Vitalik:我对Worldcoin和人格生物特征证明的看法
作者:vitalik 来源:vitalik.eth 编译:善欧巴,金色财经
特别感谢Worldcoin团队、Proof of Humanity社区和Andrew Miller进行讨论。
在以太坊社区中,人们一直在尝试构建一种去中心化的身份验证解决方案,即“个人身份证明”。个人身份证明,也被称为“唯一人类问题”,是一种有限的真实身份验证,它确认一个特定的注册账户是由一个真实的人控制的(并且是不同于所有其他注册账户的另一个真实人),最好是不暴露是哪个真实的人。
对于解决这个问题,已经有一些努力:Proof of Humanity、BrightID、Idena和Circles等都是一些例子。其中一些解决方案附带自己的应用程序(通常是一个UBI代币),一些已经在Gitcoin Passport中得到使用,用于验证哪些账户对于二次投票是有效的。零知识技术,如Sismo,为许多这些解决方案增加了隐私保护。最近,我们看到了一个更大、更雄心勃勃的个人身份证明项目的崛起:Worldcoin。
Worldcoin由Sam Altman共同创立,他最知名的身份是OpenAI的首席执行官。该项目背后的理念很简单:AI将为人类创造大量的丰富和财富,但它也可能导致很多人失去工作,而且几乎不可能区分谁是真正的人类而不是机器人,因此我们需要通过(i)创建一个非常好的个人身份证明系统,让人们能够证明他们真的是人类,以及(ii)给每个人提供一笔UBI来解决这个问题。Worldcoin的独特之处在于它依赖于高度复杂的生物特征识别技术,使用一种名为“the Orb”的专业硬件扫描每个用户的虹膜:
该项目的目标是生产大量这些Orb设备,并广泛分布于世界各地,放置在公共场所,以便任何人都能轻松获得身份认证。值得称赞的是,Worldcoin还承诺逐步实现去中心化。首先,这意味着技术上的去中心化:作为以太坊上的L2,使用Optimism技术栈,并通过ZK-SNARKs和其他加密技术来保护用户的隐私。随后,还包括对系统本身治理的去中心化。
Worldcoin因其设备“Orb”的隐私和安全问题、其“代币”设计问题以及公司所做的一些选择而受到批评。其中一些批评非常具体,关注的是该项目所做的决策,在其他方式下可能很容易进行调整,而且Worldcoin项目本身可能愿意进行更改。然而,其他批评则提出了更基本的问题,即生物特征识别技术是否是一个好主意——不仅仅是Worldcoin使用的虹膜扫描生物特征识别技术,还包括Proof of Humanity和Idena等项目使用的更简单的面部视频上传和验证游戏。还有人对个人身份证明机制本身提出批评。风险包括不可避免的隐私泄露、人们在互联网上匿名浏览能力的进一步削弱、遭受威权政府的强制控制,以及安全性与去中心化的同时实现的潜在不可能性。
本文将讨论这些问题,并介绍一些论点,帮助你决定是否向我们新的球形统治者低头并扫描你的眼睛(或面部、声音等…)是一个好主意,以及自然的替代方案——使用基于社交网络的人证明方式或者完全放弃人格证明——是否更好。
什么是人格证明以及为什么它很重要?
