零知識證明與數字身份:多重困境與潛在解決方案

當前,利用零知識證明保護隱私的數字身份系統已逐漸成爲主流。各類零知識證明護照項目正在開發用戶友好的軟件包,使用戶無需透露身分細節就能證明自己持有有效身分。採用生物識別技術驗證並通過零知識證明保護隱私的World ID用戶數量近期已突破1000萬。某些政府數字身份項目也開始運用零知識證明技術,歐盟在這一領域的工作也越來越重視零知識證明。

從表面上看,基於零知識證明的數字身份廣泛應用似乎是去中心化加速主義(d/acc)的一大勝利。它可以在不犧牲隱私的前提下,保護社交媒體、投票系統及各類互聯網服務免受女巫攻擊和機器人操縱。但事情是否真的如此簡單?基於零知識證明的身分是否仍存在風險?本文將闡述以下觀點:

• 零知識證明包裝解決了許多重要問題。
• 零知識證明包裝的身分仍存在風險。這些風險似乎與生物識別還是護照關係不大,大部分風險(隱私泄露、易受脅迫、系統誤差等)主要源於對"一人一身分"屬性的硬性維護。
• 另一個極端,即使用"財富證明"來反女巫攻擊,在大多應用場景中都是不夠的,所以我們需要某種"類身分"的解決方案。
• 理論上的理想狀態是介於兩者之間,即獲得N個身分的成本爲N²。
• 這種理想狀態在實踐中難以實現,但合適的"多元身分"與之接近,因此是最現實的解決方案。多元身分可以是顯性的(例如基於社交圖譜的身分),也可以是隱性的(多種類型的零知識證明身分並存,且沒有任何一種類型的市場佔比接近100%)。

零知識證明包裝的身分如何運作?

想象一下,你通過掃描眼球獲得了World ID,或用手機的NFC讀取器掃描護照,獲得了基於零知識證明護照的身分。就本文的論點而言,這兩種方式的核心屬性一致(僅存在少數邊緣差異,例如多重國籍的情況)。

在你的手機上,有一個祕密值s。在鏈上全球註冊表中,有一個公開哈希值H(s)。登入應用時,你會生成一個特定於該應用的用戶ID,即H(s, app_name),並通過零知識證明來驗證:這個ID與註冊表中某個公開哈希值源自同一個祕密值s。因此,每個公開哈希值針對每個應用只能生成一個ID,但絕不會泄露某一應用專屬ID與哪個公開哈希值相對應。

實際上,設計可能會更復雜一些。在World ID中,應用專屬ID其實是包含應用ID與會話ID的哈希值,因此同一應用程序內的不同操作也可以相互解除關聯。基於零知識證明護照的設計也可以採用類似的方式構建。

在探討這種身分類型的缺點之前,首先必須認識到它所帶來的優勢。在零知識證明身分(ZKID)的小衆領域之外,爲了向需要身分驗證的服務證明自己,你不得不透露自己完整的法定身分。這嚴重違反了計算機安全的"最小權限原則":一個進程只應獲取完成其任務所需的最小權限和信息。它們需要證明你不是機器人、年滿18歲或來自特定國家,但它們得到的卻是你完整身分的指向。

目前能實現的最佳改進方案,是使用電話號碼、信用卡號等間接令牌:此時,知曉你的電話/信用卡號與應用內活動關聯的主體,和知曉你的電話/信用卡號與法定身分關聯的主體(公司或銀行)是相互分離的。但這種分離極爲脆弱:電話號碼和其他各類信息一樣,隨時可能被泄露。

而借助零知識證明包裝技術,上述問題在很大程度上得以解決。但接下來要討論的是一個較少被提及的點:仍有一些問題不僅未得到解決,甚至可能因這類方案中"一人一身分"的嚴格限制而愈發嚴重。

零知識證明本身無法實現匿名性

假設一個零知識證明身分平台完全按預期運行,嚴格復現上述所有邏輯,甚至已找到方法,能在不依賴中心化機構的前提下,爲非技術用戶長期保護其私密信息。但與此同時,我們可以做一個貼合現實的假設:應用程序不會主動配合隱私保護,它們會秉持"實用主義"原則,所採用的設計方案雖打着"最大化用戶便利性"的旗號,實則似乎總會偏向自身的政治與商業利益。

在這樣的場景中,社交媒體應用不會採用頻繁輪換會話密鑰等復雜設計,而是爲每位用戶分配唯一的應用專屬ID,且由於身分系統遵循"一人一身分"規則,用戶只能擁有一個帳戶(這與當下的"弱身分"形成對比,例如谷歌帳戶,普通人輕鬆就能註冊約5個)。現實世界中,匿名性的實現通常需要多個帳戶:一個用於"常規身分",其他則用於各類匿名身分(參見"finsta and rinsta")。因此,在這種模式下,用戶實際能獲得的匿名性很可能低於當前水平。如此一來,即便是經零知識證明包裝的"一人一身分"系統,也可能讓我們逐漸走向一個所有活動都必須依附於單一公開身分的世界。在風險日益加劇的時代(例如無人機監控等),剝奪人們通過匿名性保護自身的選擇權,將帶來嚴重的負面影響。

