Вчера был официально запущен Worldcoin, проект шифрования, соучредителем которого является основатель OpenAI Сэм Альтман. Это проект зашифрованной системы идентификации, который генерирует и проверяет World ID (личность) пользователей путем сканирования радужной оболочки глаза пользователя с помощью сканера глаз Orb.

В тот же день Ethereum LianVin опубликовал статью «Что я думаю о биометрическом подтверждении личности?», в которой объяснил свои взгляды на Worldcoin и доказательство личности человека. Научно-исследовательский институт Байзе собрал следующее:

Люди в сообществе Ethereum пытались найти децентрализованное решение проблемы «Доказательство человечности», которая всегда была одной из самых сложных, но ценных проблем. Human ID — это ограниченная форма реальной личности, которая позволяет реальному человеку управлять зарегистрированной учетной записью, в идеале без раскрытия реального человека, стоящего за ней.

Криптосообщество уже предприняло много усилий, чтобы попытаться решить эту проблему: BrightID, Idena и Circles являются показательными примерами. Некоторые из них поставляются со своими собственными приложениями (обычно токенами UBI), а некоторые нашли в Gitcoin Passport обходные пути для проверки того, какие учетные записи действительны для вторичного голосования. Технологии с нулевым разглашением информации, такие как Sismo, повышают конфиденциальность многих подобных решений.

Лишь недавно мы стали свидетелями появления более крупного и амбициозного проекта человеческой идентичности: Worldcoin.

Worldcoin был основан Сэмом Альтманом, который ранее был известен как генеральный директор OpenAI. Идея проекта проста: искусственный интеллект (ИИ) создаст много богатства человечеству, но он также может лишить многих рабочих мест, потому что ИИ в конечном итоге разовьется до такой степени, что будет практически невозможно сказать, кто именно. это человек, а не робот. Итак, нам нужно заполнить эту дыру:

(1) Создать очень хорошую систему идентификации людей, чтобы люди могли доказать, что они на самом деле настоящие люди;

(2) Предоставить UBI всем. Worldcoin уникален тем, что он опирается на сложную биометрическую технологию, использующую так называемую

Специализированное оборудование «Орба» сканирует радужную оболочку каждого пользователя.

Цель Worldcoin — производить большое количество этих «сфер» и широко распространять их по всему миру, размещая их в общественных местах, чтобы каждый мог легко получить свой собственный идентификатор — World ID.

К чести Worldcoin, она также стремится к развитию децентрализации. Это означает децентрализацию технологии: использование OP Stack, чтобы стать L2 Ethereum, и использование ZK-SNARK и других технологий шифрования для защиты конфиденциальности пользователей, а также включение децентрализованного управления самой системой. Worldcoin подвергался критике за проблемы конфиденциальности и безопасности Orb, проблемы с дизайном ее токена и этичность некоторых решений, принятых компанией. Фактически, сам проект Worldcoin все еще находится на стадии доработки и разработки. Однако некоторые высказывают более фундаментальные опасения по поводу того, получит ли биометрия — не только биометрия сканирования глаз Worldcoin, но и более простые загрузки и проверки видео с лицами, используемые в Proof of Humanity и Idena — признание общественности?

Конечно, нет недостатка в критиках этих проектов, поскольку риски включают неизбежные нарушения конфиденциальности, дальнейшее разрушение возможности людей анонимно пользоваться Интернетом, принуждение со стороны авторитарных правительств и способы обеспечения безопасности при децентрализации.

В этой статье будут обсуждаться эти проблемы и приводятся некоторые аргументы, которые помогут вам решить, является ли сканирование радужной оболочки глаза перед «сферическим» инструментом Worldcoin хорошей идеей? И какова альтернатива отказу от разработки доказательств личности человека?

Что такое система идентификации человека и почему она важна?

Самый простой способ определить систему подтверждения личности — создать список открытых ключей, и система гарантирует, что каждый ключ контролируется уникальным человеком. Другими словами, если вы человек, вы можете добавить в список один ключ, но не можете добавить два ключа, а если вы робот, вы не можете добавить в список ни одного ключа.

Идентификация человека ценна, поскольку она решает проблемы борьбы со спамом и антицентрализацией власти, с которыми сталкиваются многие, таким образом, чтобы избежать зависимости от централизованной власти и раскрыть как можно меньше информации. Если не решить проблему проверки личности человека, децентрализованное управление (включая «микроуправление», такое как голосование в социальных сетях) станет легче контролироваться очень богатыми субъектами, в том числе враждебными правительствами. Многие службы могут защитить от атак типа «отказ в обслуживании», только установив цену за доступ, а иногда цена, которая достаточно высока, чтобы исключить злоумышленников, также слишком высока для многих законных пользователей с низким доходом.

Многие крупные приложения в мире сегодня решают эту проблему, используя поддерживаемые государством системы идентификации, такие как удостоверения личности и паспорта. Это действительно решает проблему, но приносит огромную и неприемлемую жертву конфиденциальности и может стать объектом незначительных нападок со стороны самого правительства.

