zk-SNARKs e identidade digital: múltiplos dilemas e potenciais soluções

Atualmente, sistemas de identidade digital que protegem a privacidade através de zk-SNARKs tornaram-se gradualmente mainstream. Vários projetos de passaporte com zk-SNARKs estão a desenvolver pacotes de software amigáveis ao usuário, permitindo que os usuários provem que possuem uma identidade válida sem revelar detalhes da identidade. O número de usuários do World ID, que valida através de tecnologia biométrica e protege a privacidade com zk-SNARKs, ultrapassou recentemente os 10 milhões. Alguns projetos governamentais de identidade digital também começaram a utilizar a tecnologia zk-SNARKs, e o trabalho da União Europeia nesta área está cada vez mais focado nos zk-SNARKs.

À primeira vista, a ampla aplicação da identidade digital baseada em zk-SNARKs parece ser uma grande vitória para o aceleracionismo descentralizado (d/acc). Pode proteger as redes sociais, sistemas de votação e diversos serviços da internet contra ataques de bruxas e manipulação por robôs, sem sacrificar a privacidade. Mas será que as coisas são realmente tão simples? A identidade baseada em zk-SNARKs ainda apresenta riscos? Este artigo irá expor os seguintes pontos:

• zk-SNARKs envolvem soluções para muitos problemas importantes.
• A identidade empacotada com zk-SNARKs ainda apresenta riscos. Estes riscos parecem não estar muito relacionados com a biometria ou passaportes; a maior parte dos riscos ( como vazamento de privacidade, suscetibilidade à coação, erros de sistema, etc. ) provêm principalmente da manutenção rígida da característica de "uma pessoa, uma identidade".
• O outro extremo, que é usar "prova de riqueza" para combater ataques de bruxas, na maioria dos cenários de aplicação é insuficiente, por isso precisamos de algum tipo de solução "semelhante à identificação".
• O estado ideal teórico está entre os dois, ou seja, o custo de obter N identidades é N².
• Este estado ideal é difícil de alcançar na prática, mas uma "identificação múltipla" adequada se aproxima dele, sendo assim a solução mais realista. A identificação múltipla pode ser explícita como (, por exemplo, identidades baseadas em redes sociais ), ou pode ser implícita (, com vários tipos de identidades zk-SNARKs coexistindo, e nenhuma dessas tipos de mercado alcançando uma quota de 100% ).

Como funciona a identificação embalada em zk-SNARKs?

Imagine que você obteve o World ID ao escanear sua íris, ou usou o leitor NFC do seu celular para escanear seu passaporte, obtendo uma identificação baseada em zk-SNARKs. Para o argumento deste artigo, as propriedades centrais dessas duas formas são consistentes (, existindo apenas algumas diferenças marginais, como no caso de múltiplas nacionalidades ).

No seu telefone, há um valor secreto s. No registro global em cadeia, há um valor hash público H(s). Ao fazer login no aplicativo, você gerará um ID de usuário específico para esse aplicativo, ou seja, H(s, app_name), e verificará através de zk-SNARKs: este ID é originado do mesmo valor secreto s que um determinado valor hash público no registro. Portanto, cada valor hash público pode gerar apenas um ID para cada aplicativo, mas nunca revelará qual ID exclusivo do aplicativo corresponde a qual valor hash público.

Na verdade, o design pode ser um pouco mais complexo. No World ID, o ID exclusivo da aplicação é na verdade um valor hash que inclui o ID da aplicação e o ID da sessão, portanto, diferentes operações dentro da mesma aplicação também podem ser desvinculadas entre si. O design baseado em zk-SNARKs para passaportes também pode ser construído de maneira semelhante.

Antes de discutir as desvantagens desse tipo de identificação, é necessário reconhecer as vantagens que ela traz. Fora do nicho da identidade de zk-SNARKs (ZKID), para se provar a serviços que necessitam de verificação de identidade, é necessário revelar a sua identificação legal completa. Isso viola gravemente o "princípio do menor privilégio" em segurança da informação: um processo deve obter apenas os mínimos privilégios e informações necessárias para realizar sua tarefa. Eles precisam provar que você não é um robô, que tem mais de 18 anos ou que é de um país específico, mas o que obtêm é a referência à sua identidade completa.

Atualmente, a melhor solução de melhoria que pode ser implementada é usar números de telefone, números de cartão de crédito e outros tokens indiretos: neste caso, o sujeito que conhece o seu número de telefone/número de cartão de crédito associado às atividades dentro da aplicação e o sujeito que conhece o seu número de telefone/número de cartão de crédito associado à identidade legal (, empresa ou banco ), são entidades separadas. Mas essa separação é extremamente frágil: os números de telefone e outras informações podem ser vazados a qualquer momento.

