zk-SNARKs ідентифікаційна система: інструмент конфіденційності чи загроза анонімності

Технологія zk-SNARKs у системах цифрової ідентичності поступово стає мейнстрімом. Різноманітні проекти цифрової ідентичності, засновані на zk-SNARKs, розробляють зручні для користувачів програмні пакети, які дозволяють користувачам підтверджувати свою ідентичність без розкриття деталей. Кількість користувачів проекту World ID, який використовує біометричну верифікацію та забезпечує конфіденційність завдяки zk-SNARKs, нещодавно перевищила 10 мільйонів. Урядовий проект цифрової ідентичності в Тайвані також застосовує zk-SNARKs, а Європейський Союз все більше приділяє увагу цій технології в сфері цифрової ідентичності.

На перший погляд, широке впровадження цифрової ідентичності на основі zk-SNARKs здається великою перемогою у розвитку децентралізованих технологій. Це може захистити соціальні мережі, голосувальні системи та інтернет-сервіси від атак відьом і маніпуляцій роботів без жертви конфіденційності. Але справа не така проста, ця система ідентифікації все ще має деякі ризики. У цій статті буде роз'яснено такі точки:

• zk-SNARKs упакування вирішило багато важливих проблем.
• Але ризики, пов'язані з ідентифікацією, упакованою з використанням zk-SNARKs, все ще існують. Ці ризики в основному походять від жорсткого дотримання атрибута "одна особа – одна ідентичність", що не має великого значення для конкретного використання біометрії чи паспорта.
• Іншим екстремумом є використання "доказу багатства" для захисту від атак відьом, але в більшості випадків це недостатньо, нам потрібне якесь рішення "подібне до ідентифікації".
• Теоретично ідеальний стан - це отримання N ідентифікацій за вартістю N².
• Цей ідеальний стан важко досягти на практиці, але підходящий "багатогранний ідентифікатор" наближається до нього, тому є найбільш реалістичним рішенням. Багатогранний ідентифікатор може бути явним (, наприклад, ідентифікатором на основі соціальних графіків ), або прихованим (, де існує кілька типів zk-SNARKs і жоден з них не має ринкової частки, близької до 100% ).

Як працює ідентифікація, упакована в zk-SNARKs?

Припустимо, ви отримали World ID, просканувавши райдужну оболонку ока, або за допомогою NFC на телефоні прочитали паспорт, що базується на zk-SNARKs. Щодо аргументу цієї статті, основні властивості цих двох способів є однаковими.

На вашому телефоні є секретне значення s. У глобальному реєстрі на блокчейні є публічний хеш-значення H(s). Коли ви входите в додаток, ви генеруєте унікальний ідентифікатор користувача, що стосується цього додатку, а саме H(s, app_name), і перевіряєте його за допомогою zk-SNARKs: цей ID походить з того ж секретного значення s, що й певне публічне хеш-значення в реєстрі. Тому для кожного публічного хеш-значення для кожного додатку може бути згенеровано лише один ID, але ніколи не буде розкрито, до якого публічного хеш-значення відноситься конкретний ID цього додатку.

Насправді, дизайн може бути трохи більш складним. У World ID спеціальний ID застосування насправді є хеш-значенням ID застосування та ID сесії, тому різні операції в межах одного застосування також можуть бути взаємозв'язані. Дизайн паспорта на основі zk-SNARKs також може бути побудований за подібним принципом.

Перед тим, як обговорити недоліки цього типу ідентифікації, спочатку необхідно визнати його переваги. Окрім ідентифікації на основі zk-SNARKs, для того щоб підтвердити свою особу перед сервісами, які потребують ідентифікації, вам доводиться розкривати свою повну легальну особистість. Це серйозно порушує "принцип найменших прав" у комп'ютерній безпеці: процес має отримувати лише мінімальні права та інформацію, необхідні для виконання його завдання. Вони потребують підтвердження того, що ви не робот, що вам виповнилося 18 років або що ви з певної країни, але те, що вони отримують, - це вказівка на вашу повну ідентифікацію.

Наразі найкращим варіантом покращення є використання телефонних номерів, номерів кредитних карток та інших непрямих токенів: у цьому випадку особа, яка знає, що ваш телефон/номер кредитної картки пов'язаний з активністю в застосунку, і особа, яка знає, що ваш телефон/номер кредитної картки пов'язаний з законною ідентичністю ( компанії або банку ), є взаємно відокремленими. Але ця відокремленість є вкрай крихкою: телефонні номери та інша інформація, як і раніше, можуть бути викриті в будь-який момент.