Во многих проектах человеческой идентификации – не только в Worldcoin, но и во «флагманских приложениях», таких как Circles, встроен код «токенов, доступных каждому» (также известный как «токены UBI»). Каждый пользователь, зарегистрированный в системе, получает определенное фиксированное количество токенов каждый день (или ежечасно, или еженедельно). Существует множество других приложений, в том числе:

- Механизм Airdrop для распределения токенов

- Продажа токенов или NFT на более выгодных условиях для менее богатых пользователей.

- Голосование в ДАО

- Как инициализировать графическую систему репутации

- Вторичное голосование (выплата средств и внимания)

- Защита от атак ботов/сивилл в социальных сетях

- Альтернатива CAPTCHA для предотвращения DoS-атак.

Во многих из этих случаев общей темой является создание открытых и демократических механизмов, позволяющих избежать централизованного контроля операторов проекта и доминирования его самых богатых пользователей. Последнее особенно важно в децентрализованном управлении.

В подобных ситуациях существующие сегодня решения полагаются на:

(1) Очень непрозрачные алгоритмы искусственного интеллекта, которые осуществляют необнаружимую дискриминацию пользователей, которые не нравятся оператору.

(2) Централизованная идентификация, а именно «KYC».

Таким образом, эффективное решение для проверки личности было бы лучшим вариантом для достижения свойств безопасности, требуемых этими приложениями, не попадая в ловушки существующих централизованных подходов.

Каковы были первые попытки идентификации человека?

Существует две основные формы идентификации человека: социальные графы и биометрия.

Доказательство человеческой идентичности, основанное на социальных графах, опирается на некоторую форму доказательства: если Алиса, Боб, Чарли и Дэвид — проверенные люди, и все они говорят, что Эмили — проверенный человек, то Эмили, вероятно, также является проверенным человеческим Человечеством.

Это оправдание часто подкрепляется стимулами: если Алиса говорит, что Эмили — реальный человек, а оказывается, что это не так, то и Алиса, и Эмили могут быть наказаны.

Биометрическая идентификация человека предполагает проверку некоторых физических или поведенческих характеристик Эмили, которые отличают людей от роботов (и отдельных людей друг от друга).

Большинство проектов используют комбинацию этих двух технологий.

Четыре системы, которые я упомянул в начале этой статьи, примерно следующие:

(1) Доказательство человечности: вы загружаете собственное видео и вносите залог. Чтобы получить одобрение, существующие пользователи должны поручиться за вас, а другие претенденты бросят вам вызов в течение определенного периода времени. Если есть претендент, децентрализованный суд Kleros проверит подлинность вашего видео. В противном случае залог будет конфискован, а претендент получит вознаграждение.

(2) BrightID: вы присоединяетесь к «группе проверки» видеозвонка с другими пользователями, и все проверяют друг друга. С Bitu вы можете получить более высокий уровень проверки, если за вас поручится достаточное количество других проверенных пользователей Bitu.

(3) Идена: вам необходимо сыграть в игру CAPTCHA в определенный момент времени (чтобы люди не могли участвовать более одного раза); часть игры CAPTCHA включает создание и проверку CAPTCHA, которые будут использоваться для проверки других;

(4) Circle: существующие пользователи Circle должны поручиться за вас. Circles уникален тем, что он не пытается создать «глобальный проверяемый идентификатор», вместо этого он создает график доверия, в котором чью-либо надежность можно проверить только с вашей собственной позиции в этом графике;

Как работает Worldcoin?

Каждый пользователь Worldcoin должен установить на свой телефон приложение, которое генерирует закрытые и открытые ключи, как кошелек Ethereum. Затем им придется выйти в автономный режим и лично найти поддающуюся проверке «Сферу». Пользователи смотрят в камеру Orb, показывая Orb QR-код, сгенерированный их приложением Worldcoin, который содержит их открытый ключ. Orb сканирует глаза пользователя и использует сложное аппаратное сканирование и классификаторы машинного обучения, чтобы проверить:

(1) является ли пользователь реальным человеком; (2) радужная оболочка пользователя не совпадает с радужной оболочкой любого другого пользователя, который использовал систему раньше.

Если оба сканирования пройдут успешно, Orb подпишет сообщение, подтверждающее частный хэш сканирования радужной оболочки глаза пользователя. Хэши загружаются в базу данных — в настоящее время это централизованный сервер, который будет заменен децентрализованной системой цепочки, как только они определят, что механизм хеширования работает. Система не хранит полное сканирование радужной оболочки глаза, а хранит только хэши, которые используются для проверки уникальности. С этого момента у пользователя есть «World ID».

Владельцы World ID могут доказать, что они являются уникальным человеком, создав ZK-SNARK, чтобы доказать, что они владеют закрытым ключом, который соответствует открытому ключу в базе данных, не раскрывая, какой ключ они имеют. Таким образом, даже если кто-то повторно просканирует ваши радужные оболочки, он не сможет увидеть какие-либо предпринятые вами действия.

Каковы основные проблемы при создании Worldcoin?

Людей в основном беспокоят четыре риска:

(1) Конфиденциальность

Реестр сканирований радужной оболочки может раскрыть информацию. По крайней мере, если кто-то другой отсканирует ваши радужные оболочки, он сможет сравнить их с базой данных, чтобы определить, есть ли у вас World ID. Сканирование радужной оболочки может показать больше.

