# デジタルIDのゼロ知識証明の複数のジレンマデジタルIDシステムにおいて、プライバシーを保護するためにzk-SNARKs技術を適用することは主流の実践となっています。さまざまなzk-SNARKsに基づくデジタルIDプロジェクトが、ユーザーが身分証明の詳細を開示することなく有効な身分証明を持っていることを証明できるユーザーフレンドリーなソフトウェアパッケージを開発しています。生体認証技術を用いて検証し、zk-SNARKsによってプライバシーを保護するWorld IDのユーザー数は最近1000万人を突破しました。一部の政府のデジタルIDプロジェクトもzk-SNARKs技術を活用し始めています。表面上見ると、zk-SNARKsに基づくデジタルIDは、去中心化を加速する(d/acc)の理念の大きな勝利のように広く採用されています。それは、プライバシーを犠牲にすることなく、私たちのソーシャルメディア、投票システム、さまざまなインターネットサービスをウィッチハントやボットの操作から守ることができます。しかし、事は本当にそれほど簡単なのでしょうか?zk-SNARKsに基づく身分証明には、依然としてリスクが存在するのでしょうか?この記事では、以下の観点を述べます:- zk-SNARKsパッケージは、多くの重要な問題を解決しました。- zk-SNARKsで包装された身分証明にはリスクが依然として存在します。これらのリスクは主に「一人一身分証明」属性の厳格な維持に起因しています。- "富の証明"のみを使用して女巫攻撃に対抗することはほとんどのアプリケーションシナリオでは不十分であり、私たちは何らかの"身分証明"の解決策が必要です。- 理想的な状態は、N個の身分証明を取得するコストがN²であることです。- マルチアイデンティティは最も現実的な解決策です。マルチアイデンティティは、明示的な(、ソーシャルグラフに基づくアイデンティティ)、または暗黙の(さまざまなタイプのzk-SNARKsアイデンティティが共存することができます)。! [ヴィタリック:デジタルアイデンティティ+ ZKテクノロジーの下での複数のジレンマ](https://img-cdn.gateio.im/social/moments-1fa15b87f0dad953ff390e1ff4499f3d)### zk-SNARKsパッケージの身分証明はどのように機能しますか?あなたが虹彩をスキャンしてWorld IDを取得したり、スマートフォンのNFCを使用してパスポートを読み取ってzk-SNARKsに基づくパスポートの身分証明を取得したと想像してください。あなたのスマートフォンには秘密の値sがあります。ブロックチェーン上のグローバル登録簿には公開ハッシュ値H(s)があります。アプリにログインする際、特定のアプリに固有のユーザーIDを生成します。すなわち、H(s, app_name)であり、zk-SNARKsを使用して検証します: このIDは登録簿のどの公開ハッシュ値とも同じ秘密の値sに由来します。したがって、各アプリに対して各公開ハッシュ値から生成できるIDは1つだけですが、特定のアプリ専用IDがどの公開ハッシュ値に対応しているかは決して漏洩しません。実際、デザインはもう少し複雑になるかもしれません。World IDでは、アプリケーション専用IDは実際にはアプリケーションIDとセッションIDのハッシュ値を含んでいるため、同じアプリケーション内の異なる操作も相互に関連付けを解除できます。零知识证明護照の設計も同様の方法で構築することができます。! [ヴィタリック:デジタルアイデンティティ+ ZKテクノロジーの下での複数のジレンマ](https://img-cdn.gateio.im/social/moments-18e125ae671fbd46a8f4b809256f301e)### ゼロ知識証明だけでは匿名性は達成できない完全に機能するzk-SNARKs身分証明プラットフォームが、上記のすべてのロジックを厳密に再現し、中央集権的機関に依存せずに非技術的ユーザーのプライバシーを長期的に保護する方法を見つけたと仮定します。しかし同時に、現実に即した仮定を立てることができます: アプリケーションはプライバシー保護に積極的に協力しないでしょう。彼らは「実用主義」の原則に従い、採用する設計方案は「ユーザーの利便性を最大化する」という名目でありながら、実際には常に自らの政治的および商業的利益に偏っているようです。