们的行为进行证明,因为每个重要的步骤都是在MPC内部完成的,使用的是只有MPC知道的私有信息。
2.中心化注册仪式。基本上,实现像这样的现场密钥注册协议,需要四个随机选择的本地参与者一起工作来完成注册。这可以确保注册是一个攻击者无法窥探的“可信”过程。
基于社交图谱的系统实际上可能在这里表现得更好,因为它们可以自动创建本地去中心化的注册过程,这是它们工作方式的副产品。
生物识别技术与基于社交图谱的验证相比如何?迄今为止,除了生物识别方法之外,其他主要的人格证明竞争者是基于社交图谱的验证。这种验证系统都是基于同样的原则运行的:如果有一大堆现有的验证身份都证明了你身份的有效性,那么你可能是有效的,也应该得到验证身份。
如果只有少数真实用户(意外或恶意地)验证了假用户,那么您可以使用基本的图论技术来确定系统验证的假用户数量的上限。基于社交图谱的身份验证的支持者经常将其描述为比生物识别技术更好的选择,原因如下:
它不依赖于特殊用途的硬件,这使得它更容易被部署;
它避免了试图制造假人的制造商和需要不断更新Orb以应对这些假人之间的永久性对抗;
它不需要收集生物特征数据,使其更加隐私友好;
它可能对假名更有包容度,因为如果有人选择将他们的互联网生活分散到他们彼此独立存在的多个身份上,这些身份都可能被验证(但维护多个真实和独立的身份会牺牲网络效应,并且成本很高,所以攻击者不容易做到这一点);
生物识别方法给出了“是人类”或“不是人类”的二元分类,这是脆弱的:意外被拒绝的人最终将根本无法获得UBI,而且可能无法参与在线生活。基于社交图谱的方法可以给出一个更微妙的数字评分,当然这对一些参与者来说可能有点不公平,但不太可能完全变成“非人”。
我对这些论点的看法是,我在很大程度上同意他们!这些都是基于社会图谱的方法的真正优势,应该被认真对待。然而,我们也应该考虑到基于社交图谱的方法的弱点:
1. 引导:用户要加入基于社交图谱的系统,必须认识已经在该图谱中的人。这使得大规模采用变得困难,并且有可能在最初的启动过程中不幸地将某个国家整个地区排除在外。
2. 隐私:虽然基于社交图谱的方法避免了收集生物特征数据,但它们往往最终会泄露一个人的社交关系信息,这可能会导致更大的风险。当然,零知识技术可以缓解这种情况。但是图形中固有的相互依赖性以及对图形执行数学分析的需要使得实现与生物识别技术相同级别的数据隐藏变得更加困难。
3. 不平等:每个人只能拥有一个生物识别ID,但一个富有且社会关系良好的人可以利用他们的关系生成许多ID。从本质上讲,同样的灵活性可能会允许基于社交图谱的系统为某人提供多个假名(例如一个真正需要这个功能的激进分子),但也可能意味着更有权力和社会关系的人比没有权力和社会关系的人可以获得更多的假名。
4. 陷入中心化的风险:多数人懒得花时间向互联网应用报告谁是真人,谁不是。因此,有一种风险是,随着时间的推移,系统将倾向于依赖于中心化机构的“简单”入会方式,而系统用户的“社交图谱”实际上将成为哪些国家承认哪些人是公民的社交图谱,从而为我们带来了中心化的KYC以及不必要的额外步骤。
然而,悲观主义者可能会认为,试图创建一个更加注重隐私的身份识别方式并希望它能够以正确的方式被采用是天真的,因为权力者并不关心隐私,如果一个强大的行动者有一个可以用来获取一个人更多信息的工具,他们会这样做。在这样的世界中,这个论点认为,唯一现实的方法,遗憾的是,要破坏任何身份识别解决方案,并捍卫一个完全匿名和数字化的高信任社区岛屿的世界。
我理解这种思维方式背后的原理,但我担心这种方法即使成功,也会导致一个世界,其中没有任何方式可以做任何事情来反对财富集中和治理中心化,因为一个人总是可以假装是一万个人。反过来,这样的中心化点将很容易被权力者掌控。相反,我更倾向于一个适度的方法,我们应该大力倡导人身证明解决方案具有强大的隐私性,可能如果需要甚至在协议层面包括一个"$N² 的成本用于 N 个账户"的机制,并创建一个符合隐私友好价值观并有机会被外界接受的东西。
人格证明与现实世界中的假名兼容吗?原则上,人格证明与各种假名都是兼容的。应用程序可以设计成这样一种方式,即拥有一个身份证明的人可以在应用程序中创建多达五个配置文件,为假名帐户留出空间。我们甚至可以使用二次公式:N = N²。但他们会这样做吗?
