原文作者：Vitalik

（作品集：FORM 2016，关于 Tomo：eth 基金会插画师）

「推荐寄语：了解 vitalik 对生物识别验证系统的看法和思考 」

在 Ethereum 社区里，人们一直在尝试建立一个去中心化的 “身份证明” 解决方案，虽然这个方案颇为棘手，但其潜在价值巨大。所谓的身份验证，即 “独一无二的人” 。它判断一个注册账户由一位真实的人控制（并且是与每个其他注册账户不同的真实人类），理想情况下，最好不要透露出是哪个真实的人。

针对这个问题已经有一些尝试的解决方案，比如 Proof of Humanity、BrightID、Idena 和 Circles。其中，一些方案有自己的应用程序（通常是一种 UBI 代币），另外一些方案则被用于 Gitcoin Passport 以验证哪些账户适用于二次方投票。像 Sismo 这样的零知识技术，可以为这些解决方案增加隐私保护。近来，我们见证了一个更为宏大的身份证明项目的崛起：Worldcoin。

Worldcoin 是由著名人工智能公司 OpenAI 的 CEO Sam Altman 联合创立的。该项目的理念非常简单：人工智能将为我们带来很多财富，但也可能会夺走很多人的工作，并使人们难以辨认谁是人类而不是机器人。因此，我们需要解决这一问题，首先需要创建一个非常好的 “人” 证明系统，让人们证明他们确实是人类，其次是给每个人提供基本收入（UBI）。Worldcoin 使用高度复杂的生物识别技术，使用一种名为 “the Orb” 的专用硬件扫描用户的虹膜，这是其独特之处。

目标是大量生产这些球体，并在全球广泛分布，将其放置在公共场所，方便任何人获取 ID。值得称赞的是，Worldcoin 还致力于随着时间的推移实现去中心化。首先，这意味着技术去中心化：成为以 Optimism 为基础的以太坊 L2，使用 ZK-SNARK 和其他密码技术保护用户的隐私。随后，还包括其系统的治理权限逐渐去中心化。

Worldcoin 因其 Orb 的隐私和安全风险、"货币"设计问题、以及公司作出的一些决定，涉嫌道德问题而受到批评。一些批评是非常具体的，这些决定本来可以轻易地采用另一种方式。事实上，Worldcoin 项目本身可能愿意进行改变。然而，其他人提出了更本质的问题，即生物识别技术，不仅是 Worldcoin 的眼部扫描生物识别技术，包括 Proof of Humanity 和 Idena 中使用的面部视频上传和验证游戏技术。这是否是一个好主意。还有其他人批评人类身份证明的有效性。风险包括无法避免的隐私泄漏、人们匿名浏览互联网的能力进一步受到侵蚀、权威政府的强制力和在同时具备安全性和去中心化的情况下保证安全可能是不可能的。

这篇文章将探讨这些问题，并列举一些论证，来帮助你决定是否向我们的新球体霸主鞠躬并扫描你的眼睛（或面部、声音等...）是否是一个好主意，以及是否自然的替代方案——使用基于社交图谱的人员身份证明或完全放弃 “人” 身份证明是否更好。

验证系统的定义和重要性

一个最简单的验证系统的定义是：它会创建一个公钥列表，系统保证每一个公钥都是由唯一的人类操作。换句话说，如果你是人类，你可以将一个公钥放在列表上，但你不能放置两个公钥，如果你是机器人，那么你就不能在列表上放置任何公钥。

身份验证的证明非常有价值，因为它可以解决许多人所遇到的反垃圾邮件和反集权问题，而且避免了对中央机构的依赖。如果身份验证问题不能得到解决，分散式治理（包括社交媒体帖子上的投票）会变得更容易被富有的参与者（包括敌对政府）占领。许多服务只能通过设置访问价格来拒绝攻击，而有时候为了防止攻击者，设置的价格对于许多低收入的合法用户来说实在太高了。

