Vitalik：數字身份+ZK技術下的多重困境

近年來，零知識證明技術在數字身份系統中的應用逐漸成爲主流。各類基於零知識證明的數字身份項目正在開發對用戶友好的軟件包，讓用戶無需透露身分細節就能證明自己持有有效身分。World ID等採用生物識別和零知識證明的項目用戶數量已突破千萬。一些政府和地區也開始在數字身份領域探索零知識證明技術的應用。

從表面看，基於零知識證明的數字身份廣泛採用似乎是技術進步的勝利。它可以在不犧牲隱私的前提下，保護社交媒體、投票系統等免受女巫攻擊和機器人操縱。但事實並非如此簡單，這種身分系統仍存在一些風險。本文將闡述以下觀點:

• 零知識證明包裝解決了許多重要問題，但仍存在風險。這些風險主要源於對"一人一身分"屬性的嚴格維護。
• 單純使用"財富證明"來防御女巫攻擊在大多數場景中是不夠的，我們需要某種"類身分"解決方案。
• 理想狀態是獲得N個身分的成本爲N²。
• 實踐中難以實現這種理想狀態，但多元身分是較爲現實的解決方案。

零知識證明身分的工作原理

想象一下，你通過生物識別或護照掃描獲得了一個基於零知識證明的身分。你的手機上有一個祕密值s，在全球註冊表中有對應的公開哈希值H(s)。登入應用時，你會生成一個特定於該應用的用戶ID，即H(s, app_name)，並通過零知識證明驗證這個ID與註冊表中的某個公開哈希值源自同一個祕密值s。這樣每個公開哈希值針對每個應用只能生成一個ID，但不會泄露應用專屬ID與哪個公開哈希值對應。

實際設計可能更復雜，如World ID中應用專屬ID還包含會話ID，使同一應用內的不同操作也可以相互解除關聯。

這種身分系統相比傳統方式有很大優勢。傳統身分驗證往往要求用戶透露完整法定身分，嚴重違反"最小權限原則"。而零知識證明包裝技術在很大程度上解決了這個問題。但仍有一些問題未得到解決，甚至可能因"一人一身分"的嚴格限制而加劇。

零知識證明無法實現完全匿名

假設一個零知識證明身分平台完全按預期運行，但應用程序採用更實用主義的做法。社交媒體應用可能爲每位用戶分配唯一的應用專屬ID，且由於身分系統遵循"一人一身分"規則，用戶只能擁有一個帳戶。這與當前用戶輕鬆註冊多個帳戶的情況形成對比。

現實中，匿名性的實現通常需要多個帳戶:一個用於常規身分，其他用於匿名身分。因此，在這種模式下，用戶實際獲得的匿名性可能低於當前水平。即便是經過零知識證明包裝的"一人一身分"系統，也可能讓我們走向一個所有活動都必須依附於單一公開身分的世界。在風險日益加劇的時代，剝奪人們通過匿名性保護自身的選擇權將帶來嚴重負面影響。

零知識證明無法防止脅迫

即使你不公開祕密值s，沒人能看到你各帳戶之間的公開關聯，但如果有人強制你公開呢?政府可能會強制要求透露祕密值，以便查看所有活動。這並非空談:美國政府已開始要求籤證申請人公開社交媒體帳戶。僱主也可能將透露完整公開資料作爲僱傭條件。甚至個別應用在技術層面也可能要求用戶透露其他應用上的身分才允許註冊使用。

在這些情況下，零知識證明屬性的價值蕩然無存，但"一人一帳戶"這一新屬性的弊端卻依然存在。

我們可以通過設計優化來降低脅迫風險，如採用多方計算機制生成每個應用專屬ID。這會增加逼迫他人透露完整身分的難度，但無法徹底消除這種可能性，而且這類方案還存在其他弊端。

零知識證明無法解決非隱私類風險

所有身分形式都存在邊緣案例:

• 基於政府發行的身分無法覆蓋無國籍人士，也不包含尚未獲得此類證件的人羣。
• 這類身分體系會給多重國籍持有者賦予獨特特權。
• 護照籤發機構可能遭遇黑客攻擊，敵對國家的情報機構甚至可能僞造大量虛假身分。
• 對於那些相關生物特徵因傷病受損的人而言，生物識別身分會完全失效。
• 生物識別身分很可能會被仿制品蒙騙。倘若生物識別身分的價值變得極高，我們甚至可能會看到有人專門培養人體器官，只爲"批量制造"這類身分。

這些邊緣案例在試圖維持"一人一身分"屬性的系統中危害最大，且它們與隱私毫無關聯。因此，零知識證明對此無能爲力。

財富證明不足以解決問題

在密碼朋克羣體中，一個常見的替代方案是完全依賴"財富證明"來防範女巫攻擊，而非構建任何形式的身分系統。通過讓每個帳戶產生一定成本，就能阻止有人輕易創建大量帳號。這種做法在互聯網上早有先例，如某些論壇要求註冊帳戶支付一次性費用。

