Khi zk-SNARK trở thành "tấm khiên" cho danh tính số, chúng ta có thể mất quyền ẩn danh vì "mỗi người một danh tính" - đó mới là cuộc đấu tranh cuối cùng đứng sau công nghệ.
Tác giả: Vitalik Buterin
Biên dịch: Saoirse, Foresight News
Ngày nay, việc sử dụng zk-SNARK trong hệ thống danh tính số để bảo vệ quyền riêng tư đã trở thành xu hướng chủ đạo ở một mức độ nhất định. Các dự án hộ chiếu zk-SNARK * (dịch nghĩa là dự án ZK-passport, chỉ các dự án danh tính số dựa trên công nghệ zk-SNARK) * đang phát triển các gói phần mềm cực kỳ thân thiện với người dùng, nhờ vào zk-SNARK, người dùng có thể chứng minh rằng họ có chứng minh danh tính hợp lệ mà không cần tiết lộ bất kỳ chi tiết nào về danh tính của mình. World ID (trước đây là Worldcoin), xác minh bằng công nghệ sinh trắc học và bảo vệ quyền riêng tư thông qua zk-SNARK, gần đây đã vượt qua 10 triệu người dùng. Một dự án danh tính số của chính phủ ở Đài Loan, Trung Quốc đã áp dụng zk-SNARK, và Liên minh Châu Âu cũng ngày càng chú trọng đến zk-SNARK trong lĩnh vực danh tính số.
Xét trên bề mặt, danh tính kỹ thuật số dựa trên công nghệ zk-SNARK được chấp nhận rộng rãi, dường như sẽ trở thành một chiến thắng lớn cho d/acc* (Chú thích: Khái niệm do Vitalik đưa ra vào năm 2023, là một quan điểm thúc đẩy sự phát triển của công nghệ phi tập trung thông qua các công cụ công nghệ (như mã hóa, blockchain, v.v.), đồng thời bảo vệ khỏi các rủi ro tiềm ẩn, cân bằng giữa đổi mới công nghệ và an toàn, quyền riêng tư cùng quyền tự quyết của con người.)* Nó có thể bảo vệ mạng xã hội, hệ thống bỏ phiếu và các dịch vụ Internet khác khỏi các cuộc tấn công của phù thủy và sự thao túng của robot mà không hy sinh quyền riêng tư. Nhưng liệu mọi thứ có thật sự đơn giản như vậy không? Danh tính dựa trên zk-SNARK có còn tồn tại rủi ro không? Bài viết này sẽ làm rõ những quan điểm sau:
zk-SNARK đóng gói (ZK-wrapping) đã giải quyết nhiều vấn đề quan trọng.
Rủi ro vẫn tồn tại đối với danh tính được đóng gói bằng zk-SNARK. Những rủi ro này dường như không liên quan nhiều đến sinh trắc học hay hộ chiếu, phần lớn rủi ro (rò rỉ quyền riêng tư, dễ bị ép buộc, sai sót hệ thống, v.v.) chủ yếu xuất phát từ việc duy trì một cách cứng nhắc thuộc tính "mỗi người một danh tính".
Một cực đoan khác, tức là sử dụng "chứng minh tài sản (Proof of wealth)" để phản công tấn công phù thủy, trong hầu hết các trường hợp ứng dụng thì không đủ, vì vậy chúng ta cần một giải pháp "giống như danh tính".
Trạng thái lý tưởng về lý thuyết nằm giữa hai bên, tức là chi phí để có được N danh tính là N².
Trạng thái lý tưởng này khó có thể đạt được trong thực tế, nhưng "danh tính đa dạng" phù hợp gần gũi với điều đó và do đó là giải pháp thực tế nhất. Danh tính đa dạng có thể là rõ ràng (ví dụ, danh tính dựa trên mạng xã hội) hoặc ẩn (nhiều loại danh tính zk-SNARK đồng tồn tại mà không có loại nào chiếm thị phần gần 100%).
zk-SNARK đóng gói danh tính hoạt động như thế nào?
Hãy tưởng tượng rằng bạn đã nhận được World ID bằng cách quét mống mắt, hoặc sử dụng máy đọc NFC trên điện thoại để quét hộ chiếu, nhận được danh tính dựa trên zk-SNARK. Đối với lập luận của bài viết này, hai cách này có những thuộc tính cốt lõi giống nhau (chỉ có một số khác biệt nhỏ ở những trường hợp biên như đa quốc tịch).
Trên điện thoại của bạn, có một giá trị bí mật s. Trong sổ đăng ký toàn cầu trên chuỗi, có một giá trị băm công khai H(s). Khi đăng nhập vào ứng dụng, bạn sẽ tạo ra một ID người dùng cụ thể cho ứng dụng đó, tức là H(s, app_name) và xác minh qua zk-SNARK: ID này đến từ cùng một giá trị bí mật s như một giá trị băm công khai nào đó trong sổ đăng ký. Do đó, mỗi giá trị băm công khai chỉ có thể tạo ra một ID cho mỗi ứng dụng, nhưng sẽ không bao giờ tiết lộ ID riêng của một ứng dụng tương ứng với giá trị băm công khai nào.
Trên thực tế, thiết kế có thể phức tạp hơn một chút. Trong World ID, ID riêng ứng dụng thực chất là giá trị băm của ID ứng dụng và ID phiên, do đó các thao tác khác nhau trong cùng một ứng dụng cũng có thể được giải liên kết với nhau. Thiết kế dựa trên zk-SNARK passport cũng có thể được xây dựng theo cách tương tự.
Trước khi thảo luận về những nhược điểm của loại danh tính này, trước tiên cần phải nhận ra những lợi thế mà nó mang lại. Ngoài lĩnh vực ngách của danh tính chứng minh bằng zero-knowledge (ZKID), để chứng minh bản thân với các dịch vụ cần xác thực danh tính, bạn buộc phải tiết lộ danh tính hợp pháp đầy đủ của mình. Điều này vi phạm nghiêm trọng "nguyên tắc quyền tối thiểu" trong bảo mật máy tính: một quy trình chỉ nên có được quyền và thông tin tối thiểu cần thiết để hoàn thành nhiệm vụ của nó. Chúng cần chứng minh rằng bạn không phải là robot, đã đủ 18 tuổi hoặc đến từ một quốc gia cụ thể, nhưng những gì chúng nhận được lại là sự chỉ dẫn về danh tính đầy đủ của bạn.
Giải pháp cải tiến tốt nhất hiện tại là sử dụng các mã thông qua điện thoại, số thẻ tín dụng: lúc này, chủ thể biết số điện thoại / số thẻ tín dụng của bạn liên quan đến hoạt động trong ứng dụng và chủ thể biết số điện thoại / số thẻ tín dụng của bạn liên quan đến danh tính hợp pháp (công ty hoặc ngân hàng) là hoàn toàn tách biệt. Nhưng sự tách biệt này rất mong manh: số điện thoại và các thông tin khác cũng có thể bị rò rỉ bất cứ lúc nào.
