Ieri è stato lanciato ufficialmente Worldcoin, un progetto di crittografia co-fondato dal fondatore di OpenAI Sam Altman. Si tratta di un progetto di sistema di identità crittografato che genera e verifica l'ID mondiale (identità) per gli utenti scansionando l'iride dell'utente utilizzando lo scanner oculare Orb.

Lo stesso giorno, Ethereum LianVin ha pubblicato un articolo "Cosa penso della prova biometrica della personalità?", spiegando le sue opinioni su Worldcoin e sulla prova dell'identità umana. Il Baize Research Institute ha compilato quanto segue:

Le persone nella comunità di Ethereum hanno cercato di costruire una soluzione decentralizzata a The Proof of Humanity, che è sempre stato uno dei problemi più difficili ma preziosi. L'ID umano è una forma limitata di identità del mondo reale che consente a un account registrato di essere controllato da una persona reale, idealmente senza rivelare la persona reale dietro di esso.

La comunità crittografica ha già compiuto molti sforzi per cercare di risolvere questo problema: BrightID, Idena e Circles sono esempi rappresentativi. Alcuni di essi vengono forniti con le proprie applicazioni (solitamente token UBI) e alcuni hanno trovato soluzioni alternative in Gitcoin Passport per verificare quali account sono validi per il voto secondario. Le tecnologie a conoscenza zero come Sismo aggiungono privacy a molte soluzioni simili.

Solo di recente abbiamo assistito alla nascita di un progetto di identità umana più ampio e ambizioso: Worldcoin.

Worldcoin è stata fondata da Sam Altman, precedentemente noto per essere il CEO di OpenAI. L'idea alla base del progetto è semplice: l'intelligenza artificiale (AI) creerà molta ricchezza per l'umanità, ma potrebbe anche uccidere molti posti di lavoro, perché alla fine l'intelligenza artificiale si svilupperà al punto che sarà quasi impossibile dire chi è un essere umano e non un robot. Quindi dobbiamo riempire questo buco:

(1) Creare un ottimo sistema di identificazione umana in modo che gli esseri umani possano dimostrare di essere effettivamente persone reali;

(2) Fornire UBI a tutti. Worldcoin è unico in quanto si basa su una tecnologia biometrica altamente sofisticata, utilizzando ciò che è noto come

L'hardware specializzato di "Orb" scansiona l'iride di ciascun utente.

L'obiettivo di Worldcoin è produrre grandi quantità di queste "sfere" e distribuirle ampiamente in tutto il mondo, collocandole in luoghi pubblici in modo che chiunque possa ottenere facilmente il proprio ID: un World ID.

A suo merito, Worldcoin è anche impegnata nello sviluppo della decentralizzazione. Ciò significa decentralizzare la tecnologia: utilizzare OP Stack per diventare L2 di Ethereum e utilizzare ZK-SNARK e altre tecnologie di crittografia per proteggere la privacy degli utenti, ma includere anche una governance decentralizzata del sistema stesso. Worldcoin è stata criticata per le preoccupazioni relative alla privacy e alla sicurezza di Orb, per i problemi con la progettazione del suo token e per l'etica di alcune delle scelte fatte dall'azienda. In effetti, il progetto Worldcoin stesso è ancora in fase di revisione e sviluppo. Tuttavia, alcuni hanno sollevato preoccupazioni più fondamentali sul fatto che la biometria - non solo la biometria a scansione oculare di Worldcoin ma anche i più semplici caricamenti e verifiche di video facciali utilizzati in Proof of Humanity e Idena - otterranno il riconoscimento del pubblico?

Non mancano certamente le critiche a questi progetti, poiché i rischi includono inevitabili violazioni della privacy, ulteriore erosione della capacità delle persone di navigare in Internet in modo anonimo, coercizione da parte di governi autoritari e come mantenere la sicurezza pur essendo decentralizzati.

Questo articolo discuterà di questi problemi e fornirà alcuni argomenti per aiutarti a decidere se scansionare le tue iridi davanti allo strumento “sferico” di Worldcoin è una buona idea? E quali sono le alternative alla rinuncia allo sviluppo di prove di identità umana?

Cos’è un sistema di identificazione umana e perché è importante?

Il modo più semplice per definire un sistema di prova dell'identità è creare un elenco di chiavi pubbliche e il sistema garantisce che ciascuna chiave sia controllata da una persona univoca. In altre parole, se sei un essere umano, puoi inserire una chiave nell'elenco, ma non puoi inserirne due, e se sei un robot, non puoi inserire nessuna chiave nell'elenco.

L’identificazione umana è preziosa perché risolve i problemi di anti-spam e anti-centralizzazione del potere affrontati da molti in un modo che evita la dipendenza dall’autorità centralizzata e rivela la minor quantità di informazioni possibile. Se la verifica dell’identità umana non viene affrontata, la governance decentralizzata (inclusa la “micro-governance” come il voto sui post sui social media) diventerà più facilmente controllata da attori molto ricchi, compresi i governi ostili. Molti servizi possono proteggersi dagli attacchi Denial of Service solo fissando un prezzo per l’accesso, e talvolta un prezzo sufficientemente alto da escludere gli aggressori è anche troppo alto per molti utenti legittimi a basso reddito.

Molte delle principali applicazioni nel mondo oggi affrontano questo problema utilizzando sistemi di identità sostenuti dal governo come carte d'identità e passaporti. Ciò risolve il problema, ma comporta un enorme e inaccettabile sacrificio in termini di privacy e potrebbe essere soggetto ad attacchi minori da parte del governo stesso.

