Texte original de V God : Qu'est-ce que je pense de la preuve biométrique de personnalité ?

Auteur : V Dieu

Un merci spécial à l'équipe Worldcoin, à la communauté Proof of Humanity et à Andrew Miller pour les discussions.

L’un des gadgets les plus délicats mais probablement les plus précieux que les membres de la communauté Ethereum ont essayé de créer est une solution décentralisée de preuve de personnalité. L'attestation de personnalité, alias le « problème spécifiquement humain », est une forme limitée d'identité du monde réel qui affirme qu'un compte enregistré donné est contrôlé par une personne réelle (et une personne réelle différente des autres comptes enregistrés) et, idéalement, ne le révélera pas. de quelle vraie personne il s'agit.

Des efforts ont été déployés pour résoudre ce problème : Proof of Humanity, BrightID, Idena et Circles en sont des exemples. Certains d'entre eux sont livrés avec leurs propres applications (généralement des jetons UBI) et certains sont utilisés dans Gitcoin Passport pour vérifier quels comptes sont valides pour le vote secondaire. Les technologies sans connaissance comme Sismo ajoutent de la confidentialité à de nombreuses solutions. Récemment, nous avons assisté à l’émergence d’un projet de preuve de caractère plus vaste et plus ambitieux : WorldCoin.

WorldCoin a été cofondé par Sam Altman, surtout connu pour son rôle de PDG d'OpenAI. L’idée derrière le projet est simple : l’IA créera une richesse massive et abondante pour l’humanité, mais elle supprimera également probablement de nombreux emplois et rendra presque impossible de distinguer qui est humain et qui est robot. Nous devons donc combler ce vide en : (i) créant un très bon système de preuve de la personnalité afin que les humains puissent prouver qu'ils sont, en fait, humains, et (ii) fournissant un UBI pour tout le monde. WorldCoin est unique en ce sens qu'il s'appuie sur une technologie biométrique très sophistiquée, utilisant un matériel spécialisé appelé « Orbe » pour scanner l'iris de chaque utilisateur :

L'objectif de WorldCoin est de produire de grandes quantités de ces sphères, de les distribuer dans le monde entier et de les placer dans des lieux publics afin que chacun puisse facilement obtenir une pièce d'identité. À son honneur, WorldCoin s’est également engagé à se décentraliser au fil du temps. Tout d’abord, cela signifie une décentralisation technique : utiliser la pile Optimism pour devenir un L2 sur Ethereum, et utiliser ZK-SNARK et d’autres technologies cryptographiques pour protéger la confidentialité des utilisateurs. Ensuite, cela inclut la gouvernance décentralisée du système lui-même.

WorldCoin a été critiqué pour des problèmes de confidentialité et de sécurité avec l'Orb, des problèmes avec la conception de sa « pièce » et des problèmes éthiques avec certains des choix faits par l'entreprise. Certaines des critiques sont très spécifiques et se concentrent sur des décisions prises par le projet qui auraient facilement pu être prises dans l'autre sens – des décisions que, en fait, le projet Worldcoin lui-même pourrait être disposé à modifier. D’autres, cependant, ont soulevé des préoccupations plus fondamentales quant à savoir si la biométrie – pas seulement la biométrie à balayage oculaire de WorldCoin, mais aussi la preuve humaine et les jeux plus simples de téléchargement et de vérification de vidéos faciales utilisés dans Idena – sont une bonne idée. D'autres critiquent la certification de caractère en général. Les risques incluent d’inévitables atteintes à la vie privée, une érosion accrue de la capacité des personnes à naviguer sur Internet de manière anonyme, la coercition de gouvernements autoritaires et la possibilité d’une décentralisation tout en préservant la sécurité.

Cet article abordera ces questions et passera en revue quelques arguments pour vous aider à décider si c'est une bonne idée de vous incliner et de faire scanner vos yeux (ou votre visage, ou votre voix, ou...) devant notre nouveau suzerain sphérique, et si les alternatives naturelles - utiliser des preuves de personnages basées sur des graphes sociaux ou abandonner complètement les preuves de personnages - est préférable.

Qu’est-ce qu’une preuve de moralité et pourquoi est-ce important ?

La manière la plus simple de définir un système de preuve d'identité est de créer une liste de clés publiques où le système garantit que chaque clé est contrôlée par une personne unique. En d’autres termes, si vous êtes un humain, vous pouvez mettre une clé dans la liste, mais pas deux clés dans la liste, et si vous êtes un robot, vous ne pouvez mettre aucune clé dans la liste.

La personnalité s'avère précieuse car elle résout les problèmes anti-spam et anti-centralisation auxquels beaucoup sont confrontés, évite de dépendre d'une autorité centrale et révèle le moins d'informations possible. Si la preuve de moralité n’est pas abordée, la gouvernance décentralisée (y compris la « micro-gouvernance » telle que le vote sur les publications sur les réseaux sociaux) deviendra plus facile à capter par des acteurs très riches, y compris des gouvernements hostiles. De nombreux services ne peuvent être protégés contre les attaques par déni de service qu'en fixant un prix d'accès, et parfois un prix suffisamment élevé pour dissuader les attaquants est trop élevé pour de nombreux utilisateurs légitimes à faible revenu.

De nombreuses applications majeures dans le monde résolvent aujourd’hui ce problème en utilisant des systèmes d’identité soutenus par le gouvernement, tels que les cartes de crédit et les passeports. Cela résout le problème, mais cela représente un sacrifice énorme, voire inacceptable, en matière de vie privée, et peut faire l'objet d'attaques mineures de la part du gouvernement lui-même.

