隱私與身分:零知識證明技術下的多重困境

零知識證明技術在數字身份系統中的應用已成爲主流,各類基於零知識證明的數字身份項目正在開發對用戶友好的解決方案。這些方案允許用戶在不泄露身分細節的情況下證明自己的身分。近期,採用生物識別技術並通過零知識證明保護隱私的World ID用戶數量已突破1000萬。

表面上看,零知識證明技術在數字身份領域的廣泛應用似乎是去中心化加速(d/acc)理念的一大勝利。它可以在不犧牲隱私的前提下,保護社交媒體、投票系統等互聯網服務免受女巫攻擊和機器人操縱。但事實並非如此簡單,基於零知識證明的身分系統仍存在一些風險。本文將探討以下幾點:

• 零知識證明包裝解決了許多重要問題。
• 零知識證明包裝的身分仍存在風險,這些風險主要源於對"一人一身分"屬性的硬性維護。
• 單純依靠"財富證明"來防範女巫攻擊是不夠的,我們需要某種"類身分"的解決方案。
• 理想狀態是獲得N個身分的成本爲N²。
• 多元身分是最現實的解決方案,可以是顯性的(如基於社交圖譜的身分),也可以是隱性的(多種類型的零知識證明身分並存)。

零知識證明包裝身分的運作機制

在零知識證明包裝的身分系統中,用戶手機上存儲一個祕密值s,鏈上全球註冊表中有一個對應的公開哈希值H(s)。用戶登入應用時,會生成一個特定於該應用的用戶ID,即H(s, app_name),並通過零知識證明驗證這個ID與註冊表中某個公開哈希值源自同一個祕密值s。這確保每個公開哈希值只能爲每個應用生成一個ID,同時不會泄露某一應用專屬ID與哪個公開哈希值相對應。

實際設計可能更復雜,如World ID中應用專屬ID包含應用ID與會話ID的哈希值,允許同一應用內不同操作相互解除關聯。基於零知識證明護照的設計也可採用類似方式構建。

在討論這種身分類型的缺點之前,必須認識到它帶來的優勢。與傳統身分驗證相比,零知識證明身分大大減少了需要披露的個人信息,更好地遵循了計算機安全的"最小權限原則"。

然而,零知識證明包裝技術並未解決所有問題,某些問題甚至可能因"一人一身分"的嚴格限制而變得更加嚴重。

零知識證明的局限性

無法實現完全匿名

即使零知識證明身分平台按預期運行,嚴格復現所有邏輯,並找到方法在不依賴中心化機構的前提下爲非技術用戶長期保護私密信息,應用程序仍可能不配合隱私保護。它們可能會爲每位用戶分配唯一的應用專屬ID,且由於身分系統遵循"一人一身分"規則,用戶只能擁有一個帳戶。

現實世界中,匿名性的實現通常需要多個帳戶:一個用於"常規身分",其他用於各類匿名身分。因此,在這種模式下,用戶實際能獲得的匿名性可能低於當前水平。這可能導致我們逐漸走向一個所有活動都必須依附於單一公開身分的世界,在風險日益加劇的時代,這將帶來嚴重的負面影響。

無法防止脅迫

即使用戶不公開自己的祕密值s,沒人能看到各帳戶之間的公開關聯,但如果有人強制要求公開呢?政府可能會強制要求透露祕密值,以便查看所有活動。僱主也可能將透露完整公開資料設爲僱傭條件。甚至某些應用在技術層面可能要求用戶透露其在其他應用上的身分,才允許註冊使用。

在這些情況下,零知識證明的價值蕩然無存,但"一人一帳戶"這一新屬性的弊端卻依然存在。

雖然可以通過設計優化來降低脅迫風險,如採用多方計算機制生成每個應用專屬ID,但這無法徹底消除風險,而且可能帶來其他弊端。

無法解決非隱私類風險

所有身分形式都存在邊緣案例:

• 基於政府發行的身分無法覆蓋無國籍人士或尚未獲得此類證件的人羣。
• 多重國籍持有者可能獲得獨特特權。
• 護照籤發機構可能遭遇黑客攻擊,敵對國家的情報機構甚至可能僞造大量虛假身分。
• 生物識別身分對於相關生物特徵因傷病受損的人而言會完全失效。
• 生物識別身分可能被仿制品蒙騙,甚至可能出現專門"批量制造"這類身分的行爲。

這些邊緣案例在試圖維持"一人一身分"屬性的系統中危害最大,且與隱私無關。因此,零知識證明對此無能爲力。

財富證明的局限性

純粹的密碼朋克羣體常提出一種替代方案:完全依賴"財富證明"來防範女巫攻擊,而非構建任何形式的身分系統。通過讓每個帳戶產生一定成本,就能阻止有人輕易創建大量帳號。這種做法在互聯網上早有先例,但在實際操作中並非真正的加密經濟模式。