当今世界上的许多主要应用程序通过使用政府支持的身份系统（例如信用卡和护照）来处理这个问题。这解决了问题，但它在隐私方面做出了巨大且可能不可接受的牺牲，并且可能会受到政府本身的轻微攻击。

在很多项目中，不仅包括 Worldcoin，还有 Proof of Humanity、Circles 等，其 “旗舰应用” 是内置的 “N-per-person token”（有时被称为“UBI Token”）。系统中注册的每个用户每天（或每小时、每周）都会收到一定数量的 Token。但还有许多其他的应用场景：

「 代币分发的空投 」
「 给予优惠条款的代币或 NFT 销售 」
「 在 DAO 中进行投票 」
「 “种子” 用户声誉系统 」
「 二次方投票（资金及注意力支付 ) 」
「 防范社交媒体中的机器人 / 女巫攻击 」
「 防止 DoS 攻击的验证码替代方案 」

在这些情况下，共同愿景是创造公开、民主的机制，避免由项目运营者集中控制或者最富有的用户占据主导权。在分散治理中，后者尤为重要。在许多情况下，现有的解决方案通常采用某些不透明的人工智能算法，使得运营者可以隐蔽地对他们不喜欢的用户进行歧视，同时也使用了集中式的身份认证，即所谓的 “KYC” 。一个有效的身份证明系统将是更好的替代方案，实现这些应用所需的安全属性，避免现有集中式方法的缺陷。

当下验证系统的差异性

验证系统当前有两种主要形式：基于社交网络图谱和生物识别。

基于社交网络图谱的验证系统依赖于某种形式的担保：如果 Alice、Bob、Charlie 和 David 都是被验证的人类，并且他们都说 Emily 是人类，那么 Emily 就会被验证为人类。验证系统会激励参与此次验证的各方。如果 Alice 说 Emily 是人类，但事实并非如此，那么 Alice 和 Emily 都可能会受到惩罚。

基于生物识别验证系统会涉及验证 Emily 的某些身体或行为特征，以区分人类和机器人（以及个体人类之间差异）。大多数项目使用两种技术的组合。

我在文章开头提到的四个系统的工作原理大致如下:

Proof of Humanity：您上传自己的视频，并提供押金。为了获得批准，现有用户需要为您提供背书，并且需要经过一段时间才能提出质疑。如果存在质疑，Kleros 去中心化法院将判断您的视频是否真实；如果不是，您将失去存款，而挑战者将获得奖励。

BrightID：您与其他用户一起加入视频通话“验证方”，每个人都互相核实。通过 Bitu 可以进行更高级别的验证，在该系统中，如果有足够多的其他经过 Bitu 验证的用户为您担保，您就可以通过验证。

Idena：您需要在特定时间点参与验证码游戏（为了避免多次参与）。验证码游戏的一部分涉及创建和验证验证码，然后将其用于验证其他验证码。

Circles：现有的 Circles 用户为您提供担保。Circles 的独特之处在于它不尝试创建 “全球可验证的 ID” ，相反，它创建了一个信任关系图，在该图中，某人的可信度只能从您在该图中的位置来验证。

Worldcoin 的工作原理

每个 Worldcoin 用户需要在手机上安装应用程序，该应用程序会生成私钥和公钥，就像以太坊钱包一样。然后用户需要前往放置 “Orb” 球体的实际地点进行验证，用户凝视 Orb 的摄像头，同时向 Orb 展示由 Worldcoin 应用程序生成的二维码，二维码中包含其公钥。

过程中，Orb 会使用复杂的硬件扫描和机器学习分类器进行验证：

「 用户是一个真实的人 」

「 用户的虹膜与使用过该系统的任何其他用户的虹膜不匹配 」

如果用户通过了两次扫描，Orb 会签署一条消息，生成用户虹膜的哈希值，并将哈希值上传到数据库。这些哈希值用于检查用户的唯一性，而 Worldcoin 不会存储完整的虹膜。这样一来，用户就拥有了自己的 “World ID” 。

