Worldcoinチーム、Proof of Humanityコミュニティ、Andrew Miller氏の議論に感謝します。
イーサリアムコミュニティの人々が構築しようとしている、よりトリッキーではあるが潜在的に最も価値のあるガジェットの1つは、分散型の人格証明ソリューションです。 人格の証明、別名「ユニークヒューマン問題」は、特定の登録アカウントが実在の人物(および他のすべての登録アカウントとは異なる実在の人物)によって管理されていることを主張する、現実世界のIDの限定された形式であり、理想的にはそれがどの実在の人物であるかを明らかにすることはありません。
この問題に取り組むための取り組みはいくつかあり、 Proof of Humanity、 BrightID、 Idena 、 Circles などが例として挙げられます。 それらのいくつかは、独自のアプリケーション(多くの場合UBIトークン)が付属しており、 Gitcoin Passport でどのアカウントが二次投票に有効であるかを確認するために使用されているものもあります。 Sismoのようなゼロ知識技術は、これらのソリューションの多くにプライバシーを追加します。最近では、より大規模で野心的な人物証明プロジェクトである Worldcoinの台頭が見られます。
Worldcoinは、OpenAIのCEOとして最もよく知られているSam Altmanによって共同設立されました。 このプロジェクトの背後にある哲学は単純です:AIは人類に多くの豊かさと富を生み出すでしょうが、それはまた非常に多くの人々の仕事を殺し、誰が人間であり、ボットではないかを見分けることをほとんど不可能にするかもしれません、そして私たちは(i)人間が実際に人間であることを証明できるように、本当に優れた人格証明システムを作成することによってその穴を埋める必要があります。 (ii)すべての人にUBIを与えること。Worldcoinは、高度に洗練された生体認証に依存し、「オーブ」と呼ばれる特殊なハードウェアを使用して各ユーザーの 虹彩をスキャンしているという点でユニークです。
目標は、これらのオーブを大量に生産し、世界中に広く配布し、 公共の場に 置いて、誰でも簡単にIDを取得できるようにすることです。 Worldcoinの名誉のために言っておくと、彼らはまた、時間をかけて分散化する ことを約束し ています。 まず、これは技術的な分散化を意味し、 Optimismスタックを使用してイーサリアムのL2になり、 ZK-SNARKやその他の暗号化技術でユーザーのプライバシーを保護します。 その後、システム自体のガバナンスを分散化することも含まれます。
Worldcoinは、Orbをめぐるプライバシーとセキュリティの懸念、「コイン」のデザイン上の問題、および同社が行ったいくつかの 選択 に関する 倫理的問題 で批判されてきました。批判の中には、別の方法で簡単に下されたはずのプロジェクトによる決定に焦点を当てた、非常に具体的なものもあり、実際、Worldcoinプロジェクト自体が変更を望んでいる可能性があるというものもあります。 しかし、より根本的な懸念を提起する人もいますが、生体認証(Worldcoinの目をスキャンして生体認証だけでなく、Proof of HumanityやIdenaで使用されているよりシンプルな顔とビデオのアップロードや検証ゲームも)がそもそも良いアイデアであるかどうかという問題もあります。 また、人格 の証明を批判する人もいます。 リスクには、避けられないプライバシーの漏洩、人々が匿名でインターネットをナビゲートする能力のさらなる侵食、権威主義的な政府による強制、分散化と同時に安全を確保することが不可能になる可能性が含まれます。
この記事では、これらの問題について話し合い、新しい球形の君主の前にひれ伏して目(または顔、声など)をスキャンするのが良い考えかどうか、そして自然な選択肢(ソーシャルグラフベースの人格証明を使用するか、人格証明を完全にあきらめるか)が優れているかどうかを判断するのに役立ついくつかの議論について説明します。
人格証明システムを定義する最も簡単な方法は、公開鍵のリストを作成し、各鍵が一意の人間によって制御されることをシステムが保証することです。 つまり、人間であれば、リストに1つのキーを置くことはできますが、リストに2つのキーを置くことはできませんし、ボットであれば、リストにキーを置くことはできません。
人格の証明は、中央集権的な権威への依存を回避し、可能な限り最小限の情報を明らかにする方法で、多くの人々が抱えている多くのスパム対策と権力集中防止の問題を解決するため、価値があります。 人格の証明が解決されなければ、分散型ガバナンス(ソーシャルメディアの投稿への投票のような「マイクロガバナンス」を含む)は、敵対的な政府を含む 非常に裕福なアクター によって はるかに簡単に捕捉 されるようになります 。多くのサービスは、アクセスの価格を設定することによってのみサービス拒否攻撃を防ぐことができ、攻撃者を締め出すのに十分な高い価格も、多くの低所得の正当なユーザーにとっては高すぎる場合があります。
現在、世界の多くの主要なアプリケーションは、クレジット カードやパスポートなどの政府が支援する ID システムを使用してこの問題に対処しています。 これは問題は解決するが、プライバシーを大きく、おそらく容認できない犠牲にすることになり、政府自身によって些細な攻撃を受ける可能性がある。
人格証明の支持者のうち、私たちが直面している二面的なリスクをどれだけ理解している人がどれだけいるでしょうか。 画像出典。
Worldcoinだけでなく、Proof of Humanity、Circlesなど、多くのプルーフ・オブ・パーソンフッド・プロジェクトでは、「フラッグシップ・アプリケーション」は組み込みの「N-per-personトークン」(「UBIトークン」と呼ばれることもあります)です。 システムに登録された各ユーザーは、毎日(または時間、または週)ごとに一定量のトークンを受け取ります。 しかし、他にもたくさんのアプリケーションがあります。
これらのケースの多くに共通しているのは、プロジェクトの運営者による中央集権的な管理と、最も裕福なユーザーによる支配の両方を回避し、オープンで民主的なメカニズムを作りたいという願望です。 後者は、 分散型ガバナンスにおいて特に重要です。 これらのケースの多くは、現在の既存のソリューションは、(i)オペレーターが単に気に入らないユーザーを検出できないほど差別する余地を多く残す不透明なAIアルゴリズムと、(ii)中央集権的なID、別名「KYC」の組み合わせに依存しています。 効果的な Proof-of-Personhood ソリューションは、既存の集中型アプローチの落とし穴なしに、これらのアプリケーションが必要とするセキュリティ特性を実現する、はるかに優れた代替手段です。
人格の証明には、ソーシャルグラフベースと生体認証の2つの主要な形式があります。 アリス、ボブ、チャーリー、デビッドの3人が検証済みの人間であり、全員がエミリーが検証済みの人間であると言うなら、エミリーもおそらく検証済みの人間である。 アリスがエミリーは人間だと言ったが、そうではないことが判明した場合、アリスとエミリーの両方がペナルティを受ける可能性があります。 人格の生体認証には、エミリーの身体的または行動的特徴を検証することが含まれ、人間とボット(および個々の人間と人間)を区別します。 ほとんどのプロジェクトでは、この 2 つの手法を組み合わせて使用します。
