零知识证明与数字身份的多重困境

在数字身份系统中运用零知识证明来保护隐私的做法已逐渐成为主流。各类基于零知识证明的数字身份项目正在开发对用户友好的软件包,让用户无需透露身份细节就能证明自己持有有效身份。采用生物识别技术进行验证、并通过零知识证明保障隐私的World ID用户数量已突破1000万。中国台湾地区和欧盟在数字身份领域的相关项目也越来越重视零知识证明技术。

从表面上看,基于零知识证明技术的数字身份被广泛采用,似乎是去中心化加速主义(d/acc)的一大胜利。它能在不牺牲隐私的前提下,保护我们的社交媒体、投票系统及各类互联网服务免受女巫攻击和机器人操纵。但事情真的如此简单吗?基于零知识证明的身份是否仍存在风险?本文将阐明以下观点:

• 零知识证明包装解决了许多重要问题。
• 零知识证明包装的身份仍存在风险。这些风险主要源于对"一人一身份"属性的硬性维护。
• 使用"财富证明"来反女巫攻击在大多应用场景中是不够的,我们需要某种"类身份"的解决方案。
• 理想状态是获得N个身份的成本为N²。
• 多元身份是最现实的解决方案。多元身份可以是显性的(如基于社交图谱的身份),也可以是隐性的(多种类型的零知识证明身份并存)。

零知识证明包装的身份如何运作?

当你通过扫描眼球获得World ID,或用手机NFC扫描护照获得基于零知识证明护照的身份时,你的手机上会有一个秘密值s。在链上全球注册表中,有一个公开哈希值H(s)。登录应用时,你会生成一个特定于该应用的用户ID,即H(s, app_name),并通过零知识证明来验证:这个ID与注册表中某个公开哈希值源自同一个秘密值s。

实际设计可能更复杂。在World ID中,应用专属ID包含应用ID与会话ID的哈希值,因此同一应用内的不同操作也可以相互解除关联。基于零知识证明护照的设计也可以采用类似方式构建。

这种身份类型带来了明显优势。在零知识证明身份之外,用户往往需要透露完整的法定身份来进行身份验证,这严重违反了计算机安全的"最小权限原则"。目前最佳改进方案是使用电话号码、信用卡号等间接令牌,但这种分离极为脆弱。

而借助零知识证明包装技术,上述问题在很大程度上得以解决。但仍有一些问题不仅未得到解决,甚至可能因这类方案中"一人一身份"的严格限制而愈发严重。

零知识证明本身无法实现匿名性

假设一个零知识证明身份平台完全按预期运行,严格复现所有逻辑,甚至已找到方法能在不依赖中心化机构的前提下为非技术用户长期保护私密信息。但与此同时,我们可以做一个贴合现实的假设:应用程序不会主动配合隐私保护,它们会秉持"实用主义"原则,所采用的设计方案虽打着"最大化用户便利性"的旗号,实则似乎总会偏向自身的政治与商业利益。

在这样的场景中,社交媒体应用可能会为每位用户分配唯一的应用专属ID,且由于身份系统遵循"一人一身份"规则,用户只能拥有一个账户。现实世界中,匿名性的实现通常需要多个账户:一个用于"常规身份",其他则用于各类匿名身份。因此,在这种模式下,用户实际能获得的匿名性很可能低于当前水平。如此一来,即便是经零知识证明包装的"一人一身份"系统,也可能让我们逐渐走向一个所有活动都必须依附于单一公开身份的世界。

零知识证明本身无法保护你免受胁迫

即便你不公开自己的秘密值s,没人能看到你各账户之间的公开关联,但如果有人强制你公开呢?政府可能会强制要求透露秘密值,以便查看所有活动。雇主也能轻易将透露完整公开资料设为雇佣条件。甚至,个别应用在技术层面也可能要求用户透露其在其他应用上的身份,才允许注册使用。

同样,在这些情况下,零知识证明属性的价值荡然无存,但"一人一账户"这一新属性的弊端却依然存在。

我们或许可以通过设计优化来降低胁迫风险:例如,采用多方计算机制生成每个应用专属ID,让用户与服务方共同参与其中。这样一来,若没有应用运营方的参与,用户便无法证明自己在该应用中的专属ID。这会增加逼迫他人透露完整身份的难度,但无法彻底消除这种可能性,而且这类方案还存在其他弊端。

零知识证明本身无法解决非隐私类风险

所有身份形式都存在边缘案例:

• 基于政府发行的身份无法覆盖无国籍人士,也不包含尚未获得此类证件的人群。
• 这类基于政府的身份体系,会给多重国籍持有者赋予独特特权。
• 护照签发机构可能遭遇黑客攻击,敌对国家的情报机构甚至可能伪造数百万个虚假身份。
• 对于那些相关生物特征因伤病受损的人而言,生物识别身份会完全失效。
• 生物识别身份很可能会被仿制品蒙骗。

