zk-SNARKs ve dijital kimlik: Çoklu zorluklar ve potansiyel çözümler

Şu anda, sıfır bilgi kanıtı kullanarak gizliliği koruyan dijital kimlik sistemleri giderek yaygın hale geliyor. Çeşitli sıfır bilgi kanıtı pasaport projeleri, kullanıcıların kimlik detaylarını açıklamadan geçerli bir kimliğe sahip olduklarını kanıtlamalarını sağlayan kullanıcı dostu yazılımlar geliştirmektedir. Biyometrik doğrulama teknolojisi kullanarak ve sıfır bilgi kanıtı ile gizliliği koruyarak World ID kullanıcı sayısı son zamanlarda 10 milyonu aşmıştır. Bazı hükümet dijital kimlik projeleri de sıfır bilgi kanıtı teknolojisini kullanmaya başlamıştır, Avrupa Birliği bu alandaki çalışmalarda sıfır bilgi kanıtına giderek daha fazla önem vermektedir.

Yüzeyde, zk-SNARKs tabanlı dijital kimliğin geniş ölçekli uygulanması, merkeziyetsiz hızlandırmacılığın (d/acc) büyük bir zaferi gibi görünüyor. Bu, sosyal medya, oylama sistemleri ve çeşitli internet hizmetlerini cadı avları ve robot manipülasyonlarından korurken gizlilikten ödün vermeksizin yapılabilir. Ama işler gerçekten bu kadar basit mi? zk-SNARKs tabanlı kimliklerin hala riskleri var mı? Bu makale aşağıdaki görüşleri açıklayacaktır:

• zk-SNARKs paketi birçok önemli sorunu çözdü.
• zk-SNARKs ile paketlenmiş dijital kimlik hala risk taşımaktadır. Bu risklerin biyometrik verilerle veya pasaportlarla pek ilgisi yok gibi görünüyor; çoğu risk ( gizlilik ihlali, zorla kabul ettirme, sistem hataları gibi ) "bir kişi bir kimlik" özelliğinin katı bir şekilde korunmasından kaynaklanıyor.
• Diğer bir uç, yani "servet kanıtı" kullanarak cadı avına karşı koymak, çoğu uygulama senaryosunda yetersizdir, bu nedenle bir tür "kimlik benzeri" çözümüne ihtiyacımız var.
• Teorik olarak ideal durum, iki taraf arasında olup, N adet kimlik edinmenin maliyeti N²'dir.
• Bu ideal durum pratikte zor bir şekilde gerçekleştirilebilir, ancak uygun "çoklu dijital kimlik" buna yakındır, bu nedenle en gerçekçi çözümdür. Çoklu kimlik, sosyal grafik temelli kimlik gibi açık ( olabilir; aynı zamanda ) birçok türde zk-SNARKs kimliğinin bir arada bulunduğu ve hiçbir türün pazar payının %100'e yakın olmadığı gizli ( olabilir.

![Vitalik: dijital kimlik + ZK teknolojisi altındaki çoklu zorluklar])https://img-cdn.gateio.im/webp-social/moments-1fa15b87f0dad953ff390e1ff4499f3d.webp(

zk-SNARKs ile paketlenmiş dijital kimlik nasıl çalışır?

Hayal edin, göz taraması ile World ID'ye sahip oldunuz veya telefonunuzun NFC okuyucusu ile pasaportu tarayarak zk-SNARKs tabanlı bir kimlik elde ettiniz. Bu makalenin argümanı açısından, bu iki yöntemin temel özellikleri tutarlıdır ) yalnızca birkaç marjinal fark bulunmaktadır, örneğin çoklu vatandaşlık durumu (.

Telefonunuzda bir gizli değer s var. Zincir üzerindeki küresel kayıt defterinde, H)s( adlı bir kamuya açık hash değeri var. Uygulamaya giriş yaptığınızda, uygulamaya özgü bir kullanıcı kimliği oluşturacaksınız, yani H)s, app_name( ve bu kimliğin kayıt defterindeki bir kamuya açık hash değeri ile aynı gizli değer s'den kaynaklandığını doğrulamak için zk-SNARKs kullanacaksınız. Bu nedenle, her kamuya açık hash değeri, her uygulama için yalnızca bir kimlik oluşturabilir, ancak belirli bir uygulamaya ait kimliğin hangi kamuya açık hash değeri ile ilişkili olduğunu asla ifşa etmez.

