Was halte ich von biometrischen Personennachweisen?

Besonderer Dank geht an das Worldcoin-Team, die Proof of Humanity-Community und Andrew Miller für die Diskussion.

Eines der kniffligeren, aber potenziell wertvollsten Gadgets, die die Leute in der Ethereum-Community zu bauen versuchen, ist eine dezentrale Proof-of-Personhood-Lösung. Der Nachweis der Persönlichkeit, auch bekannt als das "Unique-Human-Problem", ist eine begrenzte Form der realen Identität, die behauptet, dass ein bestimmtes registriertes Konto von einer realen Person (und einer anderen realen Person als jedem anderen registrierten Konto) kontrolliert wird, idealerweise ohne zu verraten, um welche reale Person es sich handelt.

Es gibt einige Bemühungen, dieses Problem anzugehen: Proof of Humanity, BrightID, Idena und Circles nennen als Beispiele . Einige von ihnen haben ihre eigenen Anwendungen (oft ein BGE-Token), und einige haben in Gitcoin Passport Verwendung gefunden, um zu überprüfen, welche Konten für quadratische Abstimmungen gültig sind. Zero-Knowledge-Technologien wie Sismo verleihen vielen dieser Lösungen den Datenschutz. In jüngster Zeit haben wir den Aufstieg eines viel größeren und ehrgeizigeren Proof-of-Personhood-Projekts erlebt: Worldcoin.

Worldcoin wurde von Sam Altman mitbegründet, der vor allem als CEO von OpenAI bekannt ist. Die Philosophie hinter dem Projekt ist einfach: KI wird viel Wohlstand und Wohlstand für die Menschheit schaffen, aber sie kann auch sehr viele Arbeitsplätze vernichten und es fast unmöglich machen, zu sagen, wer überhaupt ein Mensch und kein Bot ist, und so müssen wir dieses Loch stopfen, indem wir (i) ein wirklich gutes System zum Nachweis der Persönlichkeit schaffen, damit Menschen beweisen können, dass sie tatsächlich Menschen sind. und (ii) jedem ein BGE zu geben. Worldcoin ist insofern einzigartig, als es sich auf hochentwickelte Biometrie stützt und die Iris jedes Benutzers mit einer speziellen Hardware namens "The Orb" scannt:

Das Ziel ist es, eine große Anzahl dieser Kugeln zu produzieren und sie auf der ganzen Welt zu verteilen und an öffentlichen Orten aufzustellen, um es jedem leicht zu machen, einen Ausweis zu erhalten. Man muss Worldcoin zugute halten, dass sie sich im Laufe der Zeit auch zur Dezentralisierung verpflichtet haben. Zunächst bedeutet dies eine technische Dezentralisierung: ein L2 auf Ethereum zu sein, der den Optimism-Stack verwendet, und die Privatsphäre der Nutzer mit ZK-SNARKs und anderen kryptografischen Techniken zu schützen. Später geht es um die Dezentralisierung der Steuerung des Systems selbst.

Worldcoin wurde für Datenschutz- und Sicherheitsbedenken im Zusammenhang mit der Kugel, Designprobleme in ihrer "Münze" und für ethische Probleme im Zusammenhang mit einigen Entscheidungen , die das Unternehmen getroffen hat, kritisiert. Einige der Kritikpunkte sind sehr spezifisch und konzentrieren sich auf Entscheidungen, die vom Projekt getroffen wurden, die leicht auf eine andere Weise hätten getroffen werden können - und in der Tat, dass das Worldcoin-Projekt selbst bereit sein könnte, sich zu ändern. Andere werfen jedoch die grundlegendere Frage auf, ob Biometrie - nicht nur die augenscannende Biometrie von Worldcoin, sondern auch die einfacheren Gesichtsvideo-Uploads und Verifizierungsspiele, die in Proof of Humanity und Idena verwendet werden - überhaupt eine gute Idee ist oder nicht. Und wieder andere kritisieren den Nachweis der Persönlichkeit im Allgemeinen. Zu den Risiken gehören unvermeidliche Datenschutzlecks, eine weitere Erosion der Fähigkeit der Menschen, anonym im Internet zu navigieren, Zwang durch autoritäre Regierungen und die potenzielle Unmöglichkeit, gleichzeitig sicher und dezentralisiert zu sein.

