1. CoinON官网首页
  2. 新闻
  3. 头条

Vitalik:我对生物识别身份证明的思考

Bob鲍师傅 头条 阅读 445 
原文标题:What do I think about biometric proof of personhood?
原文作者:Vitalik
原文来源:vitalik.eth
编译:Lynn,MarsBit

特别感谢 Worldcoin 团队、Proof of Humanity 社区和 Andrew Miller 的讨论。

以太坊社区的人们一直在尝试构建的更棘手但可能是最有价值的小工具之一是去中心化的人格证明解决方案。人格证明,又名“独特的人类问题”,是现实世界身份的一种有限形式,它断言给定的注册帐户由真实的人(以及与其他注册帐户不同的真实人)控制,理想情况下不会透露它是哪个真实的人。

人们已经做出了一些努力来解决这个问题:Proof of Humanity、BrightID、Idena和Circles就是例子。其中一些带有自己的应用程序(通常是 UBI 代币),还有一些在Gitcoin Passport中用于验证哪些账户对于二次投票有效。像Sismo这样的零知识技术为许多解决方案增加了隐私性。最近,我们看到了一个更大、更雄心勃勃的人格证明项目的崛起:世界币。

世界币由山姆·奥尔特曼 (Sam Altman) 联合创立,他因担任 OpenAI 首席执行官而闻名。该项目背后的理念很简单:人工智能将为人类创造大量的丰富和财富,但它也可能会夺走很多人的工作,并且几乎不可能分辨谁是人类而不是机器人,因此我们需要通过以下方式来填补这个漏洞:(i)创建一个非常好的人格证明系统,以便人类可以证明他们实际上是人类,以及(ii)为每个人提供 UBI。世界币的独特之处在于它依赖于高度复杂的生物识别技术,使用名为“Orb”的专用硬件扫描每个用户的虹膜:

去中心化

我们的目标是生产大量这些球体,并将它们广泛分发到世界各地,并将它们放在公共场所,以便任何人都可以轻松获得 ID。值得赞扬的是,世界币还致力于随着时间的推移去中心化。首先,这意味着技术上的去中心化:使用Optimism 堆栈成为以太坊上的 L2,并使用ZK-SNARK 和其他加密技术来保护用户的隐私。后来,它包括系统本身的去中心化治理。

世界币因 Orb 的隐私和安全问题、其“硬币”的设计问题以及该公司做出的一些选择的道德问题而受到批评。有些批评非常具体,集中在项目做出的决定上,而这些决定很容易以另一种方式做出——事实上,世界币项目本身可能愿意改变。然而,其他人提出了更根本的担忧,即生物识别技术——不仅是世界币的眼睛扫描生物识别技术,还包括人类证明和 Idena 中使用的更简单的面部视频上传和验证游戏——是否是一个好主意。还有一些人批评一般人格证明。风险包括不可避免的隐私泄露、人们匿名浏览互联网的能力进一步受到侵蚀、独裁政府的胁迫,以及在去中心化的同时保证安全的可能性。

去中心化

这篇文章将讨论这些问题,并通过一些论点来帮助你决定在我们的新球形霸主面前鞠躬并扫描你的眼睛(或脸,或声音,或……)是否是一个好主意,以及自然的替代方案 – 使用基于社交图谱的人格证明或完全放弃人格证明 – 是否更好。

什么是人格证明以及为什么它很重要?

定义身份证明系统的最简单方法是:它创建一个公钥列表,其中系统保证每个密钥都由唯一的人控制。换句话说,如果你是人类,你可以在列表中放置一个键,但不能在列表中放置两个键,如果你是机器人,则不能在列表中放置任何键。

人格证明很有价值,因为它解决了许多人面临的许多反垃圾邮件和反权力集中问题,避免了对中央机构的依赖,并尽可能揭示最少的信息。如果人格证明没有得到解决,去中心化治理(包括社交媒体帖子上的投票等“微观治理”)将变得更容易被非常富有的参与者(包括敌对政府)捕获。许多服务只能通过设置访问价格来防止拒绝服务攻击,有时,对于许多低收入合法用户来说,足以阻止攻击者的高价格也太高了。

当今世界上的许多主要应用程序通过使用政府支持的身份系统(例如信用卡和护照)来处理这个问题。这解决了问题,但它在隐私方面做出了巨大且可能不可接受的牺牲,并且可能会受到政府本身的轻微攻击。

去中心化

有多少人格证明支持者看到了我们面临的双面风险。图片来源

在许多人格证明项目中——不仅是世界币,还有人类证明、Circles 等——“旗舰应用程序”是内置的“每人 N 代币”(有时称为“UBI 代币”)。每个在系统中注册的用户每天(或每小时或每周)都会收到一些固定数量的代币。但还有很多其他应用:

  • 用于代币分配的空投
  • 为较不富裕的用户提供更优惠条件的代币或 NFT 销售
  • 在 DAO 中投票
  • 一种“播种”基于图的信誉系统的方法
  • 二次投票(以及资金和注意力支付)
  • 防范社交媒体中的机器人/女巫攻击
  • 用于防止DoS 攻击的验证码替代方案

在许多这样的情况下,共同的主线是希望创建开放和民主的机制,避免项目运营商的集中控制和最富有的用户的统治。后者在去中心化治理中尤其重要。在许多这样的情况下,当今的现有解决方案依赖于(i)高度不透明的人工智能算法,这些算法留下很大的空间来难以察觉地歧视运营商根本不喜欢的用户,以及(ii)集中式ID,又名“KYC”。有效的身份证明解决方案将是一个更好的替代方案,可以实现这些应用程序所需的安全属性,而不会遇到现有集中式方法的陷阱。

在人格证明方面有哪些早期尝试?

人格证明有两种主要形式:基于社交图谱生物识别。基于社交图谱的人格证明依赖于某种形式的担保:如果爱丽丝、鲍勃、查理和大卫都是经过验证的人类,并且他们都说艾米丽是经过验证的人类,那么艾米丽也可能是经过验证的人类。凭证通常会通过激励措施得到增强:如果爱丽丝说艾米丽是人类,但事实证明她不是,那么爱丽丝和艾米丽都可能会受到惩罚。人格的生物识别证明涉及验证艾米丽的某些身体或行为特征,这将人类与机器人(以及人类个体之间)区分开来。大多数项目结合使用这两种技术。

我在文章开头提到的四个系统的工作原理大致如下:

  • 人性证明:您上传自己的视频,并提供押金。要获得批准,现有用户需要为您提供担保,并且需要经过一段时间才能对您提出质疑。如果存在质疑, Kleros 去中心化法院将判定您的视频是否真实;如果不是,您将失去存款,而挑战者将获得奖励。
  • BrightID:您与其他用户一起加入视频通话“验证方”,每个人都互相验证。通过Bitu可以进行更高级别的验证,在该系统中,如果有足够多的其他经过 Bitu 验证的用户为您提供担保,您就可以获得验证。
  • Idena:您在特定时间点玩验证码游戏(以防止人们多次参与);验证码游戏的一部分涉及创建和验证验证码,然后将其用于验证其他验证码。
  • Circles:现有 Circles 用户为您提供担保。Circles 的独特之处在于它不尝试创建“全球可验证的 ID”;相反,它创建了一个信任关系图,其中某人的可信度只能从您自己在该图中的位置的角度来验证。

世界币如何运作?

每个世界币用户在手机上安装一个应用程序,该应用程序会生成私钥和公钥,就像以太坊钱包一样。然后他们亲自去参观“Orb”。用户凝视 Orb 的摄像头,同时向 Orb 展示由其 Worldcoin 应用程序生成的二维码,其中包含其公钥。Orb 扫描用户的眼睛,并使用复杂的硬件扫描和机器学习分类器来验证:

  1. 用户是一个真实的人
  2. 用户的虹膜与之前使用过该系统的任何其他用户的虹膜不匹配

如果两次扫描都通过,Orb 会签署一条消息,批准用户虹膜扫描的专门哈希值。哈希值被上传到数据库 – 目前是一个集中式服务器,一旦确定哈希机制有效,就打算用去中心化的链上系统取代。系统不存储完整的虹膜扫描;它只存储哈希值,这些哈希值用于检查唯一性。从那时起,用户就有了一个“世界ID ”。

World ID 持有者能够通过生成 ZK-SNARK 来证明他们是唯一的人,证明他们持有与数据库中的公钥相对应的私钥,而无需透露他们持有哪个密钥。因此,即使有人重新扫描您的虹膜,他们也无法看到您采取的任何操作。

世界币建设的主要问题是什么?