Aslında, tasarım biraz daha karmaşık olabilir. World ID'de, uygulama özel ID'si aslında uygulama ID'si ile oturum ID'sinin hash değerini içeriyor, bu nedenle aynı uygulama içindeki farklı işlemler de birbirinden ayrılabilir. zk-SNARKs tabanlı pasaport tasarımı da benzer bir şekilde inşa edilebilir.

![Vitalik: dijital kimlik + ZK teknolojisi altındaki çoklu çıkmaz])https://img-cdn.gateio.im/webp-social/moments-18e125ae671fbd46a8f4b809256f301e.webp(

Bu tür kimlik türünün dezavantajlarını tartışmadan önce, getirdiği avantajların farkında olmak gerekir. )ZKID( gibi sıklıkla kullanılan sıfır bilgi kanıtı kimliğinin dışındaki alanlarda, kimlik doğrulaması gerektiren hizmetlere kendinizi kanıtlamak için yasal kimliğinizi tamamen açıklamak zorundasınız. Bu, bilgisayar güvenliğinin "minimum ayrıcalık ilkesi"ni ciddi şekilde ihlal eder: bir süreç, görevini yerine getirmek için gereken en az ayrıcalık ve bilgiyi edinmelidir. Robot olmadığınızı, 18 yaşında olduğunuzu veya belirli bir ülkeden geldiğinizi kanıtlamaları gerekiyor, ancak aldıkları tek şey sizin tam kimliğinize yönlendirmedir.

Mevcut en iyi geliştirme çözümü, telefon numarası, kredi kartı numarası gibi dolaylı jetonlar kullanmaktır: Bu durumda, telefon/kredi kartı numaranızın uygulama içindeki etkinliklerle ilişkili olan tarafı ve telefon/kredi kartı numaranızın yasal kimliğinizle ilişkili olan tarafı ) şirketi veya banka ( birbirinden ayrıdır. Ancak bu ayrım son derece kırılgandır: Telefon numarası ve diğer tüm bilgiler gibi, her an sızdırılabilir.

Ancak zk-SNARKs paketleme teknolojisi sayesinde, yukarıda belirtilen sorun büyük ölçüde çözülmüştür. Fakat tartışılacak bir diğer az bahsedilen nokta şudur: Hala çözülmemiş bazı sorunlar vardır ve "bir kişi bir kimlik" sıkı kısıtlaması nedeniyle bu tür çözümlerle daha da kötüleşebilir.

zk-SNARKs kendisi anonimlik sağlayamaz

Bir zk-SNARKs kimlik platformunun beklendiği gibi çalıştığını, yukarıda belirtilen tüm mantıkları kesin bir şekilde yeniden ürettiğini varsayalım, hatta merkezi kuruluşlara bağımlı olmadan teknik olmayan kullanıcıların özel bilgilerini uzun süre korumanın bir yolunu bulmuş olsun. Ancak bu arada, gerçekçi bir varsayımda bulunabiliriz: Uygulamalar gizlilik koruma ile aktif olarak işbirliği yapmayacak, "pragmatizm" ilkesine sadık kalacak, benimsenen tasarım seçenekleri "kullanıcı kolaylığını maksimize etme" amacını taşırken, aslında kendi siyasi ve ticari çıkarlarına her zaman yöneliyor gibi görünüyor.

Bu tür bir senaryoda, sosyal medya uygulamaları sık sık dönen oturum anahtarları gibi karmaşık tasarımlar kullanmayacak, bunun yerine her kullanıcıya benzersiz bir uygulama özel kimliği atayacak ve kimlik sistemi "bir kişi bir kimlik" kuralına uyduğundan, kullanıcıların yalnızca bir hesabı ) olabilecektir. Bu, günümüzdeki "zayıf kimlik" ile karşılaştırıldığında, örneğin bir Google hesabı, sıradan birinin kolayca yaklaşık 5 adet ( kayıt olabildiği bir durumdur. Gerçek dünyada, anonimlik sağlamak genellikle birden fazla hesap gerektirir: biri "geleneksel kimlik" için, diğeri ise çeşitli anonim kimlikler için ), "finsta ve rinsta" referans alınabilir (. Bu nedenle, bu modelde, kullanıcıların elde edebileceği anonimlik, mevcut seviyenin altında olabilir. Böylece, zk-SNARKs ile paketlenmiş "bir kişi bir kimlik" sistemi bile, bizi tüm faaliyetlerin tek bir açık kimliğe bağlı olduğu bir dünyaya doğru yavaşça yönlendirebilir. Risklerin arttığı bir çağda ), örneğin dron izleme gibi (, insanların anonimlik yoluyla kendilerini koruma hakkını kaybetmeleri ciddi olumsuz etkilere yol açacaktır.

