零知識證明與數字身份的多重困境

在數字身份系統中運用零知識證明來保護隱私的做法已逐漸成爲主流。各類基於零知識證明的數字身份項目正在開發對用戶友好的軟件包,讓用戶無需透露身分細節就能證明自己持有有效身分。採用生物識別技術進行驗證、並通過零知識證明保障隱私的World ID用戶數量已突破1000萬。中國臺灣地區和歐盟在數字身份領域的相關項目也越來越重視零知識證明技術。

從表面上看,基於零知識證明技術的數字身份被廣泛採用,似乎是去中心化加速主義(d/acc)的一大勝利。它能在不犧牲隱私的前提下,保護我們的社交媒體、投票系統及各類互聯網服務免受女巫攻擊和機器人操縱。但事情真的如此簡單嗎?基於零知識證明的身分是否仍存在風險?本文將闡明以下觀點:

• 零知識證明包裝解決了許多重要問題。
• 零知識證明包裝的身分仍存在風險。這些風險主要源於對"一人一身分"屬性的硬性維護。
• 使用"財富證明"來反女巫攻擊在大多應用場景中是不夠的,我們需要某種"類身分"的解決方案。
• 理想狀態是獲得N個身分的成本爲N²。
• 多元身分是最現實的解決方案。多元身分可以是顯性的(如基於社交圖譜的身分),也可以是隱性的(多種類型的零知識證明身分並存)。

零知識證明包裝的身分如何運作?

當你通過掃描眼球獲得World ID,或用手機NFC掃描護照獲得基於零知識證明護照的身分時,你的手機上會有一個祕密值s。在鏈上全球註冊表中,有一個公開哈希值H(s)。登入應用時,你會生成一個特定於該應用的用戶ID,即H(s, app_name),並通過零知識證明來驗證:這個ID與註冊表中某個公開哈希值源自同一個祕密值s。

實際設計可能更復雜。在World ID中,應用專屬ID包含應用ID與會話ID的哈希值,因此同一應用內的不同操作也可以相互解除關聯。基於零知識證明護照的設計也可以採用類似方式構建。

這種身分類型帶來了明顯優勢。在零知識證明身分之外,用戶往往需要透露完整的法定身分來進行身分驗證,這嚴重違反了計算機安全的"最小權限原則"。目前最佳改進方案是使用電話號碼、信用卡號等間接令牌,但這種分離極爲脆弱。

而借助零知識證明包裝技術,上述問題在很大程度上得以解決。但仍有一些問題不僅未得到解決,甚至可能因這類方案中"一人一身分"的嚴格限制而愈發嚴重。

零知識證明本身無法實現匿名性

假設一個零知識證明身分平台完全按預期運行,嚴格復現所有邏輯,甚至已找到方法能在不依賴中心化機構的前提下爲非技術用戶長期保護私密信息。但與此同時,我們可以做一個貼合現實的假設:應用程序不會主動配合隱私保護,它們會秉持"實用主義"原則,所採用的設計方案雖打着"最大化用戶便利性"的旗號,實則似乎總會偏向自身的政治與商業利益。

在這樣的場景中,社交媒體應用可能會爲每位用戶分配唯一的應用專屬ID,且由於身分系統遵循"一人一身分"規則,用戶只能擁有一個帳戶。現實世界中,匿名性的實現通常需要多個帳戶:一個用於"常規身分",其他則用於各類匿名身分。因此,在這種模式下,用戶實際能獲得的匿名性很可能低於當前水平。如此一來,即便是經零知識證明包裝的"一人一身分"系統,也可能讓我們逐漸走向一個所有活動都必須依附於單一公開身分的世界。

零知識證明本身無法保護你免受脅迫

即便你不公開自己的祕密值s,沒人能看到你各帳戶之間的公開關聯,但如果有人強制你公開呢?政府可能會強制要求透露祕密值,以便查看所有活動。僱主也能輕易將透露完整公開資料設爲僱傭條件。甚至,個別應用在技術層面也可能要求用戶透露其在其他應用上的身分,才允許註冊使用。

同樣,在這些情況下,零知識證明屬性的價值蕩然無存,但"一人一帳戶"這一新屬性的弊端卻依然存在。

我們或許可以通過設計優化來降低脅迫風險:例如,採用多方計算機制生成每個應用專屬ID,讓用戶與服務方共同參與其中。這樣一來,若沒有應用運營方的參與,用戶便無法證明自己在該應用中的專屬ID。這會增加逼迫他人透露完整身分的難度,但無法徹底消除這種可能性,而且這類方案還存在其他弊端。

零知識證明本身無法解決非隱私類風險

所有身分形式都存在邊緣案例:

• 基於政府發行的身分無法覆蓋無國籍人士,也不包含尚未獲得此類證件的人羣。
• 這類基於政府的身分體系,會給多重國籍持有者賦予獨特特權。
• 護照籤發機構可能遭遇黑客攻擊,敵對國家的情報機構甚至可能僞造數百萬個虛假身分。
• 對於那些相關生物特徵因傷病受損的人而言,生物識別身分會完全失效。
• 生物識別身分很可能會被仿制品蒙騙。

