Ayer se lanzó oficialmente Worldcoin, un proyecto de cifrado cofundado por el fundador de OpenAI, Sam Altman. Se trata de un proyecto de sistema de identidad cifrado que genera y verifica World ID (identidad) de los usuarios escaneando el iris del usuario utilizando el escáner ocular Orb.

El mismo día, Ethereum LianVin publicó un artículo "¿Qué pienso sobre la prueba biométrica de la personalidad humana?", explicando sus puntos de vista sobre Worldcoin y la prueba de identidad humana. El Instituto de Investigación Baize recopiló lo siguiente:

La gente de la comunidad Ethereum ha estado intentando construir una solución descentralizada para The Proof of Humanity, que siempre ha sido uno de los problemas más difíciles pero valiosos. La identificación humana es una forma limitada de identidad en el mundo real que permite que una persona real controle una cuenta registrada, idealmente sin revelar la persona real detrás de ella.

La comunidad criptográfica ha hecho muchos esfuerzos para intentar resolver este problema antes: BrightID, Idena y Circles son ejemplos representativos. Algunos de ellos vienen con sus propias aplicaciones (generalmente tokens UBI) y algunos han encontrado soluciones en Gitcoin Passport para verificar qué cuentas son válidas para la votación secundaria. Las tecnologías de conocimiento cero como Sismo añaden privacidad a muchas soluciones similares.

Sólo recientemente hemos visto el surgimiento de un proyecto de identidad humana más grande y ambicioso: Worldcoin.

Worldcoin fue fundada por Sam Altman, quien anteriormente era conocido por ser el director ejecutivo de OpenAI. La idea detrás del proyecto es simple: la inteligencia artificial (IA) creará mucha riqueza para la humanidad, pero también puede acabar con muchos puestos de trabajo, porque la IA eventualmente se desarrollará hasta el punto en que será casi imposible saber quién Es un humano y no un robot. Entonces necesitamos llenar este vacío:

(1) Crear un muy buen sistema de identificación humana para que los humanos puedan demostrar que en realidad son personas reales;

(2) Proporcionar RBU a todos. Worldcoin es único porque se basa en tecnología biométrica altamente sofisticada, utilizando lo que se conoce como

El hardware especializado de "Orb" escanea el iris de cada usuario.

El objetivo de Worldcoin es producir grandes cantidades de estas "esferas" y distribuirlas ampliamente por todo el mundo, colocándolas en lugares públicos para que cualquiera pueda obtener fácilmente su propia identificación: una World ID.

Hay que reconocer que Worldcoin también está comprometida con el desarrollo de la descentralización. Esto significa descentralizar la tecnología: usar OP Stack para convertirse en el L2 de Ethereum y usar ZK-SNARK y otras tecnologías de cifrado para proteger la privacidad del usuario, pero también incluir la gobernanza descentralizada del propio sistema. Worldcoin ha sido criticado por las preocupaciones de privacidad y seguridad de Orb, problemas con el diseño de su token y la ética de algunas de las decisiones que ha tomado la empresa. De hecho, el proyecto Worldcoin en sí todavía está bajo revisión y desarrollo. Sin embargo, algunos han planteado preocupaciones más fundamentales sobre si la biometría (no solo la biometría de escaneo ocular de Worldcoin, sino también las cargas y verificaciones de videos faciales más simples utilizadas en Proof of Humanity e Idena) ganará terreno entre el público.

Ciertamente, no faltan críticos de estos proyectos, ya que los riesgos incluyen inevitables violaciones de la privacidad, una mayor erosión de la capacidad de las personas para navegar por Internet de forma anónima, la coerción de gobiernos autoritarios y cómo mantener la seguridad mientras se está descentralizado.

Este artículo discutirá estos temas y brindará algunos argumentos para ayudarlo a decidir si escanear sus iris frente a la herramienta "esférica" ​​de Worldcoin es una buena idea. ¿Y cuáles son las alternativas a renunciar al desarrollo de pruebas de identidad humana?

¿Qué es un sistema de identificación humana y por qué es importante?

La forma más sencilla de definir un sistema de prueba de identidad es crear una lista de claves públicas y el sistema garantiza que cada clave esté controlada por una persona única. En otras palabras, si eres un humano, puedes poner una clave en la lista, pero no puedes poner dos claves, y si eres un robot, no puedes poner ninguna clave en la lista.

La identificación humana es valiosa porque resuelve los problemas antispam y anticentralización del poder que enfrentan muchos de una manera que evita la dependencia de la autoridad centralizada y revela la menor información posible. Si no se aborda la verificación de la identidad humana, la gobernanza descentralizada (incluida la “microgobernanza”, como la votación en publicaciones en las redes sociales) será más fácilmente controlada por actores muy ricos, incluidos gobiernos hostiles. Muchos servicios sólo pueden proteger contra ataques de denegación de servicio fijando un precio de acceso y, a veces, un precio que es lo suficientemente alto como para excluir a los atacantes también es demasiado alto para muchos usuarios legítimos de bajos ingresos.

Muchas aplicaciones importantes en el mundo hoy en día abordan este problema mediante el uso de sistemas de identidad respaldados por el gobierno, como tarjetas de identificación y pasaportes. Esto resuelve el problema, pero supone un sacrificio enorme e inaceptable en materia de privacidad y puede estar sujeto a ataques menores por parte del propio gobierno.