In molti progetti di identità umana - non solo Worldcoin, ma anche "applicazioni di punta" come Circles hanno un codice "token accessibile a tutti" incorporato (noto anche come "token UBI"). Ogni utente registrato nel sistema riceve un numero fisso di token ogni giorno (o ogni ora o ogni settimana). Esistono molte altre applicazioni, tra cui:

- Meccanismo Airdrop per la distribuzione dei token

- Vendita di token o NFT con condizioni migliori per gli utenti meno abbienti

- Vota nel DAO

- Come inizializzare il sistema di reputazione grafica

- Voto secondario (pagamento di fondi e attenzione)

- Protezione dagli attacchi bot/sybil nei social media

- Alternativa CAPTCHA per prevenire attacchi DoS

In molti di questi casi, il tema comune è la creazione di meccanismi aperti e democratici che evitino il controllo centralizzato da parte degli operatori del progetto e il dominio degli utenti più ricchi. Quest’ultimo è particolarmente importante nella governance decentralizzata.

In situazioni come questa, le soluzioni esistenti oggi si basano su:

(1) Algoritmi di intelligenza artificiale altamente opachi che effettuano una discriminazione non rilevabile nei confronti degli utenti che non piacciono all'operatore

(2) Identità centralizzata, vale a dire "KYC".

Una soluzione efficiente di verifica dell’identità sarebbe quindi un’opzione migliore per ottenere le proprietà di sicurezza richieste da queste applicazioni senza cadere nelle trappole degli approcci centralizzati esistenti.

Quali furono alcuni dei primi tentativi di identificazione umana?

Esistono due forme principali di identificazione umana: i grafici sociali e la biometria.

La prova dell'identità umana basata sui grafici sociali si basa su una qualche forma di prova: se Alice, Bob, Charlie e David sono tutti esseri umani verificati, e tutti dicono che Emily è un essere umano verificato, allora Emily è probabilmente anche un essere umano verificato .

Questa giustificazione è spesso rafforzata da incentivi: se Alice dice che Emily è una persona reale, ma si scopre che non lo è, allora sia Alice che Emily potrebbero essere punite.

L'identificazione umana basata sulla biometria prevede la verifica di alcune caratteristiche fisiche o comportamentali di Emily che distinguono gli esseri umani dai robot (e i singoli esseri umani gli uni dagli altri).

La maggior parte dei progetti utilizza una combinazione di queste due tecnologie.

I quattro sistemi che ho menzionato all’inizio di questo articolo sono più o meno i seguenti:

(1) Prova di umanità: carichi il tuo video e fornisci un deposito. Per essere approvati, gli utenti esistenti devono garantire per te e altri sfidanti ti sfideranno per un periodo di tempo. Se c'è uno sfidante, il tribunale decentralizzato di Kleros verificherà se il tuo video è autentico, in caso contrario, il deposito verrà incamerato e lo sfidante riceverà la ricompensa;

(2) BrightID: partecipi a una videochiamata "gruppo di verifica" con altri utenti e tutti si verificano a vicenda. Con Bitu, puoi ottenere un livello di verifica più elevato purché un numero sufficiente di altri utenti verificati da Bitu garantiscano per te.

(3) Idena: devi giocare a un gioco CAPTCHA in un momento specifico (per evitare che le persone partecipino più di una volta, parte del gioco CAPTCHA implica la creazione e la verifica di CAPTCHA che verranno utilizzati per verificare gli altri);

(4) Cerchio: gli utenti Circle esistenti sono tenuti a garantire per te. Circles è unico in quanto non tenta di creare un "ID verificabile globale", crea invece un grafico di fiducia in cui l'affidabilità di qualcuno può essere verificata solo dalla tua posizione in quel grafico;

Come funziona WorldCoin?

Ogni utente Worldcoin deve installare un'app sul proprio telefono che genera chiavi private e pubbliche, proprio come un portafoglio Ethereum. Dovranno quindi andare offline e trovare di persona la “Sfera” verificabile. Gli utenti fissano la fotocamera di Orb mentre presentano a Orb un codice QR generato dalla loro applicazione Worldcoin che contiene la loro chiave pubblica. Orb scansiona gli occhi dell'utente e utilizza sofisticate scansioni hardware e classificatori di apprendimento automatico per verificare:

(1) Se l'utente è una persona reale; (2) l'iride dell'utente non corrisponde all'iride di nessun altro utente che ha utilizzato il sistema in precedenza.

Se entrambe le scansioni hanno esito positivo, Orb firmerà un messaggio in cui approva l'hash privato della scansione dell'iride dell'utente. Gli hash vengono caricati in un database, attualmente un server centralizzato che sarà sostituito da un sistema on-chain decentralizzato una volta stabilito che il meccanismo di hashing funziona. Il sistema non memorizza la scansione completa dell'iride, memorizza solo gli hash, che vengono utilizzati per verificare l'unicità. Da questo momento in poi l'utente dispone di un "ID mondiale".

I titolari di un ID mondiale sono in grado di dimostrare di essere un essere umano unico generando uno ZK-SNARK per dimostrare di possedere una chiave privata che corrisponde a una chiave pubblica nel database senza rivelare quale chiave possiedono. Quindi, anche se qualcuno scansiona nuovamente le tue iridi, non sarà in grado di vedere nessuna delle azioni che hai intrapreso.

