Коли zk-SNARKs стає «захистом» цифрового ID, ми можемо втратити право на анонімність через «одна особа – одна ідентифікація» — ось в чому полягає остаточна гра технології.
Автор: Віталік Бутерін
Переклад: Саорс, Foresight News
Сьогодні використання zk-SNARKs для захисту конфіденційності в системах цифрової ідентифікації стало в певній мірі основним. Різні проекти zk-passport розробляють надзвичайно зручні програмні пакети для користувачів, завдяки zk-SNARKs, користувачі можуть довести, що мають дійсне посвідчення особи, не розкриваючи жодних деталей своєї ідентифікації. Використання біометричних технологій для верифікації та забезпечення конфіденційності через zk-SNARKs у World ID (колишній Worldcoin) призвело до того, що кількість його користувачів нещодавно перевищила 10 мільйонів. Один з урядових проектів цифрової ідентифікації в Тайвані використовує zk-SNARKs, а робота Європейського Союзу в галузі цифрової ідентифікації також все більше зосереджується на zk-SNARKs.
На перший погляд, цифрова ідентичність на основі технології zk-SNARKs широко використовується і, здавалося б, стане великою перемогою d/acc* (примітка: концепція, запропонована Віталіком у 2023 році, що виступає за просування розвитку децентралізованих технологій за допомогою технічних інструментів (таких як криптографія, блокчейн тощо), прискорюючи технічний прогрес, одночасно захищаючи потенційні ризики, ідея знайти баланс між інноваціями у технологіях та безпекою, конфіденційністю і людською автономією). * Вона може захистити наші соціальні медіа, системи голосування та різноманітні інтернет-сервіси від атак відьом і маніпуляцій роботів, не жертвуючи конфіденційністю. Але чи дійсно все так просто? Чи існують ризики для ідентичності на основі zk-SNARKs? У цій статті буде викладено наступні погляди:
zk-SNARKs упаковка (ZK-wrapping) вирішує багато важливих проблем.
zk-SNARKs, упаковані в ідентифікацію, все ще несуть ризики. Ці ризики, схоже, не мають значного зв'язку з біометрією чи паспортами, більшість ризиків (витік особистої інформації, легкість піддавання тиску, системні помилки тощо) в основному походять від жорсткого дотримання атрибута «одна особа — одна ідентифікація».
Інший крайній випадок, а саме використання «доказу багатства (Proof of wealth)» для протидії атакам відьом, у більшості випадків є недостатнім, тому нам потрібне якесь рішення «класу ідентифікації».
Теоретично ідеальний стан знаходиться між обома, тобто вартість отримання N ідентифікацій становить N².
Такий ідеальний стан важко досягти на практиці, але відповідна «багатогранна ідентифікація» наближається до нього, тому є найреалістичнішим рішенням. Багатогранна ідентифікація може бути явною (наприклад, ідентифікація на основі соціальних графіків), а також прихованою (існують різні типи ідентифікації на основі zk-SNARKs, і жоден з типів не має ринкової частки, близької до 100%).
Як працює ідентифікація, упакована в zk-SNARKs?
Уявіть собі, що ви отримали World ID, просканувавши райдужну оболонку ока, або ж скористалися NFC-читачем на телефоні, щоб відсканувати паспорт та отримати ідентифікацію на основі zk-SNARKs. Що стосується аргументу цієї статті, то основні властивості цих двох способів є однаковими (існують лише незначні крайні відмінності, наприклад, у випадку з множинним громадянством).
На вашому смартфоні є секретне значення s. У глобальному реєстрі на блокчейні є публічне хеш-значення H(s). Під час входу в додаток ви генеруєте унікальний ідентифікатор користувача для цього додатку, а саме H(s, app_name), і перевіряєте його за допомогою zk-SNARKs: цей ID походить від того ж секретного значення s, що й одне з публічних хеш-значень у реєстрі. Отже, для кожного публічного хеш-значення може бути згенерований лише один ID для кожного додатку, але ніколи не буде розкрито, з яким публічним хеш-значенням пов'язаний конкретний ID додатку.
!
Насправді, дизайн може бути дещо складнішим. У World ID застосування спеціального ID насправді є хеш-значенням, що містить ID застосунку та ID сеансу, тому різні операції в межах одного застосунку також можуть бути взаємно роз'єднані. Дизайн паспорта на основі zk-SNARKs також може бути побудований подібним чином.
Перед тим, як обговорити недоліки цього типу ідентифікації, спочатку потрібно визнати його переваги. За межами нішевої сфери ідентифікації на основі zk-SNARKs (ZKID), щоб довести свою особу до послуг, які потребують ідентифікації, вам доводиться розкривати свою повну законну особу. Це серйозно порушує принцип «мінімальних прав» в комп'ютерній безпеці: процес повинен отримувати лише мінімальні права та інформацію, необхідні для виконання його завдання. Вони потребують підтвердження, що ви не робот, що вам виповнилося 18 років або що ви з певної країни, але те, що вони отримують, - це вказівка на вашу повну ідентичність.
Наразі найкращим покращенням є використання непрямих токенів, таких як номери телефонів, номери кредитних карток тощо: у цьому випадку суб'єкт, який знає ваш номер телефону / номер кредитної картки та пов'язані з ним дії в додатку, і суб'єкт, який знає ваш номер телефону / номер кредитної картки та пов'язану з ним законну особу (компанію або банк), є взаємно відокремленими. Але ця відокремленість є надзвичайно крихкою: номер телефону та інша інформація можуть бути в будь-який момент скомпрометовані.
