zk-SNARKs та цифрова ідентичність: багаторазові труднощі та шляхи їх вирішення

Сьогодні технологія zk-SNARKs у системах цифрової ідентичності стала основною. Різноманітні проєкти ідентифікації на основі zk-SNARKs розробляють зручні для користувача програмні пакети, що дозволяють користувачам доводити свою дійсність без розголошення деталей ідентифікації. Кількість користувачів World ID, що використовують біометричні технології та zk-SNARKs, перевищила 10 мільйонів. Проєкти цифрової ідентичності в таких регіонах, як Тайвань та ЄС, також дедалі більше акцентують увагу на технології zk-SNARKs.

На перший погляд, популяризація цифрової ідентичності на основі zk-SNARKs здається перемогою децентралізованого акселераціонізму (d/acc). Вона може захистити соціальні мережі, системи голосування та інтернет-сервіси від атак відьом і маніпуляцій роботами без жертвування приватністю. Але чи дійсно все так просто? У цій статті буде викладено такі думки:

• zk-SNARKs упаковка вирішила багато важливих проблем
• Але все ще існують ризики, які в основному пов'язані зі строгим підтриманням атрибута "одна людина - одна ідентичність"
• Просто покладатися на "доказ багатства" для запобігання атак від відьом недостатньо, нам потрібен певний "схожий на ідентифікацію" план.
• Ідеальний стан - це отримання N ідентифікацій за вартістю N²
• Багатогранна ідентифікація є найреальнішим рішенням, може бути явною ( на основі соціальної графіки ) або прихованою ( множинною zk-SNARKs ідентичністю, що існує поряд )

zk-SNARKs ідентифікація механізм роботи

Припустимо, ви отримали World ID, скануючи райдужку ока, або отримали паспортну ідентифікацію на основі zk-SNARKs, скануючи паспорт за допомогою NFC на телефоні. У вас на телефоні є секретне значення s, а в глобальному реєстрі на блокчейні є відповідне публічне хеш-значення H(s). Коли ви входите в додаток, ви генеруєте унікальний для цього додатка ідентифікатор користувача: H(s, app_name), і перевіряєте через zk-SNARKs, що цей ID походить з того ж секретного значення s, що й одне з публічних хеш-значень у реєстрі.

Цей дизайн може бути складнішим. Наприклад, у World ID, спеціальний ID додатку містить хеш-значення ID додатку та ID сесії, що дозволяє різним операціям у межах одного додатку також розірвати пов’язаність. Дизайн паспорта на основі zk-SNARKs також може бути побудований за аналогічним принципом.

Ця система ідентифікації має значні переваги в порівнянні з традиційними методами. Традиційна ідентифікація часто вимагає від користувачів розкриття повної законної ідентичності, що серйозно порушує принцип найменших привілеїв. А технологія упаковки zk-SNARKs у значній мірі вирішує цю проблему.

Але все ще є деякі питання, які залишаються невирішеними, і навіть можуть стати ще серйознішими через суворе обмеження "одна особа - одна ідентифікація".

zk-SNARKs самі по собі не можуть забезпечити анонімність

Припустимо, що платформа ідентифікації на основі zk-SNARKs працює згідно з очікуваннями, але програма не співпрацює із захистом конфіденційності, а натомість використовує принцип "прагматизму", надаючи кожному користувачеві унікальний ідентифікатор програми. Оскільки система ідентифікації дотримується правила "одна особа - одна ідентичність", користувач може мати лише один обліковий запис.

В реальному житті реалізація анонімності зазвичай потребує кількох облікових записів: один для звичайної ідентифікації, інші для анонімної ідентифікації. Тому за такої моделі реальна анонімність, яку отримують користувачі, може бути нижчою за поточний рівень. Навіть система "одна особа - одна ідентифікація", упакована за допомогою zk-SNARKs, може поступово привести нас до світу, де всі активності повинні залежати від єдиної публічної ідентичності.

zk-SNARKs самі по собі не можуть захистити вас від примусу

Навіть якщо ви не публікуєте секретне значення s, ніхто не зможе бачити публічні зв'язки між вашими рахунками, але що якщо хтось примусить вас їх розкрити? Уряд може примусити вас розкрити секретне значення, щоб переглянути всі активності. Роботодавець також може вимагати розкрити повну публічну інформацію як умову прийняття на роботу. Деякі додатки навіть можуть на технічному рівні вимагати від користувачів розкриття їхньої ідентифікації в інших додатках для дозволу на реєстрацію.

У таких випадках цінність zk-SNARKs зникає, але недоліки "одна особа - один рахунок" все ще залишаються.