Và nhờ vào công nghệ đóng gói zk-SNARK* (ZK-wrapping, một phương pháp kỹ thuật sử dụng zk-SNARK để bảo vệ quyền riêng tư danh tính của người dùng, cho phép người dùng chứng minh danh tính của mình mà không tiết lộ thông tin nhạy cảm)*, vấn đề trên đã được giải quyết phần lớn. Nhưng điều tiếp theo cần thảo luận là một điểm ít được đề cập: vẫn còn một số vấn đề không chỉ chưa được giải quyết, mà thậm chí có thể trở nên nghiêm trọng hơn do sự hạn chế nghiêm ngặt "mỗi người một danh tính" trong các giải pháp như vậy.
zk-SNARK bản thân không thể thực hiện tính ẩn danh
Giả sử một nền tảng chứng minh không biết (ZK-identity) hoạt động hoàn toàn theo dự kiến, tái hiện nghiêm ngặt tất cả các logic trên, thậm chí đã tìm ra cách để bảo vệ thông tin riêng tư của người dùng không chuyên lâu dài mà không phụ thuộc vào các tổ chức tập trung. Nhưng đồng thời, chúng ta có thể đưa ra một giả định phù hợp với thực tế: các ứng dụng sẽ không chủ động hợp tác với việc bảo vệ quyền riêng tư, chúng sẽ tuân thủ nguyên tắc "chủ nghĩa thực dụng", các thiết kế mà chúng áp dụng tuy mang danh "tối đa hóa tiện lợi cho người dùng", nhưng có vẻ luôn nghiêng về lợi ích chính trị và thương mại của chính chúng.
Trong bối cảnh như vậy, các ứng dụng mạng xã hội sẽ không áp dụng thiết kế phức tạp như việc thường xuyên thay đổi khóa phiên, mà sẽ phân bổ cho mỗi người dùng một ID ứng dụng duy nhất, và do hệ thống danh tính tuân theo quy tắc "mỗi người một danh tính", người dùng chỉ có thể sở hữu một tài khoản (điều này trái ngược với "danh tính yếu (weak ID)" hiện nay, chẳng hạn như tài khoản Google, người bình thường có thể dễ dàng đăng ký khoảng 5 tài khoản). Trong thế giới thực, việc đạt được tính ẩn danh thường cần nhiều tài khoản: một tài khoản cho "danh tính thông thường", các tài khoản khác cho các danh tính ẩn danh khác nhau (xem "finsta and rinsta"). Do đó, trong mô hình này, tính ẩn danh thực tế mà người dùng có thể nhận được có thể thấp hơn mức hiện tại. Như vậy, ngay cả hệ thống "mỗi người một danh tính" được bao bọc bởi zk-SNARK, cũng có thể khiến chúng ta dần dần tiến tới một thế giới mà tất cả các hoạt động đều phải phụ thuộc vào một danh tính công khai duy nhất. Trong thời đại rủi ro ngày càng gia tăng (chẳng hạn như giám sát bằng drone), việc tước bỏ quyền lựa chọn của mọi người để bảo vệ bản thân thông qua tính ẩn danh sẽ mang lại những tác động tiêu cực nghiêm trọng.
zk-SNARK bản thân không thể bảo vệ bạn khỏi bị ép buộc
Dù bạn không công khai giá trị bí mật s của mình, không ai có thể thấy mối liên hệ công khai giữa các tài khoản của bạn, nhưng nếu có ai đó buộc bạn phải công khai thì sao? Chính phủ có thể buộc yêu cầu tiết lộ giá trị bí mật của bạn để xem tất cả các hoạt động của bạn. Đây không phải là điều hão huyền: Chính phủ Hoa Kỳ đã bắt đầu yêu cầu những người xin visa công khai tài khoản mạng xã hội của họ. Hơn nữa, nhà tuyển dụng cũng có thể dễ dàng yêu cầu tiết lộ thông tin công khai hoàn chỉnh như một điều kiện tuyển dụng. Thậm chí, một số ứng dụng ở cấp độ kỹ thuật cũng có thể yêu cầu người dùng tiết lộ danh tính của họ trên các ứng dụng khác mới cho phép đăng ký sử dụng (sử dụng đăng nhập app mặc định thực hiện điều này).
Tương tự, trong những trường hợp này, giá trị của thuộc tính zk-SNARK đã biến mất, nhưng nhược điểm của thuộc tính mới "mỗi người một tài khoản" vẫn còn tồn tại.
Chúng ta có thể giảm thiểu rủi ro ép buộc thông qua tối ưu hóa thiết kế: chẳng hạn, sử dụng cơ chế tính toán đa bên để tạo ra ID đặc thù cho từng ứng dụng, cho phép người dùng và bên cung cấp dịch vụ cùng tham gia. Như vậy, nếu không có sự tham gia của bên vận hành ứng dụng, người dùng sẽ không thể chứng minh ID đặc thù của mình trong ứng dụng đó. Điều này sẽ làm tăng độ khó trong việc ép buộc người khác tiết lộ danh tính đầy đủ, nhưng không thể hoàn toàn loại bỏ khả năng này, và loại giải pháp này cũng tồn tại những nhược điểm khác, chẳng hạn như yêu cầu nhà phát triển ứng dụng phải là thực thể hoạt động liên tục, chứ không phải là hợp đồng thông minh trên chuỗi một cách thụ động (không cần can thiệp liên tục).
zk-SNARK bản thân không thể giải quyết các rủi ro không liên quan đến quyền riêng tư
Tất cả các hình thức danh tính đều có các trường hợp biên:
Dựa trên danh tính do chính phủ phát hành (Government-rooted ID), bao gồm hộ chiếu, không thể bao phủ những người vô gia cư và không bao gồm những người chưa có các giấy tờ như vậy.
Mặt khác, hệ thống danh tính dựa trên chính phủ như vậy sẽ mang lại quyền lợi đặc biệt cho những người có nhiều quốc tịch.
Cơ quan cấp hộ chiếu có thể bị tấn công bởi tin tặc, và thậm chí các cơ quan tình báo của các quốc gia đối địch có thể giả mạo hàng triệu danh tính giả (ví dụ, nếu kiểu "bầu cử du kích" của Nga ngày càng trở nên phổ biến, có thể sử dụng danh tính giả để thao túng bầu cử).
Đối với những người có đặc điểm sinh học bị tổn hại do bệnh tật, danh tính sinh học sẽ hoàn toàn không còn hiệu lực.
Danh tính sinh trắc học rất có thể bị hàng giả lừa gạt. Nếu giá trị của danh tính sinh trắc học trở nên cực kỳ cao, chúng ta thậm chí có thể thấy có người chuyên培 chế tạo cơ quan con người chỉ để "sản xuất hàng loạt" loại danh tính này.
Những trường hợp biên này gây hại nhất trong các hệ thống cố gắng duy trì thuộc tính "một người một danh tính", và chúng hoàn toàn không liên quan đến quyền riêng tư. Do đó, zk-SNARK không thể làm gì để giải quyết vấn đề này.
Dựa vào "bằng chứng tài sản" để phòng ngừa tấn công phù thủy thì không đủ để giải quyết vấn đề, vì vậy chúng ta cần một hình thức hệ thống danh tính nào đó.
Trong cộng đồng hacker mã hóa thuần túy, một giải pháp thay thế phổ biến là: hoàn toàn dựa vào "bằng chứng tài sản" để ngăn chặn tấn công phù thủy, thay vì xây dựng bất kỳ hình thức hệ thống danh tính nào. Bằng cách khiến mỗi tài khoản phát sinh một chi phí nhất định, có thể ngăn chặn việc ai đó dễ dàng tạo ra nhiều tài khoản. Cách làm này đã có tiền lệ trên Internet, ví dụ như diễn đàn Somethingawful yêu cầu các tài khoản đăng ký trả phí một lần 10 đô la, nếu tài khoản bị cấm, khoản phí này sẽ không được hoàn lại. Tuy nhiên, điều này trong thực tế không phải là mô hình kinh tế mã hóa thực sự, vì rào cản lớn nhất để tạo tài khoản mới không phải là trả lại 10 đô la, mà là có được thẻ tín dụng mới.
Về lý thuyết, thậm chí có thể làm cho thanh toán có tính điều kiện: khi đăng ký tài khoản, bạn chỉ cần đặt cọc một khoản tiền, chỉ trong những trường hợp rất hiếm hoi khi tài khoản bị khóa mới mất khoản tiền này. Về lý thuyết, điều này có thể làm tăng đáng kể chi phí tấn công.