人们立即想到四个主要风险:

  • 隐私。虹膜扫描的注册表可能会泄露信息。至少,如果其他人扫描您的虹膜,他们可以根据数据库进行检查,以确定您是否拥有世界 ID。虹膜扫描可能会揭示更多信息。
  • 无障碍。除非有足够多的球体,世界上任何人都可以轻松获得,否则世界 ID 将无法可靠地访问。
  • 集中化。Orb 是一个硬件设备,我们无法验证它的构造是否正确且没有后门。因此,即使软件层完美且完全去中心化,世界币基金会仍然有能力在系统中插入后门,让它创建任意多个虚假的人类身份。
  • 安全。用户的手机可能会被黑客入侵,用户可能会被迫扫描自己的虹膜,同时出示属于其他人的公钥,并且有可能 3D 打印“假人”,可以通过虹膜扫描并获得世界 ID。

重要的是要区分 (i) 世界币做出的选择所特有的问题,(ii)任何人格生物特征证明都不可避免地存在的问题,以及 (iii)任何一般人格证明都会存在的问题。例如,签署“人性证明”意味着在互联网上发布您的面孔。加入 BrightID 验证方并不能完全做到这一点,但仍然可以向很多人暴露您的身份。加入 Circles 会公开暴露您的社交图谱。世界币明显更好在保护隐私方面比这两者都强。另一方面,世界币依赖于专门的硬件,这带来了信任球体制造商是否正确构建球体的挑战 – 这一挑战在人类证明、BrightID 或 Circles 中都没有类似的挑战。甚至可以想象,在未来,世界币以外的其他人将创建具有不同权衡的不同专用硬件解决方案。

生物识别身份证明方案如何解决隐私问题?

任何身份证明系统最明显、最大的潜在隐私泄露是将一个人采取的每个行动与现实世界的身份联系起来。这次数据泄露的规模非常大,可以说大得让人无法接受,不过好在用零知识证明技术很容易解决。用户可以制作一个 ZK-SNARK 来证明他们拥有对应的公钥位于数据库中某处的私钥,而不是直接使用其对应的公钥在数据库中的私钥进行签名,而无需透露他们拥有哪个特定密钥。这通常可以使用Sismo等工具来完成(请参阅此处用于人类证明特定的实现),并且世界币有其自己的内置实现。在这里提供“加密原生”的人格信用证明非常重要:他们实际上关心采取这一基本步骤来提供匿名化,而基本上所有集中式身份解决方案都不会这样做。

一个更微妙但仍然重要的隐私泄露是生物识别扫描公共注册表的存在。就人性证明而言,这是大量数据:您可以获得每个人性证明参与者的视频,这使得世界上任何愿意调查所有人性证明参与者是谁的人都非常清楚。就世界币而言,泄漏的情况要有限得多:Orb 在本地计算并仅发布每个人虹膜扫描的“哈希值” 。这个哈希值不是像 SHA256 这样的常规哈希值;相反,它是一种基于机器学习的Gabor 滤波器的专门算法,用于处理不精确性任何生物识别扫描所固有的,并确保对同一个人的虹膜进行的连续哈希具有相似的输出。

去中心化

蓝色:同一个人虹膜两次扫描之间差异的位数百分比。橙色:两个不同人虹膜的两次扫描之间差异的位数百分比。

这些虹膜散列仅泄漏少量数据。如果对手可以强行(或秘密)扫描您的虹膜,那么他们可以自己计算您的虹膜哈希值,并根据虹膜哈希值数据库进行检查,以确定您是否参与了该系统。这种检查某人是否注册的能力对于系统本身来说是必要的,以防止人们多次注册,但它总是有可能被滥用。此外,虹膜哈希值有可能泄露一定量的医疗数据(性别、种族,也许还有医疗状况),但这种泄露远远小于当今使用的几乎任何其他海量数据收集系统(例如,甚至街头摄像头)所能捕获的数据。总的来说,对我来说,存储虹膜哈希值的隐私性似乎就足够了。

如果其他人不同意这个判断并决定设计一个具有更多隐私的系统,有两种方法可以做到:

  1. 如果可以改进虹膜散列算法以使同一个人的两次扫描之间的差异更低(例如,可靠地低于 10% 位翻转),则系统可以存储较少数量的虹膜散列纠错位,而不是存储完整的虹膜散列(请参阅:模糊提取器)。如果两次扫描之间的差异低于 10%,则需要发布的位数将至少减少 5 倍。
  2. 如果我们想更进一步,我们可以将 iris 哈希数据库存储在多方计算 (MPC)系统中,该系统只能由 Orbs 访问(有速率限制),从而使数据完全无法访问,但代价是管理 MPC 参与者集的协议复杂性和社会复杂性。这样做的好处是,即使用户愿意,也无法证明他们在不同时间拥有的两个不同世界 ID 之间的联系。

不幸的是,这些技术不适用于人性证明,因为人性证明要求公开每个参与者的完整视频,这样如果有迹象表明它是假的(包括人工智能生成的假货),就可以对其提出质疑,并在这种情况下进行更详细的调查。

总的来说,尽管盯着一个球体并让它深入扫描你的眼球有一种“反乌托邦的感觉”,但专业的硬件系统似乎确实可以在保护隐私方面做得相当不错。然而,另一方面是专用硬件系统带来了更大的集中化问题。因此,我们密码朋克似乎陷入了困境:我们必须用一种根深蒂固的密码朋克价值观与另一种价值观进行权衡。

生物识别身份证明系统中的可访问性问题是什么?

专用硬件会带来可访问性问题,因为专用硬件不太容易访问。目前,51%至64%的撒哈拉以南非洲人拥有智能手机,预计到 2030 年这一比例将增至87%。但是,虽然智能手机有数十亿部,但 Orb 的数量却只有几百个。即使有了更大规模的分布式制造,也很难达到一个距离每个人五公里之内都有一颗宝珠的世界。

去中心化

但值得赞扬的是,他们一直在努力

还值得注意的是,许多其他形式的人格证明存在更糟糕的可访问性问题。除非您已经认识社交图中的某个人,否则加入基于社交图谱的人格证明系统非常困难。这使得此类系统很容易被限制在单个国家的单个社区内。

即使是集中式身份系统也吸取了这一教训:印度的Aadhaar ID 系统是基于生物识别的,因为这是快速加入其庞大人口的唯一方法,同时避免重复和虚假账户造成的大规模欺诈(从而节省大量成本),当然,Aadhaar 系统作为一个整体在隐私方面比加密社区内大规模提议的任何系统都要弱得多。

从可访问性的角度来看,性能最好的系统实际上是像“人性证明”这样的系统,您只需使用智能手机即可注册 – 不过,正如我们已经看到的和我们将看到的,此类系统会带来各种其他权衡。

生物识别身份证明系统存在哪些中心化问题?

有三种:

  1. 系统顶层治理的中心化风险(尤其是当系统中不同参与者主观判断不一致时做出最终顶层决策的系统)。
  2. 使用专用硬件的系统所特有的集中化风险。
  3. 如果使用专有算法来确定谁是真正的参与者,则存在中心化风险。

任何身份证明系统都必须应对 (1),也许“接受的”ID 集完全是主观的系统除外。如果一个系统使用以外部资产(例如 ETH、USDC、DAI)计价的激励,那么它就不可能是完全主观的,因此治理风险就不可避免。

  1. 对于世界币来说,其风险比人类证明(或 BrightID)要大得多,因为世界币依赖于专门的硬件,而其他系统则不然。
  2. 这是一种风险,特别是在“逻辑集中”系统中,其中只有一个系统进行验证,除非所有算法都是开源的,并且我们可以保证它们实际上正在运行它们声称的代码。对于纯粹依赖用户验证其他用户的系统(例如人性证明),这不是风险。

世界币如何解决硬件中心化问题?