このようなシーンでは、ソーシャルメディアアプリケーションは頻繁にセッションキーをローテーションするような複雑なデザインを採用せず、各ユーザーにユニークなアプリ専用IDを割り当てます。また、身分証明システムが「一人一身分証明」のルールに従っているため、ユーザーは1つのアカウントしか持てません。現実の世界では、匿名性の実現には通常複数のアカウントが必要です:1つは「通常の身分証明」、「他はさまざまな匿名の身分証明」に使用されます。したがって、このモデルでは、ユーザーが実際に得られる匿名性は現在のレベルよりも低くなる可能性があります。このようにして、たとえzk-SNARKsでパッケージ化された「一人一身分証明」システムであっても、私たちはすべての活動が単一の公開身分証明に依存しなければならない世界に徐々に向かう可能性があります。リスクが高まる時代において、匿名性を通じて自分自身を保護する選択権を奪うことは、深刻な負の影響をもたらすでしょう。### zk-SNARKs自体は、あなたを脅迫から守ることはできません。たとえあなたが自分の秘密値sを公表しなくても、誰もあなたの各アカウント間の公開された関連性を見ることはできません。しかし、もし誰かがあなたに公表を強制する場合はどうでしょうか?政府はすべての活動を確認するために秘密値の開示を強制する可能性があります。これは空談ではありません:特定の国では、ビザ申請者に自分のソーシャルメディアアカウントを公表するよう求めることが始まっています。さらに、雇用主も完全な公開情報の開示を雇用条件に設定することが簡単にできます。さらには、特定のアプリが技術的なレベルで他のアプリでの身分証明を開示することをユーザーに要求し、登録を許可する場合もあります。同様に、これらの状況において、zk-SNARKsの特性の価値は失われますが、「一人一アカウント」という新しい特性の欠点は依然として存在します。私たちは、設計の最適化を通じて脅迫リスクを低減できるかもしれません。例えば、マルチパーティ計算メカニズムを採用して各アプリケーション専用のIDを生成し、ユーザーとサービス提供者が共同で参加することができます。これにより、アプリケーション運営者が参加しない場合、ユーザーはそのアプリケーション内の専用IDを証明できなくなります。これにより、他人に完全な身分を開示させることが困難になりますが、この可能性を完全に排除することはできず、またこのようなソリューションには他の欠点も存在します。例えば、アプリケーション開発者は受動的なオンチェーンスマートコントラクトのような存在ではなく、リアルタイムで活動している実体である必要があります。! [ヴィタリック:デジタルアイデンティティ+ZK技術の下での複数のジレンマ](https://img-cdn.gateio.im/social/moments-5c5e98a8645b7a2cc02bf3f26d7bf4d7)### ゼロ知識証明だけではプライバシー以外のリスクには対処できないすべての身分証明の形式にはエッジケースが存在します:- 政府が発行した身分証明に基づいており、パスポートを含むが、無国籍者をカバーすることはできず、またこのような証明書をまだ取得していない人々も含まれません。- 一方で、このような政府ベースの身分証明システムは、多重国籍保持者に独自の特権を与える。- パスポート発行機関はハッキング攻撃に遭う可能性があり、敵対国の情報機関が大量の偽の身分証明を偽造することもあり得る。- 傷病により関連する生体特徴が損なわれた人にとって、生体認証は完全に無効になります。- 生体認証は偽物に騙される可能性が高いです。もし生体認証の価値が非常に高くなると、私たちは人間の臓器を特別に育てて、このような身分証明を"大量生産"する人が現れるかもしれません。これらのエッジケースは「一人一身份」属性を維持しようとするシステムにおいて最も危険であり、プライバシーとはまったく関係がありません。したがって、zk-SNARKsでは対応できません。### "富の証明"に依存してウィッチ攻撃を防ぐことは問題を解決するには不十分ですので、私たちは何らかの形の身分証明システムが必要です。純粋な暗号パンクのコミュニティでは、一般的な代替手段は「富の証明」に完全に依存して魔女狩り攻撃を防ぐことであり、あらゆる形の身分証明システムを構築することではありません。各アカウントに一定のコストを発生させることで、誰かが簡単に大量のアカウントを作成することを阻止できます。このような手法はインターネット上で以前から存在し、例えば、特定のフォーラムでは登録アカウントに一度限りの費用を支払うことを要求しており、アカウントが凍結された場合、この費用は返金されません。