(2) Доступность

Если сфер не будет достаточно, чтобы любой человек в мире мог легко их найти, World ID не будет надежно доступен.

(3) Централизация

Orb — это аппаратное устройство, и мы не можем проверить, правильно ли оно сконструировано и не имеет бэкдоров. Таким образом, даже если бы уровень программного обеспечения был идеальным и полностью децентрализованным, у Worldcoin Foundation все равно была бы возможность вставить в систему бэкдор, позволяющий ей создавать столько поддельных человеческих личностей, сколько он захочет.

(4)Безопасность

Телефоны пользователей могут быть взломаны, пользователей могут заставить сканировать собственную радужную оболочку, предъявив при этом открытый ключ, принадлежащий кому-то другому, а также можно напечатать «манекен» на 3D-принтере и отсканировать радужную оболочку, чтобы получить World ID.

Важно различать:

(1) Проблемы выбора, специфичные для Worldcoin;

(2) Проблемы, которые неизбежны в любой биометрической системе идентификации человека;

(3) Проблемы, которые будут существовать в любой системе идентификации человека. Например, подписка на Proof of Humanity означает появление своего лица в Интернете.

Даже присоединение к «вечерине проверки» видеозвонка BrightID не изменит ситуацию полностью, поскольку ваша личность по-прежнему будет раскрыта множеству других людей. Присоединение к кругам делает ваш социальный график общедоступным.

Worldcoin гораздо лучше защищает конфиденциальность, чем они оба.

Worldcoin, с другой стороны, полагается на специализированное оборудование, что поднимает вопрос о том, можно ли полностью доверять создателям Orb. Этого нет в Proof of Humanity, BrightID или Circles. Вполне возможно даже, что в будущем кто-то сможет создать специальное аппаратное решение, отличное от Worldcoin, и у которого будут другие компромиссы.

Как биометрическая система идентификации человека решает проблемы конфиденциальности?

Наиболее очевидным и крупнейшим потенциальным нарушением конфиденциальности любой системы идентификации человека является привязка действий каждого человека к его реальной личности. Такая утечка данных очень велика, и ее можно назвать неприемлемо большой. Но, к счастью, эту проблему легко решить, используя методы доказательства с нулевым разглашением.

Вместо того, чтобы подписывать напрямую закрытым ключом, соответствующий открытый ключ которого находится в базе данных, пользователи могут создать ZK-SNARK, который доказывает, что они владеют закрытым ключом, соответствующим определенному открытому ключу в базе данных, не раскрывая, какой именно ключ у них есть. прямого подписания закрытым ключом, соответствующим открытому ключу в базе данных. Это можно сделать с помощью таких инструментов, как Sismo, а у Worldcoin есть собственная встроенная реализация. Здесь стоит похвалить Worldcoin за то, что он является «крипто-родной» системой проверки личности человека: они действительно заботятся о том, чтобы сделать фундаментальный шаг ZK-SNARK по обеспечению анонимности, чего не делают почти все централизованные решения для идентификации.

Существование публичного реестра биометрических данных является более тонким нарушением конфиденциальности. В случае с «Доказательством человечности» это централизует огромный объем данных: вы получаете видео каждого участника «Доказательства человечности», что делает его очень понятным для любого в мире, кто желает выяснить, кто является участниками «Доказательства человечности».

В случае с Worldcoin утечка гораздо более ограничена: Orb вычисляет и публикует только «хэш» сканирования радужной оболочки каждого человека локально. Этот хеш не является обычным хешем, таким как SHA256, а представляет собой специализированный алгоритм, основанный на фильтре Габора машинного обучения, который обрабатывает неточности, присущие любому биометрическому сканированию, и гарантирует, что радужная оболочка одного и того же человека имеет одинаковые выходные данные.

Синий: процент битовых различий между двумя сканами радужной оболочки одного и того же человека. Оранжевый: процент битовых различий между двумя сканами радужной оболочки двух разных людей.

Эти хеши радужной оболочки могут передавать лишь небольшой объем данных. Если злоумышленник может принудительно (или тайно) просканировать вашу радужную оболочку, он сможет самостоятельно вычислить хэш вашей радужной оболочки и сравнить его с базой данных хэшей радужной оболочки, чтобы узнать, участвуете ли вы в системе. Эта возможность проверять, зарегистрировался ли кто-то уже, необходима самой системе, чтобы предотвратить повторную регистрацию людей, но она также может быть использована для злоупотреблений.

Кроме того, хеширование радужной оболочки глаза потенциально может привести к утечке определенного количества медицинских данных (пол, раса и, возможно, состояние здоровья), но эта утечка гораздо меньше, чем почти любая другая широкомасштабная система сбора данных, используемая сегодня (например, даже уличные данные). камеры) данные, которые можно записать. В целом, я считаю, что конфиденциальность хранения хешей радужной оболочки глаза кажется достаточной.