Giải pháp này có hiệu quả rõ rệt trong nhiều tình huống, nhưng hoàn toàn không khả thi trong một số loại tình huống. Tôi sẽ tập trung thảo luận về hai loại tình huống, tạm gọi là "cảnh UBI-like" và "cảnh governance-like".
nhu cầu về danh tính trong các tình huống tương tự như thu nhập cơ bản toàn cầu (UBI-like)
Khái niệm "kịch bản thu nhập cơ bản kiểu toàn dân" đề cập đến việc cần phát hành một lượng tài sản hoặc dịch vụ nhất định cho một nhóm người dùng rất rộng (trong lý tưởng là toàn bộ), mà không xem xét khả năng chi trả của họ. Worldcoin thực hiện điều này một cách hệ thống: bất kỳ ai sở hữu World ID đều có thể nhận được một lượng nhỏ WLD token định kỳ. Nhiều đợt airdrop token cũng đạt được mục tiêu tương tự theo cách không chính thức hơn, cố gắng để ít nhất một phần token rơi vào tay càng nhiều người dùng càng tốt.
Về phần tôi, tôi không nghĩ rằng giá trị của loại token này có thể đạt đến mức đủ để duy trì cuộc sống cá nhân. Trong một nền kinh tế do trí tuệ nhân tạo điều khiển, với quy mô tài sản đạt hàng nghìn lần hiện tại, loại token này có thể có giá trị duy trì cuộc sống; nhưng ngay cả như vậy, ít nhất có các dự án do chính phủ dẫn dắt với tài sản từ tài nguyên thiên nhiên vẫn sẽ chiếm vị trí quan trọng hơn về mặt kinh tế. Tuy nhiên, tôi nghĩ rằng vấn đề mà loại "thu nhập cơ bản nhỏ cho toàn dân (mini-UBIs)" này có thể thực sự giải quyết là: giúp mọi người có đủ số lượng tiền điện tử để thực hiện một số giao dịch cơ bản trên chuỗi và mua sắm trực tuyến. Cụ thể có thể bao gồm:
Lấy tên ENS
Xuất bản hash trên chuỗi để khởi tạo một danh tính zk-SNARK nào đó
Thanh toán phí nền tảng truyền thông xã hội
Nếu tiền điện tử được chấp nhận rộng rãi trên toàn cầu, thì vấn đề này sẽ không còn tồn tại. Nhưng trong bối cảnh tiền điện tử vẫn chưa phổ biến, đây có thể là cách duy nhất để mọi người tiếp cận các ứng dụng phi tài chính trên chuỗi và các dịch vụ hàng hóa trực tuyến liên quan, nếu không họ có thể hoàn toàn không thể tiếp cận những tài nguyên này.
Ngoài ra, còn một cách khác để đạt được hiệu quả tương tự, đó là "dịch vụ cơ bản toàn cầu (universal basic services)": cung cấp quyền gửi một số lượng giao dịch miễn phí hạn chế trong một ứng dụng cụ thể cho mỗi người có danh tính. Cách này có thể phù hợp hơn với cơ chế khuyến khích và hiệu quả vốn cao hơn, vì mỗi ứng dụng hưởng lợi từ việc áp dụng này có thể làm như vậy mà không cần phải trả tiền cho người không sử dụng; tuy nhiên, điều này cũng đi kèm với một số đánh đổi, tức là tính phổ quát sẽ giảm (người dùng chỉ có thể đảm bảo quyền truy cập vào các ứng dụng tham gia chương trình này). Nhưng ngay cả như vậy, vẫn cần một giải pháp danh tính để ngăn chặn hệ thống bị tấn công bởi thông tin rác, đồng thời tránh tạo ra sự loại trừ, sự loại trừ này xuất phát từ việc yêu cầu người dùng phải trả tiền thông qua một phương thức thanh toán nào đó, mà phương thức thanh toán này có thể không phải ai cũng có thể sử dụng.
Danh mục quan trọng cuối cùng cần được nhấn mạnh là "tiền đặt cọc bảo đảm cơ bản cho mọi người (universal basic security deposit)". Một trong những chức năng của danh tính là cung cấp một đối tượng có thể được sử dụng để chịu trách nhiệm mà không cần người dùng phải đặt cọc số tiền tương đương với quy mô kích thích. Điều này cũng giúp đạt được một mục tiêu: giảm sự phụ thuộc của ngưỡng tham gia vào lượng vốn cá nhân (thậm chí hoàn toàn không cần bất kỳ vốn nào).
nhu cầu về danh tính trong các tình huống giống như quản trị (governance-like)
Hãy tưởng tượng một hệ thống bỏ phiếu (ví dụ như nút thích và chia sẻ trên nền tảng truyền thông xã hội): nếu tài nguyên của người dùng A gấp 10 lần của người dùng B, thì quyền bỏ phiếu của A cũng sẽ gấp 10 lần của B. Nhưng từ góc độ kinh tế, mỗi đơn vị quyền bỏ phiếu mang lại lợi ích cho A gấp 10 lần so với B (bởi vì quy mô của A lớn hơn, bất kỳ quyết định nào đều có tác động rõ rệt hơn đến mặt kinh tế của A). Do đó, tổng thể mà nói, lợi ích của việc A bỏ phiếu cho bản thân là gấp 100 lần lợi ích của việc B bỏ phiếu cho bản thân. Chính vì điều này, chúng ta sẽ thấy A sẽ投入 nhiều năng lượng hơn để tham gia bỏ phiếu, nghiên cứu cách bỏ phiếu để tối đa hóa mục tiêu của bản thân, thậm chí có thể chiến lược thao túng thuật toán. Đây cũng là lý do cơ bản khiến "cá voi" có thể tạo ra ảnh hưởng quá mức trong cơ chế bỏ phiếu bằng token.
Lý do sâu xa và phổ biến hơn là: hệ thống quản trị không nên coi "một người nắm giữ 100.000 đô la" và "1.000 người cùng nắm giữ 100.000 đô la" là tương đương nhau. Cái sau đại diện cho 1.000 cá nhân độc lập, do đó sẽ chứa đựng nhiều thông tin có giá trị phong phú hơn, thay vì thông tin lặp lại với quy mô nhỏ. Tín hiệu từ 1.000 người cũng thường "ôn hòa" hơn, vì ý kiến của các cá nhân khác nhau thường sẽ tự triệt tiêu lẫn nhau.
Điều này áp dụng cho cả hệ thống bỏ phiếu chính thức và "hệ thống bỏ phiếu không chính thức", chẳng hạn như khả năng của mọi người tham gia vào sự tiến hóa văn hóa thông qua việc phát biểu công khai.
Điều này cho thấy, hệ thống quản trị kiểu này sẽ không thực sự hài lòng với cách tiếp cận "dù nguồn vốn từ đâu, các bó vốn có quy mô tương đương đều được đối xử như nhau". Hệ thống thực sự cần hiểu mức độ phối hợp nội bộ của các bó vốn này.
Cần lưu ý rằng, nếu bạn đồng ý với khung mô tả của tôi về hai loại tình huống trên (tình huống giống như thu nhập cơ bản toàn dân và tình huống giống như quản trị), thì từ góc độ kỹ thuật, nhu cầu về quy tắc rõ ràng "mỗi người một phiếu" sẽ không còn tồn tại.