理論上,甚至可以讓支付具備條件性:註冊帳戶時只需質押資金,僅在帳號被封禁時才會損失這筆資金。這能大幅提高攻擊成本。

這種方案在許多場景中效果顯著,但在某些類型的場景中卻完全行不通,尤其是"類全民基本收入場景"和"類治理場景"。

類全民基本收入場景中對身分的需求

"類全民基本收入場景"指需要向極廣泛用戶羣體發放一定數量資產或服務,且不考慮其支付能力的場景。Worldcoin就是系統性地踐行這一點:任何擁有World ID的人都能定期獲得少量WLD代幣。許多代幣空投也以非正式方式實現類似目標。

這類"小型全民基本收入"能讓人們獲得足夠數量的加密貨幣,以完成一些基礎的鏈上交易和在線購買,如獲取ENS名稱、在鏈上發布哈希以初始化某個零知識證明身分、支付社交媒體平台費用等。

另一種實現類似效果的方式是"全民基本服務":爲每個擁有身分的人提供在特定應用內發送有限數量免費交易的權限。這種方式可能更符合激勵機制,且資本效率更高,但普適性會降低。

身分的另一個重要功能是提供一個可用於追責的標的,而無需用戶質押與激勵規模相當的資金。這有助於降低參與門檻對個人資本量的依賴。

類治理場景中對身分的需求

在投票系統中,如果用戶A的資源是用戶B的10倍,那麼其投票權也會是B的10倍。但從經濟角度看,每單位投票權給A帶來的收益是給B帶來的10倍。因此,A的投票對自身的益處是B的投票對自身益處的100倍。這導致A會投入多得多的精力參與投票、研究如何投票才能最大化自身目標,甚至可能會戰略性地操縱算法。

更深層的原因在於:治理系統不應將"一人掌控10萬美元"與"1000人共持10萬美元"賦予同等權重。後者代表着1000個獨立個體,包含更豐富的有價值信息,而非小體量信息的高度重復。來自1000人的信號也往往更"溫和",因爲不同個體的意見往往會相互抵消。

這表明,類治理系統需要了解資金束的內部協調程度,而非簡單地"不論資金來源,同等規模的資金束都一視同仁"。

需要注意的是,如果認同上述兩類場景的描述框架,那麼從技術層面而言,對"一人一票"這種明確規則的需求就不復存在了。

• 對於類全民基本收入場景的應用而言,真正需要的身分方案是:首個身分免費,對可獲取的身分數量設限。
• 對於類治理場景的應用而言,核心需求是:能夠通過某種間接指標判斷,你所接觸的這一筆資源,其背後是單一的操控主體,還是某種"自然形成的"、協調程度較低的羣體。

在這兩種場景中,身分依然非常有用,但對其遵循"一人一身分"這類嚴格規則的要求已不復存在。

理想狀態:獲得N個身分的成本爲N²

從上述論點中,我們可以看到有兩種壓力從相反的兩端限制了身分系統中獲取多個身分的期望難度:

首先,不能對"能輕鬆獲取的身分數量"設置一個清晰可見的硬性限制。如果一個人只能擁有一個身分,就無從談起匿名性,且可能被脅迫泄露身分。即便是大於1的固定數量也存在風險:倘若所有人都知道每個人有5個身分,那麼你可能會被脅迫泄露全部5個。

其次,身分不能完全與財務掛鉤(即獲取N個身分的成本爲N),因爲這會讓大型主體輕易獲得過大的影響力。

綜合上述論點,我們希望在滿足以下約束條件的前提下,盡可能容易地獲得多個身分:(1)在類治理應用中限制大型主體的權力;(2)在類全民基本收入應用中限制濫用行爲。

借鑑前文中類治理應用的數學模型,我們得到一個清晰的答案:如果擁有N個身分能帶來N²的影響力,那麼獲取N個身分的成本就應當是N²。巧合的是,這一答案對於類全民基本收入應用同樣適用。

多元身分體系可實現這一理想狀態

所謂"多元身分體系",指的是不存在單一主導發行機構的身分機制,無論該機構是個人、組織還是平台。這一體系可通過兩種方式實現:

• 顯性多元身分(也稱爲"基於社交圖譜的身分"):你可通過所在社群中其他人的證明來證實自己的身分(或其他聲明,例如證實自己是某社群成員),而這些證明者的身分又通過同樣的機制得到驗證。
• 隱性多元身分:這是當前的現狀,存在衆多不同的身分提供者,包括各大科技公司、社交平台以及多種政府發行的身分證件等。極少有應用只接受其中一種身分認證,大多數應用會兼容多種,因爲只有這樣才能觸達潛在用戶。

顯性多元身分自然具備匿名性:你可以有一個匿名身分(甚至多個),每個身分都可以通過自己的行動在社區中建立聲譽。一個理想的顯性多元身分系統甚至可能不需要"獨立身分"的概念;相反,你或許會擁有一個由可驗證的過往行爲構成的模糊集合,並能根據每次行爲的需要,以精細化方式證明其中的不同