Если кто-то не согласен с этим суждением и решает разработать систему с большей конфиденциальностью, есть два способа сделать это:

1. Если алгоритм хеширования радужной оболочки можно улучшить так, чтобы разница между двумя сканами одного и того же человека была меньше (например, достоверно менее 10% битовых переворотов), то система может хранить меньшее количество битов хеширования радужной оболочки глаза с исправленными ошибками. (см.: Fuzzy Extractor) вместо сохранения полного хэша радужной оболочки. Если разница между двумя сканами менее 10%, то необходимо публиковать как минимум в 5 раз меньше битов.

2. Если мы хотим пойти дальше, мы можем хранить хеш-базу данных iris в системе многосторонних вычислений (MPC), к которой может получить доступ только Orb (с ограничениями скорости), что делает данные полностью недоступными, но за счет Значительная сложность протокола и социальная сложность управления коллекцией участников MPC. Преимущество этого будет заключаться в том, что пользователи не смогут доказать связь между двумя разными World ID, которые у них были в разное время, даже если бы они этого захотели.

К сожалению, эти методы неприменимы к «Доказательству человечности», которое требует, чтобы полное видео каждого участника было общедоступным, чтобы можно было возбудить проблемы в случае возникновения признаков подделки (включая подделку, созданную искусственным интеллектом), и в таких случаях более подробная информация. расследование проводится ниже.

В целом, несмотря на антиутопическую атмосферу, когда вы смотрите на Сферу и глубоко сканируете ваши глазные яблоки, специализированные аппаратные системы, похоже, неплохо справляются с защитой конфиденциальности. Однако обратной стороной этого является то, что специализированные аппаратные системы создают большие проблемы с централизацией. Таким образом, мы, шифропанки, похоже, оказались в затруднительном положении: нам приходится искать компромисс между двумя глубоко укоренившимися ценностями шифропанков.

Каковы проблемы доступности в биометрических системах идентификации человека?

Специализированное оборудование создает проблемы с доступностью, поскольку специализированное оборудование не всегда доступно. Сегодня от 51% до 64% ​​жителей стран Африки к югу от Сахары владеют смартфоном, и ожидается, что к 2030 году эта цифра увеличится до 87%.

Но хотя в мире существуют миллиарды смартфонов, Сфер всего несколько сотен. Даже при крупномасштабном распределенном производстве будет сложно получить Сферу в радиусе пяти километров от каждого.

Но похвально, что Worldcoin усердно работает!

Также стоит отметить, что многие другие формы идентификации человека имеют еще более серьезные проблемы с доступностью. Если вы уже не знаете кого-то из социального графа, присоединиться к системе человеческой идентичности, основанной на социальном графе, очень сложно. Это позволяет легко ограничить использование таких систем одним сообществом в одной стране.

Даже централизованные системы идентификации усвоили этот урок: индийская система идентификации Aadhaar основана на биометрических данных, поскольку это был единственный способ быстро подключить к себе огромное население страны, избегая при этом массового мошенничества с использованием дубликатов и фальшивых учетных записей (что позволяет сэкономить много средств). Конечно, система Aadhaar гораздо менее обеспечивает конфиденциальность, чем что-либо, предлагаемое криптосообществом в масштабе.

Наиболее эффективными системами с точки зрения доступности на самом деле являются такие системы, как Proof of Humanity, где вы можете зарегистрироваться, используя только свой смартфон. Однако, как мы видели, такие системы имеют ряд других компромиссов.

Каковы проблемы централизации в биометрических системах идентификации человека?

Есть три типа вопросов:

(1) Существует риск централизации на высшем уровне управления системой (особенно, когда у разных участников системы возникают разногласия по субъективным суждениям, и система принимает окончательное решение на высшем уровне).

(2) Риски централизации, характерные только для систем, использующих выделенное оборудование;

(3) Риск централизации, связанный с использованием запатентованных алгоритмов для определения реальных участников.

Любая система идентификации человека должна решать проблему (1), если только «принятые» идентификаторы в системе не являются полностью субъективными. Если система использует внешние активы (например, ETH, USDC, DAI) для ценообразования стимулов, то она не может быть полностью субъективной, поэтому риск управления неизбежен.

Проблема (2) гораздо более рискованна для Worldcoin, чем Proof of Humanity (или BrightID), поскольку Worldcoin полагается на специализированное оборудование, которого нет в других системах.

Проблема (3) представляет собой особый риск для централизованных систем, которые имеют единую систему проверки, если только все алгоритмы не имеют открытый исходный код и у нас нет уверенности, что они действительно выполняют код, за который они выдают себя. Для систем, которые полностью полагаются на аутентификацию пользователей другими пользователями (например, Proof of Humanity), это не представляет риска.

Как Worldcoin решает проблему аппаратной централизации?

В настоящее время Tools for Humanity — единственная организация, производящая сферы. Однако исходный код Orb в основном общедоступен: вы можете увидеть спецификации оборудования в репозитории GitHub, а остальная часть исходного кода, как ожидается, будет опубликована в ближайшее время. Лицензия Orb — это еще одна лицензия «делиться исходным кодом, но не технически открытым исходным кодом до четырех лет», аналогичная лицензии Uniswap BSL, и помимо предотвращения форков она также предотвращает то, что они считают неэтичным поведением — массовую слежку и три международных права человека. декларации указаны отдельно.