人格证明(proof of personhood)系统的最简单定义是:它创建了一个公钥列表,系统保证每个密钥都由一个唯一的人控制。换句话说,如果你是一个人,你可以在列表上放一个密钥,但你不能放两个密钥;如果你是一个机器人,你就不能放任何密钥在列表上。
人格证明的重要性在于它解决了很多人们所面临的反垃圾邮件和反权力集中的问题,同时避免了对中心化机构的依赖,并尽可能地保护最少的信息。如果没有解决人证明问题,去中心化治理(包括对社交媒体帖子的投票等“微治理”)将更容易被富有的利益相关者,包括敌对的政府所操控。许多服务只能通过设置访问价格来防止拒绝服务攻击,有时为了阻挡攻击者,价格也会对许多低收入合法用户来说太高。
如今世界上许多主要应用程序通过使用政府支持的身份系统(如信用卡和护照)来处理这个问题。这解决了问题,但会在隐私方面做出大而可能不可接受的牺牲,并且可以很容易地被政府本身攻击。
有多少人格证明支持者看到了我们面临的双面风险
在许多人格证明项目中,不仅Worldcoin,还包括Proof of Humanity、Circles等,其中的“旗舰应用”是内置的“每人N个代币”(有时称为“UBI代币”)。在系统中注册的每个用户每天(或每小时、每周)都会收到一定数量的代币。但实际上有许多其他的应用场景:
1. 代币分发的空投
2. 给较不富裕用户更优惠的条件进行代币或NFT销售
3. 在DAO中进行投票
4. “种子”图形信誉系统
5. 四次投票(以及资金筹集和关注付款)
6. 社交媒体中抵御机器人/假冒攻击的保护
7. 用于防止DoS攻击的替代captcha
在许多情况下,共同的目标是创造开放和民主的机制,避免项目运营商的中心化控制和最富有用户的主导地位。这在去中心化治理中尤其重要。在许多情况下,现有解决方案依赖于(i)高度不透明的人工智能算法,这些算法可以在不被察觉的情况下歧视运营商不喜欢的用户,以及(ii)中心化身份识别(即“KYC”)。一个有效的人证明解决方案将是一个更好的选择,可以在不出现现有中心化方法的缺陷的情况下实现这些应用程序所需的安全属性。
在人格证明方面有哪些早期尝试?
早期的人证明尝试主要有两种形式:基于社交图谱和生物特征。基于社交图谱的人证明依赖于一种形式的担保:如果Alice、Bob、Charlie和David都是验证过的人类,并且他们都说Emily是一个验证过的人类,那么Emily很可能也是一个验证过的人类。担保通常会通过激励来增强:如果Alice说Emily是一个人类,但事实证明她不是,那么Alice和Emily都可能会受到惩罚。生物特征的人证明涉及验证Emily的一些区别于机器人(以及个体人类之间)的身体或行为特征。大多数项目使用这两种技术的组合。
前文提到的四个系统的工作原理大致如下:
1. Proof of Humanity:你上传一段关于自己的视频,并提供一笔押金。要得到认可,一个现有用户需要为你提供担保,并且需要经过一段时间的挑战期。如果有挑战,Kleros去中心化法院将确定你的视频是否真实;如果不是,你将失去押金,而挑战者将得到奖励。
2. BrightID:你加入一个视频通话“验证派对”,与其他用户一起进行验证。通过Bitu这个系统,你可以通过其他经过Bitu验证的用户为你提供担保来获得更高级别的验证。
3. Idena:你在特定时间进行一个验证码游戏(防止人们多次参与);验证码游戏的一部分涉及创建和验证验证码,这些验证码将用于验证其他人。
4. Circles:一个现有的Circles用户为你提供担保。Circles的独特之处在于它不试图创建一个“全球可验证的ID”,而是创建了一个信任关系图,其中某人的信任度只能从你在该图中的位置的角度进行验证。
世界币如何运作?
每个Worldcoin用户在手机上安装一个应用程序,该应用程序生成一个私钥和一个公钥,就像一个以太坊钱包。然后,他们亲自前往参观一个“Orb”设备。用户凝视Orb的摄像头,同时向Orb展示他们Worldcoin应用程序生成的包含公钥的QR码。Orb扫描用户的眼睛,并使用复杂的硬件扫描和机器学习分类器来验证:
1. 用户是真实的人类
2. 用户的虹膜与之前使用该系统的任何其他用户的虹膜不匹配
如果两次扫描都通过,Orb会签署一条消息,批准对用户的虹膜扫描的特定哈希。哈希值被上传到一个数据库中——目前是一个集中式服务器,打算在确保哈希机制有效后替换为去中心化的链上系统。该系统不存储完整的虹膜扫描;它只存储哈希值,并使用这些哈希值来检查唯一性。从那时起,用户就有了一个“World ID”。
持有World ID的用户可以通过生成ZK-SNARK证明来证明他们是一个唯一的人类,该证明表明他们持有与数据库中的某个公钥对应的私钥,而不会透露他们持有哪个密钥。因此,即使有人重新扫描你的虹膜,他们也无法看到你已经采取的任何操作。
世界币建设的主要问题是什么?