E com a tecnologia de embalagem zk-SNARKs, os problemas acima foram em grande parte resolvidos. No entanto, o que se deve discutir a seguir é um ponto que é menos mencionado: ainda existem algumas questões que não só não foram resolvidas, mas que podem se tornar ainda mais graves devido à rígida limitação de "uma pessoa uma identidade" presente nesse tipo de solução.

zk-SNARKs não podem, por si só, garantir anonimato

Suponha que uma plataforma de identidade baseada em zk-SNARKs funcione exatamente como esperado, replicando rigorosamente toda a lógica acima mencionada, e que até tenha encontrado maneiras de proteger as informações privadas de usuários não técnicos a longo prazo sem depender de instituições centralizadas. Mas, ao mesmo tempo, podemos fazer uma suposição realista: os aplicativos não cooperarão ativamente com a proteção da privacidade; eles seguirão o princípio do "pragmatismo", e os designs adotados, embora se proclamem como "maximizando a conveniência do usuário", parecem sempre favorecer seus próprios interesses políticos e comerciais.

Em tal cenário, aplicações de redes sociais não adotariam designs complexos como a rotação frequente de chaves de sessão, mas sim atribuíriam a cada usuário um ID exclusivo da aplicação. E, uma vez que o sistema de identidade segue a regra "uma pessoa, uma identidade", os usuários só podem ter uma conta (, o que contrasta com a "identidade fraca" atual, como a conta do Google, onde uma pessoa comum pode facilmente registrar cerca de 5 contas ). No mundo real, a realização de anonimato geralmente requer múltiplas contas: uma para "identidade regular" e outras para várias identidades anônimas (, veja "finsta e rinsta" ). Portanto, neste modelo, o anonimato que os usuários podem realmente obter pode ser inferior ao nível atual. Assim, mesmo um sistema "uma pessoa, uma identidade" embalado por zk-SNARKs pode nos levar gradualmente a um mundo onde todas as atividades devem estar vinculadas a uma única identidade pública. Em uma era de riscos crescentes (, como a vigilância por drones, privar as pessoas da escolha de se protegerem através do anonimato trará sérias consequências negativas.

zk-SNARKs em si não podem proteger você contra coerção

Mesmo que você não divulgue seu valor secreto s, ninguém pode ver a conexão pública entre suas contas. Mas e se alguém o forçar a divulgar? O governo pode exigir que você revele seu valor secreto para verificar todas as suas atividades. Isso não é apenas conversa: o governo dos EUA já começou a exigir que os solicitantes de visto divulguem suas contas de mídia social. Além disso, os empregadores também podem facilmente estabelecer a divulgação de informações públicas completas como condição de contratação. Além disso, alguns aplicativos, em nível técnico, podem exigir que os usuários revelem sua identificação em outros aplicativos antes de permitir o registro e uso do app ), que executa esta ação por padrão (.

Da mesma forma, em tais situações, o valor da propriedade de zk-SNARKs desaparece, mas as desvantagens da nova propriedade "uma pessoa, uma conta" ainda permanecem.

Podemos talvez reduzir o risco de coerção através de otimização de design: por exemplo, usando mecanismos de computação multipartidária para gerar um ID exclusivo para cada aplicação, permitindo que os usuários participem juntamente com os prestadores de serviços. Assim, sem a participação da operadora da aplicação, os usuários não conseguem provar seu ID exclusivo naquela aplicação. Isso aumentará a dificuldade de forçar outros a revelar a identidade completa, mas não eliminará completamente essa possibilidade, e tais soluções também têm outras desvantagens, como exigir que os desenvolvedores da aplicação sejam entidades ativas em tempo real, e não como contratos inteligentes passivos na blockchain que não requerem intervenção contínua.

zk-SNARKs não conseguem resolver riscos não relacionados à privacidade.

Todas as formas de identificação têm casos limites:

• Baseado na identificação emitida pelo governo, incluindo passaportes, não cobre pessoas apátridas e não inclui aqueles que ainda não obtiveram tais documentos.
• Por outro lado, este tipo de sistema de identificação baseado em governo confere privilégios únicos aos detentores de múltiplas nacionalidades.
• As entidades emissoras de passaportes podem ser alvo de ataques de hackers, e até mesmo agências de inteligência de países hostis podem falsificar milhões de identidades falsas ). Por exemplo, se as "eleições de guerrilha" ao estilo russo se tornarem cada vez mais comuns, pode-se usar identidades falsas para manipular eleições (.
• Para aqueles cujas características biológicas relevantes estão danificadas devido a lesões ou doenças, a identificação biométrica falhará completamente.
• A identificação biométrica pode ser facilmente enganada por cópias. Se o valor da identificação biométrica se tornar extremamente alto, poderemos até ver pessoas a cultivar órgãos humanos apenas para "produzir em massa" esse tipo de identificação.

