Hier, Worldcoin, un projet de cryptage co-fondé par le fondateur d'OpenAI, Sam Altman, a été officiellement lancé. Il s'agit d'un projet de système d'identité crypté qui génère et vérifie l'identifiant mondial (identité) des utilisateurs en scannant l'iris de l'utilisateur à l'aide du scanner oculaire Orb.

Le même jour, Ethereum LianVin a publié un article « Que pense-t-il de la preuve biométrique de la personnalité ? », expliquant son point de vue sur Worldcoin et la preuve d'identité humaine. L’Institut de recherche Baize a compilé les éléments suivants :

Les membres de la communauté Ethereum ont essayé de créer une solution décentralisée à la preuve d’humanité, qui a toujours été l’un des problèmes les plus difficiles mais les plus précieux. L'identification humaine est une forme limitée d'identité réelle qui permet à un compte enregistré d'être contrôlé par une personne réelle, idéalement sans révéler la véritable personne qui se cache derrière.

La communauté crypto a déjà fait de nombreux efforts pour tenter de résoudre ce problème : BrightID, Idena et Circles en sont des exemples représentatifs. Certains d'entre eux sont livrés avec leurs propres applications (généralement des jetons UBI), et certains ont trouvé des solutions de contournement dans Gitcoin Passport pour vérifier quels comptes sont valides pour le vote secondaire. Les technologies sans connaissance comme Sismo ajoutent de la confidentialité à de nombreuses solutions similaires.

Ce n’est que récemment que nous avons assisté à l’émergence d’un projet d’identité humaine plus vaste et plus ambitieux : Worldcoin.

Worldcoin a été fondé par Sam Altman, auparavant connu pour être le PDG d'OpenAI. L'idée derrière le projet est simple : l'intelligence artificielle (IA) créera beaucoup de richesses pour l'humanité, mais elle pourrait également supprimer de nombreux emplois, car l'IA finira par se développer au point qu'il sera presque impossible de dire qui est un humain et non un robot. Nous devons donc combler ce trou en :

(1) Créer un très bon système d’identification humaine afin que les humains puissent prouver qu’ils sont réellement de vraies personnes ;

(2) Fournir UBI à tout le monde. Worldcoin est unique en ce sens qu'il s'appuie sur une technologie biométrique très sophistiquée, utilisant ce que l'on appelle

Le matériel spécialisé "Orb" analyse l'iris de chaque utilisateur.

L'objectif de Worldcoin est de produire de grandes quantités de ces « sphères » et de les distribuer largement dans le monde entier, en les plaçant dans des lieux publics afin que chacun puisse facilement obtenir sa propre pièce d'identité - une carte d'identité mondiale.

A son honneur, Worldcoin s’engage également dans le développement de la décentralisation. Cela signifie décentraliser la technologie : utiliser OP Stack pour devenir le L2 d'Ethereum, utiliser ZK-SNARK et d'autres technologies de cryptage pour protéger la confidentialité des utilisateurs, mais également inclure une gouvernance décentralisée du système lui-même. Worldcoin a été critiqué pour les problèmes de confidentialité et de sécurité d'Orb, les problèmes liés à la conception de son jeton et l'éthique de certains des choix faits par l'entreprise. En fait, le projet Worldcoin lui-même est toujours en cours de révision et de développement. Cependant, certains ont soulevé des préoccupations plus fondamentales quant à savoir si la biométrie – pas seulement la biométrie à balayage oculaire de Worldcoin, mais également les téléchargements et les vérifications de vidéos faciales plus simples utilisées dans Proof of Humanity et Idena – gagnera en popularité auprès du public ?

Les critiques à l’égard de ces projets ne manquent certainement pas, car les risques incluent d’inévitables atteintes à la vie privée, une érosion accrue de la capacité des personnes à naviguer sur Internet de manière anonyme, la coercition de gouvernements autoritaires et la manière de maintenir la sécurité tout en étant décentralisé.

Cet article abordera ces questions et fournira quelques arguments pour vous aider à décider si scanner vos iris devant l’outil « sphérique » de Worldcoin est une bonne idée ? Et quelles sont les alternatives à l’abandon du développement de preuves d’identité humaine ?

Qu’est-ce qu’un système d’identification humaine et pourquoi est-il important ?

La manière la plus simple de définir un système de preuve d'identité est de créer une liste de clés publiques, et le système garantit que chaque clé est contrôlée par une personne unique. En d’autres termes, si vous êtes un humain, vous pouvez mettre une clé sur la liste, mais vous ne pouvez pas mettre deux clés, et si vous êtes un robot, vous ne pouvez mettre aucune clé sur la liste.

L'identification humaine est précieuse car elle résout les problèmes d'anti-spam et d'anti-centralisation du pouvoir auxquels sont confrontés de nombreuses personnes, d'une manière qui évite de dépendre d'une autorité centralisée et révèle le moins d'informations possible. Si la vérification de l’identité humaine n’est pas abordée, la gouvernance décentralisée (y compris la « micro-gouvernance » telle que le vote sur les publications sur les réseaux sociaux) deviendra plus facilement contrôlée par des acteurs très riches, y compris des gouvernements hostiles. De nombreux services ne peuvent protéger contre les attaques par déni de service qu'en fixant un prix d'accès, et parfois un prix suffisamment élevé pour exclure les attaquants est également trop élevé pour de nombreux utilisateurs légitimes à faible revenu.

De nombreuses applications majeures dans le monde résolvent aujourd’hui ce problème en utilisant des systèmes d’identité soutenus par le gouvernement, tels que les cartes d’identité et les passeports. Cela résout le problème, mais cela représente un sacrifice énorme et inacceptable en matière de vie privée et peut faire l’objet d’attaques mineures de la part du gouvernement lui-même.

