Teks asli oleh V God: Apa pendapat saya tentang bukti biometrik kepribadian?
Penulis: V Tuhan
Terima kasih khusus kepada tim Worldcoin, komunitas Proof of Humanity, dan Andrew Miller atas diskusinya.
Salah satu gadget yang lebih rumit namun mungkin paling berharga yang coba dibuat oleh orang-orang di komunitas Ethereum adalah bukti solusi kepribadian yang terdesentralisasi. Pengesahan kepribadian, alias "masalah unik manusia", adalah bentuk terbatas dari identitas dunia nyata yang menegaskan bahwa akun terdaftar tertentu dikendalikan oleh orang nyata (dan orang nyata yang berbeda dari akun terdaftar lainnya) dan idealnya tidak Akan mengungkapkan siapa orang sebenarnya itu.
Ada beberapa upaya untuk mengatasi masalah ini: Proof of Humanity, BrightID, Idena dan Circles adalah contohnya. Beberapa di antaranya dilengkapi dengan aplikasinya sendiri (biasanya token UBI), dan beberapa digunakan di Gitcoin Passport untuk memverifikasi akun mana yang valid untuk pemungutan suara sekunder. Teknologi tanpa pengetahuan seperti Sismo menambah privasi pada banyak solusi. Baru-baru ini, kita telah melihat munculnya proyek bukti karakter yang lebih besar dan ambisius: WorldCoin.
WorldCoin didirikan bersama oleh Sam Altman, yang terkenal karena perannya sebagai CEO OpenAI. Ide di balik proyek ini sederhana: AI akan menciptakan kekayaan yang sangat besar dan berlimpah bagi umat manusia, namun hal ini juga kemungkinan akan menghilangkan banyak pekerjaan dan membuat hampir mustahil untuk membedakan siapa manusia dan siapa robot. Jadi kita perlu mengisi lubang ini dengan: (i) menciptakan sistem pembuktian kepribadian yang sangat baik sehingga manusia dapat membuktikan bahwa mereka memang manusia, dan (ii) menyediakan UBI untuk semua orang. WorldCoin unik karena mengandalkan teknologi biometrik yang sangat canggih, menggunakan perangkat keras khusus yang disebut “Orb” untuk memindai iris mata setiap pengguna:
Tujuan WorldCoin adalah memproduksi bola-bola ini dalam jumlah besar, mendistribusikannya ke seluruh dunia, dan menempatkannya di tempat-tempat umum sehingga siapa pun dapat dengan mudah mendapatkan ID. Hebatnya, WorldCoin juga berkomitmen untuk melakukan desentralisasi seiring berjalannya waktu. Pertama-tama, ini berarti desentralisasi teknis: menggunakan tumpukan Optimisme untuk menjadi L2 di Ethereum, dan menggunakan ZK-SNARK dan teknologi kriptografi lainnya untuk melindungi privasi pengguna. Kemudian, hal ini mencakup tata kelola desentralisasi dari sistem itu sendiri.
WorldCoin telah dikritik karena masalah privasi dan keamanan pada Orb, masalah dengan desain “koinnya”, dan masalah etika dengan beberapa pilihan yang telah diambil perusahaan. Beberapa kritiknya sangat spesifik, berfokus pada keputusan yang dibuat oleh proyek yang dapat dengan mudah dibuat dengan cara lain—keputusan yang, pada kenyataannya, mungkin ingin diubah oleh proyek Worldcoin itu sendiri. Namun, pihak lain telah mengemukakan kekhawatiran yang lebih mendasar tentang apakah biometrik – bukan hanya biometrik pemindai mata WorldCoin, tetapi juga bukti manusia dan permainan unggahan video wajah dan verifikasi yang lebih sederhana yang digunakan di Idena – adalah ide yang bagus. Ada pula yang mengkritik sertifikasi karakter secara umum. Risikonya mencakup pelanggaran privasi yang tidak dapat dihindari, semakin terkikisnya kemampuan masyarakat untuk menjelajah internet secara anonim, paksaan dari pemerintah otoriter, dan kemungkinan desentralisasi dengan tetap menjaga keamanan.
Artikel ini akan membahas masalah-masalah ini dan membahas beberapa argumen untuk membantu Anda memutuskan apakah sebaiknya membungkuk dan memindai mata Anda (atau wajah, atau suara, atau...) di hadapan penguasa bola kita yang baru, dan apakah alternatif alaminya - menggunakan bukti karakter berbasis grafik sosial atau mengabaikan bukti karakter sama sekali - lebih baik.
Apa yang dimaksud dengan bukti karakter dan mengapa itu penting?
Cara paling sederhana untuk mendefinisikan sistem bukti identitas adalah dengan membuat daftar kunci publik di mana sistem menjamin bahwa setiap kunci dikendalikan oleh orang yang unik. Dengan kata lain, jika Anda seorang manusia, Anda dapat memasukkan satu kunci ke dalam daftar, tetapi tidak dua kunci dalam daftar, dan jika Anda seorang robot, Anda tidak dapat memasukkan kunci apa pun ke dalam daftar.
Kepribadian terbukti berharga karena memecahkan masalah anti-spam dan anti-sentralisasi yang dihadapi banyak orang, menghindari ketergantungan pada otoritas pusat, dan mengungkapkan informasi sesedikit mungkin. Jika bukti karakter tidak ditangani, maka pemerintahan yang terdesentralisasi (termasuk “pemerintahan mikro” seperti pemungutan suara di media sosial) akan lebih mudah ditangkap oleh pihak-pihak yang sangat kaya, termasuk pemerintah yang bermusuhan. Banyak layanan hanya dapat dilindungi dari serangan penolakan layanan dengan menetapkan harga akses, dan terkadang harga yang cukup tinggi untuk mencegah penyerang terlalu tinggi bagi banyak pengguna sah yang berpenghasilan rendah.
Banyak aplikasi besar di dunia saat ini mengatasi masalah ini dengan menggunakan sistem identitas yang didukung pemerintah seperti kartu kredit dan paspor. Hal ini menyelesaikan masalah, namun hal ini menimbulkan pengorbanan privasi yang sangat besar dan mungkin tidak dapat diterima, dan mungkin dapat terkena serangan kecil dari pemerintah sendiri.