Ми можемо знизити ризик примусу шляхом оптимізації дизайну, наприклад, використовуючи механізм багатосторонніх обчислень для генерації унікального ID для кожного додатку. Але це не може повністю усунути ризик, і є й інші недоліки.

zk-SNARKs самі по собі не можуть вирішити ризики, які не пов'язані з конфіденційністю

Усі форми ідентифікації мають крайні випадки:

• На основі ідентифікації, виданої урядом, не можна охопити осіб без громадянства.
• Власники кількох громадянств отримають унікальні привілеї
• Видання паспортів може зазнати хакерських атак або бути підробленим
• Біометрична ідентифікація може повністю втратити свою ефективність для деяких людей
• Біометрична ідентифікація може бути обманута підробками

Ці крайні випадки завдають найбільшої шкоди системам, що намагаються підтримувати атрибут "одна особа - одна ідентичність", і не пов'язані з конфіденційністю. Тому zk-SNARKs тут безсилі.

покладатися на "докази багатства" для запобігання атакам відьом недостатньо

У чисто криптопанк-спільноті поширеною альтернативою є повна залежність від "доказу багатства" для захисту від атак відьом. Вимагаючи від кожного облікового запису певних витрат, можна запобігти легкому створенню великої кількості облікових записів. Ця практика вже має прецеденти в Інтернеті, наприклад, форум Somethingawful вимагає сплатити одноразовий внесок у 10 доларів для реєстрації облікового запису.

Теоретично, навіть можна зробити так, щоб платежі мали умови: під час реєстрації рахунку потрібно лише заблокувати кошти, і тільки в разі блокування акаунта ці кошти будуть втрачені. Це може значно підвищити вартість атаки.

Цей підхід показує значні результати в багатьох сценаріях, але в деяких типах сценаріїв він зовсім не працює. Я зосереджуся на двох категоріях сценаріїв: сценарії на зразок універсального базового доходу (UBI-like) та сценарії на зразок управління (governance-like).

потреба в ідентифікації в сценарії загального базового доходу

Сценарії, що нагадують універсальний базовий дохід, передбачають необхідність розподілу певної кількості активів або послуг серед дуже широкої групи користувачів, не враховуючи їх платоспроможність. Worldcoin систематично реалізує це: будь-хто, хто має World ID, може регулярно отримувати невелику кількість WLD токенів. Багато аірдропів токенів також досягають подібних цілей більш неформальними способами.

Я вважаю, що такі "малі універсальні базові доходи" можуть реально вирішити такі проблеми: дозволити людям отримувати достатню кількість криптовалюти для виконання деяких базових онлайнових транзакцій та покупок. Конкретні приклади можуть включати:

• Отримати ENS ім'я
• Опублікуйте хеш в ланцюгу для ініціалізації певної zk-SNARKs ідентичності
• Оплата зборів платформ соціальних медіа

Якщо криптовалюти отримають широке визнання у всьому світі, це питання більше не існуватиме. Але наразі, коли криптовалюти ще не популярні, це може бути єдиним способом для людей отримати доступ до нефінансових застосувань на блокчейні та відповідних онлайн-товарів і послуг.

Інший спосіб досягнення подібного ефекту – це "універсальні базові послуги": надання кожній особі, що має ідентифікацію, права на відправлення обмеженої кількості безкоштовних транзакцій у конкретному застосуванні. Цей підхід може більше відповідати механізмам заохочення та бути більш капітально ефективним. Але навіть у цьому випадку все ще потрібне рішення щодо ідентифікації, щоб запобігти атакам спаму на систему та уникнути виключності.

Остання важлива категорія, яку варто підкреслити, це "глобальна базова гарантія". Однією з функцій ідентифікації є надання об'єкта для притягнення до відповідальності, не вимагаючи від користувачів заставляти кошти, що відповідають розміру стимулів. Це також допомагає знизити залежність від обсягу особистого капіталу при вході в участь.

Потреба в ідентифікації в сценаріях управління

У системі голосування, якщо ресурси користувача A в 10 разів більші, ніж у користувача B, то йому належить і голосування в 10 разів більше. Але з економічної точки зору, кожна одиниця голосування приносить A прибуток, який у 10 разів перевищує прибуток B. Отже, в цілому, голосування A приносить йому в 100 разів більше вигоди, ніж голосування B для нього самого. Це і є основна причина, чому "великі китові" в механізмі голосування з токенами можуть створювати надмірний вплив.