Quali sono i principali problemi con la costruzione di Worldcoin?

Le persone sono principalmente preoccupate per quattro rischi:

(1) Privacy

Il registro delle scansioni dell'iride può rivelare informazioni. Almeno se qualcun altro scansiona le tue iridi, può confrontarlo con un database per determinare se hai un ID mondiale. Una scansione dell'iride potrebbe rivelare di più.

(2) Accessibilità

A meno che non ci siano abbastanza sfere da consentire a chiunque nel mondo di trovarne facilmente una, World ID non sarà accessibile in modo affidabile.

(3) Centralizzazione

Orb è un dispositivo hardware e non possiamo verificare che sia costruito correttamente e non abbia backdoor. Pertanto, anche se il livello software fosse perfetto e completamente decentralizzato, la Worldcoin Foundation avrebbe comunque la possibilità di inserire una backdoor nel sistema, permettendogli di creare quante identità umane false desidera.

(4)Sicurezza

I telefoni degli utenti potrebbero essere hackerati, gli utenti potrebbero essere costretti a scansionare la propria iride mentre presentano una chiave pubblica appartenente a qualcun altro, ed è possibile stampare in 3D un “manichino” e scansionare la propria iride per ottenere un ID mondiale.

È importante distinguere:

(1) Problemi di selezione specifici di Worldcoin;

(2) Problemi inevitabili in qualsiasi sistema di identificazione umana basato sulla biometria;

(3) Problemi che esisteranno in qualsiasi sistema di identificazione umana. Ad esempio, iscriversi a Proof of Humanity significa mettere la propria faccia su internet.

Anche partecipare alla videochiamata “verification party” di BrightID non cambierà completamente la situazione, poiché la tua identità sarà comunque esposta a molte altre persone. Partecipare alle cerchie espone pubblicamente il tuo grafico sociale.

Worldcoin è molto più bravo di entrambi nel proteggere la privacy.

Worldcoin, d'altra parte, fa affidamento su hardware specializzato, il che solleva la questione se ci si possa fidare completamente dei creatori dell'Orb. Questo non si trova in Proof of Humanity, BrightID o Circles. È anche ipotizzabile che in futuro, in futuro, qualcuno possa creare una soluzione hardware dedicata diversa da Worldcoin, che avrà diversi compromessi.

In che modo un sistema di identificazione umana basato sulla biometria affronta i problemi della privacy?

La potenziale violazione della privacy più ovvia e più grande di qualsiasi sistema di identificazione umana è legare le azioni di ogni persona alla sua identità nel mondo reale. Questo tipo di perdita di dati è molto ampia e si può dire che sia inaccettabilmente ampia. Ma fortunatamente è facile risolverlo utilizzando tecniche di prova a conoscenza zero.

Invece di firmare direttamente con una chiave privata la cui chiave pubblica corrispondente si trova nel database, gli utenti possono generare un ZK-SNARK che dimostra di possedere la chiave privata corrispondente a una determinata chiave pubblica nel database, senza rivelare invece quale chiave specifica possiedono di firmare direttamente con la chiave privata corrispondente alla chiave pubblica nel database. Questo può essere fatto utilizzando strumenti come Sismo, mentre Worldcoin ha una propria implementazione integrata. Qui, vale la pena dare un pollice in su a Worldcoin per essere un sistema di identificazione umana “cripto-nativo”: in realtà si preoccupano di compiere il passo fondamentale di ZK-SNARK per fornire l’anonimizzazione che quasi tutte le soluzioni di identità centralizzate non fanno.

L’esistenza di un registro pubblico di dati biometrici rappresenta una violazione della privacy più subdola. Nel caso di Proof of Humanity, questo centralizza molti dati: ottieni un video di ogni partecipante a Proof of Humanity, il che rende molto chiaro a chiunque nel mondo sia disposto a indagare chi sono i partecipanti a Proof of Humanity.

Nel caso di Worldcoin, la fuga di notizie è molto più limitata: Orb calcola e pubblica localmente solo l'"hash" della scansione dell'iride di ogni persona. Questo hash non è un hash normale come SHA256; è invece un algoritmo specializzato basato sul filtro Gabor dell'apprendimento automatico che gestisce le imprecisioni inerenti a qualsiasi scansione biometrica e garantisce che l'iride della stessa persona abbia output simili.

Questi hash dell'iride possono far trapelare solo una piccola quantità di dati. Se un avversario può scansionare con la forza (o segretamente) la tua iride, può calcolare da solo l'hash dell'iride e confrontarlo con un database di hash dell'iride per vedere se stai partecipando al sistema. Questa capacità di verificare se qualcuno si è già registrato è necessaria affinché il sistema stesso impedisca alle persone di registrarsi più volte, ma può anche essere abusata.

Inoltre, l’hashing dell’iride ha il potenziale per far trapelare una certa quantità di dati medici (sesso, razza e forse condizioni mediche), ma questa fuga è molto inferiore a quella di quasi tutti gli altri sistemi di raccolta dati su larga scala in uso oggi (ad esempio, anche quelli stradali). telecamere) i dati che possono essere acquisiti. Nel complesso, penso che la privacy della memorizzazione degli hash dell'iride sia adeguata.

