Ontem, o Worldcoin, um projeto de criptografia cofundado pelo fundador da OpenAI, Sam Altman, foi lançado oficialmente. Este é um projeto de sistema de identidade criptografado que gera e verifica o World ID (identidade) dos usuários, escaneando a íris do usuário usando o scanner ocular Orb.

No mesmo dia, Ethereum LianVin publicou um artigo “O que eu penso sobre a prova biométrica de personalidade?”, explicando sua opinião sobre o Worldcoin e a prova de identidade humana. O Baize Research Institute compilou o seguinte:

As pessoas da comunidade Ethereum têm tentado construir soluções descentralizadas para a Prova da Humanidade, que sempre foi um dos problemas mais difíceis, mas valiosos. A ID humana é uma forma limitada de identidade do mundo real que permite que uma conta registrada seja controlada por uma pessoa real, de preferência sem revelar a pessoa real por trás dela.

A comunidade criptográfica já fez muitos esforços para tentar resolver este problema antes: BrightID, Idena e Circles são exemplos representativos. Alguns deles vêm com seus próprios aplicativos (geralmente tokens UBI), e alguns encontraram soluções alternativas no Gitcoin Passport para verificar quais contas são válidas para votação secundária. Tecnologias de conhecimento zero como o Sismo acrescentam privacidade a muitas soluções semelhantes.

Só recentemente vimos o surgimento de um projeto de identidade humana maior e mais ambicioso: o Worldcoin.

A Worldcoin foi fundada por Sam Altman, anteriormente conhecido por ser o CEO da OpenAI. A ideia por trás do projeto é simples: a inteligência artificial (IA) criará muita riqueza para a humanidade, mas também poderá matar muitos empregos, porque a IA acabará por se desenvolver ao ponto de ser quase impossível dizer quem é um humano e não um robô. Portanto, precisamos preencher esse buraco:

(1) Criar um sistema de identificação humana muito bom para que os humanos possam provar que são realmente pessoas reais;

(2) Fornecer UBI a todos. A Worldcoin é única porque depende de tecnologia biométrica altamente sofisticada, usando o que é conhecido como

O hardware especializado do “Orb” verifica a íris de cada usuário.

O objetivo da Worldcoin é produzir grandes quantidades destas “esferas” e distribuí-las amplamente pelo mundo, colocando-as em locais públicos para que qualquer pessoa possa obter facilmente a sua própria identificação – uma World ID.

Para seu crédito, a Worldcoin também está comprometida com o desenvolvimento da descentralização. Isso significa descentralizar a tecnologia: usar o OP Stack para se tornar o L2 do Ethereum e usar ZK-SNARK e outras tecnologias de criptografia para proteger a privacidade do usuário, mas também incluir a governança descentralizada do próprio sistema. A Worldcoin foi criticada pelas preocupações de privacidade e segurança da Orb, pelos problemas com o design de seu token e pela ética de algumas das escolhas que a empresa fez. Na verdade, o próprio projeto Worldcoin ainda está em revisão e desenvolvimento. No entanto, alguns levantaram preocupações mais fundamentais sobre se a biometria – não apenas a biometria de varredura ocular da Worldcoin, mas também os uploads e verificações de vídeos faciais mais simples usados ​​na Prova de Humanidade e Idena – ganhará força com o reconhecimento do público.

Certamente não faltam críticos destes projectos, uma vez que os riscos incluem inevitáveis ​​violações de privacidade, maior erosão da capacidade das pessoas de navegar anonimamente na Internet, coerção de governos autoritários e como manter a segurança enquanto são descentralizados.

Este artigo discutirá essas questões e fornecerá alguns argumentos para ajudá-lo a decidir se escanear suas íris na frente da ferramenta “esférica” do Worldcoin é uma boa ideia. E quais são as alternativas para desistir do desenvolvimento de provas de identidade humana?

O que é um sistema de identificação humana e por que é importante?

A maneira mais simples de definir um sistema de prova de identidade é criar uma lista de chaves públicas, e o sistema garante que cada chave é controlada por uma única pessoa. Em outras palavras, se você for humano, poderá colocar uma chave na lista, mas não poderá colocar duas chaves, e se for um robô, não poderá colocar nenhuma chave na lista.

A identificação humana é valiosa porque resolve os problemas anti-spam e anti-centralização do poder enfrentados por muitos, de uma forma que evita a dependência da autoridade centralizada e revela o mínimo de informação possível. Se a prova de identidade humana não for abordada, a governação descentralizada (incluindo a “microgovernação”, como a votação em publicações nas redes sociais) tornar-se-á mais facilmente controlada por intervenientes muito ricos, incluindo governos hostis. Muitos serviços só podem proteger contra ataques de negação de serviço estabelecendo um preço para o acesso e, por vezes, um preço suficientemente elevado para excluir os atacantes é também demasiado elevado para muitos utilizadores legítimos de baixos rendimentos.

Muitas das principais aplicações no mundo hoje lidam com esse problema usando sistemas de identidade apoiados pelo governo, como carteiras de identidade e passaportes. Isto resolve o problema, mas representa um sacrifício enorme e inaceitável em termos de privacidade e pode estar sujeito a ataques menores por parte do próprio governo.