А завдяки технології упаковки zk-SNARKs* (ZK-wrapping, техніка, що використовує нульові знання для захисту приватності ідентифікації користувача, дозволяючи користувачам доводити свою ідентичність без розкриття чутливої інформації)*, зазначені проблеми в значній мірі вирішуються. Але далі слід обговорити менш згадуваний момент: все ще існують деякі питання, які не лише залишаються нерозв'язаними, але й можуть стати ще більш серйозними через суворе обмеження «один користувач – одна ідентичність» у таких рішеннях.
zk-SNARKs самі по собі не можуть забезпечити анонімність
Припустимо, що платформа ідентифікації на основі нульових знань (ZK-identity) працює відповідно до очікувань, суворо відтворюючи всі вищеописані логіки, і навіть знайдена методика, яка може довгостроково захищати конфіденційну інформацію не технічних користувачів без залежності від централізованих установ. Але в той же час, ми можемо зробити реалістичне припущення: програми не будуть активно співпрацювати з захистом приватності, вони дотримуватимуться принципу «прагматизму», і хоча їхні дизайн-рішення проголошують «максимізацію зручності для користувачів», насправді вони, здається, завжди схиляються до власних політичних і комерційних інтересів.
У такому контексті додатки соціальних медіа не використовуватимуть складні рішення, такі як часта зміна ключів сесії, а натомість призначать кожному користувачеві унікальний ідентифікатор програми, і оскільки система ідентифікації дотримується правила «одна особа – один ідентифікатор», користувач може мати лише один обліковий запис (це контрастує з нинішньою «слабкою ідентифікацією», наприклад, обліковий запис Google, звичайна людина може легко зареєструвати близько 5). У реальному світі досягнення анонімності зазвичай вимагає наявності кількох облікових записів: один для «звичайної ідентифікації», інші – для різних анонімних ідентифікацій (див. «finsta та rinsta»). Отже, в цій моделі реальна анонімність, яку можуть отримати користувачі, швидше за все, буде нижчою, ніж теперішній рівень. Таким чином, навіть система «одна особа – один ідентифікатор», упакована за допомогою zk-SNARKs, може поступово привести нас до світу, де всі дії повинні залежати від єдиного публічного ідентифікатора. У часи зростаючих ризиків (наприклад, моніторинг дронів тощо) позбавлення людей можливості захистити себе через анонімність призведе до серйозних негативних наслідків.
zk-SNARKs самі по собі не можуть захистити вас від примусу
Навіть якщо ви не розкриваєте своє секретне значення s, ніхто не може побачити публічні зв'язки між вашими рахунками, але що, якщо хтось змусить вас розкрити їх? Уряд може змусити вас розкрити своє секретне значення, щоб переглянути вашу всю діяльність. Це не пусті слова: уряд США почав вимагати, щоб заявники на візу розкривали свої облікові записи в соціальних мережах. Крім того, роботодавці також можуть легко зробити розкриття повної публічної інформації умовою найму. Навіть окремі програми на технічному рівні можуть вимагати від користувачів розкрити свою ідентифікацію в інших програмах, щоб дозволити реєстрацію (використання app для входу за замовчуванням виконує цю дію).
!
Так само, у цих випадках цінність властивостей zk-SNARKs зникає, але недоліки нової властивості «одна людина — один рахунок» залишаються.
Ми, можливо, можемо знизити ризик примусу через оптимізацію дизайну: наприклад, використовуючи механізм багатосторонніх обчислень для генерації унікального ID для кожного застосунку, щоб користувачі могли спільно брати участь з постачальниками послуг. Таким чином, якщо немає участі оператора застосунку, користувач не зможе довести свій унікальний ID в цьому застосунку. Це ускладнить примус інших до розкриття повної ідентифікації, але не зможе повністю виключити цю можливість, а також такі рішення мають інші недоліки, наприклад, вимагання, щоб розробники застосунків були активними суб'єктами в реальному часі, а не як пасивні смарт-контракти на блокчейні (які не потребують постійного втручання).
zk-SNARKs не можуть вирішити ризики, що не пов'язані з конфіденційністю
Усі форми ідентифікації мають крайні випадки:
На основі урядової ідентифікації (Government-rooted ID), включаючи паспорти, не охоплює осіб без громадянства і не включає людей, які ще не отримали такі документи.
З іншого боку, такі урядові системи ідентифікації надають унікальні привілеї особам з множинним громадянством.
Органи, що видають паспорти, можуть зазнати хакерських атак, а розвідувальні служби ворожих країн навіть можуть підробити мільйони фальшивих ідентифікацій (наприклад, якщо «партизанські вибори» в російському стилі почнуть поширюватися, це може призвести до маніпуляції виборами за допомогою фальшивих ідентифікацій).
Для тих, хто має пошкоджені біометричні характеристики через травми чи хвороби, біометрична ідентифікація буде повністю недійсною.
Біометрична ідентифікація, ймовірно, може бути обманута підробками. Якщо вартість біометричної ідентифікації стане надзвичайно високою, ми навіть можемо побачити, як хтось спеціально вирощує людські органи лише для «масового виробництва» таких ідентифікацій.
Ці крайні випадки найгірше впливають на системи, що намагаються підтримувати атрибут «одна людина – одна ідентифікація», і не мають нічого спільного з конфіденційністю. Тому zk-SNARKs тут безсилі.
Залежність від «доказу багатства» для запобігання атакам відьом не є достатнім рішенням проблеми, тому нам потрібна якась форма системи ідентифікації.
У чисто криптопанк спільноті поширеним альтернативним варіантом є: повністю покладатися на «докази багатства», щоб запобігти відьомським атакам, а не будувати будь-які форми ідентифікації. Змушуючи кожен обліковий запис генерувати певні витрати, можна запобігти тому, щоб хтось легко створював велику кількість облікових записів. Цей підхід вже мав прецеденти в Інтернеті, наприклад, форум Somethingawful вимагав, щоб зареєстровані облікові записи сплачували одноразовий внесок у 10 доларів, і якщо обліковий запис буде заблоковано, ця плата не підлягає поверненню. Проте на практиці це не є справжньою криптоекономічною моделлю, оскільки найбільшим бар'єром для створення нового облікового запису є не повторна сплата 10 доларів, а отримання нової кредитної картки.