冒頭で紹介した4つのシステムは、大まかに以下のように機能します。
各Worldcoinユーザーは、イーサリアムウォレットのように、秘密鍵と公開鍵を生成するアプリを携帯電話にインストールします。 その後、彼らは「オーブ」を直接訪問します。 ユーザーは Orb のカメラを見つめると同時に、公開鍵を含む Worldcoin アプリによって生成された QR コードを Orb に見せます。 Orb はユーザーの目をスキャンし、複雑なハードウェアスキャンと機械学習による分類器を使用して、次のことを確認します。
両方のスキャンに合格すると、Orb はユーザーの虹彩スキャンの特殊なハッシュを承認するメッセージに署名します。 ハッシュはデータベース(現在は中央集権型サーバー)にアップロードされ、ハッシュメカニズムが機能することを確認したら、分散型オンチェーンシステムに置き換えられる予定です。 システムは完全な虹彩スキャンを保存しません。ハッシュのみを格納し、これらのハッシュは一意性をチェックするために使用されます。 その時点から、ユーザーは「ワールドID」を持ちます。
World ID保有者は、データベース内の公開鍵に対応する秘密鍵を保持していることを証明するZK-SNARKを生成することで、自分がどの鍵を保持しているかを明らかにすることなく、自分がユニークな人間であることを証明することができます。 したがって、誰かがあなたの虹彩を再スキャンしたとしても、あなたが取ったアクションを見ることはできません。
すぐに思い浮かぶ4つの主要なリスクがあります。
(i)Worldcoinによる選択に固有の問題、(ii)生体認証による人格証明が必然的に抱える問題、および(iii)一般的な人格の証明が抱える問題を区別することが重要です。 たとえば、Proof of Humanityにサインアップするということは、インターネット上で顔を公開することを意味します。 BrightIDの認証パーティーに参加しても、それは実現しませんが、それでもあなたが誰であるかを多くの人に公開することができます。 また、サークルに参加すると、ソーシャルグラフが公開されます。 Worldcoinは、そのいずれよりもプライバシーの保護に優れています。 一方、Worldcoinは特殊なハードウェアに依存しているため、OrbメーカーがOrbを正しく構築していると信頼するという課題が生じます。 将来的には、Worldcoin以外の誰かが、異なるトレードオフを持つ別の特殊なハードウェアソリューションを作成する可能性さえ考えられます。
人格証明システムがもたらす最も明白で最大の潜在的なプライバシー漏洩は、人が取る各行動を現実世界のアイデンティティに結びつけることです。 このデータ漏洩は非常に大きく、間違いなく許容できないほど大きいですが、幸いなことに、 ゼロ知識証明 技術で簡単に解決できます。 ユーザーは、対応する公開鍵がデータベースにある秘密鍵で直接署名する代わりに、どの特定の鍵を持っているかを明らかにすることなく、対応する公開鍵がデータベースのどこかにある秘密鍵を所有していることを証明するZK-SNARKを作成できます。 これは、 Sismo (Proof of Humanity固有の実装については こちらをご覧ください )などのツールを使用して一般的に行うことができ、Worldcoinには独自の組み込み実装があります。 ここで重要なのは、人格の信用を「クリプトネイティブ」に証明することです:彼らは実際に匿名化を提供するためにこの基本的なステップを踏むことを気にしていますが、基本的にすべての中央集権的なIDソリューションはそうではありません。
より微妙ですが、それでも重要なプライバシー漏洩は、生体認証スキャンの公開レジストリが存在することです。 プルーフ・オブ・ヒューマニティの場合、これは大量のデータです:プルーフ・オブ・ヒューマニティの各参加者のビデオを入手し、プルーフ・オブ・ヒューマニティの参加者全員が誰であるかを調査することを気にする世界中の誰にでも非常に明確になります。 Worldcoinの場合、リークははるかに限定的であり、Orbは各人の 虹彩スキャンの「ハッシュ」のみをローカルで計算して公開します。 このハッシュは SHA256 のような通常のハッシュではありません。むしろ、機械学習された ガボールフィルター に基づく特殊なアルゴリズムであり、生体認証スキャンに固有の 不正確さに対処し 、同じ人の虹彩から取得された連続したハッシュが同様の出力を持つことを保証します。
青:同じ人物の虹彩の 2 つのスキャン間で異なるビットの割合。 オレンジ:2人の異なる人の虹彩の2つのスキャン間で異なるビットの割合。
これらの虹彩ハッシュは、少量のデータしか漏洩しません。 敵対者があなたの虹彩を強制的に(または密かに)スキャンできる場合、敵対者はあなたの虹彩ハッシュを自分で計算し、それを虹彩ハッシュのデータベースと照合して、あなたがシステムに参加しているかどうかを確認できます。 誰かがサインアップしたかどうかを確認するこの機能は、人々が複数回サインアップするのを防ぐためにシステム自体に必要ですが、何らかの形で悪用される可能性は常にあります。 さらに、虹彩ハッシュがある程度の医療データ(性別、民族性、おそらく病状)を漏洩する可能性がありますが、この漏洩は、現在使用されている他のほとんどすべての大量データ収集システムによってキャプチャできるものよりもはるかに小さいです。 ストリートカメラでさえ)。 全体として、私には虹彩ハッシュを保存するプライバシーで十分であるように思われます。
他の人がこの判断に同意せず、さらにプライバシーの高いシステムを設計したいと判断した場合、そうする方法は 2 つあります。
プルーフ・オブ・ヒューマニティでは、偽物(AIが生成した偽物を含む)の兆候がある場合に異議を唱え、その場合はより詳細に調査できるように、各参加者の完全なビデオを公開しておく必要があるため、残念ながら、これらの手法はプルーフ・オブ・ヒューマニティには適用できません。
全体として、オーブをじっと見つめ、眼球の奥深くまでスキャンさせるという「ディストピア的な雰囲気」にもかかわらず、専用のハードウェアシステムはプライバシーを保護するのにかなりまともな仕事をするように思えます。 しかし、その反面、特殊なハードウェアシステムでは、集中化の懸念がはるかに大きくなります。 それゆえ、私たちサイファーパンクは、深く根付いたサイファーパンクの価値を別のサイファーパンクの価値とトレードオフしなければならないという縛りから抜け出せないようです。
特殊なハードウェアはアクセシビリティの問題を引き起こしますが、これは特殊なハードウェアがあまりアクセスしにくいためです。 現在、サハラ以南のアフリカ人の 51% から 64% がスマートフォンを所有しており、これは2030年までに 87%に増加する と予測されているようです。 しかし、何十億ものスマートフォンがある一方で、オーブは数百個しかありません。 もっと大規模な分散型製造を行っても、全員の5km以内にオーブがある世界に到達するのは難しいでしょう。
しかし、チームの名誉のために言っておくと、 彼らは努力しています!
