「V 神」談 Worldcoin 隱私疑慮：人格證明如何開闢新思路？

作者：Vitalik Buterin

編譯：倩雯，bayemon.eth，ChainCatcher

---

特別感謝 Worldcoin 團隊、Proof of Humanity 社群和 Andrew Miller 的討論。

以太坊社群的人們一直在努力構建一個去中心化的人格證明解決方案，這是一個比較棘手但可能是最有價值的小工具之一。人格證明（Proof of personhood），又稱唯一人問題，是一種有限的真實世界身分形式，它斷言一個給定的註冊帳戶是由一個真實的人控制的（而且是一個與其他註冊帳戶不同的真實的人），理想情況下可以不透露它是哪個真實的人。

在解決這一問題方面，已經有一些嘗試：例如人格證明、BrightID、Idena 和 Circles。它們中的一些都有自己的應用程式（通常是 UBI 代幣），還有一些在 GitcoinPassport 中被用來驗證哪些帳戶在四元投票中是有效的。像 Sismo 這樣的零知識技術為許多此類解決方案增添了隱私性。最近，我們看到了一個規模更大、更雄心勃勃的身分證明項目的崛起：世界幣（Worldcoin）。

Worldcoin 由 SamAltman 共同創建，他因擔任 OpenAI 的執行長而聞名。這個項目背後的理念很簡單：人工智能將為人類創造大量的財富，但也可能會讓很多人失業。讓人們幾乎無法分辨誰是人類而不是機器人，因此我們需要通過以下方式來堵住這個漏洞：

1. 創建一個非常好的身分證明系統，這樣人類就可以證明自己確實是人類；
2. 給每個人提供無息貸款。

Worldcoin 的獨特之處在於，它依賴於高度複雜的生物識別技術，使用一種名為 Orb 的專用設備掃描每個用戶的虹膜：他們的目標是生產大量的 Orb，並在世界各地廣泛分發，將其放置在公共場所，讓任何人都能輕鬆獲得 ID。值得稱讚的是，Worldcoin 還承諾隨著時間的推移實現去中心化。起初，這意味著技術上的去中心化：成為以太坊上用 Optimism 堆棧的 L2，並使用 ZK-SNARK 和其他加密技術保護用戶隱私。之後，還包括系統本身的去中心化治理。

Worldcoin 曾因 Orb 的隱私和安全問題、其代幣的設計問題以及該公司所做的一些道德選擇問題而受到批評。其中一些批評非常具體，主要針對該項目所做的決定，而這些決定本可以很容易地以另一種方式做出——事實上，世界幣項目本身可能也願意改變這些決定。

但也有人提出了更根本的問題，使用生物識別技術——不僅是世界幣的眼部掃描生物識別技術，還有更簡單的人臉影片上傳和非機器人、Idena 中使的驗證遊戲——是否是個好主意。還有人批評所有的人格證明，認為風險包括不可避免的隱私洩露、人們匿名瀏覽網路能力的進一步下降專制政府的脅迫，以及在去中心化的同時實現安全的潛在不可能性。

這篇文章將討論這些問題，並通過一些論據來幫助你決定，在這位球形神的主面前俯首稱臣，掃描你的眼睛（或臉、聲音等）是否是個好主意，以及自然的替代方案——使用基於社交圖譜的人格證明或完全放棄人格證明——是否更好。

什麼是人格證明，為什麼它很重要？

最簡單的定義是：它創建了一個公鑰列表，系統保證每個公鑰都由唯一的人類控制。換句話說，如果你是人類，你可以把一個密鑰放在列表上，但你不能把兩個密鑰放在列表上，如果你是機器人，你不能把任何密鑰放在列表上。

人格證明之所以有價值，是因為它解決了許多人面臨的反詐騙和反權力中心化的問題，避免了對中央集權機構的依賴，並儘可能少地披露資料。如果人格證明問題得不到解決，去中心化治理（包括微治理，如對社交媒體帖子的投票）就更容易被非常富有的參與者（包括敵對政府）攫取。許多服務只能通過設定訪問價格來防止拒絕服務攻擊，而有時足以阻止攻擊者的高價格對許多低收入合法用戶來說太高了。

當今世界的許多主要應用軟體都通過使用政府支持的身分系統（如信用卡和護照）來解決這個問題。這雖然解決了問題，但卻在隱私方面做出了巨大的、也許是不可接受的犧牲，而且政府本身也會對其進行微不足道的攻擊。