Теоретично, навіть можна зробити так, щоб платежі були умовними: при реєстрації облікового запису вам потрібно лише заблокувати певну суму коштів, і ви втратите ці кошти лише в дуже рідкісних випадках, коли обліковий запис буде заблоковано. Теоретично це може значно підвищити вартість атак.
Ця схема показує значні результати в багатьох сценаріях, але в певних типах сценаріїв вона зовсім не працює. Я зосереджуся на двох типах сценаріїв, які поки назвемо «сценаріями на кшталт універсального базового доходу (UBI-like)» та «сценаріями на кшталт управління (governance-like)».
Потреба в ідентифікації в сценах, подібних до загального базового доходу (UBI-like)
Термін «сценарій універсального базового доходу» відноситься до ситуацій, коли необхідно надавати певну кількість активів або послуг дуже широкому (в ідеалі – всім) користувачам, не враховуючи їх платоспроможність. Worldcoin систематично реалізує це: будь-яка особа, що має World ID, може регулярно отримувати невелику кількість токенів WLD. Багато аірдропів токенів також досягають подібних цілей більш неформальним способом, намагаючись забезпечити, щоб принаймні частина токенів потрапила до якомога більшої кількості користувачів.
Що стосується мене особисто, я не вважаю, що вартість таких токенів може досягти рівня, достатнього для забезпечення особистого існування. У економіці, яка керується штучним інтелектом та має багатство в тисячі разів більше, ніж сьогодні, такі токени можуть мати цінність для забезпечення існування; але навіть у такому випадку проєкти, що контролюються урядом і підтримуються природними ресурсами, все ще займатимуть більш важливу економічну позицію. Однак я вважаю, що такі "міні-УБІ" можуть справді вирішити проблему: дати людям достатню кількість криптовалюти для виконання деяких основних транзакцій в ланцюгу та онлайн-покупок. Конкретно це може включати:
Отримати ENS-ім'я
Опублікуйте хеш у мережі для ініціалізації певної zk-SNARKs ідентифікації
Оплата послуг соціальних медіа платформ
Якщо криптовалюта буде широко прийнята в усьому світі, це питання перестане бути актуальним. Але в умовах, коли криптовалюта ще не стала загальнодоступною, це може бути єдиним способом для людей отримати доступ до нефінансових застосувань на блокчейні та відповідних онлайн-товарів і послуг, інакше вони можуть повністю не мати доступу до цих ресурсів.
Крім того, існує ще один спосіб досягнення подібного ефекту, а саме «універсальні базові послуги»: надання кожному, хто має ідентифікацію, можливості безкоштовно виконувати обмежену кількість транзакцій у певному додатку. Цей підхід може більше відповідати механізму стимулювання та бути більш капітально ефективним, оскільки кожен додаток, який виграє від такого впровадження, може робити це без необхідності платити за не користувачів; однак це також супроводжується певними компромісами, а саме зниженням універсальності (користувачі можуть бути впевнені лише в отриманні доступу до додатків, які беруть участь у цій програмі). Але навіть так, тут все ще потрібне рішення для ідентифікації, щоб запобігти атакам спаму на систему, а також уникнути виникнення ексклюзивності, яка виникає через вимогу від користувачів сплачувати певним способом, який може бути недоступним для всіх.
Остання важлива категорія, яку слід підкреслити, – це «універсальний базовий депозит» (universal basic security deposit). Однією з функцій ідентифікації є надання об'єкта, який може бути використаний для притягнення до відповідальності, без необхідності стягувати з користувача кошти, що відповідають масштабам стимулювання. Це також допомагає досягти мети: зменшити залежність від обсягу капіталу, необхідного для участі (навіть повністю обійтися без будь-якого капіталу).
клас управління (governance-like) потреба в ідентифікації
Уявіть собі систему голосування (наприклад, лайки та репости на соціальних медіа): якщо ресурси користувача A в 10 разів більші, ніж у користувача B, то його права голосу також будуть в 10 разів більшими. Але з економічної точки зору, кожна одиниця права голосу приносить A в 10 разів більше вигоди, ніж B (оскільки обсяги A значно більші, будь-яке рішення матиме більш значний вплив на його економічний рівень). Тому в цілому вигода голосування A для нього самого в 100 разів більша, ніж вигода голосування B для нього. Саме тому ми спостерігаємо, що A витрачає набагато більше зусиль на участь у голосуванні, вивчає, як голосувати, щоб максимізувати свої цілі, і навіть може стратегічно маніпулювати алгоритмами. Це також є основною причиною, чому "великі китки" в механізмі голосування токенами можуть мати надмірний вплив.
!
Більш загальною та глибшою причиною є те, що система управління не повинна надавати однакову вагу «одна особа контролює 100 тисяч доларів» і «1000 людей спільно володіють 100 тисячами доларів». Останнє представляє 1000 незалежних осіб, тому містить більш багатий та цінний інформаційний контент, а не високу повторюваність інформації з малими обсягами. Сигнали від 1000 людей також зазвичай є більш «м’якими», оскільки думки різних осіб часто взаємно компенсуються.
!
Цей аспект стосується як офіційних систем голосування, так і «неофіційних систем голосування», наприклад, можливості людей брати участь у культурній еволюції через публічне висловлення своїх думок.
Це вказує на те, що системи управління не будуть задоволені підходом «незалежно від джерела фінансування, фонди однакового масштабу розглядаються однаково». Система насправді повинна зрозуміти внутрішній рівень координації цих фондів.
Потрібно звернути увагу на те, що якщо ви погоджуєтеся з моїм описом двох вищезазначених категорій сценаріїв (сценарій базового доходу для всіх і сценарій управління), то з технічної точки зору, потреба в чітких правилах «одна людина - один голос» більше не існує.
Для застосувань, схожих на універсальний базовий дохід (UBI-like), насправді потрібна така схема ідентифікації: перша ідентифікація безкоштовна, з обмеженням на кількість доступних ідентифікацій. Коли вартість отримання більшої кількості ідентифікацій стає настільки високою, що робить дії, спрямовані на атаки системи, безглуздими, досягається ефект обмеження.
