一文读懂Worldcoin的来龙去脉、基本原理、优势与问题

本文译自V神的博文：What do I think about biometric proof of personhood? 文章比较长，没时间的朋友可以阅读小乌鸦Max写的TLDR版简单了解一下。

特别感谢 Worldcoin 团队、Proof of Humanity社区以及安德鲁·米勒（Andrew Miller）的讨论。

以太坊社区正在尝试构建一种去中心化的身份验证（proof of personhood）解决方案，或被称为“独特人类问题”（unique-human problem），这也正是社区中最为棘手但潜在价值巨大的难题之一。

身份验证问题是现实世界身份的一种限定形式，它断言某个注册账户由一个真实的人控制（并且与其他所有注册账户的控制者都不同），而且理想情况下不需要透露具体是哪个真实的人。

为了解决这个问题，人们已经有了一些尝试，例如：Proof of Humanity、BrightID、Idena和Circles。其中有的方案自带应用（通常是普惠基本收入即UBI代币），有的在Gitcoin Passport中被用于验证哪些账户适用于二次方投票。而类似Sismo的零知识技术则为许多这些解决方案增加了隐私保护。

最近，我们见证了一个更大、更有雄心的身份验证项目的崛起：Worldcoin。

Worldcoin 由 Sam Altman 共同创立，他因担任 OpenAI 的 CEO 而广为人知。该项目背后的理念很简单：人工智能将为人类创造大量的丰富和财富，但它也可能会剥夺很多人的工作，并使人们几乎无法分辨谁是真正的人类而不是机器人，因此我们需要通过（i）创建一个真正优秀的身份验证系统，使人类能够证明他们确实是人类，并且（ii）给每个人提供UBI来弥补这个漏洞。Worldcoin 的独特之处在于它依赖于高度复杂的生物识别技术，使用一种名为“the Orb”的专门硬件来扫描每个用户的虹膜：

该项目的目标是生产大量的这些"Orbs"并广泛分布到世界各地，放置在公共场所，使任何人都可以轻松获得身份验证。值得称赞的是，Worldcoin 也承诺逐步实现去中心化。首先，这意味着技术上的去中心化：成为以太坊上的一个L2（第二层）应用，使用 Optimism 技术栈，并通过 ZK-SNARKs 和其他密码学技术来保护用户的隐私。随后，它将包括对系统本身治理的去中心化。

Worldcoin 因其"Orb"的隐私和安全问题、代币的设计问题以及公司所做的某些选择而受到批评。其中一些批评非常具体，专注于项目所做的决策，这些决策在其他方式下可能很容易改变——实际上，Worldcoin项目本身可能愿意改变。然而，其他批评则提出了更基本的问题，即生物识别技术是否是一个好主意——这不仅包括Worldcoin的眼部扫描生物识别技术，还包括Proof of Humanity和Idena中使用的简单的面部视频上传和验证游戏。

还有一些人对“身份验证”本身提出批评。其风险包括无法避免的隐私泄漏、进一步侵蚀人们在互联网上匿名浏览的能力、受到威权政府的强制控制，以及同时保持安全和去中心化方面可能存在的不可调和的矛盾。

本文接下来将讨论这些问题，并通过一些论点来帮助你决定在 Worldcoin 的“球形”工具面前扫描你的虹膜是否是一个好主意？以及要不要放弃开发人类身份证明，还有哪些替代方案？

什么是人类身份证明系统，为什么它很重要？

定义身份证明系统的最简单方法是：创建一个公钥列表，系统保证每个密钥都由唯一的人控制。换句话说，如果你是人类，你可以在列表上放一个密钥，但你不能放两个密钥；如果你是机器人，你不能在列表上放任何密钥。

人类身份证明很有价值，是因为它以避免依赖于中心化权威并尽可能少地揭示信息的方式解决了许多人面临的反垃圾邮件和反权力中心化问题。如果人类身份证明没有得到解决，去中心化治理（包括社交媒体帖子上的投票等“微观治理”）将更容易被非常富有的行动者，包括敌对政府所控制。许多服务只能通过设定访问价格来防止拒绝服务攻击，而有时候，足以排除攻击者的价格也对许多低收入的合法用户来说过高。