En muchos proyectos de identidad humana, no sólo Worldcoin, sino también las “aplicaciones emblemáticas” como Circles tienen incorporado un código de “token accesible para todos” (también conocido como “tokens UBI”). Cada usuario registrado en el sistema recibe una cantidad fija de tokens cada día (o cada hora o semanalmente). Hay muchas otras aplicaciones, incluyendo:

- Mecanismo de lanzamiento aéreo para distribución de tokens.

- Ventas de tokens o NFT con mejores condiciones para usuarios menos ricos

- Votar en el DAO

- Cómo inicializar el sistema de reputación gráfica.

- Votación secundaria (pago de fondos y atención)

- Proteger contra ataques de bot/sybil en las redes sociales

- Alternativa CAPTCHA para prevenir ataques DoS

En muchos de estos casos, el tema común es la creación de mecanismos abiertos y democráticos que eviten el control centralizado de los operadores de proyectos y el dominio de sus usuarios más ricos. Esto último es particularmente importante en la gobernanza descentralizada.

En situaciones como ésta, las soluciones existentes hoy en día se basan en:

(1) Algoritmos de IA altamente opacos que llevan a cabo una discriminación indetectable contra los usuarios que no le agradan al operador

(2) Identidad centralizada, a saber, "KYC".

Por lo tanto, una solución eficiente de prueba de identidad sería una mejor opción para lograr las propiedades de seguridad requeridas por estas aplicaciones sin caer en las trampas de los enfoques centralizados existentes.

¿Cuáles fueron algunos de los primeros intentos de identificación humana?

Hay dos formas principales de identificación humana: gráficos sociales y biometría.

La prueba de la identidad humana basada en gráficos sociales se basa en algún tipo de prueba: si Alice, Bob, Charlie y David son todos humanos verificados, y todos dicen que Emily es un humano verificado, entonces Emily probablemente también sea una Humanidad humana verificada.

Esta justificación suele verse reforzada por incentivos: si Alice dice que Emily es una persona real, pero resulta que no lo es, entonces tanto Alice como Emily pueden ser castigadas.

La identificación humana basada en biometría implica verificar algunas características físicas o de comportamiento de Emily que distinguen a los humanos de los robots (y a los humanos individuales entre sí).

La mayoría de los proyectos utilizan una combinación de estas dos tecnologías.

Los cuatro sistemas que mencioné al principio de este artículo son aproximadamente los siguientes:

(1) Prueba de humanidad: usted carga su propio video y proporciona un depósito. Para ser aprobado, los usuarios existentes deben responder por usted y otros retadores lo desafiarán durante un período de tiempo. Si hay un retador, el tribunal descentralizado de Kleros verificará si su video es auténtico; de lo contrario, se perderá el depósito y el retador recibirá la recompensa.

(2) BrightID: te unes a una videollamada de "grupo de verificación" con otros usuarios y todos se verifican entre sí. Con Bitu, puede obtener un nivel más alto de verificación siempre que otros usuarios verificados de Bitu respondan por usted.

(3) Idea: debes jugar un juego CAPTCHA en un momento específico (para evitar que las personas participen más de una vez, parte del juego CAPTCHA implica crear y verificar CAPTCHA que se usarán para verificar a otros);

(4) Círculo: los usuarios existentes de Círculo deben responder por usted. Circles es único porque no intenta crear una "identificación global verificable", sino que crea un gráfico de confianza donde la confiabilidad de alguien solo puede verificarse desde su propia posición en ese gráfico;

¿Cómo funciona Worldcoin?

Cada usuario de Worldcoin debe instalar una aplicación en su teléfono que genere claves públicas y privadas, como una billetera Ethereum. Luego tienen que desconectarse y encontrar el "Orbe" verificable en persona. Los usuarios miran fijamente la cámara de Orb mientras le presentan a Orb un código QR generado por su aplicación Worldcoin que contiene su clave pública. Orb escanea los ojos del usuario y utiliza sofisticados clasificadores de aprendizaje automático y escaneo de hardware para verificar:

(1) Si el usuario es una persona real; (2) El iris del usuario no coincide con el iris de ningún otro usuario que haya utilizado el sistema antes.

Si ambos escaneos pasan, Orb firmará un mensaje aprobando el hash privado del escaneo del iris del usuario. Los hashes se cargan en una base de datos, actualmente un servidor centralizado que está destinado a ser reemplazado por un sistema descentralizado en cadena una vez que determinen que el mecanismo de hash funciona. El sistema no almacena el escaneo completo del iris, solo almacena los hashes, que se utilizan para verificar la unicidad. A partir de este momento, el usuario tiene una "ID mundial".

Los titulares de World ID pueden demostrar que son un ser humano único generando un ZK-SNARK para demostrar que poseen una clave privada que corresponde a una clave pública en la base de datos sin revelar qué clave poseen. Entonces, incluso si alguien vuelve a escanear tus iris, no podrá ver ninguna acción que hayas realizado.

¿Cuáles son los principales problemas con la construcción de Worldcoin?

La gente está preocupada principalmente por cuatro riesgos:

(1) Privacidad

El registro de exploraciones del iris puede revelar información. Al menos, si alguien más escanea tus iris, puede compararlo con una base de datos para determinar si tienes una identificación mundial. Una exploración del iris puede revelar más.