有四个主要的风险立即涌入脑海:
1. 隐私。虹膜扫描的注册表可能会泄露信息。至少,如果有人扫描你的虹膜,他们可以将其与数据库进行对比,以确定你是否有一个World ID。潜在地,虹膜扫描可能会泄露更多信息。
2. 可及性。除非有足够多的Orbs,世界上的任何人都可以轻松获得一个World ID,否则它们将不会可靠地可及。
3. 集中化。Orb是一个硬件设备,我们无法验证它是否正确构建且没有后门。因此,即使软件层面是完美的并且完全去中心化,Worldcoin基金会仍然有能力向系统中插入后门,从而创建任意数量的虚假人类身份。
4. 安全性。用户的手机可能会遭到黑客攻击,用户可能会被迫在展示属于他人的公钥的同时扫描他们的虹膜,还有可能会有通过3D打印“伪造人类”来通过虹膜扫描并获得World ID的可能性。
有必要区分(i)Worldcoin特定选择所带来的问题,(ii)任何生物识别式人格证明必然会面临的问题,以及(iii)任何人格证明所普遍会面临的问题。例如,注册到Proof of Humanity意味着将你的脸发布在互联网上。参加BrightID的验证派对并不完全如此,但仍会向许多人暴露你的身份。而参与Circles将公开暴露你的社交关系图。相比于这些,Worldcoin在保护隐私方面要好得多。然而,Worldcoin依赖于专门的硬件,这就带来了信任Orb制造商是否正确构建Orbs的挑战 - 这在Proof of Humanity、BrightID或Circles中没有类似的挑战。甚至在未来,其他人可能会创造出不同的专用硬件解决方案,具有不同的权衡。
生物识别身份证明方案如何解决隐私问题?
任何人格证明系统最明显、最严重的潜在隐私泄漏是将个人的每个行为都与现实身份关联起来。这种数据泄漏非常大,可以说是不可接受的大,但幸运的是,可以通过零知识证明技术轻松解决。用户不必直接使用与数据库中的公钥对应的私钥进行签名,而可以使用零知识证明(ZK-SNARKs)证明他们拥有与数据库中的公钥对应的私钥,而不暴露具体拥有哪个特定的密钥。这可以通过像Sismo这样的工具通用实现(Proof of Humanity的特定实现见此处),而Worldcoin则内置了自己的实现。在这里,需要给“加密本地”人格证明以应有的赞誉:他们实际关心采取这一基本步骤来提供匿名化,而几乎所有的集中式身份解决方案都没有这样做。
一个更微妙但仍然重要的隐私泄漏是公共生物特征扫描注册表的存在。对于Proof of Humanity来说,这是大量的数据:你可以获得每个参与Proof of Humanity的人的视频,让世界上任何关心调查的人都能清楚地知道所有参与Proof of Humanity的人。而对于Worldcoin,泄露要小得多:Orb仅在本地计算和发布每个人虹膜扫描的“哈希”。这个哈希不是常规哈希函数,比如SHA256;相反,它是一种基于机器学习Gabor滤波器的专用算法,用于处理任何生物特征扫描中固有的不精确性,并确保对同一人的虹膜进行连续哈希时产生类似的输出。
这些虹膜哈希仅泄漏了少量数据。如果敌方可以强制(或秘密地)扫描你的虹膜,那么他们可以自己计算你的虹膜哈希,并将其与虹膜哈希数据库进行比对,查看你是否参与了系统。这种能够检查某人是否注册的能力对于系统本身来说是必要的,以防止人们多次注册,但总有可能被滥用。此外,虹膜哈希可能泄漏一些医疗数据(性别、种族,或许是医疗状况),但这种泄漏远远小于今天几乎所有其他大规模数据收集系统(例如,甚至是街道摄像头)可能捕获的数据量。总体而言,对我来说,存储虹膜哈希的隐私保护似乎是足够的。
