Vitalik：数字身份+ZK技术下的多重困境

近年来，零知识证明技术在数字身份系统中的应用逐渐成为主流。各类基于零知识证明的数字身份项目正在开发对用户友好的软件包，让用户无需透露身份细节就能证明自己持有有效身份。World ID等采用生物识别和零知识证明的项目用户数量已突破千万。一些政府和地区也开始在数字身份领域探索零知识证明技术的应用。

从表面看，基于零知识证明的数字身份广泛采用似乎是技术进步的胜利。它可以在不牺牲隐私的前提下，保护社交媒体、投票系统等免受女巫攻击和机器人操纵。但事实并非如此简单，这种身份系统仍存在一些风险。本文将阐述以下观点:

• 零知识证明包装解决了许多重要问题，但仍存在风险。这些风险主要源于对"一人一身份"属性的严格维护。
• 单纯使用"财富证明"来防御女巫攻击在大多数场景中是不够的，我们需要某种"类身份"解决方案。
• 理想状态是获得N个身份的成本为N²。
• 实践中难以实现这种理想状态，但多元身份是较为现实的解决方案。

零知识证明身份的工作原理

想象一下，你通过生物识别或护照扫描获得了一个基于零知识证明的身份。你的手机上有一个秘密值s，在全球注册表中有对应的公开哈希值H(s)。登录应用时，你会生成一个特定于该应用的用户ID，即H(s, app_name)，并通过零知识证明验证这个ID与注册表中的某个公开哈希值源自同一个秘密值s。这样每个公开哈希值针对每个应用只能生成一个ID，但不会泄露应用专属ID与哪个公开哈希值对应。

实际设计可能更复杂，如World ID中应用专属ID还包含会话ID，使同一应用内的不同操作也可以相互解除关联。

这种身份系统相比传统方式有很大优势。传统身份验证往往要求用户透露完整法定身份，严重违反"最小权限原则"。而零知识证明包装技术在很大程度上解决了这个问题。但仍有一些问题未得到解决，甚至可能因"一人一身份"的严格限制而加剧。

零知识证明无法实现完全匿名

假设一个零知识证明身份平台完全按预期运行，但应用程序采用更实用主义的做法。社交媒体应用可能为每位用户分配唯一的应用专属ID，且由于身份系统遵循"一人一身份"规则，用户只能拥有一个账户。这与当前用户轻松注册多个账户的情况形成对比。

现实中，匿名性的实现通常需要多个账户:一个用于常规身份，其他用于匿名身份。因此，在这种模式下，用户实际获得的匿名性可能低于当前水平。即便是经过零知识证明包装的"一人一身份"系统，也可能让我们走向一个所有活动都必须依附于单一公开身份的世界。在风险日益加剧的时代，剥夺人们通过匿名性保护自身的选择权将带来严重负面影响。

零知识证明无法防止胁迫

即使你不公开秘密值s，没人能看到你各账户之间的公开关联，但如果有人强制你公开呢?政府可能会强制要求透露秘密值，以便查看所有活动。这并非空谈:美国政府已开始要求签证申请人公开社交媒体账户。雇主也可能将透露完整公开资料作为雇佣条件。甚至个别应用在技术层面也可能要求用户透露其他应用上的身份才允许注册使用。

在这些情况下，零知识证明属性的价值荡然无存，但"一人一账户"这一新属性的弊端却依然存在。

我们可以通过设计优化来降低胁迫风险，如采用多方计算机制生成每个应用专属ID。这会增加逼迫他人透露完整身份的难度，但无法彻底消除这种可能性，而且这类方案还存在其他弊端。

零知识证明无法解决非隐私类风险

所有身份形式都存在边缘案例:

• 基于政府发行的身份无法覆盖无国籍人士，也不包含尚未获得此类证件的人群。
• 这类身份体系会给多重国籍持有者赋予独特特权。
• 护照签发机构可能遭遇黑客攻击，敌对国家的情报机构甚至可能伪造大量虚假身份。
• 对于那些相关生物特征因伤病受损的人而言，生物识别身份会完全失效。
• 生物识别身份很可能会被仿制品蒙骗。倘若生物识别身份的价值变得极高，我们甚至可能会看到有人专门培养人体器官，只为"批量制造"这类身份。

这些边缘案例在试图维持"一人一身份"属性的系统中危害最大，且它们与隐私毫无关联。因此，零知识证明对此无能为力。

财富证明不足以解决问题

在密码朋克群体中，一个常见的替代方案是完全依赖"财富证明"来防范女巫攻击，而非构建任何形式的身份系统。通过让每个账户产生一定成本，就能阻止有人轻易创建大量账号。这种做法在互联网上早有先例，如某些论坛要求注册账户支付一次性费用。