Se qualcuno non è d’accordo con questo giudizio e decide di progettare un impianto con più privacy, ci sono due modi per farlo:

1. Se l'algoritmo di hashing dell'iride può essere migliorato in modo che la differenza tra due scansioni della stessa persona sia inferiore (ad esempio, in modo affidabile meno del 10% di bit flip), allora il sistema può memorizzare un numero inferiore di bit di hash dell'iride corretti dagli errori (vedi: Fuzzy Extractor) invece di memorizzare l'intero hash dell'iride. Se la differenza tra le due scansioni è inferiore al 10%, è necessario pubblicare almeno 5 volte meno bit.

2. Se vogliamo andare oltre, possiamo archiviare il database hash di iris in un sistema MPC (multi-party computation) a cui può accedere solo Orb (con limiti di velocità), rendendo i dati completamente inaccessibili, ma a scapito di Significativa complessità del protocollo e complessità sociale della gestione di un insieme di partecipanti MPC. Ciò avrebbe il vantaggio che gli utenti non sarebbero in grado di dimostrare un collegamento tra due diversi ID mondiali che avevano in momenti diversi, anche se lo volessero.

Sfortunatamente, queste tecniche non sono applicabili a Proof of Humanity, che richiede che il video completo di ciascun partecipante sia pubblicamente disponibile in modo che possano essere sollevate sfide se emergono segni di falsificazione (inclusa la falsificazione generata dall'intelligenza artificiale), e in questi casi una versione più dettagliata l'indagine è condotta di seguito.

Nel complesso, nonostante l'aria distopica di fissare una sfera e farla scansionare in profondità i bulbi oculari, i sistemi hardware specializzati sembrano fare un ottimo lavoro nel preservare la privacy. Tuttavia, il rovescio della medaglia è che i sistemi hardware specializzati introducono maggiori problemi di centralizzazione. Quindi noi cypherpunk sembriamo trovarci di fronte a un dilemma: dobbiamo fare un compromesso tra due valori cypherpunk profondamente radicati.

Quali sono i problemi di accessibilità nei sistemi di identificazione umana basati sulla biometria?

L'hardware specializzato introduce problemi di accessibilità perché l'hardware specializzato non è immediatamente disponibile. Tra il 51% e il 64% degli africani sub-sahariani possiede oggi uno smartphone, e si prevede che questa percentuale aumenterà fino all’87% entro il 2030.

Ma mentre ci sono miliardi di smartphone in tutto il mondo, ci sono solo poche centinaia di Orb. Anche con una produzione distribuita su larga scala, sarà difficile realizzare una sfera nel raggio di cinque chilometri da tutti.

Vale anche la pena notare che molte altre forme di identificazione umana presentano problemi di accessibilità ancora peggiori. A meno che tu non conosca già qualcuno nel grafico sociale, aderire a un sistema di identità umana basato sul grafico sociale è molto difficile. Ciò rende facile limitare tali sistemi a una singola comunità in un singolo paese.

Anche i sistemi di identità centralizzati hanno imparato questa lezione: il sistema di identificazione Aadhaar dell’India è basato sulla biometria perché era l’unico modo per assorbire rapidamente l’enorme popolazione del paese evitando frodi massicce da account duplicati e falsi (risparmiando così molti costi). Naturalmente, il sistema Aadhaar tutela molto meno la privacy rispetto a qualsiasi cosa proposta su larga scala dalla comunità crittografica.

I sistemi più performanti dal punto di vista dell’accessibilità sono in realtà sistemi come Proof of Humanity a cui puoi registrarti utilizzando solo il tuo smartphone. Tuttavia, come abbiamo visto, tali sistemi comportano diversi altri compromessi.

Quali sono i problemi di centralizzazione nei sistemi di identificazione umana basati sulla biometria?

Ci sono tre tipi di domande:

(1) Esiste il rischio di centralizzazione al livello più alto di governance del sistema (specialmente quando diversi partecipanti al sistema hanno disaccordi sui giudizi soggettivi e il sistema prende la decisione finale al livello più alto).

(2) Rischi di centralizzazione specifici dei sistemi che utilizzano hardware dedicato;

(3) Rischio di centralizzazione derivante dall’utilizzo di algoritmi proprietari per determinare chi sono i reali partecipanti.

Qualsiasi sistema di identificazione umana deve affrontare il problema (1), a meno che gli ID "accettati" nel sistema non siano del tutto soggettivi. Se un sistema utilizza asset esterni (ad esempio ETH, USDC, DAI) per determinare il prezzo degli incentivi, allora ciò non può essere del tutto soggettivo, quindi il rischio di governance è inevitabile.

Il problema (2) è molto più rischioso per Worldcoin rispetto a Proof of Humanity (o BrightID) perché Worldcoin si basa su hardware specializzato che altri sistemi non fanno.

Il problema (3) rappresenta un rischio particolare per i sistemi centralizzati che dispongono di un unico sistema di verifica, a meno che tutti gli algoritmi non siano open source e non abbiamo la garanzia che stiano effettivamente eseguendo il codice che dichiarano di essere. Per i sistemi che si basano interamente sull'autenticazione degli utenti da parte di altri utenti (come Proof of Humanity), questo non è un rischio.

In che modo Worldcoin risolve il problema della centralizzazione dell'hardware?

Attualmente, Tools for Humanity è l'unica organizzazione che produce sfere. Tuttavia, il codice sorgente di Orb è per lo più pubblico: puoi vedere le specifiche hardware nel repository github e il resto del codice sorgente dovrebbe essere rilasciato presto. La licenza di Orb è un'altra licenza "condividi il codice sorgente ma non tecnicamente open source fino a quattro anni", simile a Uniswap BSL, e oltre a prevenire i fork, impedisce anche quello che considerano un comportamento non etico: la sorveglianza di massa e tre diritti umani internazionali le dichiarazioni sono specificamente elencate.