Em muitos projetos de identidade humana – não apenas Worldcoin, mas também “aplicativos emblemáticos” como Circles têm código de “token acessível a todos” incorporado neles (também conhecidos como “tokens UBI”). Cada usuário cadastrado no sistema recebe uma quantidade fixa de tokens todos os dias (ou de hora em hora ou semanalmente). Existem muitas outras aplicações, incluindo:

- Mecanismo Airdrop para distribuição de tokens

- Vendas de tokens ou NFT com melhores condições para usuários menos ricos

- Vote no DAO

- Como inicializar o sistema de reputação gráfica

- Votação secundária (pagamento de fundos e atenção)

- Proteja-se contra ataques de bot/sybil nas redes sociais

- Alternativa CAPTCHA para prevenir ataques DoS

Em muitos destes casos, o tema comum é a criação de mecanismos abertos e democráticos que evitem o controlo centralizado dos operadores dos projectos e o domínio dos seus utilizadores mais ricos. Este último é particularmente importante na governação descentralizada.

Em situações como esta, as soluções existentes hoje dependem de:

(1) Algoritmos de IA altamente opacos que realizam discriminação indetectável contra usuários que o operador não gosta

(2) Identidade centralizada, nomeadamente “KYC”.

Uma solução eficiente de prova de identidade seria, portanto, uma melhor opção para alcançar as propriedades de segurança exigidas por estas aplicações sem cair nas armadilhas das abordagens centralizadas existentes.

Quais foram algumas das primeiras tentativas de identificação humana?

Existem duas formas principais de identificação humana: gráficos sociais e biometria.

A prova da identidade humana baseada em gráficos sociais depende de alguma forma de prova: se Alice, Bob, Charlie e David são todos humanos verificados, e todos dizem que Emily é uma humana verificada, então Emily provavelmente também é uma humanidade verificada.

Esta justificação é muitas vezes reforçada por incentivos: se Alice disser que Emily é uma pessoa real, mas descobrir que não o é, então tanto Alice como Emily poderão ser punidas.

A identificação humana baseada na biometria envolve a verificação de algumas características físicas ou comportamentais de Emily que distinguem humanos de robôs (e humanos individuais uns dos outros).

A maioria dos projetos utiliza uma combinação dessas duas tecnologias.

Os quatro sistemas que mencionei no início deste artigo são aproximadamente os seguintes:

(1) Prova de Humanidade: Você envia seu próprio vídeo e faz um depósito. Para serem aprovados, os usuários existentes precisam atestar você, e outros desafiantes irão desafiá-lo durante um período de tempo. Se houver um desafiante, o tribunal descentralizado de Kleros verificará se o seu vídeo é autêntico; caso contrário, o depósito será perdido e o desafiante receberá a recompensa;

(2) BrightID: você participa de uma "festa de verificação" de videochamada com outros usuários e todos verificam uns aos outros. Com o Bitu, você pode obter um nível mais alto de verificação, desde que um número suficiente de outros usuários verificados do Bitu atestem você.

(3) Idena: Você tem que jogar um jogo CAPTCHA em um momento específico (para evitar que as pessoas participem mais de uma vez); parte do jogo CAPTCHA envolve a criação e verificação de CAPTCHAs que serão usados ​​para verificar outros.

(4) Círculo: Os usuários existentes do Círculo são obrigados a responder por você. Circles é o único que não tenta criar um "ID global verificável", mas cria um gráfico de confiança onde a confiabilidade de alguém só pode ser verificada a partir de sua própria posição nesse gráfico;

Como funciona o Worldcoin?

Cada usuário do Worldcoin deve instalar em seu telefone um aplicativo que gere chaves privadas e públicas, assim como uma carteira Ethereum. Eles então precisam ficar off-line e encontrar pessoalmente o “Orbe” verificável. Os usuários olham para a câmera do Orb enquanto apresentam ao Orb um código QR gerado por seu aplicativo Worldcoin que contém sua chave pública. Orb examina os olhos do usuário e usa varredura de hardware sofisticada e classificadores de aprendizado de máquina para verificar:

(1) Se o usuário é uma pessoa real; (2) A íris do usuário não corresponde à íris de nenhum outro usuário que já tenha usado o sistema;

Se ambas as varreduras forem aprovadas, o Orb assinará uma mensagem aprovando o hash privado da varredura da íris do usuário. Os hashes são carregados em um banco de dados – atualmente um servidor centralizado que deve ser substituído por um sistema on-chain descentralizado assim que determinarem que o mecanismo de hashing funciona. O sistema não armazena a varredura completa da íris, apenas armazena os hashes, que são usados ​​para verificar a exclusividade. A partir deste momento, o usuário passa a ter um “World ID”.

Os titulares de ID Mundial são capazes de provar que são um ser humano único, gerando um ZK-SNARK para provar que possuem uma chave privada que corresponde a uma chave pública no banco de dados, sem revelar qual chave eles possuem. Portanto, mesmo que alguém escaneie novamente suas íris, não conseguirá ver nenhuma ação que você realizou.

Quais são os principais problemas com a construção do Worldcoin?