在許多人格證明項目中——不僅是世界幣，還有其他項目（Circle、BrightID、Idena）——旗艦應用是一個內置的 N-per-person 代幣（有時稱為 UBI 代幣）。每個在系統中註冊的用戶每天（或每小時，或每週）都會收到一定數量的代幣。但還存在很多其他應用：

• 代幣分發空投
• 代幣或 NFT 銷售，為不太富裕的用戶提供更優惠的條件
• 在 DAO 中投票
• 發展基於圖景（graph）的聲譽系統的方法
• 四元投票（以及資金和注意力支付）
• 防範社交媒體中的機器人/假人攻擊
• 防止 DoS 攻擊的驗證碼替代方案

在許多這些案例中，共同點是希望建立開放和民主的機制，避免項目營運商的中心化控制和最富有用戶的支配。後者在去中心化管理中尤為重要。在許多情況下，現有的解決方案都依賴於以下兩方面的結合：

1. 高度不透明的人工智能算法，這種算法有很大的空間來對營運商根本不喜歡的用戶進行難以察覺的歧視；
2. 中心化的身分證明，又稱 KYC。

有效的身分證明解決方案將是更好的替代方案，既能實現這些應用所需的安全屬性，又沒有現有中心化方法的缺陷。

早期有哪些證明人格的嘗試？

人格證明主要有兩種形式：基於社交圖譜的證明和生物識別證明。

基於社交圖譜的人格證明依賴於某種形式的擔保：如果愛麗絲、鮑勃、查理和大衛都是經過驗證的人類，而且他們都說艾米麗是經過驗證的人類，那麼艾米麗很可能也是經過驗證的人類。擔保通常通過激勵措施來加強：如果愛麗絲說艾米麗是人類，但事實證明她不是，那麼愛麗絲和艾米麗可能都會受到懲罰。生物特徵人格證明涉及驗證艾米麗的某些身體或行為特徵，以區分人類和機器人（以及人類個體之間的區別）。大多數項目都結合使用這兩種技術。

我在文章開頭提到的四個系統的工作原理大致如下：

• 人格證明：上傳一段自己的影片，並提供押金。要獲得批准，需要一名現有用戶為你擔保，並需要一定的時間，在此期間可以對你提出質疑。如果出現質疑，Kleros 去中心化法庭將判定你的影片是否真實；如果不真實，你將失去押金，質疑者將獲得獎勵。
• BrightID：你與其他用戶一起參加視訊通話驗證聚會，在聚會上大家互相驗證。更高級別的驗證可通過 Bitu 進行，在該系統中，如果有足夠多的 Bitu 驗證用戶為你擔保，你就能通過驗證。
• Idena：你在一個特定的時間點玩一個驗證碼遊戲（以防止人們多次參與）；驗證碼遊戲的部分內容包括創建和驗證驗證碼，然後用這些驗證碼來驗證其他人。
• Circles：現有的圈子用戶為你擔保。Circles 的獨特之處在於，它並不試圖創建一個全球可驗證的 ID；相反，它創建了一個信任關係圖，在這個圖中，只能從你自己在圖中的位置來驗證某人的可信度。

每個 Worldcoin 用戶都會在自己的手機上安裝一個應用程式，該程式會生成一個私人和公共密鑰，就像以太坊錢包一樣。然後，他們親自去訪問一個 Orb。用戶盯著 Orb 的攝像頭，同時向 Orb 展示由 Worldcoin 應用程式生成的二維碼，其中包含他們的公鑰。Orb 會掃描用戶的眼睛，並使用複雜的設備來掃描和機器學習分類器進行驗證以下兩件事：

1）用戶是真人

2）用戶的虹膜與之前使用過系統的任何其他用戶的虹膜不一致

如果兩次掃描都通過，則 Orb 會簽署一條資料，批准用戶虹膜掃描的專門散列值。哈希值會被上傳到一個數據庫中（目前是一個中央服務器），一旦確定哈希值機制有效，它們就會被去中心化的鏈上系統取代。系統不會儲存完整的虹膜掃描結果，只會儲存哈希值，這些哈希值用於檢查唯一性。從那時起，用戶就有了一個世界 ID。

