「Worldcoin 正面临四个主要风险：隐私、可访问性、中心化和安全性。」

原文标题：《What do I think about biometric proof of personhood?》

撰文：Vitalik Buterin 

编译：fanfan 

在以太坊社区中，人们一直试图构建一种去中心化的个人身份证明解决方案，这是一个棘手但潜在价值巨大的设备。个人身份证明，也被称为「独特人类问题」，是现实世界身份的一种有限形式，它断言特定的注册账户由一个真实的人控制（并且是与其他所有注册账户不同的真实人），最好不会透露这个真实人的身份。

对于解决这个问题，已经有一些努力：Proof of Humanity、BrightID、Idena 和 Circles 等都是一些例子。其中一些解决方案配备了它们自己的应用程序（通常是 UBI 代币），有些已经在 Gitcoin Passport 中得到了应用，用于验证哪些账户可以进行二次投票。像 Sismo 这样的零知识技术为这些解决方案增加了隐私保护。最近，我们看到了一个更大、更有雄心的个人身份证明项目的崛起：Worldcoin。

Worldcoin 的联合创始人是 Sam Altman，他最著名的身份是 OpenAI 的首席执行官。该项目背后的理念很简单：人工智能将为人类创造大量的丰富和财富，但它也可能导致很多人失去工作，并且很难判断谁是人类，谁是机器人，因此我们需要通过（i）创建一个真正好用的个人身份证明系统，使人类能够证明他们确实是人类；以及（ii）给每个人提供普遍基本收入（UBI）来弥补这个漏洞。Worldcoin 独特之处在于它依赖于高度复杂的生物识别技术，使用一种名为「the Orb」的专用硬件扫描每个用户的虹膜：

该项目的目标是生产大量这样的 Orbs，并在全球范围内广泛分发它们，并将它们放置在公共场所，以便任何人都能轻松获得身份证明。值得称赞的是，Worldcoin 还承诺随着时间的推移实现去中心化。首先是技术上的分散：作为 Ethereum 上的 L2，使用 Optimism 技术栈，并使用 ZK-SNARKs 和其他加密技术保护用户的隐私。随后，这还包括将系统的治理去中心化。

Worldcoin 因其 Orb 的隐私和安全问题、其「币」设计问题以及公司所做的一些选择所引起了批评。其中一些批评非常具体，关注项目做出的决定，这些决定本来可以通过其他方式进行，而且 Worldcoin 项目本身可能愿意进行更改。然而，其他人则对生物识别本身提出了更基本的担忧——不仅是 Worldcoin 的眼睛扫描生物识别，还包括 Proof of Humanity 和 Idena 中使用的更简单的人脸视频上传和验证游戏。还有人对个人身份证明本身提出了批评。风险包括不可避免的隐私泄漏，进一步削弱人们在互联网上匿名行动的能力，受到威权政府的强制，以及在保持去中心化的同时可能无法确保安全性。

本文将讨论这些问题，并提出一些论点，帮助您决定是否向我们的新球形霸主低头并扫描您的眼睛（或脸部、声音等等）是一个好主意，以及是否自然的替代方案——包括基于社交图谱的个人身份证明或者完全放弃个人身份证明——是否更好。

什么是个人身份证明，以及为什么它很重要？

最简单的定义个人身份证明系统的方式是：它创建了一个公钥列表，系统保证每个密钥都由一个独特的人类控制。换句话说，如果你是一个人类，你可以将一个密钥放在列表上，但不能将两个密钥放在列表上，而如果你是一个机器人，就不能将任何密钥放在列表上。

个人身份证明很有价值，因为它解决了许多人们面临的反垃圾邮件和反权力集中问题，而且避免了对中央权威的依赖，并且尽可能地揭示最少的信息。如果个人身份证明问题没有解决，去中心化治理（包括社交媒体帖子的「微治理」）将更容易被非常富有的角色攻陷，包括敌对政府。许多服务只能通过设置访问价格来防止拒绝服务攻击，而有时候为了阻止攻击者，价格也会对许多低收入的合法用户过高。