А завдяки технології упаковки zk-SNARKs, зазначене питання в значній мірі вирішено. Але наступним, що варто обговорити, є менш згадуваний момент: все ще є деякі питання, які не лише залишилися невирішеними, а й можуть стати ще серйознішими через суворе обмеження "одна особа - одна ідентифікація" в таких рішеннях.

zk-SNARKs самі по собі не можуть забезпечити анонімність

Припустимо, що платформа ідентифікації на основі zk-SNARKs працює точно так, як очікувалося, суворо відтворюючи всі вищезазначені логіки, і навіть знайдена методика, яка може довгостроково захистити конфіденційну інформацію не технічних користувачів без залежності від централізованих організацій. Але водночас ми можемо зробити реалістичне припущення: програми не будуть активно співпрацювати для захисту конфіденційності, вони будуть дотримуватися принципу "прагматизму", і хоча використовувані дизайнерські рішення заявляють про "максимізацію зручності для користувачів", насправді вони, здається, завжди схиляються до власних політичних і комерційних інтересів.

У такому сценарії соціальні медіа-додатки не будуть використовувати складні рішення, такі як часта зміна сеансових ключів, а натомість призначать кожному користувачеві унікальний ідентифікатор додатка. Оскільки система ідентифікації дотримується правила "одна людина – один ідентифікатор", користувач може мати лише один обліковий запис (, що контрастує з сучасною "слабкою ідентифікацією", наприклад, обліковими записами Google, де звичайна людина може легко зареєструвати близько 5 облікових записів ). У реальному світі досягнення анонімності зазвичай вимагає наявності кількох облікових записів: один для "звичайної ідентифікації", інші – для різних анонімних ідентичностей. Отже, в такій моделі фактична анонімність, яку можуть отримати користувачі, ймовірно, буде нижчою, ніж існуючий рівень. Таким чином, навіть система "одна людина – один ідентифікатор", упакована за допомогою zk-SNARKs, може поступово призвести нас до світу, де всі дії повинні бути прив’язані до єдиного публічного ідентифікатора. У часи зростаючих ризиків позбавлення людей можливості захищати себе через анонімність матиме серйозні негативні наслідки.

zk-SNARKs самі по собі не можуть захистити вас від примусу

Навіть якщо ви не розкриваєте своє секретне значення s, ніхто не може побачити публічні зв’язки між вашими рахунками, але якщо хтось змусить вас розкрити їх? Уряд може змусити вимагати розкриття його секретного значення, щоб переглянути всі його дії. Це не порожні слова: уряд США вже почав вимагати від заявників на візу розкрити свої облікові записи в соціальних мережах. Крім того, роботодавці також можуть легко вимагати від тих, хто надає повну публічну інформацію, щоб це стало умовою для найму. Навіть певні програми на технічному рівні можуть вимагати від користувачів розкрити свою ідентичність в інших програмах, перш ніж дозволити реєстрацію.

Так само, в цих випадках цінність атрибутів zk-SNARKs зникає, але недоліки нового атрибута "одна особа - один рахунок" все ще залишаються.

Ми, можливо, можемо зменшити ризики примусу шляхом оптимізації дизайну: наприклад, використовуючи механізм багатосторонніх обчислень для створення унікальних ID для кожного додатку, що дозволяє користувачам та постачальникам послуг спільно брати участь у цьому процесі. Таким чином, якщо учасник операції додатку не бере участі, користувач не зможе довести свій унікальний ID у цьому додатку. Це ускладнить примус інших до розкриття повної ідентичності, але не зможе повністю усунути цю можливість, і такі рішення мають інші недоліки, наприклад, вимогу, щоб розробники додатків були активними учасниками в реальному часі, а не пасивними смарт-контрактами на ланцюгу.

zk-SNARKs самі по собі не можуть вирішити ризики, що не пов'язані з конфіденційністю.

Усі форми ідентифікації мають крайові випадки:

• На основі ідентифікації, виданої урядом, включаючи паспорти, не охоплює осіб без громадянства та не включає людей, які ще не отримали такі документи.
• З іншого боку, такі державні системи ідентифікації надають унікальні привілеї особам з подвійним громадянством.
• Органи, що видають паспорти, можуть стати жертвами хакерських атак, а розвідувальні служби ворожих держав навіть можуть підробити велику кількість фальшивих ідентичностей.
• Для тих, хто має пошкоджені біометричні характеристики через травми або захворювання, біометрична ідентифікація буде повністю недійсною.
• Біометрична ідентичність, ймовірно, може бути підроблена. Якщо вартість біометричної ідентичності стане надзвичайно високою, ми навіть можемо побачити, що хтось спеціально вирощує людські органи лише для "масового виробництва" такого роду ідентичності.