また、他の多くの人格証明には、さらに悪いアクセシビリティの問題があることも注目に値します。 ソーシャルグラフに載っている人をすでに知っている人でない限り、ソーシャルグラフベースの人格証明システムに参加することは非常に困難です。 これにより、そのようなシステムが単一の国の単一のコミュニティに制限されたままになることが非常に容易になります。
中央集権的なIDシステムでさえ、この教訓を学んでいます:インドの Aadhaar IDシステムは 生体認証ベースであり、重複した偽のアカウントによる大規模な詐欺を回避しながら、 膨大な人口 を迅速にオンボーディングする唯一の方法であったため(その結果、 大幅なコスト削減につながります)、もちろん、Aadhaarシステム全体は、暗号コミュニティ内で大規模に提案されているものよりもプライバシーに関してはるかに弱いです。
アクセシビリティの観点から最もパフォーマンスの高いシステムは、実際にはスマートフォンのみを使用してサインアップできるProof of Humanityのようなシステムですが、これまで見てきたように、そしてこれから見ていくように、そのようなシステムには他のあらゆる種類のトレードオフが伴います。
次の 3 つがあります。
人格証明システムは、おそらく「受け入れられた」IDのセットが完全に主観的であるシステムを除いて、(1)と戦わなければなりません。 システムが外部資産建てのインセンティブを使用する場合(例: ETH、USDC、DAI)、完全に主観的ではないため、ガバナンスリスクは避けられません。
[2]は、Worldcoinが特殊なハードウェアに依存し、他のシステムが依存していないため、Proof of Humanity(またはBrightID)よりもはるかに大きなリスクです。
[3]は、すべてのアルゴリズムがオープンソースであり、主張するコードを実際に実行していることが保証されていない限り、検証を行う単一のシステムがある「<a href=" https://medium.com/@VitalikButerin /the-meaning-of-decentralization-a0c92b76a274>論理的に中央集権化された」システムでは特にリスクです。ユーザーが他のユーザーを検証することだけに依存しているシステム(Proof of Humanityなど)の場合、これはリスクではありません。
現在、 Tools for Humanity というWorldcoinの関連団体が、オーブを作っている唯一の組織です。 しかし、Orb のソースコードはほとんど 公開されており、ハードウェアの仕様は この github リポジトリで確認でき、ソースコードの他の部分は近日中に公開される予定です。 このライセンスは、Uniswap BSLに似た「共有ソースだが、技術的には4年後までオープンソースではない」ライセンスの1つですが、フォークを防ぐだけでなく、非倫理的な行動を防ぐこともでき、特に大量監視と3つの国際公民権宣言がリストされています。
チームが掲げる目標は、他の組織が Orb を作成できるようにし、奨励すること、そして Tools for Humanity によって作成される Orb から、システムによって認識される Orb を作成できる組織を承認および管理するある種の DAO に移行することです。
この設計が失敗する原因は 2 つあります。
悪質なOrbメーカーに対してシステムをより堅牢にするために、WorldcoinチームはOrbsの定期的な監査を実施し、Orbが正しく構築されていること、主要なハードウェアコンポーネントが仕様に従って構築され、事後に改ざんされていないことを確認することを提案しています。 これは挑戦的な仕事です:それは基本的に IAEAの核査察官僚機構 のようなものですが、オーブのためのものです。 非常に不完全な監査体制の実施でも、偽のオーブの数を大幅に減らすことができると期待されています。
悪質なオーブがすり抜けることによる被害を抑えるには、2つ目の軽減策を用意するのが理にかなっています。 異なる Orb メーカーに登録されたワールド ID、理想的には異なる Orb に登録されたワールド ID は、互いに区別できる必要があります。 この情報が非公開で、World ID所有者のデバイスにのみ保存されても問題ありません。しかし、それはオンデマンドで証明可能である必要があります。 これにより、エコシステムは、個々の Orb メーカー、場合によっては個々の Orb をオンデマンドでホワイトリストから削除することで、(避けられない)攻撃に対応できるようになります。 もし、北朝鮮政府があちこち回って、人々に眼球のスキャンを強制しているのを見ると、それらのオーブと彼らが作成したアカウントは、すぐに遡及的に無効になる可能性があります。
Worldcoinに固有の問題に加えて、一般的に人格証明の設計に影響を与える懸念があります。 私が考えることができる主なものは次のとおりです。
[1] は、生体認証による人格証明システムに固有のものです。 [2] と [3] は、生体認証設計と非生体認証設計の両方に共通です。 [4] も両方に共通ですが、どちらの場合も必要な手法はまったく異なります。このセクションでは、生体認証の場合の問題に焦点を当てます。
これらはかなり深刻な弱点です。 既存のプロトコルですでに対処されているものもあれば、将来の改善で対処できるものもあれば、根本的な制限があると思われるものもあります。
これは、Proof of HumanityのようなシステムよりもWorldcoinのリスクが大幅に少なく、対面スキャンは人の多くの特徴を調べることができ、単に ビデオ を ディープフェイク するのに比べて、偽造が非常に困難です。特殊なハードウェアは、コモディティハードウェアよりも本質的に騙すのが難しく、コモディティハードウェアは、リモートで送信される写真やビデオを検証するデジタルアルゴリズムよりも騙すのが困難です。
誰かが、最終的に特殊なハードウェアでさえも欺くことができるものを3Dプリントできるでしょうか? たしか。 ある時点で、メカニズムをオープンに保つことと、それを安全に保つことの間の緊張が高まると予想しています:オープンソースのAIアルゴリズムは、本質的に 敵対的な機械学習に対してより脆弱です。 ブラックボックスアルゴリズムはより保護されていますが、ブラックボックスアルゴリズムがバックドアを含むように訓練されていないとは言い難いです。 もしかしたら、ZK-MLテクノロジーは、両方の長所を生かしてくれるかもしれません。しかし、さらに遠い未来のある時点で、最高のAIアルゴリズムでさえ、最高の3Dプリントされた偽の人々にだまされる可能性があります。
しかし、WorldcoinとProof of Humanityの両方のチームとの議論から、現時点では、どちらのプロトコルもまだ重大なディープフェイク攻撃を受けていないようです。
短期的には、世界のほとんどの人は人格証明プロトコルにさえ気づいておらず、QRコードを掲げて30ドルで目をスキャンするように指示すれば、彼らはそうするでしょう。 より多くの人が人格証明プロトコルが何であるかを認識すれば、登録済みのIDを持っている人が再登録できるようにし、以前のIDをキャンセルするという、かなり簡単な緩和策が可能になります。 これにより、IDを販売した人は、販売したばかりのIDをキャンセルして再登録できるため、「ID販売」の信頼性が大幅に低下します。 しかし、ここまでたどり着くには、プロトコルが広く知られており、オンデマンド登録を実用化するために Orb に広くアクセス可能である必要があります。
UBIコインは、人々が(i)プロトコルについて学び、サインアップし、(ii)他の誰かに代わって登録した場合、すぐに再登録する、という理解しやすいインセンティブを提供します。 再登録により、電話のハッキングも防止されます。