如今世界上的许多主要应用进程都是通过使用政府支持的身份系统（例如身份证和护照）来处理这个问题。这确实解决了问题，但它在隐私方面做出了巨大且不可接受的牺牲，并且可能会受到政府本身的轻微攻击。

在许多人类身份证明项目中——不仅是 Worldcoin，还有 Circles 等“旗舰应用进程”都内置了“每个人都能获得的代币”代码（也称为“UBI 代币”）。每个在系统中注册的用户每天（或每小时或每周）都会收到一些固定数量的代币。还有很多其他应用，具体包括：

- 用于代币分配的空投机制

- 为较不富裕的用户提供更优惠条件的代币或 NFT 销售

- 在 DAO 中投票

- 初始化图形化声誉系统的方式

- 二次投票（资金和注意力支付）

- 防范社交媒体中的机器人/女巫攻击

- 用于防止 DoS 攻击的验证码替代方案

在许多这样的情况下，共同的主题都是创造开放和民主的机制，避免项目运营者的中心化控制和其最富有用户的主导地位。后者在去中心化治理中尤为重要。

在这样的情况下，当今的现有解决方案依赖于：

（1）高度不透明的 AI 算法，对运营者不喜欢的用户进行不可检测的歧视

（2）中心化身份，即“KYC”

因此有效的身份证明解决方案将是一个更好的选择，可以实现这些应用进程所需的安全属性，而不会陷入现有中心化方法的陷阱。

​人类身份证明的一些早期尝试有哪些？

人类身份证明有两种主要形式：社交图谱和生物识别。

基于社交图谱的人类身份证明依赖于某种形式的证明：如果 Alice、Bob、Charlie 和 David 都是经过验证的人类，并且他们都说 Emily 是一个经过验证的人类，那么 Emily 可能也是一个经过验证的人类。

这种证明通常会通过激励来增强：如果 Alice 说 Emily 是真人，但事实证明她不是，那么 Alice 和 Emily 可能都会受到惩罚。

基于生物识别的人类身份证明涉及验证 Emily 的一些身体或行为特征，这些特征将人类与机器人（以及个体人类彼此）区分开来。

大多数项目都在使用这两种技术的组合。

我在本文开头提到的四个系统大致如下：

（1）Proof of Humanity：你上传自己的视频，并提供押金。要获得批准，现有用户需要为你担保，其他挑战者在一段时间内会对你提出质疑。如果有挑战者，Kleros 的去中心化法院会查证你的视频是否真实；如果不是，押金将被没收，挑战者将获得奖励。

（2）BrightID：你与其他用户一起参加一个视频通话“验证派对”，每个人都互相验证。通过 Bitu，你可以获得更高级别的验证，只要有足够多的其他 Bitu 验证过的用户为你担保。

（3）Idena：你必须在特定时间点玩一个验证码游戏（以防止人们多次参与）；验证码游戏的一部分包括创建和验证将用于验证他人的验证码。

（4）Circle：需要现有的 Circle 用户为你担保。Circles 的独特之处在于它没有尝试创建“全球可验证的 ID”；相反，它创建了一个信任关系图，其中某人的可信度只能从你自己在该图中的位置来验证。

Worldcoin 如何运作？

每个 Worldcoin 用户都必须在他们的手机上安装一个应用进程，该应用进程会生成私钥和公钥，就像以太坊钱包一样。然后他们必须在线下亲自去找到可验证的“Orb”。用户盯着 Orb 的摄像头，同时向 Orb 出示由他们的 Worldcoin 应用进程生成的二维码，其中包含他们的公钥。Orb 扫描用户的眼睛，并使用复杂的硬件扫描和机器学习分类器来验证：

（1）用户是否是真人；

（2）用户的虹膜与之前使用过该系统的任何其他用户的虹膜都不匹配。

如果两个扫描都通过，Orb 将签署一条消息，批准用户虹膜扫描的专用哈希。哈希被上传到数据库——目前是一个集中式服务器，一旦他们确定哈希机制有效，就打算被去中心化的链上系统取代。系统不存储完整的虹膜扫描，它只存储哈希，这些哈希用于检查唯一性。从这时起，用户就拥有了一个“World ID”。

