零知識證明與數字身份：多重困境與解決之道

如今，零知識證明技術在數字身份系統中的應用已成爲主流。各類基於零知識證明的身分項目正在開發用戶友好的軟件包，讓用戶無需透露身分細節即可證明自身持有有效身分。採用生物識別技術和零知識證明的World ID用戶數量已超過1000萬。臺灣和歐盟等地區的數字身份項目也越來越重視零知識證明技術。

表面上看，基於零知識證明的數字身份普及似乎是去中心化加速主義(d/acc)的勝利。它可以在不犧牲隱私的前提下,保護社交媒體、投票系統和互聯網服務免受女巫攻擊和機器人操縱。但事實真的如此簡單嗎?本文將闡述以下觀點:

• 零知識證明包裝解決了許多重要問題
• 但仍存在風險,主要源於對"一人一身分"屬性的嚴格維護
• 單純依靠"財富證明"來防範女巫攻擊是不夠的,我們需要某種"類身分"方案
• 理想狀態是獲得N個身分的成本爲N²
• 多元身分是最現實的解決方案,可以是顯性的(基於社交圖譜)或隱性的(多種零知識證明身分並存)

零知識證明身分的運作機制

假設你通過掃描眼球獲得World ID,或用手機NFC掃描護照獲得基於零知識證明的護照身分。你的手機上有一個祕密值s,鏈上全球註冊表中有對應的公開哈希值H(s)。登入應用時,你會生成特定於該應用的用戶ID:H(s, app_name),並通過零知識證明驗證這個ID與註冊表中某個公開哈希值源自同一個祕密值s。

這種設計可能會更復雜。例如World ID中,應用專屬ID包含應用ID和會話ID的哈希值,使同一應用內的不同操作也可以相互解除關聯。基於零知識證明護照的設計也可以採用類似方式構建。

這種身分系統相比傳統方式有明顯優勢。傳統身分驗證往往要求用戶透露完整法定身分,嚴重違反了最小權限原則。而零知識證明包裝技術在很大程度上解決了這個問題。

但仍有一些問題未得到解決,甚至可能因"一人一身分"的嚴格限制而更加嚴重。

零知識證明本身無法實現匿名性

假設一個零知識證明身分平台完全按預期運行,但應用程序不會主動配合隱私保護,而是採用"實用主義"原則,爲每位用戶分配唯一的應用專屬ID。由於身分系統遵循"一人一身分"規則,用戶只能擁有一個帳戶。

現實中匿名性的實現通常需要多個帳戶:一個用於常規身分,其他用於匿名身分。因此,這種模式下用戶實際獲得的匿名性可能低於當前水平。即便是經零知識證明包裝的"一人一身分"系統,也可能讓我們逐漸走向一個所有活動都必須依附於單一公開身分的世界。

零知識證明本身無法保護你免受脅迫

即便你不公開祕密值s,沒人能看到你各帳戶之間的公開關聯,但如果有人強制你公開呢?政府可能會強制要求透露祕密值,以便查看所有活動。僱主也可能將透露完整公開資料作爲僱傭條件。某些應用甚至可能在技術層面要求用戶透露其在其他應用上的身分才允許註冊使用。

在這些情況下,零知識證明的價值蕩然無存,但"一人一帳戶"的弊端卻依然存在。

我們可以通過設計優化來降低脅迫風險,例如採用多方計算機制生成每個應用專屬ID。但這無法徹底消除風險,而且還存在其他弊端。

零知識證明本身無法解決非隱私類風險

所有身分形式都存在邊緣案例:

• 基於政府發行的身分無法覆蓋無國籍人士
• 多重國籍持有者會獲得獨特特權
• 護照籤發機構可能遭遇黑客攻擊或被僞造
• 生物識別身分對某些人可能完全失效
• 生物識別身分可能被仿制品欺騙

這些邊緣案例在試圖維持"一人一身分"屬性的系統中危害最大,且與隱私無關。因此,零知識證明對此無能爲力。

依靠"財富證明"防範女巫攻擊並不足夠

純粹的密碼朋克羣體中,一個常見的替代方案是完全依賴"財富證明"來防範女巫攻擊。通過讓每個帳戶產生一定成本,就能阻止有人輕易創建大量帳號。這種做法在互聯網上早有先例,例如Somethingawful論壇要求註冊帳戶支付10美元的一次性費用。

理論上,甚至可以讓支付具備條件性:註冊帳戶時只需質押資金,僅在帳號被封禁時才會損失這筆資金。這能大幅提高攻擊成本。

這種方案在許多場景中效果顯著,但在某些類型的場景中卻完全行不通。我將重點討論兩類場景:類全民基本收入場景(UBI-like)和類治理場景(governance-like)。

類全民基本收入場景中對身分的需求

類全民基本收入場景指需要向極廣泛用戶羣體發放一定數量資產或服務,且不考慮其支付能力的場景。Worldcoin就是系統性地踐行這一點:任何擁有World ID的人都能定期獲得少量WLD代幣。許多代幣空投也以更非正式的方式實現類似目標。