World ID 持有者可以通过生成 ZK-SNARK 证明自己的身份，以证明他们是唯一的人，并持有与数据库中公钥相对应的私钥，而无需暴漏他们持有的私钥。这样，即使有人重新扫描您的虹膜，他们也无法看到您采取的任何操作。

Worldcoin 的风险点

人们会立刻想到的四个主要风险：

隐私：注册虹膜扫描时的数据库可能泄露。至少，如果其他人扫描你的虹膜，他们可以通过数据库确定你是否拥有 World ID。虹膜扫描还可能暴漏更多其他信息。

无法使用：除非世界上有足够多的球体，否则 World ID 将无法便捷使用。

中心化：Orb 是一个硬件设备，并且我们无法验证它的构造是否没有后门。因此，即使软件层完全去中心化，Worldcoin 基金会仍然可以在系统中插入后门，从而任意创建多个虚假的人类身份。

安全：黑客可能会入侵用户的手机，强制用户扫描自己的虹膜，同时出示属于其他人的公钥，而且可能会通过 3D 打印 “假人” ，通过虹膜扫描获得 World ID。

最重要的是要区分 (i) 世界币会面临特有的问题，(ii) 任何个体的生物特征认证都不可避免地会有问题，以及 (iii) 任何一般的个体认证都会存在问题。例如，签署 “人” 验证就意味着在互联网上公开你的面孔。加入 BrightID 验证也无法完全避免这一点，但还是会让许多人知道你的身份。加入 Circles 会公开你的社交图谱。在保护隐私方面，Worldcoin 显然比这两者都要好。但另一方面，Worldcoin 依赖于专门的硬件，这就要求我们信任球体制造商。Proof of Humanity、BrightID 或 Circles 中都没有这样的挑战。未来，我们甚至可以想象其他人会在不同市场环境下创建具有不同权衡的不同专用硬件或解决方案。

如何解决隐私问题？

任何身份验证系统最可能泄露个人隐私的问题在于将一个人采取的每个行动与现实世界中的身份挂钩。现在，我们面临一次极其规模庞大的潜在数据泄露事件，甚至可以说是难以置信的大。好在，采用零知识证明技术非常容易解决这个问题。用户可以创建一个 ZK-SNARK 来证明他们拥有对应数据库中某处的私钥，而不需要暴露任何具体细节。这种方法通常借助 Sismo 等工具实现（请参考这里的特定实现），而且 Worldcoin 也已经内置了这种实现。至关重要的是采用“加密原生” 的验证凭证来保护您的隐私：他们确实关心采用这种方案来提供匿名性，而绝大多数集中式身份解决方案都没有这样做。

还有一个值得注意且同样重要的隐私泄露问题是公共注册表中的生物特征扫描件。在身份证明领域中，这是海量数据。您可以获取参与者的视频，这使得任何想要调查每个身份证明参与者的身份的人都可以轻松找到。对于 Worldcoin 而言，泄露风险要小得多：Orb 会本地计算每个虹膜扫描的 “哈希值” ，并且这种哈希值不同于一般的 SHA256 等常规哈希值。相反，它是一种基于机器学习的 Gabor 滤波器算法，可处理生物特征扫描中的不精确性，并确保对同一人在连续扫描时获得相似的输出。

蓝色：同一个人的虹膜在两次扫描之间的差异百分比。橙色：不同人的虹膜在两次扫描之间的差异百分比。

这些虹膜哈希值只会泄漏很少的数据。如果敌对方能够强行（或秘密地）扫描你的虹膜，那么他们就可以计算出你的虹膜哈希值，并检查是否符合虹膜哈希值数据库的记录，以确定你是否参与了该系统。检查是否有人重复注册是系统本身的必要过程，但随之而来的危险是该机制被滥用的可能性。此外，虹膜哈希可能会泄露一些医疗数据（如性别、种族、或某些医疗状况），但此类泄漏远远小于目前使用的任何其他大规模数据收集系统（如街道摄像头）所能捕获的信息。总的来说，对我来说，储存虹膜哈希的隐私措施足够好了。