如果其他人对这一判断持不同意见,并决定设计一个更隐私保护的系统,有两种方式可以实现:
1. 如果虹膜哈希算法可以改进,使得同一人的两次扫描之间的差异较小(例如,可靠地在10%的位翻转以下),那么系统可以存储较少数量的虹膜哈希的错误修正位(参见:模糊提取器)。如果两次扫描之间的差异在10%以下,那么需要发布的位数将至少少5倍。
2. 如果想进一步,可以将虹膜哈希数据库存储在多方计算(MPC)系统中,只能由Orbs(有速率限制)访问,从而使数据完全无法访问,但代价是在管理MPC参与者集合时引入了显著的协议复杂性和社会复杂性。这将使用户即使想要证明他们在不同时间拥有的两个不同的World ID之间的联系也无法做到。
不幸的是,这些技术对于Proof of Humanity来说并不适用,因为Proof of Humanity需要每个参与者的完整视频公开可见,以便在有迹象表明其是伪造(包括人工智能生成的伪造品)的情况下可以对其进行质疑,并在此类情况下进行更详细的调查。
总体而言,尽管直视Orb并让它深入扫描你的眼球给人以“反乌托邦的氛围”,但专门的硬件系统似乎可以相当不错地保护隐私。然而,这一做法的反面是,专门的硬件系统引入了更大的集中化担忧。因此,我们的加密朋克似乎陷入了一个困境:我们不得不权衡一个深深植根的加密朋克价值与另一个。
生物特征证明人身份系统存在哪些可及性问题?
专用硬件引入了可及性问题,因为专用硬件并不十分易得。撒哈拉以南非洲地区现在大约有51%到64%的人拥有智能手机,而这一比例预计到2030年将增加至87%。但虽然智能手机数量达到了数十亿,Orb硬件设备却只有几百台。即使通过更高规模的分布式生产,也难以实现每个人五公里范围内都有一个Orb的目标。
值得指出的是,许多其他形式的人员身份证明系统面临的可及性问题甚至更为严重。加入基于社交图谱的人员身份证明系统非常困难,除非你已经认识在社交图谱中的某人。这使得这类系统很容易局限在一个国家的单个社区内。
即使是集中式身份系统也学到了这个教训:印度的Aadhaar身份证系统是基于生物特征的,因为这是为了在避免大规模欺诈(从而实现巨大的成本节约)的同时,迅速为庞大的人口提供服务的唯一途径。当然,与加密货币社区内大规模提议的任何方案相比,Aadhaar系统整体上在隐私方面要弱得多。
从可及性角度来看,表现最佳的系统实际上是诸如Proof of Humanity之类的系统,你只需要使用智能手机就可以注册。然而,正如我们已经看到并将要看到的,这类系统也伴随着各种各样的权衡。
生物识别身份证明系统存在哪些中心化问题?
有三种:
-
系统顶层治理的中心化风险(尤其是当系统中不同参与者主观判断不一致时做出最终顶层决策的系统)。
-
使用专用硬件的系统所特有的集中化风险。
-
如果使用专有算法来确定谁是真正的参与者,则存在中心化风险。
任何身份证明系统都必须应对 (1),也许“接受的”ID 集完全是主观的系统除外。如果一个系统使用以外部资产(例如 ETH、USDC、DAI)计价的激励,那么它就不可能是完全主观的,因此治理风险就不可避免。
-
对于世界币来说,其风险比人类证明(或 BrightID)要大得多,因为世界币依赖于专门的硬件,而其他系统则不然。
-
这是一种风险,特别是在“逻辑集中”系统中,其中只有一个系统进行验证,除非所有算法都是开源的,并且我们可以保证它们实际上正在运行它们声称的代码。对于纯粹依赖用户验证其他用户的系统(例如人性证明),这不是风险。
世界币如何解决硬件中心化问题?