Đối với các ứng dụng như thu nhập cơ bản toàn cầu (UBI-like), giải pháp danh tính thực sự cần thiết là: danh tính đầu tiên miễn phí, giới hạn số lượng danh tính có thể đạt được. Khi chi phí để có được nhiều danh tính hơn đủ cao để khiến hành động tấn công hệ thống trở nên vô nghĩa, thì hiệu quả giới hạn đã đạt được.
Đối với các ứng dụng thuộc loại hình quản trị (governance-like), nhu cầu cốt lõi là: có thể thông qua một chỉ số gián tiếp để xác định rằng, tài nguyên mà bạn tiếp xúc, đứng sau nó là một chủ thể kiểm soát đơn lẻ hay là một nhóm có sự hình thành "tự nhiên", có mức độ phối hợp thấp.
Trong hai trường hợp này, danh tính vẫn rất hữu ích, nhưng yêu cầu tuân thủ các quy tắc nghiêm ngặt như "mỗi người một danh tính" đã không còn.
Trạng thái lý tưởng về lý thuyết là: chi phí để có được N danh tính là N²
Từ các lập luận trên, chúng ta có thể thấy có hai loại áp lực từ hai đầu ngược chiều giới hạn độ khó mong đợi trong việc có được nhiều danh tính trong hệ thống danh tính:
Trước hết, không thể đặt một giới hạn cứng rõ ràng cho "số lượng danh tính có thể dễ dàng lấy được". Nếu một người chỉ có thể có một danh tính, thì không thể nói đến tính ẩn danh, và có thể bị ép buộc tiết lộ danh tính. Thực tế, ngay cả khi có một số lượng cố định lớn hơn 1 cũng có rủi ro: nếu mọi người đều biết mỗi người có 5 danh tính, thì bạn có thể bị ép buộc tiết lộ cả 5 danh tính.
Một lý do khác để hỗ trợ điều này là tính ẩn danh tự nó rất mong manh, do đó cần một không gian bảo mật đủ lớn. Nhờ vào các công cụ AI hiện đại, việc liên kết hành vi người dùng trên nhiều nền tảng trở nên dễ dàng, chỉ cần 33 bits thông tin từ các thông tin công khai như thói quen sử dụng từ ngữ, thời gian đăng bài, khoảng cách giữa các bài đăng, chủ đề thảo luận, có thể xác định chính xác một người. Mọi người có thể sử dụng các công cụ AI để phòng thủ (ví dụ, khi tôi đăng nội dung ẩn danh, tôi đã viết bằng tiếng Pháp trước, sau đó dịch sang tiếng Anh bằng mô hình ngôn ngữ chạy cục bộ), nhưng ngay cả như vậy, tôi cũng không mong muốn một sai lầm duy nhất sẽ hoàn toàn chấm dứt tính ẩn danh của mình.
Thứ hai, danh tính không thể hoàn toàn gắn liền với tài chính (tức là chi phí để có N danh tính là N), vì điều này sẽ cho phép các thực thể lớn dễ dàng có được ảnh hưởng quá lớn (từ đó dẫn đến việc các thực thể nhỏ hoàn toàn mất đi quyền nói). Cơ chế mới của Twitter Blue thể hiện điều này: phí chứng thực 8 đô la mỗi tháng là quá thấp, hoàn toàn không thể hạn chế hiệu quả hành vi lạm dụng, hiện tại người dùng cơ bản đã coi nhẹ loại dấu hiệu chứng thực này.
Ngoài ra, có lẽ chúng ta cũng không muốn các chủ thể có lượng tài nguyên gấp N lần có thể thoải mái thực hiện hành vi sai trái gấp N lần.
Tóm lại, chúng tôi hy vọng có thể dễ dàng có được nhiều danh tính trong bối cảnh đáp ứng các điều kiện ràng buộc sau: (1) Giới hạn quyền lực của các chủ thể lớn trong các ứng dụng quản trị; (2) Giới hạn hành vi lạm dụng trong các ứng dụng thu nhập cơ bản toàn dân.
Nếu áp dụng trực tiếp mô hình toán học của các ứng dụng quản trị đã đề cập trước đó, chúng ta sẽ có một câu trả lời rõ ràng: nếu sở hữu N danh tính mang lại sức ảnh hưởng N², thì chi phí để có được N danh tính cũng nên là N². Thật trùng hợp, câu trả lời này cũng áp dụng cho các ứng dụng tương tự như thu nhập cơ bản toàn dân.
Các độc giả cũ của blog này có thể sẽ nhận thấy rằng điều này hoàn toàn khớp với biểu đồ trong một bài viết trước đây về «quyên góp bậc hai», điều này không phải ngẫu nhiên.
Hệ thống danh tính đa dạng (Pluralistic identity) có thể đạt được trạng thái lý tưởng này
Hệ thống "danh tính đa dạng" được hiểu là cơ chế danh tính không có cơ quan phát hành chủ đạo duy nhất, bất kể cơ quan đó là cá nhân, tổ chức hay nền tảng. Hệ thống này có thể được thực hiện theo hai cách:
Danh tính đa dạng rõ ràng (Explicit pluralistic identity, còn được gọi là «danh tính dựa trên đồ thị xã hội social-graph-based identity»). Bạn có thể xác minh danh tính của mình (hoặc các tuyên bố khác, chẳng hạn như xác nhận mình là thành viên của một cộng đồng nào đó) thông qua chứng thực của những người khác trong cộng đồng của bạn, và danh tính của những người chứng thực này cũng được xác minh bằng cùng một cơ chế. Bài viết "Xã hội phi tập trung" có sự giải thích chi tiết hơn về loại thiết kế này, Circles là ví dụ hiện tại đang hoạt động.
Danh tính đa dạng ngầm (Implicit pluralistic identity). Đây là tình trạng hiện tại, có nhiều nhà cung cấp danh tính khác nhau, bao gồm Google, Twitter, các nền tảng tương tự ở các quốc gia và nhiều loại giấy tờ tùy thân được phát hành bởi các chính phủ khác nhau. Rất ít ứng dụng chỉ chấp nhận một loại xác thực danh tính, hầu hết các ứng dụng sẽ tương thích với nhiều loại, vì chỉ có như vậy mới có thể tiếp cận được người dùng tiềm năng.
Bản chụp nhanh mới nhất của biểu đồ danh tính Circles. Circles là một trong những dự án danh tính lớn nhất hiện nay, dựa trên đồ thị xã hội.
Danh tính đa dạng rõ ràng tự nhiên có tính ẩn danh: bạn có thể có một danh tính ẩn danh (thậm chí là nhiều danh tính), mỗi danh tính có thể xây dựng uy tín trong cộng đồng thông qua hành động của chính mình. Một hệ thống danh tính đa dạng rõ ràng lý tưởng có thể thậm chí không cần đến khái niệm "danh tính riêng biệt (discrete identities)"; ngược lại, bạn có thể sở hữu một tập hợp mờ được cấu thành từ các hành vi quá khứ có thể xác minh, và có thể chứng minh các phần khác nhau của nó theo cách tinh vi dựa trên nhu cầu của mỗi hành vi.
zk-SNARK sẽ giúp việc đạt được tính ẩn danh dễ dàng hơn: bạn có thể sử dụng danh tính chính để khởi động một danh tính ẩn danh, thông qua việc cung cấp tín hiệu đầu tiên một cách riêng tư để danh tính ẩn danh mới được công nhận (ví dụ, thông qua zk-SNARK để chứng minh rằng bạn sở hữu một số lượng token nhất định, từ đó có thể phát hành nội dung trên anon.world; hoặc, thông qua zk-SNARK để chứng minh rằng người hâm mộ Twitter của bạn có một đặc điểm nào đó). Có thể còn có những cách sử dụng zk-SNARK hiệu quả hơn.