Dalam banyak proyek proof-of-person—tidak hanya WorldCoin, tetapi juga Proof of Humanity, Circles, dll.—“aplikasi andalan” adalah “N Token Per Orang” bawaan (terkadang disebut “Token UBI”). Setiap pengguna yang terdaftar di sistem menerima sejumlah token setiap hari (atau setiap jam atau mingguan). Namun masih banyak aplikasi lain untuk:
● Airdrop distribusi token
● Penjualan token atau NFT dengan persyaratan yang lebih baik untuk pengguna yang kurang mampu
● Memberikan suara di DAO
● Sebuah metode “menyemai” sistem reputasi berbasis grafik
● Pemungutan suara sekunder (dan pendanaan serta pembayaran perhatian)
● Mencegah serangan bot/sybil di media sosial
● Alternatif CAPTCHA untuk mencegah serangan DoS
Dalam banyak kasus, benang merahnya adalah keinginan untuk menciptakan mekanisme yang terbuka dan demokratis yang menghindari kontrol terpusat oleh operator proyek dan dominasi oleh pengguna terkaya. Hal terakhir ini sangat penting dalam pemerintahan yang terdesentralisasi. Dalam banyak kasus, solusi yang ada saat ini bergantung pada (i) algoritme AI yang sangat buram sehingga memberikan banyak ruang untuk mendiskriminasi pengguna yang tidak disukai oleh operator, dan (ii) ID Terpusat, yang juga dikenal sebagai “KYC ”. Solusi pemeriksaan identitas yang efektif akan menjadi alternatif yang lebih baik yang dapat mencapai properti keamanan yang diperlukan oleh aplikasi ini tanpa mengalami hambatan dari pendekatan terpusat yang ada.
Apa saja upaya awal sertifikasi karakter?
Ada dua bentuk utama bukti kepribadian: berbasis sosiogram dan biometrik. Bukti kepribadian berbasis grafik sosial bergantung pada beberapa bentuk jaminan: jika Alice, Bob, Charlie, dan David semuanya adalah manusia yang terverifikasi, dan mereka semua mengatakan bahwa Emily adalah manusia yang terverifikasi, maka Emily mungkin adalah manusia yang terverifikasi . Kredensial sering kali diperkuat dengan insentif: jika Alice mengatakan Emily adalah manusia dan ternyata dia bukan manusia, baik Alice maupun Emily dapat dihukum. Bukti biometrik kepribadian melibatkan verifikasi karakteristik fisik atau perilaku tertentu Emily yang membedakan manusia dari robot (dan antara individu manusia). Kebanyakan proyek menggunakan kombinasi kedua teknik ini.
Keempat sistem yang saya sebutkan di awal artikel bekerja secara kasar sebagai berikut:
Bukti kemanusiaan: Anda mengupload video Anda sendiri dan memberikan deposit. Agar disetujui, pengguna yang ada perlu menjamin Anda, dan akan ada jangka waktu sebelum mereka dapat menantang Anda. Jika ada tantangan, pengadilan desentralisasi Kleros akan memutuskan apakah video Anda asli; jika tidak, Anda akan kehilangan deposit dan penantang akan menerima hadiahnya;
BrightID: Anda bergabung dalam panggilan video "authenticator" dengan pengguna lain dan semua orang saling mengautentikasi. Tingkat verifikasi yang lebih tinggi tersedia melalui Bitu, sebuah sistem di mana Anda bisa diverifikasi jika cukup banyak pengguna terverifikasi Bitu yang menjamin Anda.
Idena: Anda memainkan permainan CAPTCHA pada waktu tertentu (untuk mencegah orang berpartisipasi lebih dari satu kali); bagian dari permainan CAPTCHA melibatkan pembuatan dan verifikasi CAPTCHA, yang kemudian digunakan untuk memverifikasi CAPTCHA lainnya.
Lingkaran: Pengguna Lingkaran yang ada mendukung Anda. Lingkaran bersifat unik karena tidak berupaya membuat "ID global yang dapat diverifikasi"; melainkan membuat grafik kepercayaan di mana kepercayaan seseorang hanya dapat diverifikasi dari perspektif posisi Anda sendiri dalam grafik tersebut .
Bagaimana cara kerja WorldCoin?
Setiap pengguna WorldCoin memasang aplikasi di ponsel mereka yang menghasilkan kunci pribadi dan publik, seperti dompet Ethereum. Mereka kemudian pergi mengunjungi "Orb" itu sendiri. Pengguna menatap kamera Orb sambil menunjukkan kepada Orb kode QR yang dihasilkan oleh aplikasi Worldcoin yang berisi kunci publiknya. Orb memindai mata pengguna dan menggunakan pemindaian perangkat keras canggih serta pengklasifikasi pembelajaran mesin untuk memverifikasi:
1. Pengguna adalah orang sungguhan
2. Iris mata pengguna tidak cocok dengan iris mata pengguna lain yang pernah menggunakan sistem sebelumnya
Jika kedua pemindaian berhasil, Orb menandatangani pesan yang menyetujui hash khusus dari pemindaian iris mata pengguna. Hash diunggah ke database - saat ini server terpusat yang dimaksudkan untuk diganti dengan sistem on-chain terdesentralisasi setelah mekanisme hashing dianggap efektif. Sistem tidak menyimpan pemindaian iris mata secara lengkap; sistem hanya menyimpan hash, yang digunakan untuk memeriksa keunikan. Sejak saat itu, pengguna memiliki "ID Dunia".
Pemegang ID Dunia dapat membuktikan bahwa mereka adalah satu-satunya orang dengan membuat ZK-SNARK, membuktikan bahwa mereka memegang kunci privat yang sesuai dengan kunci publik dalam database tanpa mengungkapkan kunci mana yang mereka pegang. Jadi meskipun seseorang memindai ulang iris mata Anda, mereka tidak akan dapat melihat tindakan apa pun yang Anda lakukan.
Apa masalah utama dalam pembangunan WorldCoin?
Empat risiko utama yang langsung terlintas dalam pikiran:
● Privasi: Registri pemindaian iris mata mungkin membocorkan informasi. Setidaknya jika orang lain memindai iris mata Anda, mereka dapat memeriksa database untuk melihat apakah Anda memiliki ID Dunia. Pemindaian iris mata mungkin dapat mengungkapkan lebih banyak.