目前,名为“Tools for Humanity”的机构是唯一制造Orbs的与Worldcoin有关的实体。然而,Orb的源代码大部分是公开的:你可以在这个GitHub存储库中查看硬件规格,其他部分的源代码预计将很快发布。许可证是另一种“共享源码,但在四年后才算是技术上开源”的许可证,类似于Uniswap的BSL许可证,除了防止分叉外,还阻止他们认为不道德的行为 - 他们特别列出了大规模监视和三项国际公民权利宣言。
团队的声明目标是允许和鼓励其他组织创建Orbs,并逐步过渡,从由“Tools for Humanity”创建Orbs发展为由某种DAO审批和管理哪些组织可以制造被系统认可的Orbs。
这种设计可能会在两个方面失败:
1. 它无法真正去中心化。这可能是因为联合协议的常见陷阱:一个制造商最终在实际中占主导地位,导致系统重新集中化。可以想象,治理机构可以限制每个制造商可以生产多少个有效的Orbs,但这需要小心管理,并且它给治理机构施加了很大的压力,要同时做到去中心化并监控生态系统并有效地应对威胁:这比处理顶层纠纷解决任务的静态DAO要困难得多。
2. 系统的安全性可能无法保证。这里有两个风险:
a. 对恶意Orb制造商的脆弱性:如果一个Orb制造商是恶意的或被黑客攻击,它可以生成无限数量的伪造虹膜扫描哈希,并为它们提供World ID。
b. 对Orb的政府限制:不希望其公民参与Worldcoin生态系统的政府可以禁止Orb进入他们的国家。此外,他们甚至可以强制他们的公民扫描虹膜,从而允许政府获得他们的账户,而公民将无法应对。
为了使系统更加健壮抵御恶意Orb制造商,Worldcoin团队建议定期对Orb进行审计,以验证其是否正确构建,关键硬件组件是否按照规格构建,并在事后是否被篡改。这是一项具有挑战性的任务:这基本上就像是为了Orb而设的IAEA核查机构。希望即使对审计制度的非常不完善的实施也可以大大减少虚假Orb的数量。
为了限制任何滑落的恶意Orb造成的损害,有必要采取第二种缓解措施。在不同Orb制造商注册的World ID,并且最好在不同的Orb上注册的World ID,应该在彼此之间可区分。这些信息可以是私有的,仅存储在World ID持有者的设备上;但在需要时必须可证明。这使得生态系统能够对(不可避免的)攻击做出反应,从白名单中移除个别Orb制造商,甚至可以从白名单中立即且事后禁用某些Orb,如果我们发现朝鲜政府强迫人们扫描虹膜,那么这些Orb和由它们产生的所有账户都可以立即被追溯。
一般人格证明中的安全问题
除了针对Worldcoin特定的问题外,一般也存在一些影响"proof-of-personhood"(人的身份证明)设计的担忧。我能想到的主要问题如下:
1. 3D打印虚假身份:有人可以使用人工智能生成逼真的照片,甚至是3D打印出虚假的人物,足以让Orb软件接受。如果有一个团体这样做,他们就可以生成无限数量的身份。
2. 出售身份:有人在注册时可以提供他人的公钥而不是自己的,以换取对方对已注册ID的控制权,可能会以金钱交换。这似乎已经在发生。除了出售,还有可能将ID租用出去,在一个特定的应用中短期使用。
3. 手机被黑客攻击:如果一个人的手机被黑客攻击,黑客可以窃取控制他们World ID的密钥。
4. 政府强制窃取身份:某些政府可能强制公民进行身份验证,同时显示属于政府的QR代码。通过这种方式,恶意政府可以获取数百万个身份。在生物识别系统中,这甚至可以在不引起注意的情况下进行:政府可以在护照控制站提取每个进入他们国家的人的World ID。
其中(1) 是针对生物识别"proof-of-personhood"系统的特定问题。(2) 和 (3) 是生物识别和非生物识别设计的共同问题。(4) 对两者都适用,尽管在两种情况下所需的技术可能会有所不同;在本节中,我将重点讨论生物识别系统中的问题。
这些问题都相当严重。其中一些已经在现有协议中得到解决,另一些可以通过未来的改进来解决,但仍然有一些似乎是基本限制。
我们如何处理虚假身份?