目前,世界币附属实体“ Tools for Humanity”是唯一制作 Orbs 的组织。然而,Orb 的源代码大部分是公开的:您可以在这个 github 存储库中看到硬件规格,源代码的其他部分预计很快就会发布。该许可证是类似于Uniswap BSL的“共享源代码,但从技术上讲要到四年后才开源”的许可证之一,除了防止分叉之外,它还防止他们认为的不道德行为 – 他们特别列出了大规模监视和三项国际民权声明。

该团队的既定目标是允许并鼓励其他组织创建 Orbs,并随着时间的推移从 Tools for Humanity 创建的 Orbs 过渡到拥有某种 DAO,批准和管理哪些组织可以创建系统认可的 Orbs。

此设计可能会在两种情况下失败:

  1. 它未能真正去中心化。这种情况的发生可能是由于联合协议的常见陷阱:一个制造商最终在实践中占据主导地位,导致系统重新集中化。据推测,治理可能会限制每个制造商可以生产的有效球体数量,但这需要仔细管理,并且它给治理带来了很大的压力,既要去中心化,又要监控生态系统并有效地应对威胁:这是一项比其他任务更困难的任务。一个相当静态的 DAO,仅处理顶级争议解决任务。
  2. 事实证明,不可能让这种分布式制造机制变得安全。在这里,我看到了两个风险:
  • 针对不良 Orb 制造商的脆弱性:即使是一个 Orb 制造商是恶意的或被黑客攻击的,它也可以生成无限数量的假虹膜扫描哈希值,并为它们提供世界 ID。
  • 政府对 Orbs 的限制:不希望其公民参与世界币生态系统的政府可以禁止 Orbs 进入其国家。此外,他们甚至可以强迫公民扫描虹膜,让政府拿到他们的账户,而公民却没有办法回应。

为了使系统更强大地对抗不良 Orb 制造商,Worldcoin 团队建议对 Orb 进行定期审核,验证它们是否正确构建,关键硬件组件是否根据规格构建,并且在事后没有被篡改。这是一项具有挑战性的任务:它基本上类似于国际原子能机构的核检查官僚机构,但对于 Orbs 来说。我们希望,即使审计制度的实施非常不完美,也能大大减少假球的数量。

为了限制任何确实漏掉的坏球体造成的伤害,采取第二次缓解措施是有意义的。不同宝珠制造商注册的世界ID,最好是不同宝珠注册的世界ID,应该能够相互区分。如果此信息是私人信息并且仅存储在 World ID 持有者的设备上,那也没关系;但它确实需要按需证明。这使得生态系统可以通过按需从白名单中删除单个 Orb 制造商甚至单个 Orb 来响应(不可避免的)攻击。如果我们看到朝鲜政府到处强迫人们扫描眼球,那么这些球体以及它们产生的任何帐户都可能会立即被追溯禁用。

一般人格证明中的安全问题

除了世界币特有的问题之外,还有一些影响总体身份证明设计的问题。我能想到的主要有:

  1. 3D 打印假人:人们可以使用人工智能生成假人的照片,甚至是 3D 打印的假人,这些照片甚至足够令人信服,足以被 Orb 软件接受。即使只有一个团体这样做,他们也可以生成无限数量的身份。
  2. 出售 ID 的可能性:某人可以在注册时提供别人的公钥而不是自己的公钥,从而使该人可以控制其注册的 ID,以换取金钱。这似乎已经发生了。除了出售之外,还可以租用 ID以在一个应用程序中短期使用。
  3. 电话黑客:如果一个人的电话被黑客入侵,黑客可以窃取控制其 World ID 的密钥。
  4. 政府强制窃取身份证:政府可以强迫其公民在出示属于政府的二维码时进行验证。通过这种方式,恶意政府可以获得数百万个 ID。在生物识别系统中,这甚至可以秘密完成:政府可以使用混淆的球体从护照检查站进入其国家的每个人中提取世界身份证。
  5. 特定于生物特征识别系统。(2) 和 (3) 对于生物识别和非生物识别设计都是通用的。(4) 也是两者共同的,尽管两种情况所需的技术有很大不同;在本节中,我将重点讨论生物识别案例中的问题。

这些都是相当严重的弱点。有些问题已经在现有协议中得到解决,有些问题可以通过未来的改进来解决,还有一些问题似乎是根本性的限制。

面对虚伪的人我们该怎么办?

对于世界币来说,这比类似人性证明的系统的风险要小得多:面对面的扫描可以检查一个人的许多特征,并且与仅仅深度伪造视频相比,很难伪造。专用硬件本质上比商用硬件更难欺骗,而商用硬件又比验证远程发送的图片和视频的数字算法更难欺骗。

有人可以通过 3D 打印最终欺骗专用硬件吗?大概。我预计,在某个时候,我们会看到保持机制开放和保持安全的目标之间的紧张关系日益加剧:开源人工智能算法本质上更容易受到对抗性机器学习的影响。黑盒算法受到更多保护,但很难说黑盒算法没有经过训练以包含后门。也许ZK-ML 技术可以给我们带来两全其美的好处。尽管在更遥远的未来某个时刻,即使是最好的人工智能算法也可能会被最好的 3D 打印假人所愚弄。

然而,从我与 Worldcoin 和 Proof of Humanity 团队的讨论来看,目前这两个协议似乎都还没有看到严重的深度虚假攻击,原因很简单,雇佣真正的低工资工人代表你注册是相当便宜和容易

我们可以阻止出售 ID 吗?

从短期来看,阻止这种外包是很困难的,因为世界上大多数人甚至不知道身份证明协议,如果你告诉他们举起二维码并扫描眼睛以获取 30 美元,他们就会这么做。一旦更多的人意识到身份证明协议是什么,一种相当简单的缓解措施就成为可能:允许拥有注册 ID 的人重新注册,取消以前的 ID。这使得“ID 出售”的可信度大大降低,因为向您出售 ID 的人可以重新注册,从而取消他们刚刚出售的 ID。然而,要达到这一点,需要协议非常广为人知,并且 Orbs 必须非常广泛广泛使用,使按需注册变得切实可行。

这就是为什么将 UBI 币集成到身份证明系统中很有价值的原因之一:UBI 币为人们提供了一种易于理解的激励:(i) 了解协议并注册,以及 (ii) 如果他们代表其他人注册,则立即重新注册。重新注册还可以防止电话黑客攻击。

我们可以防止生物特征识别系统中的强制行为吗?

这取决于我们谈论的是哪种强制。可能的胁迫形式包括:

  • 政府在边境管制和其他例行政府检查站扫描人们的眼睛(或脸部,或……),并使用它来登记(并经常重新登记)其公民
  • 政府在国内禁止 Orbs,以防止人们独立重新注册
  • 个人购买身份证后威胁说,如果发现自己的身份证因重新注册而失效,就会对其进行伤害
  • (可能是政府运行的)应用程序要求人们直接使用公钥签名来“登录”,让他们看到相应的生物识别扫描,以及用户当前 ID 和他们通过重新注册获得的任何未来 ID 之间的链接。人们普遍担心,这使得创建伴随一个人一生的“永久记录”变得太容易了。

去中心化

您所有的 UBI 和投票权都属于我们。图片来源

尤其是在不熟练的用户手中,彻底阻止这些情况似乎相当困难。用户可以离开自己的国家/地区,在更安全的国家/地区的 Orb 上(重新)注册,但这是一个困难的过程且成本很高。在一个真正充满敌意的法律环境中,寻找一个独立的宝珠似乎太困难和冒险了。

可行的办法是让这种滥用行为变得更烦人、更容易被发现。要求一个人在注册时说出特定短语的人性证明方法就是一个很好的例子:这可能足以防止隐藏扫描,要求强制更加明目张胆,注册短语甚至可以包含一份声明,确认被调查者知道他们有权独立重新注册,并可能获得 UBI 币或其他奖励。如果检测到强制行为,则用于集体执行强制注册的设备的访问权限可能会被撤销。为了防止应用程序链接人们当前和以前的 ID 并试图留下“永久记录”,默认的身份证明应用程序可以将用户的密钥锁定在可信硬件中,从而防止任何应用程序直接使用该密钥,而无需中间的匿名 ZK-SNARK 层。如果政府或应用程序开发人员想要解决这个问题,他们需要强制使用他们自己的定制应用程序。

通过将这些技术和积极的警惕相结合,将那些真正敌对的政权拒之门外,并保持那些只是中等不良的政权(世界上大部分地区都是如此)的诚实,似乎是可能的。这可以通过像 Worldcoin 或 Proof of Humanity 这样的项目来维持自己的官僚机构来完成此任务,或者通过透露有关 ID 如何注册的更多信息(例如,在 Worldcoin 中,它来自哪个 Orb),并将此分类任务留给社区来完成。

我们可以防止租用ID(例如出售选票)吗?