● Aksesibilitas: ID Dunia tidak akan dapat diakses secara andal kecuali terdapat cukup bola yang dapat diakses dengan mudah oleh siapa pun di dunia.
● Sentralisasi: Orb adalah perangkat keras dan kami tidak dapat memverifikasi apakah perangkat tersebut dibuat dengan benar dan tidak memiliki pintu belakang. Oleh karena itu, bahkan jika lapisan perangkat lunaknya sempurna dan terdesentralisasi sepenuhnya, WorldCoin Foundation masih memiliki kemampuan untuk memasukkan pintu belakang ke dalam sistem, memungkinkannya untuk membuat identitas manusia palsu sebanyak yang diinginkannya.
● Keamanan: Ponsel pengguna mungkin diretas, pengguna mungkin terpaksa memindai iris mata mereka sendiri sambil menunjukkan kunci publik milik orang lain, dan dimungkinkan untuk mencetak “boneka” 3D yang dapat dipindai melalui iris mata dan diberikan ID Dunia.
Penting untuk membedakan antara (i) masalah yang khusus untuk pilihan yang dibuat oleh WorldCoin, (ii) masalah yang tidak dapat dihindari dengan bukti biometrik kepribadian, dan (iii) masalah yang muncul dengan bukti kepribadian umum. Misalnya, menandatangani “sertifikat kemanusiaan” berarti mempublikasikan wajah Anda di internet. Bergabung dengan verifikator BrightID tidak sepenuhnya berhasil, tetapi tetap dapat mengungkapkan identitas Anda kepada banyak orang. Bergabung dengan Lingkaran memperlihatkan grafik sosial Anda secara publik. WorldCoin secara signifikan lebih baik dalam melindungi privasi dibandingkan keduanya. WorldCoin, di sisi lain, bergantung pada perangkat keras khusus, yang memperkenalkan tantangan untuk memercayai produsen bola untuk membangun bola dengan benar - sebuah tantangan yang tidak ada bandingannya dalam bukti manusia, BrightID, atau Circles. Bahkan dapat dibayangkan bahwa di masa depan, pihak lain di luar WorldCoin akan menciptakan solusi perangkat keras berbeda yang dibuat khusus dengan trade-off berbeda.
Bagaimana solusi identifikasi biometrik mengatasi masalah privasi?
Potensi pelanggaran privasi yang paling jelas dan terbesar terhadap sistem pemeriksaan identitas adalah mengaitkan setiap tindakan yang dilakukan seseorang dengan identitas dunia nyata. Skala kebocoran data ini sangat besar, bisa dikatakan sangat besar, namun untungnya hal ini mudah diatasi dengan menggunakan teknologi zero-knowledge proof. Daripada langsung menandatangani dengan kunci privat kunci publik terkait di database, pengguna dapat membuat ZK-SNARK untuk membuktikan bahwa mereka memiliki kunci privat yang kunci publik terkaitnya ada di suatu tempat di database, tanpa mengungkapkan kunci spesifik mana yang mereka miliki. Hal ini biasanya dapat dilakukan dengan menggunakan alat seperti Sismo, dan WorldCoin memiliki implementasi bawaannya sendiri. Memberikan bukti identitas "crypto-native" sangat penting di sini: mereka benar-benar peduli dalam mengambil langkah dasar ini untuk memberikan anonimisasi, yang pada dasarnya tidak dilakukan oleh semua solusi identitas terpusat.
Pelanggaran privasi yang lebih halus namun tetap penting adalah adanya pencatatan publik atas pemindaian biometrik. Sejauh menyangkut bukti kemanusiaan, datanya sangat banyak: Anda bisa mendapatkan video dari setiap peserta bukti kemanusiaan, yang membuatnya cukup jelas bagi siapa pun di dunia yang ingin menyelidiki siapa saja peserta bukti kemanusiaan tersebut. Dalam kasus WorldCoin, kebocorannya jauh lebih terbatas: Orb secara lokal menghitung dan menerbitkan hanya “hash” dari pemindaian iris mata setiap orang. Hash ini bukan hash biasa seperti SHA256, melainkan algoritma khusus berdasarkan filter Gabor pembelajaran mesin, yang digunakan untuk menangani ketidakakuratan yang melekat dalam pemindaian biometrik dan memastikan identifikasi orang yang sama keluaran.
Biru: Persentase angka yang berbeda antara dua pemindaian iris mata orang yang sama. Oranye: Persentase angka yang berbeda antara dua pemindaian iris mata dua orang berbeda.
Hash iris ini hanya membocorkan sejumlah kecil data. Jika musuh dapat secara paksa (atau diam-diam) memindai iris mata Anda, maka mereka dapat menghitung sendiri hash iris mata Anda dan memeriksanya dengan database hash iris mata untuk menentukan apakah Anda berpartisipasi dalam sistem. Kemampuan untuk memeriksa apakah seseorang telah terdaftar diperlukan oleh sistem itu sendiri untuk mencegah orang mendaftar berkali-kali, namun selalu ada potensi untuk disalahgunakan. Selain itu, hash iris mata berpotensi membocorkan sejumlah data medis (jenis kelamin, ras, dan mungkin kondisi medis), namun kebocoran ini jauh lebih kecil dibandingkan hampir semua sistem pengumpulan data besar lainnya yang digunakan saat ini (misalnya, bahkan kamera jalanan) data yang dapat ditangkap. Secara keseluruhan, privasi menyimpan hash iris tampaknya cukup bagi saya.
Jika orang lain tidak setuju dengan penilaian ini dan memutuskan untuk merancang sistem dengan privasi lebih, ada dua cara untuk melakukannya:
1. Jika algoritme hashing iris dapat ditingkatkan sehingga perbedaan antara dua pemindaian pada orang yang sama menjadi lebih rendah (misalnya, kurang dari 10% bit flip), maka sistem dapat menyimpan bit koreksi kesalahan dalam jumlah yang lebih kecil. iris hash , alih-alih menyimpan hash iris lengkap (lihat: Fuzzy Extractor). Jika perbedaan antara dua pemindaian kurang dari 10%, jumlah bit yang perlu dipublikasikan akan dikurangi setidaknya 5 kali lipat.