In diesem Beitrag werden wir über diese Probleme sprechen und einige Argumente durchgehen, die Ihnen bei der Entscheidung helfen können, ob es eine gute Idee ist, sich vor unseren neuen kugelförmigen Oberherren zu verbeugen und Ihre Augen (oder Ihr Gesicht oder Ihre Stimme oder ...) zu scannen, und ob die natürlichen Alternativen - entweder die Verwendung von Social-Graph-basierten Beweisen der Persönlichkeit oder der vollständige Verzicht auf den Nachweis der Persönlichkeit - besser sind oder nicht.

Was ist ein Personennachweis und warum ist er wichtig?

Der einfachste Weg, ein Proof-of-Personhood-System zu definieren, ist: Es erstellt eine Liste von öffentlichen Schlüsseln, bei der das System garantiert, dass jeder Schlüssel von einem eindeutigen Menschen kontrolliert wird. Mit anderen Worten, wenn Sie ein Mensch sind, können Sie einen Schlüssel auf die Liste setzen, aber Sie können nicht zwei Schlüssel auf die Liste setzen, und wenn Sie ein Bot sind, können Sie keine Schlüssel auf die Liste setzen.

Der Nachweis der Persönlichkeit ist wertvoll, weil er viele Anti-Spam- und Anti-Konzentrations-der-Macht-Probleme löst, die viele Menschen haben, und zwar auf eine Weise, die die Abhängigkeit von zentralisierten Behörden vermeidet und die minimal möglichen Informationen preisgibt. Wenn der Nachweis der Persönlichkeit nicht erbracht wird, wird die dezentralisierte Regierungsführung (einschließlich "Mikro-Governance" wie Abstimmungen über Social-Media-Posts) viel einfacher für sehr wohlhabende Akteure , einschließlich feindlicher Regierungen, zu vereinnahmen . Viele Dienste wären nur in der Lage, Denial-of-Service-Angriffe zu verhindern, indem sie einen Preis für den Zugang festlegen, und manchmal ist ein Preis, der hoch genug ist, um Angreifer fernzuhalten, auch für viele einkommensschwache legitime Benutzer zu hoch.

Viele wichtige Anwendungen in der Welt befassen sich heute mit diesem Problem, indem sie staatlich unterstützte Identitätssysteme wie Kreditkarten und Reisepässe verwenden. Das löst das Problem, aber es bringt große und vielleicht inakzeptable Opfer für die Privatsphäre und kann von den Regierungen selbst trivial angegriffen werden.

Wie viele Befürworter des Nachweises der Persönlichkeit sehen das zweiseitige Risiko, dem wir ausgesetzt sind? Bildquelle.

In vielen Proof-of-Personhood-Projekten - nicht nur Worldcoin, sondern auch Proof of Humanity, Circles und anderen - ist die "Flaggschiff-Anwendung" ein eingebauter "N-per-Person-Token" (manchmal auch als "UBI-Token" bezeichnet). Jeder im System registrierte Benutzer erhält jeden Tag (oder Stunde oder Woche) eine bestimmte Menge an Token. Aber es gibt noch viele andere Anwendungen:

• Airdrops für Token-Verteilungen
• Token - oder NFT-Verkäufe, die weniger wohlhabenden Nutzern günstigere Konditionen bieten
• Abstimmungen in DAOs
• Eine Möglichkeit, graphenbasierte Reputationssysteme zu "säen"
• Quadratische Abstimmung (und Finanzierung und Aufmerksamkeitszahlungen)
• Schutz vor Bots / Sybil-Angriffen in sozialen Medien
• Eine Alternative zu Captchas zur Abwehr von DoS-Angriffen