这些边缘案例在试图维持"一人一身份"属性的系统中危害最大,且它们与隐私毫无关联。因此,零知识证明对此无能为力。

依靠"财富证明"防范女巫攻击并不足以解决问题

在纯粹的密码朋克群体中,一个常见的替代方案是:完全依赖"财富证明"来防范女巫攻击,而非构建任何形式的身份系统。通过让每个账户产生一定成本,就能阻止有人轻易创建大量账号。

理论上,甚至可以让支付具备条件性:注册账户时,你只需质押一笔资金,仅在账号被封禁这种极少数情况下才会损失这笔资金。从理论上讲,这能大幅提高攻击成本。

这种方案在许多场景中效果显著,但在某些类型的场景中却完全行不通。我将重点讨论两类场景,暂且称之为"类全民基本收入场景(UBI-like)"和"类治理场景(governance-like)"。

类全民基本收入场景(UBI-like)中对身份的需求

所谓"类全民基本收入场景",指的是需要向极广泛用户群体发放一定数量资产或服务,且不考虑其支付能力的场景。Worldcoin正是系统性地践行这一点:任何拥有World ID的人,都能定期获得少量的WLD代币。

我认为这类"小型全民基本收入(mini-UBIs)"能切实解决的问题是:让人们获得足够数量的加密货币,以完成一些基础的链上交易和在线购买。具体可能包括:

• 获取ENS名称
• 在链上发布哈希以初始化某个零知识证明身份
• 支付社交媒体平台费用

此外,还有另一种方式能实现类似效果,即"全民基本服务(universal basic services)":为每个拥有身份的人提供在特定应用内发送有限数量免费交易的权限。

最后一个值得强调的重要类别是"全民基本保证金(universal basic security deposit)"。身份的功能之一是提供一个可用于追责的标的,而无需用户质押与激励规模相当的资金。这也有助于实现一个目标:降低参与门槛对个人资本量的依赖。

类治理场景(governance-like)中对身份的需求

试想一个投票系统:若用户A的资源是用户B的10倍,那么其投票权也会是B的10倍。但从经济角度看,每单位投票权给A带来的收益,是给B带来的10倍。因此,总体而言,A的投票对自身的益处,是B的投票对自身益处的100倍。正因如此,我们会发现A会投入多得多的精力参与投票、研究如何投票才能最大化自身目标,甚至可能会战略性地操纵算法。这也是代币投票机制中"巨鲸"能产生过度影响的根本原因。

更具普遍性且更深一层的原因在于:治理系统不应将"一人掌控10万美元"与"1000人共持10万美元"赋予同等权重。后者代表着1000个独立个体,因此会包含更丰富的有价值信息,而非小体量信息的高度重复。来自1000人的信号也往往更"温和",因为不同个体的意见往往会相互抵消。

这表明,类治理系统不会真正满足于"不论资金来源,同等规模的资金束都一视同仁"的做法。系统其实需要了解这些资金束的内部协调程度。

需要注意的是,若你认同我对上述两类场景的描述框架,那么从技术层面而言,对"一人一票"这种明确规则的需求就不复存在了。

• 对于类全民基本收入场景的应用而言,真正需要的身份方案是:首个身份免费,对可获取的身份数量设限。当获取更多身份的成本高到足以让攻击系统的行为失去意义时,便达到了限制效果。
• 对于类治理场景的应用而言,核心需求是:能够通过某种间接指标判断,你所接触的这一笔资源,其背后是单一的操控主体,还是某种"自然形成的"、协调程度较低的群体。

在这两种场景中,身份依然非常有用,但对其遵循"一人一身份"这类严格规则的要求,已不复存在。

理论上的理想状态是:获得N个身份的成本为N²

从上述论点中,我们可以看到有两种压力从相反的两端限制了身份系统中获取多个身份的期望难度:

首先,不能对"能轻松获取的身份数量"设置一个清晰可见的硬性限制。如果一个人只能拥有一个身份,就无从谈起匿名性,且可能被胁迫泄露身份。事实上,即便是大于1的固定数量也存在风险:倘若所有人都知道每个人有5个身份,那么你可能会被胁迫泄露全部5个。

支持这一点的另一个理由是,匿名性本身很脆弱,因此需要足够大的安全缓冲空间。借助现代AI工具,跨平台关联用户行为变得轻而易举,通过用词习惯、发帖时间、发帖间隔、讨论话题等公开信息,仅需33 bits的信息量就能精准锁定一个人。

其次,身份不能完全与财务挂钩(即获取N个身份的成本为N),因为这会让大型