零知識證明本身無法保護你免受脅迫

即便你不公開自己的祕密值s,沒人能看到你各帳戶之間的公開關聯,但如果有人強制你公開呢?政府可能會強制要求透露其祕密值,以便查看其所有活動。這並非空談:美國政府已開始要求籤證申請人公開自己的社交媒體帳戶。此外,僱主也能輕易將透露完整公開資料設爲僱傭條件。甚至,個別應用在技術層面也可能要求用戶透露其在其他應用上的身分,才允許註冊使用(使用app登入默認執行此操作)。

同樣,在這些情況下,零知識證明屬性的價值蕩然無存,但"一人一帳戶"這一新屬性的弊端卻依然存在。

我們或許可以通過設計優化來降低脅迫風險:例如,採用多方計算機制生成每個應用專屬ID,讓用戶與服務方共同參與其中。這樣一來,若沒有應用運營方的參與,用戶便無法證明自己在該應用中的專屬ID。這會增加逼迫他人透露完整身分的難度,但無法徹底消除這種可能性,而且這類方案還存在其他弊端,比如要求應用開發者必須是實時活躍的實體,而非像被動的鏈上智能合約那樣(無需持續幹預)。

零知識證明本身無法解決非隱私類風險

所有身分形式都存在邊緣案例:

• 基於政府發行的身分,包括護照,無法覆蓋無國籍人士,也不包含尚未獲得此類證件的人羣。
• 另一方面,這類基於政府的身分體系,會給多重國籍持有者賦予獨特特權。
• 護照籤發機構可能遭遇黑客攻擊,敵對國家的情報機構甚至可能僞造數百萬個虛假身分(例如,若俄羅斯式的"遊擊選舉"逐漸盛行,就可能用虛假身分來操縱選舉)。
• 對於那些相關生物特徵因傷病受損的人而言,生物識別身分會完全失效。
• 生物識別身分很可能會被仿制品蒙騙。倘若生物識別身分的價值變得極高,我們甚至可能會看到有人專門培養人體器官,只爲"批量制造"這類身分。

這些邊緣案例在試圖維持"一人一身分"屬性的系統中危害最大,且它們與隱私毫無關聯。因此,零知識證明對此無能爲力。

依靠"財富證明"防範女巫攻擊並不足以解決問題,因此我們需要某種形式的身分體系

在純粹的密碼朋克羣體中,一個常見的替代方案是:完全依賴"財富證明"來防範女巫攻擊,而非構建任何形式的身分系統。通過讓每個帳戶產生一定成本,就能阻止有人輕易創建大量帳號。這種做法在互聯網上早有先例,例如Somethingawful論壇就要求註冊帳戶支付10美元的一次性費用,若帳號被封禁,這筆費用將不予退還。不過,這在實際操作中並非真正的加密經濟模式,因爲創建新帳號的最大障礙並非重新支付10美元,而是獲取新的信用卡。

理論上,甚至可以讓支付具備條件性:註冊帳戶時,你只需質押一筆資金,僅在帳號被封禁這種極少數情況下才會損失這筆資金。從理論上講,這能大幅提高攻擊成本。

這種方案在許多場景中效果顯著,但在某些類型的場景中卻完全行不通。我將重點討論兩類場景,暫且稱之爲"類全民基本收入場景(UBI-like)"和"類治理場景(governance-like)"。

類全民基本收入場景中對身分的需求

所謂"類全民基本收入場景",指的是需要向極廣泛(理想情況下是全體)用戶羣體發放一定數量資產或服務,且不考慮其支付能力的場景。Worldcoin正是系統性地踐行這一點:任何擁有World ID的人,都能定期獲得少量的WLD代幣。許多代幣空投也以更非正式的方式實現類似目標,試圖讓至少一部分代幣落到盡可能多的用戶手中。

就我個人而言,我不認爲這類代幣的價值能達到足以維持個人生計的水平。在一個由人工智能驅動、財富規模達到當前千倍的經濟體中,這類代幣或許能具備維持生計的價值;但即便如此,至少有自然資源財富爲支撐的政府主導項目,仍會在經濟層面佔據更重要的地位。不過,我認爲這類"小型全民基本收入"能切實解決的問題是:讓人們獲得足夠數量的加密貨幣,以完成一些基礎的鏈上交易和在線購買。具體可能包括:

• 獲取ENS名稱
• 在鏈上發布哈希以初始化某個零知識證明身分
• 支付社交媒體平台費用

若加密貨幣在全球範圍內得到廣泛採用,這一問題便不復存在。但在加密貨幣尚未普及的當下,這可能是人們獲取鏈上非金融應用及相關在線商品服務的唯一途徑,否則他們可能完全無法接觸到這些資源。

此外,還有另一種方式能實現類似效果,即"全民基本服務":爲每個擁有身分的人提供在特定應用內發送有限數量免費交易的權限。這種方式可能更符合激勵機制,且資本效率更高,因爲每個受益於這種採用的應用程序都可以這樣做,而無需爲非用戶付費;不過,這也伴隨着一定的取舍,即普適性會降低(用戶只能保證獲得參與該計劃的應用的訪問權限)。但即便如此,這裏依然需