Заявленная цель «Инструментов для человечества» — позволить и поощрять другие организации создавать сферы, а со временем перейти от сфер, созданных Инструментами для человечества, к созданию своего рода DAO, который утверждает и управляет тем, какие организации могут создавать сферы, которые одобряет система.

Но эта конструкция может выйти из строя по двум причинам:

1. На самом деле не удается децентрализовать. Возможно, это связано с распространенной ошибкой DAO: один производитель становится доминирующим в производстве, что приводит к рецентрализации системы. Грубо говоря, управление может ограничить количество действительных сфер, которые может произвести каждый производитель, но этим необходимо тщательно управлять, и на управление оказывается большое давление, чтобы оно было как децентрализованным, так и способным эффективно контролировать экосистему и эффективно реагировать на угрозы: это Гораздо сложнее, чем довольно статичный DAO, который занимается только задачами по разрешению споров верхнего уровня.

2. Создание такого децентрализованного производственного механизма для обеспечения безопасности может оказаться невозможным. Здесь я вижу два риска:

(1) Появление производителей сфер. Даже если существует злонамеренный или взломанный создатель сфер, он также может генерировать неограниченное количество поддельных хэшей сканирования радужной оболочки глаза и давать им мировые идентификаторы.

(2) Правительственные ограничения на сферы: правительства, которые не хотят, чтобы их граждане участвовали в экосистеме Worldcoin, могут запретить своим странам использовать сферы. Сделав еще один шаг вперед, они могли бы даже заставить граждан пройти сканирование радужной оболочки глаза, что позволит правительству получить доступ к их учетным записям, а граждане не смогут с этим справиться.

Чтобы сделать систему более устойчивой к плохим производителям сфер, команда Worldcoin предлагает проводить регулярные проверки сфер, чтобы убедиться, что они построены правильно, что критические аппаратные компоненты созданы в соответствии со спецификациями и что они не подвергались вмешательству после факт. Это непростая миссия: по сути, она похожа на агентство ядерных инспекций МАГАТЭ, только для Сфер. Мы надеемся, что даже очень несовершенная система аудита сможет существенно сократить количество фейковых Сфер.

Чтобы ограничить ущерб, причиняемый любой плохой сферой, необходима вторая мера по смягчению последствий. Даже использование World ID, зарегистрированных разными производителями Сфер, в идеале использование разных Сфер должно отличаться друг от друга. Это приемлемо, если информация является конфиденциальной и хранится только на устройстве владельца World ID, но при необходимости это необходимо доказать; Это позволяет экосистеме реагировать на (неизбежные) атаки, удаляя отдельных производителей Сфер или даже отдельные Сферы из белого списка в любое время, если это необходимо. Если мы увидим, что правительство Северной Кореи заставляет людей сканировать свои глазные яблоки, эти сферы и любые созданные ими учетные записи могут быть немедленно отключены задним числом.

Каковы проблемы безопасности при общей идентификации человека?

Помимо проблем, специфичных для Worldcoin, существуют проблемы, влияющие на разработку систем идентификации человека. Основные из них, о которых я могу думать, это:

(1) 3D-печатные манекены: можно использовать ИИ для создания фотографий или даже 3D-печати манекенов, которые достаточно реалистичны, чтобы их можно было принять программным обеспечением Orb. Если группа сделает это, они смогут генерировать неограниченное количество идентификаторов.

(2) World ID может быть продан: при регистрации люди могут предоставить чужой открытый ключ вместо своего, тем самым передавая контроль над своим зарегистрированным идентификатором другим лицам в обмен на деньги. Кажется, это уже происходит. Помимо продажи, также возможна аренда ID к приложению на короткий период времени.

(3) Взлом мобильного телефона. Если чей-то телефон взломан, хакер может украсть ключ, который контролирует его World ID.

(4) Кража личных данных по инициативе правительства. Правительство может заставить своих граждан пройти проверку при отображении QR-кода, принадлежащего правительству. Таким образом, злонамеренное правительство может получить доступ к миллионам идентификаторов. В биометрических системах это можно делать даже скрытно: правительства могут использовать скрытые сферы для получения World ID у всех, кто въезжает в их страну, в киосках паспортного контроля.

Первый пункт характерен для биометрических систем идентификации. Второй и третий пункты являются общими как для биометрических, так и для небиометрических конструкций. Четвертый пункт также является общим для обоих случаев, хотя технологии, необходимые в обоих случаях, будут сильно различаться, в этом разделе я сосредоточусь на проблеме биометрического случая;

Это очень серьезные недостатки. Некоторые из них уже рассмотрены в существующих протоколах, другие могут быть устранены путем будущих улучшений, а третьи представляют собой фундаментальные ограничения.

Как мы относимся к чайникам?

Для Worldcoin это гораздо менее рискованно, чем такая система, как Proof of Humanity: сканирование человека в реальном времени может проверить многие характеристики человека, и его довольно сложно подделать по сравнению с простым дипфейком видео. Специализированное оборудование по своей сути сложнее подделать, чем обычное оборудование, которое, в свою очередь, труднее подделать, чем цифровую алгоритмическую проверку удаленно отправленных изображений и видео.