L'obiettivo dichiarato di Tools for Humanity è consentire e incoraggiare altre organizzazioni a creare sfere e, nel tempo, passare dalle sfere create da Tools for Humanity ad avere una sorta di DAO che approva e gestisce quali organizzazioni possono creare sfere approvate dal sistema.

Ma questo progetto può fallire in due modi:

1. In realtà non riesce a decentralizzare. Ciò potrebbe essere dovuto a una trappola comune delle DAO: un produttore che diventa dominante nella produzione, portando a una ricentralizzazione del sistema. In parole povere, la governance può limitare il numero di sfere valide che ciascun produttore può produrre, ma questo deve essere gestito con attenzione, e c’è molta pressione sulla governance affinché sia ​​decentralizzata e in grado di monitorare efficacemente l’ecosistema e rispondere efficacemente alle minacce: questo Molto più difficile di una DAO abbastanza statica che gestisce solo attività di risoluzione delle controversie di alto livello.

2. Potrebbe non essere possibile creare un meccanismo di produzione così decentralizzato per garantire la sicurezza. Qui vedo due rischi:

(1) L'emergere di produttori di Orb: anche se esiste un produttore di Orb dannoso o violato, può anche generare un numero illimitato di falsi hash di scansione dell'iride e fornire loro ID mondiali.

(2) Restrizioni governative sulle sfere: i governi che non vogliono che i propri cittadini partecipino all'ecosistema Worldcoin possono vietare ai propri paesi di utilizzare le sfere. Facendo un ulteriore passo avanti, potrebbero persino costringere i cittadini a sottoporsi alla scansione dell’iride, consentendo al governo di accedere ai propri conti senza che i cittadini siano in grado di gestirlo.

Per rendere il sistema più resistente ai cattivi produttori di Orb, il team di Worldcoin propone di condurre controlli regolari delle Orb per verificare che siano costruite correttamente, che i componenti hardware critici siano costruiti secondo le specifiche e che non siano stati manomessi dopo la fatto. È una missione impegnativa: è fondamentalmente come l'agenzia di ispezione nucleare dell'AIEA, ma per Orbs. Ci auguriamo che anche un sistema di controllo molto imperfetto possa ridurre significativamente il numero di sfere false.

Per limitare i danni causati da eventuali Orb difettosi, è necessaria una seconda misura di mitigazione. Anche utilizzando gli ID mondiali registrati da diversi produttori di sfere, idealmente, utilizzando sfere diverse, dovrebbero essere distinguibili l'uno dall'altro. Ciò è accettabile se le informazioni sono private e archiviate solo sul dispositivo del titolare del World ID, ma ciò deve essere dimostrato se necessario; Ciò consente all'ecosistema di reagire agli attacchi (inevitabili) rimuovendo in qualsiasi momento, se necessario, singoli produttori di Orb, o anche singoli Orb, dalla whitelist. Se vedessimo il governo nordcoreano costringere le persone a scansionare i propri occhi, quelle sfere e tutti gli account da loro generati potrebbero essere immediatamente disattivati ​​con effetto retroattivo.

Quali sono i problemi di sicurezza nell’identificazione umana in generale?

Oltre alle questioni specifiche di Worldcoin, ci sono questioni che influiscono sulla progettazione dei sistemi di identificazione umana. I principali che mi vengono in mente sono:

(1) Manichini stampati in 3D: è possibile utilizzare l'intelligenza artificiale per generare foto o anche stampe 3D di manichini sufficientemente realistici da essere accettati dal software Orb. Se un gruppo lo fa, può generare un numero illimitato di identità.

(2) Il World ID può essere venduto: al momento della registrazione, le persone possono fornire la chiave pubblica di qualcun altro invece della propria, cedendo così il controllo del proprio ID registrato ad altri in cambio di denaro. Sembra che questo stia già accadendo. Oltre alla vendita è anche possibile noleggiare l'ID ad un'applicazione per un breve periodo di tempo.

(3) Hacking del telefono cellulare: se il telefono di qualcuno viene violato, l'hacker può rubare la chiave che controlla il suo ID mondiale.

(4) Furto di identità imposto dal governo: un governo può costringere i suoi cittadini a effettuare la verifica visualizzando un codice QR appartenente al governo. In questo modo, un governo malintenzionato potrebbe avere accesso a milioni di ID. Nei sistemi biometrici, questo può essere fatto anche di nascosto: i governi possono utilizzare sfere oscurate per estrarre i documenti d’identità mondiali da chiunque entri nel loro paese ai chioschi di controllo passaporti.

Il primo punto è specifico dei sistemi di identità con prova biometrica. Il secondo e il terzo punto sono comuni sia nei progetti biometrici che in quelli non biometrici. Anche il quarto punto è comune ad entrambi, anche se la tecnologia richiesta nei due casi sarà molto diversa, in questa sezione mi concentrerò sulla questione nel caso biometrico;

Queste sono debolezze molto gravi. Alcuni sono già affrontati nei protocolli esistenti, altri possono essere affrontati attraverso miglioramenti futuri e altri ancora sembrano essere limitazioni fondamentali.

Come ci comportiamo con i manichini?