Для застосувань, подібних до управління (governance-like), основна потреба полягає в тому, щоб за допомогою певного непрямого індикатора визначити, чи є у ресурсу, з яким ви маєте справу, єдиний контрольний суб'єкт, чи це певна "природна формація" з низьким рівнем координації.
У цих двох сценаріях ідентифікація все ще дуже корисна, але вимога дотримуватись суворих правил, таких як «одна особа - одна ідентифікація», більше не існує.
Теоретично ідеальний стан: вартість отримання N ідентифікацій дорівнює N²
З наведених аргументів ми можемо бачити, що два види тиску з протилежних кінців обмежують очікувану складність отримання кількох ідентичностей у системі ідентифікації:
По-перше, не можна встановлювати чіткі видимі жорсткі обмеження на «кількість ідентифікацій, які можна легко отримати». Якщо у людини може бути лише один ідентифікатор, то про анонімність не може бути й мови, і вона може бути примушена розкрити свою ідентифікацію. Насправді, навіть фіксована кількість, більша за 1, має ризики: якщо всі знають, що у кожної людини є 5 ідентифікацій, то вас можуть примусити розкрити всі 5.
Ще одна причина підтримки цього полягає в тому, що анонімність сама по собі є дуже крихкою, тому потрібен достатньо великий запас безпеки. Завдяки сучасним AI інструментам, порівняння користувацької поведінки на різних платформах стало простим, лише за допомогою звичок у формулюваннях, часу публікацій, інтервалів між публікаціями, тем обговорення та іншої публічної інформації, достатньо всього 33 біт інформації, щоб точно визначити особу. Люди можуть використовувати AI інструменти для захисту (наприклад, коли я анонімно публікував контент, спочатку писав французькою, а потім перекладав на англійську за допомогою локально запущеної великої мовної моделі), але навіть у такому випадку не хочеться, щоб одна помилка повністю знищила свою анонімність.
По-друге, ідентифікація не може бути повністю пов'язана з фінансами (тобто вартість отримання N ідентифікацій становить N), оскільки це дозволить великим суб'єктам легко отримати надмірний вплив (в результаті чого малі суб'єкти повністю втратять право голосу). Нова механіка Twitter Blue якраз ілюструє це: щомісячна плата за сертифікацію в 8 доларів занадто низька, щоб ефективно обмежити зловживання, сьогодні користувачі в основному вже не звертають уваги на цей сертифікаційний знак.
Крім того, ми, можливо, не хочемо, щоб суб'єкти з ресурсами в N разів перевищували, могли безкарно вчиняти неналежні дії в N разів.
Враховуючи вищезазначені аргументи, ми сподіваємося отримати кілька ідентифікацій якомога легше за умови дотримання таких обмежень: (1) обмеження влади великих суб'єктів у застосуваннях, пов'язаних з управлінням; (2) обмеження зловживань у застосуваннях, пов'язаних з універсальним базовим доходом.
Якщо безпосередньо запозичити математичну модель управлінських застосувань з попереднього тексту, ми отримаємо чітку відповідь: якщо наявність N ідентифікацій приносить вплив N², то вартість отримання N ідентифікацій повинна становити N². Співпадінням є те, що ця відповідь також підходить для застосувань, схожих на загальний базовий дохід.
!
Старі читачі цього блогу, можливо, помітять, що це повністю збігається з графіком з попереднього посту про «квадратичне фінансування», і це не випадковість.
Плюралістична ідентичність (Pluralistic identity) може реалізувати цей ідеал.
Так званий «багатогранний ідентифікаційний механізм» означає відсутність єдиного домінуючого емітента ідентифікації, незалежно від того, чи є ця установа особою, організацією чи платформою. Цю систему можна реалізувати двома способами:
Явна плюралістична ідентифікація (Explicit pluralistic identity, також відома як «ідентифікація на основі соціальної графіки» - social-graph-based identity). Ви можете підтвердити свою ідентифікацію (або інші заяви, наприклад, підтвердити, що ви є членом певної спільноти) через докази інших людей у вашій спільноті, при цьому ідентифікація цих доказувачів також перевіряється за тим же механізмом. У статті «Децентралізоване суспільство» детально описано такі дизайни, а Circles є нинішнім прикладом, що працює.
Імпліцитна плюралістична ідентичність (Implicit pluralistic identity). Це актуальний стан справ, в якому існує безліч різних постачальників ідентифікації, включаючи Google, Twitter, аналогічні платформи в різних країнах, а також різноманітні документи, видані державою. Дуже мало застосунків приймає лише один тип ідентифікації, більшість застосунків буде сумісною з кількома, оскільки тільки так можна досягти потенційних користувачів.
!
Останній знімок ідентифікації Circles. Circles є одним з найбільших проектів ідентифікації на основі соціальних графів.
Явна багатогранна ідентифікація природно має анонімність: ви можете мати анонімну ідентифікацію (навіть кілька), кожна з яких може встановлювати репутацію в спільноті через свої дії. Ідеальна система явної багатогранної ідентифікації навіть може не потребувати поняття «окремих ідентифікацій»; натомість ви можете мати нечітке зібрання, яке складається з перевірених минулих дій, і зможете точно довести різні його частини залежно від потреби кожної дії.
zk-SNARKs полегшить досягнення анонімності: ви можете використовувати основну ідентифікацію для запуску анонімної ідентифікації, надаючи приватно перший сигнал, що дозволяє новій анонімній ідентифікації бути визнаною (наприклад, за допомогою zk-SNARKs довести, що ви володієте певною кількістю токенів, щоб мати можливість публікувати контент на anon.world; або за допомогою zk-SNARKs довести, що ваші підписники в Twitter мають певну характеристику). Можливо, є й більш ефективні способи використання zk-SNARKs.
