zk-SNARKs et identité numérique : multiples dilemmes et solutions

Aujourd'hui, l'application de la technologie des zk-SNARKs dans les systèmes d'identité numérique est devenue courante. Divers projets d'identification basés sur les zk-SNARKs sont en cours de développement pour créer des logiciels conviviaux, permettant aux utilisateurs de prouver qu'ils possèdent une identité valide sans révéler de détails d'identification. Le nombre d'utilisateurs de World ID, qui utilise la technologie biométrique et les zk-SNARKs, a dépassé 10 millions. Les projets d'identité numérique dans des régions comme Taïwan et l'Union européenne accordent également de plus en plus d'importance à la technologie des zk-SNARKs.

À première vue, la généralisation de l'identité numérique basée sur les zk-SNARKs semble être une victoire du décentralisation accélérée (d/acc). Cela peut protéger les médias sociaux, les systèmes de vote et les services Internet contre les attaques de sorcières et la manipulation par des robots, sans sacrifier la vie privée. Mais est-ce vraiment aussi simple ? Cet article exposera les points suivants :

• zk-SNARKs a résolu de nombreux problèmes importants
• Mais il existe encore des risques, principalement dus à la stricte protection de l'attribut "une personne, une identification".
• Il n'est pas suffisant de se fier uniquement à la "preuve de richesse" pour se protéger contre les attaques de sorcellerie, nous avons besoin d'un certain type de solution "d'identification".
• L'état idéal est que le coût pour obtenir N identifications soit N².
• L'identité multiple est la solution la plus réaliste, pouvant être une identification explicite ( basée sur le réseau social ) ou une identification implicite ( avec plusieurs zk-SNARKs coexistants ).

mécanisme de fonctionnement de l'identification par zk-SNARKs

Supposons que vous obtenez un World ID en scannant votre iris, ou que vous obtenez une identification de passeport basée sur des zk-SNARKs en scannant votre passeport avec le NFC de votre téléphone. Votre téléphone contient une valeur secrète s, et il y a une valeur de hachage publique correspondante H(s) dans le registre mondial sur la chaîne. Lors de la connexion à l'application, vous générez un ID utilisateur spécifique à l'application : H(s, app_name), et vous validez cet ID avec des zk-SNARKs pour prouver qu'il provient de la même valeur secrète s que celle de la valeur de hachage publique dans le registre.

Ce design peut être plus complexe. Par exemple, dans l'identité mondiale, l'identifiant spécifique à l'application contient la valeur de hachage de l'identifiant de l'application et de l'identifiant de session, permettant de dissocier différentes opérations au sein de la même application. La conception du passeport basé sur zk-SNARKs peut également être construite de manière similaire.

Ce système d'identification présente des avantages évidents par rapport aux méthodes traditionnelles. La vérification d'identité traditionnelle exige souvent des utilisateurs qu'ils révèlent leur identité légale complète, ce qui viole gravement le principe du moindre privilège. La technologie d'emballage des zk-SNARKs résout en grande partie ce problème.

Mais il reste encore quelques problèmes non résolus, qui pourraient même être aggravés par la stricte restriction de "une personne, une identité".

zk-SNARKs ne peut pas garantir l'anonymat.

Supposons qu'une plateforme d'identification basée sur des zk-SNARKs fonctionne comme prévu, mais que l'application ne collabore pas activement à la protection de la vie privée, adoptant plutôt le principe du "pragmatisme" en attribuant à chaque utilisateur un ID unique dédié à l'application. Étant donné que le système d'identification suit la règle "une personne, une identité", chaque utilisateur ne peut posséder qu'un seul compte.

Dans la réalité, la réalisation de l'anonymat nécessite généralement plusieurs comptes : un pour l'identité normale, les autres pour l'identité anonyme. Par conséquent, l'anonymat que les utilisateurs obtiennent réellement dans ce modèle pourrait être inférieur au niveau actuel. Même un système "une personne, une identité" encapsulé par des zk-SNARKs pourrait nous conduire progressivement vers un monde où toutes les activités doivent être liées à une seule identité publique.

zk-SNARKs ne peut pas vous protéger contre la coercition.

Même si vous ne divulguez pas la valeur secrète s, personne ne peut voir les liens publics entre vos différents comptes. Mais que se passe-t-il si quelqu'un vous force à le divulguer ? Le gouvernement pourrait exiger la divulgation de la valeur secrète afin de vérifier toutes les activités. Les employeurs pourraient également rendre la divulgation de toutes les informations publiques une condition d'embauche. Certaines applications pourraient même exiger, au niveau technique, que les utilisateurs divulguent leur identité sur d'autres applications pour permettre l'inscription.