World ID 持有者能够通过生成 ZK-SNARK 来证明他们持有与数据库中公钥相对应的私钥，而无需透露他们持有哪个密钥，从而证明他们是一个独特的人类。因此，即使有人重新扫描你的虹膜，他们也无法看到你已经采取的任何行动。

Worldcoin 的构造存在哪些主要问题？

人们主要担心四个风险：

（1）隐私

虹膜扫描的注册表可能会泄露信息。至少，如果其他人扫描你的虹膜，他们可以将其与数据库进行对比，以确定你是否拥有一个 World ID。虹膜扫描可能会揭示更多信息。

（2）可访问性

除非有足够多的 Orb，世界上任何人都可以轻松找到一个，否则 World ID 将无法可靠地访问。

（3）中心化

Orb 是一个硬件设备，我们无法验证它的构造是否正确且没有后门。因此，即使软件层完美且完全去中心化，Worldcoin 基金会仍然有能力在系统中插入后门，让它创建任意多的虚假人类身份。

（4）安全

用户的手机可能会被黑客入侵，用户可能会被迫扫描自己的虹膜，同时出示属于其他人的公钥，并且有可能 3D 打印“假人”，并通过虹膜扫描，获取 World ID。

重要的是要搞清楚:

（1）Worldcoin 特定选择的问题；

（2）任何基于生物特征的人类身份证明系统都不可避免地存在的问题；

（3）任何人类身份证明系统都会存在的问题。例如，注册“Proof of Humanity”意味着在互联网上公布你的面孔。

即便是加入 BrightID 的视频通话“验证派对”并不能完全改变这一点，因为仍然会向很多其他人暴露你的身份。加入 Circles 会公开暴露你的社交图谱。

Worldcoin 在保护隐私方面比这两者都要好得多。

另一方面，Worldcoin 依赖于专门的硬件，这带来了是否能完全信任 Orb 制造商的问题。这在 Proof of Humanity、BrightID 或 Circles 中都是没有的。甚至可以想象在未来，可能有人会创建一个与 Worldcoin 不同的专用硬件解决方案，这将有不同的权衡。

基于生物识别的人类身份证明系统如何解决隐私问题？

任何人类身份证明系统最明显、最大的潜在隐私泄露是将每个人的行为与现实世界的身份联系起来。这种数据泄露非常大，可以说是不能接受的大。但幸运的是，用零知识证明技术很容易解决。

与直接使用私钥进行签名不同，用户可以生成一个零知识证明（ZK-SNARK），证明他们拥有与数据库中某个公钥相对应的私钥，而不会透露具体是哪个密钥。。这可以使用像 Sismo 这样的工具完成，而 Worldcoin 有其自己的内置实现方式。在这里，值得给 Worldcoin 这个“加密原生”的人类身份证明系统点个赞：他们实际上关心采取 ZK-SNARK 这一基本步骤来提供匿名化，而几乎所有的中心化身份解决方案都没有。

生物识别的公共注册表的存在是一个更微妙的隐私泄露。在 Proof of Humanity 的情况下，这集中了大量的数据：你会得到每个 Proof of Humanity 参与者的视频，这让世界上任何愿意调查的人都很清楚 Proof of Humanity 的参与者都是谁。

在 Worldcoin 的情况下，泄漏要有限得多：Orb 在本地计算并仅发布每个人虹膜扫描的“哈希”。此哈希不是像 SHA256 那样的常规哈希；相反，它是一种基于机器学习的 Gabor 过滤器的专用算法，可处理任何生物特征扫描中固有的不精确性，并确保对同一个人的虹膜进行的连续哈希具有相似的输出。

这些虹膜哈希只能泄漏少量的数据。如果对手可以强行（或秘密）扫描您的虹膜，那么他们可以自己计算你的虹膜哈希值，并将其与虹膜哈希数据库进行对比，以查看你是否参与了该系统。这种检查某人是否注册过的能力对于系统本身来说是必要的，可以防止人们多次注册，但它也有可能被滥用。