Кривий «витрат» прихованої множинної ідентифікації крутіший, ніж квадратична крива, але все ж має більшість необхідних характеристик. Більшість людей мають частину форм ідентифікації, перелічених у цій статті, а не всі. Ви можете отримати ще одну форму ідентифікації з певними зусиллями, але чим більше у вас форм ідентифікації, тим нижчий ефективний коефіцієнт витрат для отримання наступної. Таким чином, це забезпечує необхідні обмеження для атак на управління та інших зловживань, одночасно гарантуючи, що примушувачі не можуть вимагати (і не можуть розумно очікувати), щоб ви розкрили певний набір фіксованих ідентичностей.
Будь-яка форма багатогранної ідентифікації (як явної, так і неявної) природно має більшу стійкість до помилок: особи з інвалідністю рук або очей все ще можуть мати паспорт, а особи без громадянства також можуть підтвердити свою ідентифікацію через деякі неурядові канали.
Потрібно звернути увагу на те, що якщо ринкова частка певної форми ідентифікації наближається до 100% і стає єдиним варіантом входу, тоді згадані характеристики втратять силу. На мою думку, це найбільший ризик, з яким можуть стикнутися системи ідентифікації, що надто прагнуть до «універсальності»: як тільки їхня ринкова частка наближається до 100%, це може перевести світ з багатогранної системи ідентифікації в модель «одна людина – одна ідентифікація», а як вже згадувалося в цій статті, ця модель має багато недоліків.
На мою думку, ідеальний результат поточного проекту «одна людина – одна ідентифікація» полягає в інтеграції з ідентифікаційною системою на основі соціальних графів. Найбільшою проблемою ідентифікаційних проектів на основі соціальних графів є складність розширення на величезну кількість користувачів. Система «одна людина – одна ідентифікація» може бути використана для надання початкової підтримки соціальному графу, створюючи мільйони «насіннєвих користувачів», коли кількість користувачів стане достатньою для безпечного розвитку глобального розподіленого соціального графу на цій основі.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Vitalik: Чи немає ризику, якщо цифрова ідентичність використовує технологію ZK?
Автор: Віталік Бутерін
Переклад: Саорс, Foresight News
Сьогодні використання zk-SNARKs для захисту конфіденційності в системах цифрової ідентифікації стало в певній мірі основним. Різні проекти zk-passport розробляють надзвичайно зручні програмні пакети для користувачів, завдяки zk-SNARKs, користувачі можуть довести, що мають дійсне посвідчення особи, не розкриваючи жодних деталей своєї ідентифікації. Використання біометричних технологій для верифікації та забезпечення конфіденційності через zk-SNARKs у World ID (колишній Worldcoin) призвело до того, що кількість його користувачів нещодавно перевищила 10 мільйонів. Один з урядових проектів цифрової ідентифікації в Тайвані використовує zk-SNARKs, а робота Європейського Союзу в галузі цифрової ідентифікації також все більше зосереджується на zk-SNARKs.
На перший погляд, цифрова ідентичність на основі технології zk-SNARKs широко використовується і, здавалося б, стане великою перемогою d/acc* (примітка: концепція, запропонована Віталіком у 2023 році, що виступає за просування розвитку децентралізованих технологій за допомогою технічних інструментів (таких як криптографія, блокчейн тощо), прискорюючи технічний прогрес, одночасно захищаючи потенційні ризики, ідея знайти баланс між інноваціями у технологіях та безпекою, конфіденційністю і людською автономією). * Вона може захистити наші соціальні медіа, системи голосування та різноманітні інтернет-сервіси від атак відьом і маніпуляцій роботів, не жертвуючи конфіденційністю. Але чи дійсно все так просто? Чи існують ризики для ідентичності на основі zk-SNARKs? У цій статті буде викладено наступні погляди:
Як працює ідентифікація, упакована в zk-SNARKs?
Уявіть собі, що ви отримали World ID, просканувавши райдужну оболонку ока, або ж скористалися NFC-читачем на телефоні, щоб відсканувати паспорт та отримати ідентифікацію на основі zk-SNARKs. Що стосується аргументу цієї статті, то основні властивості цих двох способів є однаковими (існують лише незначні крайні відмінності, наприклад, у випадку з множинним громадянством).
На вашому смартфоні є секретне значення s. У глобальному реєстрі на блокчейні є публічне хеш-значення H(s). Під час входу в додаток ви генеруєте унікальний ідентифікатор користувача для цього додатку, а саме H(s, app_name), і перевіряєте його за допомогою zk-SNARKs: цей ID походить від того ж секретного значення s, що й одне з публічних хеш-значень у реєстрі. Отже, для кожного публічного хеш-значення може бути згенерований лише один ID для кожного додатку, але ніколи не буде розкрито, з яким публічним хеш-значенням пов'язаний конкретний ID додатку.
!
Насправді, дизайн може бути дещо складнішим. У World ID застосування спеціального ID насправді є хеш-значенням, що містить ID застосунку та ID сеансу, тому різні операції в межах одного застосунку також можуть бути взаємно роз'єднані. Дизайн паспорта на основі zk-SNARKs також може бути побудований подібним чином.
Перед тим, як обговорити недоліки цього типу ідентифікації, спочатку потрібно визнати його переваги. За межами нішевої сфери ідентифікації на основі zk-SNARKs (ZKID), щоб довести свою особу до послуг, які потребують ідентифікації, вам доводиться розкривати свою повну законну особу. Це серйозно порушує принцип «мінімальних прав» в комп'ютерній безпеці: процес повинен отримувати лише мінімальні права та інформацію, необхідні для виконання його завдання. Вони потребують підтвердження, що ви не робот, що вам виповнилося 18 років або що ви з певної країни, але те, що вони отримують, - це вказівка на вашу повну ідентичність.