世界 ID 持有者可以通過生成 ZK-SNARK 來證明自己是獨一無二的人類，該 ZK-SNARK 證明他們持有與數據庫中的公開密鑰相對應的私鑰，而不會洩露他們持有的密鑰。因此，即使有人重新掃描你的虹膜，也無法看到你的任何操作。

Worldcoin 建設的主要問題是什麼？

四大風險：

• 隱私。虹膜掃描註冊表可能會洩露資料。如果其他人掃描了你的虹膜，他們可以將其與數據庫進行核對，以確定你是否擁有世界身分證。虹膜掃描可能會洩露更多資料。
• 可訪問性。如果有足夠多的 orb，否則無法實現每個人都能可靠地訪問世界 ID 是。
• 中心化。Orb 是一個硬體設備，我們無法驗證它的構造是否正確，是否有後門。因此，即使軟體層是完美的，完全去中心化的，世界幣基金會仍然有能力在系統中插入一個後門，讓它任意創建許多虛假的人類身分。
• 安全性。用戶的手機可能會被駭客入侵，用戶可能會被脅迫掃描虹膜，同時出示屬於他人的公鑰，還有可能通過 3D 列印假人，讓他們通過虹膜掃描，獲得世界身分證。

重要的是要區分（i）Worldcoin 的選擇所特有的問題、（ii）任何生物識別的人格證明都不可避免會有的問題，以及（iii）任何一般的人格證明都會有的問題。

例如，註冊人格證明意味著在網路上公佈你的臉。加入 BrightID 驗證派對雖然不會完全公佈的你的臉，但仍會向很多人暴露你的身分。而加入 Circles 則會公開你的社交圖譜。

相比之下，Worldcoin 在保護隱私方面要好得多。另一方面，世界幣依賴於專門的設備，這就帶來了信任球體製造商正確製造球體的挑戰—— 這一挑戰在人格證明、BrightID 或 Circles 中都不存在。甚至可以想像，在未來，除了世界幣之外，還會有人創造出不同的專用硬體解決方案，並做出不同的權衡。

生物識別的人格證明方案如何解決隱私問題？

任何個人身分證明系統最明顯、也是最大的潛在隱私洩露是將一個人的每個行為與真實世界的身分聯繫起來。這種數據洩露非常嚴重，可以說嚴重到令人無法接受的地步，但幸運的是，零知識證明技術很容易解決這個問題。

用戶不需要直接用私鑰（其對應的公鑰就在數據庫中）進行簽名，而是可以用 ZK-SNARK 證明他們擁有私鑰，而其對應的公鑰就在數據庫中的某個地方，同時又不會洩露他們擁有的具體私鑰。這可以通過 Sismo 等工具來實現（人格證明的具體實現見此處），世界幣也有自己的內置實現。在此，我們有必要為加密原生的人格證明點個贊：他們確實很重視採取這一基本步驟來提供匿名化，而基本上所有的中心化身分解決方案都沒有做到這一點。

更微妙但仍很重要的隱私洩露是生物特徵掃描的公開登記。就人格證明而言，這就是大量數據：你會得到每個人格證明參與者的影片，讓世界任何有心調查人格證明參與者的人都一清二楚。而在世界幣中，洩漏的數據要有限得多：Orb 只在本地計算並公佈每個人虹膜掃描的哈希值。這個哈希值並不是像 SHA256 那樣的常規哈希值，而是一種基於機器學習的 Gabor 過濾器的專門算法，用於處理任何生物識別掃描中固有的不精確性，並確保對同一個人的虹膜進行的連續哈希值具有相似的輸出。

這些虹膜哈希值只會洩露少量數據。如果對手可以強行（或秘密）掃描你的虹膜，那麼他們就可以自己計算出你的虹膜哈希值，並將其與虹膜哈希值數據庫進行核對，以確定你是否參與了該系統。這種檢查某人是否註冊的功能對於系統本身來說是必要的，可以防止人們多次註冊，但這種功能總是有可能被濫用。

此外，虹膜哈希值有可能會洩露一定量的醫療數據（包含性別、種族，也許還有醫療條件），但這種洩露遠遠小於目前使用的幾乎所有其他大規模數據收集系統（例如，甚至街頭攝像頭）所能捕捉到的數據。