我認爲這類"小型全民基本收入"能切實解決的問題是:讓人們獲得足夠數量的加密貨幣,以完成一些基礎的鏈上交易和在線購買。具體可能包括:

• 獲取ENS名稱
• 在鏈上發布哈希以初始化某個零知識證明身分
• 支付社交媒體平台費用

若加密貨幣在全球範圍內得到廣泛採用,這一問題便不復存在。但在加密貨幣尚未普及的當下,這可能是人們獲取鏈上非金融應用及相關在線商品服務的唯一途徑。

另一種實現類似效果的方式是"全民基本服務":爲每個擁有身分的人提供在特定應用內發送有限數量免費交易的權限。這種方式可能更符合激勵機制,且資本效率更高。但即便如此,這裏依然需要一套身分解決方案,以防止系統遭受垃圾信息攻擊,同時避免產生排他性。

最後一個值得強調的重要類別是"全民基本保證金"。身分的功能之一是提供一個可用於追責的標的,而無需用戶質押與激勵規模相當的資金。這也有助於降低參與門檻對個人資本量的依賴。

類治理場景中對身分的需求

在投票系統中,如果用戶A的資源是用戶B的10倍,那麼其投票權也會是B的10倍。但從經濟角度看,每單位投票權給A帶來的收益是給B帶來的10倍。因此,總體而言,A的投票對自身的益處是B的投票對自身益處的100倍。這就是代幣投票機制中"巨鯨"能產生過度影響的根本原因。

更深層的原因在於:治理系統不應將"一人掌控10萬美元"與"1000人共持10萬美元"賦予同等權重。後者代表着1000個獨立個體,因此會包含更豐富的有價值信息,而非小體量信息的高度重復。來自1000人的信號也往往更"溫和",因爲不同個體的意見往往會相互抵消。

這表明,類治理系統不會真正滿足於"不論資金來源,同等規模的資金束都一視同仁"的做法。系統其實需要了解這些資金束的內部協調程度。

需要注意的是,若你認同我對上述兩類場景的描述框架,那麼從技術層面而言,對"一人一票"這種明確規則的需求就不復存在了。

• 對於類全民基本收入場景的應用而言,真正需要的身分方案是:首個身分免費,對可獲取的身分數量設限。
• 對於類治理場景的應用而言,核心需求是:能夠通過某種間接指標判斷,你所接觸的這一筆資源,其背後是單一的操控主體,還是某種"自然形成的"、協調程度較低的羣體。

在這兩種場景中,身分依然非常有用,但對其遵循"一人一身分"這類嚴格規則的要求,已不復存在。

理論上的理想狀態是:獲得N個身分的成本爲N²

從上述論點中,我們可以看到有兩種壓力從相反的兩端限制了身分系統中獲取多個身分的期望難度:

首先,不能對"能輕鬆獲取的身分數量"設置一個清晰可見的硬性限制。如果一個人只能擁有一個身分,就無從談起匿名性,且可能被脅迫泄露身分。

其次,身分不能完全與財務掛鉤(即獲取N個身分的成本爲N),因爲這會讓大型主體輕易獲得過大的影響力。Twitter Blue的新機制就體現了這一點:每月8美元的認證費用過低,根本無法有效限制濫用行爲。

綜合上述論點,我們希望在滿足以下約束條件的前提下,盡可能容易地獲得多個身分:(1)在類治理應用中限制大型主體的權力;(2)在類全民基本收入應用中限制濫用行爲。

若直接借鑑前文中類治理應用的數學模型,我們會得到一個清晰的答案:如果擁有N個身分能帶來N²的影響力,那麼獲取N個身分的成本就應當是N²。巧合的是,這一答案對於類全民基本收入應用同樣適用。

多元身分體系可實現這一理想狀態

所謂"多元身分體系",指的是不存在單一主導發行機構的身分機制。這一體系可通過兩種方式實現:

• 顯性多元身分(也稱爲"基於社交圖譜的身分")。你可通過所在社群中其他人的證明來證實自己的身分,而這些證明者的身分又通過同樣的機制得到驗證。Circles是目前正在運行的實例。

• 隱性多元身分。這是當前的現狀,存在衆多不同的身分提供者,包括谷歌、推特,各國的同類平台以及多種政府發行的身分證件等。極少有應用只接受其中一種身分認證,大多數應用會兼容多種。

顯性多元身分自然具備匿名性:你可以有一個匿名身分(甚至多個),每個身分都可以通過自己的行動在社區中建立聲譽。一個理想的顯性多元身分系統甚至可能不需要"獨立身分"的概念;相反,你或許會擁有一個由可驗證的過往行爲構成的模糊集合,並能根據每次行爲的需要,以精細化方式證明其中的不同部分。

零知識證明將使匿名性更容易實現:你可以利用主身分來啓動一個匿名身分,通過私下提供首個信號讓新匿名身分獲得