Dans de nombreux projets de preuve de personne – pas seulement WorldCoin, mais aussi Proof of Humanity, Circles, etc. – l’« application phare » est le « N Tokens Per Person » intégré (parfois appelé « Tokens UBI »). Chaque utilisateur enregistré dans le système reçoit un nombre fixe de jetons chaque jour (ou horaire ou hebdomadaire). Mais il existe de nombreuses autres applications pour :

● Airdrop de distribution de jetons

● Ventes de jetons ou de NFT avec de meilleures conditions pour les utilisateurs les moins fortunés

● Voter au DAO

● Une méthode d'« amorçage » de systèmes de réputation basés sur des graphes

● Vote secondaire (et paiements de financement et d'attention)

● Prévenir les attaques de robots/sybil sur les réseaux sociaux

● Alternative au CAPTCHA pour empêcher les attaques DoS

Dans nombre de ces cas, le fil conducteur est le désir de créer des mécanismes ouverts et démocratiques qui évitent le contrôle centralisé des opérateurs de projet et la domination des utilisateurs les plus riches. Ce dernier point est particulièrement important dans la gouvernance décentralisée. Dans bon nombre de ces cas, les solutions existantes s'appuient aujourd'hui sur (i) des algorithmes d'IA hautement opaques qui laissent une grande marge de manœuvre pour discriminer imperceptiblement les utilisateurs que l'opérateur n'aime tout simplement pas, et (ii) une identification centralisée, également connue sous le nom de « KYC ». ». Une solution efficace de vérification d’identité serait une meilleure alternative, capable d’atteindre les propriétés de sécurité requises par ces applications sans souffrir des pièges des approches centralisées existantes.

Quelles ont été les premières tentatives de certification de caractère ?

Il existe deux principales formes de preuve de personnalité : basée sur le sociogramme et biométrique. La preuve de personnalité basée sur des graphiques sociaux repose sur une certaine forme de garantie : si Alice, Bob, Charlie et David sont tous des êtres humains vérifiés et qu'ils disent tous qu'Emily est un être humain vérifié, alors Emily est probablement une humaine vérifiée. . Les références sont souvent renforcées par des incitations : si Alice dit qu'Emily est humaine et qu'il s'avère qu'elle ne l'est pas, Alice et Emily peuvent être punies. La preuve biométrique de personnalité consiste à vérifier certaines caractéristiques physiques ou comportementales d'Emily qui distinguent les humains des robots (et entre les êtres humains). La plupart des projets utilisent une combinaison de ces deux techniques.

Les quatre systèmes que j'ai mentionnés au début de l'article fonctionnent à peu près comme suit :

Preuve d'humanité : vous téléchargez votre propre vidéo et effectuez un dépôt. Pour être approuvés, les utilisateurs existants doivent se porter garants de vous et il y aura un certain temps avant qu'ils puissent vous contester. En cas de contestation, le tribunal décentralisé de Kleros décidera si votre vidéo est authentique ; sinon, vous perdrez votre dépôt et le challenger recevra la récompense ;

BrightID : Vous rejoignez un appel vidéo "authentificateur" avec d'autres utilisateurs et tout le monde s'authentifie. Un niveau de vérification plus élevé est disponible via Bitu, un système où vous pouvez être vérifié si suffisamment d'autres utilisateurs vérifiés par Bitu se portent garants de vous.

Idena : Vous jouez à un jeu CAPTCHA à un moment précis (pour empêcher les gens de participer plus d'une fois) ; une partie du jeu CAPTCHA implique la création et la vérification de CAPTCHA, qui sont ensuite utilisés pour vérifier d'autres CAPTCHA.

Cercles : les utilisateurs existants de Circles vous soutiennent. Circles est unique en ce sens qu'il ne tente pas de créer un « identifiant global vérifiable » ; il crée plutôt un graphique de confiance dans lequel la fiabilité d'une personne ne peut être vérifiée que du point de vue de votre propre position dans ce graphique.

Comment fonctionne WorldCoin ?

Chaque utilisateur de WorldCoin installe une application sur son téléphone qui génère des clés privées et publiques, tout comme un portefeuille Ethereum. Ils sont ensuite allés visiter eux-mêmes "l'Orbe". L'utilisateur regarde la caméra d'Orb tout en montrant à Orb un code QR généré par son application Worldcoin qui contient sa clé publique. Orb scanne les yeux de l'utilisateur et utilise une analyse matérielle sophistiquée et des classificateurs d'apprentissage automatique pour vérifier :

1. L'utilisateur est une personne réelle

2. L’iris de l’utilisateur ne correspond à celui d’aucun autre utilisateur ayant déjà utilisé le système.

Si les deux analyses réussissent, Orb signe un message approuvant un hachage spécialisé de l'analyse de l'iris de l'utilisateur. Les hachages sont téléchargés dans une base de données – actuellement un serveur centralisé qui est destiné à être remplacé par un système décentralisé en chaîne une fois que le mécanisme de hachage sera jugé efficace. Le système ne stocke pas l’analyse complète de l’iris ; il stocke uniquement les hachages, qui sont utilisés pour vérifier l’unicité. A partir de ce moment, l'utilisateur dispose d'un "World ID".

Les détenteurs d'un World ID sont en mesure de prouver qu'ils sont les seuls en générant un ZK-SNARK, prouvant qu'ils détiennent la clé privée qui correspond à la clé publique dans la base de données sans révéler quelle clé ils détiennent. Ainsi, même si quelqu’un analyse à nouveau vos iris, il ne pourra voir aucune action que vous entreprenez.