Ці крайні випадки становлять найбільшу загрозу для систем, що намагаються підтримувати властивість "одна людина - одна ідентичність", і вони не мають нічого спільного з конфіденційністю. Тому zk-SNARKs безсилі проти цього.

Спираючись на "доведення багатства" для запобігання атак від відьом, цього недостатньо для вирішення проблеми, тому нам потрібна якась форма системи ідентифікації.

У чисто криптопанк-спільноті поширеним альтернативним підходом є: повністю покладатися на "докази багатства" для запобігання атак в巫, а не будувати будь-яку форму системи ідентифікації. Дозволивши кожному обліковому запису нести певні витрати, можна запобігти легкому створенню великої кількості облікових записів. Цей підхід вже має прецеденти в Інтернеті, наприклад, форум Somethingawful вимагає від зареєстрованих користувачів сплатити одноразовий внесок у 10 доларів; якщо обліковий запис буде заблоковано, ця сума не підлягає поверненню. Однак на практиці це не є справжньою моделлю криптоекономіки, оскільки найбільшим бар'єром для створення нового облікового запису є не повторна сплата 10 доларів, а отримання нової кредитної картки.

Теоретично, навіть можна зробити так, щоб платежі мали умови: при реєстрації облікового запису вам потрібно лише заблокувати певну суму коштів, і тільки в дуже рідкісних випадках, таких як блокування облікового запису, ви втратите ці кошти. Теоретично це може значно підвищити вартість атак.

Ця схема має значний ефект у багатьох сценаріях, але в деяких типах сценаріїв вона зовсім не працює. Я зосереджуся на двох категоріях сценаріїв, поки що називаючи їх "сценаріїм, схожим на безумовний базовий дохід", та "сценарієм, схожим на управління".

Потреба в ідентифікації в сценарії загального базового доходу

Так званий "сценарій універсального базового доходу" означає необхідність виплати певної кількості активів або послуг дуже широкому (, в ідеальному випадку всім ) користувачам, без врахування їхньої платоспроможності. Worldcoin систематично реалізує це: будь-хто, хто має World ID, може регулярно отримувати невелику кількість токенів WLD. Багато аірдропів токенів також досягають подібної мети більш неформальним способом, намагаючись забезпечити, щоб хоча б частина токенів потрапила до якомога більшої кількості користувачів.

Що стосується мене, я не вважаю, що цінність таких токенів може досягти рівня, достатнього для підтримки особистого життя. У економіці, що керується штучним інтелектом і має масштаб багатства, що досягає поточних тисяч разів, такі токени, можливо, можуть мати цінність для підтримки життя; але навіть тоді, принаймні, урядові проекти, які підтримуються природними ресурсами, все ще займатимуть більш важливе місце на економічному рівні. Тим не менш, я вважаю, що проблема, яку можуть реально вирішити такі "маленькі універсальні базові доходи", полягає в тому, щоб дати людям достатню кількість криптовалюти для виконання деяких базових онлайнових транзакцій і покупок. Конкретно це може включати:

• Отримати ENS ім'я
• Опублікувати хеш в ланцюзі для ініціалізації певної zk-SNARKs ідентичності
• Оплата витрат на соціальні медіа платформи

Якщо криптовалюта буде широко впроваджена у всьому світі, це питання більше не існуватиме. Але в умовах, коли криптовалюта ще не стала популярною, це може бути єдиним шляхом для людей отримати доступ до нефінансових застосувань на блокчейні та пов'язаних онлайн-товарів і послуг, інакше вони можуть зовсім не мати доступу до цих ресурсів.

Крім того, існує ще один спосіб досягти подібного ефекту, а саме "універсальні базові послуги": надання кожному, хто має ідентифікацію, можливість надсилати обмежену кількість безкоштовних транзакцій у певному застосунку. Цей спосіб може більше відповідати механізму стимулювання та бути більш капітально ефективним, адже кожен застосунок, який отримує вигоду від такого впровадження, може це робити без необхідності оплачувати не користувачів; проте це також супроводжується певними компромісами, а саме зниженням універсальності, адже користувачі можуть бути впевнені у доступі лише до застосунків, що беруть участь у цій програмі. Проте навіть у цьому випадку все ще потрібне рішення для ідентифікації, щоб запобігти атакам спаму на систему та уникнути виключності, що виникає з вимоги до користувачів оплачувати якимось способом, який може бути недоступний для всіх.

Остання важлива категорія, яку слід підкреслити, – це "гарантія базового забезпечення для всіх". Функція ідентифікації