理論上，甚至可以讓支付具備條件性:註冊帳戶時只需質押資金，僅在帳號被封禁時才會損失這筆資金。這能大幅提高攻擊成本。

這種方案在許多場景中效果顯著，但在某些類型的場景中卻完全行不通。我將重點討論兩類場景:"類全民基本收入場景"和"類治理場景"。

類全民基本收入場景中對身分的需求

"類全民基本收入場景"指需要向極廣泛用戶羣體發放一定數量資產或服務，且不考慮其支付能力的場景。Worldcoin就是系統性地踐行這一點:任何擁有World ID的人都能定期獲得少量WLD代幣。許多代幣空投也以非正式方式實現類似目標。

這類"小型全民基本收入"能解決的問題是:讓人們獲得足夠數量的加密貨幣，以完成一些基礎的鏈上交易和在線購買。具體可能包括:

• 獲取ENS名稱
• 在鏈上發布哈希以初始化某個零知識證明身分
• 支付社交媒體平台費用

若加密貨幣在全球範圍內得到廣泛採用，這一問題便不復存在。但在加密貨幣尚未普及的當下，這可能是人們獲取鏈上非金融應用及相關在線商品服務的唯一途徑。

另一種實現類似效果的方式是"全民基本服務":爲每個擁有身分的人提供在特定應用內發送有限數量免費交易的權限。這種方式可能更符合激勵機制，且資本效率更高，但普適性會降低。即便如此，這裏依然需要一套身分解決方案，以防止系統遭受垃圾信息攻擊，同時避免產生排他性。

最後一個重要類別是"全民基本保證金"。身分的功能之一是提供一個可用於追責的標的，而無需用戶質押與激勵規模相當的資金。這有助於降低參與門檻對個人資本量的依賴。

類治理場景中對身分的需求

在投票系統中，如果用戶A的資源是用戶B的10倍，那麼其投票權也會是B的10倍。但從經濟角度看，每單位投票權給A帶來的收益是給B帶來的10倍。因此，A的投票對自身的益處是B的投票對自身益處的100倍。這就導致A會投入更多精力參與投票、研究如何投票才能最大化自身目標，甚至可能會戰略性地操縱算法。

更深層的原因在於:治理系統不應將"一人掌控10萬美元"與"1000人共持10萬美元"賦予同等權重。後者代表着1000個獨立個體，因此會包含更豐富的有價值信息，而非小體量信息的高度重復。來自1000人的信號也往往更"溫和"，因爲不同個體的意見往往會相互抵消。

這一點既適用於正式的投票系統，也適用於"非正式投票系統"，例如人們通過公開發聲參與文化演進的能力。

這表明，類治理系統不會真正滿足於"不論資金來源，同等規模的資金束都一視同仁"的做法。系統其實需要了解這些資金束的內部協調程度。

需要注意的是，若你認同我對上述兩類場景的描述框架，那麼從技術層面而言，對"一人一票"這種明確規則的需求就不復存在了。

• 對於類全民基本收入場景的應用而言，真正需要的身分方案是:首個身分免費，對可獲取的身分數量設限。當獲取更多身分的成本高到足以讓攻擊系統的行爲失去意義時，便達到了限制效果。
• 對於類治理場景的應用而言，核心需求是:能夠通過某種間接指標判斷，你所接觸的這一筆資源，其背後是單一的操控主體，還是某種"自然形成的"、協調程度較低的羣體。

在這兩種場景中，身分依然非常有用，但對其遵循"一人一身分"這類嚴格規則的要求已不復存在。

理論上的理想狀態:獲得N個身分的成本爲N²

從上述論點中，我們可以看到有兩種壓力從相反的兩端限制了身分系統中獲取多個身分的期望難度:

首先，不能對"能輕鬆獲取的身分數量"設置一個清晰可見的硬性限制。如果一個人只能擁有一個身分，就無從談起匿名性，且可能被脅迫泄露身分。事實上，即便是大於1的固定數量也存在風險:倘若所有人都知道每個人有5個身分，那麼你可能會被脅迫泄露全部5個。

支持這一點的另一個理由是，匿名性本身很脆弱，因此需要足夠大的安全緩衝空間。借助現代AI工具，跨平台關聯用戶行爲變得輕而易舉，通過用詞習慣、發帖時間、發帖間隔、討論話題等公開信息，僅需33bits的信息量就能精準鎖定一個人。人們或許可以用AI工具進行防御，但即便如此，也不希望一次失誤就徹底終結自己的匿名性。

其次，身分不能完全與財務掛鉤(即獲取N個身分的成本爲N)，因爲這會讓大型主體輕易獲得過大的影響力。Twitter Blue的新機制就體現了這一點:每月8美元的認證費用過低，根本無法有效限制濫用行爲，如今用戶基本已對這種認證標識視而不見。

此外，我們或許也不希望資源量爲N倍的主體，能夠肆無忌憚地做出N倍的不當行爲。

綜合上述論點，我