理论上，甚至可以让支付具备条件性:注册账户时只需质押资金，仅在账号被封禁时才会损失这笔资金。这能大幅提高攻击成本。

这种方案在许多场景中效果显著，但在某些类型的场景中却完全行不通。我将重点讨论两类场景:"类全民基本收入场景"和"类治理场景"。

类全民基本收入场景中对身份的需求

"类全民基本收入场景"指需要向极广泛用户群体发放一定数量资产或服务，且不考虑其支付能力的场景。Worldcoin就是系统性地践行这一点:任何拥有World ID的人都能定期获得少量WLD代币。许多代币空投也以非正式方式实现类似目标。

这类"小型全民基本收入"能解决的问题是:让人们获得足够数量的加密货币，以完成一些基础的链上交易和在线购买。具体可能包括:

• 获取ENS名称
• 在链上发布哈希以初始化某个零知识证明身份
• 支付社交媒体平台费用

若加密货币在全球范围内得到广泛采用，这一问题便不复存在。但在加密货币尚未普及的当下，这可能是人们获取链上非金融应用及相关在线商品服务的唯一途径。

另一种实现类似效果的方式是"全民基本服务":为每个拥有身份的人提供在特定应用内发送有限数量免费交易的权限。这种方式可能更符合激励机制，且资本效率更高，但普适性会降低。即便如此，这里依然需要一套身份解决方案，以防止系统遭受垃圾信息攻击，同时避免产生排他性。

最后一个重要类别是"全民基本保证金"。身份的功能之一是提供一个可用于追责的标的，而无需用户质押与激励规模相当的资金。这有助于降低参与门槛对个人资本量的依赖。

类治理场景中对身份的需求

在投票系统中，如果用户A的资源是用户B的10倍，那么其投票权也会是B的10倍。但从经济角度看，每单位投票权给A带来的收益是给B带来的10倍。因此，A的投票对自身的益处是B的投票对自身益处的100倍。这就导致A会投入更多精力参与投票、研究如何投票才能最大化自身目标，甚至可能会战略性地操纵算法。

更深层的原因在于:治理系统不应将"一人掌控10万美元"与"1000人共持10万美元"赋予同等权重。后者代表着1000个独立个体，因此会包含更丰富的有价值信息，而非小体量信息的高度重复。来自1000人的信号也往往更"温和"，因为不同个体的意见往往会相互抵消。

这一点既适用于正式的投票系统，也适用于"非正式投票系统"，例如人们通过公开发声参与文化演进的能力。

这表明，类治理系统不会真正满足于"不论资金来源，同等规模的资金束都一视同仁"的做法。系统其实需要了解这些资金束的内部协调程度。

需要注意的是，若你认同我对上述两类场景的描述框架，那么从技术层面而言，对"一人一票"这种明确规则的需求就不复存在了。

• 对于类全民基本收入场景的应用而言，真正需要的身份方案是:首个身份免费，对可获取的身份数量设限。当获取更多身份的成本高到足以让攻击系统的行为失去意义时，便达到了限制效果。
• 对于类治理场景的应用而言，核心需求是:能够通过某种间接指标判断，你所接触的这一笔资源，其背后是单一的操控主体，还是某种"自然形成的"、协调程度较低的群体。

在这两种场景中，身份依然非常有用，但对其遵循"一人一身份"这类严格规则的要求已不复存在。

理论上的理想状态:获得N个身份的成本为N²

从上述论点中，我们可以看到有两种压力从相反的两端限制了身份系统中获取多个身份的期望难度:

首先，不能对"能轻松获取的身份数量"设置一个清晰可见的硬性限制。如果一个人只能拥有一个身份，就无从谈起匿名性，且可能被胁迫泄露身份。事实上，即便是大于1的固定数量也存在风险:倘若所有人都知道每个人有5个身份，那么你可能会被胁迫泄露全部5个。

支持这一点的另一个理由是，匿名性本身很脆弱，因此需要足够大的安全缓冲空间。借助现代AI工具，跨平台关联用户行为变得轻而易举，通过用词习惯、发帖时间、发帖间隔、讨论话题等公开信息，仅需33bits的信息量就能精准锁定一个人。人们或许可以用AI工具进行防御，但即便如此，也不希望一次失误就彻底终结自己的匿名性。

其次，身份不能完全与财务挂钩(即获取N个身份的成本为N)，因为这会让大型主体轻易获得过大的影响力。Twitter Blue的新机制就体现了这一点:每月8美元的认证费用过低，根本无法有效限制滥用行为，如今用户基本已对这种认证标识视而不见。

此外，我们或许也不希望资源量为N倍的主体，能够肆无忌惮地做出N倍的不当行为。

综合上述论点，我