Dans de nombreux projets d’identité humaine – pas seulement Worldcoin, mais aussi les « applications phares » comme Circles intègrent un code de « jeton accessible à tous » (également connu sous le nom de « jetons UBI »). Chaque utilisateur enregistré dans le système reçoit un nombre fixe de jetons chaque jour (ou horaire ou hebdomadaire). Il existe de nombreuses autres applications, notamment :

- Mécanisme Airdrop pour la distribution de jetons

- Ventes de jetons ou de NFT avec de meilleures conditions pour les utilisateurs les moins fortunés

- Votez dans le DAO

- Comment initialiser le système de réputation graphique

- Vote secondaire (paiement des fonds et attention)

- Protéger contre les attaques de bots/sybil sur les réseaux sociaux

- Alternative CAPTCHA pour empêcher les attaques DoS

Dans bon nombre de ces cas, le thème commun est la création de mécanismes ouverts et démocratiques qui évitent le contrôle centralisé des opérateurs de projet et la domination de ses utilisateurs les plus riches. Ce dernier point est particulièrement important dans la gouvernance décentralisée.

Dans de telles situations, les solutions existantes s’appuient aujourd’hui sur :

(1) Algorithmes d'IA très opaques qui effectuent une discrimination indétectable contre les utilisateurs que l'opérateur n'aime pas

(2) Identité centralisée, à savoir « KYC ».

Une solution efficace de vérification d’identité serait donc une meilleure option pour obtenir les propriétés de sécurité requises par ces applications sans tomber dans les pièges des approches centralisées existantes.

Quelles ont été les premières tentatives d’identification humaine ?

Il existe deux principales formes d’identification humaine : les graphiques sociaux et la biométrie.

La preuve de l'identité humaine basée sur les graphiques sociaux repose sur une certaine forme de preuve : si Alice, Bob, Charlie et David sont tous des humains vérifiés, et qu'ils disent tous qu'Emily est une humaine vérifiée, alors Emily est probablement aussi une humanité humaine vérifiée.

Cette justification est souvent renforcée par des incitations : si Alice dit qu'Emily est une personne réelle, mais qu'il s'avère qu'elle ne l'est pas, alors Alice et Emily peuvent être punies.

L'identification humaine basée sur la biométrie implique la vérification de certaines caractéristiques physiques ou comportementales d'Emily qui distinguent les humains des robots (et les humains les uns des autres).

La plupart des projets utilisent une combinaison de ces deux technologies.

Les quatre systèmes que j'ai mentionnés au début de cet article sont à peu près les suivants :

(1) Preuve d'humanité : vous téléchargez votre propre vidéo et effectuez un dépôt. Pour être approuvés, les utilisateurs existants doivent se porter garants de vous, et d'autres challengers vous mettront au défi sur une période de temps. S’il y a un challenger, le tribunal décentralisé de Kleros vérifiera si votre vidéo est authentique ; sinon, le dépôt sera perdu et le challenger recevra la récompense ;

(2) BrightID : vous rejoignez une « partie de vérification » d'appel vidéo avec d'autres utilisateurs, et tout le monde se vérifie. Avec Bitu, vous pouvez obtenir un niveau de vérification plus élevé tant qu'un nombre suffisant d'autres utilisateurs vérifiés par Bitu se portent garants de vous.

(3) Idena : vous devez jouer à un jeu CAPTCHA à un moment précis (pour empêcher les gens de participer plus d'une fois) ; une partie du jeu CAPTCHA implique la création et la vérification de CAPTCHA qui seront utilisés pour vérifier les autres.

(4) Circle : les utilisateurs Circle existants doivent se porter garants de vous. Circles est unique en ce sens qu'il ne tente pas de créer un « identifiant global vérifiable », mais crée un graphique de confiance dans lequel la fiabilité d'une personne ne peut être vérifiée qu'à partir de votre propre position dans ce graphique.

Comment fonctionne Worldcoin ?

Chaque utilisateur de Worldcoin doit installer une application sur son téléphone qui génère des clés privées et publiques, tout comme un portefeuille Ethereum. Ils doivent ensuite se déconnecter et trouver en personne l’« Orbe » vérifiable. Les utilisateurs regardent la caméra d'Orb tout en présentant à Orb un code QR généré par leur application Worldcoin qui contient leur clé publique. Orb scanne les yeux de l'utilisateur et utilise une analyse matérielle sophistiquée et des classificateurs d'apprentissage automatique pour vérifier :

(1) Si l'utilisateur est une personne réelle ; (2) L'iris de l'utilisateur ne correspond à celui d'aucun autre utilisateur ayant déjà utilisé le système.

Si les deux analyses réussissent, Orb signera un message approuvant le hachage privé de l'analyse de l'iris de l'utilisateur. Les hachages sont téléchargés dans une base de données – actuellement un serveur centralisé qui est destiné à être remplacé par un système décentralisé en chaîne une fois qu'ils auront déterminé que le mécanisme de hachage fonctionne. Le système ne stocke pas l’analyse complète de l’iris, il stocke uniquement les hachages, qui sont utilisés pour vérifier l’unicité. A partir de ce moment, l'utilisateur dispose d'un "World ID".

Les détenteurs d'une carte d'identité mondiale sont capables de prouver qu'ils sont un être humain unique en générant un ZK-SNARK pour prouver qu'ils détiennent une clé privée qui correspond à une clé publique dans la base de données sans révéler quelle clé ils détiennent. Ainsi, même si quelqu’un analyse à nouveau vos iris, il ne pourra voir aucune des actions que vous avez entreprises.