今天世界上许多主要应用都通过使用政府支持的身份系统，比如信用卡和护照来解决这个问题。这解决了问题，但在隐私方面做出了大量甚至不可接受的牺牲，并且很容易受到政府自身的攻击。

在许多个人身份证明项目中——不仅包括 Worldcoin，还有 Proof of Humanity、Circles 等等——「旗舰应用」是内置的「N-per-person token」（有时称为「UBI token」）。系统中的每个注册用户每天（或每小时、每周）都会获得一定数量的代币。但还有许多其他应用：

• 用于代币分发的空投
• 为较少财富的用户提供更有利的代币或 NFT 销售条款
• 在 DAO 中进行投票
• 用于「种子」图形信誉系统
• 二次投票（以及资金筹集和注意力支付）
• 在社交媒体中防止机器人 /Sybil 攻击
• 作为替代方法，用于防止拒绝服务攻击的验证码

在许多这些情况下，共同点是希望创建开放和民主的机制，避免项目运营者的中央控制和最富有的用户的主导地位。后者在去中心化治理中尤为重要。在许多这些情况下，现有的解决方案通常依赖于（i）高度不透明的人工智能算法，这些算法在对运营商不喜欢的用户进行歧视方面有很大的空间，以及（ii）中心化的身份验证，也称为「KYC」。一个有效的个人身份证明解决方案将是更好的替代方案，它能够实现这些应用所需的安全属性，而避免现有中心化方法的缺陷。

一些早期的个人身份证明尝试是什么？

个人身份证明有两种主要形式：基于社交图谱和生物识别。基于社交图谱的个人身份证明依赖于某种形式的担保：如果 Alice、Bob、Charlie 和 David 都是经过验证的人类，并且他们都表示 Emily 是经过验证的人类，那么 Emily 很可能也是经过验证的人类。担保通常会通过激励机制进行增强：如果 Alice 表示 Emily 是一个人类，但事实证明她不是，那么 Alice 和 Emily 可能都会受到处罚。生物识别的个人身份证明涉及验证 Emily 的某些与众不同的身体或行为特征，可以将人类与机器人（以及不同的人类）区分开来。大多数项目使用这两种技术的组合。

本文开始提到的四个系统的工作原理大致如下：

• Proof of Humanity：你上传自己的视频，并提供一笔押金。要得到批准，现有用户需要为你提供担保，并在一段时间内进行挑战。如果有挑战，Kleros 去中心化法庭将决定你的视频是否真实；如果不真实，你将失去押金，而挑战者将得到奖励。
• BrightID：你加入一个视频通话的「验证聚会」，与其他用户一起进行验证。通过 Bitu 系统，你可以通过其他经过 Bitu 验证的用户的担保获得更高级别的验证。
• Idena：你在特定时间进行验证码游戏（以防止多次参与）；验证码游戏的一部分涉及创建和验证将用于验证其他人的验证码。
• Circles：现有的 Circles 用户为你提供担保。Circles 的独特之处在于它不试图创建「全球可验证的身份」；相反，它创建了一个信任关系图，某人的信用只能从你在该图中的位置的角度进行验证。

Worldcoin 是如何运作的？

每个 Worldcoin 用户在手机上安装一个应用程序，该应用程序生成一个私钥和公钥，类似于以太坊钱包。然后，他们亲自前往参观一个「Orb」。用户盯着 Orb 的摄像头，同时向 Orb 展示由他们的 Worldcoin 应用程序生成的包含公钥的 QR 码。Orb 扫描用户的眼睛，并使用复杂的硬件扫描和机器学习分类器验证以下内容：

1. 用户是真实的人类
2. 用户的虹膜与之前使用系统的任何其他用户的虹膜不匹配

如果两次扫描都通过，Orb 会签署一个批准用户虹膜扫描哈希的消息。哈希会被上传到一个数据库，目前是一个集中式服务器，打算在他们确保哈希机制有效后，替换为去中心化的链上系统。系统不会存储完整的虹膜扫描；它只存储哈希，并且这些哈希用于检查唯一性。从那时起，用户拥有了一个「World ID」。