理論的には、支払いに条件を付けることも可能です: アカウントを登録する際、あなたは一筆の資金を質入れするだけで、アカウントが禁止されたという非常に稀な場合にのみその資金を失うことになります。理論的には、これにより攻撃コストが大幅に増加します。このようなソリューションは多くのシナリオで顕著な効果を発揮しますが、特定のタイプのシナリオではまったく機能しません。私は二つのタイプのシナリオ、仮に「類似の基礎所得シナリオ」と「類似のガバナンスシナリオ」と呼ぶことにします。#### クラウドファンディングの基本収入シナリオにおける身分証明の需要いわゆる「類似のユニバーサルベーシックインカムシナリオ」とは、非常に広範なユーザー群に対して、支払い能力を考慮せずに一定量の資産やサービスを配布する必要があるシナリオを指します。あるプロジェクトは、まさにこの点を体系的に実践しています: 特定の身分証明を持つ人は誰でも、定期的に少量のトークンを受け取ることができます。多くのトークンエアドロップも、より非公式な方法で類似の目標を達成しようとしており、少なくとも部分的にトークンをできるだけ多くのユーザーに届けようとしています。このような「小型の普遍的基本所得」が実際に解決できる問題は、人々がいくつかの基本的なオンチェーン取引やオンライン購入を行うのに十分な量の暗号通貨を得ることです。具体的には、次のようなものが含まれる可能性があります:- ENS 名を取得する- チェーン上でハッシュを公開して、特定のzk-SNARKs身分証明を初期化する- ソーシャルメディアプラットフォームの料金を支払うもし暗号通貨が世界的に広く採用されれば、この問題は解決されます。しかし、暗号通貨がまだ普及していない現状では、これは人々がブロックチェーン上の非金融アプリケーションや関連するオンライン商品やサービスにアクセスする唯一の手段である可能性があり、さもなければ彼らはこれらのリソースにまったく触れることができないかもしれません。さらに、似たような効果を実現する別の方法があります。それは「全員基本サービス」で、身分を持つすべての人に特定のアプリ内で限られた数の無料取引を送信する権限を提供することです。この方法は、インセンティブメカニズムにより適しており、資本効率が高くなる可能性があります。なぜなら、この採用から恩恵を受けるアプリケーションは、非ユーザーのために支払うことなくこれを行うことができるからです。しかし、これは普遍性が低下するという一定のトレードオフを伴います。それでも、ここではスパム攻撃からシステムを守り、排他性を生まないための身分証明の解決策が必要です。この排他性は、ユーザーに何らかの支払い方法で支払うことを要求することから生じるものであり、そのような支払い方法はすべての人が利用できるわけではありません。最後に強調すべき重要なカテゴリーは「全員基本保証金」です。身分の機能の一つは、ユーザーが質入れする資金の規模に相当する金額を必要とせずに責任を追及できる対象を提供することです。これにより、個人の資本量に対する参加のハードルを下げるという目標の実現にも貢献します。! [Vitalik:デジタルアイデンティティ+ ZKテクノロジーの下での複数のジレンマ](https://img-cdn.gateio.im/social/moments-4ee3f0f2fb93f4937527d660b75452b7)#### 類ガバナンスシナリオにおける身分証明の需要投票システムを想像してみてください:ユーザーAのリソースがユーザーBの10倍であれば、Aの投票権もBの10倍になります。しかし、経済的な観点から見ると、1単位の投票権がAにもたらす利益は、Bにもたらす利益の10倍です。したがって、全体としてAの投票が自身にもたらす利益は、Bの投票が自身にもたらす利益の100倍です。このため、Aは投票に多くのエネルギーを投じ、自身の目標を最大化するためにどう投票するかを研究し、さらには戦略的にアルゴリズムを操作する可能性さえあります。これが、トークン投票メカニズムにおいて「クジラ」が過剰な影響を与える根本的な理由でもあります。より一般的でより深い理由は、ガバナンスシステムが「1人が10万ドルを支配する」ことと「1000人が10万ドルを共同保有する」ことに同等の重みを与えるべきではないということです。後者は1000の独立した個体を表しているため、より豊かな価値ある情報を含み、少量の情報の高い重複ではありません。