Quels sont les enjeux majeurs de la construction du Worldcoin ?

Les gens s’inquiètent principalement de quatre risques :

(1) Confidentialité

Le registre des scans de l'iris peut révéler des informations. Au moins, si quelqu'un d'autre scanne vos iris, il pourra le comparer à une base de données pour déterminer si vous possédez un identifiant mondial. Un scanner de l'iris peut en révéler davantage.

(2) Accessibilité

À moins qu’il n’y ait suffisamment d’orbes pour que n’importe qui dans le monde puisse en trouver facilement, l’identification mondiale ne sera pas accessible de manière fiable.

(3) Centralisation

Orb est un périphérique matériel et nous ne pouvons pas vérifier qu'il est construit correctement et qu'il n'a pas de portes dérobées. Ainsi, même si la couche logicielle était parfaite et entièrement décentralisée, la Fondation Worldcoin aurait toujours la possibilité d’insérer une porte dérobée dans le système, lui permettant de créer autant de fausses identités humaines qu’elle le souhaite.

(4)Sécurité

Les téléphones des utilisateurs pourraient être piratés, les utilisateurs pourraient être obligés de scanner leurs propres iris tout en présentant une clé publique appartenant à quelqu'un d'autre, et il est possible d'imprimer en 3D un « factice » et de scanner leur iris pour obtenir un identifiant mondial.

Il est important de distinguer :

(1) Problèmes de sélection spécifiques à Worldcoin ;

(2) Problèmes inévitables dans tout système d’identification humaine basé sur la biométrie ;

(3) Problèmes qui existeront dans tout système d’identification humaine. Par exemple, s’inscrire à Proof of Humanity, c’est mettre son visage sur Internet.

Même rejoindre la « partie de vérification » de l'appel vidéo de BrightID ne changera pas complètement cela, car votre identité sera toujours exposée à de nombreuses autres personnes. Rejoindre Circles expose publiquement votre graphique social.

Worldcoin est bien meilleur pour protéger la vie privée que les deux.

Worldcoin, en revanche, s'appuie sur du matériel spécialisé, ce qui soulève la question de savoir si l'on peut pleinement faire confiance aux fabricants de l'Orb. Cela ne se trouve pas dans Proof of Humanity, BrightID ou Circles. Il est même concevable qu'à l'avenir, quelqu'un puisse créer une solution matérielle dédiée différente de Worldcoin, qui entraînera des compromis différents.

Comment un système d’identification humaine basé sur la biométrie résout-il les problèmes de confidentialité ?

La violation potentielle de la vie privée la plus évidente et la plus importante de tout système d'identification humaine consiste à lier les actions de chaque personne à son identité réelle. Ce type de fuite de données est très important et peut être considéré comme inacceptable. Mais heureusement, il est facile à résoudre en utilisant des techniques de preuve sans connaissance.

Plutôt que de signer directement avec une clé privée dont la clé publique correspondante se trouve dans la base de données, les utilisateurs peuvent générer un ZK-SNARK qui prouve qu'ils possèdent la clé privée correspondant à une certaine clé publique dans la base de données, sans révéler de quelle clé spécifique ils disposent. de signer directement avec la clé privée correspondant à la clé publique dans la base de données. Cela peut être fait à l'aide d'outils comme Sismo, tandis que Worldcoin a sa propre implémentation intégrée. Ici, cela vaut la peine de féliciter Worldcoin pour être un système de vérification de l'identité humaine « crypto-natif » : ils se soucient en fait de franchir l'étape fondamentale des ZK-SNARK pour fournir une anonymisation que presque toutes les solutions d'identité centralisées ne font pas.

L’existence d’un registre public de données biométriques constitue une violation plus subtile de la vie privée. Dans le cas de Proof of Humanity, cela centralise beaucoup de données : vous obtenez une vidéo de chaque participant à Proof of Humanity, ce qui indique très clairement à toute personne dans le monde qui souhaite enquêter sur qui sont les participants à Proof of Humanity.

Dans le cas de Worldcoin, la fuite est bien plus limitée : Orb calcule et publie localement uniquement le « hash » du scan de l'iris de chaque personne. Ce hachage n'est pas un hachage ordinaire comme SHA256 ; il s'agit plutôt d'un algorithme spécialisé basé sur le filtre Gabor de l'apprentissage automatique qui gère les inexactitudes inhérentes à toute analyse biométrique et garantit que l'iris de la même personne a des résultats similaires.

Ces hachages d'iris ne peuvent divulguer qu'une petite quantité de données. Si un adversaire peut scanner de force (ou secrètement) votre iris, il peut alors calculer lui-même votre hachage d'iris et le comparer à une base de données de hachages d'iris pour voir si vous participez au système. Cette capacité à vérifier si quelqu'un s'est déjà inscrit est nécessaire pour que le système lui-même empêche les gens de s'inscrire plusieurs fois, mais elle risque également d'être utilisée à mauvais escient.

De plus, le hachage de l'iris peut potentiellement divulguer une certaine quantité de données médicales (sexe, race et peut-être conditions médicales), mais cette fuite est bien moindre que presque tout autre système de collecte de données à grande échelle utilisé aujourd'hui (par exemple, même les données de rue). caméras) les données qui peuvent être capturées. Dans l’ensemble, je pense que la confidentialité du stockage des hachages d’iris semble adéquate.