これは、どのような種類の強制について話しているかによって異なります。 強制の形態には、次のようなものがあります。
あなた方のUBIと投票権は全て我々のものです。 画像出典。
特に素朴なユーザーの手では、これらの状況を完全に防ぐことは非常に難しいようです。 ユーザーは自分の国を離れて、より安全な国の Orb に (再) 登録することができますが、これは困難なプロセスであり、コストもかかります。 真に敵対的な法的環境では、独立したオーブを探すのは困難でリスクが高いように思えます。
実現可能なのは、この種の悪用をより煩わしくし、検出可能にすることです。 登録時に特定のフレーズを話すことを要求しているプルーフ・オブ・ヒューマニティのアプローチは良い例です:隠されたスキャンを防ぐのに十分であり、強制がはるかに露骨であることを要求し、登録フレーズには、回答者が独立して再登録する権利があり、UBIコインやその他の報酬を得ることができることを知っていることを確認する声明を含めることさえできます。 強制型変換が検出された場合、強制型登録を一括して実行するために使用されるデバイスのアクセス権が取り消される可能性があります。 アプリケーションがユーザーの現在と過去のIDをリンクし、「永続的な記録」を残そうとするのを防ぐために、デフォルトの人格証明アプリは、信頼できるハードウェアでユーザーのキーをロックし、その間に匿名化ZK-SNARKレイヤーを挟まずにアプリケーションがキーを直接使用できないようにすることができます。 政府やアプリケーション開発者がこれを回避したい場合は、独自のカスタムアプリの使用を義務付ける必要があります。
これらのテクニックと積極的な警戒の組み合わせにより、真に敵対的な政権を締め出し、(世界の多くの国がそうであるように)中程度に悪いだけの政権を正直に保つことは可能に思えます。 これは、WorldcoinやProof of Humanityのようなプロジェクトが、このタスクのために独自の官僚機構を維持するか、IDがどのように登録されたか(例:Worldcoinで、どのOrbから来たか)に関するより多くの情報を明らかにし、この分類タスクをコミュニティに任せることで実現できます。
再登録によってIDを貸し出すことは妨げられません。 UBIコインのその日のシェアを回収する権利を貸し出す費用は、UBIコインのその日のシェアの価値になります。 しかし、投票などのアプリケーションでは、 安易な票の販売 が大きな問題になります。
MACIのようなシステムは、あなたが実際にそのような票を投じたかどうかを誰にもわからないような方法で、後で以前の投票を無効にする別の票を投じることを許可することで、あなたの票を確実に販売することを妨げる可能性があります。ただし、賄賂が登録時に取得するキーを制御している場合、これは役に立ちません。
私はここに2つの解決策を見ます:
ソーシャルグラフベースのシステムは、その動作の副産物としてローカルの分散型登録プロセスを自動的に作成できるため、実際にはここでより優れたパフォーマンスを発揮する可能性があります。
生体認証のアプローチは別として、これまでのところ、人格証明の主な候補は、ソーシャルグラフベースの検証でした。 ソーシャルグラフベースの検証システムはすべて同じ原理で動作します:もし、あなたのアイデンティティの有効性を証明する既存の検証済みIDがたくさんあるなら、あなたはおそらく有効であり、検証済みステータスも取得する必要があります。
少数の実際のユーザーが (偶然または悪意を持って) 偽のユーザーを検証する場合は、基本的なグラフ理論の手法を使用して、システムによって検証される偽ユーザーの数に上限を設定できます。 出典: https://www.sciencedirect.com/science/article/abs/pii/S0045790622000611。
ソーシャルグラフベースの検証の支持者は、いくつかの理由から、生体認証のより良い代替手段であると説明することがよくあります。
これらの議論に対する私の見解は、おおむね同意するということです。 これらは、ソーシャルグラフベースのアプローチの真の利点であり、真剣に受け止める必要があります。 ただし、ソーシャルグラフベースのアプローチの弱点も考慮する価値があります。
原則として、人格の証明はあらゆる種類の仮名と両立します。 アプリケーションは、1 つの個人証明 ID を持つユーザーがアプリケーション内に最大 5 つのプロファイルを作成できるように設計でき、仮名アカウントの余地を残すことができます。 二次式を使うこともできます:Nは$N²のコストを表します。しかし、果たしてそうなるのでしょうか?
しかし、悲観論者は、よりプライバシーに配慮したIDの形を作ろうとするのはナイーブであり、権力者はプライバシーに配慮しておらず、強力なアクターが個人についてより多くの情報を得るために使用できるツールを手に入れた場合、それが実際に正しい方法で採用されることを期待するのはナイーブであると主張するかもしれません。 彼らはそのようにそれを使うでしょう。 このような世界では、唯一の現実的なアプローチは、残念ながら、あらゆるIDソリューションの歯車に砂を投げ込み、完全な匿名性と信頼性の高いコミュニティのデジタルアイランドを持つ世界を守ることです。
この考え方の理屈はわかりますが、仮に成功したとしても、一人の人間が常に1万人のふりをすることができるので、富の集中と統治の集中化に対抗するために誰も何もする方法がない世界につながるのではないかと心配しています。 このような中央集権化のポイントは、権力者にとって容易に捕捉できるだろう。 むしろ、私は穏健なアプローチを支持し、強力なプライバシーを持つ人格証明ソリューションを積極的に提唱し、必要に応じてプロトコル層に「Nは$N²」メカニズムを含め、プライバシーに配慮した価値を持ち、外部に受け入れられる可能性があるものを作成します。
人格の証明に理想的な形はありません。 その代わり、少なくとも3つの異なるアプローチのパラダイムがあり、それぞれに独自の長所と短所があります。 比較表は次のようになります。
理想的には、これら3つの手法を補完的なものとして扱い、それらすべてを組み合わせる必要があります。 インドのAadhaarが大規模に示したように、特殊なハードウェアの生体認証には、大規模に安全であるという利点があります。 分散化は非常に苦手ですが、個々のオーブに責任を負わせることで対処できます。 汎用生体認証は、今日では非常に簡単に採用できますが、そのセキュリティは急速に低下しており、あと1〜2年しか機能しない可能性があります。 創業チームと社会的に親しい数百人の人々からブートストラップされたソーシャルグラフベースのシステムは、世界の大部分を完全に見逃すことと、可視性のないコミュニティ内で攻撃に対して脆弱であることの間の絶え間ないトレードオフに直面する可能性があります。 しかし、何千万人もの生体認証ID保有者をブートストラップしたソーシャルグラフベースのシステムは、実際に機能する可能性があります。 生体認証ブートストラップは短期的にはより効果的であり、ソーシャルグラフベースの手法は長期的にはより堅牢であり、アルゴリズムが向上するにつれて時間の経過とともにより大きな責任分担を負う可能性があります。
可能なハイブリッド パス。
これらのチームはすべて多くの間違いを犯す立場にあり、ビジネス上の利益とより広いコミュニティのニーズの間には避けられない緊張があるため、多くの警戒を怠ることが重要です。 コミュニティとして、私たちはすべての参加者のコンフォートゾーンをテクノロジーのオープンソース化に押し付け、第三者による監査や第三者が作成したソフトウェア、その他のチェックとバランスを要求することができますし、そうすべきです。 また、3つのカテゴリーのそれぞれで、より多くの選択肢が必要です。