World ID 持有者可以通过生成 ZK-SNARK 来证明他们拥有与数据库中的公钥对应的私钥，而不会透露他们拥有哪个特定的密钥。因此，即使有人重新扫描你的虹膜，他们也无法看到你采取的任何操作。

Worldcoin 的构建中存在哪些主要问题？

有四个主要风险立即显而易见：

• 隐私问题：虹膜扫描登记可能会泄露信息。至少，如果有人扫描你的虹膜，他们可以将其与数据库对比，确定你是否拥有 World ID。潜在地，虹膜扫描可能泄露更多信息。
• 可访问性问题：除非有足够多的 Orb，世界上的任何人都能轻松获得一个 World ID，否则 World IDs 将不可靠地获得。
• 中心化问题：Orb 是一种硬件设备，我们无法验证它是否构造正确且没有后门。因此，即使软件层面是完美的和完全去中心化的，Worldcoin 基金会仍然有能力在系统中插入后门，从而创造任意数量的虚假人类身份。
• 安全问题：用户的手机可能会被黑客攻击，用户可能会被迫在展示属于其他人的公钥的同时扫描他们的虹膜，而且可能会有 3D 打印的「虚假人」能够通过虹膜扫描并获得 World ID。

有必要区分（i）Worldcoin 所做的选择特定的问题，（ii）任何生物识别个人身份证明都不可避免地会有的问题，以及（iii）任何个人身份证明一般都会存在的问题。例如，注册 Proof of Humanity 意味着在互联网上发布你的面部照片。参加 BrightID 验证聚会并不完全如此，但仍然会向许多人展示你的身份。加入 Circles 会公开暴露你的社交图谱。相比之下，Worldcoin 在保护隐私方面要好得多。另一方面，Worldcoin 依赖于专用硬件，这就引出了更大的中心化问题。因此，我们似乎陷入了一个困境：我们必须在一个深入的加密朋克价值观和另一个之间做出权衡。

生物识别个人身份证明方案如何解决隐私问题？

任何个人身份证明系统最显而易见、也最严重的潜在隐私泄漏是将一个人采取的每一个行动与现实世界的身份联系起来。这种数据泄漏非常大，甚至可以说是不可接受的大，但幸运的是，使用零知识证明技术很容易解决。用户不是直接使用其对应公钥在数据库中进行签名，而是可以生成一个 ZK-SNARK，证明他们拥有数据库中某个公钥对应的私钥，而不揭示具体拥有哪个密钥。这可以通过像 Sismo 这样的工具通用地实现（Proof of Humanity 特定实现请参见此处），而且 Worldcoin 也有自己内置的实现。在这一点上，要给「加密本地」的个人身份证明以信誉：他们实际上关心采取这一基本步骤来提供匿名性，而基本上所有中心化身份解决方案并不关心。

一个更微妙但仍然重要的隐私泄漏是公开的生物特征扫描登记。在 Proof of Humanity 的情况下，这是大量数据：你会得到每个 Proof of Humanity 参与者的视频，让任何关心的人都能够非常清楚地查明所有 Proof of Humanity 参与者是谁。而在 Worldcoin 的情况下，泄漏要小得多：Orb 仅在本地计算和发布每个人的虹膜扫描的「哈希」。这个哈希不是像 SHA256 那样的常规哈希；相反，它是基于机器学习的 Gabor 滤波器的专用算法，处理了任何生物特征扫描固有的不精确性，并确保对同一个人的虹膜进行连续哈希的输出是相似的。

这些虹膜哈希只泄漏了很少的数据。如果对手能够强制（或秘密地）扫描你的虹膜，那么他们可以自行计算你的虹膜哈希，并将其与虹膜哈希数据库对比，查看你是否参与了该系统。这种能力是为了使系统本身能够防止人们多次注册，但总有可能被滥用。此外，虹膜哈希可能会泄露一些医疗数据（性别、种族，也许是医疗状况），但这种泄漏远远小于今天使用的几乎任何其他大规模数据收集系统（例如，即使是街头摄像头）。总体来说，在我看来，存储虹膜哈希的隐私措施是足够的。