Наразі найкращим покращенням є використання непрямих токенів, таких як номери телефонів, номери кредитних карток тощо: у цьому випадку суб'єкт, який знає ваш номер телефону / номер кредитної картки та пов'язані з ним дії в додатку, і суб'єкт, який знає ваш номер телефону / номер кредитної картки та пов'язану з ним законну особу (компанію або банк), є взаємно відокремленими. Але ця відокремленість є надзвичайно крихкою: номер телефону та інша інформація можуть бути в будь-який момент скомпрометовані.
А завдяки технології упаковки zk-SNARKs* (ZK-wrapping, техніка, що використовує нульові знання для захисту приватності ідентифікації користувача, дозволяючи користувачам доводити свою ідентичність без розкриття чутливої інформації)*, зазначені проблеми в значній мірі вирішуються. Але далі слід обговорити менш згадуваний момент: все ще існують деякі питання, які не лише залишаються нерозв'язаними, але й можуть стати ще більш серйозними через суворе обмеження «один користувач – одна ідентичність» у таких рішеннях.
zk-SNARKs самі по собі не можуть забезпечити анонімність
Припустимо, що платформа ідентифікації на основі нульових знань (ZK-identity) працює відповідно до очікувань, суворо відтворюючи всі вищеописані логіки, і навіть знайдена методика, яка може довгостроково захищати конфіденційну інформацію не технічних користувачів без залежності від централізованих установ. Але в той же час, ми можемо зробити реалістичне припущення: програми не будуть активно співпрацювати з захистом приватності, вони дотримуватимуться принципу «прагматизму», і хоча їхні дизайн-рішення проголошують «максимізацію зручності для користувачів», насправді вони, здається, завжди схиляються до власних політичних і комерційних інтересів.
У такому контексті додатки соціальних медіа не використовуватимуть складні рішення, такі як часта зміна ключів сесії, а натомість призначать кожному користувачеві унікальний ідентифікатор програми, і оскільки система ідентифікації дотримується правила «одна особа – один ідентифікатор», користувач може мати лише один обліковий запис (це контрастує з нинішньою «слабкою ідентифікацією», наприклад, обліковий запис Google, звичайна людина може легко зареєструвати близько 5). У реальному світі досягнення анонімності зазвичай вимагає наявності кількох облікових записів: один для «звичайної ідентифікації», інші – для різних анонімних ідентифікацій (див. «finsta та rinsta»). Отже, в цій моделі реальна анонімність, яку можуть отримати користувачі, швидше за все, буде нижчою, ніж теперішній рівень. Таким чином, навіть система «одна особа – один ідентифікатор», упакована за допомогою zk-SNARKs, може поступово привести нас до світу, де всі дії повинні залежати від єдиного публічного ідентифікатора. У часи зростаючих ризиків (наприклад, моніторинг дронів тощо) позбавлення людей можливості захистити себе через анонімність призведе до серйозних негативних наслідків.
zk-SNARKs самі по собі не можуть захистити вас від примусу
Навіть якщо ви не розкриваєте своє секретне значення s, ніхто не може побачити публічні зв'язки між вашими рахунками, але що, якщо хтось змусить вас розкрити їх? Уряд може змусити вас розкрити своє секретне значення, щоб переглянути вашу всю діяльність. Це не пусті слова: уряд США почав вимагати, щоб заявники на візу розкривали свої облікові записи в соціальних мережах. Крім того, роботодавці також можуть легко зробити розкриття повної публічної інформації умовою найму. Навіть окремі програми на технічному рівні можуть вимагати від користувачів розкрити свою ідентифікацію в інших програмах, щоб дозволити реєстрацію (використання app для входу за замовчуванням виконує цю дію).
!
Так само, у цих випадках цінність властивостей zk-SNARKs зникає, але недоліки нової властивості «одна людина — один рахунок» залишаються.
Ми, можливо, можемо знизити ризик примусу через оптимізацію дизайну: наприклад, використовуючи механізм багатосторонніх обчислень для генерації унікального ID для кожного застосунку, щоб користувачі могли спільно брати участь з постачальниками послуг. Таким чином, якщо немає участі оператора застосунку, користувач не зможе довести свій унікальний ID в цьому застосунку. Це ускладнить примус інших до розкриття повної ідентифікації, але не зможе повністю виключити цю можливість, а також такі рішення мають інші недоліки, наприклад, вимагання, щоб розробники застосунків були активними суб'єктами в реальному часі, а не як пасивні смарт-контракти на блокчейні (які не потребують постійного втручання).
zk-SNARKs не можуть вирішити ризики, що не пов'язані з конфіденційністю
Усі форми ідентифікації мають крайні випадки:
Ці крайні випадки найгірше впливають на системи, що намагаються підтримувати атрибут «одна людина – одна ідентифікація», і не мають нічого спільного з конфіденційністю. Тому zk-SNARKs тут безсилі.
Залежність від «доказу багатства» для запобігання атакам відьом не є достатнім рішенням проблеми, тому нам потрібна якась форма системи ідентифікації.
У чисто криптопанк спільноті поширеним альтернативним варіантом є: повністю покладатися на «докази багатства», щоб запобігти відьомським атакам, а не будувати будь-які форми ідентифікації. Змушуючи кожен обліковий запис генерувати певні витрати, можна запобігти тому, щоб хтось легко створював велику кількість облікових записів. Цей підхід вже мав прецеденти в Інтернеті, наприклад, форум Somethingawful вимагав, щоб зареєстровані облікові записи сплачували одноразовий внесок у 10 доларів, і якщо обліковий запис буде заблоковано, ця плата не підлягає поверненню. Проте на практиці це не є справжньою криптоекономічною моделлю, оскільки найбільшим бар'єром для створення нового облікового запису є не повторна сплата 10 доларів, а отримання нової кредитної картки.
Теоретично, навіть можна зробити так, щоб платежі були умовними: при реєстрації облікового запису вам потрібно лише заблокувати певну суму коштів, і ви втратите ці кошти лише в дуже рідкісних випадках, коли обліковий запис буде заблоковано. Теоретично це може значно підвищити вартість атак.