1000人からの信号は、異なる個体の意見が相互に相殺されるため、しばしば「穏やか」になります。この点は、正式な投票システムにも、例えば人々が公に発言することで文化の進化に参加する能力などの「非公式な投票システム」にも適用されます。これは、ガバナンス類似システムが「資金の出所に関係なく、同じ規模の資金の束を平等に扱う」というアプローチに本当に満足しないことを示しています。システムは実際にはこれらの資金の束の内部調整の程度を理解する必要があります。注意が必要なのは、私が上述の2つのシナリオの説明フレームワークに同意するなら、技術的な観点から見て「一人一票」という明確なルールの必要性はもはや存在しないということです。- クラウド型の基本所得シナリオにおいて、本当に必要な身分証明ソリューションは: 最初の身分証明が無料で、取得できる身分証明の数に制限を設けることです。より多くの身分証明を取得するコストが、システムを攻撃する行動が意味を失うほど高くなった場合、制限効果が達成されます。- ガバナンスに類似したシナリオのアプリケーションにおいて、核心的なニーズは: ある種の間接的な指標を通じて、あなたが接触しているこのリソースの背後に、単一の操作主体がいるのか、あるいは何らかの「自然に形成された」、調整度が比較的低い集団がいるのかを判断できることです。この二つのシーンでは、身分証明は依然として非常に有用ですが、「一人一身份」を遵守する必要があります。
zk-SNARKsデジタルIDのプライバシーのジレンマと多様な解決策
デジタルIDのゼロ知識証明の複数のジレンマ
デジタルIDシステムにおいて、プライバシーを保護するためにzk-SNARKs技術を適用することは主流の実践となっています。さまざまなzk-SNARKsに基づくデジタルIDプロジェクトが、ユーザーが身分証明の詳細を開示することなく有効な身分証明を持っていることを証明できるユーザーフレンドリーなソフトウェアパッケージを開発しています。生体認証技術を用いて検証し、zk-SNARKsによってプライバシーを保護するWorld IDのユーザー数は最近1000万人を突破しました。一部の政府のデジタルIDプロジェクトもzk-SNARKs技術を活用し始めています。
表面上見ると、zk-SNARKsに基づくデジタルIDは、去中心化を加速する(d/acc)の理念の大きな勝利のように広く採用されています。それは、プライバシーを犠牲にすることなく、私たちのソーシャルメディア、投票システム、さまざまなインターネットサービスをウィッチハントやボットの操作から守ることができます。しかし、事は本当にそれほど簡単なのでしょうか?zk-SNARKsに基づく身分証明には、依然としてリスクが存在するのでしょうか?この記事では、以下の観点を述べます:
! ヴィタリック:デジタルアイデンティティ+ ZKテクノロジーの下での複数のジレンマ
zk-SNARKsパッケージの身分証明はどのように機能しますか?
あなたが虹彩をスキャンしてWorld IDを取得したり、スマートフォンのNFCを使用してパスポートを読み取ってzk-SNARKsに基づくパスポートの身分証明を取得したと想像してください。あなたのスマートフォンには秘密の値sがあります。ブロックチェーン上のグローバル登録簿には公開ハッシュ値H(s)があります。アプリにログインする際、特定のアプリに固有のユーザーIDを生成します。すなわち、H(s, app_name)であり、zk-SNARKsを使用して検証します: このIDは登録簿のどの公開ハッシュ値とも同じ秘密の値sに由来します。したがって、各アプリに対して各公開ハッシュ値から生成できるIDは1つだけですが、特定のアプリ専用IDがどの公開ハッシュ値に対応しているかは決して漏洩しません。
実際、デザインはもう少し複雑になるかもしれません。World IDでは、アプリケーション専用IDは実際にはアプリケーションIDとセッションIDのハッシュ値を含んでいるため、同じアプリケーション内の異なる操作も相互に関連付けを解除できます。零知识证明護照の設計も同様の方法で構築することができます。
! ヴィタリック:デジタルアイデンティティ+ ZKテクノロジーの下での複数のジレンマ
ゼロ知識証明だけでは匿名性は達成できない