As pessoas estão preocupadas principalmente com quatro riscos:

(1) Privacidade

O registro de varreduras da íris pode revelar informações. Pelo menos se alguém examinar suas íris, poderá compará-las a um banco de dados para determinar se você tem um ID mundial. Uma varredura da íris pode revelar mais.

(2) Acessibilidade

A menos que haja orbs suficientes para que qualquer pessoa no mundo possa encontrar um facilmente, o World ID não será acessível de forma confiável.

(3) Centralização

Orb é um dispositivo de hardware e não podemos verificar se ele foi construído corretamente e se não possui backdoors. Assim, mesmo que a camada de software fosse perfeita e totalmente descentralizada, a Fundação Worldcoin ainda teria a capacidade de inserir uma porta dos fundos no sistema, permitindo-lhe criar quantas identidades humanas falsas quisesse.

(4)Segurança

Os telefones dos usuários podem ser hackeados, os usuários podem ser forçados a escanear suas próprias íris enquanto apresentam uma chave pública pertencente a outra pessoa, e é possível imprimir em 3D um “manequim” e escanear sua íris para obter uma identificação mundial.

É importante distinguir:

(1) Questões específicas de seleção da Worldcoin;

(2) Problemas inevitáveis ​​em qualquer sistema de identificação humana baseado em biometria;

(3) Problemas que existirão em qualquer sistema de identificação humana. Por exemplo, inscrever-se na Prova de Humanidade significa colocar a sua cara na internet.

Mesmo participar da “festa de verificação” da videochamada BrightID não mudará isso completamente, pois sua identidade ainda será exposta a muitas outras pessoas. Participar de círculos expõe seu gráfico social publicamente.

Worldcoin é muito melhor na proteção da privacidade do que ambos.

A Worldcoin, por outro lado, depende de hardware especializado, o que levanta a questão de saber se os fabricantes do Orb são totalmente confiáveis. Isso não é encontrado em Proof of Humanity, BrightID ou Circles. É até concebível que no futuro, alguém possa criar uma solução de hardware dedicada diferente da Worldcoin, que terá diferentes compensações.

Como os sistemas de identificação humana baseados em biometria abordam questões de privacidade?

A violação de privacidade mais óbvia e potencial de qualquer sistema de identificação humana é vincular as ações de cada pessoa à sua identidade no mundo real. Esse tipo de vazamento de dados é muito grande e pode ser considerado inaceitavelmente grande. Mas, felizmente, é fácil de resolver usando técnicas de prova de conhecimento zero.

Em vez de assinar diretamente com uma chave privada cuja chave pública correspondente está no banco de dados, os usuários podem gerar um ZK-SNARK que prova que possuem a chave privada correspondente a uma determinada chave pública no banco de dados, sem revelar qual chave específica eles possuem. de assinar diretamente com a chave privada correspondente à chave pública no banco de dados. Isso pode ser feito usando ferramentas como o Sismo, enquanto o Worldcoin tem sua própria implementação integrada. Aqui, vale a pena dar um sinal positivo ao Worldcoin por ser um sistema de prova de identidade humana “cripto-nativo”: eles realmente se preocupam em dar o passo fundamental dos ZK-SNARKs para fornecer anonimato que quase todas as soluções de identidade centralizadas não oferecem.

A existência de um registro público de biometria é uma violação de privacidade mais sutil. No caso da Prova de Humanidade, isso centraliza uma enorme quantidade de dados: você obtém um vídeo de cada participante da Prova de Humanidade, deixando bem claro para qualquer pessoa no mundo que esteja disposta a investigar quem são os participantes da Prova de Humanidade.

No caso da Worldcoin, o vazamento é muito mais limitado: a Orb calcula localmente e publica apenas o “hash” da varredura da íris de cada pessoa. Este hash não é um hash regular como o SHA256; em vez disso, é um algoritmo especializado baseado no filtro Gabor de aprendizado de máquina que lida com as imprecisões inerentes a qualquer varredura biométrica e garante que a íris da mesma pessoa seja contínua.

Azul: A porcentagem de diferenças de bits entre duas varreduras da íris da mesma pessoa. Laranja: Porcentagem de diferenças de bits entre duas varreduras da íris de duas pessoas diferentes

Esses hashes de íris só podem vazar uma pequena quantidade de dados. Se um adversário puder escanear sua íris à força (ou secretamente), ele poderá calcular seu hash de íris e compará-lo com um banco de dados de hashes de íris para ver se você está participando do sistema. Esta capacidade de verificar se alguém já se registou é necessária para que o próprio sistema evite que as pessoas se registem várias vezes, mas também pode ser abusada.

Além disso, o hashing da íris tem o potencial de vazar uma certa quantidade de dados médicos (gênero, raça e talvez condições médicas), mas esse vazamento é muito menor do que quase qualquer outro sistema de coleta de dados em grande escala em uso atualmente (por exemplo, até mesmo nas ruas). câmeras) os dados que podem ser capturados. No geral, acho que a privacidade do armazenamento de hashes de íris parece adequada.

Se alguém discordar desse julgamento e decidir projetar um sistema com mais privacidade, há duas maneiras de fazer isso:

1. Se o algoritmo de hash de íris puder ser melhorado para que a diferença entre duas varreduras da mesma pessoa seja menor (por exemplo, menos de 10% de inversões de bits), então o sistema pode armazenar um número menor de bits de hashes de íris corrigidos por erros (veja: Fuzzy Extractor) em vez de armazenar o hash completo da íris. Se a diferença entre as duas varreduras for inferior a 10%, então pelo menos 5 vezes menos bits precisarão ser publicados.