重新注册并不会阻止出租您的 ID 。这在某些应用中是可以的:出租你收取当日 UBI 币份额的权利的成本将只是当日 UBI 币份额的价值。但在投票等应用中,轻松售票是一个大问题。

像MACI这样的系统可以阻止你可信地出售你的选票,允许你稍后再投另一票,使你之前的投票无效,这样就没有人可以知道你是否真的投了这样的票。但是,如果行贿者控制了您在注册时获得的密钥,则这无济于事。

我在这里看到两个解决方案:

  1. 在 MPC 内运行整个应用程序。这也涵盖了重新注册过程:当一个人向 MPC 注册时,MPC 会为他们分配一个与他们的身份证明 ID 分开且不可链接的 ID,并且当一个人重新注册时,只有 MPC 知道要停用哪个帐户。这可以防止用户对其行为进行证明,因为每个重要步骤都是在 MPC 内使用只有 MPC 知道的私人信息完成的。
  2. 分散登记仪式。基本上,实现类似面对面密钥注册协议的协议,该协议需要四个随机选择的本地参与者共同注册某人。这可以确保注册是一个“受信任”的过程,攻击者无法在此过程中窥探。

基于社交图谱的系统实际上可能在这里表现得更好,因为它们可以自动创建本地去中心化注册流程,作为其工作方式的副产品。

生物识别技术与身份证明的其他领先候选者(基于社交图谱的验证)相比如何?

除了生物识别方法之外,迄今为止人格证明的主要其他竞争者是基于社交图谱的验证。基于社交图谱的验证系统都遵循相同的原理:如果有一大堆现有的经过验证的身份都证明了您身份的有效性,那么您可能是有效的,并且也应该获得经过验证的状态。

去中心化

如果只有少数真实用户(意外或恶意)验证虚假用户,那么您可以使用基本的图论技术来设置系统验证的虚假用户数量的上限。资料来源:https ://www.sciencedirect.com/science/article/abs/pii/S0045790622000611 。

基于社交图谱的验证的支持者经常将其描述为生物识别技术的更好替代方案,原因如下:

  • 不依赖于专用硬件,使其更容易部署
  • 它避免了试图制造假人的制造商与需要更新以拒绝此类假人的 Orb 之间的永久军备竞赛
  • 不需要收集生物识别数据,更加保护隐私
  • 它对假名可能更友好,因为如果有人选择将他们的互联网生活分割成彼此分开的多个身份,那么这两个身份都可能被验证(但维护多个真实且独立的身份会牺牲网络效应并且成本很高,因此这不是攻击者可以轻易做到的事情)
  • 生物识别方法给出“是人类”或“不是人类”的二元评分,这是脆弱的:被意外拒绝的人最终将根本没有 UBI,并且可能无法参与在线生活。基于社交图谱的方法可以给出更细致的数字分数,这当然对某些参与者来说可能有点不公平,但不太可能完全“非人格化”某人。

我对这些论点的看法是,我基本上同意它们!这些是基于社交图谱的方法的真正优势,应该认真对待。然而,还值得考虑基于社交图的方法的弱点:

  • 引导:对于要加入基于社交图的系统的用户,该用户必须认识已经在图中的人。这使得大规模采用变得困难,并且有可能将世界上在最初的引导过程中运气不好的整个地区排除在外。
  • 隐私:虽然基于社交图谱的方法避免收集生物识别数据,但它们通常最终会泄露有关一个人的社会关系的信息,这可能会导致更大的风险。当然,零知识技术可以缓解这种情况(例如,参见Barry Whitehat 的提议),但是图表中固有的相互依赖性以及对图表执行数学分析的需要使得实现与生物识别技术相同级别的数据隐藏变得更加困难。
  • 不平等:每个人只能拥有一个生物识别ID,但一个富有且社会关系良好的人可以利用他们的关系来生成许多ID。从本质上讲,同样的灵活性可能允许基于社交图谱的系统为真正需要该功能的人(例如活动家)提供多个假名,这也可能意味着权力更大、人脉更广的人可以获得比权力更弱、人脉更广的人更多的假名。
  • 陷入中心化的风险:大多数人都懒得花时间向互联网应用程序报告谁是真人,谁不是。因此,存在这样的风险:随着时间的推移,系统将倾向于采用依赖于中央集权机构的“简单”入籍方式,而系统用户的“社交图谱”实际上将成为哪些国家承认哪些人为公民的社交图谱——为我们提供集中式的 KYC 以及不必要的额外步骤。

人格证明与现实世界中的假名兼容吗?

原则上,人格证明与各种假名兼容。应用程序的设计方式可以使具有单一身份 ID 证明的人可以在应用程序中创建最多五个配置文件,从而为假名帐户留出空间。甚至可以使用二次公式:N 相当于 $N² 的成本。但他们会吗?

然而,悲观主义者可能会认为,尝试创建一种对隐私更加友好的 ID 形式并希望它实际上能够以正确的方式被采用是天真的,因为当权者对隐私并不友好,如果一个强大的行为者获得了一种可以用来获取更多有关一个人的信息的工具,他们就会以这种方式使用它。有人认为,在这样一个世界中,不幸的是,唯一现实的方法是在任何身份解决方案的齿轮上撒沙子,并捍卫一个完全匿名和高信任社区数字孤岛的世界。

我明白这种思维方式背后的原因,但我担心这种做法即使成功,也会导致一个任何人都无法采取任何措施来抵消财富集中和治理集中的世界,因为一个人总是可以假装一万人。反过来,这样的集权点也很容易被当权者占领。相反,我倾向于采取温和的方法,我们大力提倡具有强大隐私性的身份证明解决方案,如果需要的话甚至可能在协议层包括“N 个账户代表 $N²”机制,并创建具有隐私友好型价值观并有机会被外界接受的东西。

那么…我觉得怎么样?

不存在理想的人格证明形式。相反,我们至少有三种不同的方法范式,它们都有自己独特的优点和缺点。比较图表可能如下所示:

去中心化

理想情况下,我们应该将这三种技术视为互补,并将它们全部结合起来。正如印度 Aadhaar 所展示的那样,专用硬件生物识别技术具有大规模安全的优势。他们在权力下放方面非常薄弱,尽管这可以通过让个别球体负责来解决。如今,通用生物识别技术很容易被采用,但其安全性正在迅速下降,而且可能只能再工作 1-2 年。基于社交图谱的系统由数百名与创始团队社交关系密切的人引导,可能会面临不断的权衡,要么完全错过世界大部分地区,要么容易受到他们看不到的社区内的攻击。然而,一个由数千万生物识别 ID 持有者引导的基于社交图谱的系统实际上可以发挥作用。生物识别引导可能在短期内效果更好,

去中心化

可能的混合路径。

所有这些团队都有可能犯很多错误,商业利益和更广泛社区的需求之间不可避免地存在紧张关系,因此保持高度警惕非常重要。作为一个社区,我们可以而且应该推动所有参与者在技术开源方面的舒适区,要求第三方审计,甚至第三方编写的软件,以及其他制衡。我们还需要在这三个类别中的每一个类别中提供更多替代方案。

与此同时,认识到已经完成的工作也很重要:运行这些系统的许多团队都表现出了比几乎任何政府或主要企业运行的身份系统都更加重视隐私的意愿,这是我们应该继续努力的成功。

建立一个有效且可靠的身份证明系统的问题,尤其是在远离现有加密社区的人手中,似乎相当具有挑战性。我绝对不会羡慕那些尝试这项任务的人,而且可能需要数年时间才能找到一个有效的公式。原则上,人格证明的概念似乎非常有价值,虽然各种实现都有其风险,但根本没有任何人格证明也有其风险:没有人格证明的世界似乎更有可能是一个由中心化身份解决方案、金钱、小型封闭社区或三者的某种组合主导的世界。我期待看到所有类型的人格证明方面取得更多进展,并希望看到不同的方法最终汇聚成一个连贯的整体。

转载声明:本文 由CoinON抓取收录,观点仅代表作者本人,不代表CoinON资讯立场,CoinON不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。若以此作为投资依据,请自行承担全部责任。