2. Jika kita ingin melangkah lebih jauh, kita dapat menyimpan database hash iris dalam sistem komputasi multi-partai (MPC) yang hanya dapat diakses oleh Orbs (dengan batas kecepatan), membuat data sepenuhnya tidak dapat diakses, tetapi pada saat yang sama biaya pengelolaan kompleksitas Protokol MPC dan kompleksitas sosial dari kumpulan aktor. Keuntungannya adalah pengguna tidak dapat membuktikan hubungan antara dua ID Dunia berbeda yang mereka miliki pada waktu berbeda, meskipun mereka menginginkannya.
Sayangnya, teknik ini tidak cocok untuk Proof of Humanity, yang mengharuskan video lengkap setiap peserta dirilis agar dapat ditantang jika ada tanda-tanda bahwa video tersebut palsu (termasuk video palsu yang dibuat oleh AI), dan melakukan pemeriksaan yang lebih detail. penyelidikan dalam kasus ini.
Secara keseluruhan, meskipun ada nuansa distopia saat menatap bola dan memindai bola mata Anda secara mendalam, sistem perangkat keras khusus tampaknya cukup berhasil melindungi privasi. Namun sisi sebaliknya adalah sistem perangkat keras khusus menimbulkan masalah sentralisasi yang lebih besar. Jadi, kami para cypherpunk sepertinya berada dalam kesulitan: kami harus mempertimbangkan satu nilai cypherpunk yang sudah mendarah daging dengan nilai lainnya.
Apa saja permasalahan aksesibilitas dalam sistem identifikasi biometrik?
Perangkat keras khusus menimbulkan masalah aksesibilitas karena perangkat keras khusus kurang dapat diakses. Saat ini, 51% hingga 64% penduduk Afrika sub-Sahara memiliki ponsel pintar, dan proporsi ini diperkirakan akan meningkat menjadi 87% pada tahun 2030. Namun meskipun ada miliaran ponsel cerdas, hanya ada beberapa ratus Orb. Bahkan dengan manufaktur terdistribusi berskala lebih besar, akan sulit untuk mencapai dunia di mana terdapat sebuah bola dalam jarak lima kilometer dari setiap orang.
Perlu juga dicatat bahwa banyak bentuk kepribadian lain yang terbukti memiliki masalah aksesibilitas yang lebih buruk. Bergabung dengan sistem pemeriksaan kepribadian berbasis grafik sosial sangat sulit kecuali Anda sudah mengenal seseorang di grafik sosial. Hal ini memudahkan sistem tersebut untuk dibatasi hanya pada satu komunitas di satu negara.
Bahkan sistem identitas terpusat pun telah mempelajari pelajaran ini: Sistem ID Aadhaar di India berbasis biometrik karena merupakan satu-satunya cara untuk dengan cepat menerima populasi yang sangat besar sekaligus menghindari penipuan besar-besaran dari akun duplikat dan palsu (sehingga menghemat biaya besar), dan tentu saja Aadhaar sistem secara keseluruhan jauh lebih lemah dalam hal privasi dibandingkan sistem apa pun yang diusulkan dalam skala besar dalam komunitas kripto.
Dari perspektif aksesibilitas, sistem yang berkinerja terbaik sebenarnya adalah sistem seperti Proof of Humanity, di mana Anda dapat mendaftar hanya dengan menggunakan ponsel cerdas Anda - meskipun, seperti yang telah dan akan kita lihat, sistem seperti itu menimbulkan berbagai trade-off lainnya.
Apa saja permasalahan sentralisasi pada sistem identifikasi biometrik?
Ada tiga jenis:
1. Risiko sentralisasi dalam tata kelola sistem tingkat atas (terutama sistem yang membuat keputusan akhir tingkat atas ketika peserta yang berbeda dalam sistem memiliki penilaian subjektif yang tidak konsisten).
2. Risiko sentralisasi yang unik pada sistem yang menggunakan perangkat keras khusus.
3. Jika algoritme kepemilikan digunakan untuk menentukan siapa peserta sebenarnya, terdapat risiko sentralisasi.
Sistem identifikasi apa pun harus memenuhi (1), kecuali mungkin sistem yang kumpulan ID yang "diterima" sepenuhnya subjektif. Jika suatu sistem menggunakan insentif dalam bentuk aset eksternal (misalnya ETH, USDC, DAI) maka sistem tersebut tidak dapat sepenuhnya subjektif dan oleh karena itu risiko tata kelola tidak dapat dihindari.
2. Untuk WorldCoin, risikonya jauh lebih besar daripada bukti manusia (atau BrightID) karena WorldCoin bergantung pada perangkat keras khusus, yang tidak dimiliki sistem lain.
3. Ini adalah sebuah risiko, terutama dalam sistem yang "terpusat secara logis" di mana hanya satu sistem yang melakukan verifikasi, kecuali semua algoritme adalah sumber terbuka dan kami dapat menjamin bahwa algoritme tersebut benar-benar menjalankan kode yang diklaimnya. Untuk sistem yang hanya mengandalkan pengguna yang memverifikasi pengguna lain (seperti bukti kemanusiaan), hal ini tidak menimbulkan risiko.
Bagaimana Worldcoin mengatasi masalah sentralisasi perangkat keras?
Saat ini, entitas yang berafiliasi dengan WorldCoin “Tools for Humanity” adalah satu-satunya organisasi yang memproduksi Orb. Namun, kode sumber Orb sebagian besar bersifat publik: Anda dapat melihat spesifikasi perangkat keras di repositori github ini, dan kode sumber lainnya diharapkan segera dirilis. Lisensi tersebut adalah salah satu lisensi "berbagi kode sumber tetapi secara teknis tidak menjadi sumber terbuka hingga empat tahun kemudian" yang mirip dengan Uniswap BSL, dan selain mencegah percabangan, ini juga mencegah apa yang mereka anggap sebagai perilaku tidak etis - Mereka memilih pengawasan massal dan tiga deklarasi hak-hak sipil internasional pada khususnya.
Tujuan yang dinyatakan oleh tim ini adalah untuk memungkinkan dan mendorong organisasi lain untuk membuat Orb dan, seiring berjalannya waktu, transisi dari Orb yang dibuat oleh Tools for Humanity menjadi memiliki semacam DAO yang menyetujui dan mengelola organisasi mana yang dapat membuat Orb yang disetujui oleh sistem.