Глибші причини полягають у тому, що система управління не повинна надавати однакову вагу поняттям "одна людина контролює 100 тисяч доларів" і "1000 людей спільно володіють 100 тисячами доларів". Останнє представляє собою 1000 незалежних осіб, отже, міститиме більш різноманітну та цінну інформацію, а не високу повторюваність невеликого обсягу інформації. Сигнали від 1000 осіб також зазвичай є "м'якшими", оскільки думки різних осіб часто взаємно компенсують одна одну.

Це свідчить про те, що системи управління не будуть справді задовольнятися практикою "не зважаючи на джерела фінансування, однакові за обсягом фінансові ресурси повинні розглядатися однаково". Система насправді повинна розуміти рівень внутрішньої координації цих фінансових ресурсів.

Потрібно звернути увагу на те, що, якщо ви погоджуєтеся з моєю описовою структурою двох наведених вище категорій, то з технічної точки зору потреба в чітких правилах "одна особа – один голос" більше не існує.

• Для застосування сценаріїв, схожих на загальний базовий дохід, справжнім необхідним рішенням для ідентифікації є: перша ідентифікація безкоштовна, з обмеженням на кількість доступних ідентифікацій.
• Для застосування в умовах управлінських сценаріїв основна вимога полягає в тому, щоб мати можливість визначити за певним непрямим показником, чи є контроль над цим ресурсом єдиним суб'єктом, чи це певна "природна формація", що характеризується низьким рівнем координації.

У цих двох сценаріях ідентифікація все ще є дуже корисною, але вимога дотримуватись строгих правил на кшталт "одна особа - одна ідентичність" вже не актуальна.

Теоретично ідеальний стан: вартість отримання N ідентичностей дорівнює N²

З наведених вище аргументів видно, що існує два тиски з протилежних сторін, які обмежують очікувану складність отримання кількох ідентичностей у системі ідентифікації:

По-перше, не можна встановлювати чітко видимий жорсткий ліміт на "кількість ідентифікацій, які можна легко отримати". Якщо у людини може бути лише одна ідентифікація, то про анонімність не може бути й мови, і вона може бути змушена розкрити свою ідентифікацію.

По-друге, ідентифікація не може бути повністю пов'язана з фінансами (, оскільки отримання N ідентифікацій коштує N ), оскільки це дозволить великим суб'єктам легко отримувати надмірний вплив. Нова механіка Twitter Blue ілюструє це: щомісячна плата за сертифікацію у 8 доларів занадто низька, щоб ефективно обмежити зловживання.

З огляду на наведені вище аргументи, ми сподіваємося отримати кілька ідентифікацій якомога легше за умови дотримання наступних обмежень: ( обмеження влади великих суб'єктів у застосуваннях класу управління; ) обмеження зловживань у застосуваннях класу універсального базового доходу.

Якщо безпосередньо запозичити математичну модель управлінських застосувань, згадану раніше, ми отримаємо чітку відповідь: якщо наявність N ідентифікацій приносить вплив N², то витрати на отримання N ідентифікацій повинні становити N². Цікаво, що ця відповідь також підходить для застосувань, пов'язаних з універсальним базовим доходом.

( Багатогранна система ідентифікації може досягти цього ідеального стану

Термін "багатовимірна ідентифікаційна система" означає механізм ідентифікації, в якому немає єдиного домінуючого емітента. Цю систему можна реалізувати двома способами:

• Явна багатомірна ідентичність ) також відома як "ідентифікація на основі соціального графа" ###. Ви можете підтвердити свою ідентичність за допомогою підтверджень від інших людей у вашій спільноті, а ідентичність цих підтверджувачів також перевіряється за тим же механізмом. Circles є наразі працюючим прикладом.

• Прихована багатогранна ідентифікація. Це поточний стан справ, існує безліч різних постачальників ідентифікації, включаючи Google, Twitter, подібні платформи різних країн та різноманітні урядові документи, що засвідчують особу. Дуже мало застосунків приймають лише один вид ідентифікації, більшість застосунків будуть сумісні з різними.

Явна багатогранна ідентичність природно має анонімність: ви можете мати анонімну ідентичність ( або навіть кілька ), кожна з яких може створити репутацію в спільноті через свої дії. Ідеальна система явної багатогранної ідентичності може навіть не вимагати концепції "незалежної ідентичності"; натомість, ви могли б мати розмитий набір, що складається з перевірених минулих дій, і мати можливість довести різні його частини у деталізований спосіб відповідно до потреб кожної дії.

zk-SNARKs зроблять анонімність легшою для досягнення: ви можете використовувати основну ідентичність для запуску анонімної ідентичності, надаючи приватно перший сигнал, щоб нова анонімна ідентичність отримала.