2. Se quisermos ir mais longe, podemos armazenar o banco de dados hash da íris em um sistema de computação multipartidária (MPC) que só pode ser acessado pelo Orb (com limites de taxa), tornando os dados completamente inacessíveis, mas às custas de Complexidade significativa do protocolo e complexidade social no gerenciamento de uma coleção de participantes do MPC. Isso teria a vantagem de que os usuários não seriam capazes de provar uma ligação entre dois IDs mundiais diferentes que possuíam em momentos diferentes, mesmo que quisessem.

Infelizmente, estas técnicas não são aplicáveis ​​à Prova de Humanidade, que exige que o vídeo completo de cada participante esteja disponível publicamente para que possam ser levantados desafios caso surjam sinais de falsificação (incluindo falsificação gerada por IA) e, nesses casos, uma análise mais detalhada a investigação é conduzida abaixo.

No geral, apesar do ar distópico de olhar para um Orb e fazer com que ele examine profundamente seus olhos, os sistemas de hardware especializados parecem fazer um bom trabalho na proteção da privacidade. No entanto, o outro lado disto é que os sistemas de hardware especializados introduzem maiores problemas de centralização. Portanto, nós, cypherpunks, parecemos estar em uma situação difícil: temos que fazer uma troca entre dois valores cypherpunk profundamente enraizados.

Quais são os problemas de acessibilidade nos sistemas de identificação humana baseados em biometria?

Hardware especializado apresenta problemas de acessibilidade porque hardware especializado não está prontamente disponível. Entre 51% e 64% dos africanos subsaarianos possuem agora um smartphone, e espera-se que este número aumente para 87% até 2030.

Mas embora existam bilhões de smartphones em todo o mundo, existem apenas algumas centenas de Orbs. Mesmo com a produção distribuída em larga escala, será difícil conseguir um Orbe a cinco quilómetros de todos.

Mas é louvável que a Worldcoin tenha trabalhado arduamente!

Também é importante notar que muitas outras formas de identificação humana apresentam problemas de acessibilidade ainda piores. A menos que você já conheça alguém no gráfico social, é muito difícil aderir a um sistema de identidade humana baseado no gráfico social. Isto facilita a restrição de tais sistemas a uma única comunidade num único país.

Até os sistemas de identidade centralizados aprenderam esta lição: o sistema de identificação Aadhaar da Índia é baseado em biometria porque era a única forma de absorver rapidamente a enorme população do país, evitando fraudes massivas provenientes de contas duplicadas e falsas (poupando assim muitos custos). É claro que o sistema Aadhaar preserva muito menos a privacidade do que qualquer coisa proposta em grande escala pela comunidade criptográfica.

Os sistemas com melhor desempenho do ponto de vista da acessibilidade são, na verdade, sistemas como o Proof of Humanity, onde você pode se inscrever usando apenas seu smartphone. No entanto, como vimos, tais sistemas apresentam várias outras compensações.

Quais são os problemas de centralização nos sistemas de identificação humana baseados em biometria?

Existem três tipos de perguntas:

(1) Existe um risco de centralização na governação ao mais alto nível do sistema (especialmente quando diferentes participantes no sistema discordam sobre julgamentos subjetivos e o sistema toma a decisão final ao mais alto nível).

(2) Riscos de centralização exclusivos de sistemas que utilizam hardware dedicado;

(3) Risco de centralização do uso de algoritmos proprietários para determinar quem são os verdadeiros participantes.

Qualquer sistema de identificação humana deve enfrentar o problema (1), a menos que os IDs “aceitos” no sistema sejam inteiramente subjetivos. Se um sistema utiliza ativos externos (por exemplo, ETH, USDC, DAI) para precificar incentivos, então não pode ser totalmente subjetivo, pelo que o risco de governação é inevitável.

O problema (2) é muito mais arriscado para o Worldcoin do que o Proof of Humanity (ou BrightID) porque o Worldcoin depende de hardware especializado que outros sistemas não dependem.

O problema (3) é um risco particular para sistemas centralizados que possuem um único sistema de verificação, a menos que todos os algoritmos sejam de código aberto e tenhamos garantia de que eles estão realmente executando o código que afirmam ser. Para sistemas que dependem inteiramente de usuários autenticando outros usuários (como Proof of Humanity), isso não é um risco.

Como o Worldcoin resolve o problema da centralização de hardware?

Atualmente, a Tools for Humanity é a única organização que fabrica Orbs. No entanto, o código-fonte do Orb é em sua maioria público: você pode ver as especificações de hardware no repositório do github e espera-se que o restante do código-fonte seja lançado em breve. A licença da Orb é outra licença para “compartilhar o código-fonte, mas não tecnicamente o código-fonte aberto até quatro anos”, semelhante à Uniswap BSL, e além de prevenir bifurcações, também evita o que eles consideram comportamento antiético – eles vigilância em massa e três direitos humanos internacionais declarações são especificamente listadas.

