zk-SNARKs та цифрова ідентичність у багатьох труднощах

Використання zk-SNARKs для захисту конфіденційності в системах цифрової ідентичності поступово стає основним напрямком. Різноманітні проекти цифрової ідентичності на основі zk-SNARKs розробляють зручні для користувачів програмні пакети, які дозволяють користувачам доводити свою ідентичність без розкриття деталей. Кількість користувачів World ID, які проходять перевірку за допомогою біометричних технологій та забезпечують конфіденційність за допомогою zk-SNARKs, перевищила 10 мільйонів. Проекти в галузі цифрової ідентичності в регіоні Тайвань і ЄС також все більше зосереджуються на технології zk-SNARKs.

Здавалося б, що цифрова ідентичність на основі zk-SNARKs широко використовується і є великою перемогою децентралізованого акселераціонізму (d/acc). Вона може захистити наші соціальні мережі, системи голосування та різні інтернет-сервіси від атак відьом і маніпуляцій роботів, не жертвуючи при цьому приватністю. Але чи так це просто? Чи існують ризики для ідентифікації на основі zk-SNARKs? У цій статті будуть викладені наступні думки:

• zk-SNARKs упаковка вирішила багато важливих проблем.
• Ідентифікація, упакована з використанням zk-SNARKs, все ще несе в собі ризики. Ці ризики в основному виникають через жорстке дотримання властивості "одна особа - одна ідентичність".
• Використання "доказів багатства" для захисту від атак відьом у більшості випадків недостатньо, нам потрібне якесь рішення "класу ідентифікації".
• Ідеальний стан - це отримання N ідентичностей за вартістю N².
• Багатогранна ідентифікація є найреалістичнішим рішенням. Багатогранна ідентифікація може бути явною (, як-от ідентифікація на основі соціальних графів ), а також може бути прихованою (, де існують різні типи zk-SNARKs ідентичності ).

Як працює ідентифікація, упакована в zk-SNARKs?

Коли ви отримуєте World ID, скануючи райдужну оболонку ока, або скануючи паспорт за допомогою NFC на телефоні для отримання ідентифікації на основі zk-SNARKs, ваш телефон міститиме секретне значення s. У глобальному реєстрі в ланцюзі є відкритий хеш-значення H(s). Під час входу в додаток ви будете генерувати унікальний для цього додатку ідентифікатор користувача, тобто H(s, app_name), і перевіряти за допомогою zk-SNARKs: цей ID походить з того ж секретного значення s, що й якесь відкрите хеш-значення в реєстрі.

Фактичний дизайн може бути більш складним. У World ID застосування спеціального ID містить хеш значення ID застосунку та ID сесії, тому різні операції в одному й тому ж застосунку також можуть бути взаємно роз'єднані. Дизайн паспорта на основі zk-SNARKs також може бути побудований подібним чином.

Цей тип ідентифікації має явні переваги. За межами ідентифікації за допомогою zk-SNARKs користувачам часто потрібно розкривати повну законну ідентичність для верифікації, що серйозно порушує "принцип мінімальних прав" в комп'ютерній безпеці. Наразі найкращим удосконаленням є використання непрямих токенів, таких як номери телефонів, номери кредитних карток тощо, але ця відокремленість є вкрай крихкою.

Але завдяки технології упаковки zk-SNARKs, зазначену проблему в значній мірі вдалося вирішити. Проте все ще є кілька питань, які не лише залишилися невирішеними, але й можуть стати ще серйознішими через суворе обмеження "одна людина - одна ідентичність" у таких схемах.

zk-SNARKs самі по собі не можуть забезпечити анонімність

Припустимо, що платформа ідентифікації на основі zk-SNARKs працює так, як передбачалося, суворо відтворюючи всю логіку, і навіть знайдено спосіб довгострокового захисту конфіденційної інформації для не технічних користувачів без залежності від централізованих установ. Але в той же час, ми можемо зробити реалістичне припущення: програми не будуть активно співпрацювати з захистом приватності, вони дотримуватимуться принципу "прагматизму", і використовувані ними дизайнерські рішення, хоч і під виглядом "максимізації зручності для користувачів", здається, завжди будуть схилятися до їх політичних і комерційних інтересів.