Rancangan ini bisa gagal dalam dua hal: Gagal untuk benar-benar terdesentralisasi. Hal ini mungkin terjadi karena adanya kesalahan umum dalam perjanjian bersama: satu produsen akhirnya mendominasi praktik, sehingga menyebabkan resentralisasi sistem. Agaknya tata kelola dapat membatasi jumlah lahan yang dapat diproduksi oleh masing-masing produsen, namun hal ini perlu dikelola dengan hati-hati, dan hal ini memberikan banyak tekanan pada tata kelola untuk mendesentralisasikan dan memantau ekosistem serta secara efektif Menangani Ancaman: Ini adalah hal yang lebih sulit tugas daripada yang lain. DAO yang cukup statis yang hanya menangani tugas penyelesaian sengketa tingkat atas.
1. Ternyata mekanisme manufaktur terdistribusi ini tidak mungkin aman. Di sini saya melihat dua risiko:
○ Kerentanan terhadap pembuat Orb jahat: Meskipun pembuat Orb berbahaya atau diretas, pembuat Orb tersebut dapat menghasilkan hash pemindaian iris mata palsu dalam jumlah tak terbatas dan memberi mereka ID Dunia.
○ Pembatasan pemerintah terhadap Orb: Pemerintah yang tidak ingin warganya berpartisipasi dalam ekosistem WorldCoin dapat melarang Orb memasuki negaranya. Selain itu, mereka bahkan bisa memaksa warga untuk memindai iris mata mereka untuk memberi pemerintah akses ke rekening mereka, tanpa ada cara bagi warga untuk merespons.
Untuk membuat sistem lebih kuat terhadap produsen Orb yang buruk, tim Worldcoin merekomendasikan audit rutin terhadap Orb untuk memverifikasi bahwa Orb tersebut dibuat dengan benar, bahwa komponen perangkat keras utama dibuat sesuai dengan spesifikasi, dan tidak dirusak setelah kejadian tersebut. Ini adalah tugas yang menantang: Pada dasarnya seperti birokrasi inspeksi nuklir IAEA, tapi untuk Orbs. Kami berharap meskipun penerapan sistem audit sangat tidak sempurna, hal ini akan mengurangi jumlah pengaturan skor secara signifikan.
Untuk membatasi kerusakan dari bola buruk yang lolos, masuk akal untuk melakukan mitigasi kedua. ID Dunia yang didaftarkan oleh produsen bola berbeda harus dapat membedakan satu sama lain. Tidak apa-apa jika informasi ini bersifat pribadi dan hanya disimpan di perangkat pemegang ID Dunia; namun memerlukan bukti berdasarkan permintaan. Hal ini memungkinkan ekosistem untuk merespons serangan (yang tidak dapat dihindari) dengan menghapus produsen Orb individual atau bahkan Orb individual dari daftar putih sesuai permintaan. Jika kita melihat pemerintah memaksa orang untuk memindai bola mata mereka, bola-bola ini, dan akun apa pun yang mereka buat, kemungkinan besar akan segera dilarang secara surut.
Masalah keamanan dalam sertifikasi kepribadian umum
Selain masalah khusus WorldCoin, ada juga masalah yang berdampak pada desain ID secara keseluruhan. Yang utama yang dapat saya pikirkan adalah:
1. Boneka yang dicetak 3D: Orang dapat menggunakan kecerdasan buatan untuk menghasilkan foto boneka, bahkan boneka yang dicetak 3D, yang bahkan cukup meyakinkan untuk diterima oleh perangkat lunak Orb. Sekalipun hanya satu kelompok yang melakukan hal ini, mereka dapat menghasilkan identitas yang jumlahnya tidak terbatas.
2. Kemungkinan menjual ID: Seseorang dapat memberikan kunci publik orang lain alih-alih kunci publiknya sendiri saat mendaftar, sehingga orang tersebut dapat mengontrol ID yang didaftarkannya dengan imbalan uang. Hal ini tampaknya telah terjadi. Selain untuk dijual, ID juga bisa disewa untuk penggunaan jangka pendek dalam suatu aplikasi.
3. Peretasan Telepon: Jika telepon seseorang diretas, peretas dapat mencuri kunci yang mengontrol ID Dunia mereka.
4. Pencurian identitas secara paksa: Pemerintah dapat mewajibkan warganya untuk melakukan verifikasi ketika menunjukkan kode QR milik pemerintah. Dengan cara ini, pemerintah yang jahat dapat memperoleh jutaan identitas. Dalam sistem biometrik, hal ini bahkan dapat dilakukan secara terselubung: pemerintah dapat menggunakan bidang pengaburan untuk mengambil kartu identitas dunia dari setiap orang yang memasuki negaranya melalui pemeriksaan paspor.
1. Khusus untuk sistem identifikasi biometrik. (2) dan (3) umum terjadi pada desain biometrik dan non-biometrik. (4) juga umum terjadi pada keduanya, meskipun teknik yang diperlukan dalam kedua kasus tersebut sangat berbeda; pada bagian ini saya akan fokus pada masalah dalam kasus biometrik.
Ini adalah kelemahan yang cukup serius. Beberapa permasalahan telah diatasi dalam protokol yang ada, beberapa dapat diatasi dengan perbaikan di masa depan, dan beberapa lainnya tampaknya merupakan keterbatasan mendasar.
Apa yang harus kita lakukan ketika berhadapan dengan orang-orang munafik?
Bagi WorldCoin, risikonya jauh lebih kecil dibandingkan sistem seperti Proof of Humanity: pemindaian tatap muka dapat memeriksa banyak karakteristik seseorang dan lebih sulit dipalsukan dibandingkan sekadar video deepfake. Perangkat keras khusus pada dasarnya lebih sulit untuk dipalsukan dibandingkan perangkat keras komersial, yang pada gilirannya lebih sulit untuk dipalsukan dibandingkan algoritma digital yang mengautentikasi gambar dan video yang dikirim dari jarak jauh.