Quels sont les principaux problèmes liés à la construction de WorldCoin ?

Quatre risques principaux viennent immédiatement à l’esprit :

● Confidentialité : le registre de l'analyse de l'iris peut divulguer des informations. Au moins, si quelqu'un d'autre scanne vos iris, il pourra vérifier dans la base de données si vous avez un identifiant mondial. Un scanner de l'iris peut en révéler davantage.

● Accessibilité : World ID ne sera pas accessible de manière fiable à moins qu'il n'y ait suffisamment d'orbes facilement accessibles à n'importe qui dans le monde.

● Centralisation : Orb est un périphérique matériel et nous ne pouvons pas vérifier s'il est construit correctement et s'il n'a pas de portes dérobées. Par conséquent, même si la couche logicielle était parfaite et entièrement décentralisée, la Fondation WorldCoin aurait toujours la possibilité d’insérer une porte dérobée dans le système, lui permettant de créer autant de fausses identités humaines qu’elle le souhaite.

● Sécurité : les téléphones des utilisateurs peuvent être piratés, les utilisateurs peuvent être obligés de scanner leur propre iris tout en présentant une clé publique appartenant à quelqu'un d'autre, et il peut être possible d'imprimer en 3D un « factice » qui peut être scanné à travers l'iris et donné une identification mondiale.

Il est important de faire la distinction entre (i) les problèmes spécifiques aux choix faits par WorldCoin, (ii) les problèmes inévitables avec toute preuve biométrique de personnalité, et (iii) les problèmes présents avec toute preuve générale de personnalité. Par exemple, signer un « certificat d’humanité », c’est publier son visage sur internet. Rejoindre un vérificateur BrightID ne fait pas cela complètement, mais cela peut quand même révéler votre identité à de nombreuses personnes. Rejoindre Circles expose publiquement votre graphique social. WorldCoin est nettement meilleur que les deux pour protéger la vie privée. WorldCoin, en revanche, s'appuie sur du matériel spécialisé, ce qui introduit le défi de faire confiance au fabricant de la sphère pour construire correctement la sphère - un défi qui n'a pas d'analogue dans la preuve humaine, BrightID ou Circles. Il est même concevable qu'à l'avenir, d'autres personnes en dehors de WorldCoin créent différentes solutions matérielles dédiées avec des compromis différents.

Comment les solutions d’identification biométrique répondent-elles aux problèmes de confidentialité ?

La violation potentielle la plus évidente et la plus importante de la vie privée de tout système d’identification consiste à lier chaque action entreprise par une personne à une identité réelle. L'ampleur de cette fuite de données est très grande, ce qui peut être considéré comme inacceptable, mais heureusement, elle est facile à résoudre en utilisant une technologie de preuve de connaissance nulle. Au lieu de signer directement avec la clé privée de leur clé publique correspondante dans la base de données, les utilisateurs peuvent créer un ZK-SNARK pour prouver qu'ils possèdent une clé privée dont la clé publique correspondante se trouve quelque part dans la base de données, sans révéler quelle clé spécifique ils possèdent. Cela peut généralement être fait à l'aide d'outils tels que Sismo, et WorldCoin possède sa propre implémentation intégrée. Fournir une preuve d'identité « crypto-native » est ici très important : ils se soucient en fait de franchir cette étape fondamentale pour fournir l'anonymisation, ce que pratiquement toutes les solutions d'identité centralisées ne font pas.

Une atteinte à la vie privée plus subtile mais néanmoins importante est l’existence d’un registre public d’analyses biométriques. En ce qui concerne la preuve d'humanité, cela représente beaucoup de données : vous pouvez obtenir des vidéos de chaque participant à la preuve d'humanité, ce qui le rend assez clair à quiconque dans le monde est prêt à enquêter sur l'identité de tous les participants à la preuve d'humanité. Dans le cas de WorldCoin, la fuite est bien plus limitée : Orb calcule et publie localement uniquement le « hash » du scan de l'iris de chaque personne. Ce hachage n'est pas un hachage ordinaire comme SHA256 ; il s'agit plutôt d'un algorithme spécialisé basé sur le filtre Gabor de l'apprentissage automatique, qui est utilisé pour gérer les inexactitudes inhérentes à toute analyse biométrique et garantir l'identification de la même personne. les sorties.

Bleu : Pourcentage de chiffres qui diffèrent entre deux scans de l'iris d'une même personne. Orange : Pourcentage de chiffres qui diffèrent entre deux scans de l'iris de deux personnes différentes.

Ces hachages d'iris ne divulguent qu'une petite quantité de données. Si un adversaire peut scanner de force (ou secrètement) votre iris, il peut alors calculer lui-même votre hachage d'iris et le comparer à une base de données de hachages d'iris pour déterminer si vous participez au système. Cette capacité de vérifier si quelqu'un est enregistré est nécessaire pour que le système lui-même empêche les gens de s'inscrire plusieurs fois, mais il existe toujours un risque d'abus. De plus, les hachages d'iris peuvent potentiellement divulguer une certaine quantité de données médicales (sexe, race et peut-être conditions médicales), mais cette fuite est bien moindre que presque tout autre système de collecte de données massives utilisé aujourd'hui (par exemple, même les caméras de rue). les données qui peuvent être capturées. Dans l’ensemble, la confidentialité du stockage des hachages d’iris me semble suffisante.