zk-SNARKs kendisi seni zorlamalardan koruyamaz

Kendi gizli değerin s'yi ifşa etmeseniz bile, kimse hesaplarınız arasındaki açık bağlantıları göremez; ancak biri sizi bunu açıklamaya zorlayabilir mi? Hükümet, tüm faaliyetlerini görmek için gizli değerlerini ifşa etmesini zorunlu kılabilir. Bu sadece bir spekülasyon değil: Amerikan hükümeti, vize başvurusunda bulunanlardan sosyal medya hesaplarını açıklamalarını istemeye başladı. Ayrıca, işverenler de tam açık bilgileri ifşa etmeyi işe alım koşulu olarak kolayca belirleyebilir. Hatta bazı uygulamalar, kullanıcıların diğer uygulamalardaki kimliklerini ifşa etmelerini talep edebilir, böylece ) uygulamasına giriş yapmak için bu işlemi varsayılan olarak gerçekleştirir.

Aynı şekilde, bu durumlarda zk-SNARKs özelliğinin değeri yok olurken, "bir kişi bir hesap" yeni özelliğinin dezavantajları hala mevcuttur.

Zorunlu riskleri azaltmak için tasarım optimizasyonlarıyla ilerleyebiliriz: örneğin, her uygulama için özel bir kimlik oluşturmak amacıyla çoklu hesaplama mekanizması kullanarak kullanıcıların hizmet sağlayıcı ile birlikte katılımını sağlamak. Bu durumda, uygulama işletmecisinin katılımı olmadan, kullanıcı kendi uygulamadaki özel kimliğini kanıtlayamaz. Bu, başkalarını tam kimliklerini ifşa etmeye zorlamanın zorluğunu artırır, ancak bu olasılığı tamamen ortadan kaldırmaz ve bu tür çözümlerin başka dezavantajları da vardır; örneğin, uygulama geliştiricilerinin sürekli aktif varlıklar olmalarını gerektirir, pasif bir zincir üstü akıllı sözleşme gibi ( sürekli müdahale gerektirmeden ).

zk-SNARKs kendisi gizlilik dışı riskleri çözemez.

Tüm kimlik biçimlerinin kenar vakaları vardır:

• Hükümet tarafından verilen kimliklere, pasaportlar dahil, vatansız kişileri kapsamaz ve henüz bu tür belgeleri almamış olan grupları da içermez.
• Diğer yandan, bu tür hükümet temelli kimlik sistemleri, çoklu vatandaşlık sahiplerine benzersiz ayrıcalıklar tanıyacaktır.
• Pasaport düzenleme kurumları siber saldırılara maruz kalabilir, düşman ülkelerin istihbarat teşkilatları milyonlarca sahte dijital kimlik ( üretebilir. Örneğin, eğer Rus tarzı "gerilla seçimleri" giderek yaygınlaşırsa, sahte kimlikler kullanılarak seçimler ) üzerinde manipülasyon yapılabilir.
• Yaralanma veya hastalık nedeniyle ilgili biyometrik özellikleri zarar görmüş olanlar için biyometrik kimlik tamamen işe yaramaz.
• Biyometrik tanımlama muhtemelen sahte ürünler tarafından kandırılabilir. Biyometrik tanımlamanın değeri çok yüksek hale gelirse, belki de sadece bu tür tanımlamaları "toplu olarak üretmek" amacıyla insan organları yetiştiren bazı kişilerin olduğunu görebiliriz.

Bu kenar durumlar, "bir kişi bir kimlik" özelliğini korumaya çalışan sistemlerde en büyük zararı vermekte ve gizlilikle hiçbir ilgisi bulunmamaktadır. Bu nedenle, zk-SNARKs bu konuda etkisizdir.

"Varlık Kanıtı"na güvenmek, cadı avlarını önlemek için yeterli değildir, bu nedenle belirli bir kimlik sistemi biçimine ihtiyacımız var.