Per Worldcoin, questo è molto meno rischioso di un sistema come Proof of Humanity: una scansione dal vivo di una persona può verificare molte caratteristiche di una persona, ed è abbastanza difficile falsificare rispetto al semplice deepfake di un video. L'hardware specializzato è intrinsecamente più difficile da falsificare rispetto all'hardware ordinario, che a sua volta è più difficile da falsificare rispetto alla verifica algoritmica digitale di immagini e video inviati in remoto.

Qualcuno può stampare in 3D qualcosa che possa ingannare l'Orb? Le probabilità sono alte. Prevedo che a un certo punto assisteremo a una crescente tensione tra gli obiettivi di mantenere i meccanismi aperti e gli obiettivi di mantenerli sicuri: gli algoritmi di intelligenza artificiale open source sono intrinsecamente più suscettibili all’apprendimento automatico antagonista. In un futuro più lontano, anche i migliori algoritmi di intelligenza artificiale potrebbero essere ingannati dai migliori manichini stampati in 3D.

Tuttavia, dalle mie discussioni con i team di sviluppo di Worldcoin e Proof of Humanity, sembra che nessuno dei due protocolli stia subendo attacchi deepfake significativi al momento, per il semplice motivo che assumere veri lavoratori a basso salario per iscriversi per tuo conto è incredibilmente economico e Facile.

Possiamo impedire la vendita degli ID?

Nel breve termine, prevenire questa vendita è difficile perché la maggior parte delle persone nel mondo non conosce nemmeno il protocollo di identificazione umana, e se dici loro che possono guadagnare $ 30 mostrando un codice QR e scansionando i loro occhi, lo faranno.

Una volta che più persone hanno saputo cosa fosse il Protocollo di Identificazione Umana, è diventata possibile una mitigazione abbastanza semplice: consentire alle persone con ID registrati di registrarsi nuovamente, cancellando i loro ID precedenti. Ciò rende le "vendite di ID" molto meno credibili, poiché la persona che ti vende l'ID può registrarsi nuovamente, annullando la registrazione dell'ID appena venduto. Tuttavia, per arrivare a questo punto, il protocollo deve essere molto conosciuto e le sfere devono essere ampiamente accessibili per rendere possibile la registrazione istantanea.

Questo è uno dei motivi per cui l'integrazione dei token UBI nei sistemi di identità umana è preziosa: i token UBI forniscono un incentivo di facile comprensione affinché le persone comprendano il protocollo e si registrino, così come se si sono registrati per conto di qualcun altro, torneranno -registrati immediatamente.

Possiamo prevenire le minacce all’applicazione della legge nei sistemi di identificazione umana basati sulla biometria?

Dipende di che tipo di coercizione stiamo parlando. Le possibili forme di coercizione includono:

- I governi scansionano gli occhi (o i volti, o...) delle persone ai controlli di frontiera e ad altri posti di controllo governativi regolari, e lo usano per registrare (e spesso ri-registrare) i loro cittadini

- Il governo vieta gli Orb nel paese per impedire alle persone di registrarsi in modo indipendente

- Alcune persone acquistano documenti d'identità e poi minacciano il proprietario di fare del male se scoprono che il proprietario si è registrato nuovamente e che il documento d'identità è stato invalidato.

- L'app (probabilmente gestita dal governo) richiede alle persone di "accedere" "firmando" direttamente con la propria chiave pubblica, consentendo loro di vedere la scansione biometrica corrispondente e quindi l'ID attuale dell'utente e quello ottenuto registrandosi nuovamente Qualsiasi collegamenti tra ID futuri. Esiste una preoccupazione comune che ciò renderà troppo facile creare un "registro permanente" che duri tutta la vita di una persona.

Per gli utenti meno esperti, questa situazione può sembrare difficile da prevenire completamente. Gli utenti possono lasciare il proprio paese per (ri)registrarsi con Orb in un paese più sicuro, ma questo è un processo difficile e dai costi elevati. In un ambiente legale veramente ostile, trovare un Globo indipendente sembra troppo difficile e rischioso.

Ciò che funziona è rendere questo abuso più complicato e più facile da individuare. L'approccio di Proof of Humanity, che richiede a una persona di pronunciare una frase specifica al momento della registrazione, è un buon esempio: potrebbe essere sufficiente bloccare le scansioni nascoste che richiedono la coercizione per essere più evidenti, e la frase di registrazione potrebbe anche includere una dichiarazione che conferma che gli intervistati sono consapevoli di avere il diritto di registrarsi nuovamente in modo autonomo e di poter ricevere gettoni UBI o altri premi. Le sfere utilizzate per imporre la registrazione su larga scala potrebbero avere l'accesso revocato se viene rilevata la coercizione.

Un sistema di autenticazione umana generale può bloccare la chiave dell'utente in un hardware affidabile, impedendo a qualsiasi processo applicativo di utilizzare direttamente la chiave, senza la necessità di un livello ZK-SNARK intermedio. Se i governi o gli sviluppatori di app vogliono risolvere questo problema, devono imporre l’uso delle proprie app personalizzate.

Attraverso una combinazione di queste tecniche e di avvertimenti proattivi, sembra possibile prendere di mira i regimi che sono veramente ostili e mantenere onesti quelli che sono semplicemente neutrali (come gran parte del mondo). Ciò potrebbe essere fatto da progetti come Worldcoin o Proof of Humanity mantenendo la propria burocrazia per questo compito, o rivelando maggiori informazioni su come è stato registrato l'ID (ad esempio in Worldcoin, da quale Orb proviene) e lasciare questo compito di classificazione al comunità.