Si quelqu'un n'est pas d'accord avec ce jugement et décide de concevoir un système offrant plus de confidentialité, il existe deux manières de le faire :

1. Si l'algorithme de hachage de l'iris peut être amélioré afin que la différence entre deux analyses de la même personne soit plus petite (par exemple, de manière fiable, moins de 10 % de retournements de bits), alors le système peut stocker un plus petit nombre de bits de hachage d'iris corrigés des erreurs. (voir : Fuzzy Extractor) au lieu de stocker le hachage complet de l'iris. Si la différence entre les deux analyses est inférieure à 10 %, alors au moins 5 fois moins de bits doivent être publiés.

2. Si nous voulons aller plus loin, nous pouvons stocker la base de données de hachage d'iris dans un système de calcul multipartite (MPC) accessible uniquement par Orb (avec des limites de débit), rendant les données complètement inaccessibles, mais au détriment de Complexité protocolaire importante et complexité sociale de la gestion d’un ensemble de participants MPC. Cela aurait l'avantage que les utilisateurs ne seraient pas en mesure de prouver un lien entre deux identifiants mondiaux différents qu'ils possédaient à des moments différents, même s'ils le souhaitaient.

Malheureusement, ces techniques ne sont pas applicables à Proof of Humanity, qui nécessite que la vidéo complète de chaque participant soit accessible au public afin que des contestations puissent être soulevées si des signes de contrefaçon apparaissent (y compris une contrefaçon générée par l'IA), et dans de tels cas. L’enquête est menée ci-dessous.

Dans l’ensemble, malgré l’air dystopique de regarder un orbe et de lui demander de scanner profondément vos globes oculaires, les systèmes matériels spécialisés semblent faire un très bon travail en matière de protection de la vie privée. Cependant, le revers de la médaille est que les systèmes matériels spécialisés introduisent de plus grands problèmes de centralisation. Nous, les cypherpunks, semblons donc être dans une impasse : nous devons faire un compromis entre deux valeurs cypherpunk profondément enracinées.

Quels sont les problèmes d’accessibilité dans les systèmes d’identification humaine basés sur la biométrie ?

Le matériel spécialisé introduit des problèmes d’accessibilité car le matériel spécialisé n’est pas facilement disponible. Entre 51 % et 64 % des Africains subsahariens possèdent désormais un smartphone, et ce chiffre devrait atteindre 87 % d'ici 2030.

Mais s’il existe des milliards de smartphones dans le monde, il n’existe que quelques centaines d’orbes. Même avec une fabrication distribuée à plus grande échelle, il sera difficile de réaliser un Orbe à moins de cinq kilomètres de tout le monde.

Il convient également de noter que de nombreuses autres formes d’identification humaine présentent des problèmes d’accessibilité encore plus graves. À moins de connaître déjà quelqu’un dans le graphe social, rejoindre un système d’identité humaine basé sur le graphe social est très difficile. Il est ainsi facile de limiter ces systèmes à une seule communauté dans un seul pays.

Même les systèmes d’identité centralisés ont appris cette leçon : le système d’identification indien Aadhaar est basé sur la biométrie car c’était le seul moyen d’absorber rapidement l’énorme population du pays tout en évitant la fraude massive liée aux comptes en double et aux faux (ce qui permet d’économiser beaucoup de coûts). Bien entendu, le système Aadhaar est bien moins respectueux de la vie privée que tout ce qui est proposé à grande échelle par la communauté crypto.

Les systèmes les plus performants du point de vue de l'accessibilité sont en fait des systèmes comme Proof of Humanity où vous pouvez vous inscrire en utilisant uniquement votre smartphone. Cependant, comme nous l’avons vu, de tels systèmes s’accompagnent de divers autres compromis.

Quels sont les problèmes de centralisation dans les systèmes d’identification humaine basés sur la biométrie ?

Il existe trois types de questions :

(1) Il existe un risque de centralisation au plus haut niveau de gouvernance du système (en particulier lorsque les différents participants au système ont des désaccords sur des jugements subjectifs et que le système prend la décision finale au plus haut niveau).

(2) Risques de centralisation propres aux systèmes utilisant du matériel dédié ;

(3) Risque de centralisation lié à l'utilisation d'algorithmes propriétaires pour déterminer qui sont les véritables participants.

Tout système d'identification humaine doit faire face au problème (1), à moins que les identifiants « acceptés » dans le système ne soient entièrement subjectifs. Si un système utilise des actifs externes (par exemple ETH, USDC, DAI) pour fixer le prix des incitations, il ne peut pas être entièrement subjectif, le risque de gouvernance est donc inévitable.

Le problème (2) est beaucoup plus risqué pour Worldcoin que Proof of Humanity (ou BrightID), car Worldcoin s'appuie sur du matériel spécialisé que les autres systèmes ne disposent pas.

Le problème (3) constitue un risque particulier pour les systèmes centralisés qui disposent d'un système unique de vérification, à moins que tous les algorithmes ne soient open source et que nous ayons l'assurance qu'ils exécutent réellement le code qu'ils prétendent être. Pour les systèmes qui reposent entièrement sur l’authentification d’autres utilisateurs (comme Proof of Humanity), cela ne représente pas un risque.

Comment Worldcoin résout-il le problème de la centralisation matérielle ?

Actuellement, Tools for Humanity est la seule organisation à fabriquer des orbes. Cependant, le code source d'Orb est en grande partie public : vous pouvez voir les spécifications matérielles dans le référentiel github, et le reste du code source devrait être publié prochainement. La licence d'Orb est une autre licence « partager le code source mais pas techniquement open source avant quatre ans », similaire à la Uniswap BSL, et en plus d'empêcher les forks, elle empêche également ce qu'ils considèrent comme un comportement contraire à l'éthique - la surveillance de masse et trois droits de l'homme internationaux. les déclarations sont spécifiquement répertoriées.