Ця схема показує значні результати в багатьох сценаріях, але в певних типах сценаріїв вона зовсім не працює. Я зосереджуся на двох типах сценаріїв, які поки назвемо «сценаріями на кшталт універсального базового доходу (UBI-like)» та «сценаріями на кшталт управління (governance-like)».
Потреба в ідентифікації в сценах, подібних до загального базового доходу (UBI-like)
Термін «сценарій універсального базового доходу» відноситься до ситуацій, коли необхідно надавати певну кількість активів або послуг дуже широкому (в ідеалі – всім) користувачам, не враховуючи їх платоспроможність. Worldcoin систематично реалізує це: будь-яка особа, що має World ID, може регулярно отримувати невелику кількість токенів WLD. Багато аірдропів токенів також досягають подібних цілей більш неформальним способом, намагаючись забезпечити, щоб принаймні частина токенів потрапила до якомога більшої кількості користувачів.
Що стосується мене особисто, я не вважаю, що вартість таких токенів може досягти рівня, достатнього для забезпечення особистого існування. У економіці, яка керується штучним інтелектом та має багатство в тисячі разів більше, ніж сьогодні, такі токени можуть мати цінність для забезпечення існування; але навіть у такому випадку проєкти, що контролюються урядом і підтримуються природними ресурсами, все ще займатимуть більш важливу економічну позицію. Однак я вважаю, що такі "міні-УБІ" можуть справді вирішити проблему: дати людям достатню кількість криптовалюти для виконання деяких основних транзакцій в ланцюгу та онлайн-покупок. Конкретно це може включати:
Якщо криптовалюта буде широко прийнята в усьому світі, це питання перестане бути актуальним. Але в умовах, коли криптовалюта ще не стала загальнодоступною, це може бути єдиним способом для людей отримати доступ до нефінансових застосувань на блокчейні та відповідних онлайн-товарів і послуг, інакше вони можуть повністю не мати доступу до цих ресурсів.
Крім того, існує ще один спосіб досягнення подібного ефекту, а саме «універсальні базові послуги»: надання кожному, хто має ідентифікацію, можливості безкоштовно виконувати обмежену кількість транзакцій у певному додатку. Цей підхід може більше відповідати механізму стимулювання та бути більш капітально ефективним, оскільки кожен додаток, який виграє від такого впровадження, може робити це без необхідності платити за не користувачів; однак це також супроводжується певними компромісами, а саме зниженням універсальності (користувачі можуть бути впевнені лише в отриманні доступу до додатків, які беруть участь у цій програмі). Але навіть так, тут все ще потрібне рішення для ідентифікації, щоб запобігти атакам спаму на систему, а також уникнути виникнення ексклюзивності, яка виникає через вимогу від користувачів сплачувати певним способом, який може бути недоступним для всіх.
Остання важлива категорія, яку слід підкреслити, – це «універсальний базовий депозит» (universal basic security deposit). Однією з функцій ідентифікації є надання об'єкта, який може бути використаний для притягнення до відповідальності, без необхідності стягувати з користувача кошти, що відповідають масштабам стимулювання. Це також допомагає досягти мети: зменшити залежність від обсягу капіталу, необхідного для участі (навіть повністю обійтися без будь-якого капіталу).
клас управління (governance-like) потреба в ідентифікації
Уявіть собі систему голосування (наприклад, лайки та репости на соціальних медіа): якщо ресурси користувача A в 10 разів більші, ніж у користувача B, то його права голосу також будуть в 10 разів більшими. Але з економічної точки зору, кожна одиниця права голосу приносить A в 10 разів більше вигоди, ніж B (оскільки обсяги A значно більші, будь-яке рішення матиме більш значний вплив на його економічний рівень). Тому в цілому вигода голосування A для нього самого в 100 разів більша, ніж вигода голосування B для нього. Саме тому ми спостерігаємо, що A витрачає набагато більше зусиль на участь у голосуванні, вивчає, як голосувати, щоб максимізувати свої цілі, і навіть може стратегічно маніпулювати алгоритмами. Це також є основною причиною, чому "великі китки" в механізмі голосування токенами можуть мати надмірний вплив.
!
Більш загальною та глибшою причиною є те, що система управління не повинна надавати однакову вагу «одна особа контролює 100 тисяч доларів» і «1000 людей спільно володіють 100 тисячами доларів». Останнє представляє 1000 незалежних осіб, тому містить більш багатий та цінний інформаційний контент, а не високу повторюваність інформації з малими обсягами. Сигнали від 1000 людей також зазвичай є більш «м’якими», оскільки думки різних осіб часто взаємно компенсуються.
!
Цей аспект стосується як офіційних систем голосування, так і «неофіційних систем голосування», наприклад, можливості людей брати участь у культурній еволюції через публічне висловлення своїх думок.
Це вказує на те, що системи управління не будуть задоволені підходом «незалежно від джерела фінансування, фонди однакового масштабу розглядаються однаково». Система насправді повинна зрозуміти внутрішній рівень координації цих фондів.
Потрібно звернути увагу на те, що якщо ви погоджуєтеся з моїм описом двох вищезазначених категорій сценаріїв (сценарій базового доходу для всіх і сценарій управління), то з технічної точки зору, потреба в чітких правилах «одна людина - один голос» більше не існує.
У цих двох сценаріях ідентифікація все ще дуже корисна, але вимога дотримуватись суворих правил, таких як «одна особа - одна ідентифікація», більше не існує.
Теоретично ідеальний стан: вартість отримання N ідентифікацій дорівнює N²
З наведених аргументів ми можемо бачити, що два види тиску з протилежних кінців обмежують очікувану складність отримання кількох ідентичностей у системі ідентифікації:
По-перше, не можна встановлювати чіткі видимі жорсткі обмеження на «кількість ідентифікацій, які можна легко отримати». Якщо у людини може бути лише один ідентифікатор, то про анонімність не може бути й мови, і вона може бути примушена розкрити свою ідентифікацію. Насправді, навіть фіксована кількість, більша за 1, має ризики: якщо всі знають, що у кожної людини є 5 ідентифікацій, то вас можуть примусити розкрити всі 5.