O objetivo declarado do Tools for Humanity é permitir e encorajar outras organizações a criar Orbs e, com o tempo, fazer a transição dos Orbs criados pelo Tools for Humanity para ter algum tipo de DAO que aprova e gerencia quais organizações podem fazer Orbs que o sistema aprova.

Mas este design pode falhar de duas maneiras:

1. Na verdade, não consegue descentralizar. Isto pode ser devido a uma armadilha comum dos DAOs: um fabricante tornando-se dominante na produção, levando a uma recentralização do sistema. Grosso modo, a governação pode limitar quantos Orbs válidos cada fabricante pode produzir, mas isto precisa de ser gerido cuidadosamente, e há muita pressão sobre a governação para ser descentralizada e capaz de monitorizar eficazmente o ecossistema e responder eficazmente às ameaças: isto Muito mais difícil do que um DAO bastante estático que lida apenas com tarefas de resolução de disputas de nível superior.

2. Pode não ser possível criar um mecanismo de produção descentralizado para garantir a segurança. Aqui vejo dois riscos:

(1) O surgimento dos fabricantes de Orb: Mesmo que exista um fabricante de Orb malicioso ou hackeado, ele também pode gerar um número ilimitado de hashes falsos de varredura de íris e fornecer-lhes IDs mundiais.

(2) Restrições governamentais aos Orbs: Os governos que não desejam que os seus cidadãos participem no ecossistema Worldcoin podem proibir os seus países de usar Orbs. Indo um passo mais longe, poderiam até forçar os cidadãos a submeterem-se a exames de íris, permitindo ao governo aceder às suas contas sem que os cidadãos pudessem lidar com isso.

A fim de tornar o sistema mais resistente a fabricantes ruins de Orbs, a equipe da Worldcoin propõe realizar auditorias regulares de Orbs para verificar se eles são construídos corretamente, se os componentes críticos de hardware são construídos de acordo com as especificações e se não foram adulterados após o facto. É uma missão desafiadora: é basicamente como a agência de inspeção nuclear da AIEA, mas para Orbs. Esperamos que mesmo um sistema de auditoria muito imperfeito possa reduzir significativamente o número de Orbs falsos.

Para limitar os danos causados ​​por qualquer Orb defeituoso, é necessária uma segunda medida de mitigação. Mesmo usando World IDs registrados por diferentes fabricantes de Orbs, idealmente, usando Orbs diferentes, devem ser distinguíveis uns dos outros. Isto é aceitável se as informações forem privadas e armazenadas apenas no dispositivo do titular do ID Mundial, mas isso precisa ser comprovado, se necessário; Isso permite que o ecossistema reaja a ataques (inevitáveis), removendo fabricantes individuais de Orbs, ou mesmo Orbs individuais, da lista de permissões a qualquer momento, se necessário. Se virmos o governo norte-coreano forçando as pessoas a escanear seus olhos, esses Orbs e quaisquer contas geradas por eles poderão ser desativados retroativamente imediatamente.

Quais são as questões de segurança na identificação humana em geral?

Além das questões específicas da Worldcoin, há questões que impactam o design dos sistemas de identificação humana. Os principais que consigo pensar são:

(1) Manequins impressos em 3D: Pode-se usar IA para gerar fotos ou até mesmo impressões 3D de manequins que sejam realistas o suficiente para serem aceitos pelo software Orb. Se um grupo fizer isso, poderá gerar um número ilimitado de identidades.

(2) A ID Mundial pode ser vendida: Ao se registrar, as pessoas podem fornecer a chave pública de outra pessoa em vez da sua própria, dando assim o controle de sua ID registrada a terceiros em troca de dinheiro. Isso parece já estar acontecendo. Além de vender, também é possível alugar o RG para um aplicativo por um curto período de tempo.

(3) Hacking de telefones celulares: Se o telefone de alguém for hackeado, o hacker pode roubar a chave que controla seu World ID.

(4) Roubo de identidade imposto pelo governo: Um governo pode forçar os seus cidadãos a verificar enquanto exibem um código QR pertencente ao governo. Desta forma, um governo mal-intencionado poderia obter acesso a milhões de identidades. Nos sistemas biométricos, isto pode até ser feito secretamente: os governos podem usar Orbs obscurecidos para extrair identificações mundiais de todas as pessoas que entram no seu país em quiosques de controlo de passaportes.

O primeiro ponto é específico dos sistemas de prova de identidade biométrica. O segundo e terceiro pontos são comuns em designs biométricos e não biométricos. O quarto ponto também é comum em ambos, embora a tecnologia exigida nos dois casos seja muito diferente nesta seção, focarei na questão no caso biométrico;

Estas são fraquezas muito graves. Alguns já são abordados em protocolos existentes, outros podem ser abordados através de melhorias futuras e outros ainda parecem ser limitações fundamentais.

Como lidamos com manequins?

Para a Worldcoin, isso é muito menos arriscado do que um sistema como o Proof of Humanity: uma varredura ao vivo de uma pessoa pode verificar muitas características de uma pessoa, e é muito difícil falsificar em comparação com apenas falsificar um vídeo. O hardware especializado é inerentemente mais difícil de falsificar do que o hardware comum, que por sua vez é mais difícil de falsificar do que a verificação algorítmica digital de imagens e vídeos enviados remotamente.