L'objectif déclaré de Tools for Humanity est de permettre et d'encourager d'autres organisations à créer des orbes et, au fil du temps, de passer des orbes créés par Tools for Humanity à une sorte de DAO qui approuve et gère les organisations qui peuvent créer des orbes approuvés par le système.

Mais cette conception peut échouer de deux manières :

1. En fait, il ne parvient pas à décentraliser. Cela peut être dû à un piège courant des DAO : un fabricant devenant dominant dans la fabrication, conduisant à une recentralisation du système. En gros, la gouvernance peut limiter le nombre d'Orbes valides que chaque fabricant peut produire, mais cela doit être géré avec soin, et il y a beaucoup de pression sur la gouvernance pour qu'elle soit à la fois décentralisée et capable de surveiller efficacement l'écosystème et de répondre efficacement aux menaces : ceci Beaucoup plus difficile qu'un DAO assez statique qui ne gère que les tâches de résolution des litiges de haut niveau.

2. Il n'est peut-être pas possible de créer un mécanisme de fabrication aussi décentralisé pour garantir la sécurité. Ici, je vois deux risques :

(1) L'émergence des fabricants d'Orb : même s'il existe un fabricant d'Orb malveillant ou piraté, il peut également générer un nombre illimité de faux hachages d'iris scan et leur attribuer des identifiants mondiaux.

(2) Restrictions gouvernementales sur les orbes : les gouvernements qui ne souhaitent pas que leurs citoyens participent à l'écosystème Worldcoin peuvent interdire à leur pays d'utiliser les orbes. En allant plus loin, ils pourraient même forcer les citoyens à se soumettre à des scans de l'iris, permettant ainsi au gouvernement d'accéder à leurs comptes sans que les citoyens puissent les gérer.

Afin de rendre le système plus résistant aux mauvais fabricants d'Orbes, l'équipe de Worldcoin propose de mener des audits réguliers des Orbes pour vérifier qu'ils sont construits correctement, que les composants matériels critiques sont construits selon les spécifications et qu'ils n'ont pas été altérés après la fait. C'est une mission difficile : c'est essentiellement comme l'agence d'inspection nucléaire de l'AIEA, mais pour Orbs. Nous espérons que même un système d’audit très imparfait pourra réduire considérablement le nombre de faux orbes.

Afin de limiter les dégâts causés par tout Orbe défectueux, une deuxième mesure d’atténuation est nécessaire. Même en utilisant des identifiants mondiaux enregistrés par différents fabricants d'orbes, idéalement, en utilisant différents orbes, ils devraient pouvoir être distingués les uns des autres. Ceci est acceptable si les informations sont privées et stockées uniquement sur l'appareil du titulaire de la World ID, mais cela doit être prouvé si nécessaire ; Cela permet à l'écosystème de réagir aux attaques (inévitables) en supprimant à tout moment les fabricants d'orbes individuels, ou même des orbes individuels, de la liste blanche, si nécessaire. Si nous voyons le gouvernement nord-coréen obliger les gens à scanner leurs yeux, ces orbes et tous les comptes qu'ils génèrent pourraient être immédiatement désactivés rétroactivement.

Quels sont les problèmes de sécurité liés à l’identification humaine en général ?

En plus des problèmes spécifiques à Worldcoin, il existe des problèmes qui ont un impact sur la conception des systèmes d'identification humaine. Les principaux auxquels je peux penser sont :

(1) Mannequins imprimés en 3D : On peut utiliser l’IA pour générer des photos ou même des impressions 3D de mannequins suffisamment réalistes pour être acceptés par le logiciel Orb. Si un groupe fait cela, il peut générer un nombre illimité d’identités.

(2) L'identifiant mondial peut être vendu : lors de leur inscription, les gens peuvent fournir la clé publique de quelqu'un d'autre au lieu de la leur, donnant ainsi le contrôle de leur identifiant enregistré à d'autres en échange d'argent. Cela semble déjà se produire. En plus de la vente, il est également possible de louer la pièce d'identité à une application pour une courte période.

(3) Piratage de téléphone portable : si le téléphone d’une personne est piraté, le pirate informatique peut voler la clé qui contrôle son identifiant mondial.

(4) Vol d'identité imposé par le gouvernement : un gouvernement peut forcer ses citoyens à vérifier tout en affichant un code QR appartenant au gouvernement. De cette façon, un gouvernement malveillant pourrait accéder à des millions d’identifiants. Dans les systèmes biométriques, cela peut même être fait secrètement : les gouvernements peuvent utiliser des orbes obscurcis pour extraire les identifiants mondiaux de toutes les personnes entrant dans leur pays aux kiosques de contrôle des passeports.

Le premier point est spécifique aux systèmes d’identité à preuve biométrique. Les deuxième et troisième points sont communs aux conceptions biométriques et non biométriques. Le quatrième point est également commun aux deux cas, même si la technologie requise dans les deux cas sera très différente ; dans cette section, je me concentrerai sur la question du cas biométrique ;

Ce sont des faiblesses très graves. Certaines sont déjà abordées dans les protocoles existants, d’autres peuvent l’être grâce à de futures améliorations, et d’autres encore semblent constituer des limites fondamentales.

Comment gérer les nuls ?

Pour Worldcoin, c'est beaucoup moins risqué qu'un système comme Proof of Humanity : une analyse en direct d'une personne peut vérifier de nombreuses caractéristiques d'une personne, et il est assez difficile de truquer par rapport à une simple falsification profonde d'une vidéo. Le matériel spécialisé est intrinsèquement plus difficile à usurper que le matériel ordinaire, qui à son tour est plus difficile à usurper que la vérification algorithmique numérique des images et des vidéos envoyées à distance.