Si d’autres ne sont pas d’accord avec ce jugement et décident de concevoir un système offrant plus de confidentialité, il existe deux manières de le faire :

1. Si l'algorithme de hachage de l'iris peut être amélioré afin que la différence entre deux analyses de la même personne soit plus faible (par exemple, de manière fiable, moins de 10 % de retournement de bits), alors le système peut stocker un plus petit nombre de bits de correction d'erreurs de l'iris. hachage d'iris , au lieu de stocker le hachage d'iris complet (voir : Fuzzy Extractor). Si la différence entre deux scans est inférieure à 10 %, le nombre de bits à publier sera réduit d’au moins un facteur 5.

2. Si nous voulons aller plus loin, nous pouvons stocker la base de données de hachage d'iris dans un système de calcul multipartite (MPC) accessible uniquement par Orbs (avec des limites de débit), rendant les données complètement inaccessibles, mais au coût de gestion de la complexité du protocole MPC et de la complexité sociale des ensembles d’acteurs. L’avantage de ceci est que les utilisateurs ne peuvent pas prouver une connexion entre deux identifiants mondiaux différents qu’ils possèdent à des moments différents, même s’ils le souhaitaient.

Malheureusement, ces techniques ne conviennent pas à la preuve d'humanité, qui nécessite que la vidéo complète de chaque participant soit publiée afin qu'elle puisse être contestée s'il y a des signes indiquant qu'elle est fausse (y compris les contrefaçons générées par l'IA), et mener une enquête plus détaillée. enquête dans cette affaire.

Dans l’ensemble, malgré la sensation dystopique de regarder dans une sphère et de la faire scanner profondément vos globes oculaires, les systèmes matériels spécialisés semblent faire un très bon travail en matière de protection de la vie privée. Le revers de la médaille, cependant, est que les systèmes matériels dédiés créent de plus grands problèmes de centralisation. Nous, les cypherpunks, semblons donc être dans une impasse : nous devons peser une valeur cypherpunk profondément enracinée par rapport à une autre.

Quels sont les enjeux d’accessibilité dans les systèmes d’identification biométrique ?

Le matériel spécialisé crée des problèmes d’accessibilité car le matériel spécialisé est moins accessible. Actuellement, 51 à 64 % des Africains subsahariens possèdent un smartphone, et cette proportion devrait atteindre 87 % d’ici 2030. Mais s’il existe des milliards de smartphones, il n’existe que quelques centaines d’orbes. Même avec une fabrication distribuée à plus grande échelle, il sera difficile de parvenir à un monde dans lequel il y aurait un orbe à moins de cinq kilomètres de tout le monde.

Il convient également de noter que de nombreuses autres formes de personnalité présentent des problèmes d’accessibilité plus graves. Rejoindre un système de vérification de la personnalité basé sur un graphe social est très difficile à moins que vous ne connaissiez déjà quelqu'un dans le graphe social. Il est ainsi facile de limiter ces systèmes à une seule communauté dans un seul pays.

Même les systèmes d'identité centralisés ont appris cette leçon : le système d'identification indien Aadhaar est basé sur la biométrie car c'était le seul moyen d'intégrer rapidement sa population massive tout en évitant la fraude massive provenant de comptes en double et de faux (ce qui permet d'économiser des coûts substantiels), et bien sûr l'Aadhaar Le système dans son ensemble est beaucoup plus faible en termes de confidentialité que n’importe quel système proposé à grande échelle au sein de la communauté crypto.

Du point de vue de l'accessibilité, les systèmes les plus performants sont en fait des systèmes comme Proof of Humanity, où vous pouvez vous inscrire en utilisant uniquement votre smartphone - bien que, comme nous l'avons vu et nous le verrons, de tels systèmes introduisent divers autres compromis.

Quels sont les enjeux de centralisation des systèmes d’identification biométrique ?

Il en existe trois types :

1. Le risque de centralisation dans la gouvernance au plus haut niveau du système (en particulier les systèmes qui prennent des décisions finales au plus haut niveau lorsque les différents participants au système ont des jugements subjectifs incohérents).

2. Risques de centralisation propres aux systèmes utilisant du matériel spécialisé.

3. Si des algorithmes propriétaires sont utilisés pour déterminer qui sont les véritables participants, il existe un risque de centralisation.

Tout système d'identification doit composer avec (1), sauf peut-être un système où l'ensemble d'identifiants « acceptés » est entièrement subjectif. Si un système utilise des incitations libellées en actifs externes (par exemple ETH, USDC, DAI), il ne peut pas être complètement subjectif et le risque de gouvernance est donc inévitable.

2. Pour WorldCoin, le risque est bien plus grand que la preuve humaine (ou BrightID) car WorldCoin s'appuie sur du matériel spécialisé, ce que d'autres systèmes ne font pas.

3. Il s'agit d'un risque, en particulier dans les systèmes « logiquement centralisés » où un seul système effectue la vérification, à moins que tous les algorithmes ne soient open source et que nous puissions garantir qu'ils exécutent réellement le code qu'ils prétendent être. Pour les systèmes qui reposent uniquement sur la vérification par les utilisateurs d’autres utilisateurs (comme une preuve d’humanité), cela ne représente pas un risque.

Comment Worldcoin résout-il le problème de la centralisation matérielle ?

Actuellement, l'entité « Tools for Humanity », affiliée à WorldCoin, est la seule organisation produisant des orbes. Cependant, le code source d'Orb est en grande partie public : vous pouvez voir les spécifications matérielles dans ce référentiel github , et le reste du code source devrait être publié prochainement. La licence fait partie de ces licences "partageant le code source mais techniquement pas open source avant quatre ans plus tard" similaires à la Uniswap BSL, et en plus d'empêcher les forks, elle empêche également ce qu'elles considèrent comme un comportement contraire à l'éthique - Elles ont pointé du doigt la surveillance de masse et trois déclarations internationales sur les droits civiques en particulier.