如果其他人对这种判断持不同意见，并决定设计一个具有更高隐私性的系统，有两种方法可以实现：

1. 如果虹膜哈希算法可以改进，使得两次扫描相同人的差异更小（例如，可靠地在 10% 的位翻转以下），那么系统可以存储虹膜哈希的更小数量的纠错位（参见：fuzzy extractors）。如果两次扫描之间的差异小于 10%，则需要发布的位数至少要减少 5 倍。

如果我们想进一步，我们可以将虹膜哈希数据库存储在多方计算（MPC）系统内，只能由 Orb（有速率限制）访问，从而使数据完全不可访问，但代价是在管理一组 MPC 参与者时产生了显著的协议复杂性和社会复杂性。这将有一个好处，即用户即使愿意也无法证明他们在不同时间拥有的两个不同的 World IDs 之间的联系。

不幸的是，这些技术对 Proof of Humanity 不适用，因为 Proof of Humanity 要求每个参与者的完整视频公开可见，以便在存在伪造迹象（包括 AI 生成的伪造）时可以进行挑战，并在这种情况下进行更详细的调查。

总体而言，尽管盯着一个 Orb 并让它深入扫描你的眼球会给人以「反乌托邦的感觉」，但专用硬件系统似乎可以相当好地保护隐私。然而，这一方法的另一面是，专用硬件系统引入了更大的中心化担忧。因此，我们加密朋克似乎陷入了一个困境：我们不得不权衡一个深入的加密朋克价值与另一个价值。

生物识别个人身份证明系统中的可访问性问题是什么？

专用硬件引入了可访问性问题，因为，嗯，专用硬件并不是很容易获得。撒哈拉以南非洲地区有 51% 到 64% 的人现在拥有智能手机，预计到 2030 年这一比例将增加到 87%。但尽管智能手机有数十亿台，Orb 只有几百个。即使通过更高规模的分布式制造，很难实现每个人五公里内都有一个 Orb 的世界。

值得注意的是，许多其他形式的个人身份证明系统都存在更严重的可访问性问题。加入基于社交图的个人身份证明系统是非常困难的，除非你已经认识社交图中的某个人。这使得这类系统很容易局限于一个单一社区或一个单一国家。

即使是中心化的身份系统也已经吸取了教训：印度的 Aadhaar 身份证系统就是基于生物识别的，因为这是快速登记其庞大人口的唯一方式，同时避免了重复和虚假账户造成的大规模欺诈（从而实现了巨大的成本节省），尽管整个 Aadhaar 系统在隐私方面要比加密社区内的任何大规模提案都要弱。

从可访问性角度来看，表现最好的系统实际上是像 Proof of Humanity 这样的系统，你只需要智能手机就可以注册 - 尽管，正如我们已经看到并将继续看到的，这类系统也伴随着各种其他权衡。

生物识别个人身份证明系统中的中心化问题是什么？

主要有三个问题：

1. 系统的顶层治理中心化风险（尤其是在不同系统参与方在主观判断上产生分歧时做出最终决定的系统）。
2. 专用硬件系统独特的中心化风险。
3. 如果使用专有算法来确定谁是真实参与者，也会存在中心化风险。

任何个人身份证明系统都必须处理

（1）这个问题，或许除了那些接受的身份完全是主观的系统。如果一个系统使用外部资产（如 ETH、USDC、DAI）作为激励手段，那么它就不可能完全是主观的，因此治理风险是不可避免的。

（2）这个问题对 Worldcoin 而言比 Proof of Humanity（或 BrightID）更为严重，因为 Worldcoin 依赖于专用硬件，而其他系统并不依赖。

（3）这个问题尤其存在于「逻辑中心化」的系统，其中有一个单一系统进行验证，除非所有算法都是开源的，并且我们有保证它们实际运行的代码与其声称的一致。对于纯粹依靠用户相互验证的系统（如 Proof of Humanity），这不是问题。