Может ли кто-нибудь напечатать в 3D что-нибудь, что сможет обмануть Сферу? Шансы высоки. Я прогнозирую, что в какой-то момент мы увидим растущее противоречие между целями сохранения механизмов открытыми и обеспечения их безопасности: алгоритмы ИИ с открытым исходным кодом по своей сути более восприимчивы к состязательному машинному обучению. Когда-нибудь в будущем даже лучшие алгоритмы искусственного интеллекта могут быть обмануты лучшими манекенами, напечатанными на 3D-принтере.

Однако из моих обсуждений с командами разработчиков Worldcoin и Proof of Humanity выяснилось, что ни один из протоколов на данный момент не подвергается серьёзным дипфейковым атакам по той простой причине, что нанимать реальных низкооплачиваемых работников для регистрации от вашего имени невероятно дешево и Легкий.

Можем ли мы предотвратить продажу удостоверений личности?

В краткосрочной перспективе предотвратить эту продажу сложно, потому что большинство людей в мире даже не знают о протоколе идентификации человека, и если вы скажете им, что они могут заработать 30 долларов, подняв QR-код и отсканировав свои глаза, они это сделают.

Как только люди узнали, что такое Протокол идентификации человека, стало возможным довольно простое смягчение последствий: разрешить людям с зарегистрированными удостоверениями личности перерегистрироваться, аннулировав свои предыдущие удостоверения личности. Это делает «продажу удостоверений личности» гораздо менее заслуживающей доверия, поскольку человек, продающий вам удостоверение личности, может перерегистрироваться, отменив регистрацию удостоверения личности, которое он только что продал. Однако, чтобы достичь этого момента, протокол должен быть очень хорошо известен, а Сферы должны быть широко доступны, чтобы сделать возможной мгновенную регистрацию.

Это одна из причин, почему интеграция токенов UBI в системы идентификации людей ценна: токены UBI предоставляют людям простой для понимания стимул понять протокол и зарегистрироваться, а также, если они зарегистрировались от имени кого-то другого, они будут повторно зарегистрированы. -зарегистрируйтесь немедленно.

Можем ли мы предотвратить угрозы правоприменения в системах идентификации человека на основе биометрических данных?

Это зависит от того, о каком принуждении мы говорим. К возможным формам принуждения относятся:

- Правительства сканируют глаза (или лица, или...) людей на пограничном контроле и других обычных государственных контрольно-пропускных пунктах и ​​используют это для регистрации (и часто перерегистрации) своих граждан.

- Правительство запрещает сферы в стране, чтобы люди не могли зарегистрироваться самостоятельно.

- Некоторые люди покупают удостоверения, а затем угрожают владельцу причинением вреда, если узнают, что владелец перерегистрировался и удостоверение признано недействительным.

- Приложение (возможно, государственное) требует, чтобы люди «входили в систему», «подписываясь» непосредственно своим открытым ключом, что позволяет им видеть соответствующее биометрическое сканирование и, следовательно, текущий идентификатор пользователя и тот, который они получили при перерегистрации Любой связи между будущими идентификаторами. Существует общее опасение, что это упростит создание «постоянной записи», которая будет храниться на протяжении всей жизни человека.

Менее опытным пользователям может показаться, что такую ​​ситуацию сложно полностью предотвратить. Пользователи могут покинуть свою страну, чтобы (пере) зарегистрироваться в Orb в более безопасной стране, но это сложный процесс и высокая стоимость. В поистине враждебной правовой среде найти независимую Сферу кажется слишком трудным и рискованным.

Что работает, так это то, что подобные злоупотребления становятся более громоздкими и их легче обнаружить. Хорошим примером является подход Proof of Humanity, который требует от человека произнести определенную фразу при регистрации: этого может быть достаточно, чтобы заблокировать скрытое сканирование, требующее принуждения, чтобы оно было более очевидным, а регистрационная фраза может даже включать заявление, подтверждающее, что Респонденты осознавая, что они имеют право самостоятельно перерегистрироваться и могут получить токены UBI или другие вознаграждения. Доступ к сферам, используемым для принудительной регистрации в больших масштабах, может быть отозван, если будет обнаружено принуждение.

Обычная система аутентификации человека может заблокировать ключ пользователя на доверенном оборудовании, предотвращая прямое использование ключа любым процессом приложения без необходимости использования промежуточного уровня ZK-SNARK. Если правительства или разработчики приложений хотят решить эту проблему, им необходимо заставить использовать свои собственные приложения.

Благодаря сочетанию этих методов и упреждающего предупреждения кажется возможным нацеливаться на те режимы, которые действительно враждебны, и сохранять честность тех, которые просто нейтральны (как и большая часть мира). Это может быть сделано с помощью таких проектов, как Worldcoin или Proof of Humanity, поддерживающих собственную бюрократию для этой задачи, или путем раскрытия дополнительной информации о том, как идентификатор был зарегистрирован (например, в Worldcoin, из какой сферы он получен), и оставьте эту задачу классификации на усмотрение сообщество.