Dans ces cas, la valeur des zk-SNARKs disparaît, mais les inconvénients de "un compte par personne" existent toujours.

Nous pouvons réduire le risque de coercition par l'optimisation de la conception, par exemple en utilisant un mécanisme de calcul multipartite pour générer un ID exclusif à chaque application. Cependant, cela ne peut pas éliminer complètement le risque et présente également d'autres inconvénients.

zk-SNARKs ne peut pas résoudre les risques non liés à la vie privée.

Toutes les formes d'identification présentent des cas limites :

• L'identité basée sur l'émission du gouvernement ne peut pas couvrir les personnes apatrides.
• Les détenteurs de nationalités multiples bénéficieront d'avantages uniques
• L'organisme émetteur du passeport peut être victime d'une attaque par des hackers ou être falsifié.
• L'identification biométrique peut être complètement inefficace pour certaines personnes.
• L'identification biométrique pourrait être trompée par des contrefaçons.

Ces cas extrêmes posent le plus grand danger dans les systèmes qui tentent de maintenir la propriété "une personne, une identité", et n'ont rien à voir avec la vie privée. Par conséquent, zk-SNARKs ne peuvent rien y faire.

S'appuyer sur "preuve de richesse" pour se prémunir contre les attaques de sorcières n'est pas suffisant

Dans la communauté purement cypherpunk, une alternative courante consiste à s'appuyer entièrement sur la "preuve de richesse" pour se prémunir contre les attaques de sorcellerie. En faisant en sorte que chaque compte génère un certain coût, cela empêche quiconque de créer facilement un grand nombre de comptes. Cette pratique a déjà des précédents sur Internet, par exemple le forum Somethingawful exigeait un paiement unique de 10 dollars pour l'enregistrement d'un compte.

En théorie, il est même possible de rendre les paiements conditionnels : lors de l'inscription d'un compte, il suffit de miser des fonds, et ces fonds ne seront perdus que si le compte est suspendu. Cela peut considérablement augmenter le coût des attaques.

Cette solution fonctionne de manière significative dans de nombreux scénarios, mais elle ne fonctionne pas du tout dans certains types de scénarios. Je vais me concentrer sur deux types de scénarios : le scénario de revenu de base universel (UBI-like) et le scénario de gouvernance (governance-like).

la demande d'identification dans le cadre d'un revenu de base universel

Le scénario de revenu de base universel fait référence à la distribution d'un certain nombre d'actifs ou de services à un très large groupe d'utilisateurs, sans tenir compte de leur capacité de paiement. Worldcoin incarne systématiquement cela : toute personne possédant un World ID peut recevoir régulièrement une petite quantité de jetons WLD. De nombreux airdrops de jetons réalisent également des objectifs similaires de manière plus informelle.

Je pense que ce type de "revenu de base universel de petite taille" peut résoudre concrètement les problèmes suivants : permettre aux gens d'obtenir une quantité suffisante de cryptomonnaies pour effectuer des transactions de base en chaîne et des achats en ligne. Cela pourrait inclure :

• Obtenir un nom ENS
• Publier un hash sur la chaîne pour initialiser une certaine identité numérique zk-SNARKs
• Payer les frais de plateforme de médias sociaux

Si les crypto-monnaies étaient largement adoptées à l'échelle mondiale, ce problème n'existerait plus. Mais tant que les crypto-monnaies ne sont pas encore répandues, cela pourrait être le seul moyen pour les gens d'accéder à des applications non financières sur la blockchain et à des services de produits en ligne connexes.

Une autre façon d'atteindre un effet similaire est le "service de base universel": fournir à chaque personne ayant une identification la possibilité d'effectuer un nombre limité de transactions gratuites dans une application spécifique. Cette approche pourrait mieux correspondre aux mécanismes d'incitation et être plus efficace en capital. Cependant, même dans ce cas, il est toujours nécessaire d'avoir une solution d'identification pour empêcher le système de subir des attaques par des informations indésirables tout en évitant l'exclusivité.

La dernière catégorie importante à souligner est "la garantie de base universelle". L'une des fonctions de l'identification est de fournir un objet pouvant être utilisé pour la responsabilité, sans que l'utilisateur doive engager des fonds équivalents à l'échelle des incitations. Cela aide également à réduire la dépendance au montant de capital personnel pour le seuil de participation.

La demande d'identification dans les scénarios de gouvernance de classe

Dans un système de vote, si les ressources de l'utilisateur A sont 10 fois celles de l'utilisateur B, alors son droit de vote sera également 10 fois celui de B. Mais d'un point de vue économique, chaque unité de droit de vote apporte à A un revenu qui est 10 fois celui de B. Ainsi, de manière générale, le vote d'A lui profite 100 fois plus que le vote de B ne lui profite. C'est la raison fondamentale pour laquelle les "whales" peuvent avoir une influence excessive dans le mécanisme de vote par jetons.