L'objectif déclaré de l'équipe est de permettre et d'encourager d'autres organisations à créer des orbes et, au fil du temps, de passer des orbes créés par Tools for Humanity à une sorte de DAO qui approuve et gère les organisations qui peuvent créer des orbes sanctionnés par le système.

Cette conception peut échouer de deux manières : Elle ne parvient pas à être véritablement décentralisée. Cela peut être dû à un écueil courant dans les accords conjoints : un fabricant finit par dominer dans la pratique, ce qui conduit à une recentralisation du système. Vraisemblablement, la gouvernance pourrait limiter le nombre de sphères valides que chaque fabricant peut produire, mais cela devrait être géré avec soin, et cela exerce beaucoup de pression sur la gouvernance à la fois pour décentraliser et surveiller l'écosystème et pour faire face efficacement aux menaces : c'est une tâche plus difficile. tâche que les autres. Un DAO assez statique qui ne gère que les tâches de résolution des litiges de haut niveau.

1. Il s’avère qu’il est impossible de sécuriser ce mécanisme de fabrication distribuée. Ici, je vois deux risques :

○ Vulnérabilité contre les mauvais créateurs d'orbes : même si un créateur d'orbes est malveillant ou piraté, il peut générer un nombre illimité de faux hachages d'analyse d'iris et leur fournir des identifiants mondiaux.

○ Restrictions gouvernementales sur les orbes : les gouvernements qui ne souhaitent pas que leurs citoyens participent à l'écosystème WorldCoin peuvent interdire aux orbes d'entrer dans leur pays. De plus, ils pourraient même forcer les citoyens à scanner leur iris pour permettre au gouvernement d’accéder à leurs comptes, sans aucun moyen pour les citoyens de répondre.

Pour rendre le système plus robuste contre les mauvais fabricants d'orbes, l'équipe de Worldcoin recommande des audits réguliers des orbes pour vérifier qu'ils sont construits correctement, que les composants matériels clés sont construits conformément aux spécifications et n'ont pas été falsifiés après coup. C'est une tâche difficile : c'est fondamentalement comme la bureaucratie d'inspection nucléaire de l'AIEA, mais pour Orbs. Nous espérons que même si la mise en œuvre du système d’audit est très imparfaite, il réduira considérablement le nombre de matchs truqués.

Afin de limiter les dégâts causés par les orbes nocifs qui passent à travers, il est logique d'avoir une deuxième atténuation. Les identifiants mondiaux enregistrés par différents fabricants d'orbes devraient pouvoir se distinguer. Ce n'est pas grave si ces informations sont privées et stockées uniquement sur l'appareil du détenteur de l'identifiant mondial, mais elles nécessitent une preuve à la demande. Cela permet à l'écosystème de répondre aux attaques (inévitables) en supprimant sur demande les fabricants d'orbes individuels ou même les orbes individuels de la liste blanche. Si nous voyions un gouvernement obliger les gens à scanner leurs globes oculaires, ces orbes, et tous les comptes qu’ils ont engendrés, seraient probablement immédiatement interdits rétroactivement.

Problèmes de sécurité dans la certification générale de la personnalité

En plus des problèmes spécifiques à WorldCoin, il existe également des problèmes qui ont un impact sur la conception globale de l'ID. Les principaux auxquels je peux penser sont :

1. Mannequins imprimés en 3D : Les gens peuvent utiliser l’intelligence artificielle pour générer des photos de mannequins, même des mannequins imprimés en 3D, qui sont même suffisamment convaincantes pour être acceptées par le logiciel Orb. Même si un seul groupe le fait, il peut générer un nombre illimité d’identités.

2. Possibilité de vendre une pièce d'identité : quelqu'un peut fournir la clé publique de quelqu'un d'autre au lieu de sa propre clé publique lors de son inscription, permettant à cette personne de contrôler la pièce d'identité qu'elle a enregistrée en échange d'argent. Cela semble être arrivé. En plus de la vente, les identifiants peuvent également être loués pour une utilisation à court terme au sein d'une application.

3. Piratage de téléphone : si le téléphone d’une personne est piraté, le pirate informatique peut voler les clés qui contrôlent son identifiant mondial.

4. Vol d'identité forcé : Le gouvernement peut exiger de ses citoyens qu'ils vérifient lorsqu'ils présentent un code QR appartenant au gouvernement. De cette manière, un gouvernement malveillant peut obtenir des millions d’identifiants. Dans les systèmes biométriques, cela peut même être fait secrètement : les gouvernements peuvent utiliser des sphères d'obscurcissement pour extraire les cartes d'identité mondiales de toute personne entrant dans leur pays au contrôle des passeports.

1. Spécifique aux systèmes d’identification biométrique. (2) et (3) sont communs aux conceptions biométriques et non biométriques. (4) est également commun aux deux cas, bien que les techniques requises dans les deux cas soient assez différentes ; dans cette section, je me concentrerai sur la question du cas biométrique ;

Ce sont des faiblesses assez sérieuses. Certains problèmes ont déjà été résolus dans les protocoles existants, d’autres peuvent être résolus grâce à des améliorations futures, et certains semblent constituer des limitations fondamentales.

Que devons-nous faire face à des personnes hypocrites ?

Pour WorldCoin, c'est beaucoup moins risqué qu'un système comme Proof of Humanity : une analyse en face-à-face peut vérifier de nombreuses caractéristiques d'une personne et est beaucoup plus difficile à falsifier qu'une simple vidéo deepfake. Le matériel spécialisé est intrinsèquement plus difficile à usurper que le matériel commercial, qui à son tour est plus difficile à usurper que les algorithmes numériques qui authentifient les images et vidéos envoyées à distance.