同時に、これらのシステムを運用しているチームの多くは、政府や大手企業が運営する ID システムよりもはるかに真剣にプライバシーを重視する意欲を示しており、この成功は私たちがさらに発展させるべき成功です。
特に既存の暗号コミュニティから遠く離れた人々の手に渡る、効果的で信頼できる人格証明システムを作るという問題は、非常に難しいようです。 私は間違いなく、この課題に取り組んでいる人々をうらやましいとは思いませんし、うまくいく公式を見つけるには何年もかかるでしょう。 人格証明という概念は、原理的には、非常に価値があるように思われ、様々な実装にはリスクがあるが、人格証明が全くないことにもリスクがある:人格証明のない世界は、中央集権的なアイデンティティソリューション、お金、小さな閉鎖的なコミュニティ、またはこれら3つの組み合わせによって支配される世界である可能性が高いように思われる。 私は、あらゆる種類の人格証明のさらなる進歩を目にし、願わくば、さまざまなアプローチが最終的に首尾一貫した全体にまとまるのを見るのを楽しみにしています。
Worldcoinチーム、Proof of Humanityコミュニティ、Andrew Miller氏の議論に感謝します。
イーサリアムコミュニティの人々が構築しようとしている、よりトリッキーではあるが潜在的に最も価値のあるガジェットの1つは、分散型の人格証明ソリューションです。 人格の証明、別名「ユニークヒューマン問題」は、特定の登録アカウントが実在の人物(および他のすべての登録アカウントとは異なる実在の人物)によって管理されていることを主張する、現実世界のIDの限定された形式であり、理想的にはそれがどの実在の人物であるかを明らかにすることはありません。
この問題に取り組むための取り組みはいくつかあり、 Proof of Humanity、 BrightID、 Idena 、 Circles などが例として挙げられます。 それらのいくつかは、独自のアプリケーション(多くの場合UBIトークン)が付属しており、 Gitcoin Passport でどのアカウントが二次投票に有効であるかを確認するために使用されているものもあります。 Sismoのようなゼロ知識技術は、これらのソリューションの多くにプライバシーを追加します。最近では、より大規模で野心的な人物証明プロジェクトである Worldcoinの台頭が見られます。
Worldcoinは、OpenAIのCEOとして最もよく知られているSam Altmanによって共同設立されました。 このプロジェクトの背後にある哲学は単純です:AIは人類に多くの豊かさと富を生み出すでしょうが、それはまた非常に多くの人々の仕事を殺し、誰が人間であり、ボットではないかを見分けることをほとんど不可能にするかもしれません、そして私たちは(i)人間が実際に人間であることを証明できるように、本当に優れた人格証明システムを作成することによってその穴を埋める必要があります。 (ii)すべての人にUBIを与えること。Worldcoinは、高度に洗練された生体認証に依存し、「オーブ」と呼ばれる特殊なハードウェアを使用して各ユーザーの 虹彩をスキャンしているという点でユニークです。
目標は、これらのオーブを大量に生産し、世界中に広く配布し、 公共の場に 置いて、誰でも簡単にIDを取得できるようにすることです。 Worldcoinの名誉のために言っておくと、彼らはまた、時間をかけて分散化する ことを約束し ています。 まず、これは技術的な分散化を意味し、 Optimismスタックを使用してイーサリアムのL2になり、 ZK-SNARKやその他の暗号化技術でユーザーのプライバシーを保護します。 その後、システム自体のガバナンスを分散化することも含まれます。
Worldcoinは、Orbをめぐるプライバシーとセキュリティの懸念、「コイン」のデザイン上の問題、および同社が行ったいくつかの 選択 に関する 倫理的問題 で批判されてきました。批判の中には、別の方法で簡単に下されたはずのプロジェクトによる決定に焦点を当てた、非常に具体的なものもあり、実際、Worldcoinプロジェクト自体が変更を望んでいる可能性があるというものもあります。 しかし、より根本的な懸念を提起する人もいますが、生体認証(Worldcoinの目をスキャンして生体認証だけでなく、Proof of HumanityやIdenaで使用されているよりシンプルな顔とビデオのアップロードや検証ゲームも)がそもそも良いアイデアであるかどうかという問題もあります。 また、人格 の証明を批判する人もいます。 リスクには、避けられないプライバシーの漏洩、人々が匿名でインターネットをナビゲートする能力のさらなる侵食、権威主義的な政府による強制、分散化と同時に安全を確保することが不可能になる可能性が含まれます。
この記事では、これらの問題について話し合い、新しい球形の君主の前にひれ伏して目(または顔、声など)をスキャンするのが良い考えかどうか、そして自然な選択肢(ソーシャルグラフベースの人格証明を使用するか、人格証明を完全にあきらめるか)が優れているかどうかを判断するのに役立ついくつかの議論について説明します。
人格証明システムを定義する最も簡単な方法は、公開鍵のリストを作成し、各鍵が一意の人間によって制御されることをシステムが保証することです。 つまり、人間であれば、リストに1つのキーを置くことはできますが、リストに2つのキーを置くことはできませんし、ボットであれば、リストにキーを置くことはできません。
人格の証明は、中央集権的な権威への依存を回避し、可能な限り最小限の情報を明らかにする方法で、多くの人々が抱えている多くのスパム対策と権力集中防止の問題を解決するため、価値があります。 人格の証明が解決されなければ、分散型ガバナンス(ソーシャルメディアの投稿への投票のような「マイクロガバナンス」を含む)は、敵対的な政府を含む 非常に裕福なアクター によって はるかに簡単に捕捉 されるようになります 。多くのサービスは、アクセスの価格を設定することによってのみサービス拒否攻撃を防ぐことができ、攻撃者を締め出すのに十分な高い価格も、多くの低所得の正当なユーザーにとっては高すぎる場合があります。
現在、世界の多くの主要なアプリケーションは、クレジット カードやパスポートなどの政府が支援する ID システムを使用してこの問題に対処しています。 これは問題は解決するが、プライバシーを大きく、おそらく容認できない犠牲にすることになり、政府自身によって些細な攻撃を受ける可能性がある。
人格証明の支持者のうち、私たちが直面している二面的なリスクをどれだけ理解している人がどれだけいるでしょうか。 画像出典。
Worldcoinだけでなく、Proof of Humanity、Circlesなど、多くのプルーフ・オブ・パーソンフッド・プロジェクトでは、「フラッグシップ・アプリケーション」は組み込みの「N-per-personトークン」(「UBIトークン」と呼ばれることもあります)です。 システムに登録された各ユーザーは、毎日(または時間、または週)ごとに一定量のトークンを受け取ります。 しかし、他にもたくさんのアプリケーションがあります。
これらのケースの多くに共通しているのは、プロジェクトの運営者による中央集権的な管理と、最も裕福なユーザーによる支配の両方を回避し、オープンで民主的なメカニズムを作りたいという願望です。 後者は、 分散型ガバナンスにおいて特に重要です。 これらのケースの多くは、現在の既存のソリューションは、(i)オペレーターが単に気に入らないユーザーを検出できないほど差別する余地を多く残す不透明なAIアルゴリズムと、(ii)中央集権的なID、別名「KYC」の組み合わせに依存しています。 効果的な Proof-of-Personhood ソリューションは、既存の集中型アプローチの落とし穴なしに、これらのアプリケーションが必要とするセキュリティ特性を実現する、はるかに優れた代替手段です。