這些邊緣案例在試圖維持"一人一身分"屬性的系統中危害最大,且它們與隱私毫無關聯。因此,零知識證明對此無能爲力。

依靠"財富證明"防範女巫攻擊並不足以解決問題

在純粹的密碼朋克羣體中,一個常見的替代方案是:完全依賴"財富證明"來防範女巫攻擊,而非構建任何形式的身分系統。通過讓每個帳戶產生一定成本,就能阻止有人輕易創建大量帳號。

理論上,甚至可以讓支付具備條件性:註冊帳戶時,你只需質押一筆資金,僅在帳號被封禁這種極少數情況下才會損失這筆資金。從理論上講,這能大幅提高攻擊成本。

這種方案在許多場景中效果顯著,但在某些類型的場景中卻完全行不通。我將重點討論兩類場景,暫且稱之爲"類全民基本收入場景(UBI-like)"和"類治理場景(governance-like)"。

類全民基本收入場景(UBI-like)中對身分的需求

所謂"類全民基本收入場景",指的是需要向極廣泛用戶羣體發放一定數量資產或服務,且不考慮其支付能力的場景。Worldcoin正是系統性地踐行這一點:任何擁有World ID的人,都能定期獲得少量的WLD代幣。

我認爲這類"小型全民基本收入(mini-UBIs)"能切實解決的問題是:讓人們獲得足夠數量的加密貨幣,以完成一些基礎的鏈上交易和在線購買。具體可能包括:

• 獲取ENS名稱
• 在鏈上發布哈希以初始化某個零知識證明身分
• 支付社交媒體平台費用

此外,還有另一種方式能實現類似效果,即"全民基本服務(universal basic services)":爲每個擁有身分的人提供在特定應用內發送有限數量免費交易的權限。

最後一個值得強調的重要類別是"全民基本保證金(universal basic security deposit)"。身分的功能之一是提供一個可用於追責的標的,而無需用戶質押與激勵規模相當的資金。這也有助於實現一個目標:降低參與門檻對個人資本量的依賴。

類治理場景(governance-like)中對身分的需求

試想一個投票系統:若用戶A的資源是用戶B的10倍,那麼其投票權也會是B的10倍。但從經濟角度看,每單位投票權給A帶來的收益,是給B帶來的10倍。因此,總體而言,A的投票對自身的益處,是B的投票對自身益處的100倍。正因如此,我們會發現A會投入多得多的精力參與投票、研究如何投票才能最大化自身目標,甚至可能會戰略性地操縱算法。這也是代幣投票機制中"巨鯨"能產生過度影響的根本原因。

更具普遍性且更深一層的原因在於:治理系統不應將"一人掌控10萬美元"與"1000人共持10萬美元"賦予同等權重。後者代表着1000個獨立個體,因此會包含更豐富的有價值信息,而非小體量信息的高度重復。來自1000人的信號也往往更"溫和",因爲不同個體的意見往往會相互抵消。

這表明,類治理系統不會真正滿足於"不論資金來源,同等規模的資金束都一視同仁"的做法。系統其實需要了解這些資金束的內部協調程度。

需要注意的是,若你認同我對上述兩類場景的描述框架,那麼從技術層面而言,對"一人一票"這種明確規則的需求就不復存在了。

• 對於類全民基本收入場景的應用而言,真正需要的身分方案是:首個身分免費,對可獲取的身分數量設限。當獲取更多身分的成本高到足以讓攻擊系統的行爲失去意義時,便達到了限制效果。
• 對於類治理場景的應用而言,核心需求是:能夠通過某種間接指標判斷,你所接觸的這一筆資源,其背後是單一的操控主體,還是某種"自然形成的"、協調程度較低的羣體。

在這兩種場景中,身分依然非常有用,但對其遵循"一人一身分"這類嚴格規則的要求,已不復存在。

理論上的理想狀態是:獲得N個身分的成本爲N²

從上述論點中,我們可以看到有兩種壓力從相反的兩端限制了身分系統中獲取多個身分的期望難度:

首先,不能對"能輕鬆獲取的身分數量"設置一個清晰可見的硬性限制。如果一個人只能擁有一個身分,就無從談起匿名性,且可能被脅迫泄露身分。事實上,即便是大於1的固定數量也存在風險:倘若所有人都知道每個人有5個身分,那麼你可能會被脅迫泄露全部5個。

支持這一點的另一個理由是,匿名性本身很脆弱,因此需要足夠大的安全緩衝空間。借助現代AI工具,跨平台關聯用戶行爲變得輕而易舉,通過用詞習慣、發帖時間、發帖間隔、討論話題等公開信息,僅需33 bits的信息量就能精準鎖定一個人。

其次,身分不能完全與財務掛鉤(即獲取N個身分的成本爲N),因爲這會讓大型