Đường cong chi phí của danh tính đa dạng tiềm ẩn thì dốc hơn đường cong bậc hai, nhưng vẫn sở hữu hầu hết các đặc điểm cần thiết. Hầu hết mọi người có một số hình thức danh tính được liệt kê trong bài viết này, thay vì tất cả. Bạn có thể nỗ lực để có được một hình thức danh tính khác, nhưng càng nhiều hình thức danh tính bạn sở hữu, tỷ lệ chi phí lợi ích để có được hình thức tiếp theo càng thấp. Do đó, điều này cung cấp sự kiềm chế cần thiết để chống lại các cuộc tấn công quản trị và các hành vi lạm dụng khác, đồng thời đảm bảo rằng kẻ ép buộc không thể yêu cầu (và không thể kỳ vọng hợp lý) bạn tiết lộ một bộ danh tính cố định nào đó.
Bất kỳ hình thức nào của hệ thống danh tính đa dạng (dù là ẩn hay hiện) đều tự nhiên có độ chịu lỗi cao hơn: người khuyết tật tay hoặc mắt vẫn có thể giữ hộ chiếu, và những người không quốc tịch vẫn có thể chứng minh danh tính của họ qua một số kênh phi chính phủ.
Cần lưu ý rằng, nếu một hình thức danh tính nào đó có thị phần gần 100%, và trở thành lựa chọn đăng nhập duy nhất, thì những đặc điểm trên sẽ không còn hiệu lực. Theo tôi, đây là rủi ro lớn nhất mà các hệ thống danh tính quá theo đuổi "tính phổ quát" có thể gặp phải: một khi thị phần của nó gần 100%, nó sẽ đẩy thế giới từ hệ thống danh tính đa dạng sang mô hình "một người một danh tính", và như đã đề cập trong bài viết này, mô hình này tồn tại nhiều nhược điểm.
Theo tôi, kết quả lý tưởng hiện tại của dự án "mỗi người một danh tính" là sự hòa nhập với hệ thống danh tính dựa trên đồ thị xã hội. Vấn đề lớn nhất mà các dự án danh tính dựa trên đồ thị xã hội phải đối mặt là khó mở rộng đến hàng triệu người dùng. Trong khi đó, hệ thống "mỗi người một danh tính" có thể được sử dụng để cung cấp hỗ trợ ban đầu cho đồ thị xã hội, tạo ra hàng triệu "người dùng hạt giống", lúc đó số lượng người dùng sẽ đủ lớn để từ nền tảng này phát triển an toàn ra đồ thị xã hội phân tán toàn cầu.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Vitalik: Xác minh kỹ thuật số sử dụng công nghệ ZK, vậy có nghĩa là không còn rủi ro nữa sao?
Tác giả: Vitalik Buterin
Biên dịch: Saoirse, Foresight News
Ngày nay, việc sử dụng zk-SNARK trong hệ thống danh tính số để bảo vệ quyền riêng tư đã trở thành xu hướng chủ đạo ở một mức độ nhất định. Các dự án hộ chiếu zk-SNARK * (dịch nghĩa là dự án ZK-passport, chỉ các dự án danh tính số dựa trên công nghệ zk-SNARK) * đang phát triển các gói phần mềm cực kỳ thân thiện với người dùng, nhờ vào zk-SNARK, người dùng có thể chứng minh rằng họ có chứng minh danh tính hợp lệ mà không cần tiết lộ bất kỳ chi tiết nào về danh tính của mình. World ID (trước đây là Worldcoin), xác minh bằng công nghệ sinh trắc học và bảo vệ quyền riêng tư thông qua zk-SNARK, gần đây đã vượt qua 10 triệu người dùng. Một dự án danh tính số của chính phủ ở Đài Loan, Trung Quốc đã áp dụng zk-SNARK, và Liên minh Châu Âu cũng ngày càng chú trọng đến zk-SNARK trong lĩnh vực danh tính số.
Xét trên bề mặt, danh tính kỹ thuật số dựa trên công nghệ zk-SNARK được chấp nhận rộng rãi, dường như sẽ trở thành một chiến thắng lớn cho d/acc* (Chú thích: Khái niệm do Vitalik đưa ra vào năm 2023, là một quan điểm thúc đẩy sự phát triển của công nghệ phi tập trung thông qua các công cụ công nghệ (như mã hóa, blockchain, v.v.), đồng thời bảo vệ khỏi các rủi ro tiềm ẩn, cân bằng giữa đổi mới công nghệ và an toàn, quyền riêng tư cùng quyền tự quyết của con người.)* Nó có thể bảo vệ mạng xã hội, hệ thống bỏ phiếu và các dịch vụ Internet khác khỏi các cuộc tấn công của phù thủy và sự thao túng của robot mà không hy sinh quyền riêng tư. Nhưng liệu mọi thứ có thật sự đơn giản như vậy không? Danh tính dựa trên zk-SNARK có còn tồn tại rủi ro không? Bài viết này sẽ làm rõ những quan điểm sau:
zk-SNARK đóng gói danh tính hoạt động như thế nào?
Hãy tưởng tượng rằng bạn đã nhận được World ID bằng cách quét mống mắt, hoặc sử dụng máy đọc NFC trên điện thoại để quét hộ chiếu, nhận được danh tính dựa trên zk-SNARK. Đối với lập luận của bài viết này, hai cách này có những thuộc tính cốt lõi giống nhau (chỉ có một số khác biệt nhỏ ở những trường hợp biên như đa quốc tịch).
Trên điện thoại của bạn, có một giá trị bí mật s. Trong sổ đăng ký toàn cầu trên chuỗi, có một giá trị băm công khai H(s). Khi đăng nhập vào ứng dụng, bạn sẽ tạo ra một ID người dùng cụ thể cho ứng dụng đó, tức là H(s, app_name) và xác minh qua zk-SNARK: ID này đến từ cùng một giá trị bí mật s như một giá trị băm công khai nào đó trong sổ đăng ký. Do đó, mỗi giá trị băm công khai chỉ có thể tạo ra một ID cho mỗi ứng dụng, nhưng sẽ không bao giờ tiết lộ ID riêng của một ứng dụng tương ứng với giá trị băm công khai nào.
Trên thực tế, thiết kế có thể phức tạp hơn một chút. Trong World ID, ID riêng ứng dụng thực chất là giá trị băm của ID ứng dụng và ID phiên, do đó các thao tác khác nhau trong cùng một ứng dụng cũng có thể được giải liên kết với nhau. Thiết kế dựa trên zk-SNARK passport cũng có thể được xây dựng theo cách tương tự.
Trước khi thảo luận về những nhược điểm của loại danh tính này, trước tiên cần phải nhận ra những lợi thế mà nó mang lại. Ngoài lĩnh vực ngách của danh tính chứng minh bằng zero-knowledge (ZKID), để chứng minh bản thân với các dịch vụ cần xác thực danh tính, bạn buộc phải tiết lộ danh tính hợp pháp đầy đủ của mình. Điều này vi phạm nghiêm trọng "nguyên tắc quyền tối thiểu" trong bảo mật máy tính: một quy trình chỉ nên có được quyền và thông tin tối thiểu cần thiết để hoàn thành nhiệm vụ của nó. Chúng cần chứng minh rằng bạn không phải là robot, đã đủ 18 tuổi hoặc đến từ một quốc gia cụ thể, nhưng những gì chúng nhận được lại là sự chỉ dẫn về danh tính đầy đủ của bạn.
Giải pháp cải tiến tốt nhất hiện tại là sử dụng các mã thông qua điện thoại, số thẻ tín dụng: lúc này, chủ thể biết số điện thoại / số thẻ tín dụng của bạn liên quan đến hoạt động trong ứng dụng và chủ thể biết số điện thoại / số thẻ tín dụng của bạn liên quan đến danh tính hợp pháp (công ty hoặc ngân hàng) là hoàn toàn tách biệt. Nhưng sự tách biệt này rất mong manh: số điện thoại và các thông tin khác cũng có thể bị rò rỉ bất cứ lúc nào.