Worldcoin 如何解决硬件中心化问题？

目前，一个名为「Tools for Humanity」的与 Worldcoin 相关的实体是唯一制造 Orbs 的组织。然而，Orb 的源代码基本上是公开的：你可以在这个 GitHub 存储库中查看硬件规格，其他部分的源代码预计很快也将公开。许可证是另一种「共享源代码但直到四年后才算是技术上的开源」的许可证，类似于 Uniswap BSL，除了防止分叉，它还防止他们认为不道德的行为 - 他们明确列出了大规模监视和三项国际公民权利宣言。

团队的目标是允许和鼓励其他组织制造 Orbs，并随着时间的推移，从由「Tools for Humanity」制造 Orbs 转变为有某种 DAO 来批准和管理哪些组织可以制造得到系统承认的 Orb。

在这种设计中，有两种可能导致失败的方式：

1. 它无法真正实现去中心化。这可能是因为联邦协议的常见陷阱：一个制造商在实际中占据主导地位，导致系统重新中心化。可以预计，治理可以限制每个制造商可以生产的有效 Orbs 数量，但这需要谨慎管理，并且对治理产生了很大的压力，要同时保持去中心化并监控生态系统并有效地应对威胁：这比处理顶层争议解决任务的相对静态的 DAO 要困难得多。
2. 结果发现这样的分布式制造机制无法保证安全。在这里，我看到两个风险： 

对恶意 Orb 制造商的脆弱性：如果甚至有一个 Orb 制造商是恶意的或被黑客攻击的，它可以生成无限数量的虚假虹膜扫描哈希，并为它们提供 World ID。

Orbs 受到政府限制：不希望其公民参与 Worldcoin 生态系统的政府可以禁止 Orbs 进入其国家。此外，他们甚至可以强迫公民扫描虹膜，允许政府获得其账户，而公民则无法回应。

为了使系统对恶意 Orb 制造商更加稳健，Worldcoin 团队建议定期对 Orbs 进行审核，验证其是否正确制造，关键硬件组件是否按规格制造，并且在此后没有被篡改。这是一项具有挑战性的任务：它基本上是类似于 IAEA 核查机构的事情，但针对的是 Orbs。希望即使是非常不完善的审核制度的实施也能大大减少虚假 Orb 的数量。

为了限制任何恶意 Orb 滑过后造成的伤害，第二个缓解措施是有意义的。不同 Orb 制造商注册的 World ID，最好是使用不同的 Orbs，应该可以彼此区分。这些信息可以是私有的，并且仅存储在 World ID 持有者的设备上；但它需要在需要时被证明。这使得生态系统能够对（不可避免的）攻击做出反应，并且根据需要从白名单中移除单个 Orb 制造商，甚至单个 Orbs。如果我们发现朝鲜政府强迫人们扫描虹膜，这些 Orbs 及其产生的任何账户都可以立即被追溯地禁用。

个人身份证明系统的安全问题

除了 Worldcoin 特定的问题外，还有一些问题会影响到普遍的个人身份证明设计。我能想到的主要问题有：

1. 3D 打印虚假人物：某人可以使用人工智能生成照片甚至是虚假人物的 3D 打印品，这些虚假人物足够令 Orb 软件接受。如果有一个群体这样做，他们可以生成无限数量的身份。
2. 出售身份：某人在注册时可以提供他人的公钥，以换取金钱，从而使对方控制他们的注册身份。这似乎已经在发生。除了出售之外，还有可能将身份租用出去，用于某一应用程序的短暂使用。
3. 手机被黑客攻击：如果一个人的手机被黑客攻击，黑客可以窃取控制其 World ID 的密钥。
4. 政府胁迫窃取身份：政府可以强迫他们的公民进行验证，同时展示属于政府的 QR 码。这样，恶意政府就可以获取数百万个身份。在生物识别系统中，这甚至可以秘密进行：政府可以使用混淆 Orbs 从每个进入他们国家的人员中提取 World ID。

其中第 4 点是特定于生物识别个人身份证明系统的。第 2 和第 3 点对生物识别和非生物识别设计都是共通的。第 1 点也是共通的，尽管所需的技术在两种情况下会有很大不同；在这一部分，我将重点关注生物识别案例中的问题。