完全に機能するzk-SNARKs身分証明プラットフォームが、上記のすべてのロジックを厳密に再現し、中央集権的機関に依存せずに非技術的ユーザーのプライバシーを長期的に保護する方法を見つけたと仮定します。しかし同時に、現実に即した仮定を立てることができます: アプリケーションはプライバシー保護に積極的に協力しないでしょう。彼らは「実用主義」の原則に従い、採用する設計方案は「ユーザーの利便性を最大化する」という名目でありながら、実際には常に自らの政治的および商業的利益に偏っているようです。
このようなシーンでは、ソーシャルメディアアプリケーションは頻繁にセッションキーをローテーションするような複雑なデザインを採用せず、各ユーザーにユニークなアプリ専用IDを割り当てます。また、身分証明システムが「一人一身分証明」のルールに従っているため、ユーザーは1つのアカウントしか持てません。現実の世界では、匿名性の実現には通常複数のアカウントが必要です:1つは「通常の身分証明」、「他はさまざまな匿名の身分証明」に使用されます。したがって、このモデルでは、ユーザーが実際に得られる匿名性は現在のレベルよりも低くなる可能性があります。このようにして、たとえzk-SNARKsでパッケージ化された「一人一身分証明」システムであっても、私たちはすべての活動が単一の公開身分証明に依存しなければならない世界に徐々に向かう可能性があります。リスクが高まる時代において、匿名性を通じて自分自身を保護する選択権を奪うことは、深刻な負の影響をもたらすでしょう。
zk-SNARKs自体は、あなたを脅迫から守ることはできません。
たとえあなたが自分の秘密値sを公表しなくても、誰もあなたの各アカウント間の公開された関連性を見ることはできません。しかし、もし誰かがあなたに公表を強制する場合はどうでしょうか?政府はすべての活動を確認するために秘密値の開示を強制する可能性があります。これは空談ではありません:特定の国では、ビザ申請者に自分のソーシャルメディアアカウントを公表するよう求めることが始まっています。さらに、雇用主も完全な公開情報の開示を雇用条件に設定することが簡単にできます。さらには、特定のアプリが技術的なレベルで他のアプリでの身分証明を開示することをユーザーに要求し、登録を許可する場合もあります。
同様に、これらの状況において、zk-SNARKsの特性の価値は失われますが、「一人一アカウント」という新しい特性の欠点は依然として存在します。
私たちは、設計の最適化を通じて脅迫リスクを低減できるかもしれません。例えば、マルチパーティ計算メカニズムを採用して各アプリケーション専用のIDを生成し、ユーザーとサービス提供者が共同で参加することができます。これにより、アプリケーション運営者が参加しない場合、ユーザーはそのアプリケーション内の専用IDを証明できなくなります。これにより、他人に完全な身分を開示させることが困難になりますが、この可能性を完全に排除することはできず、またこのようなソリューションには他の欠点も存在します。例えば、アプリケーション開発者は受動的なオンチェーンスマートコントラクトのような存在ではなく、リアルタイムで活動している実体である必要があります。
! ヴィタリック:デジタルアイデンティティ+ZK技術の下での複数のジレンマ
ゼロ知識証明だけではプライバシー以外のリスクには対処できない
すべての身分証明の形式にはエッジケースが存在します:
これらのエッジケースは「一人一身份」属性を維持しようとするシステムにおいて最も危険であり、プライバシーとはまったく関係がありません。したがって、zk-SNARKsでは対応できません。
"富の証明"に依存してウィッチ攻撃を防ぐことは問題を解決するには不十分ですので、私たちは何らかの形の身分証明システムが必要です。
純粋な暗号パンクのコミュニティでは、一般的な代替手段は「富の証明」に完全に依存して魔女狩り攻撃を防ぐことであり、あらゆる形の身分証明システムを構築することではありません。各アカウントに一定のコストを発生させることで、誰かが簡単に大量のアカウントを作成することを阻止できます。このような手法はインターネット上で以前から存在し、例えば、特定のフォーラムでは登録アカウントに一度限りの費用を支払うことを要求しており、アカウントが凍結された場合、この費用は返金されません。
理論的には、支払いに条件を付けることも可能です: アカウントを登録する際、あなたは一筆の資金を質入れするだけで、アカウントが禁止されたという非常に稀な場合にのみその資金を失うことになります。理論的には、これにより攻撃コストが大幅に増加します。
