Vie privée et identification : les multiples dilemmes de la technologie zk-SNARKs

La technologie des zk-SNARKs est devenue courante dans les systèmes d'identification numérique, et divers projets d'identification numérique basés sur les zk-SNARKs sont en cours de développement pour offrir des solutions conviviales. Ces solutions permettent aux utilisateurs de prouver leur identité sans divulguer de détails identitaires. Récemment, le nombre d'utilisateurs de World ID utilisant des techniques biométriques et protégeant la vie privée grâce aux zk-SNARKs a dépassé 10 millions.

À première vue, l'application généralisée de la technologie zk-SNARKs dans le domaine des identifications numériques semble être une grande victoire pour l'accélération décentralisée de la philosophie (d/acc). Elle peut protéger les services Internet tels que les réseaux sociaux et les systèmes de vote contre les attaques de sorcières et la manipulation par des robots, sans compromettre la vie privée. Mais la réalité est plus complexe, et les systèmes d'identification basés sur les zk-SNARKs présentent encore certains risques. Cet article explorera les points suivants :

• zk-SNARKs a résolu de nombreux problèmes importants.
• Les risques liés à l'identification emballée dans les zk-SNARKs subsistent, ces risques proviennent principalement de la maintenance rigoureuse de la propriété "une personne, une identification".
• Il n'est pas suffisant de se fier uniquement à la "preuve de richesse" pour se protéger contre les attaques de sorcières, nous avons besoin d'une sorte de solution "d'identification".
• L'état idéal est que le coût d'obtention de N identifications soit N².
• L'identité multiple est la solution la plus réaliste, elle peut être explicite comme l'identification basée sur les graphes sociaux (, ou elle peut être implicite avec plusieurs types d'identification zk-SNARKs coexistant ).

zk-SNARKs emballent le mécanisme de fonctionnement de l'identification

Dans le système d'identification emballé par zk-SNARKs, un utilisateur stocke une valeur secrète s sur son téléphone, et il existe un hachage public correspondant H(s) dans le registre mondial sur la chaîne. Lorsqu'un utilisateur se connecte à l'application, un ID utilisateur spécifique à cette application est généré, à savoir H(s, app_name), et cet ID est vérifié par zk-SNARKs pour s'assurer qu'il provient de la même valeur secrète s que l'un des hachages publics dans le registre. Cela garantit que chaque hachage public ne peut générer qu'un seul ID pour chaque application, tout en ne révélant pas à quel hachage public correspond l'ID exclusif à une application.

La conception réelle peut être plus complexe, comme dans le cas de World ID où l'ID spécifique de l'application contient la valeur de hachage de l'ID de l'application et de l'ID de session, permettant ainsi de dissocier différentes opérations au sein de la même application. La conception d'un passeport basé sur zk-SNARKs peut également être construite de manière similaire.

Avant de discuter des inconvénients de ce type d'identification, il est essentiel de reconnaître les avantages qu'il apporte. Par rapport à l'authentification traditionnelle, l'identification par zk-SNARKs réduit considérablement les informations personnelles qui doivent être divulguées et respecte mieux le "principe du moindre privilège" en matière de sécurité informatique.

Cependant, la technologie d'emballage zk-SNARKs n'a pas résolu tous les problèmes, certains problèmes pourraient même s'aggraver en raison de la stricte limitation de "une personne, une identification".

Les limites des zk-SNARKs

( ne peut pas réaliser une anonymat complet

Même si la plateforme d'identification basée sur zk-SNARKs fonctionne comme prévu, reproduisant strictement toute la logique et trouvant des moyens de protéger les informations privées des utilisateurs non techniques à long terme sans dépendre d'institutions centralisées, les applications peuvent néanmoins ne pas coopérer à la protection de la vie privée. Elles peuvent attribuer un ID d'application unique à chaque utilisateur, et en raison de la règle "une personne, une identité", l'utilisateur ne peut posséder qu'un seul compte.

Dans le monde réel, la réalisation de l'anonymat nécessite souvent plusieurs comptes : un pour l'"identification régulière", d'autres pour divers identités anonymes. Par conséquent, dans ce modèle, l'anonymat que les utilisateurs peuvent réellement obtenir peut être inférieur au niveau actuel. Cela pourrait nous conduire progressivement vers un monde où toutes les activités doivent être liées à une seule identité publique, ce qui, à une époque où les risques augmentent, aurait de graves conséquences négatives.

) ne peut pas empêcher la coercition

Même si les utilisateurs ne divulguent pas leur valeur secrète s, personne ne peut voir les liens publics entre les comptes, mais que se passe-t-il si quelqu'un exige une divulgation ? Le gouvernement pourrait exiger la révélation des valeurs secrètes afin de voir toutes les activités. Les employeurs pourraient également conditionner l'embauche à la divulgation de l'intégralité des informations publiques. Même certaines applications pourraient exiger, sur le plan technique, que les utilisateurs révèlent leur identification sur d'autres applications pour permettre l'inscription.