Saf bir kripto anarşist topluluğunda, yaygın bir alternatif şudur: Cadı avlarından korunmak için tamamen "zenginlik kanıtına" güvenmek, herhangi bir kimlik sistemi inşa etmek yerine. Her hesabın belirli bir maliyet yaratmasını sağlayarak, insanların kolayca çok sayıda hesap oluşturmasını engelleyebilirsiniz. Bu uygulamanın internette daha önce örnekleri bulunmaktadır; örneğin, Somethingawful forumu, kayıtlı hesapların 10 dolarlık bir tek seferlik ücret ödemesini gerektiriyor; eğer hesap kapatılırsa, bu ücret geri ödenmeyecektir. Ancak, bu pratikte gerçek bir kripto ekonomi modeli değildir, çünkü yeni bir hesap oluşturmanın en büyük engeli 10 doları yeniden ödemek değil, yeni bir kredi kartı edinmektir.

Teorik olarak, ödemelerin koşullu hale gelmesi bile mümkün: Hesap kaydı sırasında sadece bir miktar fon teminatı vermeniz gerekir, yalnızca hesabınız yasaklandığında bu fonu kaybedersiniz ki bu da çok nadir bir durumdur. Teorik olarak, bu saldırı maliyetini büyük ölçüde artırabilir.

Bu çözüm birçok senaryoda etkili, ancak bazı senaryolar türlerinde tamamen işe yaramıyor. Ben iki tür senaryoyu ele alacağım, bunlara "evrensel temel gelir benzeri senaryo (UBI-like)" ve "yönetim benzeri senaryo (governance-like)" diyelim.

( sınıf evrensel temel gelir senaryosunda TANIMLAMA ihtiyacı

"Kamu Temel Geliri Senaryosu" olarak adlandırılan şey, son derece geniş bir kullanıcı grubuna, ideal koşullarda tüm kullanıcılara, belirli miktarda varlık veya hizmet dağıtılması gereken ve ödeme kabiliyetinin dikkate alınmadığı bir senaryoyu ifade eder. Worldcoin, bunun sistematik bir şekilde uygulanmasını sağlamaktadır: World ID'si olan herkes düzenli olarak bir miktar WLD token alabilmektedir. Birçok token airdrop'u da benzer hedefleri daha gayri resmi bir biçimde gerçekleştirerek, en azından bazı tokenlerin mümkün olduğunca çok kullanıcıya ulaşmasını sağlamaya çalışmaktadır.

Kişisel olarak, bu tür tokenlerin değerinin, bireylerin geçimini sürdürebilmesi için yeterli seviyeye ulaşacağını düşünmüyorum. Yapay zeka tarafından yönlendirilen ve zenginlik ölçümünün mevcut bin katına ulaştığı bir ekonomide, bu tür tokenler geçim sağlama değeri taşıyabilir; ancak yine de, en azından doğal kaynak zenginliğine dayanan hükümet destekli projeler, ekonomik açıdan daha önemli bir konumda olacaktır. Ancak, bu tür "küçük ölçekli evrensel temel gelir" ile gerçekten çözebileceğini düşündüğüm sorun, insanların bazı temel çevrimiçi işlemleri ve çevrimiçi satın alımları gerçekleştirmek için yeterli miktarda kripto para elde etmelerini sağlamaktır. Belirli olarak şunları içerebilir:

• ENS adı al
• Bir sıfır bilgi kanıtı kimliğini başlatmak için zincir üzerinde hash yayınlayın
• Sosyal medya platformu ücretlerini öde

Eğer kripto para birimleri dünya genelinde geniş bir şekilde benimsenirse, bu sorun ortadan kalkacaktır. Ancak kripto paraların henüz yaygınlaşmadığı bu dönemde, bu, insanların zincir dışı finansal olmayan uygulamalara ve ilgili çevrimiçi ürün hizmetlerine erişimlerinin tek yolu olabilir, aksi takdirde bu kaynaklara tamamen ulaşamayabilirler.

Ayrıca, benzer bir etkiyi elde etmek için başka bir yol daha vardır, yani "herkes için temel hizmetler": kimliği olan her bireye belirli bir uygulama içinde sınırlı sayıda ücretsiz işlem gönderme yetkisi vermek. Bu yöntem, teşvik mekanizması ile daha uyumlu olabilir ve sermaye verimliliği daha yüksektir, çünkü bu tür benimsemelerden faydalanan her uygulama bunu yapabilir ve kullanıcı olmayanlar için ödeme yapmak zorunda değildir; ancak, bu aynı zamanda belirli bir fedakarlık ile birlikte gelir, yani evrensellik azalacaktır ve ) kullanıcılar yalnızca bu programa katılan uygulamalara erişim sağlama garantisine sahip olacaktır ###. Ancak, yine de burada ihtiyaç duyulmaktadır.