(2) Accesibilidad

A menos que haya suficientes orbes para que cualquier persona en el mundo pueda encontrar uno fácilmente, World ID no será accesible de manera confiable.

(3) Centralización

Orb es un dispositivo de hardware y no podemos verificar que esté construido correctamente y que no tenga puertas traseras. Entonces, incluso si la capa de software fuera perfecta y completamente descentralizada, la Fundación Worldcoin aún tendría la capacidad de insertar una puerta trasera en el sistema, permitiéndole crear tantas identidades humanas falsas como quisiera.

(4)Seguridad

Los teléfonos de los usuarios podrían ser pirateados, los usuarios podrían verse obligados a escanear sus propios iris mientras presentan una clave pública que pertenece a otra persona, y es posible imprimir en 3D un "maniquí" y escanear su iris para obtener una identificación mundial.

Es importante distinguir:

(1) cuestiones de selección específicas de Worldcoin;

(2) Problemas que son inevitables en cualquier sistema de identificación humana basado en biometría;

(3) Problemas que existirán en cualquier sistema de identificación humana. Por ejemplo, registrarse en Proof of Humanity significa poner tu cara en Internet.

Incluso unirse a la “fiesta de verificación” por videollamada de BrightID no cambiará eso por completo, ya que su identidad seguirá expuesta a muchas otras personas. Unirse a Círculos expone públicamente su gráfico social.

Worldcoin protege mucho mejor la privacidad que ambos.

Worldcoin, por otro lado, se basa en hardware especializado, lo que plantea la cuestión de si se puede confiar plenamente en los creadores del Orb. Esto no se encuentra en Proof of Humanity, BrightID o Circles. Incluso es concebible que en el futuro alguien pueda crear una solución de hardware dedicada que sea diferente de Worldcoin, que tendrá diferentes compensaciones.

¿Cómo aborda un sistema de identificación humana basado en biometría los problemas de privacidad?

La violación potencial más obvia y más grande de la privacidad de cualquier sistema de identificación humana es vincular las acciones de cada persona a su identidad en el mundo real. Este tipo de fuga de datos es muy grande y se puede decir que es inaceptablemente grande. Pero, afortunadamente, es fácil de resolver utilizando técnicas de prueba de conocimiento cero.

En lugar de firmar directamente con una clave privada cuya clave pública correspondiente está en la base de datos, los usuarios pueden generar un ZK-SNARK que demuestre que poseen la clave privada correspondiente a una determinada clave pública en la base de datos, sin revelar qué clave específica tienen. de firmar directamente con la clave privada correspondiente a la clave pública en la base de datos. Esto se puede hacer utilizando herramientas como Sismo, mientras que Worldcoin tiene su propia implementación integrada. Aquí, vale la pena darle el visto bueno a Worldcoin por ser un sistema de prueba de identidad humana "cripto-nativo": en realidad les importa dar el paso fundamental de los ZK-SNARK para proporcionar una anonimización que casi todas las soluciones de identidad centralizadas no ofrecen.

La existencia de un registro público de datos biométricos es una violación de la privacidad más sutil. En el caso de Prueba de Humanidad, esto centraliza una gran cantidad de datos: obtienes un video de cada participante de Prueba de Humanidad, lo que deja muy claro a cualquier persona en el mundo que esté dispuesto a investigar quiénes son los participantes de Prueba de Humanidad.

En el caso de Worldcoin, la filtración es mucho más limitada: Orb calcula y publica localmente sólo el "hash" del escaneo del iris de cada persona. Este hash no es un hash normal como SHA256; sino que es un algoritmo especializado basado en el filtro Gabor de aprendizaje automático que maneja las imprecisiones inherentes a cualquier escaneo biométrico y garantiza que el iris de la misma persona tenga resultados similares.

Azul: el porcentaje de diferencias de bits entre dos escaneos del iris de la misma persona. Naranja: Porcentaje de diferencias de bits entre dos escaneos de iris de dos personas diferentes

Estos hashes de iris solo pueden filtrar una pequeña cantidad de datos. Si un adversario puede escanear su iris por la fuerza (o en secreto), entonces él mismo puede calcular su hash de iris y compararlo con una base de datos de hashes de iris para ver si está participando en el sistema. Esta capacidad de comprobar si alguien ya se ha registrado es necesaria para que el propio sistema impida que las personas se registren varias veces, pero también existe la posibilidad de que se abuse de ella.

Además, el hashing de iris tiene el potencial de filtrar una cierta cantidad de datos médicos (género, raza y tal vez condiciones médicas), pero esta filtración es mucho menor que la de casi cualquier otro sistema de recopilación de datos a gran escala que se utiliza hoy en día (por ejemplo, incluso los sistemas de acceso callejero). cámaras) los datos que se pueden capturar. En general, creo que la privacidad del almacenamiento de hashes de iris parece adecuada.

Si alguien no está de acuerdo con este juicio y decide diseñar un sistema con más privacidad, hay dos maneras de hacerlo:

1. Si el algoritmo de hash del iris se puede mejorar para que la diferencia entre dos escaneos de la misma persona sea menor (por ejemplo, menos del 10 % de cambios de bits confiables), entonces el sistema puede almacenar una cantidad menor de bits de hash del iris con corrección de errores. (ver: Fuzzy Extractor) en lugar de almacenar el hash de iris completo. Si la diferencia entre los dos escaneos es inferior al 10%, entonces será necesario publicar al menos cinco veces menos bits.