如果其他人不同意这个想法并且决定设计一个更加注重隐私的系统，有两种方法可以实现：

首先是改进虹膜散列算法，使得同一个人的两次扫描之间的差异更低，比如说，可以在位翻转方面可靠地低于 10%。这样的话，系统就可以存储更少数量的虹膜散列纠错位，而不是完整地存储虹膜散列。这一方案可以参考模糊提取器。如果两次扫描之间的差异低于 10%，那需要发布的位数至少可以减少 5 倍。

另一个方案是将虹膜哈希数据库存储在多方计算（MPC）系统中。这个系统只能由 Orbs 访问，访问速率会受到限制，所以数据将变得无法访问。但是这个方案需要处理 MPC 参与者的协议复杂性和社会复杂性。这样做有一个好处，就是即使用户想要，也无法证明他们在不同时期拥有不同 World ID 之间的联系。

不幸的是，这些技术并不适用于人类验证，因为验证需要每个参与者的完整视频公开，这样如果有任何迹象表明它是假的（包括人工智能生成的假人），就可以对其提出疑问，并在这种情况下进行更详细的调查。

总的来说，虽然盯着一个球体并让它深入扫描你的眼球让人感觉有些反乌托邦，但专业的硬件系统似乎确实可以在保护隐私方面做得相当不错。然而，另一方面，专用硬件系统也带来了更大的集中化问题。因此，我们密码朋克似乎陷入了困境：我们必须在密码朋克的价值观和其他价值观之间权衡。

使用问题

专用设备会造成无法使用的问题，因为这类设备不太容易获取。目前，在撒哈拉以南的非洲，智能手机拥有率在 51% 至 64% 之间，预计到 2030 年将达到 87% 。但是，尽管智能手机总数已经达到数十亿，Orb 的数量却只有几百个。即使实现更大规模的分布式制造，也难以实现每个人五公里内就有一颗 Orb 球体可使用的情况。

但值得赞扬的是，他们一直在努力！

另外要注意的是，许多其他形式的身份验证系统存在更大的可访问性问题。如果你不认识社交图中的某个人，加入基于社交图谱的身份验证系统是非常困难的。这使得这类系统容易局限于特定社区或国家。

即使是集中式身份系统也从中吸取了经验教训：印度的 Aadhaar 身份验证系统采用生物识别技术，以快速为庞大的人口建立身份认证，并避免重复和虚假账户造成的大规模欺诈（这也能节省大量成本 )，当然，Aadhaar 系统整体来看在隐私问题上比加密社区内提议的任何系统都要弱很多。

从可访问性的角度来看，表现最好的系统实际上是像 “人类认证” 这样的系统，你只需要使用智能手机即可完成注册 - 然而，正如我们已经看到的和我们将看到的，这类系统也带来了各种其他权衡。

中心化问题

有三种：

1、系统治理层面的中心化风险（尤其是当系统中不同参与者主观判断不一致时需要做出最终决策的系统）。

2、使用专用硬件的系统会存在集中化风险。

3、如果使用专门的算法来确定真正的参与者，则存在中心化风险。

任何身份验证系统都必须面对实际问题，除非系统是完全主观的，并且所有接受的身份证明完全取决于用户的主观判断。如果一个系统使用外部资产（例如 ETH、USDC 和 DAI）作为激励，那么治理风险是不可避免的，因为系统不再是完全主观的。

世界币的风险比人类证明（或 BrightID）要更高，因为它依赖于专门的硬件，而其他系统则不需要。

这种风险在“逻辑集中”系统中尤为严重，因为只有一个系统进行验证。除非所有算法都是开源的，并且我们可以保证它们实际上正在运行它们声称的代码，否则无法消除风险。对于完全依赖于用户相互验证的系统如 Proof of Humanity，这种风险则不存在。