声明:图文来源于网络,如有侵权请联系删除

风险提示:投资有风险,入市需谨慎。本资讯不作为投资理财建议。

(0)
打赏 微信扫一扫 微信扫一扫
Bob鲍师傅Bob鲍师傅
0
上一篇 2023年7月25日 上午1:31
下一篇 2023年7月25日 上午6:31

相关推荐

Vitalik:我对生物识别身份证明的思考

星期二 2023-07-25 1:32:03

特别感谢 Worldcoin 团队、Proof of Humanity 社区和 Andrew Miller 的讨论。

以太坊社区的人们一直在尝试构建的更棘手但可能是最有价值的小工具之一是去中心化的人格证明解决方案。人格证明,又名“独特的人类问题”,是现实世界身份的一种有限形式,它断言给定的注册帐户由真实的人(以及与其他注册帐户不同的真实人)控制,理想情况下不会透露它是哪个真实的人。

人们已经做出了一些努力来解决这个问题:Proof of Humanity、BrightID、Idena和Circles就是例子。其中一些带有自己的应用程序(通常是 UBI 代币),还有一些在Gitcoin Passport中用于验证哪些账户对于二次投票有效。像Sismo这样的零知识技术为许多解决方案增加了隐私性。最近,我们看到了一个更大、更雄心勃勃的人格证明项目的崛起:世界币。

世界币由山姆·奥尔特曼 (Sam Altman) 联合创立,他因担任 OpenAI 首席执行官而闻名。该项目背后的理念很简单:人工智能将为人类创造大量的丰富和财富,但它也可能会夺走很多人的工作,并且几乎不可能分辨谁是人类而不是机器人,因此我们需要通过以下方式来填补这个漏洞:(i)创建一个非常好的人格证明系统,以便人类可以证明他们实际上是人类,以及(ii)为每个人提供 UBI。世界币的独特之处在于它依赖于高度复杂的生物识别技术,使用名为“Orb”的专用硬件扫描每个用户的虹膜:

去中心化

我们的目标是生产大量这些球体,并将它们广泛分发到世界各地,并将它们放在公共场所,以便任何人都可以轻松获得 ID。值得赞扬的是,世界币还致力于随着时间的推移去中心化。首先,这意味着技术上的去中心化:使用Optimism 堆栈成为以太坊上的 L2,并使用ZK-SNARK 和其他加密技术来保护用户的隐私。后来,它包括系统本身的去中心化治理。

世界币因 Orb 的隐私和安全问题、其“硬币”的设计问题以及该公司做出的一些选择的道德问题而受到批评。有些批评非常具体,集中在项目做出的决定上,而这些决定很容易以另一种方式做出——事实上,世界币项目本身可能愿意改变。然而,其他人提出了更根本的担忧,即生物识别技术——不仅是世界币的眼睛扫描生物识别技术,还包括人类证明和 Idena 中使用的更简单的面部视频上传和验证游戏——是否是一个好主意。还有一些人批评一般人格证明。风险包括不可避免的隐私泄露、人们匿名浏览互联网的能力进一步受到侵蚀、独裁政府的胁迫,以及在去中心化的同时保证安全的可能性。

去中心化

这篇文章将讨论这些问题,并通过一些论点来帮助你决定在我们的新球形霸主面前鞠躬并扫描你的眼睛(或脸,或声音,或……)是否是一个好主意,以及自然的替代方案 – 使用基于社交图谱的人格证明或完全放弃人格证明 – 是否更好。

什么是人格证明以及为什么它很重要?

定义身份证明系统的最简单方法是:它创建一个公钥列表,其中系统保证每个密钥都由唯一的人控制。换句话说,如果你是人类,你可以在列表中放置一个键,但不能在列表中放置两个键,如果你是机器人,则不能在列表中放置任何键。

人格证明很有价值,因为它解决了许多人面临的许多反垃圾邮件和反权力集中问题,避免了对中央机构的依赖,并尽可能揭示最少的信息。如果人格证明没有得到解决,去中心化治理(包括社交媒体帖子上的投票等“微观治理”)将变得更容易被非常富有的参与者(包括敌对政府)捕获。许多服务只能通过设置访问价格来防止拒绝服务攻击,有时,对于许多低收入合法用户来说,足以阻止攻击者的高价格也太高了。

当今世界上的许多主要应用程序通过使用政府支持的身份系统(例如信用卡和护照)来处理这个问题。这解决了问题,但它在隐私方面做出了巨大且可能不可接受的牺牲,并且可能会受到政府本身的轻微攻击。

去中心化

有多少人格证明支持者看到了我们面临的双面风险。图片来源

在许多人格证明项目中——不仅是世界币,还有人类证明、Circles 等——“旗舰应用程序”是内置的“每人 N 代币”(有时称为“UBI 代币”)。每个在系统中注册的用户每天(或每小时或每周)都会收到一些固定数量的代币。但还有很多其他应用:

  • 用于代币分配的空投
  • 为较不富裕的用户提供更优惠条件的代币或 NFT 销售
  • 在 DAO 中投票
  • 一种“播种”基于图的信誉系统的方法
  • 二次投票(以及资金和注意力支付)
  • 防范社交媒体中的机器人/女巫攻击
  • 用于防止DoS 攻击的验证码替代方案

在许多这样的情况下,共同的主线是希望创建开放和民主的机制,避免项目运营商的集中控制和最富有的用户的统治。后者在去中心化治理中尤其重要。在许多这样的情况下,当今的现有解决方案依赖于(i)高度不透明的人工智能算法,这些算法留下很大的空间来难以察觉地歧视运营商根本不喜欢的用户,以及(ii)集中式ID,又名“KYC”。有效的身份证明解决方案将是一个更好的替代方案,可以实现这些应用程序所需的安全属性,而不会遇到现有集中式方法的陷阱。

在人格证明方面有哪些早期尝试?

人格证明有两种主要形式:基于社交图谱生物识别。基于社交图谱的人格证明依赖于某种形式的担保:如果爱丽丝、鲍勃、查理和大卫都是经过验证的人类,并且他们都说艾米丽是经过验证的人类,那么艾米丽也可能是经过验证的人类。凭证通常会通过激励措施得到增强:如果爱丽丝说艾米丽是人类,但事实证明她不是,那么爱丽丝和艾米丽都可能会受到惩罚。人格的生物识别证明涉及验证艾米丽的某些身体或行为特征,这将人类与机器人(以及人类个体之间)区分开来。大多数项目结合使用这两种技术。

我在文章开头提到的四个系统的工作原理大致如下:

  • 人性证明:您上传自己的视频,并提供押金。要获得批准,现有用户需要为您提供担保,并且需要经过一段时间才能对您提出质疑。如果存在质疑, Kleros 去中心化法院将判定您的视频是否真实;如果不是,您将失去存款,而挑战者将获得奖励。
  • BrightID:您与其他用户一起加入视频通话“验证方”,每个人都互相验证。通过Bitu可以进行更高级别的验证,在该系统中,如果有足够多的其他经过 Bitu 验证的用户为您提供担保,您就可以获得验证。
  • Idena:您在特定时间点玩验证码游戏(以防止人们多次参与);验证码游戏的一部分涉及创建和验证验证码,然后将其用于验证其他验证码。
  • Circles:现有 Circles 用户为您提供担保。Circles 的独特之处在于它不尝试创建“全球可验证的 ID”;相反,它创建了一个信任关系图,其中某人的可信度只能从您自己在该图中的位置的角度来验证。

世界币如何运作?

每个世界币用户在手机上安装一个应用程序,该应用程序会生成私钥和公钥,就像以太坊钱包一样。然后他们亲自去参观“Orb”。用户凝视 Orb 的摄像头,同时向 Orb 展示由其 Worldcoin 应用程序生成的二维码,其中包含其公钥。Orb 扫描用户的眼睛,并使用复杂的硬件扫描和机器学习分类器来验证:

  1. 用户是一个真实的人
  2. 用户的虹膜与之前使用过该系统的任何其他用户的虹膜不匹配

如果两次扫描都通过,Orb 会签署一条消息,批准用户虹膜扫描的专门哈希值。哈希值被上传到数据库 – 目前是一个集中式服务器,一旦确定哈希机制有效,就打算用去中心化的链上系统取代。系统不存储完整的虹膜扫描;它只存储哈希值,这些哈希值用于检查唯一性。从那时起,用户就有了一个“世界ID ”。

World ID 持有者能够通过生成 ZK-SNARK 来证明他们是唯一的人,证明他们持有与数据库中的公钥相对应的私钥,而无需透露他们持有哪个密钥。因此,即使有人重新扫描您的虹膜,他们也无法看到您采取的任何操作。

世界币建设的主要问题是什么?