人格の証明には、ソーシャルグラフベースと生体認証の2つの主要な形式があります。 アリス、ボブ、チャーリー、デビッドの3人が検証済みの人間であり、全員がエミリーが検証済みの人間であると言うなら、エミリーもおそらく検証済みの人間である。 アリスがエミリーは人間だと言ったが、そうではないことが判明した場合、アリスとエミリーの両方がペナルティを受ける可能性があります。 人格の生体認証には、エミリーの身体的または行動的特徴を検証することが含まれ、人間とボット(および個々の人間と人間)を区別します。 ほとんどのプロジェクトでは、この 2 つの手法を組み合わせて使用します。
冒頭で紹介した4つのシステムは、大まかに以下のように機能します。
各Worldcoinユーザーは、イーサリアムウォレットのように、秘密鍵と公開鍵を生成するアプリを携帯電話にインストールします。 その後、彼らは「オーブ」を直接訪問します。 ユーザーは Orb のカメラを見つめると同時に、公開鍵を含む Worldcoin アプリによって生成された QR コードを Orb に見せます。 Orb はユーザーの目をスキャンし、複雑なハードウェアスキャンと機械学習による分類器を使用して、次のことを確認します。
両方のスキャンに合格すると、Orb はユーザーの虹彩スキャンの特殊なハッシュを承認するメッセージに署名します。 ハッシュはデータベース(現在は中央集権型サーバー)にアップロードされ、ハッシュメカニズムが機能することを確認したら、分散型オンチェーンシステムに置き換えられる予定です。 システムは完全な虹彩スキャンを保存しません。ハッシュのみを格納し、これらのハッシュは一意性をチェックするために使用されます。 その時点から、ユーザーは「ワールドID」を持ちます。
World ID保有者は、データベース内の公開鍵に対応する秘密鍵を保持していることを証明するZK-SNARKを生成することで、自分がどの鍵を保持しているかを明らかにすることなく、自分がユニークな人間であることを証明することができます。 したがって、誰かがあなたの虹彩を再スキャンしたとしても、あなたが取ったアクションを見ることはできません。
すぐに思い浮かぶ4つの主要なリスクがあります。
(i)Worldcoinによる選択に固有の問題、(ii)生体認証による人格証明が必然的に抱える問題、および(iii)一般的な人格の証明が抱える問題を区別することが重要です。 たとえば、Proof of Humanityにサインアップするということは、インターネット上で顔を公開することを意味します。 BrightIDの認証パーティーに参加しても、それは実現しませんが、それでもあなたが誰であるかを多くの人に公開することができます。 また、サークルに参加すると、ソーシャルグラフが公開されます。 Worldcoinは、そのいずれよりもプライバシーの保護に優れています。 一方、Worldcoinは特殊なハードウェアに依存しているため、OrbメーカーがOrbを正しく構築していると信頼するという課題が生じます。 将来的には、Worldcoin以外の誰かが、異なるトレードオフを持つ別の特殊なハードウェアソリューションを作成する可能性さえ考えられます。
人格証明システムがもたらす最も明白で最大の潜在的なプライバシー漏洩は、人が取る各行動を現実世界のアイデンティティに結びつけることです。 このデータ漏洩は非常に大きく、間違いなく許容できないほど大きいですが、幸いなことに、 ゼロ知識証明 技術で簡単に解決できます。 ユーザーは、対応する公開鍵がデータベースにある秘密鍵で直接署名する代わりに、どの特定の鍵を持っているかを明らかにすることなく、対応する公開鍵がデータベースのどこかにある秘密鍵を所有していることを証明するZK-SNARKを作成できます。 これは、 Sismo (Proof of Humanity固有の実装については こちらをご覧ください )などのツールを使用して一般的に行うことができ、Worldcoinには独自の組み込み実装があります。 ここで重要なのは、人格の信用を「クリプトネイティブ」に証明することです:彼らは実際に匿名化を提供するためにこの基本的なステップを踏むことを気にしていますが、基本的にすべての中央集権的なIDソリューションはそうではありません。
より微妙ですが、それでも重要なプライバシー漏洩は、生体認証スキャンの公開レジストリが存在することです。 プルーフ・オブ・ヒューマニティの場合、これは大量のデータです:プルーフ・オブ・ヒューマニティの各参加者のビデオを入手し、プルーフ・オブ・ヒューマニティの参加者全員が誰であるかを調査することを気にする世界中の誰にでも非常に明確になります。 Worldcoinの場合、リークははるかに限定的であり、Orbは各人の 虹彩スキャンの「ハッシュ」のみをローカルで計算して公開します。 このハッシュは SHA256 のような通常のハッシュではありません。むしろ、機械学習された ガボールフィルター に基づく特殊なアルゴリズムであり、生体認証スキャンに固有の 不正確さに対処し 、同じ人の虹彩から取得された連続したハッシュが同様の出力を持つことを保証します。
青:同じ人物の虹彩の 2 つのスキャン間で異なるビットの割合。 オレンジ:2人の異なる人の虹彩の2つのスキャン間で異なるビットの割合。
これらの虹彩ハッシュは、少量のデータしか漏洩しません。 敵対者があなたの虹彩を強制的に(または密かに)スキャンできる場合、敵対者はあなたの虹彩ハッシュを自分で計算し、それを虹彩ハッシュのデータベースと照合して、あなたがシステムに参加しているかどうかを確認できます。 誰かがサインアップしたかどうかを確認するこの機能は、人々が複数回サインアップするのを防ぐためにシステム自体に必要ですが、何らかの形で悪用される可能性は常にあります。 さらに、虹彩ハッシュがある程度の医療データ(性別、民族性、おそらく病状)を漏洩する可能性がありますが、この漏洩は、現在使用されている他のほとんどすべての大量データ収集システムによってキャプチャできるものよりもはるかに小さいです。 ストリートカメラでさえ)。 全体として、私には虹彩ハッシュを保存するプライバシーで十分であるように思われます。
他の人がこの判断に同意せず、さらにプライバシーの高いシステムを設計したいと判断した場合、そうする方法は 2 つあります。
プルーフ・オブ・ヒューマニティでは、偽物(AIが生成した偽物を含む)の兆候がある場合に異議を唱え、その場合はより詳細に調査できるように、各参加者の完全なビデオを公開しておく必要があるため、残念ながら、これらの手法はプルーフ・オブ・ヒューマニティには適用できません。
全体として、オーブをじっと見つめ、眼球の奥深くまでスキャンさせるという「ディストピア的な雰囲気」にもかかわらず、専用のハードウェアシステムはプライバシーを保護するのにかなりまともな仕事をするように思えます。 しかし、その反面、特殊なハードウェアシステムでは、集中化の懸念がはるかに大きくなります。 それゆえ、私たちサイファーパンクは、深く根付いたサイファーパンクの価値を別のサイファーパンクの価値とトレードオフしなければならないという縛りから抜け出せないようです。
特殊なハードウェアはアクセシビリティの問題を引き起こしますが、これは特殊なハードウェアがあまりアクセスしにくいためです。 現在、サハラ以南のアフリカ人の 51% から 64% がスマートフォンを所有しており、これは2030年までに 87%に増加する と予測されているようです。 しかし、何十億ものスマートフォンがある一方で、オーブは数百個しかありません。 もっと大規模な分散型製造を行っても、全員の5km以内にオーブがある世界に到達するのは難しいでしょう。
しかし、チームの名誉のために言っておくと、 彼らは努力しています!