Possiamo impedire il noleggio di documenti d'identità (ad esempio il noleggio di schede elettorali)?

La nuova registrazione non impedirà ad alcune persone di noleggiare i propri documenti d'identità. Questo va bene in alcune applicazioni: il costo per affittare il tuo diritto a ricevere la quota di UBI Coin di quel giorno sarà semplicemente il valore degli UBI Coin di quel giorno. Ma in applicazioni come il voto, vendere facilmente i diritti di voto è un grosso problema.

Sistemi come MACI ti impediscono di vendere il tuo voto, permettendoti di esprimere un altro voto in seguito, invalidando il tuo voto precedente in modo che nessuno possa sapere se hai effettivamente espresso un voto del genere. Ma non aiuta se il corruttore controlla la chiave che hai ricevuto al momento della registrazione.

Vedo due soluzioni qui:

(1) Eseguire l'intero processo di candidatura all'interno di un calcolo multipartitico (MPC). Ciò include anche il processo di ri-registrazione: quando una persona si registra presso l'MPC, l'MPC gli assegna un ID separato dall'ID di identificazione personale e non può essere collegato ad esso, e quando una persona si registra nuovamente, solo l'MPC lo farà sapere quale account deve essere disattivato. Ciò impedisce agli utenti di attestare le proprie azioni perché ogni passaggio importante viene completato all'interno dell'MPC utilizzando informazioni private note solo all'MPC.

(2) Cerimonia di registrazione decentralizzata. Fondamentalmente, l’implementazione è qualcosa di simile a questo protocollo di registrazione della chiave live che richiede che quattro partecipanti locali selezionati casualmente lavorino insieme per registrare qualcuno. Ciò garantisce che la registrazione sia un processo "affidabile" in cui gli aggressori non possono intercettare.

I sistemi basati sui social graph possono funzionare meglio in questo caso perché possono creare automaticamente un processo di registrazione locale decentralizzato come sottoprodotto del loro modo di lavorare.

Verifica dell'identità umana basata sulla biometria e verifica basata sul grafico sociale

Oltre ai metodi biometrici, l’attuale principale contendente per l’identificazione personale è la verifica basata sui grafici sociali. I sistemi di verifica basati sui social graph seguono tutti lo stesso principio: se esiste un ampio gruppo di identità già verificate che dimostrano che la tua identità è valida, allora è probabile che tu sia valido e dovresti anche avere un'identità verificata.

I sostenitori dei sistemi di identificazione umana basati sui grafici sociali spesso li descrivono come un'alternativa migliore alla biometria per i seguenti motivi:

- Non si basa su hardware specializzato, rendendone più semplice l'implementazione;

- Evita una corsa agli armamenti permanente tra i produttori che cercano di realizzare manichini e sfere che necessitano di essere aggiornati per rifiutare tali manichini;

- Nessuna necessità di raccogliere dati biometrici, maggiore tutela della privacy;

- Potrebbe essere più favorevole all'anonimato, poiché se qualcuno sceglie di diffondere la propria vita online attraverso più identità che mantiene indipendenti l'una dall'altra, allora quelle identità possono tutte essere potenzialmente verificate (tuttavia, mantenere più identità reali e indipendenti va a scapito dell'anonimato). effetti di rete ed è costoso, quindi un utente malintenzionato non può farlo facilmente)

I metodi biometrici danno un punteggio binario di "è umano" o "non è umano", che è fragile: le persone rifiutate accidentalmente non potranno ricevere token UBI e potrebbero non essere in grado di partecipare alla vita online. I metodi basati sui grafici sociali possono fornire punteggi numerici più granulari, il che può essere ingiusto per alcuni partecipanti, ma è improbabile che "elimini" completamente una persona.

La mia opinione su questi argomenti è che sostanzialmente sono d'accordo con loro! Questi sono vantaggi reali degli approcci basati sui grafici sociali e dovrebbero essere presi sul serio. Tuttavia, vale anche la pena considerare i punti deboli degli approcci basati sui grafici sociali:

- Guida: affinché un utente possa aderire a un sistema basato su un grafico sociale, l'utente deve conoscere qualcuno che è già nel grafico. Ciò rende difficile l’adozione di massa e potenzialmente esclude le regioni del mondo che sono sfortunate durante il lancio iniziale.

- Privacy: sebbene gli approcci basati sui sociografi evitino la raccolta di dati biometrici, spesso rivelano informazioni sulle relazioni sociali di una persona, il che può comportare rischi maggiori. Naturalmente, le tecniche a conoscenza zero possono alleviare questo problema (vedi, ad esempio, questa proposta di Barry Whitehat), ma le interdipendenze nel grafico e la necessità di analisi matematica del grafico rendono più difficile raggiungere lo stesso livello di dati nascosti come dati biometrici.

- Disuguaglianza: ogni persona può avere un solo ID biometrico, ma una persona ricca e con buone conoscenze può utilizzare le proprie connessioni per generare più ID. In sostanza, la stessa flessibilità potrebbe consentire a un sistema basato su grafici sociali di fornire più pseudonimi a qualcuno (ad esempio un attivista) che ha effettivamente bisogno di questa funzionalità, ma che è più probabile che sia qualcuno più potente e socialmente connesso. È possibile ottenere più alias da meno persone.