硬件中心化问题

目前，Worldcoin 的附属机构 “Tools for Humanity” 是唯一制造 Orbs 球体的组织。然而，Orb 的源代码大部分是公开的：你可以在 github 库中看到硬件规格，其他源代码部分预计很快也会发布。该许可证是类似于 Uniswap BSL 的“共享源代码，但要四年后才能开源”的许可证之一，除了防止分叉之外，还防止他们认为不道德的行为，例如大规模监视和三项国际民权声明。 

该团队的既定目标是允许和鼓励其他组织制造 Orbs，并随着时间的推移，从 Tools for Humanity 创建的 Orbs 过渡到拥有某种 DAO，批准和管理哪些组织可以创建受系统认可的 Orbs 球体。

此方案可能会在两种情况下失败：

1、它未能真正实现去中心化。这种情况可能是由于联合协议的常见问题：一个制造商最终在实践中占据主导地位，导致系统重新集中化。据推测，治理可能会限制每个制造商可生产的有效球体数量，但这需要谨慎管理。而且，治理面临巨大的压力，因为它需要同时实现去中心化，监控生态系统并有效应对威胁。这是一项比其他任务更加困难的任务。一个相对静态的 DAO 仅处理最重要的争议解决任务。

2、事实证明，分布式制造机制不太会变得安全。在这里，我看到了两个风险：

• 针对不良 Orb 制造商的脆弱性：即使是一个 Orb 制造商是恶意的或被黑客攻击，它也可以生成无限数量的假虹膜扫描哈希值，并为它们提供 WorldID。

• 政府对 Orbs 的限制：不希望其公民参与 Worldcoin 生态系统的政府可以禁止 Orbs 进入其国家。此外，他们甚至可以强迫公民扫描虹膜，让政府拿到他们的账户，而公民却没有办法应对。

为了更好地对抗不良的 Orb 制造商，Worldcoin 团队建议定期审核，验证他们是否符合规格，关键硬件组件是否正确构建并且在生产后没有被篡改。虽然这是一项具有挑战性的任务，类似于国际原子能机构的官僚主义作风，但针对 Orb。我们希望，即使审计制度不是完美无缺，也能大大减少假球的数量。

为了限制恶意球体造成的伤害，采取二次屏障措施是有意义的。不同球体制造商注册的 World ID，最好是不同球体注册的 World ID，应该能够相互区分。如果此信息是私人信息并且仅存储在 World ID 持有者的设备上，那也没关系；但它确实需要按需证明。这使得生态系统可以通过按需从白名单中删除单个 Orb 制造商甚至单个 Orb 球体来响应（不可避免的）攻击。如果我们看到某某政府到处强迫人们扫描眼球，那么这些球体以及它们产生的任何帐户都可能会立即被追溯禁用。

其他验证系统中的安全问题

除了 Worldcoin 特有的问题之外，还有一些其他验证系统的安全问题。我能想到的主要有：

1、3D 打印假人：人们可以使用人工智能生成假人的照片，甚至是 3D 打印的假人，这些照片甚至足够令人信服，足以被 Orb 软件接受。即使只有一个团体这样做，他们也可以生成无限数量的身份。

2、出售 ID 的可能性：某人可以在注册时提供别人的公钥而不是自己的公钥，从而使该人可以控制其注册的 ID，以换取金钱。这似乎已经发生了。除了出售之外，还可以租用 ID 以在此应用程序中短期使用。

3、电话黑客：如果一个人的电话被黑客入侵，黑客可以窃取控制其 World ID 的密钥。

4、政府强制窃取 ID：政府可以强迫其公民出示二维码进行验证。通过这种方式，恶意政府可以获得数百万个 ID。在生物识别系统中，这甚至可以无感知完成。

特定于生物特征识别系统。(2) 和 (3) 对于生物识别和非生物识问题都是相同存在的。(4) 也是两者共同的，尽管两种情况所需的技术有很大不同；在本节中，我将重点讨论生物识别案例中的问题。