2. Si queremos ir más allá, podemos almacenar la base de datos de iris hash en un sistema de computación multipartita (MPC) al que solo puede acceder Orb (con límites de velocidad), lo que hace que los datos sean completamente inaccesibles, pero a expensas de Complejidad de protocolo significativa y complejidad social de gestionar una colección de participantes de MPC. Esto tendría la ventaja de que los usuarios no podrían demostrar un vínculo entre dos ID mundiales diferentes que tuvieron en momentos diferentes, incluso si así lo desearan.

Desafortunadamente, estas técnicas no son aplicables a la Prueba de Humanidad, que requiere que el video completo de cada participante esté disponible públicamente para que se puedan plantear desafíos si surgen signos de falsificación (incluida la falsificación generada por IA) y, en tales casos, una prueba más detallada. La investigación se lleva a cabo a continuación.

En general, a pesar del aire distópico de mirar un Orbe y hacer que escanee profundamente tus globos oculares, los sistemas de hardware especializados parecen hacer un trabajo bastante bueno a la hora de proteger la privacidad. Sin embargo, la otra cara de la moneda es que los sistemas de hardware especializados introducen mayores problemas de centralización. Así que nosotros, los cypherpunks, parecemos estar en un aprieto: tenemos que hacer un equilibrio entre dos valores cypherpunks profundamente arraigados.

¿Cuáles son los problemas de accesibilidad en los sistemas de identificación humana basados ​​en biometría?

El hardware especializado introduce problemas de accesibilidad porque el hardware especializado no está disponible fácilmente. Entre el 51% y el 64% de los africanos subsaharianos poseen ahora un teléfono inteligente, y se espera que esta cifra aumente al 87% para 2030.

Pero si bien hay miles de millones de teléfonos inteligentes en todo el mundo, sólo hay unos pocos cientos de Orbs. Incluso con una fabricación distribuida a mayor escala, será difícil conseguir un Orbe a cinco kilómetros de distancia de todos.

¡Pero es digno de elogio que Worldcoin haya estado trabajando duro!

También vale la pena señalar que muchas otras formas de identificación humana tienen problemas de accesibilidad aún peores. A menos que ya conozca a alguien en el gráfico social, unirse a un sistema de identidad humana basado en el gráfico social es muy difícil. Esto facilita que dichos sistemas se limiten a una sola comunidad en un solo país.

Incluso los sistemas de identidad centralizados han aprendido esta lección: el sistema de identificación Aadhaar de la India se basa en biometría porque era la única manera de absorber rápidamente a la enorme población del país y al mismo tiempo evitar el fraude masivo de cuentas duplicadas y falsas (ahorrando así muchos costos). Por supuesto, el sistema Aadhaar preserva mucho menos la privacidad que cualquier cosa propuesta a escala por la comunidad criptográfica.

Los sistemas con mejor rendimiento desde una perspectiva de accesibilidad son en realidad sistemas como Proof of Humanity, donde puedes registrarte usando solo tu teléfono inteligente. Sin embargo, como hemos visto, estos sistemas conllevan otras compensaciones.

¿Cuáles son los problemas de centralización en los sistemas de identificación humana basados ​​en biometría?

Hay tres tipos de preguntas:

(1) Existe el riesgo de centralización en la gobernanza de más alto nivel del sistema (especialmente cuando diferentes participantes en el sistema tienen desacuerdos sobre juicios subjetivos y el sistema toma la decisión final de más alto nivel).

(2) Riesgos de centralización exclusivos de los sistemas que utilizan hardware dedicado;

(3) Riesgo de centralización al utilizar algoritmos propietarios para determinar quiénes son los participantes reales.

Cualquier sistema de identificación humana debe enfrentarse al problema (1), a menos que las identificaciones "aceptadas" en el sistema sean completamente subjetivas. Si un sistema utiliza activos externos (por ejemplo, ETH, USDC, DAI) para fijar el precio de los incentivos, entonces no puede ser completamente subjetivo, por lo que el riesgo de gobernanza es inevitable.

El problema (2) es mucho más riesgoso para Worldcoin que Proof of Humanity (o BrightID) porque Worldcoin depende de hardware especializado que otros sistemas no utilizan.

El problema (3) es un riesgo particular para los sistemas centralizados que tienen un único sistema de verificación a menos que todos los algoritmos sean de código abierto y tengamos la seguridad de que realmente están ejecutando el código que dicen ser. Para los sistemas que dependen completamente de que los usuarios autentiquen a otros usuarios (como Proof of Humanity), esto no representa un riesgo.

¿Cómo resuelve Worldcoin el problema de la centralización del hardware?

Actualmente, Tools for Humanity es la única organización que fabrica Orbs. Sin embargo, el código fuente de Orb es en su mayor parte público: puedes ver las especificaciones de hardware en el repositorio de github y se espera que el resto del código fuente se publique pronto. La licencia de Orb es otra licencia para “compartir el código fuente pero no técnicamente el código abierto hasta cuatro años”, similar a la BSL de Uniswap, y además de evitar bifurcaciones, también previene lo que consideran comportamientos poco éticos: vigilancia masiva y tres derechos humanos internacionales. las declaraciones se enumeran específicamente.