Và nhờ vào công nghệ đóng gói zk-SNARK* (ZK-wrapping, một phương pháp kỹ thuật sử dụng zk-SNARK để bảo vệ quyền riêng tư danh tính của người dùng, cho phép người dùng chứng minh danh tính của mình mà không tiết lộ thông tin nhạy cảm)*, vấn đề trên đã được giải quyết phần lớn. Nhưng điều tiếp theo cần thảo luận là một điểm ít được đề cập: vẫn còn một số vấn đề không chỉ chưa được giải quyết, mà thậm chí có thể trở nên nghiêm trọng hơn do sự hạn chế nghiêm ngặt "mỗi người một danh tính" trong các giải pháp như vậy.
zk-SNARK bản thân không thể thực hiện tính ẩn danh
Giả sử một nền tảng chứng minh không biết (ZK-identity) hoạt động hoàn toàn theo dự kiến, tái hiện nghiêm ngặt tất cả các logic trên, thậm chí đã tìm ra cách để bảo vệ thông tin riêng tư của người dùng không chuyên lâu dài mà không phụ thuộc vào các tổ chức tập trung. Nhưng đồng thời, chúng ta có thể đưa ra một giả định phù hợp với thực tế: các ứng dụng sẽ không chủ động hợp tác với việc bảo vệ quyền riêng tư, chúng sẽ tuân thủ nguyên tắc "chủ nghĩa thực dụng", các thiết kế mà chúng áp dụng tuy mang danh "tối đa hóa tiện lợi cho người dùng", nhưng có vẻ luôn nghiêng về lợi ích chính trị và thương mại của chính chúng.
Trong bối cảnh như vậy, các ứng dụng mạng xã hội sẽ không áp dụng thiết kế phức tạp như việc thường xuyên thay đổi khóa phiên, mà sẽ phân bổ cho mỗi người dùng một ID ứng dụng duy nhất, và do hệ thống danh tính tuân theo quy tắc "mỗi người một danh tính", người dùng chỉ có thể sở hữu một tài khoản (điều này trái ngược với "danh tính yếu (weak ID)" hiện nay, chẳng hạn như tài khoản Google, người bình thường có thể dễ dàng đăng ký khoảng 5 tài khoản). Trong thế giới thực, việc đạt được tính ẩn danh thường cần nhiều tài khoản: một tài khoản cho "danh tính thông thường", các tài khoản khác cho các danh tính ẩn danh khác nhau (xem "finsta and rinsta"). Do đó, trong mô hình này, tính ẩn danh thực tế mà người dùng có thể nhận được có thể thấp hơn mức hiện tại. Như vậy, ngay cả hệ thống "mỗi người một danh tính" được bao bọc bởi zk-SNARK, cũng có thể khiến chúng ta dần dần tiến tới một thế giới mà tất cả các hoạt động đều phải phụ thuộc vào một danh tính công khai duy nhất. Trong thời đại rủi ro ngày càng gia tăng (chẳng hạn như giám sát bằng drone), việc tước bỏ quyền lựa chọn của mọi người để bảo vệ bản thân thông qua tính ẩn danh sẽ mang lại những tác động tiêu cực nghiêm trọng.
zk-SNARK bản thân không thể bảo vệ bạn khỏi bị ép buộc
Dù bạn không công khai giá trị bí mật s của mình, không ai có thể thấy mối liên hệ công khai giữa các tài khoản của bạn, nhưng nếu có ai đó buộc bạn phải công khai thì sao? Chính phủ có thể buộc yêu cầu tiết lộ giá trị bí mật của bạn để xem tất cả các hoạt động của bạn. Đây không phải là điều hão huyền: Chính phủ Hoa Kỳ đã bắt đầu yêu cầu những người xin visa công khai tài khoản mạng xã hội của họ. Hơn nữa, nhà tuyển dụng cũng có thể dễ dàng yêu cầu tiết lộ thông tin công khai hoàn chỉnh như một điều kiện tuyển dụng. Thậm chí, một số ứng dụng ở cấp độ kỹ thuật cũng có thể yêu cầu người dùng tiết lộ danh tính của họ trên các ứng dụng khác mới cho phép đăng ký sử dụng (sử dụng đăng nhập app mặc định thực hiện điều này).
Tương tự, trong những trường hợp này, giá trị của thuộc tính zk-SNARK đã biến mất, nhưng nhược điểm của thuộc tính mới "mỗi người một tài khoản" vẫn còn tồn tại.
Chúng ta có thể giảm thiểu rủi ro ép buộc thông qua tối ưu hóa thiết kế: chẳng hạn, sử dụng cơ chế tính toán đa bên để tạo ra ID đặc thù cho từng ứng dụng, cho phép người dùng và bên cung cấp dịch vụ cùng tham gia. Như vậy, nếu không có sự tham gia của bên vận hành ứng dụng, người dùng sẽ không thể chứng minh ID đặc thù của mình trong ứng dụng đó. Điều này sẽ làm tăng độ khó trong việc ép buộc người khác tiết lộ danh tính đầy đủ, nhưng không thể hoàn toàn loại bỏ khả năng này, và loại giải pháp này cũng tồn tại những nhược điểm khác, chẳng hạn như yêu cầu nhà phát triển ứng dụng phải là thực thể hoạt động liên tục, chứ không phải là hợp đồng thông minh trên chuỗi một cách thụ động (không cần can thiệp liên tục).
zk-SNARK bản thân không thể giải quyết các rủi ro không liên quan đến quyền riêng tư
Tất cả các hình thức danh tính đều có các trường hợp biên:
Những trường hợp biên này gây hại nhất trong các hệ thống cố gắng duy trì thuộc tính "một người một danh tính", và chúng hoàn toàn không liên quan đến quyền riêng tư. Do đó, zk-SNARK không thể làm gì để giải quyết vấn đề này.
Dựa vào "bằng chứng tài sản" để phòng ngừa tấn công phù thủy thì không đủ để giải quyết vấn đề, vì vậy chúng ta cần một hình thức hệ thống danh tính nào đó.
Trong cộng đồng hacker mã hóa thuần túy, một giải pháp thay thế phổ biến là: hoàn toàn dựa vào "bằng chứng tài sản" để ngăn chặn tấn công phù thủy, thay vì xây dựng bất kỳ hình thức hệ thống danh tính nào. Bằng cách khiến mỗi tài khoản phát sinh một chi phí nhất định, có thể ngăn chặn việc ai đó dễ dàng tạo ra nhiều tài khoản. Cách làm này đã có tiền lệ trên Internet, ví dụ như diễn đàn Somethingawful yêu cầu các tài khoản đăng ký trả phí một lần 10 đô la, nếu tài khoản bị cấm, khoản phí này sẽ không được hoàn lại. Tuy nhiên, điều này trong thực tế không phải là mô hình kinh tế mã hóa thực sự, vì rào cản lớn nhất để tạo tài khoản mới không phải là trả lại 10 đô la, mà là có được thẻ tín dụng mới.
Về lý thuyết, thậm chí có thể làm cho thanh toán có tính điều kiện: khi đăng ký tài khoản, bạn chỉ cần đặt cọc một khoản tiền, chỉ trong những trường hợp rất hiếm hoi khi tài khoản bị khóa mới mất khoản tiền này. Về lý thuyết, điều này có thể làm tăng đáng kể chi phí tấn công.