这些都是相当严重的弱点。一些已经在现有的协议中得到解决，其他一些可以通过未来的改进解决，还有一些似乎是根本性的限制。

如何处理虚假人物？

对于 Worldcoin 来说，这比 Proof of Humanity 等系统的风险要小得多：面对面的扫描可以检查一个人的许多特征，相对于仅仅深度伪造一个视频，这是相当难以伪造的。专用硬件本质上比普通硬件更难欺骗，而后者比远程发送的图片和视频的数字算法更难欺骗。

某人最终能否 3D 打印出可以欺骗甚至是专用硬件的东西？可能会。我预计在某些时候，我们将看到在保持机制开放和保持安全之间出现日益紧张：开源 AI 算法本质上更容易受到对抗性机器学习的攻击。黑盒算法更受保护，但很难判断黑盒算法是否被训练包含后门。也许零知识机器学习技术可以给我们带来最佳解决方案。尽管在更远的未来，最好的 AI 算法可能会被最好的 3D 打印虚假人物欺骗。

然而，通过与 Worldcoin 和 Proof of Humanity 团队的讨论，目前似乎两种协议都尚未遭受重大的深度伪造攻击，因为雇佣真实的低工资工人代表你注册是相当便宜和容易的。

我们如何防止出售身份？

短期内，防止这种外包是困难的，因为世界上大多数人甚至不知道个人身份证明协议的存在，如果你告诉他们举起 QR 码并用 30 美元扫描他们的眼睛，他们会这样做。一旦更多的人了解什么是个人身份证明协议，一个相当简单的缓解措施将变得可能：允许已经拥有注册身份的人重新注册，取消之前的身份。这使得「出售身份」变得不太可信，因为出售给你他们的身份的人可以重新注册，取消他们刚刚出售的身份。然而，要达到这一点，需要该协议广泛知名，并且 Orb 需要非常广泛地可访问，以使即时重新注册成为可能。

这就是为什么将 UBI 硬币集成到个人身份证明系统中是有价值的原因之一：UBI 硬币为人们提供了易于理解的激励，使人们（i）了解协议并注册，以及（ii）如果他们代表他人进行注册，立即重新注册。重新注册也可防止手机被黑客攻击。

我们如何防止政府胁迫在生物识别个人身份证明系统中窃取身份？

这取决于我们讨论的胁迫的类型。可能的胁迫形式包括：

• 政府在边境控制和其他例行政府检查点扫描人们的眼睛（或脸部等），并使用这些信息注册（并经常重新注册）他们的公民。
• 政府禁止国内的 Orb，以防止人们独立重新注册。
• 个人购买 ID，然后威胁会伤害他们，如果他们发现他们的 ID 因重新注册而失效。
• （可能由政府运行的）应用程序要求人们通过使用他们的公钥进行签入，从而可以查看相应的生物识别扫描，从而确认用户当前 ID 与未来从重新注册获得的任何 ID 之间的联系。人们普遍担心这样会太容易创建「永久记录」，这些记录将伴随一个人的一生。

特别是对于不太复杂的用户，似乎很难完全防止这些情况。用户可以离开自己的国家以在较安全的国家进行（重新）注册，但这是一个艰难的过程，代价高昂。在真正敌对的法律环境中，寻找一个独立的 Orb 似乎太困难和冒险了。

可以做的是使这种滥用更加烦人和可检测。在注册时要求个人说出特定短语的 Proof of Humanity 方法就是一个很好的例子：这可能足以防止隐蔽扫描，需要胁迫变得更加公然，而且注册短语甚至可以包括一份确认被调查者知道他们有权独立重新注册并可能获得 UBI 硬币或其他奖励的声明。如果检测到胁迫，可以吊销用于进行胁迫注册的设备的访问权限。为了防止应用程序连接人们的当前 ID 和之前的 ID，并试图留下「永久记录」，默认的个人身份证明应用程序可以将用户的密钥锁定在受信任的硬件中，防止任何应用程序在没有匿名 ZK-SNARK 层的情况下直接使用密钥。如果政府或应用程序开发者想要绕过这一点，他们需要强制使用他们自己的定制应用程序。