El objetivo declarado de Tools for Humanity es permitir y alentar a otras organizaciones a crear Orbs y, con el tiempo, hacer la transición de Orbs creados por Tools for Humanity a tener algún tipo de DAO que apruebe y administre qué organizaciones pueden crear Orbs que el sistema apruebe.

Pero este diseño puede fallar de dos maneras:

1. En realidad, no logra descentralizar. Esto puede deberse a un error común de las DAO: un fabricante se vuelve dominante en la fabricación, lo que lleva a una recentralización del sistema. En términos generales, la gobernanza puede limitar la cantidad de Orbes válidos que puede producir cada fabricante, pero esto debe gestionarse con cuidado, y existe mucha presión sobre la gobernanza para que esté descentralizada y sea capaz de monitorear eficazmente el ecosistema y responder a las amenazas de manera efectiva: esto Mucho más difícil que una DAO bastante estática que solo maneja tareas de resolución de disputas de alto nivel.

2. Puede que no sea posible crear un mecanismo de fabricación descentralizado para garantizar la seguridad. Aquí veo dos riesgos:

(1) El surgimiento de los creadores de Orb: incluso si hay un creador de Orb que es malicioso o pirateado, también puede generar una cantidad ilimitada de hashes de escaneo de iris falsos y otorgarles ID mundiales.

(2) Restricciones gubernamentales sobre Orbs: los gobiernos que no quieran que sus ciudadanos participen en el ecosistema de Worldcoin pueden prohibir a sus países el uso de Orbs. Yendo un paso más allá, podrían incluso obligar a los ciudadanos a someterse a escaneos de iris, permitiendo al gobierno acceder a sus cuentas sin que los ciudadanos puedan manejarlo.

Para hacer que el sistema sea más resistente a los malos fabricantes de Orb, el equipo de Worldcoin propone realizar auditorías periódicas de los Orbs para verificar que estén construidos correctamente, que los componentes de hardware críticos estén construidos según las especificaciones y que no hayan sido manipulados después de la hecho. Es una misión desafiante: es básicamente como la agencia de inspección nuclear de la OIEA, pero para Orbs. Esperamos que incluso un sistema de auditoría muy imperfecto pueda reducir significativamente la cantidad de Orbes falsos.

Para limitar el daño causado por cualquier Orbe defectuoso, es necesaria una segunda medida de mitigación. Incluso utilizando ID de mundo registrados por diferentes fabricantes de Orbes, lo ideal sería que el uso de diferentes Orbes se pudiera distinguir entre sí. Esto es aceptable si la información es privada y se almacena únicamente en el dispositivo del titular de la identificación mundial, pero es necesario demostrarlo si es necesario; Esto permite que el ecosistema reaccione a ataques (inevitables) eliminando a los fabricantes de Orb individuales, o incluso a Orbs individuales, de la lista blanca en cualquier momento si es necesario. Si vemos que el gobierno de Corea del Norte obliga a las personas a escanear sus globos oculares, esos Orbes y cualquier cuenta generada por ellos podrían desactivarse retroactivamente de inmediato.

¿Cuáles son los problemas de seguridad en la identificación humana general?

Además de las cuestiones específicas de Worldcoin, existen cuestiones que afectan el diseño de los sistemas de identificación humana. Los principales que se me ocurren son:

(1) Maniquíes impresos en 3D: se puede utilizar la IA para generar fotografías o incluso impresiones 3D de muñecos que sean lo suficientemente realistas como para ser aceptadas por el software Orb. Si un grupo hace esto, puede generar un número ilimitado de identidades.

(2) Se puede vender World ID: al registrarse, las personas pueden proporcionar la clave pública de otra persona en lugar de la suya propia, dando así el control de su ID registrada a otros a cambio de dinero. Esto parece estar sucediendo ya. Además de vender, también es posible alquilar el ID a una aplicación por un corto período de tiempo.

(3) Hackeo de teléfonos móviles: si el teléfono de alguien es pirateado, el hacker puede robar la clave que controla su ID mundial.

(4) Robo de identidad impuesto por el gobierno: un gobierno puede obligar a sus ciudadanos a verificar mientras muestra un código QR que pertenece al gobierno. De esta manera, un gobierno malintencionado podría obtener acceso a millones de identificaciones. En los sistemas biométricos, esto se puede hacer incluso de forma encubierta: los gobiernos pueden utilizar Orbes ocultos para extraer identificaciones mundiales de todas las personas que ingresan a su país en los quioscos de control de pasaportes.

El primer punto es específico de los sistemas de identidad de prueba biométrica. El segundo y tercer punto son comunes tanto en diseños biométricos como no biométricos. El cuarto punto también es común en ambos, aunque la tecnología requerida en los dos casos será muy diferente en este apartado me centraré en el tema del caso biométrico;

Éstas son debilidades muy graves. Algunos ya están abordados en los protocolos existentes, otros pueden abordarse mediante mejoras futuras y otros parecen ser limitaciones fundamentales.

¿Cómo tratamos con los tontos?