また、他の多くの人格証明には、さらに悪いアクセシビリティの問題があることも注目に値します。 ソーシャルグラフに載っている人をすでに知っている人でない限り、ソーシャルグラフベースの人格証明システムに参加することは非常に困難です。 これにより、そのようなシステムが単一の国の単一のコミュニティに制限されたままになることが非常に容易になります。
中央集権的なIDシステムでさえ、この教訓を学んでいます:インドの Aadhaar IDシステムは 生体認証ベースであり、重複した偽のアカウントによる大規模な詐欺を回避しながら、 膨大な人口 を迅速にオンボーディングする唯一の方法であったため(その結果、 大幅なコスト削減につながります)、もちろん、Aadhaarシステム全体は、暗号コミュニティ内で大規模に提案されているものよりもプライバシーに関してはるかに弱いです。
アクセシビリティの観点から最もパフォーマンスの高いシステムは、実際にはスマートフォンのみを使用してサインアップできるProof of Humanityのようなシステムですが、これまで見てきたように、そしてこれから見ていくように、そのようなシステムには他のあらゆる種類のトレードオフが伴います。
次の 3 つがあります。
人格証明システムは、おそらく「受け入れられた」IDのセットが完全に主観的であるシステムを除いて、(1)と戦わなければなりません。 システムが外部資産建てのインセンティブを使用する場合(例: ETH、USDC、DAI)、完全に主観的ではないため、ガバナンスリスクは避けられません。
[2]は、Worldcoinが特殊なハードウェアに依存し、他のシステムが依存していないため、Proof of Humanity(またはBrightID)よりもはるかに大きなリスクです。
[3]は、すべてのアルゴリズムがオープンソースであり、主張するコードを実際に実行していることが保証されていない限り、検証を行う単一のシステムがある「<a href=" https://medium.com/@VitalikButerin /the-meaning-of-decentralization-a0c92b76a274>論理的に中央集権化された」システムでは特にリスクです。ユーザーが他のユーザーを検証することだけに依存しているシステム(Proof of Humanityなど)の場合、これはリスクではありません。
現在、 Tools for Humanity というWorldcoinの関連団体が、オーブを作っている唯一の組織です。 しかし、Orb のソースコードはほとんど 公開されており、ハードウェアの仕様は この github リポジトリで確認でき、ソースコードの他の部分は近日中に公開される予定です。 このライセンスは、Uniswap BSLに似た「共有ソースだが、技術的には4年後までオープンソースではない」ライセンスの1つですが、フォークを防ぐだけでなく、非倫理的な行動を防ぐこともでき、特に大量監視と3つの国際公民権宣言がリストされています。
チームが掲げる目標は、他の組織が Orb を作成できるようにし、奨励すること、そして Tools for Humanity によって作成される Orb から、システムによって認識される Orb を作成できる組織を承認および管理するある種の DAO に移行することです。
この設計が失敗する原因は 2 つあります。
悪質なOrbメーカーに対してシステムをより堅牢にするために、WorldcoinチームはOrbsの定期的な監査を実施し、Orbが正しく構築されていること、主要なハードウェアコンポーネントが仕様に従って構築され、事後に改ざんされていないことを確認することを提案しています。 これは挑戦的な仕事です:それは基本的に IAEAの核査察官僚機構 のようなものですが、オーブのためのものです。 非常に不完全な監査体制の実施でも、偽のオーブの数を大幅に減らすことができると期待されています。
悪質なオーブがすり抜けることによる被害を抑えるには、2つ目の軽減策を用意するのが理にかなっています。 異なる Orb メーカーに登録されたワールド ID、理想的には異なる Orb に登録されたワールド ID は、互いに区別できる必要があります。 この情報が非公開で、World ID所有者のデバイスにのみ保存されても問題ありません。しかし、それはオンデマンドで証明可能である必要があります。 これにより、エコシステムは、個々の Orb メーカー、場合によっては個々の Orb をオンデマンドでホワイトリストから削除することで、(避けられない)攻撃に対応できるようになります。 もし、北朝鮮政府があちこち回って、人々に眼球のスキャンを強制しているのを見ると、それらのオーブと彼らが作成したアカウントは、すぐに遡及的に無効になる可能性があります。
Worldcoinに固有の問題に加えて、一般的に人格証明の設計に影響を与える懸念があります。 私が考えることができる主なものは次のとおりです。
[1] は、生体認証による人格証明システムに固有のものです。 [2] と [3] は、生体認証設計と非生体認証設計の両方に共通です。 [4] も両方に共通ですが、どちらの場合も必要な手法はまったく異なります。このセクションでは、生体認証の場合の問題に焦点を当てます。
これらはかなり深刻な弱点です。 既存のプロトコルですでに対処されているものもあれば、将来の改善で対処できるものもあれば、根本的な制限があると思われるものもあります。
これは、Proof of HumanityのようなシステムよりもWorldcoinのリスクが大幅に少なく、対面スキャンは人の多くの特徴を調べることができ、単に ビデオ を ディープフェイク するのに比べて、偽造が非常に困難です。特殊なハードウェアは、コモディティハードウェアよりも本質的に騙すのが難しく、コモディティハードウェアは、リモートで送信される写真やビデオを検証するデジタルアルゴリズムよりも騙すのが困難です。
誰かが、最終的に特殊なハードウェアでさえも欺くことができるものを3Dプリントできるでしょうか? たしか。 ある時点で、メカニズムをオープンに保つことと、それを安全に保つことの間の緊張が高まると予想しています:オープンソースのAIアルゴリズムは、本質的に 敵対的な機械学習に対してより脆弱です。 ブラックボックスアルゴリズムはより保護されていますが、ブラックボックスアルゴリズムがバックドアを含むように訓練されていないとは言い難いです。 もしかしたら、ZK-MLテクノロジーは、両方の長所を生かしてくれるかもしれません。しかし、さらに遠い未来のある時点で、最高のAIアルゴリズムでさえ、最高の3Dプリントされた偽の人々にだまされる可能性があります。
しかし、WorldcoinとProof of Humanityの両方のチームとの議論から、現時点では、どちらのプロトコルもまだ重大なディープフェイク攻撃を受けていないようです。
短期的には、世界のほとんどの人は人格証明プロトコルにさえ気づいておらず、QRコードを掲げて30ドルで目をスキャンするように指示すれば、彼らはそうするでしょう。 より多くの人が人格証明プロトコルが何であるかを認識すれば、登録済みのIDを持っている人が再登録できるようにし、以前のIDをキャンセルするという、かなり簡単な緩和策が可能になります。 これにより、IDを販売した人は、販売したばかりのIDをキャンセルして再登録できるため、「ID販売」の信頼性が大幅に低下します。 しかし、ここまでたどり着くには、プロトコルが広く知られており、オンデマンド登録を実用化するために Orb に広くアクセス可能である必要があります。
UBIコインは、人々が(i)プロトコルについて学び、サインアップし、(ii)他の誰かに代わって登録した場合、すぐに再登録する、という理解しやすいインセンティブを提供します。 再登録により、電話のハッキングも防止されます。
これは、どのような種類の強制について話しているかによって異なります。 強制の形態には、次のようなものがあります。
あなた方のUBIと投票権は全て我々のものです。 画像出典。
特に素朴なユーザーの手では、これらの状況を完全に防ぐことは非常に難しいようです。 ユーザーは自分の国を離れて、より安全な国の Orb に (再) 登録することができますが、これは困難なプロセスであり、コストもかかります。 真に敵対的な法的環境では、独立したオーブを探すのは困難でリスクが高いように思えます。