總的來說，在我看來，儲存虹膜哈希值已經足夠保護隱私了。如果其他人不同意這一判斷，並決定要設計一個隱私性更強的系統，有兩種方法可以做到這一點：

1）如果可以改進虹膜散列算法，使同一個人的兩次掃描之間的差異大大降低（例如，比特翻轉可靠地低於 10%），那麼系統就可以為虹膜散列儲存較少的糾錯比特，而不是儲存完整的虹膜散列（參見：模糊提取器）。如果兩次掃描的差異低於 10%，那麼需要公佈的比特數至少會減少 5 倍。

2) 如果我們想更進一步，可以將虹膜哈希數據庫儲存在多方運算（MPC）系統中，該系統只能由 Orb 訪問（有速率限制），從而使數據完全不可訪問，但代價是管理多方運算參與者的協議複雜性和社會復雜性極大。這樣做的好處是，即使用戶願意，也無法證明他們在不同時間擁有的兩個不同世界 ID 之間的聯繫。

遺憾的是，這些技術並不適用於人格證明，因為人格證明要求公開每位參與者的完整影片，以便在出現假影片（包括人工智能生成的假影片）的跡象時可以提出質疑，並在這種情況下進行更詳細的調查。

總的來說，儘管盯著 Orb 讓它深深地掃描你的眼球會有一種烏托邦式的感覺，但專門的硬體系統在保護隱私方面似乎確實可以做得很好。不過，這也從另一方面說明，專用硬體系統帶來了更大的中心化問題。因此，我們這似乎陷入了一個困境：我們必須在一種價值觀和另一種價值觀之間進行權衡。

生物識別身分證明系統有哪些可訪問性問題？

專業化設備帶來了可訪問性問題，因為專業化設備並不是很方便使用。目前，撒哈拉以南非洲地區約有 51% 至 64% 的人擁有智能手機，預計到 2030 年，這一比例將增至 87%。但是，雖然全球有數十億部智能手機，卻只有幾百個 Orb。即使有更大規模的分佈式製造，也很難實現每個人身邊五公里內都有一個 orb 的世界。

值得注意的是，許多其他形式的人格證明都存在更嚴重的可訪問性問題。除非你已經認識社交圖譜中的某個人，否則很難加入基於社交圖譜的人格證明系統。這使得此類系統很容易局限於單一國家的單一社群。

即使是中心化式身分識別系統也吸取了這一教訓：印度的 AadhaarID 系統是基於生物識別技術的，因為只有這樣才能在避免大量重複和虛假帳戶欺詐行為的同時，迅速吸納大量人口（從而節省了大量成本），當然，Aadhaar 系統作為一個整體，在隱私保護方面要比加密貨幣社群提出的任何大規模建議都要弱得多。

從可訪問性的角度來看，表現最好的系統實際上是像人格證明這樣的系統，你只需使用一部智能手機就可以註冊。

生物識別身分證明系統的中心化問題是什麼？

1. 系統高層管理中的中心化風險（特別是，如果系統中的不同參與者在主觀判斷上存在分歧，由系統做出最終的高層決議）。

2. 中心化風險是使用專用硬體的系統所特有的。

3. 如果使用專有算法來確定誰是真實的參與者，則存在中心化風險。

任何人格證明系統都必須與第（1）點做鬥爭，也許被接受的 ID 集完全主觀的系統除外。如果一個系統使用以外部資產（如以太坊、USDC、DAI）計價的激勵機制，那麼它就不可能是完全主觀的，因此治理風險就變得不可避免。

第二個風險對世界幣來說比人格證明（或 BrightID）大得多，因為世界幣依賴於專門的設備，而其他系統不需要。

第三個風險尤其存在於邏輯中心化的系統中，除非所有算法都是開源的，而且我們能保證它們確實運行著它們聲稱的代碼，否則由單一系統來進行驗證尤其具有風險。對於純粹依靠用戶驗證其他用戶的系統（如人格的證明）來說，這不是風險。

Worldcoin 如何解決硬體中心化問題？

目前，一個名為人類工具（Tools for Humanity）的世界幣附屬實體是唯一一個正在製造 orb 的組織。不過，Orb 的源代碼大部分是公開的：你可以在這個 github 儲存庫中看到硬體規格，源代碼的其他部分預計也將很快公佈。該許可證是另一種共享源代碼，但四年後才算開源的許可證，類似於 UniswapBSL，除了防止分叉外，還防止他們認為不道德的行為——他們特別列出了大規模監控和三項國際公民權利宣言。