Para Worldcoin, esto es mucho menos riesgoso que un sistema como Prueba de Humanidad: un escaneo en vivo de una persona puede verificar muchas características de una persona, y es bastante difícil falsificarlo en comparación con simplemente falsificar un video. El hardware especializado es intrínsecamente más difícil de falsificar que el hardware ordinario, que a su vez es más difícil de falsificar que la verificación algorítmica digital de imágenes y vídeos enviados de forma remota.

¿Alguien puede imprimir en 3D algo que pueda engañar al Orbe? Las probabilidades son altas. Predigo que en algún momento veremos una tensión creciente entre los objetivos de mantener abiertos los mecanismos y mantenerlos seguros: los algoritmos de IA de código abierto son inherentemente más susceptibles al aprendizaje automático adversario. En algún momento más lejano del futuro, incluso los mejores algoritmos de IA podrán ser engañados por los mejores muñecos impresos en 3D.

Sin embargo, según mis conversaciones con los equipos de desarrollo de Worldcoin y Proof of Humanity, parece que ninguno de los protocolos está sufriendo ataques deepfake significativos en este momento, por la sencilla razón de que contratar trabajadores reales con salarios bajos para que se registren en su nombre es increíblemente barato y Fácil.

¿Podemos evitar que se vendan documentos de identidad?

A corto plazo, impedir esta venta es difícil porque la mayoría de las personas en el mundo ni siquiera conocen el protocolo de identificación humana, y si les dices que pueden ganar 30 dólares sosteniendo un código QR y escaneando sus ojos, lo harán.

Una vez que más personas supieron qué era el Protocolo de Identificación Humana, se hizo posible una mitigación bastante simple: permitir que las personas con identificaciones registradas se volvieran a registrar, cancelando sus identificaciones anteriores. Esto hace que las "ventas de identificaciones" sean mucho menos creíbles, ya que la persona que le vende la identificación puede volver a registrarse y cancelar el registro de la identificación que acaba de vender. Sin embargo, para llegar a este punto, el protocolo debe ser muy conocido y los Orbes deben ser ampliamente accesibles para hacer posible el registro instantáneo.

Esta es una de las razones por las que es valioso integrar los tokens UBI en los sistemas de identidad humana: los tokens UBI proporcionan un incentivo fácil de entender para que las personas comprendan el protocolo y se registren, además, si se han registrado en nombre de otra persona, volverán a -regístrese inmediatamente.

¿Podemos prevenir amenazas de aplicación de la ley en los sistemas de identificación humana basados ​​en biometría?

Depende de qué tipo de coerción estemos hablando. Las posibles formas de coerción incluyen:

- Los gobiernos escanean los ojos (o los rostros, o...) de las personas en los controles fronterizos y otros puntos de control gubernamentales habituales, y lo utilizan para registrar (y con frecuencia volver a registrar) a sus ciudadanos.

- El gobierno prohíbe Orbs en el país para evitar que las personas se registren de forma independiente.

- Algunas personas compran documentos de identidad y luego amenazan al propietario con hacer daño si descubren que el propietario se ha vuelto a registrar y el documento de identidad ha sido invalidado.

- La aplicación (posiblemente administrada por el gobierno) requiere que las personas "inicien sesión" "firmando" directamente con su clave pública, lo que les permite ver el escaneo biométrico correspondiente y, por lo tanto, la identificación actual del usuario y la que obtuvo al volver a registrarse. vínculos entre futuras identificaciones. Existe la preocupación común de que esto hará que sea demasiado fácil crear un "registro permanente" que dure toda la vida de una persona.

Para los usuarios menos expertos, esta situación puede parecer difícil de prevenir por completo. Los usuarios pueden salir de su país para (re)registrarse en Orb en un país más seguro, pero este es un proceso difícil y de alto costo. En un entorno legal verdaderamente hostil, encontrar un Orb independiente parece demasiado difícil y arriesgado.

Lo que funciona es hacer que este abuso sea más engorroso y más fácil de detectar. El enfoque de Prueba de Humanidad, que requiere que una persona pronuncie una frase específica al registrarse, es un buen ejemplo: puede ser suficiente para bloquear escaneos encubiertos que requieren coerción para que sean más obvios, y la frase de registro podría incluso incluir una declaración que confirme que los encuestados son conscientes de que tienen derecho a volver a registrarse de forma independiente y pueden recibir tokens UBI u otras recompensas. A los orbes utilizados para hacer cumplir el registro a escala se les puede revocar el acceso si se detecta coerción.

Un sistema de autenticación humana general puede bloquear la clave del usuario en hardware confiable, evitando que cualquier proceso de aplicación use la clave directamente, sin la necesidad de una capa intermedia ZK-SNARK. Si los gobiernos o los desarrolladores de aplicaciones quieren resolver este problema, deben forzar el uso de sus propias aplicaciones personalizadas.

Mediante una combinación de estas técnicas y advertencias proactivas, parece posible atacar a los regímenes que son verdaderamente hostiles y mantener honestos a los que son meramente neutrales (como gran parte del mundo). Esto podría hacerse mediante proyectos como Worldcoin o Proof of Humanity manteniendo su propia burocracia para esta tarea, o revelando más información sobre cómo se registró la identificación (por ejemplo, en Worldcoin, de qué Orb proviene), y dejar esta tarea de clasificación en manos del comunidad.

¿Podemos evitar el alquiler de documentos de identidad (por ejemplo, alquiler de papeletas)?