Esses casos limites representam o maior risco em sistemas que tentam manter a propriedade de "uma pessoa, uma identidade", e não têm relação alguma com a privacidade. Portanto, zk-SNARKs não podem ajudar nisso.

![Vitalik: identidade digital + ZK技术下的多重困境])https://img-cdn.gateio.im/webp-social/moments-5c5e98a8645b7a2cc02bf3f26d7bf4d7.webp(

Confiar na "prova de riqueza" para prevenir ataques de bruxas não é suficiente para resolver o problema, portanto precisamos de alguma forma de sistema de identificação.

Dentro da comunidade pura do ciberpunk, uma alternativa comum é: depender completamente da "prova de riqueza" para prevenir ataques de bruxas, em vez de construir qualquer forma de sistema de identificação. Ao fazer com que cada conta gere um certo custo, é possível impedir que alguém crie facilmente uma grande quantidade de contas. Essa prática já tem precedentes na internet, por exemplo, o fórum Somethingawful exige que contas registradas paguem uma taxa única de 10 dólares, sendo que, se a conta for banida, essa taxa não será reembolsada. No entanto, isso na prática não é um verdadeiro modelo econômico criptográfico, pois o maior obstáculo para criar uma nova conta não é pagar novamente os 10 dólares, mas sim obter um novo cartão de crédito.

Teoricamente, pode até tornar os pagamentos condicionais: ao registrar uma conta, você só precisa fazer um depósito de fundos, e apenas em casos extremos de banimento da conta é que você perderia esse montante. Teoricamente, isso poderia aumentar significativamente o custo dos ataques.

Este plano é eficaz em muitos cenários, mas em certos tipos de cenários é completamente inviável. Vou me concentrar em duas categorias de cenários, que chamarei de "cenários tipo rendimento básico universal )UBI-like(" e "cenários tipo governação )governance-like(".

) a necessidade de identificação no cenário de rendimento básico universal

O chamado "cenário de rendimento básico quase universal" refere-se a cenários em que é necessário distribuir uma certa quantidade de ativos ou serviços para um grupo de usuários extremamente amplo, idealmente abrangendo todos os (, sem considerar sua capacidade de pagamento. O Worldcoin está sistematicamente a praticar isto: qualquer pessoa que possua um World ID pode receber regularmente uma pequena quantidade de tokens WLD. Muitos airdrops de tokens também buscam alcançar objetivos semelhantes de forma mais informal, tentando garantir que pelo menos uma parte dos tokens chegue ao maior número possível de usuários.

Na minha opinião, não acho que o valor desse tipo de token possa atingir um nível suficiente para sustentar um meio de vida pessoal. Em uma economia impulsionada por inteligência artificial, com uma escala de riqueza que atinge mil vezes a atual, esses tokens podem ter algum valor para sustentar a vida; mas mesmo assim, projetos liderados por governos, que pelo menos possuem riqueza em recursos naturais como suporte, ainda ocuparão uma posição mais importante a nível econômico. No entanto, acredito que o que esse tipo de "renda básica universal em pequena escala" pode realmente resolver é: permitir que as pessoas recebam uma quantidade suficiente de criptomoedas para realizar algumas transações básicas na blockchain e compras online. Especificamente, isso pode incluir:

• Obter nome ENS
• Publicar um hash na blockchain para inicializar uma identidade digital com zk-SNARKs
• Pagar taxas de plataformas de mídia social

Se as criptomoedas forem amplamente adotadas em todo o mundo, essa questão deixará de existir. Mas, na atualidade, em que as criptomoedas ainda não são populares, isso pode ser a única maneira para as pessoas acessarem aplicações não financeiras em blockchain e serviços de produtos online relacionados, caso contrário, elas podem não ter acesso a esses recursos.

Além disso, existe outra forma de alcançar efeitos semelhantes, chamada "serviço básico universal": oferece a cada pessoa com identidade a permissão para enviar um número limitado de transações gratuitas dentro de aplicações específicas. Esta abordagem pode alinhar-se melhor com mecanismos de incentivo e ter uma eficiência de capital maior, uma vez que cada aplicativo beneficiado por essa adoção pode fazê-lo sem ter que pagar por não usuários; no entanto, isso vem com um certo trade-off, pois a universalidade diminuirá e os usuários poderão garantir apenas o acesso às aplicações que participam do programa. Mesmo assim, aqui ainda é necessário