人们立即想到四个主要风险:

  • 隐私。虹膜扫描的注册表可能会泄露信息。至少,如果其他人扫描您的虹膜,他们可以根据数据库进行检查,以确定您是否拥有世界 ID。虹膜扫描可能会揭示更多信息。
  • 无障碍。除非有足够多的球体,世界上任何人都可以轻松获得,否则世界 ID 将无法可靠地访问。
  • 集中化。Orb 是一个硬件设备,我们无法验证它的构造是否正确且没有后门。因此,即使软件层完美且完全去中心化,世界币基金会仍然有能力在系统中插入后门,让它创建任意多个虚假的人类身份。
  • 安全。用户的手机可能会被黑客入侵,用户可能会被迫扫描自己的虹膜,同时出示属于其他人的公钥,并且有可能 3D 打印“假人”,可以通过虹膜扫描并获得世界 ID。

重要的是要区分 (i) 世界币做出的选择所特有的问题,(ii)任何人格生物特征证明都不可避免地存在的问题,以及 (iii)任何一般人格证明都会存在的问题。例如,签署“人性证明”意味着在互联网上发布您的面孔。加入 BrightID 验证方并不能完全做到这一点,但仍然可以向很多人暴露您的身份。加入 Circles 会公开暴露您的社交图谱。世界币明显更好在保护隐私方面比这两者都强。另一方面,世界币依赖于专门的硬件,这带来了信任球体制造商是否正确构建球体的挑战 – 这一挑战在人类证明、BrightID 或 Circles 中都没有类似的挑战。甚至可以想象,在未来,世界币以外的其他人将创建具有不同权衡的不同专用硬件解决方案。

生物识别身份证明方案如何解决隐私问题?

任何身份证明系统最明显、最大的潜在隐私泄露是将一个人采取的每个行动与现实世界的身份联系起来。这次数据泄露的规模非常大,可以说大得让人无法接受,不过好在用零知识证明技术很容易解决。用户可以制作一个 ZK-SNARK 来证明他们拥有对应的公钥位于数据库中某处的私钥,而不是直接使用其对应的公钥在数据库中的私钥进行签名,而无需透露他们拥有哪个特定密钥。这通常可以使用Sismo等工具来完成(请参阅此处用于人类证明特定的实现),并且世界币有其自己的内置实现。在这里提供“加密原生”的人格信用证明非常重要:他们实际上关心采取这一基本步骤来提供匿名化,而基本上所有集中式身份解决方案都不会这样做。

一个更微妙但仍然重要的隐私泄露是生物识别扫描公共注册表的存在。就人性证明而言,这是大量数据:您可以获得每个人性证明参与者的视频,这使得世界上任何愿意调查所有人性证明参与者是谁的人都非常清楚。就世界币而言,泄漏的情况要有限得多:Orb 在本地计算并仅发布每个人虹膜扫描的“哈希值” 。这个哈希值不是像 SHA256 这样的常规哈希值;相反,它是一种基于机器学习的Gabor 滤波器的专门算法,用于处理不精确性任何生物识别扫描所固有的,并确保对同一个人的虹膜进行的连续哈希具有相似的输出。

去中心化

蓝色:同一个人虹膜两次扫描之间差异的位数百分比。橙色:两个不同人虹膜的两次扫描之间差异的位数百分比。

这些虹膜散列仅泄漏少量数据。如果对手可以强行(或秘密)扫描您的虹膜,那么他们可以自己计算您的虹膜哈希值,并根据虹膜哈希值数据库进行检查,以确定您是否参与了该系统。这种检查某人是否注册的能力对于系统本身来说是必要的,以防止人们多次注册,但它总是有可能被滥用。此外,虹膜哈希值有可能泄露一定量的医疗数据(性别、种族,也许还有医疗状况),但这种泄露远远小于当今使用的几乎任何其他海量数据收集系统(例如,甚至街头摄像头)所能捕获的数据。总的来说,对我来说,存储虹膜哈希值的隐私性似乎就足够了。

如果其他人不同意这个判断并决定设计一个具有更多隐私的系统,有两种方法可以做到:

  1. 如果可以改进虹膜散列算法以使同一个人的两次扫描之间的差异更低(例如,可靠地低于 10% 位翻转),则系统可以存储较少数量的虹膜散列纠错位,而不是存储完整的虹膜散列(请参阅:模糊提取器)。如果两次扫描之间的差异低于 10%,则需要发布的位数将至少减少 5 倍。
  2. 如果我们想更进一步,我们可以将 iris 哈希数据库存储在多方计算 (MPC)系统中,该系统只能由 Orbs 访问(有速率限制),从而使数据完全无法访问,但代价是管理 MPC 参与者集的协议复杂性和社会复杂性。这样做的好处是,即使用户愿意,也无法证明他们在不同时间拥有的两个不同世界 ID 之间的联系。

不幸的是,这些技术不适用于人性证明,因为人性证明要求公开每个参与者的完整视频,这样如果有迹象表明它是假的(包括人工智能生成的假货),就可以对其提出质疑,并在这种情况下进行更详细的调查。

总的来说,尽管盯着一个球体并让它深入扫描你的眼球有一种“反乌托邦的感觉”,但专业的硬件系统似乎确实可以在保护隐私方面做得相当不错。然而,另一方面是专用硬件系统带来了更大的集中化问题。因此,我们密码朋克似乎陷入了困境:我们必须用一种根深蒂固的密码朋克价值观与另一种价值观进行权衡。

生物识别身份证明系统中的可访问性问题是什么?

专用硬件会带来可访问性问题,因为专用硬件不太容易访问。目前,51%至64%的撒哈拉以南非洲人拥有智能手机,预计到 2030 年这一比例将增至87%。但是,虽然智能手机有数十亿部,但 Orb 的数量却只有几百个。即使有了更大规模的分布式制造,也很难达到一个距离每个人五公里之内都有一颗宝珠的世界。

去中心化

但值得赞扬的是,他们一直在努力

还值得注意的是,许多其他形式的人格证明存在更糟糕的可访问性问题。除非您已经认识社交图中的某个人,否则加入基于社交图谱的人格证明系统非常困难。这使得此类系统很容易被限制在单个国家的单个社区内。

即使是集中式身份系统也吸取了这一教训:印度的Aadhaar ID 系统是基于生物识别的,因为这是快速加入其庞大人口的唯一方法,同时避免重复和虚假账户造成的大规模欺诈(从而节省大量成本),当然,Aadhaar 系统作为一个整体在隐私方面比加密社区内大规模提议的任何系统都要弱得多。

从可访问性的角度来看,性能最好的系统实际上是像“人性证明”这样的系统,您只需使用智能手机即可注册 – 不过,正如我们已经看到的和我们将看到的,此类系统会带来各种其他权衡。

生物识别身份证明系统存在哪些中心化问题?

有三种:

  1. 系统顶层治理的中心化风险(尤其是当系统中不同参与者主观判断不一致时做出最终顶层决策的系统)。
  2. 使用专用硬件的系统所特有的集中化风险。
  3. 如果使用专有算法来确定谁是真正的参与者,则存在中心化风险。

任何身份证明系统都必须应对 (1),也许“接受的”ID 集完全是主观的系统除外。如果一个系统使用以外部资产(例如 ETH、USDC、DAI)计价的激励,那么它就不可能是完全主观的,因此治理风险就不可避免。

  1. 对于世界币来说,其风险比人类证明(或 BrightID)要大得多,因为世界币依赖于专门的硬件,而其他系统则不然。
  2. 这是一种风险,特别是在“逻辑集中”系统中,其中只有一个系统进行验证,除非所有算法都是开源的,并且我们可以保证它们实际上正在运行它们声称的代码。对于纯粹依赖用户验证其他用户的系统(例如人性证明),这不是风险。

世界币如何解决硬件中心化问题?