Bisakah seseorang akhirnya mengelabui perangkat keras khusus untuk mencetak 3D? mungkin. Saya memperkirakan bahwa pada titik tertentu kita akan melihat peningkatan ketegangan antara tujuan menjaga mekanisme tetap terbuka dan mengamankannya: algoritma AI open source secara inheren lebih rentan terhadap pembelajaran mesin yang merugikan. Algoritme kotak hitam lebih terlindungi, namun sulit untuk membantah bahwa algoritme kotak hitam tidak dilatih untuk menampung pintu belakang. Mungkin teknologi ZK-ML dapat memberi kita yang terbaik dari kedua hal tersebut. Meskipun suatu saat di masa depan yang lebih jauh, bahkan algoritme AI terbaik pun mungkin akan tertipu oleh boneka cetakan 3D terbaik.
Namun, dari diskusi saya dengan tim Worldcoin dan Proof of Humanity, sejauh ini tampaknya tidak ada protokol yang mengalami serangan deepfake yang serius, karena alasan sederhana bahwa mempekerjakan pekerja berupah rendah untuk mendaftar atas nama Anda cukup murah dan mudah.
Bisakah kita mencegah penjualan ID?
Dalam jangka pendek, menghentikan outsourcing ini akan sulit karena kebanyakan orang di dunia bahkan tidak tahu tentang protokol ID, dan jika Anda menyuruh mereka untuk menunjukkan kode QR dan memindai mata mereka untuk mendapatkan $30, mereka akan melakukannya. . Ketika semakin banyak orang menyadari apa itu protokol ID, mitigasi yang cukup sederhana menjadi mungkin: izinkan orang-orang dengan ID terdaftar untuk mendaftar ulang, dan membatalkan ID mereka sebelumnya. Hal ini membuat "ID untuk dijual" menjadi kurang kredibel, karena orang yang menjual ID tersebut kepada Anda dapat mendaftar ulang, sehingga membatalkan ID yang baru saja mereka jual. Namun, untuk mencapai titik ini, protokolnya harus diketahui dan Orb harus digunakan secara luas agar pendaftaran sesuai permintaan dapat dilakukan.
Inilah salah satu alasan mengapa mengintegrasikan UBI Coin ke dalam sistem bukti identitas sangat berharga: UBI Coin memberikan insentif yang mudah dipahami bagi orang-orang untuk (i) memahami protokol dan mendaftar, dan (ii) jika mereka mewakili orang lain Mendaftar, lalu segera daftar ulang. Pendaftaran ulang juga melindungi terhadap peretasan telepon.
Bisakah kita mencegah pemaksaan dalam sistem biometrik?
Itu tergantung pada jenis paksaan apa yang sedang kita bicarakan. Bentuk-bentuk pemaksaan yang mungkin terjadi antara lain:
● Pemerintah memindai mata (atau wajah, atau…) orang-orang di pos pemeriksaan perbatasan dan pos pemeriksaan rutin pemerintah lainnya, dan menggunakannya untuk mendaftarkan (dan sering kali mendaftarkan ulang) warga negaranya
● Pemerintah melarang Orb di negaranya untuk mencegah orang mendaftar ulang secara mandiri
● Setelah membeli KTP, ada oknum yang mengancam akan mencelakainya jika KTP miliknya diketahui tidak berlaku karena registrasi ulang.
● Aplikasi (mungkin dijalankan oleh pemerintah) mengharuskan orang untuk "masuk" secara langsung dengan tanda tangan kunci publik, sehingga mereka dapat melihat pemindaian biometrik yang sesuai, dan tautan antara ID pengguna saat ini dan ID masa depan yang mereka peroleh dengan mendaftar ulang . Terdapat kekhawatiran luas bahwa hal ini akan mempermudah pembuatan “catatan permanen” yang dapat bertahan seumur hidup.
Terutama di tangan pengguna yang tidak terampil, mencegah situasi ini sepenuhnya bisa terasa cukup sulit. Pengguna dapat meninggalkan negaranya dan (kembali) mendaftar di Orb di negara yang lebih aman, tetapi ini adalah proses yang sulit dan mahal. Dalam lingkungan hukum yang benar-benar tidak bersahabat, menemukan bola independen tampaknya terlalu sulit dan berisiko.
Yang berhasil adalah menjadikan penyalahgunaan ini lebih mengganggu dan lebih mudah dideteksi. Metode pembuktian kemanusiaan yang mengharuskan seseorang mengucapkan frasa tertentu saat mendaftar adalah contoh yang baik: ini mungkin cukup untuk mencegah pemindaian rahasia, mengharuskan penegakan hukum yang lebih terang-terangan, dan frasa pendaftaran bahkan mungkin menyertakan pernyataan yang mengonfirmasi bahwa orang tersebut sedang diselidiki mengetahui bahwa mereka mempunyai hak Mendaftar ulang secara mandiri dan dapat menerima koin UBI atau hadiah lainnya. Jika penegakan hukum terdeteksi, akses ke perangkat yang digunakan untuk menegakkan penegakan hukum secara kolektif dapat dicabut. Untuk mencegah aplikasi menghubungkan ID orang-orang saat ini dan sebelumnya dan mencoba meninggalkan "catatan permanen", aplikasi pemeriksaan identitas default dapat mengunci kunci pengguna di perangkat keras tepercaya, mencegah aplikasi apa pun menggunakan kunci tersebut secara langsung Dibutuhkan. Jika pemerintah atau pengembang aplikasi ingin mengatasi masalah ini, mereka perlu mewajibkan penggunaan aplikasi khusus mereka sendiri.
Dengan mengombinasikan teknik-teknik ini dan kewaspadaan aktif, tampaknya mungkin untuk mencegah rezim-rezim yang benar-benar bermusuhan dan menjaga kejujuran terhadap rezim-rezim yang tingkat keburukannya sedang (seperti yang terjadi di sebagian besar negara di dunia). Hal ini dapat dicapai dengan proyek-proyek seperti Worldcoin atau Proof of Humanity yang mempertahankan birokrasi mereka sendiri, atau dengan mengungkapkan lebih banyak informasi tentang bagaimana ID didaftarkan (misalnya, di Worldcoin, dari mana Orb itu berasal) dan menjadikannya tugas klasifikasi diserahkan kepada masyarakat. Bisakah kita mencegah penyewaan tanda pengenal (misalnya menjual suara)?