这些都是非常严重的缺陷。有些问题已经得到解决，有些问题可以通过未来的改进来弥补，还有一些问题似乎是根本性的限制。

如何应对假人问题

对于 Worldcoin 来说，这个系统的风险要比 Proof of Humanity 小得多。因为它可以通过面对面的扫描来检查一个人的许多特征，相较于深度伪造视频而言，很难被欺骗。而且专用硬件本质上比商用硬件更难被欺骗，而商用硬件又比验证远程发送的图片和视频的数字算法更难被欺骗。

有人可以通过 3D 打印来伪造专用硬件吗？很有可能。我预计，在某个时候，我们会看到保持机制开放和保持安全的目标之间的紧张关系加剧，因为开源人工智能算法本质上更容易受到对抗性机器学习的影响。黑盒算法虽然受到更多保护，但很难说黑盒算法没有经过训练以包含后门。也许使用 ZK-ML 技术可以给我们带来两全其美的好处。尽管在更遥远的未来某个时刻，即使是最好的人工智能算法也可能会被最好的 3D 打印假人所欺骗。

然而，从我与 Worldcoin 和 Proof of Humanity 团队的讨论来看，目前这两个协议似乎都还没有受到严重的深度虚假攻击，原因很简单，因为雇佣真正的低工资工人代表你注册是相当便宜和容易的。

如何应对出售 ID 问题

从短期来看，阻止这种外包是很难的，因为大多数人甚至不知道身份验证协议。如果你告诉他们举起二维码扫描就可以获得 30 美元，他们就会照做。一旦更多的人了解身份认证协议，就可以采取相应的解决措施：允许持有注册 ID 的人重新注册，取消之前的 ID。这将大大降低 “出售 ID” 的可能，因为出售 ID 的人可以重新注册，这将使花费金钱购买 ID 变得毫无意义。然而，要达到这一点，需要大量广告宣传和 Orb 的广泛使用，以使按需注册变得切实可行。

这也是将 UBI 币集成到身份验证系统中的重要原因之一：UBI 币为人们提供了易于理解的激励：(i) 了解协议并注册，以及 (ii) 代表其他人注册，则立即进行重新注册。重新注册还可以防止电话黑客攻击。

如何应对系统中的强制行为

这取决于我们谈论的是哪种强制。可能的胁迫形式包括：

• 政府在边境管制和其他例行政府检查站扫描人们的眼睛（或脸部，或......）

• 政府在国内禁止 Orbs，以防止人们独立重新注册

• 个人购买 ID 后威胁说，如果发现自己的 ID 因重新注册而失效，就会对其进行伤害

• （可能是政府运行的）应用程序要求人们直接使用公钥签名来“登录”，让他们看到相应的生物识别扫描，以及用户当前 ID 和他们通过重新注册获得的任何未来 ID 之间的链接。人们普遍担心，这使得创建伴随一个人一生的 “永久记录” 变得太容易了。

您所有的 UBI 和投票权都属于我们

彻底阻止这些情况似乎相当困难。用户可以离开自己的国家 / 地区，在更安全国家 / 地区的 Orb 上（重新）注册，但这是一个困难的过程且成本很高。在一个充满敌意的法律环境中，寻找一个可用的球体似乎变得非常困难和冒险。

可行的办法是让这种滥用行为变得容易被发现。要求一个人在注册时说出特定短语的证明方法就是一个很好的例子：这可能足以防止胁迫扫描，注册短语甚至可以包含一份声明，确认知道他们有权独立重新注册，并可能获得 UBI 币或其他奖励。如果检测到胁迫行为，可以吊销其设备访问权限。为了防止应用程序链接人们当前和以前的 ID 并试图留下 “永久记录” ，默认的身份证明应用程序可以将用户的密钥锁定在一个可信硬件中，从而防止任何应用程序直接使用该密钥，而无需中间的匿名 ZK-SNARK 层。如果政府或应用程序开发人员想要解决这个问题，他们需要强制使用他们自己的定制的应用程序。