对于Worldcoin而言,与类似于Proof of Humanity的系统相比,虚假身份问题风险明显较低。现场扫描可以检查一个人的许多特征,相对于简单地制作一个深度伪造的视频,更难以伪造。专用硬件本质上更难以欺骗,而相对于远程验证图片和视频的数字算法,普通硬件又更难以欺骗。
某人是否可以最终制造出可以欺骗专用硬件的3D打印产品呢?可能性是存在的。我预计,在某些时候,我们将看到在保持机制开放性和保持安全性之间出现不断增加的紧张关系:开源AI算法本质上更容易受到对抗性机器学习的攻击。黑盒算法更受保护,但很难判断黑盒算法是否被训练包含了后门。也许零知识机器学习技术可以为我们提供最好的两全之计。然而,在更遥远的未来,即使是最优秀的AI算法也很可能会被最优秀的3D打印虚假身份所欺骗。
然而,根据我与Worldcoin和Proof of Humanity团队的讨论,目前似乎两个协议都还没有遭受重大的深度伪造攻击,原因很简单:雇佣真实的低工资工人代表你进行注册是相当廉价和容易的。
我们能否阻止身份证明的出售?
在短期内,防止此类外泄行为是困难的,因为全球大多数人甚至不知道"proof-of-personhood"(人格身份证明)协议的存在,如果告诉他们只需支付30美元就可以举起QR码并扫描眼睛,他们可能会照做。一旦更多的人意识到"proof-of-personhood"协议的内容,就有可能采取一个相当简单的缓解措施:允许已经拥有注册ID的人重新注册,取消之前的ID。这使得"出售身份"的行为变得不太可信,因为出售身份的人可以重新注册,取消刚刚出售的ID。然而,要达到这一点,需要让协议广为人知,并且Orbs必须非常普及,以便实现按需注册。
这也是将UBI(Universal Basic Income,全民基本收入)币整合到"proof-of-personhood"系统中的价值之一:UBI币为人们提供了一个容易理解的激励,让他们(i)了解该协议并进行注册,以及(ii)如果他们代表他人进行注册,立即进行重新注册。重新注册也可以防止手机被黑客攻击。
我们可以防止生物特征识别系统中的强制行为吗?
这取决于我们讨论的强制形式是什么。可能的强制形式包括:
1. 政府在边境管控和其他例行政府检查站扫描人们的眼睛(或脸部等),并使用此信息来注册(并频繁重新注册)他们的公民。
2. 政府禁止Orbs在国内使用,防止人们独立重新注册。
3. 个人购买ID,然后威胁对方,如果检测到他们的ID因为重新注册而无效。
4. (可能是政府运营的)应用程序要求人们通过直接使用其公钥签名进行"登录",并允许他们查看相应的生物识别扫描,从而了解用户当前ID与未来任何通过重新注册获得的ID之间的关联。一个普遍的担忧是,这使得创建"永久记录"变得太容易,这些记录将在一个人的整个生命中都与其紧密相连。
针对这些强制情况,确保身份证明系统的安全性和隐私性变得尤为重要。采取一些措施可能有助于缓解这些担忧:
- 强调隐私保护:设计身份验证协议时,确保个人生物识别信息不会被滥用或泄露,同时采用零知识证明等隐私保护技术。
- 去中心化注册:采用去中心化的注册方式,让个人能够更自主地控制和管理他们的身份信息。
- 意识提高:通过教育和意识提高活动,向公众宣传身份验证的重要性和潜在风险,帮助人们更加谨慎和理性地参与注册过程。
- 法律框架:建立法律框架,以保护公民的隐私权和数据安全,同时规范身份验证过程和信息使用。
- 国际合作:鼓励国际合作,在跨境移动和边境管控方面共同解决身份验证问题,防止滥用和恶意利用。
然而,解决这些问题需要综合考虑技术、政策和社会因素,确保身份验证系统的公平性、安全性和透明度。
特别是对于不太熟悉技术的用户,要完全防止这些情况似乎非常困难。用户可以离开自己的国家去一个更安全的国家(重新)注册在一个Orb上,但这是一个困难且昂贵的过程。在真正敌对的法律环境下,寻找一个独立的Orb似乎过于困难和冒险。
可行的做法是使这种滥用更加繁琐且易于检测。Proof of Humanity采取的要求注册者在注册时朗读特定短语的方法就是一个很好的例子:它可能足以防止隐藏扫描,迫使强制行为更加明目张胆,而且注册短语甚至可以包含确认受访者知道他们有权独立重新注册并可能获得UBI币或其他奖励的声明。如果检测到强制行为,用于进行强制性注册的设备可能会被吊销其访问权限。为了防止应用程序连接人们的当前和之前的ID,并试图留下"永久记录",默认的身份验证应用程序可以将用户的密钥锁定在可信硬件中,防止任何应用程序直接使用密钥而不经过匿名化的ZK-SNARK层。如果政府或应用程序开发人员想要绕过这一点,他们需要强制使用自己的定制应用程序。
通过结合这些技术和积极的警惕性,封锁那些真正敌对的政权,保持那些仅仅是中度不好(世界上大部分地区都属于这一类)的政权诚实,似乎是有可能的。这可以通过像Worldcoin或Proof of Humanity这样的项目维护自己的官僚体系来实现,也可以通过透露更多有关ID是如何注册的信息(例如,在Worldcoin中是来自哪个Orb),并将这一分类任务交给社区来完成。
我们可以防止_租用_ID(例如出售选票)吗?