Можем ли мы предотвратить аренду удостоверений личности (например, аренду бюллетеней)?

Перерегистрация не помешает некоторым людям сдавать свои удостоверения личности в аренду. В некоторых приложениях это нормально: стоимость аренды вашего права на получение доли монет UBI в этот день будет просто стоимостью монет UBI этого дня. Но в таких приложениях, как голосование, простая продажа прав голоса является огромной проблемой.

Такие системы, как MACI, не позволяют вам продать свой голос, позволяя вам отдать еще один голос позже, аннулируя ваш предыдущий голос, так что никто не сможет узнать, действительно ли вы проголосовали за него. Но это не поможет, если взяткодатель будет контролировать ключ, который вы получили при регистрации.

Я вижу здесь два решения:

(1) Запустите весь процесс приложения в рамках многосторонних вычислений (MPC). Это также включает в себя процесс перерегистрации: когда человек регистрируется в MPC, MPC присваивает ему идентификатор, который отличается от его личного идентификатора и не может быть связан с ним, а когда человек перерегистрируется, только MPC будет знать, какую учетную запись необходимо деактивировать. Это не позволяет пользователям подтверждать свои действия, поскольку каждый важный шаг выполняется внутри MPC с использованием частной информации, известной только MPC.

(2) Децентрализованная церемония регистрации. По сути, реализация представляет собой что-то вроде протокола регистрации живых ключей, который требует, чтобы четыре случайно выбранных локальных участника работали вместе, чтобы зарегистрировать кого-либо. Это гарантирует, что регистрация является «доверенным» процессом, который злоумышленники не смогут подслушать.

Системы на основе социальных графов могут работать здесь лучше, поскольку они могут автоматически создавать локальный децентрализованный процесс регистрации как побочный продукт своей работы.

Биометрическая проверка личности человека против проверки на основе социальных графов

Помимо биометрических методов, в настоящее время основным претендентом на идентификацию личности является верификация на основе социальных графов. Все системы проверки на основе социальных графов следуют одному и тому же принципу: если существует большая группа уже проверенных личностей, которые доказывают, что ваша личность действительна, то вы, скорее всего, действительны и также должны иметь подтвержденную личность.

Если только несколько реальных пользователей (случайно или злонамеренно) проверяют фальшивых пользователей, то вы можете использовать базовые методы теории графов, чтобы определить верхний предел количества фальшивых пользователей, которые может проверить ваша система.

Сторонники систем идентификации человека на основе социальных графов часто описывают их как лучшую альтернативу биометрии по следующим причинам:

- Он не зависит от специализированного оборудования, что упрощает его развертывание;

- Это позволяет избежать постоянной гонки вооружений между производителями, пытающимися сделать манекены, и Сферами, которые необходимо обновлять, чтобы отказаться от таких манекенов;

- Нет необходимости собирать биометрические данные, больше защиты конфиденциальности;

- Это может быть более дружественным к анонимности, поскольку, если кто-то решит разделить свою онлайн-жизнь на несколько личностей, которые он поддерживает отдельно друг от друга, тогда все эти личности потенциально могут быть проверены (однако поддержание нескольких реальных и отдельных личностей происходит за счет сетевые эффекты и являются дорогостоящими, поэтому злоумышленнику будет нелегко это сделать)

Биометрические методы дают двоичную оценку «является человеком» или «не является человеком», что является хрупким: люди, которым случайно отказали, не смогут зарабатывать токены UBI и не смогут участвовать в онлайн-жизни. Методы, основанные на социальных графах, могут дать более детальные числовые оценки, что может быть несправедливо по отношению к некоторым участникам, но вряд ли полностью «уничтожит» человека.

Я отношусь к этим аргументам так, что я в основном с ними согласен! Это реальные преимущества подходов, основанных на социальных графах, и к ним следует относиться серьезно. Однако стоит также учитывать слабые стороны подходов, основанных на социальных графах:

- Рекомендации: чтобы пользователь мог присоединиться к системе, основанной на социальном графе, он должен знать кого-то, кто уже присутствует в этом графе. Это затрудняет массовое внедрение и потенциально исключает регионы мира, которым не повезло во время первоначального запуска.

- Конфиденциальность: хотя подходы, основанные на социографе, позволяют избежать сбора биометрических данных, они часто раскрывают информацию о социальных отношениях человека, что может привести к большим рискам. Конечно, методы с нулевым разглашением могут облегчить эту проблему (см., например, это предложение Барри Уайтхэта), но взаимозависимости в графе и необходимость математического анализа графа затрудняют достижение того же уровня данных. скрывается как биометрия.

- Неравенство: каждый человек может иметь только один биометрический идентификатор, но богатый человек с хорошими связями может использовать свои связи для создания нескольких идентификаторов. По сути, такая же гибкость может позволить системе, основанной на социальных графах, давать несколько псевдонимов кому-то (например, активисту), кому действительно нужна эта функция, но с большей вероятностью это будет кто-то более влиятельный и социально связанный. Больше псевдонимов можно получить от меньшего числа людей. .