通过将这些技术和措施相结合，将那些真正敌对的政权拒之门外，并保持留那些只是中等不良政权（世界上大部分地区都是如此）的诚实，似乎是可能的。这可以像 Worldcoin 或 Proof of Humanity 这样的项目通过一个官僚机构来完成此任务，或者通过透露有关 ID 如何注册的更多信息（例如，在 Worldcoin 中，它来自哪个 Orb），并将此分类任务留给社区来完成。

如何应对租用 ID

重新注册并不能阻止 ID 被出租的问题。在某些应用中，这种做法可以实现，但出租您的权益会使当日的 UBI 币价值受到影响。然而，在投票等应用中，轻松出售选票是一个大问题。

像 MACI 这样的系统可以避免选票被恶意出售，它允许稍后更改投票以使之前的投票失效，以便确保无人能确定其真实选择。但是，如果行贿者掌控您的密钥，那么这一做法也无法保证。

在这里我看到两个解决方案：

方案一是在 MPC 内运行整个应用程序，包括重新注册。当用户在 MPC 注册时，系统会给他们分配一个与身份证明 ID 分开且不可链接的 ID，而当用户重新注册时，只有 MPC 知道要停用哪个账户，这可以有效防止用户行为被证明，因为每个重要步骤都是在 MPC 内使用只有 MPC 知道的私人信息完成的。

方案二是采用分散登记。类似于面对面密钥注册协议，该协议需要四个随机选择的本地参与者共同注册某个用户。这可以确保注册是一个“受信任”的过程，攻击者无法在此过程中窥探。

基于社交图谱的系统在这里可能表现更好，因为它们可以自动创建本地去中心化的注册流程，作为其工作方式的副产品。

生物识别 vs 社交网络图谱

除了生物识别以外，当前验证系统的另一个重要选项是基于社交网络图谱的验证。这种验证方法的核心原则是，如果多位已通过验证的身份证明了你的身份准确性，那么你可能也是被认可的，并获得验证状态。

基于社交图谱的验证的支持者经常将其描述为生物识别技术的更好替代方案，原因如下：

• 它不依赖于专用硬件，使其更容易部署

• 它避免了与试图制造假人的制造商，且不需要持续更新以拒绝假人和 Orb 之间的永久军备竞赛

• 不需要收集生物识别数据，更加保护隐私

• 它对假名可能更友好，因为如果有人选择将他们的互联网生活分割成多个身份，那么这两个身份都可能被验证（但维护多个真实且独立的身份会牺牲网络效应并且成本很高，因此这不是攻击者可以轻易做到的事情）

• 生物识别方法给出 “是人类” 或 “不是人类” 的唯二选择，这是脆弱的：被意外拒绝的人最终将根本没有 UBI，并且可能无法参与基础收入生活。基于社交图谱的方法可以给出更细致的数字分数，这当然对某些参与者来说可能有点不公平。

我对这些观点的看法是，基本同意！这些是基于社交网络图谱的真正优势，应该认真对待。然而，还需要考虑这些方法的一些弱点：

• 引导：对于想要加入基于社交图的系统的用户，必须先认识已经在网络中的人。这让大规模采用变得棘手，可能会将那些在最初加入时不太幸运的地区排除在外。

• 隐私：虽然基于社交网络的方法避免收集生物识别数据，但它们通常最终会泄露有关一个人社会关系的信息，这可能会带来更大的风险。当然了，零知识技术可以减轻这种情况（例如，Barry Whitehat 的建议），但是图表中的固有相互依赖性以及对图表执行数学分析的需要使得实现与生物识别技术同样难以实现数据隐藏。