此外，虹膜哈希有可能泄露一定量的医疗数据（性别、种族，也许还有医疗状况），但这种泄露远远小于当今使用的几乎任何其他大规模数据收集系统（例如，甚至是街头摄像头）所能捕获的数据。总的来说，我认为存储虹膜哈希的隐私性似乎足够了。

如果有人不同意这个判断，决定设计一个具有更多隐私的系统，那么有两种方法可以做到：

1. 如果虹膜哈希算法可以改进，使同一人两次扫描之间的差异更小（例如，可靠地低于 10% 的位翻转），那么系统可以存储较少数量的虹膜哈希的纠错位（参见：模糊提取器）而不是存储完整的虹膜哈希。如果两次扫描之间的差异低于 10%，那么需要发布的位数至少会少 5 倍。

2. 如果我们想走得更远，我们可以将虹膜哈希数据库存储在一个多方计算（MPC）系统中，该系统只能由 Orb（有速率限制）访问，使数据完全无法访问，但是需要承担显著的协议复杂性和管理 MPC 参与者集合的社会复杂性。这将有一个好处，即用户即使想要也无法证明他们在不同时间拥有的两个不同的 World ID 之间的关联。

不幸的是，这些技术不适用于 Proof of Humanity，因为 Proof of Humanity 要求每个参与者的完整视频公开可用，以便在出现伪造迹象（包括 AI 生成的伪造）时可以提出挑战，并在此类情况下进行更详细的调查。

总的来说，尽管盯着一个 Orb 并让它深入扫描你的眼球的行为有着“反乌托邦的气息”，但专门的硬件系统似乎确实可以做得很好地保护隐私。然而，这的另一面是，专门的硬件系统引入了更大的中心化问题。因此，我们这些密码朋克似乎陷入了困境：我们必须在两个深深扎根的密码朋克价值观之间进行权衡。

基于生物识别的人类身份证明系统中有哪些可访问性问题？

专用硬件引入了可访问性问题，因为专用硬件并不是很容易获得。现在有 51% 至 64% 的撒哈拉以南非洲人拥有智能手机，预计到 2030 年这一比例将增加到 87%。

但是，虽然全球有数十亿部智能手机，却只有几百个 Orb。即使有更大规模的分布式制造，也很难实现让每个人的五公里范围内都有一个 Orb。

但值得称赞的是，Worldcoin一直在努力！

还值得注意的是，许多其他形式的人类身份证明的可访问性问题更糟糕。除非你已经认识社交图谱中的某个人，否则加入基于社交图谱的人类身份证明系统非常困难。这使得此类系统很容易被限制在单个国家的单个社区内。

即使是中心化身份系统也吸取了这一教训：印度的 Aadhaar ID 系统是基于生物识别的，因为这是快速吸纳该国庞大人口的唯一方法，同时可以避免重复和虚假账户造成的大规模欺诈（从而节省大量成本）。当然，Aadhaar 系统在隐私保护方面远不如加密社区大规模提议的任何项目。

从可访问性的角度来看，性能最好的系统实际上是像 Proof of Humanity 这样的系统，你只需使用智能手机即可注册。不过，正如我们已经看到的，此类系统会带来各种其他权衡。

基于生物识别的人类身份证明系统的中心化问题是什么？

问题有三种：

（1）系统的最高级别治理存在中心化风险（尤其是在系统中不同参与者对主观判断存在分歧时，该系统做出最终的最高级别决议）。

（2）使用专用硬件的系统特有的中心化风险；

（3）使用专有算法来确定谁是真实参与者的中心化风险。

任何人类身份证明系统都必须与问题（1）相抗衡，除非系统中的"接受"的 ID 完全是主观的。如果一个系统使用的是外部资产（例如 ETH、USDC、DAI）来定价的激励，那么它就不能完全是主观的，所以治理风险就不可避免。

对于 Worldcoin 来说，问题（2）比 Proof of Humanity（或 BrightID）的风险要大得多，因为 Worldcoin 依赖于专门的硬件，而其他系统则不是。

问题（3）是中心化系统的一个特别的风险，这种系统有一个单一的系统进行验证，除非所有的算法都是开源的，并且我们有保证他们实际运行的是他们声称的代码。对于完全依赖用户验证其他用户的系统（如 Proof of Humanity），这并不是一个风险。