Volver a registrarse no impedirá que algunas personas alquilen sus documentos de identidad. Esto está bien en algunas aplicaciones: el costo de alquilar su derecho a recibir la parte de las UBI Coins de ese día será simplemente el valor de las UBI Coins de ese día. Pero en aplicaciones como la votación, vender fácilmente los derechos de voto es un gran problema.

Sistemas como MACI le impiden vender su voto, permitiéndole emitir otro voto más tarde, invalidando su voto anterior para que nadie pueda saber si realmente emitió ese voto. Pero no ayudará si el sobornador controla la clave que obtuvo cuando se registró.

Veo dos soluciones aquí:

(1) Ejecute todo el proceso de solicitud dentro de un cálculo multipartito (MPC). Esto también incluye el proceso de reinscripción: cuando una persona se registra en el MPC, el MPC le asigna una identificación que es independiente de su identificación de identificación personal y no puede vincularse a ella, y cuando una persona se vuelve a registrar, solo el MPC saber qué cuenta necesita ser desactivada. Esto evita que los usuarios den fe de sus acciones porque cada paso importante se completa dentro del MPC utilizando información privada que sólo el MPC conoce.

(2) Ceremonia de registro descentralizada. Básicamente, la implementación es algo así como este protocolo de registro de claves en vivo que requiere que cuatro participantes locales seleccionados al azar trabajen juntos para registrar a alguien. Esto garantiza que el registro sea un proceso "confiable" en el que los atacantes no puedan espiar.

Los sistemas basados ​​en gráficos sociales pueden funcionar mejor aquí porque pueden crear automáticamente un proceso de registro descentralizado local como subproducto de su forma de trabajar.

Verificación de identidad humana basada en biometría versus verificación basada en gráficos sociales

Además de los métodos biométricos, el principal competidor actual para la identificación personal es la verificación basada en gráficos sociales. Todos los sistemas de verificación basados ​​en gráficos sociales siguen el mismo principio: si hay un grupo grande de identidades ya verificadas que demuestran que su identidad es válida, entonces es probable que usted sea válido y también debería tener una identidad verificada.

Si solo unos pocos usuarios reales (ya sea accidental o maliciosamente) verifican a los usuarios falsos, entonces puede utilizar técnicas básicas de teoría de grafos para determinar un límite superior en la cantidad de usuarios falsos que su sistema puede verificar.

Los defensores de los sistemas de identificación humana basados ​​en gráficos sociales a menudo los describen como una mejor alternativa a la biometría por las siguientes razones:

- No depende de hardware especializado, lo que facilita su implementación;

- Evita una carrera armamentista permanente entre los fabricantes que intentan fabricar muñecos y orbes que deben actualizarse para rechazar dichos muñecos;

- No es necesario recopilar datos biométricos, más protección de la privacidad;

- Puede ser más amigable con el anonimato, ya que si alguien elige distribuir su vida en línea a través de múltiples identidades que mantienen separadas entre sí, entonces todas esas identidades pueden potencialmente ser verificadas (sin embargo, mantener múltiples identidades reales y separadas tiene un costo de efectos de red y es costoso, por lo que un atacante no puede hacer esto fácilmente)

Los métodos biométricos dan una puntuación binaria de "es un humano" o "no es un humano", lo cual es frágil: las personas que sean rechazadas accidentalmente no podrán ganar tokens UBI y es posible que no puedan participar en la vida en línea. Los métodos basados ​​en gráficos sociales pueden dar puntuaciones numéricas más granulares, lo que puede ser injusto para algunos participantes, pero es poco probable que "eliminen" por completo a una persona.

¡Mi opinión sobre estos argumentos es que básicamente estoy de acuerdo con ellos! Estas son ventajas reales de los enfoques basados ​​en gráficos sociales y deben tomarse en serio. Sin embargo, también vale la pena considerar las debilidades de los enfoques basados ​​en gráficos sociales:

- Orientación: Para que un usuario se una a un sistema basado en un gráfico social, el usuario debe conocer a alguien que ya esté en el gráfico. Esto dificulta la adopción masiva y potencialmente excluye a regiones del mundo que no tienen suerte durante el lanzamiento inicial.

- Privacidad: aunque los enfoques basados ​​en sociógrafos evitan la recopilación de datos biométricos, a menudo revelan información sobre las relaciones sociales de una persona, lo que puede conllevar mayores riesgos. Por supuesto, las técnicas de conocimiento cero pueden aliviar este problema (ver, por ejemplo, esta propuesta de Barry Whitehat), pero las interdependencias en el gráfico y la necesidad de un análisis matemático del gráfico hacen que sea más difícil alcanzar el mismo nivel de datos. ocultándose como datos biométricos.

- Desigualdad: Cada persona sólo puede tener una identificación biométrica, pero una persona rica y bien conectada puede usar sus conexiones para generar múltiples identificaciones. Esencialmente, la misma flexibilidad podría permitir que un sistema basado en gráficos sociales proporcione múltiples seudónimos a alguien (como un activista) que realmente necesita esta característica, pero es más probable que sea alguien más poderoso y socialmente conectado. Se pueden obtener más alias de menos personas. .