該團隊的既定目標是允許並鼓勵其他組織創建 Orb，並隨著時間的推移，從由人類工具創建 Orb 過渡到由某種 DAO 批准和管理哪些組織可以創建被系統認可的 Orb。

這種設計有個問題：

1）由於聯合協議中的常見陷阱，它可能最終無法真正實現中心化：長此以往，一家製造商最終會在實踐中佔據主導地位，導致系統再度回歸中心化。雖然治理機構可以限制每個製造商可以生產多少有效的 Orb，但這需要謹慎管理，而且這給治理機構帶來了很大的壓力，既要去中心化，又要監控生態系統並有效應對威脅。這比只處理頂層爭端解決任務的靜態 DAO 要難得多。

2）想確保這種分佈式製造機制的安全性基本是不可能的，這裡存在兩種風險：

對不良 Orb 製造商極其脆弱的抵抗能力：哪怕只有一個 Orb 製造商是惡意的或是被駭客攻擊，它也可以生成無限數量的假虹膜掃描哈希值，並給他們提供 World ID。

政府對 Orb 的限制：不希望本國公民參與世界幣生態系統的政府可以禁止 Orb 進入本國。此外，他們甚至可以強迫公民進行虹膜掃描，讓政府獲取他們的帳戶，而公民將無法申訴。

為了使該系統能夠更有效地抵禦不良 Orb 製造商的攻擊，Worldcoin 團隊建議對 Orb 進行定期審核，以驗證製造過程是否正確，關鍵硬體組件是否按照規格製造，以及事後是否被篡改。這是一項具有挑戰性的任務：它基本上類似於國際原子能機構（IAEA）的核檢查官機構，但針對的是 Orb。我們希望即便是在審計製度的實施不完善的情況下，也能大大減少假 Orb 的數量。

為了限制任何不良 Orb 成為漏網之魚並對系統造成的危害，有必要採取第二種緩解措施。即在不同的 Orb 製造商那裡註冊的 World ID 註冊可以有效區分的 Orb。如果這些資料是私密的，而且只儲存在 WorldID 持有者的設備上，那也沒有問題，只是確實要求其在必要時加以證明。這樣，生態系統就有可能應對（不可避免的）攻擊，並按需從白名單中刪除單個 Orb 製造商，甚至是單個 Orb。舉例來講，如果我們發現北韓政府到處強迫人們掃描眼球，這些 Orb 和由它們生成的任何帳戶都會立即被追溯禁用。

人格證明普遍存在的安全問題

除了 Worldcoin 系統帶來的特有問題外，還有一些問題會影響到一般人格證明設計。我能想到的主要問題有如下幾個方面：

1. 3D 列印的假人：人們可以利用人工智能生成假人的照片或甚至 3D 列印的假人，其可信度足以讓 Orb 軟體接受。只要有這樣做的團體，他們就能生成無限多的身分。
2. 出售 ID：有人可以在註冊時提供別人的公鑰，而不是自己的公鑰，讓別人控制自己註冊的 ID，從而換錢。這種情況似乎已經出現了，除了出售之外，還可能會出現租用 ID 的情況。
3. 入侵手機：如果一個人的手機被駭客入侵，駭客就能竊取控制其 WorldID 的密鑰。
4. 政府脅迫竊取身分證件：政府可以強迫公民在出示屬於政府的二維碼時進行驗證。這樣，惡意政府就能獲得數百萬個身分證。在生物識別系統中，這甚至可以暗中進行：政府可以使用混淆的 Orb，在海關驗證護照時從每個進入該國的人身上提取 World ID。

（1）是生物識別人格證明系統所特有的問題，（2）和（3）是生物識別和非生物識別設計的共同點。第（4）點也是兩者的共同點。儘管在這兩種情況下所需的技術大不相同，但在本節中，我將重點討論生物識別情況下的問題。

這些都是相當嚴重的問題，其中一些已經在現有協議中得到了妥善解決，另一些可以通過未來的改進來消除影響，還有一些似乎是根本性的限制。

如何處理 3D 列印假人帶來的問題？

對於 Worldcoin 來說，這種風險比對於類似人格證明的系統來說要小得多：與精心偽造的影片相比，當面掃描可以檢查一個人的許多特徵，則很難偽造。專業設備本身就比普通設備更難欺騙，而普通設備又比驗證遠端發送的圖片和影片的數位算法更難欺騙。