• 不公平：每个人只能有一个生物识别 ID，但富有且社交关系好的人可以利用他们的关系来实现拥有多个 ID。这种灵活性本质上可能让那些真正需要该功能的人（比如活动家）基于他们的社交图谱得到多个假名，但同时也意味着权力更大、人脉更广的人能够获得比那些权力更小、人脉更广的人更多的假名。

• 陷入中化化风险：很多人不愿意花时间向互联网应用程序报告谁是真人，谁不是，这就存在了风险：随着时间推移，系统将倾向于采用中央集权机构依赖的 “简易” 认证方式，而用户的 “社交图谱” 实际上将变成哪些国家认可的公民的社交图谱——为我们提供了中心化的 KYC 和额外步骤，这并非必须。

假名

原则上，验证系统与各种假名兼容。应用程序的设计方式可以使具有单一身份 ID 证明的人可以在应用程序中创建最多五个配置文件，从而为假名帐户留出空间。甚至可以使用二次方公式：N 相当于 $N² 的成本。但他们愿意这样做吗？

不过，有些人会觉得，尝试创造一种更加友好隐私的身份（ID）形式并希望它能够被正确采用，有点天真，因为当权者对隐私并不友好。如果一个强大的行为者获得了一种可以获取更多关于别人信息的工具，他们就会以这种方式使用它。有人认为，在这样一个世界中，不幸的是，唯一现实的方法是在任何身份解决方案的齿轮上撒沙子，并捍卫一个完全匿名和高信任社区数字孤岛的世界。

我明白这种思维方式背后的原因，但我担心这种做法即使成功，也会导致一个任何人都无法采取任何措施来抵消财富集中和治理集中的世界，因为一个人总是可以假装一万人。反过来，这样的集权点也很容易被当权者占领。相反，我倾向于采取温和的方法，我们大力提倡具有强大隐私性的身份证明解决方案，如果需要的话甚至可能在协议层包含“N 个账户代表 $N²”机制，并创建具有隐私友好型价值观并有机会被外界接受的东西。

我的想法

没法有完美的验证形式。相反，我们最少有三种不同的方法范式，它们各自有自己独特的优点和缺点。比较表格可能如下所示：

在理想情况下，我们应该将这三种技术视为相互补充，将它们充分结合。正如印度 Aadhaar 所展示的那样，专用硬件生物识别技术具有大规模安全性的优势。但是在权力下放方面还有缺陷，可以通过让个别机构负责来解决。通用生物识别技术现在很容易被采用，但是它的安全性正在迅速下降，可能只能再工作 1-2 年左右。基于社交图谱的系统由数百名与创始团队关系密切的人引导，可能会面临不断的权衡，要么完全错过世界大部分地区，要么容易受到他们看不到的社区内的攻击。然而，由数千万生物识别 ID 持有者引导的基于社交图谱的系统，实际上可以发挥作用。在短期内，生物识别引导可能会更有效。

可能的混合路径

所有这些团队都可能犯错误，商业利益和社区需求之间不可避免地存在紧张关系，因此要保持高度警惕则非常重要。作为社区，我们应该推动所有参与者在技术开源方面更透明，并要求第三方审计、第三方编写的软件等制衡措施。同时，在每个类别中提供更多替代方案也是必要的。

还要认识到已经完成的工作很重要：运行这些系统的许多团队都比任何政府或主要企业运行的身份系统更重视隐私，这是我们应该继续努力的成果。

建立一个有效且可靠的身份证明系统，尤其是在远离现有加密社区的人手中，似乎相当具有挑战性。我不羡慕那些尝试这项任务的人，他们可能需要数年时间才能找到有效的公式。原则上，验证系统的概念非常有价值，虽然各种实现都有风险，但没有验证系统也有其风险：没有验证系统的世界更可能是一个由中心化身份解决方案、金钱、小型封闭社区或三者的某种组合主导的世界。我期待看到所有类型的人格证明方面取得更多进展，并希望看到不同的方法最终融合成一个连贯的整体。