Mendaftar ulang tidak akan menghalangi ID Anda untuk disewakan. Hal ini diperbolehkan dalam beberapa permohonan: biaya menyewakan hak Anda untuk menerima bagian koin UBI hari itu akan sama dengan nilai bagian koin UBI hari itu. Namun dalam aplikasi seperti voting, menjual tiket dengan mudah adalah masalah besar.
Sistem seperti MACI dapat mencegah Anda menjual suara Anda secara kredibel, memungkinkan Anda untuk memberikan suara lagi di kemudian hari, membatalkan suara Anda sebelumnya sehingga tidak ada yang tahu apakah Anda benar-benar memberikan suara tersebut. Namun, hal ini tidak akan membantu jika penyuap mengontrol kunci yang diberikan kepada Anda saat mendaftar.
Saya melihat dua solusi di sini:
1. Jalankan seluruh aplikasi dalam MPC. Hal ini juga mencakup proses pendaftaran ulang: ketika seseorang mendaftar ke MPC, MPC memberikan mereka ID yang terpisah dan tidak dapat dihubungkan dengan ID identifikasi mereka, dan ketika seseorang mendaftar ulang, hanya MPC yang mengetahui akun mana yang harus dinonaktifkan. . Hal ini mencegah pengguna untuk membuktikan tindakan mereka, karena setiap langkah penting diselesaikan dalam MPC menggunakan informasi pribadi yang hanya diketahui oleh MPC.
2. Upacara pendaftaran yang terdesentralisasi. Pada dasarnya, terapkan protokol yang mirip dengan protokol registrasi kunci tatap muka, yang memerlukan empat peserta lokal yang dipilih secara acak untuk bersama-sama mendaftarkan seseorang. Hal ini memastikan bahwa pendaftaran adalah proses "tepercaya" di mana penyerang tidak dapat mengintai.
Sistem berbasis grafik sosial mungkin memiliki kinerja yang lebih baik di sini, karena sistem tersebut dapat secara otomatis menciptakan proses pendaftaran lokal yang terdesentralisasi sebagai produk sampingan dari cara kerjanya.
Bagaimana biometrik dibandingkan dengan kandidat utama lainnya untuk bukti identitas (verifikasi berbasis grafik sosial)?
Selain metode biometrik, pesaing utama bukti kepribadian lainnya sejauh ini adalah verifikasi berbasis grafik sosial. Sistem verifikasi berbasis grafik sosial semuanya bekerja dengan prinsip yang sama: jika ada sekelompok identitas terverifikasi yang membuktikan validitas identitas Anda, maka Anda mungkin valid dan juga harus mendapatkan status terverifikasi.
Pendukung otentikasi berbasis grafik sosial sering menggambarkannya sebagai alternatif biometrik yang lebih baik karena alasan berikut:
● Tidak bergantung pada perangkat keras khusus, sehingga lebih mudah untuk diterapkan
● Hal ini menghindari perlombaan senjata terus-menerus antara produsen yang mencoba membuat boneka dan Orb yang perlu diperbarui untuk menolak boneka tersebut
● Tidak perlu mengumpulkan data biometrik, lebih banyak perlindungan privasi
● Ini mungkin lebih bersifat nama samaran karena jika seseorang memilih untuk membagi kehidupan internetnya menjadi beberapa identitas yang terpisah satu sama lain, kedua identitas tersebut dapat diverifikasi (tetapi mempertahankan beberapa identitas yang nyata dan independen akan mengorbankan efek jaringan dan biayanya tinggi , jadi itu bukan sesuatu yang bisa dilakukan penyerang dengan mudah)
● Metode biometrik memberikan skor biner "adalah manusia" atau "bukan manusia", yang bersifat rapuh: orang yang ditolak secara tidak sengaja tidak akan mendapatkan UBI sama sekali, dan mungkin tidak dapat berpartisipasi dalam kehidupan online. Metode berbasis grafik sosial dapat memberikan skor numerik yang lebih terperinci, yang tentu saja mungkin sedikit tidak adil bagi sebagian peserta, namun kecil kemungkinannya untuk sepenuhnya "mendepersonalisasikan" seseorang.
Pendapat saya terhadap argumen-argumen ini adalah pada dasarnya saya setuju dengan argumen-argumen tersebut! Ini adalah keuntungan nyata dari pendekatan berbasis grafik sosial dan harus ditanggapi dengan serius. Namun, ada baiknya juga mempertimbangkan kelemahan pendekatan berbasis grafik sosial:
● Panduan: Agar pengguna dapat bergabung dengan sistem berbasis grafik sosial, pengguna harus mengenal seseorang yang sudah ada dalam grafik. Hal ini membuat adopsi massal menjadi sulit dan berisiko mengecualikan seluruh wilayah di dunia yang kurang beruntung selama proses booting awal.
● Privasi: Meskipun pendekatan berbasis grafik sosial menghindari pengumpulan data biometrik, pendekatan tersebut sering kali justru mengungkapkan informasi tentang hubungan sosial seseorang, sehingga dapat menimbulkan risiko yang lebih besar. Tentu saja, teknik tanpa pengetahuan dapat mengurangi hal ini (lihat, misalnya, proposal Barry Whitehat), tetapi saling ketergantungan yang melekat dalam grafik dan kebutuhan untuk melakukan analisis matematis pada grafik membuat pencapaian tingkat penyembunyian data yang sama dengan biometrik menjadi lebih sulit.
● Ketimpangan: Setiap orang hanya dapat memiliki satu ID biometrik, namun orang kaya dan memiliki koneksi yang baik dapat menggunakan koneksi mereka untuk menghasilkan banyak ID. Pada dasarnya, fleksibilitas yang sama memungkinkan sistem berbasis grafik sosial untuk menyediakan beberapa nama samaran bagi orang-orang yang benar-benar membutuhkan fitur tersebut (seperti aktivis), yang mungkin juga berarti bahwa orang-orang yang lebih berkuasa dan memiliki koneksi yang baik bisa mendapatkan lebih banyak daripada orang-orang dengan kekuasaan yang lebih kecil. dan koneksi yang lebih baik memiliki lebih banyak nama samaran.