- Riesgo de caer en la centralización: la mayoría de las personas son demasiado vagas para tomarse el tiempo de informar quién es una persona real y quién no en una aplicación de Internet. Por lo tanto, existe el riesgo de que, con el tiempo, el sistema se incline más hacia métodos de incorporación "fáciles" que se basan en una autoridad centralizada, y que el "gráfico social" de los usuarios del sistema se convierta en realidad en qué países reconocen a quién como ciudadanos. Nos brinda KYC centralizado, pero requiere pasos adicionales.

¿Es la identificación humana compatible con los seudónimos del mundo real?

En principio, la identificación personal es compatible con diversos seudónimos. Las aplicaciones se pueden diseñar de tal manera que una persona con una única identificación física pueda crear hasta cinco perfiles dentro de la aplicación, dejando espacio para cuentas seudónimas. Incluso se puede utilizar la fórmula cuadrática: costo de $N² para N cuentas. ¿Pero lo harán?

Sin embargo, un pesimista podría argumentar que es ingenuo tratar de crear una forma de identificación más centrada en la privacidad y esperar que se adopte de la manera correcta, porque a los poderosos no les importa la privacidad, y si un actor poderoso tiene un Las herramientas utilizadas para obtener más información sobre una persona, lo harán. En un mundo así, según este argumento, la única manera realista, lamentablemente, es socavar cualquier solución de identificación y defender un mundo de islas digitales y totalmente anónimas de comunidades de alta confianza.

Entiendo la razón detrás de esta forma de pensar, pero me preocupa que este enfoque, incluso si tiene éxito, conduzca a un mundo en el que no haya forma de hacer nada contra la concentración de la riqueza y la centralización de la gobernanza porque siempre se puede pretender Serán diez mil personas. A su vez, un punto tan centralizado sería fácilmente controlado por los poderosos. En cambio, prefiero un enfoque modesto en el que deberíamos abogar firmemente por soluciones de prueba personal con una gran privacidad, posiblemente incluso incluyendo un mecanismo de "coste de N² para N cuentas" a nivel de protocolo si es necesario, y crear algo que se alinee con valores favorables a la privacidad. ​​y tiene posibilidades de ser aceptado por el mundo exterior.

Entonces… ¿qué pienso?

Cuando se trata de identificación personal, no existe una forma ideal. En cambio, tenemos al menos tres enfoques diferentes, cada uno con sus propias ventajas y desventajas. Un cuadro comparativo podría verse así:

Lo ideal sería considerar estas tres tecnologías como complementarias y combinarlas. Como lo demuestra Aadhaar de la India, la biometría de hardware dedicada tiene la ventaja de la seguridad a escala. Son muy débiles en materia de descentralización, aunque esto se puede solucionar poniendo a cargo esferas individuales.

La biometría universal es fácil de adoptar hoy en día, pero su seguridad está disminuyendo rápidamente y es posible que solo funcione durante uno o dos años más. Los sistemas basados ​​en gráficos sociales, guiados por cientos de personas socialmente cercanas al equipo fundador, pueden enfrentarse a la constante disyuntiva de perderse por completo grandes partes del mundo o ser vulnerables a ataques de comunidades que no pueden ver. Sin embargo, un sistema basado en gráficos sociales iniciado por decenas de millones de titulares de identificaciones biométricas podría funcionar. La orientación biométrica puede funcionar mejor a corto plazo, mientras que las tecnologías basadas en gráficos sociales pueden ser más sólidas a largo plazo y asumir una mayor responsabilidad con el tiempo a medida que mejoren los algoritmos.

Posibles caminos de desarrollo mixto en el futuro

Todos estos equipos pueden cometer muchos errores y existen tensiones inevitables entre los intereses corporativos y las necesidades de la comunidad en general, por lo que debemos permanecer extremadamente vigilantes. Como comunidad, podemos y debemos empujar a todos los participantes más allá de la zona de confort del acceso abierto a sus tecnologías, lo que requiere auditorías de terceros e incluso software escrito de terceros, entre otros controles y equilibrios. También necesitamos más opciones en cada categoría.

Al mismo tiempo, también es importante reconocer el trabajo que se ha realizado: muchos de los equipos que ejecutan estos sistemas han demostrado su voluntad de tomarse la privacidad más en serio que casi cualquier gobierno o sistema de identidad corporativo importante, y eso es un éxito que deberíamos aprende de.

El problema de crear un sistema de prueba física eficaz y confiable en manos de personas muy alejadas de la comunidad criptográfica existente parece bastante desafiante. Definitivamente no envidio a quienes intentan esta tarea; puede llevar varios años encontrar una solución que funcione. El principio de identificación física parece muy valioso en principio, y si bien varios métodos de implementación tienen sus riesgos, no tener ninguna identificación física en absoluto: un mundo sin identificación física es más probable que sea un mundo dominado por soluciones de identidad centralizadas. dominados por el dinero, pequeñas comunidades cerradas o alguna combinación de los tres. Espero ver más avances en todos los tipos de certificación personal y espero que los enfoques dispares finalmente se integren en un todo coherente.

advertencia de riesgo:

De acuerdo con el "Aviso sobre prevención y tratamiento de riesgos de especulación en transacciones de moneda virtual" emitido por el banco central y otros departamentos, el contenido de este artículo es solo para compartir información y no promueve ni respalda ningún comportamiento comercial o de inversión Lectores. Se les solicita que cumplan estrictamente con las leyes y regulaciones de su región y no participen en prácticas financieras ilegales.