Alguém pode imprimir em 3D algo que possa enganar o Orbe? As probabilidades são altas. Prevejo que em algum momento veremos uma tensão crescente entre os objetivos de manter os mecanismos abertos e mantê-los seguros: os algoritmos de IA de código aberto são inerentemente mais suscetíveis ao aprendizado de máquina adversário. Em algum momento no futuro, até mesmo os melhores algoritmos de IA poderão ser enganados pelos melhores manequins impressos em 3D.

No entanto, pelas minhas discussões com as equipes de desenvolvimento do Worldcoin e do Proof of Humanity, parece que nenhum dos protocolos está vendo ataques deepfake significativos no momento, pela simples razão de que contratar trabalhadores reais com baixos salários para se inscreverem em seu nome é incrivelmente barato e Fácil.

Podemos impedir a venda de IDs?

No curto prazo, impedir esta venda é difícil porque a maioria das pessoas no mundo nem sequer conhece o protocolo de identificação humana, e se lhes dissermos que podem ganhar 30 dólares segurando um código QR e escaneando os olhos, eles o farão.

Quando mais pessoas souberam o que era o Protocolo de Identificação Humana, uma mitigação bastante simples tornou-se possível: permitir que pessoas com IDs registrados se registrassem novamente, cancelando seus IDs anteriores. Isso torna as “vendas de identidade” muito menos credíveis, uma vez que a pessoa que lhe vende a identidade pode se registrar novamente, cancelando o registro da identidade que acabou de vender. No entanto, para chegar a este ponto, o protocolo precisa ser muito conhecido e os Orbs precisam ser amplamente acessíveis para possibilitar o registro instantâneo.

Esta é uma das razões pelas quais a integração de tokens UBI em sistemas de identificação humana é valiosa: os tokens UBI fornecem um incentivo fácil de entender para que as pessoas entendam o protocolo e se registrem, e também se tiverem se registrado em nome de outra pessoa, eles serão reiniciados. -registre-se imediatamente.

Podemos prevenir ameaças de aplicação em sistemas de identificação humana baseados em biometria?

Depende de que tipo de coerção estamos falando. Possíveis formas de coerção incluem:

- Os governos examinam os olhos (ou rostos, ou...) das pessoas nos controlos fronteiriços e outros postos de controlo regulares do governo, e utilizam-no para registar (e frequentemente voltar a registar) os seus cidadãos

- O governo proíbe Orbs no país para impedir que as pessoas se registrem de forma independente

- Algumas pessoas compram identidades e depois ameaçam o proprietário com danos se descobrirem que o proprietário se registrou novamente e a identidade foi invalidada.

- O aplicativo (possivelmente administrado pelo governo) exige que as pessoas "façam login" "assinando" diretamente com sua chave pública, permitindo-lhes ver a verificação biométrica correspondente e, portanto, o ID atual do usuário e aquele que obtiveram ao registrar novamente qualquer links entre IDs futuros. Existe uma preocupação comum de que isso tornará muito fácil a criação de um “registro permanente” que dure a vida de uma pessoa.

Para utilizadores menos qualificados, esta situação pode parecer difícil de prevenir completamente. Os usuários podem sair de seu país para (re)registrar-se na Orb em um país mais seguro, mas este é um processo difícil e de alto custo. Num ambiente jurídico verdadeiramente hostil, encontrar um Orb independente parece demasiado difícil e arriscado.

O que funciona é tornar esse abuso mais complicado e mais fácil de detectar. A abordagem da Proof of Humanity, que exige que uma pessoa fale uma frase específica ao se registrar, é um bom exemplo: pode ser suficiente para bloquear varreduras secretas que exigem coerção para serem mais óbvias, e a frase de registro pode até incluir uma declaração confirmando que os entrevistados estão cientes de que têm o direito de se registrar novamente de forma independente e podem receber tokens UBI ou outras recompensas. Orbs usados ​​para impor registro em grande escala podem ter acesso revogado se for detectada coerção.

Um sistema geral de autenticação humana pode bloquear a chave do usuário em hardware confiável, evitando que qualquer processo do aplicativo use a chave diretamente, sem a necessidade de uma camada intermediária ZK-SNARK. Se os governos ou os desenvolvedores de aplicativos quiserem resolver esse problema, eles precisarão forçar o uso de seus próprios aplicativos personalizados.

Através de uma combinação destas técnicas e de um alerta proactivo, parece possível atingir os regimes que são verdadeiramente hostis e manter honestos aqueles que são meramente neutros (como grande parte do mundo). Isso poderia ser feito por projetos como Worldcoin ou Proof of Humanity mantendo sua própria burocracia para esta tarefa, ou revelando mais informações sobre como o ID foi registrado (por exemplo, no Worldcoin, de qual Orb ele veio), e deixar esta tarefa de classificação para o comunidade.

Podemos impedir o aluguel de identidades (por exemplo, aluguel de cédulas)?

O novo registro não impedirá que algumas pessoas aluguem seus documentos de identidade. Em algumas aplicações, isso é aceitável: o custo de alugar o seu direito de receber a parcela de moedas UBI daquele dia será simplesmente o valor das moedas UBI daquele dia. Mas em aplicações como a votação, vender facilmente direitos de voto é um enorme problema.