● Resiko terjerumus ke dalam sentralisasi: Kebanyakan orang terlalu malas untuk meluangkan waktu untuk melaporkan ke aplikasi Internet siapa yang benar-benar ada dan siapa yang bukan. Oleh karena itu terdapat risiko bahwa, seiring berjalannya waktu, sistem akan cenderung ke arah pendekatan naturalisasi yang “sederhana” yang bergantung pada otoritas terpusat, dan bahwa “grafik sosial” pengguna sistem akan menjadi peta sosial yang diakui oleh negara-negara. siapa sebagai warga negara. Grafik – memberi kita KYC terpusat dan langkah-langkah tambahan yang tidak perlu.
Apakah sertifikasi kepribadian kompatibel dengan nama samaran di dunia nyata?
Pada prinsipnya, bukti kepribadian kompatibel dengan berbagai nama samaran. Aplikasi ini dirancang sedemikian rupa sehingga seseorang dengan satu ID identifikasi dapat membuat hingga lima profil dalam aplikasi, sehingga memberikan ruang untuk akun nama samaran. Anda bahkan dapat menggunakan rumus kuadrat: N sama dengan biaya $N². Tapi apakah mereka akan melakukannya?
Namun, orang yang pesimis mungkin berargumentasi bahwa adalah suatu hal yang naif untuk mencoba membuat bentuk tanda pengenal yang lebih ramah privasi dan berharap bahwa bentuk tanda pengenal tersebut benar-benar diadopsi dengan cara yang benar, karena mereka yang berkuasa tidak ramah privasi dan merupakan tindakan yang kuat. seseorang diberikan alat yang dapat mereka gunakan untuk memperoleh lebih banyak informasi tentang seseorang, mereka akan menggunakannya dengan cara ini. Sayangnya, ada argumen bahwa di dunia seperti ini, satu-satunya pendekatan realistis adalah mengabaikan solusi identitas apa pun dan mempertahankan dunia silo digital yang sepenuhnya anonimitas dan komunitas dengan kepercayaan tinggi.
Saya memahami alasan di balik cara berpikir ini, namun saya khawatir bahwa pendekatan ini, meskipun berhasil, akan mengarah pada dunia di mana tidak ada seorang pun yang dapat melakukan apa pun untuk melawan konsentrasi kekayaan dan konsentrasi pemerintahan, karena satu orang selalu dapat berpura-pura melakukan hal tersebut. menjadi 10.000. Pada gilirannya, titik-titik kekuasaan yang terpusat seperti itu dengan mudah dapat dikuasai oleh mereka yang berkuasa. Sebaliknya, saya lebih memilih untuk mengambil pendekatan yang lebih lembut, di mana kami sangat menganjurkan solusi pemeriksaan identitas dengan privasi yang kuat, bahkan mungkin menyertakan mekanisme "N akun untuk $N²" di lapisan protokol jika diperlukan, dan menciptakan nilai-nilai ramah privasi dan Sesuatu yang mempunyai peluang untuk diterima oleh dunia luar.
Jadi...bagaimana menurutku?
Tidak ada bentuk pembuktian karakter yang ideal. Sebaliknya, kita memiliki setidaknya tiga paradigma metodologi yang berbeda, yang masing-masing mempunyai kekuatan dan kelemahan uniknya sendiri. Bagan perbandingan mungkin terlihat seperti ini:
Idealnya, kita harus memandang ketiga teknologi ini sebagai saling melengkapi dan menggabungkan semuanya. Seperti yang ditunjukkan oleh Aadhaar di India, biometrik perangkat keras khusus memiliki keunggulan keamanan dalam skala besar. Mereka sangat lemah dalam hal desentralisasi, meskipun hal ini dapat diatasi dengan memberikan kewenangan pada masing-masing sektor. Biometrik universal mudah diadopsi saat ini, namun keamanannya menurun dengan cepat dan mungkin hanya berfungsi untuk 1-2 tahun ke depan. Sistem yang didasarkan pada grafik sosial, yang dipandu oleh ratusan orang yang secara sosial dekat dengan tim pendiri, mungkin menghadapi trade-off yang terus-menerus, yaitu kehilangan sebagian besar dunia atau menjadi rentan terhadap serangan di komunitas yang tidak dapat mereka lihat. Namun, sistem berbasis grafik sosial yang dibangun oleh puluhan juta pemegang ID biometrik sebenarnya bisa berfungsi. Panduan biometrik mungkin bekerja lebih baik dalam jangka pendek,
Semua tim ini berpotensi melakukan banyak kesalahan, dan terdapat ketegangan yang tidak dapat dihindari antara kepentingan komersial dan kebutuhan masyarakat luas, sehingga penting untuk tetap waspada. Sebagai sebuah komunitas, kita dapat dan harus mendorong zona nyaman semua peserta dalam hal teknologi open source, yang memerlukan audit pihak ketiga dan bahkan perangkat lunak yang ditulis oleh pihak ketiga, serta checks and balances lainnya. Kita juga memerlukan lebih banyak alternatif pada ketiga kategori ini.
Pada saat yang sama, penting untuk mengakui pekerjaan yang telah dilakukan: banyak tim yang menjalankan sistem ini telah menunjukkan kesediaan untuk menganggap privasi lebih serius daripada hampir semua sistem identitas yang dijalankan oleh pemerintah atau perusahaan besar, dan ini merupakan keberhasilan yang harus kita teruskan. untuk bekerja menuju.
Masalah dalam membangun sistem pembuktian identitas yang efisien dan andal, terutama di tangan seseorang yang jauh dari komunitas kripto yang ada, tampaknya cukup menantang. Saya jelas tidak iri pada mereka yang mencoba melakukan tugas ini, dan mungkin diperlukan waktu bertahun-tahun untuk menemukan formula yang berhasil. Pada prinsipnya, konsep bukti kepribadian nampaknya sangat berharga, dan meskipun berbagai penerapannya mempunyai risiko, tidak memiliki bukti kepribadian sama sekali juga memiliki risiko: dunia tanpa bukti kepribadian tampaknya lebih cenderung didominasi oleh identitas yang terpusat. solusi, uang, komunitas kecil yang terjaga keamanannya, atau kombinasi ketiganya. Saya berharap dapat melihat lebih banyak kemajuan dalam semua jenis sertifikasi karakter, dan melihat pendekatan-pendekatan yang berbeda akhirnya bersatu menjadi satu kesatuan yang koheren.