Dans ces cas-là, la valeur des zk-SNARKs est complètement inexistante, mais les inconvénients de cette nouvelle caractéristique "un compte par personne" persistent.

Bien qu'il soit possible de réduire le risque de coercition par une optimisation de conception, comme l'utilisation de mécanismes de calcul multipartite pour générer un ID exclusif à chaque application, cela ne peut pas éliminer complètement le risque et peut également entraîner d'autres inconvénients.

ne peut pas résoudre les risques non liés à la confidentialité

Toutes les formes d'identification ont des cas limites :

• L'identification basée sur les documents émis par le gouvernement ne peut pas couvrir les personnes apatrides ou celles qui n'ont pas encore obtenu de tels documents.
• Les titulaires de multiples nationalités peuvent bénéficier de privilèges uniques.
• Les autorités émettrices de passeports peuvent être victimes de piratages informatiques, et même des agences de renseignement de pays hostiles peuvent falsifier un grand nombre d'identifications.
• L'identification biométrique sera complètement inefficace pour les personnes dont les caractéristiques biométriques sont altérées en raison de blessures ou de maladies.
• L'identification biométrique peut être trompée par des contrefaçons, et il peut même y avoir des comportements spécialement conçus pour "produire en série" ce type d'identification.

Ces cas marginaux représentent le plus grand danger dans les systèmes tentant de maintenir la propriété "une personne, une identification", et n'ont rien à voir avec la confidentialité. Par conséquent, zk-SNARKs ne peuvent rien y faire.

![Vitalik : les multiples dilemmes de l'identification numérique et de la technologie zk-SNARKs]###https://img-cdn.gateio.im/webp-social/moments-5c5e98a8645b7a2cc02bf3f26d7bf4d7.webp###

Limites de la preuve de richesse

Les puristes du mouvement cypherpunk proposent souvent une alternative : compter entièrement sur la "preuve de richesse" pour se protéger des attaques de sorcières, plutôt que de construire une quelconque forme de système d'identification. En imposant un certain coût à chaque compte, on peut empêcher la création facile d'un grand nombre de comptes. Cette approche a déjà des précédents sur Internet, mais dans la pratique, elle ne constitue pas un véritable modèle économique cryptographique.

Théoriquement, il est même possible de rendre les paiements conditionnels : il suffit de mettre en gage des fonds lors de l'inscription du compte, et ces fonds ne seraient perdus que si le compte est suspendu. Cela pourrait considérablement augmenter le coût des attaques.

Cette approche est efficace dans de nombreux scénarios, mais elle ne fonctionne pas du tout dans certains types de scénarios, notamment les "scénarios de revenu de base universel" et les "scénarios de gouvernance".

( besoin d'identification dans un scénario de revenu de base universel

Le terme "scénario de revenu de base universel" fait référence à des situations où un certain nombre d'actifs ou de services doivent être distribués à un très large groupe d'utilisateurs, sans tenir compte de leur capacité à payer. Worldcoin met systématiquement cela en pratique : toute personne possédant un World ID peut recevoir régulièrement une petite quantité de jetons WLD. De nombreux airdrops de jetons réalisent également des objectifs similaires de manière informelle.

Ce type de "revenu de base universel de petite taille" permet aux gens d'obtenir une quantité suffisante de cryptomonnaie pour effectuer certaines transactions de base sur la chaîne et des achats en ligne, comme obtenir un nom ENS, publier un hachage sur la chaîne pour initialiser une identification zk-SNARKs, payer des frais sur des plateformes de médias sociaux, etc.

Une autre façon d'obtenir un effet similaire est le "service de base universel": fournir à chaque personne ayant une identification le droit d'envoyer un nombre limité de transactions gratuites dans une application spécifique. Cette méthode pourrait mieux correspondre au mécanisme d'incitation et offrir une efficacité de capital plus élevée, mais son universalité serait réduite.

Une autre fonction importante de l'identification est de fournir un objet pouvant être utilisé pour la responsabilité, sans que l'utilisateur doive placer des fonds équivalents à l'échelle des incitations. Cela contribue à réduire la dépendance au montant de capital personnel pour la barrière à l'entrée.

) besoins en identification dans les scénarios de gouvernance

Dans un système de vote, si les ressources de l'utilisateur A sont dix fois supérieures à celles de l'utilisateur B, alors ses droits de vote seront également dix fois supérieurs à ceux de B. Mais d'un point de vue économique, chaque unité de droit de vote rapporte à A un bénéfice dix fois supérieur à celui de B. Par conséquent, le bénéfice que A tire de son vote est cent fois supérieur à celui que B tire de son vote. Cela conduit A à investir beaucoup plus d'énergie dans la participation au vote, à étudier comment voter pour maximiser ses objectifs, et il pourrait même manipuler stratégiquement l'algorithme.