通过这些技术的结合和积极警惕，将那些真正敌对的政权拒之门外，并保持那些只是中等不良的政权的诚实（世界上大部分地区如此）是可能的。这可以由 Worldcoin 或 Proof of Humanity 等项目通过维护自己的官僚机构来实现，或者通过披露有关如何注册 ID 的更多信息（例如在 Worldcoin 中，来自哪个 Orb），并将此分类任务交给社区。

我们如何防止租用身份（例如出售选票）？

通过重新注册不能防止租用身份。在某些应用程序中，出租你的权利来收集当天的 UBI 硬币只会产生当天的 UBI 硬币价值的成本。但在投票等应用程序中，容易出售选票是一个巨大的问题。

像 MACI 这样的系统可以通过允许您稍后投票以使您之前的投票无效，以一种无法让任何人判断您是否实际投票的方式，从而防止您可信地出售您的选票。然而，如果贿赂者在注册时控制哪个密钥您获得，则这并没有帮助。

我认为有两种解决方案：

1. 在 MPC 内运行整个应用程序。这也将涵盖重新注册过程：当一个人向 MPC 注册时，MPC 会为他们分配一个与其个人身份证明 ID 分开且不可链接的 ID，在一个人重新注册时，只有 MPC 会知道哪个帐户被停用。这样防止用户对其行动进行证明，因为每个重要步骤都在 MPC 中使用仅 MPC 知道的私人信息完成。
2. 分散的注册仪式。基本上，实施类似于这个需要四个随机选择的当地参与者一起注册某人的现场密钥注册协议。这可以确保注册是一个「可信」过程，攻击者无法在其中窃听。

社交图系统在这方面实际上可能表现更好，因为它们可以自动创建本地分散的注册过程，这是它们工作方式的副产品。

生物识别与其他主要的个人身份证明候选方案——基于社交图的验证相比如何？

除了生物识别方法之外，目前主要的其他个人身份证明候选方案是基于社交图的验证。社交图验证系统的运作原理都是相同的：如果有许多现有的已验证身份都证明了您的身份的有效性，那么您可能也是有效的，并且应该获得验证状态。

如果只有很少的真实用户（无论是意外还是恶意地）验证了虚假用户，那么您可以使用基本的图论技术来估计系统中被验证的虚假用户的上限。来源：https://www.sciencedirect.com/science/article/abs/pii/S0045790622000611。

支持社交图验证的人经常认为它是生物识别的更好替代方案，原因如下：

• 它不依赖于专用硬件，因此更容易部署。
• 它避免了制造商试图创建虚假身份与 Orb 需要更新以拒绝此类虚假身份之间的永久性军备竞赛。
• 它不需要收集生物特征数据，因此更注重隐私保护。
• 它潜在地更支持匿名性，因为如果某人选择将其互联网生活分散到与彼此分开的多个身份中，那么这些身份都有可能被验证（但维护多个真实且分离的身份会牺牲网络效应并且成本高昂，因此攻击者不太可能轻易实施）。
• 生物识别方法给出「是人类」或「不是人类」的二进制评分，这是脆弱的：被意外拒绝的人最终可能完全没有 UBI，甚至可能无法参与在线生活。社交图方法可以给出更细致的数字评分，这可能对某些参与者略显不公平，但不太可能完全「消除」某人。

对于这些观点，我的观点是我在很大程度上同意它们！这些都是社交图方法的真正优势，应该认真对待。然而，也值得考虑社交图方法的弱点：

• 启动问题：对于用户加入基于社交图的系统来说，该用户必须认识已经在图中的某些人。这使得大规模采用变得困难，并且可能会排除整个世界中在初始启动过程中没有幸运的地区。
• 隐私问题：虽然社交图方法避免了收集生物特征数据，但它们往往会泄漏有关一个人社交关系的信息，这可能导致更大的风险。当然，零知识技术可以缓解这个问题（例如，参见 Barry Whitehat 的这个提案），但图中的相互依赖性和需要对图进行数学分析使得实现与生物识别相同级别的数据隐藏更加困难。
• 不平等问题：每个人只能拥有一个生物识别 ID，但富裕和社交联系良好的人可以利用他们的联系生成多个 ID。基本上，可能使社交图系统给某些人（例如激进分子）提供多个化名的灵活性，也可能意味着更强大和社交联系良好的人可以获得比不太强大和社交联系不好的人更多的化名。
• 坍缩成集中化的风险：大多数人太懒惰花时间向互联网应用报告谁是真人，谁不是。因此，存在一个风险，系统随着时间推移会倾向于采用依赖于集中授权的「简单」方式来加入，而系统用户的「社交图」将事实上成为国家承认哪些人是公民的社交图——从而给我们带来了不必要的额外步骤的集中式 KYC。