このようなソリューションは多くのシナリオで顕著な効果を発揮しますが、特定のタイプのシナリオではまったく機能しません。私は二つのタイプのシナリオ、仮に「類似の基礎所得シナリオ」と「類似のガバナンスシナリオ」と呼ぶことにします。
クラウドファンディングの基本収入シナリオにおける身分証明の需要
いわゆる「類似のユニバーサルベーシックインカムシナリオ」とは、非常に広範なユーザー群に対して、支払い能力を考慮せずに一定量の資産やサービスを配布する必要があるシナリオを指します。あるプロジェクトは、まさにこの点を体系的に実践しています: 特定の身分証明を持つ人は誰でも、定期的に少量のトークンを受け取ることができます。多くのトークンエアドロップも、より非公式な方法で類似の目標を達成しようとしており、少なくとも部分的にトークンをできるだけ多くのユーザーに届けようとしています。
このような「小型の普遍的基本所得」が実際に解決できる問題は、人々がいくつかの基本的なオンチェーン取引やオンライン購入を行うのに十分な量の暗号通貨を得ることです。具体的には、次のようなものが含まれる可能性があります:
もし暗号通貨が世界的に広く採用されれば、この問題は解決されます。しかし、暗号通貨がまだ普及していない現状では、これは人々がブロックチェーン上の非金融アプリケーションや関連するオンライン商品やサービスにアクセスする唯一の手段である可能性があり、さもなければ彼らはこれらのリソースにまったく触れることができないかもしれません。
さらに、似たような効果を実現する別の方法があります。それは「全員基本サービス」で、身分を持つすべての人に特定のアプリ内で限られた数の無料取引を送信する権限を提供することです。この方法は、インセンティブメカニズムにより適しており、資本効率が高くなる可能性があります。なぜなら、この採用から恩恵を受けるアプリケーションは、非ユーザーのために支払うことなくこれを行うことができるからです。しかし、これは普遍性が低下するという一定のトレードオフを伴います。それでも、ここではスパム攻撃からシステムを守り、排他性を生まないための身分証明の解決策が必要です。この排他性は、ユーザーに何らかの支払い方法で支払うことを要求することから生じるものであり、そのような支払い方法はすべての人が利用できるわけではありません。
最後に強調すべき重要なカテゴリーは「全員基本保証金」です。身分の機能の一つは、ユーザーが質入れする資金の規模に相当する金額を必要とせずに責任を追及できる対象を提供することです。これにより、個人の資本量に対する参加のハードルを下げるという目標の実現にも貢献します。
! Vitalik:デジタルアイデンティティ+ ZKテクノロジーの下での複数のジレンマ
類ガバナンスシナリオにおける身分証明の需要
投票システムを想像してみてください:ユーザーAのリソースがユーザーBの10倍であれば、Aの投票権もBの10倍になります。しかし、経済的な観点から見ると、1単位の投票権がAにもたらす利益は、Bにもたらす利益の10倍です。したがって、全体としてAの投票が自身にもたらす利益は、Bの投票が自身にもたらす利益の100倍です。このため、Aは投票に多くのエネルギーを投じ、自身の目標を最大化するためにどう投票するかを研究し、さらには戦略的にアルゴリズムを操作する可能性さえあります。これが、トークン投票メカニズムにおいて「クジラ」が過剰な影響を与える根本的な理由でもあります。
より一般的でより深い理由は、ガバナンスシステムが「1人が10万ドルを支配する」ことと「1000人が10万ドルを共同保有する」ことに同等の重みを与えるべきではないということです。後者は1000の独立した個体を表しているため、より豊かな価値ある情報を含み、少量の情報の高い重複ではありません。1000人からの信号は、異なる個体の意見が相互に相殺されるため、しばしば「穏やか」になります。
この点は、正式な投票システムにも、例えば人々が公に発言することで文化の進化に参加する能力などの「非公式な投票システム」にも適用されます。
これは、ガバナンス類似システムが「資金の出所に関係なく、同じ規模の資金の束を平等に扱う」というアプローチに本当に満足しないことを示しています。システムは実際にはこれらの資金の束の内部調整の程度を理解する必要があります。
注意が必要なのは、私が上述の2つのシナリオの説明フレームワークに同意するなら、技術的な観点から見て「一人一票」という明確なルールの必要性はもはや存在しないということです。
この二つのシーンでは、身分証明は依然として非常に有用ですが、「一人一身份」を遵守する必要があります。