以太坊 產品技術

Vitalik深度解析Worldcoin|有哪四大風險?為何完美的身份驗證尚未存在?

Jim
分享
Vitalik深度解析Worldcoin|有哪四大風險?為何完美的身份驗證尚未存在?

以太坊創辦人Vitalik Buterin 在文章中講述了身份證明專案的概念及 Worldcoin 的應用,他一一列出 Worldcoin 的潛在風險及缺陷,但他也打破目前社群普遍對該專案的印象,他認為 :「其實 Worldcoin 在隱私保護上的努力,遠高於其它中心化身份驗證專案。」

原文:What do I think about biometric proof of personhood?

Worldcoin 初衷?

Worldcoin 的理念在於,未來 AI 將為人類帶來大量資源、財富,但也可能奪走大量工作,且機器人與人類會變得難以分辨,因此未來的世界會需要:

廣告 - 內文未完請往下捲動

  1. 完善的「數位身份驗證系統 (Proof of personhood)」

  2. 為所有人提供「無條件基本收入 (Unconditional Basic Income, UBI)」

Worldcoin 以生物識別技術打造了名為「Orb」虹膜掃瞄設備,目標將大量生產並散佈於全球各國,以便民眾能輕鬆建立 ID。

但 Worldcoin 也因為隱私、安全、代幣經濟涉及道德問題而飽受爭議,Vitalik 希望在本文中對此討論,透過觀點來讓用戶決定,若未來有機會的話,是否願意透過虹膜、臉部、聲音等掃描來建立自己的數位身份。

為什麼身份證明很重要?

身份證明解決了許多垃圾郵件及權力集中的問題,若沒有完善機制,去中心化治理、社群平台投票等都很容易被有錢人操縱 (如下圖),也導致許多服務只能透過設定價格來阻擋 DoS 攻擊。

而目前許多應用仍仰賴於各國政府支持的身份證明系統,如信用卡、護照,Vitalik 認為這在隱私方面承受了巨大且無法接受的犧牲。

身份驗證能整合哪些應用?

身份驗證專案不僅只有 Worldcoin,還有 Proof of HumanityCircles UBI 等。

不過 Vitalik 也諷刺地點出,這些專案的「旗艦級應用」就是導入「每人能領 N 個代幣」的功能,或是所謂的「UBI」代幣,即註冊用戶每天 (或是每週、每小時) 能獲得特定數量的代幣。

但實際上身份驗證專案可以有更多不同應用:

  • 在 DAO 投票

  • 平方投票、融資

  • 基於真實用戶的代幣空投

  • 作為防止 DoS 攻擊的驗證替代方案

  • 防範社群媒體中的機器人、女巫攻擊

  • 為窮人提供較優惠的代幣、NFT 銷售

Vitalik 在文中不斷重申:

目前現有的解決方案仍高度仰賴於「高度不透明的演算法」、「中心化 ID (如 KYC)」,需要一個能實現上述應用中的安全屬性,且更好的替代方案。

Worldcoin 如何運作?

Worldcoin 的應用 App 如同一般的以太坊錢包,會生成公、私鑰,用戶在掃描虹膜儀 Orb 前,需展示由 App 生成、帶有公鑰的二維碼,虹膜儀則能夠驗證及分辨:

  1. 用戶確實是人類

  2. 用戶虹膜與所有掃描過的用戶皆不匹配

若兩點皆驗證通過,虹膜儀會簽署消息、將數據轉換為不可逆的哈希值並上傳至中心化的數據庫中,數據庫僅儲存哈希值,且哈希值僅用於證明用戶的唯一性 (不重複),至此,接受掃描的用戶擁有了一個「World ID」。

有「World ID」的用戶能夠透過零知識證明 ZK-SNARK 驗證他們持有的私鑰,與 Worldcoin 數據庫中的公鑰相對應來證明身份,而無需透露私鑰。

讀到這大家肯定對 Worldcoin 的「中心化數據庫」存在疑慮,Worldcoin 則承諾若此機制運作良好,未來會以去中心化的鏈上系統來取代數據庫,但尚未有具體時間。

Vitalik 接著開始提出 Worldcoin 目前的問題。

Worldcoin 四大風險

隱私疑慮:Worldcoin 可能洩露什麼?

光是虹膜儀的註冊數據就或多或少可能洩露個資,Vitalik 假設有心人有可能取得所有身份驗證用戶在參與註冊時的影片,這讓有心人能確定哪些人實際註冊了 World ID。雖然這種防止多次註冊的能力是一個身份驗證專案所必備的,但仍有機會被濫用。

此外,World ID 雖以哈希值來儲存用戶 ID,但未來實際採用後仍有可能洩露一定的數據,如性別、種族、醫療數據等。

不過 Vitalik 在此章節總結道,就 Worldcoin 而言數據洩露的潛在可能性相當有限,上述情況遠遠低於其它海量的數據蒐集系統 (如道路監控) 所能捕獲的數據,而虹膜儀僅運算、儲存用戶虹膜中不可逆的哈希值。

雖然虹膜儀看起來非常「反烏托邦」,就實際作為來看 Worldcoin 有做到注重用戶隱私,並採取其它中心化身份驗證專案都不會實施的匿名制。

可訪問性不足:哪裡才有虹膜儀?