- Риск впасть в централизацию: большинство людей ленятся тратить время на то, чтобы сообщить, кто реальный человек, а кого нет в интернет-приложении. Таким образом, существует риск того, что со временем система будет больше склоняться к «легким» методам адаптации, основанным на централизованном управлении, и что «социальный граф» пользователей системы фактически станет тем, какие страны кого признают гражданами — Обеспечивает централизованный KYC, но требует дополнительных шагов.

Совместима ли идентификация человека с реальными псевдонимами?

В принципе, идентификация личности совместима с различными псевдонимами. Приложения могут быть спроектированы таким образом, что человек с одним физическим идентификатором может создать в приложении до пяти профилей, оставляя место для псевдонимных учетных записей. Можно даже использовать квадратичную формулу: стоимость $N² для N аккаунтов. Но будут ли они?

Однако пессимист может возразить, что наивно пытаться создать способ идентификации, более ориентированный на конфиденциальность, и надеяться, что он будет принят правильно, потому что власть имущие не заботятся о конфиденциальности, и если у влиятельного субъекта есть Инструменты, используемые для получения дополнительной информации о человеке, сделают это. В таком мире, как утверждает этот аргумент, единственный реалистичный путь, к сожалению, — это подорвать любое решение по идентификации и защитить мир полностью анонимных и цифровых островов сообществ с высоким уровнем доверия.

Я понимаю обоснование такого образа мышления, но меня беспокоит, что этот подход, даже в случае успеха, приведет к миру, в котором не будет никакой возможности что-либо сделать против концентрации богатства и централизации управления, потому что всегда можно притвориться, что он Десять тысяч человек. В свою очередь, такой централизованный пункт будет легко контролироваться сильными мира сего. Вместо этого я предпочитаю скромный подход, при котором мы должны решительно выступать за решения для личного доказательства с строгой конфиденциальностью, возможно, даже включая механизм «затраты N² для N учетных записей», если это необходимо, и создать что-то, что соответствует ценностям конфиденциальности. и имеет шанс быть принятым внешним миром.

Итак... что я думаю?

Когда дело доходит до идентификации личности, идеальной формы не существует. Вместо этого у нас есть как минимум три разных подхода, каждый из которых имеет свои уникальные преимущества и недостатки. Сравнительная таблица может выглядеть так:

В идеале мы должны рассматривать эти три технологии как взаимодополняющие и объединять их. Как показывает индийская компания Aadhaar, специализированная аппаратная биометрия имеет преимущество в плане безопасности в масштабе. Они очень слабы в децентрализации, хотя эту проблему можно решить, возложив ответственность на отдельные сферы.

Универсальную биометрию сегодня легко внедрить, но ее безопасность быстро снижается и может работать только в течение еще 1-2 лет. Системы, основанные на социальных графах и управляемые сотнями людей, социально близких к команде основателей, могут столкнуться с постоянным компромиссом: либо полностью пропустить большую часть мира, либо оказаться уязвимыми для атак со стороны сообществ, которые они не видят. Однако система на основе социальных графов, созданная десятками миллионов владельцев биометрических удостоверений личности, действительно может работать. Биометрическое руководство может работать лучше в краткосрочной перспективе, в то время как технологии на основе социальных графов могут быть более надежными в долгосрочной перспективе и со временем брать на себя большую ответственность по мере совершенствования алгоритмов.

Возможные смешанные пути развития в будущем

Все эти команды могут совершать множество ошибок, и существует неизбежная напряженность между корпоративными интересами и потребностями более широкого сообщества, поэтому мы должны сохранять крайнюю бдительность. Как сообщество, мы можем и должны вытолкнуть всех участников за пределы зоны комфорта открытого исходного кода своих технологий, требуя сторонних аудитов и даже написанного сторонними программами, помимо других сдержек и противовесов. Нам также нужно больше выбора в каждой категории.

В то же время важно также признать проделанную работу: многие команды, использующие эти системы, продемонстрировали готовность относиться к конфиденциальности более серьезно, чем почти любая государственная или крупная корпоративная система идентификации, и это успех, который мы должны учиться у.

Проблема создания эффективной и надежной системы физических доказательств в руках людей, далеких от существующего криптосообщества, кажется весьма сложной. Я определенно не завидую тем, кто пытается решить эту задачу: поиск работающего решения может занять несколько лет. Принцип физической идентификации в принципе выглядит очень ценным, и, хотя различные методы реализации имеют свои риски, так же как и полное отсутствие физической идентификации: мир без физической идентификации, скорее всего, будет миром, в котором доминируют централизованные решения по идентификации. доминируют деньги, небольшие закрытые поселки или некоторая комбинация всех трех. Я с нетерпением жду дальнейшего прогресса во всех видах личной сертификации и надеюсь, что разрозненные подходы в конечном итоге объединятся в единое целое.

предупреждение о риске:

В соответствии с «Уведомлением о дальнейшем предотвращении и устранении спекулятивных рисков в транзакциях с виртуальной валютой», выпущенном центральным банком и другими ведомствами, содержание этой статьи предназначено только для обмена информацией и не пропагандирует и не одобряет какое-либо деловое или инвестиционное поведение читателей. просят строго соблюдать законы и правила своего региона и не заниматься какой-либо незаконной финансовой деятельностью.