我们能否防止出租身份(例如出租用于出售选票)呢?
防止出租身份是一个挑战,但我们可以采取一些措施来减少这种滥用的可能性:
1. 实名制注册 :要求所有注册者进行实名制注册,提供真实有效的个人信息。这将减少出租身份的可能性,因为出租者需要提供真实的个人信息。
2. 多重验证 :采用多重验证机制,结合生物识别技术和其他身份验证方式,以确保注册者的真实身份。
3. 身份验证历史记录 : 记录每次注册和重新注册的历史信息,以便系统可以跟踪和识别异常行为,防止频繁的身份变更。
4. 防伪技术 :在身份证明中采用防伪技术,例如数字签名或加密,以确保身份信息的真实性和完整性。
5. 社区监督 :建立社区监督机制,鼓励用户积极参与监督,发现并报告可疑的身份出租行为。
6. 法律制裁 :设立法律规定,明确禁止出租身份和滥用身份证明的行为,并制定相应的惩罚措施。
虽然完全防止出租身份可能是困难的,但是通过采取上述措施,我们可以增加滥用身份验证系统的成本和风险,从而降低这种不当行为的发生频率。同时,通过教育和意识提高活动,让公众了解出租身份的危害和不道德性,也有助于减少此类行为的发生。
生物识别与社交网络图验证这两种身份证明的主要候选方案相比如何?
除了生物识别方法外,迄今为止主要的另一种身份证明方案是基于社交网络图验证的方法。社交网络图验证系统都遵循同样的原则:如果存在大量经过验证的身份,这些身份都证明了你的身份的有效性,那么你很可能也是有效的,应该获得验证的状态。
社交网络图验证的支持者通常认为它是比生物识别更好的替代方案,原因如下:
-
无需特殊硬件 :社交网络图验证不依赖于特殊硬件,因此更容易部署和普及。
-
它避免了试图制造假人的制造商与需要更新以拒绝此类假人的 Orb 之间的永久军备竞赛
-
不需收集生物数据 :社交网络图验证不需要收集生物识别数据,因此更有利于隐私保护。
-
可能更有利于匿名性 :如果某人选择将其互联网生活拆分为多个完全独立的身份,这些身份都有可能得到验证。但维护多个真实和独立的身份会牺牲网络效应并带来高昂成本,因此攻击者不太容易这样做。
对于这些观点,我在很大程度上是同意的!这些都是社交网络图验证的真正优势,应该认真对待。然而,我们也应该考虑社交网络图验证的一些弱点:
-
引导:对于要加入基于社交图的系统的用户,该用户必须认识已经在图中的人。这使得大规模采用变得困难,并且有可能将世界上在最初的引导过程中运气不好的整个地区排除在外。
-
隐私:虽然基于社交图谱的方法避免收集生物识别数据,但它们通常最终会泄露有关一个人的社会关系的信息,这可能会导致更大的风险。当然,零知识技术可以缓解这种情况(例如,参见Barry Whitehat 的提议),但是图表中固有的相互依赖性以及对图表执行数学分析的需要使得实现与生物识别技术相同级别的数据隐藏变得更加困难。
-
不平等:每个人只能拥有一个生物识别ID,但一个富有且社会关系良好的人可以利用他们的关系来生成许多ID。从本质上讲,同样的灵活性可能允许基于社交图谱的系统为真正需要该功能的人(例如活动家)提供多个假名,这也可能意味着权力更大、人脉更广的人可以获得比权力更小、人脉更广的人更多的假名。
-
陷入中心化的风险:大多数人都懒得花时间向互联网应用程序报告谁是真人,谁不是。因此,存在这样的风险:随着时间的推移,系统将倾向于采用依赖于中央集权机构的“简单”入籍方式,而系统用户的“社交图谱”实际上将成为哪些国家承认哪些人为公民的社交图谱——为我们提供集中式的 KYC 以及不必要的额外步骤。
在现实世界中,身份证明与匿名性是否兼容呢?