最終會有人用 3D 列印出連專用設備都能騙過的東西嗎？有可能。我預計，在未來某些時候，保證開放性和安全性之間的矛盾會越來越大：開源人工智能算法在本質上更容易受到對抗性機器學習的影響。黑盒算法受到的保護更多，但很難確保黑盒算法在訓練過程中沒有加入私密的惡意資料。或許，未來的 ZK-ML 技術能達到兩全其美，但另外一種角度來講，即使是最好的人工智能算法也有可能被最好的 3D 列印假人騙過。

如何防範 ID 出售？

在短期內，防止這種 ID 外流是很困難的，因為世界上大多數人甚至不知道身分證明協議，如果你告訴他們舉起一個二維碼，掃描一下眼睛就能得到 30 美元，他們肯定會照辦。一旦有更多人知道什麼是身分證明協議，一個相當簡單的緩解措施就成為可能，即允許已註冊 ID 的人重新註冊，並取消之前的 ID。這樣一來，出售 ID 的可信度就會大大降低，因為把身分證賣給你的人可以直接去重新註冊，註銷剛剛賣給你的身分證。然而，要達到這一點，協議必須廣為人知，而 Orb 也必須非常容易獲取，才能使按需註冊成為現實。

這也是為什麼將 UBI 代幣整合到人格證明系統中很有價值的原因之一：UBI Coin 提供了一個易於理解的激勵機制，其一，可以讓人們了解協議並註冊，其二，如果他們代表他人註冊，則會立刻觸發重新註冊機制，同時重新註冊還能有效手機被駭客入侵。

我們能否防止生物識別身分證明系統中的脅迫行為？

這取決於我們談論的是哪種脅迫。可能出現的脅迫形式包括：

• 政府在邊境管制和其他例行的政府檢查站掃描人們的眼睛（或臉部，等等），並以此對公民進行登記，並經常重新登記。
• 政府在國內禁止使用 Orb，以防止人們獨立進行重新登記
• 個人購買 ID，然後威脅他人，如果自己的 ID 因重新登記而失效，就會傷害重新註冊的人
• 應用程式要求人們直接用自己的公鑰簽名登錄，讓他們看到相應的生物特徵掃描，從而看到用戶當前 ID 與重新註冊後獲得的任何未來 ID 之間的聯繫。人們普遍擔心的是，這樣就很容易創造出伴隨人一生的永久記錄。

尤其是在不成熟的用戶手中，要徹底防止這些情況似乎相當困難。用戶可以離開自己的國家，在一個更安全的國家 Orb 上（重新）註冊，但這是一個艱難的過程，而且成本很高。在真正惡劣的法律環境中，尋找一個獨立的 Orb 太困難、太冒險了。

可行的辦法是讓這種濫用行為更難以實施和檢測。人格證明要求用戶在註冊時說一句特定的短語就是一個很好的例子：這可能足以防止隱蔽掃描，但要求脅迫行為更加明目張膽，而且註冊短語甚至可以包括一項聲明，確認受訪者知道他們有權獨立重新註冊，並可能獲得 UBI Coin 或其他獎勵。如果檢測到脅迫行為，用於執行大規模脅迫註冊的設備可能會被取消訪問權限。為了防止應用程式將人們當前和以前的 ID 聯繫起來並試圖留下永久記錄，默認的身分證明應用程式可以將用戶的密鑰鎖定在可信硬體中，防止任何應用程式在沒有匿名 ZK-SNARK 層的情況下直接使用密鑰。如果政府或應用程式開發商想繞過這一點，就需要強制使用自己的定制應用程式。

將這些技術和對 ID 濫用的警惕性結合起來，鎖定那些真正有敵意的政權，並讓那些只是中庸的政權保持誠實（世界上很多地方都是這樣），似乎是有可能的。要做到這一點，可以由像 Worldcoin 或人格證明這樣的項目維持自己的官僚機構來完成，也可以通過披露更多關於 ID 如何註冊的資料（例如，在世界幣中，它來自哪個 Orb），並將這一分類任務留給社群來完成。

