零知识证明与数字身份:多重困境与潜在解决方案

当前,利用零知识证明保护隐私的数字身份系统已逐渐成为主流。各类零知识证明护照项目正在开发用户友好的软件包,使用户无需透露身份细节就能证明自己持有有效身份。采用生物识别技术验证并通过零知识证明保护隐私的World ID用户数量近期已突破1000万。某些政府数字身份项目也开始运用零知识证明技术,欧盟在这一领域的工作也越来越重视零知识证明。

从表面上看,基于零知识证明的数字身份广泛应用似乎是去中心化加速主义(d/acc)的一大胜利。它可以在不牺牲隐私的前提下,保护社交媒体、投票系统及各类互联网服务免受女巫攻击和机器人操纵。但事情是否真的如此简单?基于零知识证明的身份是否仍存在风险?本文将阐述以下观点:

• 零知识证明包装解决了许多重要问题。
• 零知识证明包装的身份仍存在风险。这些风险似乎与生物识别还是护照关系不大,大部分风险(隐私泄露、易受胁迫、系统误差等)主要源于对"一人一身份"属性的硬性维护。
• 另一个极端,即使用"财富证明"来反女巫攻击,在大多应用场景中都是不够的,所以我们需要某种"类身份"的解决方案。
• 理论上的理想状态是介于两者之间,即获得N个身份的成本为N²。
• 这种理想状态在实践中难以实现,但合适的"多元身份"与之接近,因此是最现实的解决方案。多元身份可以是显性的(例如基于社交图谱的身份),也可以是隐性的(多种类型的零知识证明身份并存,且没有任何一种类型的市场占比接近100%)。

零知识证明包装的身份如何运作?

想象一下,你通过扫描眼球获得了World ID,或用手机的NFC读取器扫描护照,获得了基于零知识证明护照的身份。就本文的论点而言,这两种方式的核心属性一致(仅存在少数边缘差异,例如多重国籍的情况)。

在你的手机上,有一个秘密值s。在链上全球注册表中,有一个公开哈希值H(s)。登录应用时,你会生成一个特定于该应用的用户ID,即H(s, app_name),并通过零知识证明来验证:这个ID与注册表中某个公开哈希值源自同一个秘密值s。因此,每个公开哈希值针对每个应用只能生成一个ID,但绝不会泄露某一应用专属ID与哪个公开哈希值相对应。

实际上,设计可能会更复杂一些。在World ID中,应用专属ID其实是包含应用ID与会话ID的哈希值,因此同一应用程序内的不同操作也可以相互解除关联。基于零知识证明护照的设计也可以采用类似的方式构建。

在探讨这种身份类型的缺点之前,首先必须认识到它所带来的优势。在零知识证明身份(ZKID)的小众领域之外,为了向需要身份验证的服务证明自己,你不得不透露自己完整的法定身份。这严重违反了计算机安全的"最小权限原则":一个进程只应获取完成其任务所需的最小权限和信息。它们需要证明你不是机器人、年满18岁或来自特定国家,但它们得到的却是你完整身份的指向。

目前能实现的最佳改进方案,是使用电话号码、信用卡号等间接令牌:此时,知晓你的电话/信用卡号与应用内活动关联的主体,和知晓你的电话/信用卡号与法定身份关联的主体(公司或银行)是相互分离的。但这种分离极为脆弱:电话号码和其他各类信息一样,随时可能被泄露。

而借助零知识证明包装技术,上述问题在很大程度上得以解决。但接下来要讨论的是一个较少被提及的点:仍有一些问题不仅未得到解决,甚至可能因这类方案中"一人一身份"的严格限制而愈发严重。

零知识证明本身无法实现匿名性

假设一个零知识证明身份平台完全按预期运行,严格复现上述所有逻辑,甚至已找到方法,能在不依赖中心化机构的前提下,为非技术用户长期保护其私密信息。但与此同时,我们可以做一个贴合现实的假设:应用程序不会主动配合隐私保护,它们会秉持"实用主义"原则,所采用的设计方案虽打着"最大化用户便利性"的旗号,实则似乎总会偏向自身的政治与商业利益。

在这样的场景中,社交媒体应用不会采用频繁轮换会话密钥等复杂设计,而是为每位用户分配唯一的应用专属ID,且由于身份系统遵循"一人一身份"规则,用户只能拥有一个账户(这与当下的"弱身份"形成对比,例如谷歌账户,普通人轻松就能注册约5个)。现实世界中,匿名性的实现通常需要多个账户:一个用于"常规身份",其他则用于各类匿名身份(参见"finsta and rinsta")。因此,在这种模式下,用户实际能获得的匿名性很可能低于当前水平。如此一来,即便是经零知识证明包装的"一人一身份"系统,也可能让我们逐渐走向一个所有活动都必须依附于单一公开身份的世界。在风险日益加剧的时代(例如无人机监控等),剥夺人们通过匿名性保护自身的选择权,将带来严重的负面影响。