Worldcoin 如何解决硬件中心化问题？

目前，Tools for Humanity 是唯一一个制造 Orbs 的组织。但是，Orb 的源代码大多是公开的：你可以 github 存储库中看到硬件规格，源代码的其他部分预计将很快发布。Orb 的许可证是另一种“共享源码但在四年后才算技术上的开源”许可证，类似于 Uniswap BSL，除了防止分叉外，它还防止了他们认为的不道德行为——它们特别列出了大规模监视和三项国际人权宣言。

Tools for Humanity 的既定目标是允许和鼓励其他组织创建 Orbs，随着时间的推移，从由 Tools for Humanity 创建的 Orbs 过渡到拥有某种 DAO 来批准和管理哪些组织可以制造系统认可的 Orbs。

但这种设计可能会以两种方式失败：

1. 它实际上未能去中心化。这可能是因为 DAO 的常见陷阱：一个制造商在制造中占据主导地位，导致系统重新中心化。大概来说，治理可以限制每个制造商可以生产多少有效的 Orbs，但这需要谨慎管理，而且对治理的压力很大，要求其既去中心化又能有效监控生态系统并有效应对威胁：这比一个只处理顶级争议解决任务的相当静态的 DAO 要困难得多。

2. 可能无法创造这样一个去中心化的制造机制来保证安全。在这里，我看到两个风险：

（1）对 Orb 制造商的出现：即有一个 Orb 制造商是恶意的或被黑客入侵的，它也可以生成无限数量的假虹膜扫描哈希，并给它们赋予 World ID。

（2）政府对 Orb 的限制：不希望其公民参与 Worldcoin 生态系统的政府可以禁止他们的国家使用 Orbs。更进一步，他们甚至可以强迫公民接受虹膜扫描，让政府获取他们的账户，而公民无法应对。

为了使系统更能抵抗坏 Orb 制造商，Worldcoin 团队提出对 Orbs 进行定期审计，验证它们是否正确构建，关键的硬件组件是否按照规格构建，是否在事后被篡改。这是一个具有挑战性的任务：这基本上就像是 IAEA 核检查机构，但是针对 Orbs。我们希望即使是一个非常不完美的审计制度，也可以大大减少假 Orbs 的数量。

为了限制任何坏 Orb 造成的伤害，有必要采取第二种缓解措施。即使用不同 Orb 制造商注册的 World ID，理想情况下，使用不同的 Orbs，应该是可以互相区分的。如果这些信息是私密的，只储存在 World ID 持有者的设备上，这是可以接受的；但这确实需要在需要的时候可以证明。这使得生态系统能够对（不可避免的）攻击进行反应，可以根据需要随时将单个 Orb 制造商，甚至单个 Orbs，从白名单中移除。如果我们看到朝鲜政府四处逼迫人们扫描眼球，那些Orbs和由它们产生的任何账户都可以立即被追溯性地禁用。

一般人类身份证明中存在哪些安全问题？

除了 Worldcoin 特有的问题外，还有一些问题会影响人类身份证明系统的设计。我能想到的主要有：

（1）3D 打印的假人：人们可以使用 AI 生成足够真实以被 Orb 软件接受的假人的照片或甚至 3D 打印品。如果有一个团体这么做，他们可以生成无限数量的身份。

（2）可能会出售 World ID：在注册时，人们可以提供别人的公钥而不是自己的公钥，这样就将他们注册的 ID 的控制权交给了别人，换取金钱。这种情况似乎已经在发生。除了出售，还有可能短时间内将ID租用给一个应用程序。

（3）手机黑客攻击：如果某人的手机被黑客入侵，那么黑客可以窃取控制其 World ID 的密钥。

（4）政府强制窃取身份：一个政府可以强制其公民在显示属于政府的二维码的同时进行验证。这样，恶意的政府可以获得数以百万计的 ID。在生物识别系统中，甚至可以秘密地进行这种操作：政府可以使用模糊的 Orbs 从护照控制亭进入他们国家的每个人那里提取 World ID。

第一点特定于生物识别证明身份系统。第二和第三点在生物识别和非生物识别设计中都很常见。第四点也在两者中都很常见，尽管在两种情况下所需的技术会有很大的不同；在这一节中，我将重点讨论生物识别情况下的问题。