如何防範 ID 出租（如出售選票問題）？

重新註冊並不能阻止出租 ID。這在某些應用中是沒有問題的：出租領取當日 UBI Coin 權利的成本將僅僅是當日 UBI Coin 的價值。但在社群投票等應用中，出售選票則是個大問題。

像 MACI 這樣的系統可以防止你以可信的方式出售你的選票，允許你隨後再投一票，使你之前的投票無效，這樣就沒有人能知道你是否真的投了這樣一票。但是，如果有心之人控制了你在註冊時獲得的密鑰，這就無濟於事了。

我認為有兩種解決方案：

1. 在 MPC 內部運行整個應用程式：這也涵蓋了重新註冊的過程，即當一個人向 MPC 註冊時，MPC 會分配給他一個獨立於其人格證明 ID 且不可與之關聯的 ID，當一個人重新註冊時，只有 MPC 知道該停用哪個帳戶。這可以防止用戶對自己的行為進行證明，因為每一個重要步驟都是在 MPC 內部使用只有 MPC 才知道的私人資料完成的。
2. 分佈式註冊儀式：去中心化式註冊儀式。基本上，實施類似這種當面密鑰註冊協議，要求四名隨機抽取的本地參與者共同完成註冊。這可以確保註冊是一個可信的程序，攻擊者無法在註冊過程中進行窺探。

實際上，基於社交圖譜的系統在這方面可能表現得更好，因為它們可以自動創建存於本地的分佈式註冊流程，這是其工作方式的副產品。

生物識別技術 vs 基於社交圖譜的驗證

除了生物識別方法外，迄今為止，證明個人身分的其他主要競爭者是基於社會圖譜的驗證。基於社會圖譜的驗證系統都基於同樣的原則：如果有一大堆現有的已驗證身分都證明了你身分的有效性，那麼這種有效性成立，你也應該獲得驗證身分。

如果只有少數真實用戶（意外或惡意）驗證了虛假用戶，那麼就可以使用基本的圖論技術，為系統驗證的虛假用戶數量設定一個上限。

基於社交圖譜的驗證的支持者通常將其描述為生物識別技術的更好替代品，原因有以下幾點：

• 它不依賴於特殊用途的硬體，因此更易於部署
• 它避免了 3D 假人製造商與 Orb 之間的長期軍備競賽
• 不需要收集生物識別數據，更有利於保護隱私
• 它可能對匿名更友好，因為如果有人選擇將自己的網路生活分割成多個相互獨立的身分，那麼這兩個身分都有可能被驗證（但維持多個真實而獨立的身分會犧牲網絡效應，而且成本很高，所以攻擊者不容易做到這一點）。
• 生物識別方法給出的是「是人」或「不是人」的二元評分，這種方法很脆弱，因為不小心被拒絕的人最終根本無法獲得 UBI，也可能無法參與網絡生活。基於社會圖譜的方法可以給出一個更細緻的數字分數，這當然可能對某些參與者略有不公，但不太可能讓某人完全無法參與網絡生活。

對於這些論點，我的觀點是基本贊同。這些都是基於社會圖譜的方法的真正優勢，應該認真對待。不過，基於社交圖譜的方法也有不足之處，這一點也值得考慮：

• 初始人脈關係：要加入基於社交圖譜的系統，用戶必須認識圖譜中的某個人。這就給大規模應用帶來了困難，並有可能將在初始引導過程中運氣不佳的整個地區排除在外。
• 隱私：雖然基於社交圖譜的方法可以避免收集生物識別數據，但最終往往會洩露一個人的社交關係資料，這可能會導致更大的風險。當然，零知識技術可以緩解這一問題（例如，請參閱 Barry Whitehat 提出的建議），但圖中固有的相互依賴關係以及對圖進行數學分析的需要，使其難以達到與生物識別技術相同的數據隱藏水平。
• 不平等：每個人只能擁有一個生物識別 ID，但一個社牛可以利用他們的關係生成許多 ID。從根本上說，基於社會圖譜的系統可以靈活地為真正需要該功能的人（如活動組織者）提供多個假名，這也可能意味著更有權勢、人脈更廣的人可以獲得比權勢、人脈更少的人更多的假名。
• 陷入中心化的風險： 大多數人都懶得花時間向網路應用程式報告誰是真人，誰不是。因此，隨著時間的推移，該系統有可能會偏向於依賴中央機構的簡易入場方式，而係統用戶的社交圖譜將事實上成為哪些國家承認哪些人是公民的社交圖譜——為我們提供中央化的 KYC，但卻增加了不必要的額外步驟。