目前,世界币附属实体“ Tools for Humanity”是唯一制作 Orbs 的组织。然而,Orb 的源代码大部分是公开的:您可以在这个 github 存储库中看到硬件规格,源代码的其他部分预计很快就会发布。该许可证是类似于Uniswap BSL的“共享源代码,但从技术上讲要到四年后才开源”的许可证之一,除了防止分叉之外,它还防止他们认为的不道德行为 – 他们特别列出了大规模监视和三项国际民权声明。

该团队的既定目标是允许并鼓励其他组织创建 Orbs,并随着时间的推移从 Tools for Humanity 创建的 Orbs 过渡到拥有某种 DAO,批准和管理哪些组织可以创建系统认可的 Orbs。

此设计可能会在两种情况下失败:

  1. 它未能真正去中心化。这种情况的发生可能是由于联合协议的常见陷阱:一个制造商最终在实践中占据主导地位,导致系统重新集中化。据推测,治理可能会限制每个制造商可以生产的有效球体数量,但这需要仔细管理,并且它给治理带来了很大的压力,既要去中心化,又要监控生态系统并有效地应对威胁:这是一项比其他任务更困难的任务。一个相当静态的 DAO,仅处理顶级争议解决任务。
  2. 事实证明,不可能让这种分布式制造机制变得安全。在这里,我看到了两个风险:
  • 针对不良 Orb 制造商的脆弱性:即使是一个 Orb 制造商是恶意的或被黑客攻击的,它也可以生成无限数量的假虹膜扫描哈希值,并为它们提供世界 ID。
  • 政府对 Orbs 的限制:不希望其公民参与世界币生态系统的政府可以禁止 Orbs 进入其国家。此外,他们甚至可以强迫公民扫描虹膜,让政府拿到他们的账户,而公民却没有办法回应。

为了使系统更强大地对抗不良 Orb 制造商,Worldcoin 团队建议对 Orb 进行定期审核,验证它们是否正确构建,关键硬件组件是否根据规格构建,并且在事后没有被篡改。这是一项具有挑战性的任务:它基本上类似于国际原子能机构的核检查官僚机构,但对于 Orbs 来说。我们希望,即使审计制度的实施非常不完美,也能大大减少假球的数量。

为了限制任何确实漏掉的坏球体造成的伤害,采取第二次缓解措施是有意义的。不同宝珠制造商注册的世界ID,最好是不同宝珠注册的世界ID,应该能够相互区分。如果此信息是私人信息并且仅存储在 World ID 持有者的设备上,那也没关系;但它确实需要按需证明。这使得生态系统可以通过按需从白名单中删除单个 Orb 制造商甚至单个 Orb 来响应(不可避免的)攻击。如果我们看到朝鲜政府到处强迫人们扫描眼球,那么这些球体以及它们产生的任何帐户都可能会立即被追溯禁用。

一般人格证明中的安全问题

除了世界币特有的问题之外,还有一些影响总体身份证明设计的问题。我能想到的主要有:

  1. 3D 打印假人:人们可以使用人工智能生成假人的照片,甚至是 3D 打印的假人,这些照片甚至足够令人信服,足以被 Orb 软件接受。即使只有一个团体这样做,他们也可以生成无限数量的身份。
  2. 出售 ID 的可能性:某人可以在注册时提供别人的公钥而不是自己的公钥,从而使该人可以控制其注册的 ID,以换取金钱。这似乎已经发生了。除了出售之外,还可以租用 ID以在一个应用程序中短期使用。
  3. 电话黑客:如果一个人的电话被黑客入侵,黑客可以窃取控制其 World ID 的密钥。
  4. 政府强制窃取身份证:政府可以强迫其公民在出示属于政府的二维码时进行验证。通过这种方式,恶意政府可以获得数百万个 ID。在生物识别系统中,这甚至可以秘密完成:政府可以使用混淆的球体从护照检查站进入其国家的每个人中提取世界身份证。
  5. 特定于生物特征识别系统。(2) 和 (3) 对于生物识别和非生物识别设计都是通用的。(4) 也是两者共同的,尽管两种情况所需的技术有很大不同;在本节中,我将重点讨论生物识别案例中的问题。

这些都是相当严重的弱点。有些问题已经在现有协议中得到解决,有些问题可以通过未来的改进来解决,还有一些问题似乎是根本性的限制。

面对虚伪的人我们该怎么办?

对于世界币来说,这比类似人性证明的系统的风险要小得多:面对面的扫描可以检查一个人的许多特征,并且与仅仅深度伪造视频相比,很难伪造。专用硬件本质上比商用硬件更难欺骗,而商用硬件又比验证远程发送的图片和视频的数字算法更难欺骗。

有人可以通过 3D 打印最终欺骗专用硬件吗?大概。我预计,在某个时候,我们会看到保持机制开放和保持安全的目标之间的紧张关系日益加剧:开源人工智能算法本质上更容易受到对抗性机器学习的影响。黑盒算法受到更多保护,但很难说黑盒算法没有经过训练以包含后门。也许ZK-ML 技术可以给我们带来两全其美的好处。尽管在更遥远的未来某个时刻,即使是最好的人工智能算法也可能会被最好的 3D 打印假人所愚弄。

然而,从我与 Worldcoin 和 Proof of Humanity 团队的讨论来看,目前这两个协议似乎都还没有看到严重的深度虚假攻击,原因很简单,雇佣真正的低工资工人代表你注册是相当便宜和容易

我们可以阻止出售 ID 吗?

从短期来看,阻止这种外包是很困难的,因为世界上大多数人甚至不知道身份证明协议,如果你告诉他们举起二维码并扫描眼睛以获取 30 美元,他们就会这么做。一旦更多的人意识到身份证明协议是什么,一种相当简单的缓解措施就成为可能:允许拥有注册 ID 的人重新注册,取消以前的 ID。这使得“ID 出售”的可信度大大降低,因为向您出售 ID 的人可以重新注册,从而取消他们刚刚出售的 ID。然而,要达到这一点,需要协议非常广为人知,并且 Orbs 必须非常广泛广泛使用,使按需注册变得切实可行。

这就是为什么将 UBI 币集成到身份证明系统中很有价值的原因之一:UBI 币为人们提供了一种易于理解的激励:(i) 了解协议并注册,以及 (ii) 如果他们代表其他人注册,则立即重新注册。重新注册还可以防止电话黑客攻击。

我们可以防止生物特征识别系统中的强制行为吗?

这取决于我们谈论的是哪种强制。可能的胁迫形式包括:

  • 政府在边境管制和其他例行政府检查站扫描人们的眼睛(或脸部,或……),并使用它来登记(并经常重新登记)其公民
  • 政府在国内禁止 Orbs,以防止人们独立重新注册
  • 个人购买身份证后威胁说,如果发现自己的身份证因重新注册而失效,就会对其进行伤害
  • (可能是政府运行的)应用程序要求人们直接使用公钥签名来“登录”,让他们看到相应的生物识别扫描,以及用户当前 ID 和他们通过重新注册获得的任何未来 ID 之间的链接。人们普遍担心,这使得创建伴随一个人一生的“永久记录”变得太容易了。

去中心化

您所有的 UBI 和投票权都属于我们。图片来源

尤其是在不熟练的用户手中,彻底阻止这些情况似乎相当困难。用户可以离开自己的国家/地区,在更安全的国家/地区的 Orb 上(重新)注册,但这是一个困难的过程且成本很高。在一个真正充满敌意的法律环境中,寻找一个独立的宝珠似乎太困难和冒险了。

可行的办法是让这种滥用行为变得更烦人、更容易被发现。要求一个人在注册时说出特定短语的人性证明方法就是一个很好的例子:这可能足以防止隐藏扫描,要求强制更加明目张胆,注册短语甚至可以包含一份声明,确认被调查者知道他们有权独立重新注册,并可能获得 UBI 币或其他奖励。如果检测到强制行为,则用于集体执行强制注册的设备的访问权限可能会被撤销。为了防止应用程序链接人们当前和以前的 ID 并试图留下“永久记录”,默认的身份证明应用程序可以将用户的密钥锁定在可信硬件中,从而防止任何应用程序直接使用该密钥,而无需中间的匿名 ZK-SNARK 层。如果政府或应用程序开发人员想要解决这个问题,他们需要强制使用他们自己的定制应用程序。

通过将这些技术和积极的警惕相结合,将那些真正敌对的政权拒之门外,并保持那些只是中等不良的政权(世界上大部分地区都是如此)的诚实,似乎是可能的。这可以通过像 Worldcoin 或 Proof of Humanity 这样的项目来维持自己的官僚机构来完成此任务,或者通过透露有关 ID 如何注册的更多信息(例如,在 Worldcoin 中,它来自哪个 Orb),并将此分类任务留给社区来完成。

我们可以防止租用ID(例如出售选票)吗?