这些都是非常严重的弱点。一些已经在现有的协议中得到解决，其他一些可以通过未来的改进来解决，还有一些看起来是基本的限制。

我们该如何应对假人？

对于 Worldcoin 来说，这比类似于 Proof of Humanity 的系统的风险要小得多：一个人的现场扫描可以检查一个人的许多特征，而且相比于仅仅深度伪造一个视频，这是相当难以伪造的。专业化的硬件本质上比普通硬件更难以欺骗，而普通硬件又比远程发送的图片和视频的数字算法验证更难以欺骗。

有人能 3D 打印出可以骗过 Orb 的东西吗？可能性很大。我预计在某个时候，我们将看到保持机制开放和保持机制安全的目标之间的紧张关系日益加剧：开源 AI 算法本质上更容易受到对抗性机器学习的影响。在更远的未来某个时候，即使是最好的 AI 算法也可能会被最好的 3D 打印假人所欺骗。

然而，从我与 Worldcoin 和 Proof of Humanity 开发团队的讨论来看，目前似乎这两个协议都没有看到重大的深度伪造攻击，原因很简单，雇用真正的低工资工人代表你注册是非常便宜和容易的。

我们可以防止出售 ID 吗？

在短期内，防止这种出售是困难的，因为世界上大多数人甚至不知道人类身份证明协议，如果你告诉他们举起二维码并扫描他们的眼睛可以赚 30 美元，他们会这样做。

一旦更多的人知道什么是人类身份证明协议，一个相当简单的缓解措施就成为可能：允许拥有注册 ID 的人重新注册，取消以前的 ID。这使得“ID 销售”的可信度大大降低，因为向你出售 ID 的人可以重新注册，注销他们刚刚出售的 ID。然而，要达到这一点，需要协议非常广为人知，并且 Orbs 需要非常广泛地访问，以使得即时注册成为可能。

这就是为什幺将 UBI 代币集成到人类身份证明系统中是有价值的一个原因：UBI 代币为人们提供了一个易于理解的激励，以了解协议并注册，以及如果他们曾代表其他人注册，他们会立即重新注册。

我们能防止基于生物识别的人类身份证明系统中的强制威胁吗？

这取决于我们在谈论什么样的胁迫。可能的胁迫形式包括：

- 政府在边境控制和其他常规政府检查点扫描人们的眼睛（或面孔，或...），并使用此来注册（并频繁重新注册）他们的公民

- 政府在国内禁止 Orbs 以阻止人们独立注册

- 一些人购买 ID，然后威胁 ID 主人，如果他们发现 ID 主人重新注册导致 ID 被无效化，主人就会受到伤害

- 某些（可能由政府运行的）应用要求人们通过直接使用他们的公钥进行"签名"来"登录"，让他们看到相应的生物特征扫描，从而看到用户当前 ID 和他们通过重新注册获得的任何未来 ID 之间的链接。人们普遍担心，这会让创建一个伴随一个人一生的"永久记录"变得太容易。

对于不太熟练的用户来说，这种情况似乎很难彻底阻止。用户可以离开他们的国家到一个更安全的国家的 Orb（重新）注册，但这是一个困难的过程和高成本。在一个真正敌对的法律环境下，寻找一个独立的 Orb 似乎太困难和风险了。

可行的是使这种滥用更麻烦且更容易被检测。Proof of Humanity 的方法，要求一个人在注册时说出一个特定的短语，就是一个很好的例子：它可能足够阻止隐藏的扫描，需要胁迫更为明显，并且注册短语甚至可以包括一条声明，确认答复者知道他们有权独立重新注册，并可能获得 UBI 代币或其他奖励。如果检测到胁迫，用于大规模进行强制注册的 Orb 可能会被撤销访问权。

一般的人类身份证明系统可以将用户的密钥锁定在受信任的硬件中，防止任何应用程序的进程直接使用该密钥，而无需中间的 ZK-SNARK 层。如果政府或应用进程开发人员想要解决这个问题，他们需要强制使用自己的自定义应用进程。