在現實世界中，人格證明與假名是否兼容？

原則上，人格證明可與各種假名兼容。應用程式可以這樣設計：擁有一個身分證明的人最多可以在程式中創建五個配置文件，以此為假名帳戶留出空間，甚至可以使用二次公式，將 N 個帳戶的成本為 N² 美元。但他們會這樣做嗎？

然而，悲觀主義者可能會說，試圖創建一種對隱私更友好的 ID 形式，並希望它能以正確的方式被採用，這種想法太不切實際了，因為當權者並不在意普通人的隱私安全。如果一個有權勢的人獲得了一種可以用來獲取更多個人資料的工具，他們必定就會這樣使用它。在這樣的世界裡，不幸的是，唯一現實的方法就是在阻止任何身分解決方案推行，以此捍衛一個完全匿名和高信任度的數位世界。

我深知這種方法的合理性，但我擔心即使這種方法成功，也會導致在這個世界上，任何人都無法採取任何行動來抵制財富中心化和治理集權，因為一個人總是可以冒充一萬個人。反過來，這種中心化也很容易被當權者握在手中。相反，我更傾向於一種溫和的方法，即我們大力提倡具有強大隱私性的人格證明解決方案，如果需要，甚至可以在協議層加入註冊 N 個帳戶成本為 N² 美元的機制，並創建一些具有隱私友好價值且有機會被外部世界接受的東西。

那麼我的看法是，在不存在理想的人格證明方式的情況下，我們有三種不同的證明方法，它們都有各自獨特的優缺點，比較圖表如下：

我們最理想的做法是將這三種技術視為互補品，並將它們結合起來。正如印度的 Aadhaar 所顯示的那樣，專門的硬體生物識別技術具有大規模安全的優點，但它們在去中心化方面非常薄弱，不過這可以通過追究單個 Orb 的責任來解決。如今，通用生物識別技術已經達到大規模應用的程度，但其安全性正在迅速下降，並且未來的使用預期可能僅剩下 1-2 年。基於社交圖譜的系統僅靠幾百個與創始團隊關係密切的人就能啟動，但很對大部分地區而言需要在直接忽略或採用卻易受攻擊之間不斷權衡。然而，一個基於社交圖譜的系統，如果起源於數千萬生物識別 ID 持有者中，就能真正發揮作用。生物識別引導可能在短期內更有效，而基於社會圖譜的技術可能在長期內更穩健，並隨著算法的改進而能夠有更廣闊的應用前景。

所有團隊都有可能犯很多錯誤，商業利益與更廣泛的社群需求之間也不可避免地存在緊張的衝突，因此我們必須保持高度警惕。作為一個社群，我們應當在開源技術方面推進至所有參與者的舒適區，將第三方進行審計、編寫軟體或進行其他制衡措施。我們還需要在這三類技術中各自都有更多的替代技術。

與此同時，我們也必須對已經完成的工作表示讚許：許多運行這些系統的團隊都表現出了他們對隱私的重視，比任何政府或大型企業運行的身分系統都要認真得多，這是我們應該發揚光大的美好品質。

要建立一個有效可靠的身分證明系統，尤其是由遠離並不處於加密社群的人負責的系統，似乎相當具有挑戰性。我絕對不羨慕那些試圖完成這項任務的人，他們很可能需要數年的時間才能找到一個行之有效的方案。從原則上講，即便是各種實現方式都存在風險，但人格證明的概念仍然極其有價值。同時，完全不存在任何人格證明的世界依然無法避免風險：一個沒有人格證明的世界似乎更有可能是一個由中心化身分解決方案、貨幣、小型封閉社群或三者的某種組合所主導的世界。我期待看到各種類型的人格證明取得更多進展，並希望看到不同的方法最終匯聚成一個連貫的整體。

---

（以上內容獲合作夥伴 PANews 授權節錄及轉載，原文連結 ）

聲明：文章僅代表作者個人觀點意見，不代表區塊客觀點和立場，所有內容及觀點僅供參考，不構成投資建議。投資者應自行決策與交易，對投資者交易形成的直接間接損失作者及區塊客將不承擔任何責任。

好文章出於 區塊客