重新注册并不会阻止出租您的 ID 。这在某些应用中是可以的:出租你收取当日 UBI 币份额的权利的成本将只是当日 UBI 币份额的价值。但在投票等应用中,轻松售票是一个大问题。

像MACI这样的系统可以阻止你可信地出售你的选票,允许你稍后再投另一票,使你之前的投票无效,这样就没有人可以知道你是否真的投了这样的票。但是,如果行贿者控制了您在注册时获得的密钥,则这无济于事。

我在这里看到两个解决方案:

  1. 在 MPC 内运行整个应用程序。这也涵盖了重新注册过程:当一个人向 MPC 注册时,MPC 会为他们分配一个与他们的身份证明 ID 分开且不可链接的 ID,并且当一个人重新注册时,只有 MPC 知道要停用哪个帐户。这可以防止用户对其行为进行证明,因为每个重要步骤都是在 MPC 内使用只有 MPC 知道的私人信息完成的。
  2. 分散登记仪式。基本上,实现类似面对面密钥注册协议的协议,该协议需要四个随机选择的本地参与者共同注册某人。这可以确保注册是一个“受信任”的过程,攻击者无法在此过程中窥探。

基于社交图谱的系统实际上可能在这里表现得更好,因为它们可以自动创建本地去中心化注册流程,作为其工作方式的副产品。

生物识别技术与身份证明的其他领先候选者(基于社交图谱的验证)相比如何?

除了生物识别方法之外,迄今为止人格证明的主要其他竞争者是基于社交图谱的验证。基于社交图谱的验证系统都遵循相同的原理:如果有一大堆现有的经过验证的身份都证明了您身份的有效性,那么您可能是有效的,并且也应该获得经过验证的状态。

去中心化

如果只有少数真实用户(意外或恶意)验证虚假用户,那么您可以使用基本的图论技术来设置系统验证的虚假用户数量的上限。资料来源:https ://www.sciencedirect.com/science/article/abs/pii/S0045790622000611 。

基于社交图谱的验证的支持者经常将其描述为生物识别技术的更好替代方案,原因如下:

  • 不依赖于专用硬件,使其更容易部署
  • 它避免了试图制造假人的制造商与需要更新以拒绝此类假人的 Orb 之间的永久军备竞赛
  • 不需要收集生物识别数据,更加保护隐私
  • 它对假名可能更友好,因为如果有人选择将他们的互联网生活分割成彼此分开的多个身份,那么这两个身份都可能被验证(但维护多个真实且独立的身份会牺牲网络效应并且成本很高,因此这不是攻击者可以轻易做到的事情)
  • 生物识别方法给出“是人类”或“不是人类”的二元评分,这是脆弱的:被意外拒绝的人最终将根本没有 UBI,并且可能无法参与在线生活。基于社交图谱的方法可以给出更细致的数字分数,这当然对某些参与者来说可能有点不公平,但不太可能完全“非人格化”某人。

我对这些论点的看法是,我基本上同意它们!这些是基于社交图谱的方法的真正优势,应该认真对待。然而,还值得考虑基于社交图的方法的弱点:

  • 引导:对于要加入基于社交图的系统的用户,该用户必须认识已经在图中的人。这使得大规模采用变得困难,并且有可能将世界上在最初的引导过程中运气不好的整个地区排除在外。
  • 隐私:虽然基于社交图谱的方法避免收集生物识别数据,但它们通常最终会泄露有关一个人的社会关系的信息,这可能会导致更大的风险。当然,零知识技术可以缓解这种情况(例如,参见Barry Whitehat 的提议),但是图表中固有的相互依赖性以及对图表执行数学分析的需要使得实现与生物识别技术相同级别的数据隐藏变得更加困难。
  • 不平等:每个人只能拥有一个生物识别ID,但一个富有且社会关系良好的人可以利用他们的关系来生成许多ID。从本质上讲,同样的灵活性可能允许基于社交图谱的系统为真正需要该功能的人(例如活动家)提供多个假名,这也可能意味着权力更大、人脉更广的人可以获得比权力更弱、人脉更广的人更多的假名。
  • 陷入中心化的风险:大多数人都懒得花时间向互联网应用程序报告谁是真人,谁不是。因此,存在这样的风险:随着时间的推移,系统将倾向于采用依赖于中央集权机构的“简单”入籍方式,而系统用户的“社交图谱”实际上将成为哪些国家承认哪些人为公民的社交图谱——为我们提供集中式的 KYC 以及不必要的额外步骤。

人格证明与现实世界中的假名兼容吗?

原则上,人格证明与各种假名兼容。应用程序的设计方式可以使具有单一身份 ID 证明的人可以在应用程序中创建最多五个配置文件,从而为假名帐户留出空间。甚至可以使用二次公式:N 相当于 $N² 的成本。但他们会吗?

然而,悲观主义者可能会认为,尝试创建一种对隐私更加友好的 ID 形式并希望它实际上能够以正确的方式被采用是天真的,因为当权者对隐私并不友好,如果一个强大的行为者获得了一种可以用来获取更多有关一个人的信息的工具,他们就会以这种方式使用它。有人认为,在这样一个世界中,不幸的是,唯一现实的方法是在任何身份解决方案的齿轮上撒沙子,并捍卫一个完全匿名和高信任社区数字孤岛的世界。

我明白这种思维方式背后的原因,但我担心这种做法即使成功,也会导致一个任何人都无法采取任何措施来抵消财富集中和治理集中的世界,因为一个人总是可以假装一万人。反过来,这样的集权点也很容易被当权者占领。相反,我倾向于采取温和的方法,我们大力提倡具有强大隐私性的身份证明解决方案,如果需要的话甚至可能在协议层包括“N 个账户代表 $N²”机制,并创建具有隐私友好型价值观并有机会被外界接受的东西。

那么…我觉得怎么样?

不存在理想的人格证明形式。相反,我们至少有三种不同的方法范式,它们都有自己独特的优点和缺点。比较图表可能如下所示:

去中心化

理想情况下,我们应该将这三种技术视为互补,并将它们全部结合起来。正如印度 Aadhaar 所展示的那样,专用硬件生物识别技术具有大规模安全的优势。他们在权力下放方面非常薄弱,尽管这可以通过让个别球体负责来解决。如今,通用生物识别技术很容易被采用,但其安全性正在迅速下降,而且可能只能再工作 1-2 年。基于社交图谱的系统由数百名与创始团队社交关系密切的人引导,可能会面临不断的权衡,要么完全错过世界大部分地区,要么容易受到他们看不到的社区内的攻击。然而,一个由数千万生物识别 ID 持有者引导的基于社交图谱的系统实际上可以发挥作用。生物识别引导可能在短期内效果更好,

去中心化

可能的混合路径。

所有这些团队都有可能犯很多错误,商业利益和更广泛社区的需求之间不可避免地存在紧张关系,因此保持高度警惕非常重要。作为一个社区,我们可以而且应该推动所有参与者在技术开源方面的舒适区,要求第三方审计,甚至第三方编写的软件,以及其他制衡。我们还需要在这三个类别中的每一个类别中提供更多替代方案。

与此同时,认识到已经完成的工作也很重要:运行这些系统的许多团队都表现出了比几乎任何政府或主要企业运行的身份系统都更加重视隐私的意愿,这是我们应该继续努力的成功。

建立一个有效且可靠的身份证明系统的问题,尤其是在远离现有加密社区的人手中,似乎相当具有挑战性。我绝对不会羡慕那些尝试这项任务的人,而且可能需要数年时间才能找到一个有效的公式。原则上,人格证明的概念似乎非常有价值,虽然各种实现都有其风险,但根本没有任何人格证明也有其风险:没有人格证明的世界似乎更有可能是一个由中心化身份解决方案、金钱、小型封闭社区或三者的某种组合主导的世界。我期待看到所有类型的人格证明方面取得更多进展,并希望看到不同的方法最终汇聚成一个连贯的整体。

主页
快讯
精选
电报