Giải pháp này có hiệu quả rõ rệt trong nhiều tình huống, nhưng hoàn toàn không khả thi trong một số loại tình huống. Tôi sẽ tập trung thảo luận về hai loại tình huống, tạm gọi là "cảnh UBI-like" và "cảnh governance-like".
nhu cầu về danh tính trong các tình huống tương tự như thu nhập cơ bản toàn cầu (UBI-like)
Khái niệm "kịch bản thu nhập cơ bản kiểu toàn dân" đề cập đến việc cần phát hành một lượng tài sản hoặc dịch vụ nhất định cho một nhóm người dùng rất rộng (trong lý tưởng là toàn bộ), mà không xem xét khả năng chi trả của họ. Worldcoin thực hiện điều này một cách hệ thống: bất kỳ ai sở hữu World ID đều có thể nhận được một lượng nhỏ WLD token định kỳ. Nhiều đợt airdrop token cũng đạt được mục tiêu tương tự theo cách không chính thức hơn, cố gắng để ít nhất một phần token rơi vào tay càng nhiều người dùng càng tốt.
Về phần tôi, tôi không nghĩ rằng giá trị của loại token này có thể đạt đến mức đủ để duy trì cuộc sống cá nhân. Trong một nền kinh tế do trí tuệ nhân tạo điều khiển, với quy mô tài sản đạt hàng nghìn lần hiện tại, loại token này có thể có giá trị duy trì cuộc sống; nhưng ngay cả như vậy, ít nhất có các dự án do chính phủ dẫn dắt với tài sản từ tài nguyên thiên nhiên vẫn sẽ chiếm vị trí quan trọng hơn về mặt kinh tế. Tuy nhiên, tôi nghĩ rằng vấn đề mà loại "thu nhập cơ bản nhỏ cho toàn dân (mini-UBIs)" này có thể thực sự giải quyết là: giúp mọi người có đủ số lượng tiền điện tử để thực hiện một số giao dịch cơ bản trên chuỗi và mua sắm trực tuyến. Cụ thể có thể bao gồm:
Nếu tiền điện tử được chấp nhận rộng rãi trên toàn cầu, thì vấn đề này sẽ không còn tồn tại. Nhưng trong bối cảnh tiền điện tử vẫn chưa phổ biến, đây có thể là cách duy nhất để mọi người tiếp cận các ứng dụng phi tài chính trên chuỗi và các dịch vụ hàng hóa trực tuyến liên quan, nếu không họ có thể hoàn toàn không thể tiếp cận những tài nguyên này.
Ngoài ra, còn một cách khác để đạt được hiệu quả tương tự, đó là "dịch vụ cơ bản toàn cầu (universal basic services)": cung cấp quyền gửi một số lượng giao dịch miễn phí hạn chế trong một ứng dụng cụ thể cho mỗi người có danh tính. Cách này có thể phù hợp hơn với cơ chế khuyến khích và hiệu quả vốn cao hơn, vì mỗi ứng dụng hưởng lợi từ việc áp dụng này có thể làm như vậy mà không cần phải trả tiền cho người không sử dụng; tuy nhiên, điều này cũng đi kèm với một số đánh đổi, tức là tính phổ quát sẽ giảm (người dùng chỉ có thể đảm bảo quyền truy cập vào các ứng dụng tham gia chương trình này). Nhưng ngay cả như vậy, vẫn cần một giải pháp danh tính để ngăn chặn hệ thống bị tấn công bởi thông tin rác, đồng thời tránh tạo ra sự loại trừ, sự loại trừ này xuất phát từ việc yêu cầu người dùng phải trả tiền thông qua một phương thức thanh toán nào đó, mà phương thức thanh toán này có thể không phải ai cũng có thể sử dụng.
Danh mục quan trọng cuối cùng cần được nhấn mạnh là "tiền đặt cọc bảo đảm cơ bản cho mọi người (universal basic security deposit)". Một trong những chức năng của danh tính là cung cấp một đối tượng có thể được sử dụng để chịu trách nhiệm mà không cần người dùng phải đặt cọc số tiền tương đương với quy mô kích thích. Điều này cũng giúp đạt được một mục tiêu: giảm sự phụ thuộc của ngưỡng tham gia vào lượng vốn cá nhân (thậm chí hoàn toàn không cần bất kỳ vốn nào).
nhu cầu về danh tính trong các tình huống giống như quản trị (governance-like)
Hãy tưởng tượng một hệ thống bỏ phiếu (ví dụ như nút thích và chia sẻ trên nền tảng truyền thông xã hội): nếu tài nguyên của người dùng A gấp 10 lần của người dùng B, thì quyền bỏ phiếu của A cũng sẽ gấp 10 lần của B. Nhưng từ góc độ kinh tế, mỗi đơn vị quyền bỏ phiếu mang lại lợi ích cho A gấp 10 lần so với B (bởi vì quy mô của A lớn hơn, bất kỳ quyết định nào đều có tác động rõ rệt hơn đến mặt kinh tế của A). Do đó, tổng thể mà nói, lợi ích của việc A bỏ phiếu cho bản thân là gấp 100 lần lợi ích của việc B bỏ phiếu cho bản thân. Chính vì điều này, chúng ta sẽ thấy A sẽ投入 nhiều năng lượng hơn để tham gia bỏ phiếu, nghiên cứu cách bỏ phiếu để tối đa hóa mục tiêu của bản thân, thậm chí có thể chiến lược thao túng thuật toán. Đây cũng là lý do cơ bản khiến "cá voi" có thể tạo ra ảnh hưởng quá mức trong cơ chế bỏ phiếu bằng token.
Lý do sâu xa và phổ biến hơn là: hệ thống quản trị không nên coi "một người nắm giữ 100.000 đô la" và "1.000 người cùng nắm giữ 100.000 đô la" là tương đương nhau. Cái sau đại diện cho 1.000 cá nhân độc lập, do đó sẽ chứa đựng nhiều thông tin có giá trị phong phú hơn, thay vì thông tin lặp lại với quy mô nhỏ. Tín hiệu từ 1.000 người cũng thường "ôn hòa" hơn, vì ý kiến của các cá nhân khác nhau thường sẽ tự triệt tiêu lẫn nhau.
Điều này áp dụng cho cả hệ thống bỏ phiếu chính thức và "hệ thống bỏ phiếu không chính thức", chẳng hạn như khả năng của mọi người tham gia vào sự tiến hóa văn hóa thông qua việc phát biểu công khai.
Điều này cho thấy, hệ thống quản trị kiểu này sẽ không thực sự hài lòng với cách tiếp cận "dù nguồn vốn từ đâu, các bó vốn có quy mô tương đương đều được đối xử như nhau". Hệ thống thực sự cần hiểu mức độ phối hợp nội bộ của các bó vốn này.
Cần lưu ý rằng, nếu bạn đồng ý với khung mô tả của tôi về hai loại tình huống trên (tình huống giống như thu nhập cơ bản toàn dân và tình huống giống như quản trị), thì từ góc độ kỹ thuật, nhu cầu về quy tắc rõ ràng "mỗi người một phiếu" sẽ không còn tồn tại.
Trong hai trường hợp này, danh tính vẫn rất hữu ích, nhưng yêu cầu tuân thủ các quy tắc nghiêm ngặt như "mỗi người một danh tính" đã không còn.
Trạng thái lý tưởng về lý thuyết là: chi phí để có được N danh tính là N²
Từ các lập luận trên, chúng ta có thể thấy có hai loại áp lực từ hai đầu ngược chiều giới hạn độ khó mong đợi trong việc có được nhiều danh tính trong hệ thống danh tính:
Trước hết, không thể đặt một giới hạn cứng rõ ràng cho "số lượng danh tính có thể dễ dàng lấy được". Nếu một người chỉ có thể có một danh tính, thì không thể nói đến tính ẩn danh, và có thể bị ép buộc tiết lộ danh tính. Thực tế, ngay cả khi có một số lượng cố định lớn hơn 1 cũng có rủi ro: nếu mọi người đều biết mỗi người có 5 danh tính, thì bạn có thể bị ép buộc tiết lộ cả 5 danh tính.