Quelqu’un peut-il enfin tromper du matériel spécialisé pour l’impression 3D ? peut-être. Je prédis qu’à un moment donné, nous assisterons à une tension croissante entre les objectifs de maintien des mécanismes ouverts et de leur sécurité : les algorithmes d’IA open source sont intrinsèquement plus sensibles à l’apprentissage automatique contradictoire. Les algorithmes de boîte noire sont plus protégés, mais il est difficile d’affirmer que les algorithmes de boîte noire ne sont pas formés pour contenir les portes dérobées. Peut-être que la technologie ZK-ML peut nous offrir le meilleur des deux mondes. Bien que dans un avenir plus lointain, même les meilleurs algorithmes d’IA pourraient être trompés par les meilleurs mannequins imprimés en 3D.

Cependant, d'après mes discussions avec les équipes de Worldcoin et de Proof of Humanity, il semble qu'aucun des deux protocoles n'ait connu jusqu'à présent de graves attaques de deepfake, pour la simple raison qu'embaucher de vrais travailleurs à bas salaires pour s'inscrire en votre nom est assez bon marché et facile.

Pouvons-nous empêcher la vente de pièces d’identité ?

À court terme, il sera difficile de mettre fin à cette sous-traitance, car la plupart des gens dans le monde ne connaissent même pas le protocole d'identification, et si vous leur dites de brandir un code QR et de scanner leurs yeux pour 30 $, ils le feront. . Une fois que de plus en plus de gens réalisent ce qu'est le protocole d'identification, une solution d'atténuation assez simple devient possible : permettre aux personnes ayant une pièce d'identité enregistrée de se réinscrire, annulant ainsi leur précédente pièce d'identité. Cela rend la « pièce d'identité à vendre » beaucoup moins crédible, car la personne qui vous vend la pièce d'identité peut se réinscrire, annulant ainsi la pièce d'identité qu'elle vient de vendre. Cependant, pour en arriver là, le protocole doit être bien connu et les Orbs doivent être largement utilisés pour rendre possible l'enregistrement à la demande.

C'est l'une des raisons pour lesquelles l'intégration d'UBI Coin dans les systèmes de preuve d'identité est précieuse : UBI Coin offre une incitation facile à comprendre pour que les gens (i) comprennent le protocole et s'inscrivent, et (ii) s'ils représentent quelqu'un d'autre, s'inscrivent, puis réinscrivez-vous immédiatement. La réinscription protège également contre les piratages téléphoniques.

Pouvons-nous empêcher la coercition dans les systèmes biométriques ?

Cela dépend de quel type de coercition nous parlons. Les formes possibles de coercition comprennent :

● Les gouvernements scannent les yeux (ou les visages, ou…) des gens aux contrôles aux frontières et à d'autres points de contrôle gouvernementaux de routine, et l'utilisent pour enregistrer (et souvent réenregistrer) leurs citoyens.

● Le gouvernement interdit les Orbs dans le pays pour empêcher les gens de se réinscrire de manière indépendante

● Après avoir acheté une carte d'identité, un individu a menacé de lui faire du mal si sa carte d'identité s'avérait invalide en raison d'une réenregistrement.

● L'application (éventuellement gérée par le gouvernement) exige que les utilisateurs se « connectent » directement avec une signature à clé publique, ce qui leur permet de voir l'analyse biométrique correspondante et un lien entre l'identifiant actuel de l'utilisateur et tout identifiant futur qu'il obtiendra en se réinscrivant. . De nombreuses personnes craignent que cela rende trop facile la création d’un « dossier permanent » qui dure toute la vie d’une personne.

Il peut sembler assez difficile d'éviter complètement ces situations, surtout entre les mains d'utilisateurs non qualifiés. Les utilisateurs peuvent quitter leur pays et se (ré)inscrire sur Orb dans un pays plus sûr, mais il s'agit d'un processus difficile et coûteux. Dans un environnement juridique véritablement hostile, trouver un orbe indépendant semble trop difficile et risqué.

Ce qui fonctionne, c’est de rendre cet abus plus ennuyeux et plus facile à détecter. Les méthodes de preuve d'humanité qui exigent qu'une personne prononce une phrase spécifique lors de son inscription en sont un bon exemple : cela peut suffire à empêcher les analyses secrètes, exigeant que l'application soit plus flagrante, et la phrase d'enregistrement peut même inclure une déclaration confirmant que la personne faisant l'objet de l'enquête sait qu'ils ont des droits. Réinscrivez-vous de manière indépendante et pouvez recevoir des pièces UBI ou d'autres récompenses. Si une application est détectée, l'accès aux appareils utilisés pour appliquer collectivement l'application peut être révoqué. Pour empêcher les applications de relier les identifiants actuels et précédents des personnes et d'essayer de laisser un « enregistrement permanent », l'application de vérification d'identité par défaut pourrait verrouiller la clé de l'utilisateur dans un matériel fiable, empêchant toute application d'utiliser directement la clé. Aucune couche ZK-SNARK anonyme intermédiaire. est requis. Si les gouvernements ou les développeurs d’applications souhaitent résoudre ce problème, ils doivent imposer l’utilisation de leurs propres applications personnalisées.