Sistemas como o MACI impedem que você venda o seu voto, permitindo que você vote novamente mais tarde, invalidando o seu voto anterior para que ninguém possa saber se você realmente votou. Mas não ajudará se o subornador controlar a chave que você recebeu quando se inscreveu.

Vejo duas soluções aqui:

(1) Execute todo o processo de aplicação em uma computação multipartidária (MPC). Isto também inclui o processo de novo registo: quando uma pessoa se regista no MPC, o MPC atribui-lhe um ID que é separado do seu ID de identificação pessoal e não pode ser associado a ele, e quando uma pessoa se regista novamente, apenas o MPC irá saiba qual conta precisa ser desativada. Isto impede que os usuários atestem suas ações porque cada etapa importante é concluída dentro do MPC usando informações privadas conhecidas apenas pelo MPC.

(2) Cerimônia de registro descentralizada. Basicamente, a implementação é algo como este protocolo de registro de chave ao vivo que requer que quatro participantes locais selecionados aleatoriamente trabalhem juntos para registrar alguém. Isso garante que o registro seja um processo “confiável”, onde os invasores não possam espionar.

Os sistemas baseados em gráficos sociais podem ter um melhor desempenho aqui porque podem criar automaticamente um processo de registo local descentralizado como um subproduto da forma como funcionam.

Verificação de identidade humana baseada em biometria versus verificação baseada em gráficos sociais

Além dos métodos biométricos, o principal concorrente atual para a identificação pessoal é a verificação baseada em gráficos sociais. Todos os sistemas de verificação baseados em gráficos sociais seguem o mesmo princípio: se houver um grande grupo de identidades já verificadas que comprovem que sua identidade é válida, então é provável que você seja válido e também deverá ter uma identidade verificada.

Se apenas alguns usuários reais (acidentalmente ou maliciosamente) verificarem usuários falsos, você poderá usar técnicas básicas de teoria dos grafos para determinar um limite máximo para o número de usuários falsos que seu sistema pode verificar.

Os defensores dos sistemas de identificação humana baseados em gráficos sociais frequentemente os descrevem como uma alternativa melhor à biometria pelas seguintes razões:

- Não depende de hardware especializado, facilitando sua implantação;

- Evita uma corrida armamentista permanente entre fabricantes que tentam fazer manequins e Orbs que precisam ser atualizados para rejeitar tais manequins;

- Não há necessidade de coletar dados biométricos, mais proteção à privacidade;

- Pode ser mais favorável ao anonimato, uma vez que se alguém optar por espalhar a sua vida online através de múltiplas identidades que mantém separadas umas das outras, então essas identidades podem ser todas potencialmente verificadas (no entanto, a manutenção de múltiplas identidades reais e separadas ocorre às custas de efeitos de rede e é caro, então um invasor não pode fazer isso facilmente)

Os métodos biométricos fornecem uma pontuação binária de “é humano” ou “não é humano”, o que é frágil: as pessoas que são rejeitadas acidentalmente não poderão ganhar tokens UBI e podem não conseguir participar da vida online. Os métodos baseados em gráficos sociais podem fornecer pontuações numéricas mais granulares, o que pode ser injusto para alguns participantes, mas é improvável que “elimine” completamente uma pessoa.

Minha opinião sobre esses argumentos é que basicamente concordo com eles! Estas são vantagens reais das abordagens baseadas em gráficos sociais e devem ser levadas a sério. No entanto, também vale a pena considerar os pontos fracos das abordagens baseadas em gráficos sociais:

- Orientação: Para um usuário ingressar em um sistema baseado em grafo social, o usuário deve conhecer alguém que já esteja no grafo. Isto dificulta a adoção em massa e exclui potencialmente regiões do mundo que não tiveram sorte durante o lançamento inicial.

- Privacidade: Embora as abordagens baseadas na sociografia evitem a recolha de dados biométricos, muitas vezes revelam informações sobre as relações sociais de uma pessoa, o que pode levar a riscos maiores. É claro que as técnicas de conhecimento zero podem aliviar este problema (ver, por exemplo, esta proposta de Barry Whitehat), mas as interdependências no gráfico e a necessidade de análise matemática do gráfico tornam mais difícil atingir o mesmo nível de dados escondido como biometria.

- Desigualdade: Cada pessoa pode ter apenas uma identificação biométrica, mas uma pessoa rica e bem relacionada pode usar suas conexões para gerar múltiplas identificações. Essencialmente, a mesma flexibilidade pode permitir que um sistema baseado em gráficos sociais forneça vários pseudônimos a alguém (como um ativista) que realmente precisa desse recurso, mas é mais provável que seja alguém mais poderoso e socialmente conectado. Mais pseudônimos podem ser obtidos de menos pessoas. .

- Risco de cair na centralização: a maioria das pessoas tem preguiça de perder tempo informando quem é pessoa real e quem não está em um aplicativo de internet. Portanto, existe o risco de que o sistema, com o tempo, se incline mais para métodos de integração “fáceis” que dependem de autoridade centralizada, e que o “gráfico social” dos utilizadores do sistema se torne na verdade quais países reconhecem quem como cidadãos - — Nos traz KYC centralizado, mas requer etapas adicionais.