Quelqu’un peut-il imprimer en 3D quelque chose qui puisse tromper l’Orbe ? Les chances sont élevées. Je prédis qu’à un moment donné, nous assisterons à une tension croissante entre les objectifs de maintien des mécanismes ouverts et de leur sécurité : les algorithmes d’IA open source sont intrinsèquement plus sensibles à l’apprentissage automatique contradictoire. Dans le futur, même les meilleurs algorithmes d’IA pourraient être trompés par les meilleurs mannequins imprimés en 3D.

Cependant, d'après mes discussions avec les équipes de développement de Worldcoin et de Proof of Humanity, il semble qu'aucun des deux protocoles ne soit actuellement confronté à d'importantes attaques de deepfake, pour la simple raison qu'embaucher de vrais travailleurs à bas salaires pour s'inscrire en votre nom est incroyablement bon marché et Facile.

Pouvons-nous empêcher la vente de pièces d’identité ?

À court terme, empêcher cette vente est difficile car la plupart des gens dans le monde ne connaissent même pas le protocole d'identification humaine, et si vous leur dites qu'ils peuvent gagner 30 $ en brandissant un code QR et en scannant leurs yeux, ils le feront.

Une fois que les gens ont compris ce qu'était le protocole d'identification humaine, une mesure d'atténuation assez simple est devenue possible : permettre aux personnes ayant une pièce d'identité enregistrée de se réinscrire, annulant ainsi leur précédente pièce d'identité. Cela rend les « ventes de pièces d'identité » beaucoup moins crédibles, puisque la personne qui vous vend la pièce d'identité peut se réinscrire, annulant ainsi l'enregistrement de la pièce d'identité qu'elle vient de vendre. Cependant, pour en arriver là, le protocole doit être très bien connu et les Orbes doivent être très largement accessibles pour permettre un enregistrement instantané.

C'est l'une des raisons pour lesquelles l'intégration des jetons UBI dans les systèmes d'identité humaine est précieuse : les jetons UBI incitent facilement les gens à comprendre le protocole et à s'inscrire, et s'ils se sont inscrits au nom de quelqu'un d'autre, ils le feront. -inscrivez-vous immédiatement.

Pouvons-nous prévenir les menaces d’application des lois dans les systèmes d’identification humaine basés sur la biométrie ?

Cela dépend de quel type de coercition nous parlons. Les formes possibles de coercition comprennent :

- Les gouvernements scannent les yeux (ou les visages, ou...) des gens aux contrôles aux frontières et à d'autres points de contrôle gouvernementaux réguliers, et l'utilisent pour enregistrer (et réenregistrer fréquemment) leurs citoyens.

- Le gouvernement interdit les Orbs dans le pays pour empêcher les gens de s'inscrire de manière indépendante

- Certaines personnes achètent des pièces d'identité et menacent ensuite le propriétaire de préjudice si elles découvrent que le propriétaire s'est réenregistré et que la pièce d'identité a été invalidée.

- L'application (éventuellement gérée par le gouvernement) exige que les gens se « connectent » en « signant » directement avec leur clé publique, ce qui leur permet de voir l'analyse biométrique correspondante et donc l'identifiant actuel de l'utilisateur et celui qu'il a obtenu en se réenregistrant. liens entre les futurs identifiants. Il existe une préoccupation commune selon laquelle cela rendrait trop facile la création d'un « dossier permanent » qui durerait toute la vie d'une personne.

Pour les utilisateurs moins expérimentés, cette situation peut sembler difficile à éviter complètement. Les utilisateurs peuvent quitter leur pays pour se (ré)inscrire auprès d'Orb dans un pays plus sûr, mais il s'agit d'un processus difficile et coûteux. Dans un environnement juridique véritablement hostile, trouver un Orbe indépendant semble trop difficile et risqué.

Ce qui fonctionne, c’est de rendre ces abus plus lourds et plus faciles à détecter. L'approche de Proof of Humanity, qui exige qu'une personne prononce une phrase spécifique lors de son inscription, en est un bon exemple : cela peut suffire à bloquer les analyses secrètes qui nécessitent une coercition pour être plus évidente, et la phrase d'enregistrement pourrait même inclure une déclaration confirmant que les répondants sont conscients qu'ils ont le droit de se réinscrire de manière indépendante et peuvent recevoir des jetons UBI ou d'autres récompenses. Les orbes utilisés pour imposer l'enregistrement à grande échelle peuvent voir leur accès révoqué si une coercition est détectée.

Un système général d'authentification humaine peut verrouiller la clé de l'utilisateur dans un matériel fiable, empêchant ainsi tout processus d'application d'utiliser la clé directement, sans avoir besoin d'une couche ZK-SNARK intermédiaire. Si les gouvernements ou les développeurs d’applications souhaitent résoudre ce problème, ils doivent imposer l’utilisation de leurs propres applications personnalisées.

Grâce à une combinaison de ces techniques et d’alertes proactives, il semble possible de cibler les régimes véritablement hostiles et de maintenir honnêtes ceux qui sont simplement neutres (comme une grande partie du monde). Cela pourrait être fait par des projets comme Worldcoin ou Proof of Humanity en maintenant leur propre bureaucratie pour cette tâche, ou en révélant plus d'informations sur la façon dont l'identifiant a été enregistré (par exemple dans Worldcoin, de quel Orb il provient), et en laissant cette tâche de classification au communauté.