En combinant ces techniques avec une vigilance active, il semble possible d’écarter les régimes véritablement hostiles et de garder honnêtes ceux qui ne sont que modérément mauvais (comme c’est le cas dans une grande partie du monde). Cela pourrait être accompli par des projets comme Worldcoin ou Proof of Humanity maintenant leur propre bureaucratie, ou en révélant plus d'informations sur la façon dont l'ID a été enregistré (par exemple, dans Worldcoin, de quel Orb il provient) et en faisant cela. La tâche de classification est laissée au communauté. Pouvons-nous empêcher la location de pièces d’identité (par exemple la vente de votes) ?

Une réinscription n’empêchera pas la location de votre pièce d’identité. Cela est acceptable dans certaines applications : le coût de la location de votre droit de recevoir la part des pièces UBI de ce jour sera simplement la valeur de la part des pièces UBI de ce jour. Mais dans des applications comme le vote, vendre facilement des billets constitue un gros problème.

Des systèmes comme MACI peuvent vous empêcher de vendre votre vote de manière crédible, vous permettant ainsi de voter un autre plus tard, invalidant ainsi votre vote précédent afin que personne ne puisse savoir si vous avez réellement voté. Cependant, cela ne servira à rien si le corrupteur contrôle la clé qui vous a été remise lors de votre inscription.

Je vois deux solutions ici:

1. Exécutez l'intégralité de l'application dans le MPC. Cela couvre également le processus de réinscription : lorsqu'une personne s'inscrit auprès du MPC, le MPC lui attribue un identifiant distinct et non lié à son identifiant, et lorsqu'une personne se réinscrit, seul le MPC sait lequel désactiver le compte. . Cela empêche les utilisateurs d'attester de leurs actions, car chaque étape importante est effectuée au sein du MPC en utilisant des informations privées connues uniquement du MPC.

2. Cérémonie d'inscription décentralisée. Fondamentalement, mettez en œuvre un protocole similaire au protocole d'enregistrement des clés en face à face, qui nécessite que quatre participants locaux sélectionnés au hasard enregistrent conjointement quelqu'un. Cela garantit que l'enregistrement est un processus « fiable » que les attaquants ne peuvent pas espionner.

Les systèmes basés sur des graphes sociaux peuvent en fait être plus efficaces ici, car ils peuvent créer automatiquement un processus d'enregistrement décentralisé local en tant que sous-produit de leur façon de travailler.

Comment la biométrie se compare-t-elle à l’autre candidat principal pour la preuve d’identité (vérification basée sur les graphes sociaux) ?

Outre les méthodes biométriques, le principal autre candidat à la preuve de personnalité jusqu’à présent est la vérification basée sur les graphes sociaux. Les systèmes de vérification basés sur des graphes sociaux fonctionnent tous sur le même principe : s'il existe un certain nombre d'identités vérifiées existantes qui attestent de la validité de votre identité, alors vous êtes probablement valide et devriez également obtenir un statut vérifié.

Les partisans de l’authentification basée sur les graphes sociaux la décrivent souvent comme une meilleure alternative à la biométrie pour les raisons suivantes :

● Il ne repose pas sur du matériel spécialisé, ce qui facilite son déploiement

● Cela évite une course aux armements perpétuelle entre les fabricants essayant de fabriquer des mannequins et les orbes qui doivent être mis à jour pour rejeter de tels mannequins.

● Pas besoin de collecter des données biométriques, plus de protection de la vie privée

● Il peut être plus pseudonyme car si quelqu'un choisit de diviser sa vie Internet en plusieurs identités distinctes les unes des autres, les deux identités peuvent être vérifiées (mais le maintien de plusieurs identités réelles et indépendantes se fait au détriment des effets de réseau et le coût est élevé , ce n'est donc pas quelque chose qu'un attaquant peut faire facilement)

● Les méthodes biométriques donnent un score binaire « est humain » ou « n'est pas humain », ce qui est fragile : les personnes rejetées accidentellement se retrouveront sans UBI du tout et pourraient ne pas être en mesure de participer à la vie en ligne. Les méthodes basées sur les graphiques sociaux peuvent donner des scores numériques plus granulaires, ce qui bien sûr peut être un peu injuste pour certains participants, mais sont moins susceptibles de « dépersonnaliser » complètement quelqu'un.

Mon point de vue sur ces arguments est que je suis fondamentalement d’accord avec eux ! Ce sont de réels avantages des approches basées sur des graphes sociaux et doivent être pris au sérieux. Cependant, il convient également de considérer les faiblesses des approches basées sur les graphes sociaux :

● Conseils : pour qu'un utilisateur puisse rejoindre un système basé sur un graphe social, il doit connaître quelqu'un qui figure déjà dans le graphe. Cela rend l’adoption massive difficile et risque d’exclure des régions entières du monde qui n’ont pas eu de chance lors du processus de démarrage initial.

● Confidentialité : même si les approches basées sur les graphiques sociaux évitent de collecter des données biométriques, elles finissent souvent par révéler des informations sur les relations sociales d'une personne, ce qui peut entraîner des risques plus importants. Bien sûr, les techniques sans connaissance peuvent atténuer ce problème (voir, par exemple, la proposition de Barry Whitehat), mais les interdépendances inhérentes aux graphiques et la nécessité d'effectuer une analyse mathématique sur ceux-ci rendent plus complexe l'obtention du même niveau de dissimulation des données que la biométrie.

● Inégalité : chaque personne ne peut avoir qu'un seul identifiant biométrique, mais une personne riche et bien connectée peut utiliser ses connexions pour générer plusieurs identifiants. Essentiellement, la même flexibilité pourrait permettre à un système basé sur des graphes sociaux de fournir plusieurs pseudonymes aux personnes qui ont réellement besoin de cette fonctionnalité (comme les militants), ce qui pourrait également signifier que des personnes plus puissantes et bien connectées peuvent obtenir plus que les personnes ayant moins de pouvoir. et les meilleures relations ont plus de pseudonymes.