У такій ситуації соціальні медіа-додатки можуть призначити кожному користувачу унікальний ідентифікаційний номер, і оскільки система ідентифікації дотримується правила "одна людина – одна ідентифікація", користувач може мати лише один обліковий запис. У реальному світі реалізація анонімності зазвичай вимагає наявності кількох облікових записів: один для "звичайної ідентифікації", а інші – для різних анонімних ідентичностей. Тому в такій моделі анонімність, яку користувачі можуть фактично отримати, ймовірно, буде нижчою за поточний рівень. Таким чином, навіть система "одна людина – одна ідентифікація", обгорнута в zk-SNARKs, може поступово привести нас до світу, де всі дії повинні бути прив'язані до єдиної публічної ідентичності.

zk-SNARKs самі по собі не можуть захистити вас від примусу

Навіть якщо ви не розкриваєте своє секретне значення s, ніхто не може побачити публічні зв'язки між вашими рахунками, але що, якщо вас змусить це зробити хтось? Уряд може примусити вас розкрити секретне значення, щоб перевірити всю діяльність. Роботодавець також може легко зробити розкриття повної публічної інформації умовою працевлаштування. Навіть окремі програми на технічному рівні можуть вимагати, щоб користувачі розкривали свою ідентифікацію в інших програмах, перш ніж дозволити реєстрацію.

Так само, в цих випадках цінність атрибута zk-SNARKs зникає, але недоліки нового атрибута "одна людина - один обліковий запис" все ще залишаються.

Ми, можливо, зможемо зменшити ризик примусу шляхом оптимізації дизайну: наприклад, використовуючи механізм багатосторонніх обчислень для генерації унікального ID для кожного застосунку, що дозволить користувачам спільно з постачальниками послуг брати участь у цьому процесі. Таким чином, якщо оператора застосунку немає в процесі, користувач не зможе підтвердити свій унікальний ID у цьому застосунку. Це ускладнить примус інших до розкриття повної ідентичності, але не зможе повністю усунути цю можливість, а також у таких схем є інші недоліки.

zk-SNARKs самі по собі не можуть вирішити ризики, що не пов'язані з конфіденційністю

Усі форми ідентифікації мають крайні випадки:

• Засновані на урядових документах, ідентифікація не охоплює осіб без громадянства та не включає людей, які ще не отримали такі документи.
• Ці урядові системи ідентифікації надають унікальні привілеї власникам кількох громадянств.
• Органи, що видають паспорти, можуть стати жертвами хакерських атак, а розвідки ворожих країн навіть можуть підробити мільйони фальшивих ідентичностей.
• Для тих, хто має пошкоджені біометричні дані через травми або хвороби, біометрична ідентифікація буде повністю недійсною.
• Біометрична ідентифікація, ймовірно, буде обманута підробками.

Ці крайні випадки є найбільш небезпечними в системах, що намагаються підтримувати властивість "одна особа - одна ідентичність", і вони не мають нічого спільного з конфіденційністю. Тому zk-SNARKs не можуть нічого з цим вдіяти.

Залежність від "доказів багатства" для захисту від атак відьом не є достатнім вирішенням проблеми

У чисто криптопанк-спільноті, поширеним альтернативним варіантом є: повністю покладатися на "докази багатства" для захисту від відьомських атак, а не будувати будь-яку форму ідентифікаційної системи. Дозволяючи кожному обліковому запису генерувати певні витрати, можна запобігти легкому створенню великої кількості облікових записів.

Теоретично, навіть можна зробити так, щоб платежі були умовними: при реєстрації облікового запису вам потрібно просто застрахувати певну суму коштів, і ви втратите цю суму тільки в тих рідкісних випадках, коли обліковий запис буде заблоковано. Теоретично, це може суттєво підвищити вартість атак.

Ця схема показує значні результати в багатьох сценаріях, але в деяких типах сценаріїв вона зовсім не працює. Я зосереджуся на двох категоріях сценаріїв, умовно називаючи їх "сценарії, схожі на універсальний базовий дохід (UBI-like)" та "сценарії, схожі на управління (governance-like)".

Потреба в ідентифікації в сценах, подібних до загального базового доходу ( UBI-like )

Термін "сцена класичного універсального базового доходу" відноситься до ситуацій, коли потрібно надавати певну кількість активів або послуг дуже широкому колу користувачів, не враховуючи їх платоспроможність. Worldcoin систематично реалізує це: будь-яка особа, що має World ID, може регулярно отримувати невелику кількість WLD токенів.

Я вважаю, що ці "маленькі універсальні базові доходи ( mini-UBIs )" можуть реально вирішити такі проблеми: забезпечити людей достатньою кількістю криптовалюти для виконання деяких базових онлайнових транзакцій та покупок. Конкретно це може включати:

• Отримати ім'я ENS
• Опублікуйте хеш в ланцюзі для ініціалізації певної zk-SNARKs ідентичності
• Оплата зборів на платформах соціальних мереж

Крім того, існує ще один спосіб досягти подібного ефекту, а саме "всеосяжні основні послуги ( universal basic services )": надання кожній особі з ідентифікацією можливості надсилати обмежену кількість безкоштовних транзакцій у конкретному додатку.