A identificação humana é compatível com pseudônimos do mundo real?

Em princípio, a identificação pessoal é compatível com vários pseudónimos. Os aplicativos podem ser projetados de forma que uma pessoa com um único ID físico possa criar até cinco perfis dentro do aplicativo, deixando espaço para contas pseudônimas. Pode-se até usar a fórmula quadrática: custo $N² para N contas. Mas eles vão?

No entanto, um pessimista poderá argumentar que é ingénuo tentar criar uma forma de identificação mais focada na privacidade e esperar que ela seja adoptada da forma correcta, porque os poderosos não se preocupam com a privacidade, e se um actor poderoso tiver um Ferramentas usadas para obter mais informações sobre uma pessoa, elas farão isso. Num mundo assim, prossegue este argumento, a única forma realista, infelizmente, é minar qualquer solução de identificação e defender um mundo de ilhas totalmente anónimas e digitais de comunidades de alta confiança.

Compreendo a lógica subjacente a esta forma de pensar, mas receio que esta abordagem, mesmo que seja bem-sucedida, conduza a um mundo onde não há forma de fazer nada contra a concentração da riqueza e a centralização da governação, porque é sempre possível fingir que somos Dez mil pessoas. Por sua vez, tal ponto centralizado seria facilmente controlado pelos poderosos. Em vez disso, prefiro uma abordagem modesta, onde devemos defender fortemente soluções de prova pessoal com forte privacidade, possivelmente até incluindo um mecanismo de "custo de $ N² para N contas" no nível do protocolo, se necessário, e criar algo que se alinhe com valores favoráveis ​​à privacidade ​​e tem chance de ser aceito pelo mundo exterior.

Então... o que eu acho?

Quando se trata de identificação pessoal, não existe uma forma ideal. Em vez disso, temos pelo menos três abordagens diferentes, cada uma com as suas vantagens e desvantagens únicas. Um gráfico de comparação pode ser assim:

Idealmente, deveríamos encarar estas três tecnologias como complementares e combiná-las. Como demonstra o Aadhaar da Índia, a biometria de hardware dedicada tem a vantagem da segurança em escala. São muito fracos na descentralização, embora isto possa ser resolvido colocando esferas individuais no comando.

A biometria universal é fácil de adotar hoje em dia, mas a sua segurança está a diminuir rapidamente e só poderá funcionar durante mais 1 a 2 anos. Os sistemas baseados em gráficos sociais, guiados por centenas de pessoas que estão socialmente próximas da equipa fundadora, podem enfrentar um compromisso constante de perderem completamente grandes partes do mundo ou de serem vulneráveis ​​a ataques de comunidades que não podem ver. No entanto, um sistema baseado em gráficos sociais, desenvolvido por dezenas de milhões de titulares de identificações biométricas, poderia realmente funcionar. A orientação biométrica pode funcionar melhor a curto prazo, enquanto as tecnologias baseadas em gráficos sociais podem ser mais robustas a longo prazo e assumir maior responsabilidade ao longo do tempo, à medida que os algoritmos melhoram.

Possíveis caminhos de desenvolvimento misto no futuro

Todas estas equipas podem cometer muitos erros e existem tensões inevitáveis ​​entre os interesses corporativos e as necessidades da comunidade em geral, pelo que devemos permanecer extremamente vigilantes. Como comunidade, podemos e devemos empurrar todos os participantes para além da zona de conforto do código aberto das suas tecnologias, exigindo auditorias de terceiros e até software escrito por terceiros, entre outras verificações e equilíbrios. Também precisamos de mais opções em todas as categorias.

Ao mesmo tempo, também é importante reconhecer o trabalho que tem sido feito: muitas das equipas que gerem estes sistemas demonstraram vontade de levar a privacidade mais a sério do que quase qualquer sistema de identidade gerido por governos ou grandes empresas, e isso é um sucesso que deveríamos aprender de.

O problema de criar um sistema de prova física eficaz e confiável nas mãos de pessoas distantes da comunidade criptográfica existente parece bastante desafiador. Definitivamente, não invejo aqueles que tentam essa tarefa; pode levar vários anos para encontrar uma solução que funcione. O princípio da identificação física parece muito valioso em princípio e, embora vários métodos de implementação tenham os seus riscos, o mesmo acontece com a ausência de qualquer identificação física: é mais provável que um mundo sem identificação física seja um mundo dominado por soluções de identidade centralizadas. dominado pelo dinheiro, pequenos condomínios fechados ou alguma combinação dos três. Estou ansioso por ver mais progressos em todos os tipos de certificação pessoal e espero ver as abordagens díspares eventualmente integradas num todo coerente.

aviso de risco:

De acordo com o "Aviso sobre Prevenção e Tratamento Adicional de Riscos de Especulação em Transações de Moeda Virtual" emitido pelo banco central e outros departamentos, o conteúdo deste artigo é apenas para compartilhamento de informações e não promove ou endossa qualquer comportamento comercial ou de investimento dos leitores. são solicitados a cumprir rigorosamente as leis e regulamentos de sua região e a não se envolver em quaisquer práticas financeiras ilegais.