除非有足夠多的虹膜儀,否則 World ID 可能難以建立及訪問。

Vitalik 指出,撒哈拉沙漠以南的非洲大陸居民僅 51% 至 64%的人擁有智慧型手機,雖然預計到 2030 年會增加到八成以上,但全球智慧型手機數量高達十幾億,卻只有幾百座虹膜儀,即便有更大規模的製造產出,也難以達到每人 5 公里以內皆有虹膜儀的密集分佈。

而 Vitalik 說到這又再次讚揚了 Worldcoin 團隊對此的持續努力,他提到印度政府的 Aadhaar ID 同樣是基於虹膜、指紋所建立,但隱私性仍比加密專案要弱上許多,且單單從可訪問性來看,透過手機就能訪問似乎已經是最容易觸及的了。

位於葡萄牙購物中心的虹膜儀

中心化風險:誰製造虹膜儀?有無後門?

Vitalik  提出三種中心化風險:

  1. 高層治理風險:特別是不同參與者觀點不一時做出的決策。

  2. 硬體設施:無法驗證虹膜儀是否存在後門,即便 Worldcoin 在軟體上完美地去中心化,Worldcoin 基金會還是有能力在系統中植入後門 (或由駭客攻擊),創造任意數量的虛假 World ID。

  3. 未開源演算法:若以專有、未公開的演算法來確定誰是真實的參與者,對於驗證公正性、安全性都是權力過於集中的現象。

Vitalik 指出,虹膜儀是由 Worldcoin 旗下附屬實體 Tools for Humanity 獨立製造,多數代碼為開源,且剩餘代碼預計很快會依照類似 Uniswap 的「商業源碼許可證 BSL」公開發佈,除了同樣是防止專案遭到惡意分岔外,也試圖防範 Worldcoin 所認為的不道德行為,並列出了三項國際人權聲明

此外 Worldcoin 團隊的目標是在未來允許、鼓勵其它組織製造虹膜儀,隨著時間由開發商 Tools for Humanity 製造過渡到由 DAO 主導,以此管理哪些組織可以製造虹膜儀。

不過 Vitalik 也提到第一點的風險,即製造商可能遭駭客攻擊,Worldcoin 也需要對不同製造商的虹膜儀定期審核。

安全疑慮:手機遺失等於遺失 World ID?

Vitalik 列出多點疑慮:

  1. 用戶手機可能遭駭:駭客能竊取 World ID 私鑰。

  2. 政府強行取得 ID:在邊境管制或例行檢查站中掃瞄民眾虹膜。

  3. 透過 3D 列印虹膜騙取 World ID:若假虹膜逼真到足以通過驗證,可能遭大量生成身份並販售 World ID。

社群網路圖 (社交圖譜) 會比較好嗎?

列了這麼多生物識別驗證的缺陷,基於社群平台關係圖的驗證機制會比較好嗎?

Vitalik 如此形容社交圖譜 (Social graph-based verification) :

若有一堆現有驗證者都證明了你身份的有效性,那麼你的身份也應獲得驗證。

且他提到社交圖譜的支持者普遍依下列優勢將其視為比生物驗證更好的替代方案:

  • 不仰賴專用硬體設備、更容易部署

  • 杜絕虹膜儀製造商的競爭

  • 能驗證網路化名、對此更友好

  • 生物識別的「二分法」並不完善,例如虹膜儀可能判定視障者不是人類

Vitalik 普遍認同上述觀點,但指出社交圖譜同樣存在缺陷,例如太多邊緣人 (國家) 可能會讓社交圖譜難以普及、更有可能洩露個人的社交關係、仰賴簡單註冊的集權風險等。

不存在完美的身份驗證方案

Vitalik 接著比較了不同的身份驗證專案。

他在專用生物識別設備中以印度的 Aadhaar 為例,這樣的設備在隱私安全上具有優勢,但權力下放程度偏低,而通用設備則是採用程度高,但安全性則迅速下降。

他認為理想情況下,整合、互補三項技術才是目前最好的方式。

如下圖,三種驗證方案都存在優勢與缺陷:

Vitalik 在最後提到開發身份驗證方案的難處,開發團隊很可能犯錯,且面對商業利益與廣泛社群兩者的需求難以平衡,開發團隊必須保持高度專注。

要建立一個有效且可靠的身份驗證系統,並跳脫出現有加密社群的掌控,似乎非常具有挑戰性,我絕不會羨慕所有嘗試接下這項任務的人,可能好幾年後才有辦法找到一個有效的方式。

不過了解開發團隊已完成的工作也相當重要,他說道:

很多開發團隊都表現出相較政府、大企業的身份驗證方案,更加重視隱私的意願,這是我們所取得的成功且應持續在此努力。

Vitalik 總結,身份證明似乎很有價值,雖然各種不同的實現方式都有風險,但完全沒有身份證明同樣有風險,他相當期待看到所有不同種類的身份證明專案取得更多進展,並最終以不同方式匯聚為連貫的事物。