- Rischio di cadere nella centralizzazione: la maggior parte delle persone è troppo pigra per prendersi il tempo di segnalare chi è una persona reale e chi non si trova in un'applicazione Internet. Pertanto, c'è il rischio che il sistema, nel tempo, si inclini maggiormente verso metodi di onboarding "facili" che si basano su un'autorità centralizzata e che il "grafico sociale" degli utenti del sistema diventi effettivamente quello in cui i paesi riconoscono chi come cittadini - - Ci offre un KYC centralizzato, ma richiede passaggi aggiuntivi.

L’identificazione umana è compatibile con gli pseudonimi del mondo reale?

In linea di principio l’identificazione personale è compatibile con diversi pseudonimi. Le app possono essere progettate in modo tale che una persona con un unico ID fisico possa creare fino a cinque profili all'interno dell'app, lasciando spazio per account pseudonimi. Si può anche usare la formula quadratica: $N² costo per N conti. Ma lo faranno?

Tuttavia, un pessimista potrebbe sostenere che è ingenuo cercare di creare un metodo di identificazione più incentrato sulla privacy e sperare che venga adottato nel modo giusto, perché ai potenti non interessa la privacy, e se un attore potente ha un potere Strumenti utilizzati per ottenere maggiori informazioni su una persona, lo faranno. In un mondo del genere, si sostiene, l’unico modo realistico, purtroppo, è interrompere qualsiasi soluzione di identificazione e difendere un mondo di isole digitali e completamente anonime di comunità ad alta fiducia.

Capisco la logica alla base di questo modo di pensare, ma temo che questo approccio, anche se avrà successo, porterà a un mondo in cui non c’è modo di fare nulla contro la concentrazione della ricchezza e la centralizzazione della governance perché si può sempre fingere di essere diecimila persone. A sua volta, un punto così centralizzato sarebbe facilmente controllato dai potenti. Preferisco invece un approccio modesto in cui dovremmo sostenere con forza soluzioni di prova personale con una forte privacy, possibilmente includendo anche un meccanismo di "costo $ N² per N account" a livello di protocollo, se necessario, e creare qualcosa che si allinei con valori rispettosi della privacy e ha la possibilità di essere accettato dal mondo esterno.

Allora... cosa penso?

Quando si tratta di identificazione personale, non esiste una forma ideale. Invece, abbiamo almeno tre approcci diversi, ciascuno con i propri vantaggi e svantaggi. Una tabella comparativa potrebbe assomigliare a questa:

Idealmente, dovremmo considerare queste tre tecnologie come complementari e combinarle. Come dimostra l'indiano Aadhaar, la biometria hardware dedicata presenta il vantaggio della sicurezza su larga scala. Sono molto deboli nel decentramento, anche se questo può essere risolto affidando la responsabilità a singole sfere.

La biometria universale è facile da adottare oggi, ma la sua sicurezza sta rapidamente diminuendo e potrebbe funzionare solo per altri 1-2 anni. I sistemi basati su grafici sociali, guidati da centinaia di persone socialmente vicine al team fondatore, possono dover affrontare un costante compromesso tra perdere completamente ampie parti del mondo o essere vulnerabili agli attacchi di comunità che non possono vedere. Tuttavia, un sistema basato su grafici sociali avviato da decine di milioni di titolari di identità biometriche potrebbe effettivamente funzionare. La guida biometrica potrebbe funzionare meglio nel breve termine, mentre le tecnologie basate sui grafici sociali potrebbero essere più robuste nel lungo termine e assumere maggiori responsabilità nel tempo man mano che gli algoritmi migliorano.

Tutti questi team possono commettere molti errori e ci sono inevitabili tensioni tra gli interessi aziendali e le esigenze della comunità più ampia, quindi dobbiamo rimanere estremamente vigili. Come comunità, possiamo e dobbiamo spingere tutti i partecipanti oltre la zona di comfort dell’open source delle loro tecnologie, richiedendo audit di terze parti e persino software scritto da terze parti, oltre ad altri controlli ed equilibri. Abbiamo anche bisogno di più scelte in ogni categoria.

Allo stesso tempo, è anche importante riconoscere il lavoro svolto: molti dei team che gestiscono questi sistemi hanno mostrato la volontà di prendere la privacy più seriamente di quasi tutti i sistemi di identità gestiti dal governo o dalle grandi aziende, e questo è un successo che dovremmo imparare da.

Il problema di creare un sistema di prova fisica efficace e affidabile nelle mani di persone lontane dalla comunità crittografica esistente sembra piuttosto impegnativo. Sicuramente non invidio chi tenta questo compito, potrebbero volerci diversi anni per trovare una soluzione che funzioni. Il principio dell’identificazione fisica sembra molto valido in linea di principio, e mentre vari metodi di implementazione hanno i loro rischi, lo stesso vale per il fatto di non avere alcuna identificazione fisica: un mondo senza identificazione fisica è più probabile che sia un mondo dominato da soluzioni di identità centralizzate. dominato dal denaro, da piccole comunità recintate o da una combinazione di tutti e tre. Non vedo l’ora di vedere ulteriori progressi su tutti i tipi di certificazione personale e spero di vedere finalmente gli approcci disparati integrati in un insieme coerente.

Avvertenza sui rischi:

Secondo l'Avviso sull'ulteriore prevenzione e gestione dei rischi di speculazione delle transazioni in valuta virtuale emesso dalla banca centrale e da altri dipartimenti, il contenuto di questo articolo è solo per la condivisione di informazioni e non promuove o approva alcun comportamento commerciale o di investimento richiesto ai lettori rispettare rigorosamente le leggi e i regolamenti della propria regione e non impegnarsi in pratiche finanziarie illegali.