Остання важлива категорія, яку варто підкреслити, — це "універсальний базовий депозит (universal basic security deposit)". Однією з функцій ідентифікації є надання об'єкта, який може бути використаний для притягнення до відповідальності, без необхідності, щоб користувачі ставили на заставу кошти, еквівалентні розміру стимулів. Це також допомагає досягти мети: зменшити залежність порогу участі від обсягу особистого капіталу.

В управлінських сценаріях ( потреба в ідентифікації )

Уявіть собі систему голосування: якщо ресурси користувача A в 10 разів більші, ніж у користувача B, то його право голосу також буде в 10 разів більшим, ніж у B. Але з економічної точки зору, кожна одиниця права голосу приносить A прибуток, який у 10 разів перевищує прибуток B. Тому в цілому користь від голосування A для себе в 100 разів більша, ніж користь від голосування B для себе. Саме тому ми спостерігаємо, що A вкладає набагато більше зусиль у участь у голосуванні, досліджує, як голосувати для максимізації своїх цілей, і навіть може стратегічно маніпулювати алгоритмом. Це також є основною причиною, чому в механізмі голосування токенів "великі китові" можуть чинити надмірний вплив.

Більш загальною та глибшою причиною є те, що система управління не повинна надавати однакову вагу "одній особі, що контролює 100 тисяч доларів" та "1000 осіб, що спільно володіють 100 тисячами доларів". Останнє представляє 1000 незалежних індивідів, тому міститиме більш різноманітну цінну інформацію, а не високу повторюваність незначної інформації. Сигнали від 1000 осіб також зазвичай є "м'якшими", оскільки думки різних індивідів часто взаємно нейтралізуються.

Це свідчить про те, що системи типу управління не задовольнятимуться справою "незалежно від джерела фінансування, однакові за обсягом фінансові пакети мають рівне ставлення". Системі насправді потрібно розуміти ступінь внутрішньої координації цих фінансових пакетів.

Необхідно звернути увагу на те, що якщо ви погоджуєтеся з моєю описовою рамкою для вищезазначених двох категорій сцен, тоді з технічної точки зору потреба в такому чіткому правилі, як "одна людина - один голос", більше не існує.

• Для застосування сценаріїв, схожих на всеохоплюючий базовий дохід, справжнім необхідним рішенням для ідентифікації є: перша ідентифікація безкоштовна, з обмеженням на кількість отримуваних ідентифікацій. Коли вартість отримання більшої кількості ідентифікацій стає такою високою, що дії, спрямовані на атаки системи, втрачають сенс, досягається обмежувальний ефект.
• Для застосування в сценаріях управління основна потреба полягає в тому, щоб за певним непрямим показником визначити, чи є за цим ресурсом єдиний контролюючий суб'єкт, чи це певна "природна формація", що має низький рівень координації.

У цих двох сценаріях ідентифікація залишається дуже корисною, але вимога дотримання суворих правил типу "одна людина – одна ідентичність" вже не існує.

Теоретично ідеальний стан: вартість отримання N ідентифікацій дорівнює N²

З наведених аргументів можна побачити, що існує два види тиску з протилежних сторін, які обмежують очікувану складність отримання кількох ідентичностей у системі ідентифікації:

По-перше, не можна встановлювати чітке і помітне жорстке обмеження для "кількості ідентифікацій, які можуть бути легко отримані". Якщо у особи може бути лише одна ідентифікація, то про анонімність не може бути й мови, і це може призвести до примусу до розкриття ідентифікації. Насправді, навіть фіксована кількість, більша за 1, також несе ризики: якщо всі знають, що у кожного є 5 ідентифікацій, то вас можуть примусити розкрити всі 5.

Ще одна причина підтримати це полягає в тому, що анонімність сама по собі є вразливою, тому потрібен достатньо великий запас безпеки. Завдяки сучасним AI-інструментам, міжплатформене пов'язування поведінки користувачів стало надзвичайно простим, завдяки звичкам у формулюванні, часу публікацій, інтервалам між публікаціями, обговорюваним темам та іншим відкритим даним, всього 33 біти інформації достатньо, щоб точно визначити особу.

По-друге, ідентифікація не може бути повністю пов'язана з фінансами (, тобто вартість отримання N ідентифікацій становить N ), оскільки це призведе до того, що великі