La raison plus profonde est que : le système de gouvernance ne doit pas accorder le même poids à "une personne contrôlant 100 000 $" et à "1000 personnes détenant 100 000 $". Ce dernier représente 1000 individus indépendants, et donc contient des informations précieuses plus riches, plutôt qu'une forte répétition d'informations de faible volume. Les signaux provenant de 1000 personnes sont également souvent plus "modérés", car les opinions des différents individus tendent à s'annuler.

Cela indique que les systèmes de gouvernance ne seront pas réellement satisfaits par la pratique de "treating all bundles of funds of equal scale equally, regardless of their source". Le système a en fait besoin de comprendre le degré de coordination interne de ces bundles de fonds.

Il est important de noter que si vous êtes d'accord avec mon cadre de description des deux types de scénarios ci-dessus, alors du point de vue technique, le besoin d'une règle claire comme "une personne, une voix" n'existe plus.

• Pour les scénarios d'application de revenu de base universel, le véritable besoin en matière d'identification est : la première identification gratuite, avec une limite sur le nombre d'identités accessibles.
• Pour les applications de type gouvernance, le besoin clé est : pouvoir déterminer par un certain indicateur indirect si la ressource à laquelle vous êtes confronté est contrôlée par un seul acteur ou par un groupe "naturellement formé" avec un degré de coordination relativement faible.

Dans ces deux scénarios, l'identification reste très utile, mais l'exigence de suivre des règles strictes telles que "une personne, une identité" n'existe plus.

L'état idéal théorique est le suivant : le coût d'obtention de N identifications est de N².

À partir des arguments ci-dessus, nous pouvons voir qu'il existe deux pressions provenant des deux extrémités opposées qui limitent la difficulté espérée d'obtenir plusieurs identifications dans le système d'identification :

Tout d'abord, il ne faut pas établir une limite stricte et clairement visible sur le "nombre d'identités facilement accessibles". Si une personne ne peut avoir qu'une seule identité, il ne peut être question d'anonymat, et elle pourrait être contrainte de révéler son identité.

Deuxièmement, l'identification ne peut pas être entièrement liée aux finances (, c'est-à-dire que le coût d'obtention de N identifications est de N ), car cela permettrait à de grandes entités d'acquérir trop d'influence facilement. Le nouveau mécanisme de Twitter Blue illustre ce point : le coût de certification de 8 dollars par mois est trop bas pour limiter efficacement les abus.

En résumé, nous espérons obtenir plusieurs identifications aussi facilement que possible, sous les conditions suivantes : ( limiter le pouvoir des grands acteurs dans les applications de gouvernance ; ) limiter les abus dans les applications de revenu de base universel.

Si nous utilisons directement le modèle mathématique des applications de gouvernance mentionnées précédemment, nous obtiendrons une réponse claire : si avoir N identifications peut entraîner un impact de N², alors le coût d'acquisition de N identifications devrait être N². Par coïncidence, cette réponse est également valable pour les applications de revenu de base universel.

( un système d'identification multiple peut réaliser cet état idéal

Le terme "système d'identification multiple" fait référence à un mécanisme d'identification sans un seul émetteur dominant. Ce système peut être mis en œuvre de deux manières :

• L'identité multiple explicite ) est également appelée "identité basée sur le graphe social" ###. Vous pouvez confirmer votre identité grâce aux preuves d'autres personnes dans votre communauté, et l'identité de ces prouveurs est également vérifiée par le même mécanisme. Circles est un exemple en cours d'exécution.

• Identités multiples invisibles. C'est la situation actuelle, il existe de nombreux fournisseurs d'identité différents, y compris Google, Twitter, des plateformes similaires dans divers pays et divers documents d'identité émis par des gouvernements, etc. Très peu d'applications n'acceptent qu'une seule méthode d'authentification d'identité, la plupart des applications sont compatibles avec plusieurs.

L'identité multiple explicite possède naturellement de l'anonymat : vous pouvez avoir une identité anonyme (, voire plusieurs ), et chaque identité peut établir sa réputation dans la communauté par ses propres actions. Un système d'identité multiple explicite idéal pourrait même ne pas nécessiter le concept d'"identité indépendante" ; au contraire, vous pourriez posséder un ensemble flou constitué d'actions passées vérifiables, et être capable de prouver différentes parties de celui-ci de manière précise selon les besoins de chaque action.

zk-SNARKs rendra l'anonymat plus facile à réaliser : vous pouvez utiliser une identité principale pour initier une identité anonyme, en fournissant discrètement le premier signal pour que la nouvelle identité anonyme soit obtenue.