然而,悲观主义者可能会争辩说,试图创建一种更隐私友好的ID形式,并希望它实际上会以正确的方式被采用,这种想法是天真的。当权者并不隐私友好,如果一个强大的行动者得到了一个可以用来获取一个人更多信息的工具,他们就会这样使用它。这种观点认为,在这样一个不幸的世界里,唯一现实的方法是在任何身份解决方案的进程中形成阻碍,也是在捍卫一个完全匿名和高度信任社区的数字孤岛的世界。
我明白这种思维方式背后的原因,但我担心,这种方法即使成功,也会导致任何人都无法做任何事情来对抗财富集中和治理集中化的世界,因为一个人可以假装成一万个人。这样的中心化反过来又很容易被当权者抓住。相反,我更倾向于一种温和的方法,我们大力提倡具有强大隐私性的人格证明解决方案,如果需要的话,甚至可能在协议层包括“N个帐户为$N²(N accounts for $N²)”的机制,创建具有隐私友好价值的东西,并有机会被外界接受。
我的观点没有理想的人格证明形式。相反,我们至少有三种不同的方法范例,它们都有自己独特的优点和缺点。比较图表可能如下所示:
最理想的做法是把这三种技术看作是互补的,并把它们结合起来。正如印度的Aadhaar在规模上所展示的那样,专用硬件生物识别技术在规模上的安全性有其好处。它们在去中心化方面非常弱,但这可以通过让单个Orb负责来解决。如今,通用生物识别技术可以很容易地被采用,但其安全性正在迅速下降,而且可能只能再使用1-2年。
基于社交图谱的系统由几百个与创始团队在社交上关系密切的人启动,可能会面临不断的权衡:要么完全错过世界的大部分地区,要么容易受到他们无法看到的社区内的攻击。然而,一个基于社交图谱的系统,依靠数以千万计的生物识别ID持有者,实际上是可行的。生物识别技术可能在短期内更有效,而基于社交图谱的技术可能在长期内更强大,随着算法的改进,它们将承担更大的责任。
一个可能的混合路径。
所有这些团队都有可能犯许多错误,并且在商业利益和更广泛的社区需求之间存在不可避免的紧张关系,因此保持高度警惕非常重要。作为一个社区,我们可以也应该推动所有参与者在开源技术方面的舒适区,要求第三方审计,甚至第三方编写的软件,以及其他制衡。在这三个类别中,我们还需要做出更多的选择。
与此同时,重要的是要认识到已经完成的工作:许多运行这些系统的团队已经表现出比任何政府或大型企业运行的身份系统更重视隐私的意愿,这是我们应该在此基础上取得的成功。
制作一个有效和可靠的人格证明系统的问题,特别是在远离现有加密社区的人手中,似乎相当具有挑战性。我不羡慕那些尝试这项任务的人,而且很可能需要数年时间才能找到一个有效的公式。人格证明的概念在原则上似乎非常有价值,尽管各种实现都有其风险,但完全没有人格证明也有其风险:一个没有人格证明的世界似乎更有可能是一个由中心化的身份解决方案、金钱、小型封闭社区或三者的某种组合所主导的世界。我期待在所有类型的人格证明上看到更多的进展,并希望看到不同的方法最终汇集成一个连贯的整体。