La raison plus profonde est que le système de gouvernance ne devrait pas attribuer le même poids à "une personne contrôlant 100 000 $" qu'à "1000 personnes détenant 100 000 $". Ce dernier représente 1000 individus indépendants, contenant des informations précieuses plus riches, plutôt qu'une forte redondance d'informations de faible ampleur. Les signaux provenant de 1000 personnes sont souvent plus "modérés", car les opinions des différents individus ont tendance à s'annuler.

Cela indique que les systèmes de gouvernance doivent comprendre le degré de coordination interne des ensembles de fonds, plutôt que de simplement traiter "tous les ensembles de fonds de la même taille de la même manière, quelle que soit leur source".

Il est important de noter que si l'on adhère au cadre descriptif des deux types de scénarios ci-dessus, alors d'un point de vue technique, le besoin d'une règle explicite telle que "un homme, une voix" n'existe plus.

• Pour les scénarios d'application de revenu de base universel, le véritable schéma d'identification nécessaire est : première identification gratuite, avec une limite sur le nombre d'identifications pouvant être obtenues.
• Pour les applications de type gouvernance, le besoin principal est : pouvoir juger par un certain indicateur indirect si la ressource à laquelle vous avez accès est contrôlée par un seul acteur ou par un groupe "naturellement formé" avec un faible niveau de coordination.

Dans ces deux scénarios, l'identification reste très utile, mais l'exigence de suivre des règles strictes telles que "une personne, une identité" n'existe plus.

![Vitalik : les multiples dilemmes de l'identification numérique + technologie ZK]###https://img-cdn.gateio.im/webp-social/moments-4ee3f0f2fb93f4937527d660b75452b7.webp###

État idéal : le coût d'obtention de N identifications est de N²

À partir des arguments ci-dessus, nous pouvons voir qu'il existe deux pressions provenant des deux extrémités opposées qui limitent la difficulté attendue d'obtenir plusieurs identifications dans le système d'identification :

Tout d'abord, il ne faut pas imposer de limite stricte et clairement visible au "nombre d'identifications facilement accessibles". Si une personne ne peut avoir qu'une seule identification, alors l'anonymat ne peut être évoqué, et il pourrait être contraint de révéler son identification. Même un nombre fixe supérieur à 1 présente des risques : si tout le monde sait que chaque personne a 5 identifications, alors vous pourriez être contraint de révéler les 5 en totalité.

Deuxièmement, l'identification ne peut pas être entièrement liée aux finances (, c'est-à-dire que le coût d'obtention de N identifications est de N ), car cela permettrait à de grands acteurs d'acquérir facilement une influence démesurée.

En tenant compte des arguments ci-dessus, nous espérons obtenir plusieurs identifications aussi facilement que possible sous les contraintes suivantes : ( limiter le pouvoir des grands acteurs dans les applications de gouvernance ; ) limiter les abus dans les applications de revenu de base universel.

En s'inspirant du modèle mathématique des applications de type gouvernance mentionné précédemment, nous obtenons une réponse claire : si posséder N identifications peut apporter une influence de N², alors le coût d'acquérir N identifications devrait être N². Il est intéressant de noter que cette réponse s'applique également aux applications de type revenu de base universel.

Un système d'identification multiple peut réaliser cet état idéal.

Le terme "système d'identification multiple" fait référence à un mécanisme d'identification sans un émetteur dominant unique, que cet émetteur soit une personne, une organisation ou une plateforme. Ce système peut être réalisé de deux manières :

• L'identification multi-élément explicite ( est également connue sous le nom de "identification basée sur le graphe social" ) : vous pouvez confirmer votre identité ( ou d'autres déclarations par la preuve d'autres personnes dans votre communauté, par exemple en prouvant que vous êtes membre d'une certaine communauté ), et l'identité de ces prouveurs est également vérifiée par le même mécanisme.
• Identité multiple implicite : c'est la situation actuelle, il existe de nombreux fournisseurs d'identité différents, y compris les grandes entreprises technologiques, les plateformes de médias sociaux et divers documents d'identité émis par le gouvernement, etc. Très peu d'applications n'acceptent qu'une seule forme d'authentification d'identité, la plupart des applications seront compatibles avec plusieurs, car c'est ainsi qu'elles peuvent atteindre des utilisateurs potentiels.

L'identité multiple explicite possède naturellement l'anonymat : vous pouvez avoir une identité anonyme ( ou même plusieurs ), chaque identité pouvant établir sa réputation dans la communauté par ses propres actions. Un système idéal d'identité multiple explicite pourrait même ne pas nécessiter le concept d'"identité indépendante" ; au contraire, vous pourriez avoir un ensemble flou constitué d'actions passées vérifiables, et être capable de prouver de manière précise les différentes actions en fonction des besoins de chaque action.