通过这些技术和积极预警的结合，锁定那些真正敌对的政权，并保持那些只是中立的政权（就像世界上大部分地区一样）的诚实似乎是可能的。这可以通过像 Worldcoin 或 Proof of Humanity 这样的项目维护其自身的这项任务的官僚机构来完成，或者通过揭示更多关于 ID 是如何注册的信息（例如在 Worldcoin 中，它来自哪个 Orb），并将这项分类任务交给社区来完成。

我们可以防止 ID 租用（例如出租选票）吗？

重新注册并不会阻止一些人出租 ID。这在某些应用程序中是可以的：出租你收取当日 UBI 币份额的权利的成本将只是当日 UBI 币的价值。但在诸如投票这样的应用中，轻易地卖出投票权是一个巨大的问题。

像 MACI 这样的系统可以阻止你出售你的选票，允许你稍后再投另一票，使你之前的投票无效，这样就没有人可以知道你是否真的投了这样的票。但是，如果行贿者控制了你在注册时获得的密钥，那就无济于事了。

我在这里看到两种解决方案：

（1）在一个多方计算（MPC）内运行整个应用进程。这也包括了重新注册过程：当一个人注册到 MPC 时，MPC 会为他们分配一个与他们的人身证明 ID 分离的、不能链接到的 ID，当一个人重新注册时，只有 MPC 会知道哪个账户需要停用。这防止了用户对他们的行为进行证明，因为每一个重要的步骤都是在 MPC 中使用只有 MPC 知道的私有信息完成的。

（2）去中心化的注册仪式。基本上，实现类似于这种需要四个随机选定的本地参与者共同工作才能注册某人的现场密钥注册协议。这可以确保注册是一个"可信任"的过程，攻击者不能在其中偷听。

基于社交图谱的系统在这里可能会表现得更好，因为它们可以自动地创建本地的去中心化注册过程，作为它们工作方式的一个副产品。

基于生物识别的人类身份证明 VS 基于社交图谱的验证

除生物识别方法外，目前对于人身证明的主要竞争者还有基于社交图谱的验证。基于社交图谱的验证系统都遵循同样的原理：如果有一大群已经被验证的身份证明你的身份是有效的，那么你很可能是有效的，并且应该也获得验证的身份。

基于社交图谱的人类身份证明系统的支持者经常将其描述为生物识别技术的更好替代方案，原因如下：

- 它不依赖于专用硬件，使其更易于部署；

- 它避免了试图制造假人的制造商与需要更新以拒绝此类假人的 Orb 之间的永久军备竞赛；

- 不需要收集生物识别数据，更加保护隐私；

- 它对匿名可能更友好，因为如果有人选择将他们的网络生活分散到他们相互保持独立的多个身份上，那么这些身份都有可能被验证（但是，维护多个真实且独立的身份会牺牲网络效应，并且成本高昂，所以攻击者不可能轻易做到这一点）

生物识别方法给出“是人类”或“不是人类”的二元评分，这是脆弱的：被意外拒绝的人将无法获得 UBI 代币，并且可能无法参与在线生活。基于社交图谱的方法可以给出更细致的数值评分，这可能对一些参与者来说不公平，但不太可能完全"消除"一个人。

我对这些论点的看法是，我基本上同意它们！这些是基于社交图谱的方法的真正优势，应该认真对待。然而，还值得考虑基于社交图谱方法的弱点：

- 引导：对于一个用户来说，要加入一个基于社交图谱的系统，那么这个用户必须认识已经在图谱中的某个人。这使得大规模的采用变得困难，并且有可能排除那些在最初的启动过程中不走运的全球的地区。

- 隐私：尽管基于社交图的方法避免了收集生物识别数据，但它们常常泄露关于一个人的社交关系的信息，这可能导致更大的风险。当然，零知识技术可以缓解这个问题（例如，参见 Barry Whitehat 的这个提议），但是图中的互依性和需要对图谱进行数学分析使得实现与生物识别相同的数据隐藏级别变得更困难。

- 不平等：每个人只能有一个生物识别 ID，但一个富有和社交关系广泛的人可以利用他们的关系生成多个 ID。本质上，同样的灵活性可能允许一个基于社交图谱的系统给某个（比如激进分子）真正需要这个功能的人多个化名，但更有可能的是，更有权力和更有社交关系的人可以获得比较少的人更多的化名。