Một lý do khác để hỗ trợ điều này là tính ẩn danh tự nó rất mong manh, do đó cần một không gian bảo mật đủ lớn. Nhờ vào các công cụ AI hiện đại, việc liên kết hành vi người dùng trên nhiều nền tảng trở nên dễ dàng, chỉ cần 33 bits thông tin từ các thông tin công khai như thói quen sử dụng từ ngữ, thời gian đăng bài, khoảng cách giữa các bài đăng, chủ đề thảo luận, có thể xác định chính xác một người. Mọi người có thể sử dụng các công cụ AI để phòng thủ (ví dụ, khi tôi đăng nội dung ẩn danh, tôi đã viết bằng tiếng Pháp trước, sau đó dịch sang tiếng Anh bằng mô hình ngôn ngữ chạy cục bộ), nhưng ngay cả như vậy, tôi cũng không mong muốn một sai lầm duy nhất sẽ hoàn toàn chấm dứt tính ẩn danh của mình.
Thứ hai, danh tính không thể hoàn toàn gắn liền với tài chính (tức là chi phí để có N danh tính là N), vì điều này sẽ cho phép các thực thể lớn dễ dàng có được ảnh hưởng quá lớn (từ đó dẫn đến việc các thực thể nhỏ hoàn toàn mất đi quyền nói). Cơ chế mới của Twitter Blue thể hiện điều này: phí chứng thực 8 đô la mỗi tháng là quá thấp, hoàn toàn không thể hạn chế hiệu quả hành vi lạm dụng, hiện tại người dùng cơ bản đã coi nhẹ loại dấu hiệu chứng thực này.
Ngoài ra, có lẽ chúng ta cũng không muốn các chủ thể có lượng tài nguyên gấp N lần có thể thoải mái thực hiện hành vi sai trái gấp N lần.
Tóm lại, chúng tôi hy vọng có thể dễ dàng có được nhiều danh tính trong bối cảnh đáp ứng các điều kiện ràng buộc sau: (1) Giới hạn quyền lực của các chủ thể lớn trong các ứng dụng quản trị; (2) Giới hạn hành vi lạm dụng trong các ứng dụng thu nhập cơ bản toàn dân.
Nếu áp dụng trực tiếp mô hình toán học của các ứng dụng quản trị đã đề cập trước đó, chúng ta sẽ có một câu trả lời rõ ràng: nếu sở hữu N danh tính mang lại sức ảnh hưởng N², thì chi phí để có được N danh tính cũng nên là N². Thật trùng hợp, câu trả lời này cũng áp dụng cho các ứng dụng tương tự như thu nhập cơ bản toàn dân.
Các độc giả cũ của blog này có thể sẽ nhận thấy rằng điều này hoàn toàn khớp với biểu đồ trong một bài viết trước đây về «quyên góp bậc hai», điều này không phải ngẫu nhiên.
Hệ thống danh tính đa dạng (Pluralistic identity) có thể đạt được trạng thái lý tưởng này
Hệ thống "danh tính đa dạng" được hiểu là cơ chế danh tính không có cơ quan phát hành chủ đạo duy nhất, bất kể cơ quan đó là cá nhân, tổ chức hay nền tảng. Hệ thống này có thể được thực hiện theo hai cách:
Bản chụp nhanh mới nhất của biểu đồ danh tính Circles. Circles là một trong những dự án danh tính lớn nhất hiện nay, dựa trên đồ thị xã hội.
Danh tính đa dạng rõ ràng tự nhiên có tính ẩn danh: bạn có thể có một danh tính ẩn danh (thậm chí là nhiều danh tính), mỗi danh tính có thể xây dựng uy tín trong cộng đồng thông qua hành động của chính mình. Một hệ thống danh tính đa dạng rõ ràng lý tưởng có thể thậm chí không cần đến khái niệm "danh tính riêng biệt (discrete identities)"; ngược lại, bạn có thể sở hữu một tập hợp mờ được cấu thành từ các hành vi quá khứ có thể xác minh, và có thể chứng minh các phần khác nhau của nó theo cách tinh vi dựa trên nhu cầu của mỗi hành vi.
zk-SNARK sẽ giúp việc đạt được tính ẩn danh dễ dàng hơn: bạn có thể sử dụng danh tính chính để khởi động một danh tính ẩn danh, thông qua việc cung cấp tín hiệu đầu tiên một cách riêng tư để danh tính ẩn danh mới được công nhận (ví dụ, thông qua zk-SNARK để chứng minh rằng bạn sở hữu một số lượng token nhất định, từ đó có thể phát hành nội dung trên anon.world; hoặc, thông qua zk-SNARK để chứng minh rằng người hâm mộ Twitter của bạn có một đặc điểm nào đó). Có thể còn có những cách sử dụng zk-SNARK hiệu quả hơn.
Đường cong chi phí của danh tính đa dạng tiềm ẩn thì dốc hơn đường cong bậc hai, nhưng vẫn sở hữu hầu hết các đặc điểm cần thiết. Hầu hết mọi người có một số hình thức danh tính được liệt kê trong bài viết này, thay vì tất cả. Bạn có thể nỗ lực để có được một hình thức danh tính khác, nhưng càng nhiều hình thức danh tính bạn sở hữu, tỷ lệ chi phí lợi ích để có được hình thức tiếp theo càng thấp. Do đó, điều này cung cấp sự kiềm chế cần thiết để chống lại các cuộc tấn công quản trị và các hành vi lạm dụng khác, đồng thời đảm bảo rằng kẻ ép buộc không thể yêu cầu (và không thể kỳ vọng hợp lý) bạn tiết lộ một bộ danh tính cố định nào đó.
Bất kỳ hình thức nào của hệ thống danh tính đa dạng (dù là ẩn hay hiện) đều tự nhiên có độ chịu lỗi cao hơn: người khuyết tật tay hoặc mắt vẫn có thể giữ hộ chiếu, và những người không quốc tịch vẫn có thể chứng minh danh tính của họ qua một số kênh phi chính phủ.
Cần lưu ý rằng, nếu một hình thức danh tính nào đó có thị phần gần 100%, và trở thành lựa chọn đăng nhập duy nhất, thì những đặc điểm trên sẽ không còn hiệu lực. Theo tôi, đây là rủi ro lớn nhất mà các hệ thống danh tính quá theo đuổi "tính phổ quát" có thể gặp phải: một khi thị phần của nó gần 100%, nó sẽ đẩy thế giới từ hệ thống danh tính đa dạng sang mô hình "một người một danh tính", và như đã đề cập trong bài viết này, mô hình này tồn tại nhiều nhược điểm.
Theo tôi, kết quả lý tưởng hiện tại của dự án "mỗi người một danh tính" là sự hòa nhập với hệ thống danh tính dựa trên đồ thị xã hội. Vấn đề lớn nhất mà các dự án danh tính dựa trên đồ thị xã hội phải đối mặt là khó mở rộng đến hàng triệu người dùng. Trong khi đó, hệ thống "mỗi người một danh tính" có thể được sử dụng để cung cấp hỗ trợ ban đầu cho đồ thị xã hội, tạo ra hàng triệu "người dùng hạt giống", lúc đó số lượng người dùng sẽ đủ lớn để từ nền tảng này phát triển an toàn ra đồ thị xã hội phân tán toàn cầu.