Pouvons-nous empêcher la location de pièces d’identité (par exemple, la location de bulletins de vote) ?

La réinscription n’empêchera pas certaines personnes de louer leur carte d’identité. Cela est acceptable dans certaines applications : le coût de la location de votre droit à recevoir la part des pièces UBI de ce jour sera simplement la valeur des pièces UBI de ce jour. Mais dans des applications comme le vote, vendre facilement des droits de vote constitue un énorme problème.

Des systèmes comme MACI vous empêchent de vendre votre vote, vous permettant ainsi de voter un autre plus tard, invalidant ainsi votre vote précédent afin que personne ne puisse savoir si vous avez réellement voté. Mais cela ne servira à rien si le corrupteur contrôle la clé que vous avez obtenue lors de votre inscription.

Je vois deux solutions ici:

(1) Exécutez l'intégralité du processus de candidature dans un calcul multipartite (MPC). Cela inclut également le processus de réinscription : lorsqu'une personne s'inscrit auprès du MPC, le MPC lui attribue un identifiant distinct de son identifiant personnel et ne peut être lié à celui-ci, et lorsqu'une personne se réinscrit, seul le MPC le fera. savoir quel compte doit être désactivé. Cela empêche les utilisateurs d'attester de leurs actions, car chaque étape importante est effectuée au sein du MPC en utilisant des informations privées connues uniquement du MPC.

(2) Cérémonie d'inscription décentralisée. Fondamentalement, la mise en œuvre ressemble à ce protocole d'enregistrement de clé en direct qui nécessite que quatre participants locaux sélectionnés au hasard travaillent ensemble pour enregistrer quelqu'un. Cela garantit que l'enregistrement est un processus « fiable » que les attaquants ne peuvent pas écouter.

Les systèmes basés sur des graphes sociaux peuvent être plus performants ici car ils peuvent créer automatiquement un processus d'enregistrement décentralisé local en tant que sous-produit de leur façon de fonctionner.

Vérification de l'identité humaine basée sur la biométrie vs vérification basée sur les graphiques sociaux

Outre les méthodes biométriques, le principal concurrent actuel en matière d’identification personnelle est la vérification basée sur les graphes sociaux. Les systèmes de vérification basés sur des graphes sociaux suivent tous le même principe : s'il existe un grand groupe d'identités déjà vérifiées qui prouvent que votre identité est valide, alors vous êtes probablement valide et devriez également avoir une identité vérifiée.

Les partisans des systèmes d’identification humaine basés sur des graphes sociaux les décrivent souvent comme une meilleure alternative à la biométrie pour les raisons suivantes :

- Il ne repose pas sur du matériel spécialisé, ce qui facilite son déploiement ;

- Cela évite une course aux armements permanente entre les fabricants essayant de fabriquer des mannequins et les Orbes qui doivent être mis à jour pour rejeter de tels mannequins ;

- Pas besoin de collecter des données biométriques, plus de protection de la vie privée ;

- Cela peut être plus favorable à l'anonymat, car si quelqu'un choisit de répartir sa vie en ligne à travers plusieurs identités qu'il maintient distinctes les unes des autres, alors ces identités peuvent toutes potentiellement être vérifiées (cependant, le maintien de plusieurs identités réelles et distinctes se fait au détriment de l'anonymat). effets de réseau et est coûteux, un attaquant ne peut donc pas le faire facilement)

Les méthodes biométriques donnent un score binaire « est humain » ou « n'est pas humain », ce qui est fragile : les personnes accidentellement rejetées ne pourront pas gagner de tokens UBI et pourraient ne pas pouvoir participer à la vie en ligne. Les méthodes basées sur les graphiques sociaux peuvent donner des scores numériques plus granulaires, ce qui peut être injuste pour certains participants, mais il est peu probable qu'elles « éliminent » complètement une personne.

Mon point de vue sur ces arguments est que je suis fondamentalement d’accord avec eux ! Ce sont de réels avantages des approches basées sur des graphes sociaux et doivent être pris au sérieux. Cependant, il convient également de considérer les faiblesses des approches basées sur les graphes sociaux :

- Conseils : Pour qu'un utilisateur rejoigne un système basé sur un graphe social, l'utilisateur doit connaître quelqu'un qui est déjà dans le graphe. Cela rend l’adoption massive difficile et exclut potentiellement les régions du monde qui n’ont pas eu de chance lors du lancement initial.

- Vie privée : Bien que les approches sociographiques évitent de collecter des données biométriques, elles révèlent souvent des informations sur les relations sociales d'une personne, ce qui peut entraîner des risques plus importants. Bien sûr, les techniques de connaissance nulle peuvent atténuer ce problème (voir, par exemple, cette proposition de Barry Whitehat), mais les interdépendances dans le graphique et la nécessité d'une analyse mathématique du graphique rendent plus difficile l'obtention du même niveau de données. se cacher comme biométrie.

- Inégalité : Chaque personne ne peut avoir qu'un seul identifiant biométrique, mais une personne riche et bien connectée peut utiliser ses connexions pour générer plusieurs identifiants. Essentiellement, la même flexibilité pourrait permettre à un système basé sur des graphes sociaux de donner plusieurs pseudonymes à quelqu'un (comme un activiste) qui a réellement besoin de cette fonctionnalité, mais qui est plus susceptible d'être quelqu'un de plus puissant et socialement connecté. Plus d'alias peuvent être obtenus auprès de moins de personnes. .