零知识证明本身无法保护你免受胁迫

即便你不公开自己的秘密值s,没人能看到你各账户之间的公开关联,但如果有人强制你公开呢?政府可能会强制要求透露其秘密值,以便查看其所有活动。这并非空谈:美国政府已开始要求签证申请人公开自己的社交媒体账户。此外,雇主也能轻易将透露完整公开资料设为雇佣条件。甚至,个别应用在技术层面也可能要求用户透露其在其他应用上的身份,才允许注册使用(使用app登录默认执行此操作)。

同样,在这些情况下,零知识证明属性的价值荡然无存,但"一人一账户"这一新属性的弊端却依然存在。

我们或许可以通过设计优化来降低胁迫风险:例如,采用多方计算机制生成每个应用专属ID,让用户与服务方共同参与其中。这样一来,若没有应用运营方的参与,用户便无法证明自己在该应用中的专属ID。这会增加逼迫他人透露完整身份的难度,但无法彻底消除这种可能性,而且这类方案还存在其他弊端,比如要求应用开发者必须是实时活跃的实体,而非像被动的链上智能合约那样(无需持续干预)。

零知识证明本身无法解决非隐私类风险

所有身份形式都存在边缘案例:

• 基于政府发行的身份,包括护照,无法覆盖无国籍人士,也不包含尚未获得此类证件的人群。
• 另一方面,这类基于政府的身份体系,会给多重国籍持有者赋予独特特权。
• 护照签发机构可能遭遇黑客攻击,敌对国家的情报机构甚至可能伪造数百万个虚假身份(例如,若俄罗斯式的"游击选举"逐渐盛行,就可能用虚假身份来操纵选举)。
• 对于那些相关生物特征因伤病受损的人而言,生物识别身份会完全失效。
• 生物识别身份很可能会被仿制品蒙骗。倘若生物识别身份的价值变得极高,我们甚至可能会看到有人专门培养人体器官,只为"批量制造"这类身份。

这些边缘案例在试图维持"一人一身份"属性的系统中危害最大,且它们与隐私毫无关联。因此,零知识证明对此无能为力。

依靠"财富证明"防范女巫攻击并不足以解决问题,因此我们需要某种形式的身份体系

在纯粹的密码朋克群体中,一个常见的替代方案是:完全依赖"财富证明"来防范女巫攻击,而非构建任何形式的身份系统。通过让每个账户产生一定成本,就能阻止有人轻易创建大量账号。这种做法在互联网上早有先例,例如Somethingawful论坛就要求注册账户支付10美元的一次性费用,若账号被封禁,这笔费用将不予退还。不过,这在实际操作中并非真正的加密经济模式,因为创建新账号的最大障碍并非重新支付10美元,而是获取新的信用卡。

理论上,甚至可以让支付具备条件性:注册账户时,你只需质押一笔资金,仅在账号被封禁这种极少数情况下才会损失这笔资金。从理论上讲,这能大幅提高攻击成本。

这种方案在许多场景中效果显著,但在某些类型的场景中却完全行不通。我将重点讨论两类场景,暂且称之为"类全民基本收入场景(UBI-like)"和"类治理场景(governance-like)"。

类全民基本收入场景中对身份的需求

所谓"类全民基本收入场景",指的是需要向极广泛(理想情况下是全体)用户群体发放一定数量资产或服务,且不考虑其支付能力的场景。Worldcoin正是系统性地践行这一点:任何拥有World ID的人,都能定期获得少量的WLD代币。许多代币空投也以更非正式的方式实现类似目标,试图让至少一部分代币落到尽可能多的用户手中。

就我个人而言,我不认为这类代币的价值能达到足以维持个人生计的水平。在一个由人工智能驱动、财富规模达到当前千倍的经济体中,这类代币或许能具备维持生计的价值;但即便如此,至少有自然资源财富为支撑的政府主导项目,仍会在经济层面占据更重要的地位。不过,我认为这类"小型全民基本收入"能切实解决的问题是:让人们获得足够数量的加密货币,以完成一些基础的链上交易和在线购买。具体可能包括:

• 获取ENS名称
• 在链上发布哈希以初始化某个零知识证明身份
• 支付社交媒体平台费用

若加密货币在全球范围内得到广泛采用,这一问题便不复存在。但在加密货币尚未普及的当下,这可能是人们获取链上非金融应用及相关在线商品服务的唯一途径,否则他们可能完全无法接触到这些资源。

此外,还有另一种方式能实现类似效果,即"全民基本服务":为每个拥有身份的人提供在特定应用内发送有限数量免费交易的权限。这种方式可能更符合激励机制,且资本效率更高,因为每个受益于这种采用的应用程序都可以这样做,而无需为非用户付费;不过,这也伴随着一定的取舍,即普适性会降低(用户只能保证获得参与该计划的应用的访问权限)。但即便如此,这里依然需