Ще одна причина підтримки цього полягає в тому, що анонімність сама по собі є дуже крихкою, тому потрібен достатньо великий запас безпеки. Завдяки сучасним AI інструментам, порівняння користувацької поведінки на різних платформах стало простим, лише за допомогою звичок у формулюваннях, часу публікацій, інтервалів між публікаціями, тем обговорення та іншої публічної інформації, достатньо всього 33 біт інформації, щоб точно визначити особу. Люди можуть використовувати AI інструменти для захисту (наприклад, коли я анонімно публікував контент, спочатку писав французькою, а потім перекладав на англійську за допомогою локально запущеної великої мовної моделі), але навіть у такому випадку не хочеться, щоб одна помилка повністю знищила свою анонімність.
По-друге, ідентифікація не може бути повністю пов'язана з фінансами (тобто вартість отримання N ідентифікацій становить N), оскільки це дозволить великим суб'єктам легко отримати надмірний вплив (в результаті чого малі суб'єкти повністю втратять право голосу). Нова механіка Twitter Blue якраз ілюструє це: щомісячна плата за сертифікацію в 8 доларів занадто низька, щоб ефективно обмежити зловживання, сьогодні користувачі в основному вже не звертають уваги на цей сертифікаційний знак.
Крім того, ми, можливо, не хочемо, щоб суб'єкти з ресурсами в N разів перевищували, могли безкарно вчиняти неналежні дії в N разів.
Враховуючи вищезазначені аргументи, ми сподіваємося отримати кілька ідентифікацій якомога легше за умови дотримання таких обмежень: (1) обмеження влади великих суб'єктів у застосуваннях, пов'язаних з управлінням; (2) обмеження зловживань у застосуваннях, пов'язаних з універсальним базовим доходом.
Якщо безпосередньо запозичити математичну модель управлінських застосувань з попереднього тексту, ми отримаємо чітку відповідь: якщо наявність N ідентифікацій приносить вплив N², то вартість отримання N ідентифікацій повинна становити N². Співпадінням є те, що ця відповідь також підходить для застосувань, схожих на загальний базовий дохід.
!
Старі читачі цього блогу, можливо, помітять, що це повністю збігається з графіком з попереднього посту про «квадратичне фінансування», і це не випадковість.
Плюралістична ідентичність (Pluralistic identity) може реалізувати цей ідеал.
Так званий «багатогранний ідентифікаційний механізм» означає відсутність єдиного домінуючого емітента ідентифікації, незалежно від того, чи є ця установа особою, організацією чи платформою. Цю систему можна реалізувати двома способами:
!
Останній знімок ідентифікації Circles. Circles є одним з найбільших проектів ідентифікації на основі соціальних графів.
Явна багатогранна ідентифікація природно має анонімність: ви можете мати анонімну ідентифікацію (навіть кілька), кожна з яких може встановлювати репутацію в спільноті через свої дії. Ідеальна система явної багатогранної ідентифікації навіть може не потребувати поняття «окремих ідентифікацій»; натомість ви можете мати нечітке зібрання, яке складається з перевірених минулих дій, і зможете точно довести різні його частини залежно від потреби кожної дії.
zk-SNARKs полегшить досягнення анонімності: ви можете використовувати основну ідентифікацію для запуску анонімної ідентифікації, надаючи приватно перший сигнал, що дозволяє новій анонімній ідентифікації бути визнаною (наприклад, за допомогою zk-SNARKs довести, що ви володієте певною кількістю токенів, щоб мати можливість публікувати контент на anon.world; або за допомогою zk-SNARKs довести, що ваші підписники в Twitter мають певну характеристику). Можливо, є й більш ефективні способи використання zk-SNARKs.
Кривий «витрат» прихованої множинної ідентифікації крутіший, ніж квадратична крива, але все ж має більшість необхідних характеристик. Більшість людей мають частину форм ідентифікації, перелічених у цій статті, а не всі. Ви можете отримати ще одну форму ідентифікації з певними зусиллями, але чим більше у вас форм ідентифікації, тим нижчий ефективний коефіцієнт витрат для отримання наступної. Таким чином, це забезпечує необхідні обмеження для атак на управління та інших зловживань, одночасно гарантуючи, що примушувачі не можуть вимагати (і не можуть розумно очікувати), щоб ви розкрили певний набір фіксованих ідентичностей.
Будь-яка форма багатогранної ідентифікації (як явної, так і неявної) природно має більшу стійкість до помилок: особи з інвалідністю рук або очей все ще можуть мати паспорт, а особи без громадянства також можуть підтвердити свою ідентифікацію через деякі неурядові канали.
Потрібно звернути увагу на те, що якщо ринкова частка певної форми ідентифікації наближається до 100% і стає єдиним варіантом входу, тоді згадані характеристики втратять силу. На мою думку, це найбільший ризик, з яким можуть стикнутися системи ідентифікації, що надто прагнуть до «універсальності»: як тільки їхня ринкова частка наближається до 100%, це може перевести світ з багатогранної системи ідентифікації в модель «одна людина – одна ідентифікація», а як вже згадувалося в цій статті, ця модель має багато недоліків.
На мою думку, ідеальний результат поточного проекту «одна людина – одна ідентифікація» полягає в інтеграції з ідентифікаційною системою на основі соціальних графів. Найбільшою проблемою ідентифікаційних проектів на основі соціальних графів є складність розширення на величезну кількість користувачів. Система «одна людина – одна ідентифікація» може бути використана для надання початкової підтримки соціальному графу, створюючи мільйони «насіннєвих користувачів», коли кількість користувачів стане достатньою для безпечного розвитку глобального розподіленого соціального графу на цій основі.