● Risque de tomber dans la centralisation : La plupart des gens sont trop paresseux pour prendre le temps de signaler aux applications Internet qui est une personne réelle et qui ne l'est pas. Il existe donc un risque qu'au fil du temps, le système tende vers une approche « simple » de la naturalisation, s'appuyant sur une autorité centralisée, et que le « graphique social » des utilisateurs du système devienne en réalité une carte sociale dont les pays reconnaissent qui en tant que citoyens. Graph – nous fournit un KYC centralisé et des étapes supplémentaires inutiles.

Les certifications de personnalité sont-elles compatibles avec les pseudonymes dans le monde réel ?

En principe, la preuve de la personnalité est compatible avec différents pseudonymes. L'application est conçue de telle manière qu'une personne disposant d'un seul identifiant peut créer jusqu'à cinq profils au sein de l'application, laissant la place à des comptes pseudonymes. Vous pouvez même utiliser la formule quadratique : N est égal à N² $ de coût. Mais le feront-ils ?

Cependant, un pessimiste pourrait faire valoir qu'il est naïf d'essayer de créer une forme de pièce d'identité plus respectueuse de la vie privée et d'espérer qu'elle sera effectivement adoptée de la bonne manière, car ceux qui sont au pouvoir ne sont pas respectueux de la vie privée et si un acte puissant une fois une personne reçoit un outil qu'elle peut utiliser pour obtenir plus d'informations sur une personne, elle l'utilisera de cette manière. Certains soutiennent que dans un tel monde, la seule approche réaliste consiste malheureusement à jeter du sable dans les rouages ​​de toute solution d’identité et à défendre un monde de silos numériques, d’anonymat complet et de communautés de grande confiance.

Je comprends le raisonnement qui sous-tend cette façon de penser, mais je crains que cette approche, même si elle réussit, ne conduise à un monde dans lequel personne ne peut rien faire pour contrecarrer la concentration des richesses et la concentration de la gouvernance, car une personne peut toujours prétendre soit 10 000. À leur tour, ces points de pouvoir centralisés sont facilement capturés par ceux qui sont au pouvoir. Au lieu de cela, je préfère adopter une approche plus douce, dans laquelle nous préconisons fortement des solutions de vérification d'identité avec une forte confidentialité, éventuellement même en incluant un mécanisme « N comptes pour N² $ » au niveau de la couche de protocole si nécessaire, et en créant des valeurs et des valeurs respectueuses de la confidentialité. Quelque chose qui a une chance d’être accepté par le monde extérieur.

Alors... qu'est-ce que j'en pense ?

Il n’existe pas de forme idéale de preuve de moralité. Au lieu de cela, nous avons au moins trois paradigmes méthodologiques différents, chacun avec ses propres forces et faiblesses. Un tableau comparatif pourrait ressembler à ceci :

Idéalement, nous devrions considérer ces trois technologies comme complémentaires et les combiner toutes. Comme le démontre l'Indien Aadhaar, la biométrie matérielle dédiée présente l'avantage d'une sécurité à grande échelle. Ils sont très faibles en matière de décentralisation, même si ce problème peut être résolu en confiant la responsabilité à des sphères individuelles. La biométrie universelle est facilement adoptée aujourd’hui, mais sa sécurité décline rapidement et pourrait ne fonctionner que pendant encore un à deux ans. Les systèmes basés sur des graphes sociaux, guidés par des centaines de personnes socialement proches de l’équipe fondatrice, peuvent être confrontés à un compromis constant entre passer complètement à côté de grandes parties du monde ou être vulnérables aux attaques au sein de communautés qu’ils ne peuvent pas voir. Cependant, un système basé sur des graphiques sociaux, démarré par des dizaines de millions de détenteurs d’identités biométriques, pourrait réellement fonctionner. Le guidage biométrique pourrait être plus efficace à court terme,

Toutes ces équipes sont susceptibles de commettre de nombreuses erreurs et il existe des tensions inévitables entre les intérêts commerciaux et les besoins de la communauté au sens large. Il est donc important de rester très vigilant. En tant que communauté, nous pouvons et devons repousser les zones de confort de tous les participants en matière de technologie open source, exigeant des audits tiers et même des logiciels écrits par des tiers, ainsi que d'autres freins et contrepoids. Nous avons également besoin de plus d’alternatives dans chacune de ces trois catégories.

Dans le même temps, il est important de reconnaître le travail qui a été accompli : de nombreuses équipes qui gèrent ces systèmes ont démontré leur volonté de prendre la vie privée plus au sérieux que presque n'importe quel système d'identité géré par le gouvernement ou les grandes entreprises, et c'est un succès que nous devons poursuivre. travailler vers.

Le problème de la création d’un système de vérification d’identité efficace et fiable, en particulier entre les mains d’une personne très éloignée de la communauté crypto existante, semble assez difficile. Je n’envie certainement pas ceux qui tentent cette tâche, et il faudra peut-être des années pour trouver une formule qui fonctionne. En principe, le concept de preuve de personnalité semble très précieux, et même si diverses mises en œuvre comportent des risques, ne pas avoir de preuve de personnalité comporte également des risques : un monde sans preuve de personnalité semble plus susceptible d'être dominé par une identité centralisée. solutions, argent, petites communautés fermées ou une combinaison des trois. J'ai hâte de voir davantage de progrès dans tous les types de certification de caractère et de voir les approches disparates enfin se rassembler en un tout cohérent.

#Ai