実現可能なのは、この種の悪用をより煩わしくし、検出可能にすることです。 登録時に特定のフレーズを話すことを要求しているプルーフ・オブ・ヒューマニティのアプローチは良い例です:隠されたスキャンを防ぐのに十分であり、強制がはるかに露骨であることを要求し、登録フレーズには、回答者が独立して再登録する権利があり、UBIコインやその他の報酬を得ることができることを知っていることを確認する声明を含めることさえできます。 強制型変換が検出された場合、強制型登録を一括して実行するために使用されるデバイスのアクセス権が取り消される可能性があります。 アプリケーションがユーザーの現在と過去のIDをリンクし、「永続的な記録」を残そうとするのを防ぐために、デフォルトの人格証明アプリは、信頼できるハードウェアでユーザーのキーをロックし、その間に匿名化ZK-SNARKレイヤーを挟まずにアプリケーションがキーを直接使用できないようにすることができます。 政府やアプリケーション開発者がこれを回避したい場合は、独自のカスタムアプリの使用を義務付ける必要があります。
これらのテクニックと積極的な警戒の組み合わせにより、真に敵対的な政権を締め出し、(世界の多くの国がそうであるように)中程度に悪いだけの政権を正直に保つことは可能に思えます。 これは、WorldcoinやProof of Humanityのようなプロジェクトが、このタスクのために独自の官僚機構を維持するか、IDがどのように登録されたか(例:Worldcoinで、どのOrbから来たか)に関するより多くの情報を明らかにし、この分類タスクをコミュニティに任せることで実現できます。
再登録によってIDを貸し出すことは妨げられません。 UBIコインのその日のシェアを回収する権利を貸し出す費用は、UBIコインのその日のシェアの価値になります。 しかし、投票などのアプリケーションでは、 安易な票の販売 が大きな問題になります。
MACIのようなシステムは、あなたが実際にそのような票を投じたかどうかを誰にもわからないような方法で、後で以前の投票を無効にする別の票を投じることを許可することで、あなたの票を確実に販売することを妨げる可能性があります。ただし、賄賂が登録時に取得するキーを制御している場合、これは役に立ちません。
私はここに2つの解決策を見ます:
ソーシャルグラフベースのシステムは、その動作の副産物としてローカルの分散型登録プロセスを自動的に作成できるため、実際にはここでより優れたパフォーマンスを発揮する可能性があります。
生体認証のアプローチは別として、これまでのところ、人格証明の主な候補は、ソーシャルグラフベースの検証でした。 ソーシャルグラフベースの検証システムはすべて同じ原理で動作します:もし、あなたのアイデンティティの有効性を証明する既存の検証済みIDがたくさんあるなら、あなたはおそらく有効であり、検証済みステータスも取得する必要があります。
少数の実際のユーザーが (偶然または悪意を持って) 偽のユーザーを検証する場合は、基本的なグラフ理論の手法を使用して、システムによって検証される偽ユーザーの数に上限を設定できます。 出典: https://www.sciencedirect.com/science/article/abs/pii/S0045790622000611。
ソーシャルグラフベースの検証の支持者は、いくつかの理由から、生体認証のより良い代替手段であると説明することがよくあります。
これらの議論に対する私の見解は、おおむね同意するということです。 これらは、ソーシャルグラフベースのアプローチの真の利点であり、真剣に受け止める必要があります。 ただし、ソーシャルグラフベースのアプローチの弱点も考慮する価値があります。
原則として、人格の証明はあらゆる種類の仮名と両立します。 アプリケーションは、1 つの個人証明 ID を持つユーザーがアプリケーション内に最大 5 つのプロファイルを作成できるように設計でき、仮名アカウントの余地を残すことができます。 二次式を使うこともできます:Nは$N²のコストを表します。しかし、果たしてそうなるのでしょうか?
しかし、悲観論者は、よりプライバシーに配慮したIDの形を作ろうとするのはナイーブであり、権力者はプライバシーに配慮しておらず、強力なアクターが個人についてより多くの情報を得るために使用できるツールを手に入れた場合、それが実際に正しい方法で採用されることを期待するのはナイーブであると主張するかもしれません。 彼らはそのようにそれを使うでしょう。 このような世界では、唯一の現実的なアプローチは、残念ながら、あらゆるIDソリューションの歯車に砂を投げ込み、完全な匿名性と信頼性の高いコミュニティのデジタルアイランドを持つ世界を守ることです。
この考え方の理屈はわかりますが、仮に成功したとしても、一人の人間が常に1万人のふりをすることができるので、富の集中と統治の集中化に対抗するために誰も何もする方法がない世界につながるのではないかと心配しています。 このような中央集権化のポイントは、権力者にとって容易に捕捉できるだろう。 むしろ、私は穏健なアプローチを支持し、強力なプライバシーを持つ人格証明ソリューションを積極的に提唱し、必要に応じてプロトコル層に「Nは$N²」メカニズムを含め、プライバシーに配慮した価値を持ち、外部に受け入れられる可能性があるものを作成します。
人格の証明に理想的な形はありません。 その代わり、少なくとも3つの異なるアプローチのパラダイムがあり、それぞれに独自の長所と短所があります。 比較表は次のようになります。
理想的には、これら3つの手法を補完的なものとして扱い、それらすべてを組み合わせる必要があります。 インドのAadhaarが大規模に示したように、特殊なハードウェアの生体認証には、大規模に安全であるという利点があります。 分散化は非常に苦手ですが、個々のオーブに責任を負わせることで対処できます。 汎用生体認証は、今日では非常に簡単に採用できますが、そのセキュリティは急速に低下しており、あと1〜2年しか機能しない可能性があります。 創業チームと社会的に親しい数百人の人々からブートストラップされたソーシャルグラフベースのシステムは、世界の大部分を完全に見逃すことと、可視性のないコミュニティ内で攻撃に対して脆弱であることの間の絶え間ないトレードオフに直面する可能性があります。 しかし、何千万人もの生体認証ID保有者をブートストラップしたソーシャルグラフベースのシステムは、実際に機能する可能性があります。 生体認証ブートストラップは短期的にはより効果的であり、ソーシャルグラフベースの手法は長期的にはより堅牢であり、アルゴリズムが向上するにつれて時間の経過とともにより大きな責任分担を負う可能性があります。
可能なハイブリッド パス。
これらのチームはすべて多くの間違いを犯す立場にあり、ビジネス上の利益とより広いコミュニティのニーズの間には避けられない緊張があるため、多くの警戒を怠ることが重要です。 コミュニティとして、私たちはすべての参加者のコンフォートゾーンをテクノロジーのオープンソース化に押し付け、第三者による監査や第三者が作成したソフトウェア、その他のチェックとバランスを要求することができますし、そうすべきです。 また、3つのカテゴリーのそれぞれで、より多くの選択肢が必要です。
同時に、これらのシステムを運用しているチームの多くは、政府や大手企業が運営する ID システムよりもはるかに真剣にプライバシーを重視する意欲を示しており、この成功は私たちがさらに発展させるべき成功です。
特に既存の暗号コミュニティから遠く離れた人々の手に渡る、効果的で信頼できる人格証明システムを作るという問題は、非常に難しいようです。 私は間違いなく、この課題に取り組んでいる人々をうらやましいとは思いませんし、うまくいく公式を見つけるには何年もかかるでしょう。 人格証明という概念は、原理的には、非常に価値があるように思われ、様々な実装にはリスクがあるが、人格証明が全くないことにもリスクがある:人格証明のない世界は、中央集権的なアイデンティティソリューション、お金、小さな閉鎖的なコミュニティ、またはこれら3つの組み合わせによって支配される世界である可能性が高いように思われる。 私は、あらゆる種類の人格証明のさらなる進歩を目にし、願わくば、さまざまなアプローチが最終的に首尾一貫した全体にまとまるのを見るのを楽しみにしています。