原则上,人格证明与各种假名兼容。应用程序的设计方式可以使具有单一身份 ID 证明的人可以在应用程序中创建最多五个配置文件,从而为假名帐户留出空间。甚至可以使用二次公式:N 相当于 $N² 的成本。但他们会吗?
然而,悲观主义者可能会认为,尝试创建一种对隐私更加友好的 ID 形式并希望它实际上能够以正确的方式被采用是天真的,因为当权者对隐私并不友好,如果一个强大的行为者获得了一种可以用来获取更多有关一个人的信息的工具,他们就会以这种_方式_使用_它_。有人认为,在这样一个世界中,不幸的是,唯一_现实的方法是在__任何_身份解决方案的齿轮上撒沙子,并捍卫一个完全匿名和高信任社区数字孤岛的世界。
我明白这种思维方式背后的原因,但我担心这种做法即使成功,也会导致一个任何人都无法采取任何措施来抵消财富集中和治理集中的世界,因为一个人总是可以假装一万人。反过来,这样的集权点也很容易被当权者占领。相反,我倾向于采取温和的方法,我们大力提倡具有强大隐私性的身份证明解决方案,如果需要的话甚至可能在协议层包含“N 个账户代表 $N²”机制,并创建具有隐私友好型价值观并有机会被外界接受的_东西_。
那么…我觉得怎么样?
不存在理想的人格证明形式。相反,我们至少有三种不同的方法范式,它们都有自己独特的优点和缺点。比较图表可能如下所示:
理想情况下,我们应该将这三种技术视为互补,并将它们全部结合起来。正如印度 Aadhaar 所展示的那样,专用硬件生物识别技术具有大规模安全的优势。他们在权力下放方面非常薄弱,尽管这可以通过让个别球体负责来解决。如今,通用生物识别技术很容易被采用,但其安全性正在迅速下降,而且可能只能再工作 1-2 年。基于社交图谱的系统由数百名与创始团队社交关系密切的人引导,可能会面临不断的权衡,要么完全错过世界大部分地区,要么容易受到他们看不到的社区内的攻击。然而,一个由数千万生物识别 ID 持有者引导的基于社交图谱的系统实际上可以发挥作用。生物识别引导可能在短期内效果更好。
所有这些团队都有可能犯很多错误,商业利益和更广泛社区的需求之间不可避免地存在紧张关系,因此保持高度警惕非常重要。作为一个社区,我们可以而且应该推动所有参与者在技术开源方面的舒适区,要求第三方审计,甚至第三方编写的软件,以及其他制衡。我们还需要在这三个类别中的每一个类别中提供更多替代方案。
与此同时,认识到已经完成的工作也很重要:运行这些系统的许多团队都表现出了比几乎任何政府或主要企业运行的身份系统都更加重视隐私的意愿,这是我们应该继续努力的成功。
建立一个有效且可靠的身份证明系统的问题,尤其是在远离现有加密社区的人手中,似乎相当具有挑战性。我绝对不会羡慕那些尝试这项任务的人,而且可能需要数年时间才能找到一个有效的公式。原则上,人格证明的概念似乎非常有价值,虽然各种实现都有其风险,但根本没有任何人格证明也有其风险:没有人格证明的世界似乎更有可能是一个由中心化身份解决方案、金钱、小型封闭社区或三者的某种组合主导的世界。我期待看到所有类型的人格证明方面取得更多进展,并希望看到不同的方法最终汇聚成一个连贯的整体。