- Risque de tomber dans la centralisation : la plupart des gens sont trop paresseux pour prendre le temps de signaler qui est une personne réelle et qui n'est pas dans une application internet. Par conséquent, il existe un risque qu'au fil du temps, le système s'oriente davantage vers des méthodes d'intégration « faciles » qui s'appuient sur une autorité centralisée, et que le « graphique social » des utilisateurs du système devienne en réalité les pays qui reconnaissent qui comme citoyens - — Nous apporte un KYC centralisé, mais nécessite des étapes supplémentaires.

L’identification humaine est-elle compatible avec les pseudonymes du monde réel ?

En principe, l’identification personnelle est compatible avec différents pseudonymes. Les applications peuvent être conçues de telle manière qu'une personne possédant un seul identifiant physique puisse créer jusqu'à cinq profils dans l'application, laissant ainsi de la place pour des comptes pseudonymes. On peut même utiliser la formule quadratique : coût N² $ pour N comptes. Mais le feront-ils ?

Cependant, un pessimiste pourrait faire valoir qu'il est naïf d'essayer de créer un moyen d'identification davantage axé sur la vie privée et d'espérer qu'il sera adopté de la bonne manière, car les puissants ne se soucient pas de la vie privée et si un acteur puissant a un Outils utilisés pour obtenir plus d'informations sur une personne, ils le feront. Dans un tel monde, selon cet argument, la seule manière réaliste, malheureusement, est de saper toute solution d’identification et de défendre un monde d’îlots totalement anonymes et numériques de communautés de haute confiance.

Je comprends la logique derrière cette façon de penser, mais je crains que cette approche, même si elle réussit, ne conduise à un monde dans lequel il n'y a aucun moyen de faire quoi que ce soit contre la concentration des richesses et la centralisation de la gouvernance, car on peut toujours prétendre être Dix mille personnes. En retour, un tel point centralisé serait facilement contrôlé par les puissants. Au lieu de cela, je préfère une approche modeste dans laquelle nous devrions fortement plaider en faveur de solutions de preuve personnelle avec une forte confidentialité, éventuellement même en incluant un mécanisme de « coût N² $ pour N comptes » au niveau du protocole si nécessaire, et créer quelque chose qui s'aligne sur les valeurs respectueuses de la vie privée. et a une chance d'être accepté par le monde extérieur.

Alors... qu'est-ce que j'en pense ?

En matière d’identification personnelle, il n’existe pas de forme idéale. Au lieu de cela, nous avons au moins trois approches différentes, chacune avec ses propres avantages et inconvénients. Un tableau comparatif pourrait ressembler à ceci :

Idéalement, il faudrait considérer ces trois technologies comme complémentaires et les combiner. Comme le démontre l'Indien Aadhaar, la biométrie matérielle dédiée présente l'avantage d'une sécurité à grande échelle. Ils sont très faibles en matière de décentralisation, même si ce problème peut être résolu en confiant la responsabilité à des sphères individuelles.

La biométrie universelle est facile à adopter aujourd’hui, mais sa sécurité décline rapidement et pourrait ne fonctionner que pendant encore un à deux ans. Les systèmes basés sur des graphes sociaux, guidés par des centaines de personnes socialement proches de l’équipe fondatrice, peuvent être confrontés à un compromis constant entre passer complètement à côté de grandes parties du monde ou être vulnérables aux attaques de communautés qu’ils ne peuvent pas voir. Cependant, un système basé sur des graphiques sociaux, démarré par des dizaines de millions de détenteurs d’identités biométriques, pourrait réellement fonctionner. Le guidage biométrique pourrait mieux fonctionner à court terme, tandis que les technologies basées sur les graphiques sociaux pourraient être plus robustes à long terme et assumer une plus grande responsabilité au fil du temps à mesure que les algorithmes s'améliorent.

Toutes ces équipes peuvent commettre de nombreuses erreurs et il existe des tensions inévitables entre les intérêts des entreprises et les besoins de la communauté au sens large. Nous devons donc rester extrêmement vigilants. En tant que communauté, nous pouvons et devons pousser tous les participants au-delà de la zone de confort de l'open source de leurs technologies, exigeant des audits tiers et même des logiciels écrits par des tiers, entre autres freins et contrepoids. Nous avons également besoin de plus de choix dans chaque catégorie.

Dans le même temps, il est également important de reconnaître le travail qui a été accompli : de nombreuses équipes qui gèrent ces systèmes ont montré leur volonté de prendre la vie privée plus au sérieux que presque n'importe quel gouvernement ou système d'identité majeur géré par une entreprise, et c'est un succès que nous devrions apprendre.

Le problème de créer un système de preuve physique efficace et fiable entre les mains de personnes très éloignées de la communauté crypto existante semble assez difficile. Je n'envie certainement pas ceux qui tentent cette tâche, cela peut prendre plusieurs années pour trouver une solution qui fonctionne. Le principe de l'identification physique semble en principe très précieux, et même si diverses méthodes de mise en œuvre comportent des risques, l'absence d'identification physique n'est pas du tout aussi valable : un monde sans identification physique est plus susceptible d'être un monde dominé par des solutions d'identité centralisées. dominée par l’argent, les petites communautés fermées ou une combinaison des trois. J'attends avec impatience de voir davantage de progrès sur tous les types de certification personnelle et j'espère voir les approches disparates finalement intégrées dans un tout cohérent.

avertissement de risque :

Selon l'« Avis sur la prévention et le traitement des risques de spéculation dans les transactions en monnaie virtuelle » publié par la banque centrale et d'autres départements, le contenu de cet article est uniquement destiné au partage d'informations et ne promeut ni n'approuve aucun comportement commercial ou d'investissement des lecteurs. sont priés de respecter strictement les lois et réglementations de leur région et de ne pas se livrer à des pratiques financières illégales.