- 陷入中心化的风险：大多数人都太懒，不愿意花时间在一个互联网应用中报告谁是真人，谁不是。因此，有风险的是，系统将随着时间的推移，更倾向于依赖中心化的权威的"简单"入门方法，而系统用户的"社交图"实际上将变成哪些国家承认哪些人为公民——给我们带来了集中的 KYC，但是需要额外的步骤。

人类身份证明与现实世界中的假名兼容吗？

原则上，人类身份证明与各种化名都是兼容的。应用程序可以设计成这样的方式：一个拥有单一的人身证明 ID 的人可以在应用程序中创建多达五个个人资料，留下空间用于化名账户。人们甚至可以使用二次公式：N 个账户需要 $N² 的成本。但他们会这样做吗？

然而，悲观主义者可能会认为，试图创建一个更加注重隐私的身份识别方式并希望它能够以正确的方式被采用是天真的，因为权力者并不关心隐私，如果一个强大的行动者有一个可以用来获取一个人更多信息的工具，他们会这样做。在这样的世界中，这个论点认为，唯一现实的方法，遗憾的是，要破坏任何身份识别解决方案，并捍卫一个完全匿名和数字化的高信任社区岛屿的世界。

我理解这种思维方式背后的原理，但我担心这种方法即使成功，也会导致一个世界，其中没有任何方式可以做任何事情来反对财富集中和治理中心化，因为一个人总是可以假装是一万个人。反过来，这样的中心化点将很容易被权力者掌控。相反，我更倾向于一个适度的方法，我们应该大力倡导人身证明解决方案具有强大的隐私性，可能如果需要甚至在协议层面包括一个"N 个账户需要 $N² 的成本"的机制，并创建一个符合隐私友好价值观并有机会被外界接受的东西。

那么...我会觉得这件事情怎么样？

在人类身份证明的问题上，并没有理想的形式。相反，我们有至少三种不同的方法，每种都有其独特的优点和缺点。对比图可能如下所示：

理想情况下，我们应该将这三种技术视为互补，并将它们结合起来。正如印度 Aadhaar 所展示的那样，专用硬件生物识别技术具有大规模安全的优势。他们在权力下放方面非常弱，尽管这可以通过让个别球体负责来解决。

如今，通用生物识别技术易于被采用，但其安全性正在迅速下降，而且可能只能再工作 1-2 年。基于社交图谱的系统由数百名与创始团队社交关系密切的人引导，可能会面临不断的权衡，要么完全错过世界大部分地区，要么容易受到他们看不到的社区的攻击。然而，一个由数千万生物识别 ID 持有者引导的基于社交图谱的系统实际上可以发挥作用。生物识别引导可能在短期内效果更好，而基于社交图谱的技术从长期来看可能会更加稳健，并且随着算法的改进，随着时间的推移，它们会承担更大的责任。

所有这些团队都有可能犯很多错误，商业利益和整个社区的需求之间存在必然的紧张关系，因此我们需要保持高度警惕。作为一个社区，我们可以和应该推动所有参与者在开源技术方面扩大舒适区，要求第三方审计甚至第三方编写的软件，以及其他的审查和平衡措施。我们还需要在每个类别中有更多的替代方案。

同时，我们也需要认识到已经取得的成就：许多运行这些系统的团队已经表现出比几乎所有政府或主要企业管理的身份系统更加重视隐私，这是我们应该继续努力的成功之处。

制定一个有效可靠的身份证明系统，特别是在远离现有加密社区的人手中，似乎非常具有挑战性。我绝对不羡慕那些尝试这项任务的人，而且可能需要数年时间才能找到有效的解决方案。从原则上讲，身份验证的概念似乎非常有价值，虽然不同的实现方法存在风险，但完全没有任何身份验证也存在风险：一个没有身份验证的世界更可能成为由中心化的身份解决方案、货币、小闭环社区或三者结合主导的世界。我期待着在所有类型的身份验证方案上取得更多进展，并希望不同的方法最终能够融合成一个连贯的整体。

免责声明：本文不构成任何投资建议。