在现实世界中，个人身份证明与化名是否相容？

原则上，个人身份证明与各种形式的化名是相容的。可以设计应用程序，使得拥有单一个人身份证明 ID 的人可以在应用程序内创建多达五个配置文件，留出空间进行化名。甚至可以使用二次公式：N 个配置文件的成本为 N²美元。但是，这样做是否行得通？

然而，一个悲观主义者可能会认为，试图创建一种更注重隐私的 ID 形式，并希望它能以正确的方式被采用，是一种天真的做法，因为权力机构并不注重隐私，如果一个强大的行动者获得了一个可以获取有关个人更多信息的工具，他们将会使用它。在这样的世界中，论点是，唯一现实的方法是不幸地将沙子扔进任何身份解决方案的齿轮中，并捍卫一个完全匿名的世界以及高信任社区的数字化孤岛。

我理解这种思维方式背后的推理，但我担心这样的方法即使成功也会导致一个人都没有办法反对财富集中和治理集中的世界，因为一个人总是可以假装成一万人。这些中心化点又会很容易被权力机构所掌控。相反，我倾向于采取一种温和的方法，我们应该积极倡导证明个人身份的解决方案具有强大的隐私性，如果需要，甚至在协议层包括一个「N 个配置文件需要 $N²」机制，并创造出一个具有隐私友好价值观并有可能被外部世界接受的东西。

那么......我怎么想呢？

并不存在理想的个人身份证明形式。相反，我们至少有三种不同的方法范式，它们都有自己独特的优势和弱点。一个比较表可能如下所示：

因此，我们应该将这三种技术视为互补，并将它们合并在一起。正如印度的 Aadhaar 在规模上所展示的那样，专用硬件生物识别具有其在规模上的优势。然而，它们在去中心化方面非常脆弱，不过这可以通过追责单个 Orb 来解决。通用生物识别可以非常容易地在今天采用，但它们的安全性迅速减弱，可能只能再维持 1-2 年。从几百名与创始团队社交关系密切的人开始启动的社交图方法可能会面临在完全忽略世界的大部分地区和容易受到无法看到的社区的攻击之间不断权衡的问题。然而，从拥有数千万生物识别 ID 持有者开始启动的社交图方法可能真正有效。短期内，生物识别引导可能效果更好，而社交图技术可能在长期内更加稳固，并随着其算法的改进而逐渐承担更多责任。

所有这些团队都有可能犯下很多错误，并且业务利益与更广泛社区的需求之间必然存在紧张关系，因此需要保持高度警惕。作为一个社区，我们可以和应该推动所有参与者在开源技术方面的舒适区域，要求第三方审计，甚至第三方编写软件等等的检查和平衡。我们还需要在每个类别中有更多的替代方案。

与此同时，重要的是要认识到已经完成的工作：许多运行这些系统的团队已经表现出比任何政府或主要企业运营的身份系统更加重视隐私，这是一个成功，我们应该建立在这个基础上。

使个人身份证明系统在实践中成为一种有效和可靠的系统，特别是在远离现有加密社区的人手中，似乎非常具有挑战性。我确实不嫉妒那些尝试这个任务的人，这可能需要几年的时间才能找到有效的方法。个人身份证明的概念原则上似乎非常有价值，虽然各种实现方式都有风险，但完全没有个人身份证明也有其风险：没有个人身份证明的世界似乎更有可能成为一个由集中式身份解决方案、金钱、小封闭社区或三者的组合所主导的世界。我期待着看到各种类型的个人身份证明取得更多的进展，并希望不同的方法最终能够融合成一个一致的整体。