In vielen dieser Fälle ist der gemeinsame Nenner der Wunsch, Mechanismen zu schaffen, die offen und demokratisch sind und sowohl die zentralisierte Kontrolle durch die Betreiber eines Projekts als auch die Dominanz seiner wohlhabendsten Nutzer vermeiden. Letzteres ist vor allem bei der dezentralen Governance wichtig. In vielen dieser Fälle stützen sich bestehende Lösungen heute auf eine Kombination aus (i) hochgradig undurchsichtigen KI-Algorithmen, die viel Raum lassen, um Benutzer unbemerkt zu diskriminieren, die den Betreibern einfach nicht gefallen, und (ii) zentralisierten IDs, auch bekannt als "KYC". Eine effektive Proof-of-Personhood-Lösung wäre eine viel bessere Alternative, die die Sicherheitseigenschaften erreicht, die diese Anwendungen benötigen, ohne die Fallstricke der bestehenden zentralisierten Ansätze.

Was sind einige frühe Versuche, die Persönlichkeit nachzuweisen?

Es gibt zwei Hauptformen des Nachweises der Persönlichkeit: Social-Graph-basiert und biometrisch. Der auf sozialen Graphen basierende Beweis der Persönlichkeit beruht auf einer Form der Bürgschaft: Wenn Alice, Bob, Charlie und David alle verifizierte Menschen sind und sie alle sagen, dass Emily ein verifizierter Mensch ist, dann ist Emily wahrscheinlich auch ein verifizierter Mensch. Das Bürgen wird oft mit Anreizen verstärkt: Wenn Alice sagt, dass Emily ein Mensch ist, sich aber herausstellt, dass sie es nicht ist, dann können Alice und Emily beide bestraft werden. Der biometrische Nachweis der Persönlichkeit beinhaltet die Überprüfung eines körperlichen oder Verhaltensmerkmals von Emily, das Menschen von Bots (und einzelne Menschen voneinander) unterscheidet. Die meisten Projekte verwenden eine Kombination der beiden Techniken.

Die vier Systeme, die ich zu Beginn des Beitrags erwähnt habe, funktionieren in etwa wie folgt:

• Beweis der Menschlichkeit: Sie laden ein Video von sich hoch und leisten eine Anzahlung. Um genehmigt zu werden, muss ein bestehender Benutzer für Sie bürgen, und es muss eine Zeitspanne vergehen, in der Sie herausgefordert werden können. Wenn es eine Anfechtung gibt, entscheidet ein dezentrales Kleros-Gericht , ob Ihr Video echt war oder nicht. Ist dies nicht der Fall, verlieren Sie Ihre Einzahlung und der Herausforderer erhält eine Belohnung.
• BrightID: Sie nehmen an einer Videoanruf-"Verifizierungsparty" mit anderen Benutzern teil, bei der sich alle gegenseitig verifizieren. Höhere Verifizierungsstufen sind über Bitu verfügbar, ein System, in dem Sie sich verifizieren lassen können, wenn genügend andere Bitu-verifizierte Benutzer für Sie bürgen.
• Idena: Sie spielen ein Captcha-Spiel zu einem bestimmten Zeitpunkt (um zu verhindern, dass Personen mehrmals teilnehmen); Ein Teil des Captcha-Spiels besteht darin, Captchas zu erstellen und zu verifizieren, die dann zur Verifizierung anderer verwendet werden.
• Circles: Ein bestehender Circles-Nutzer bürgt für Sie. Circles ist insofern einzigartig, als es nicht versucht, eine "global überprüfbare ID" zu erstellen; Vielmehr wird ein Diagramm von Vertrauensbeziehungen erstellt, in dem die Vertrauenswürdigkeit einer Person nur aus der Perspektive Ihrer eigenen Position in diesem Diagramm überprüft werden kann.

Wie funktioniert Worldcoin?

Jeder Worldcoin-Nutzer installiert eine App auf seinem Telefon, die einen privaten und öffentlichen Schlüssel generiert, ähnlich wie bei einer Ethereum-Wallet. Sie gehen dann persönlich, um eine "Kugel" zu besuchen. Der Benutzer starrt in die Kamera der Kugel und zeigt der Kugel gleichzeitig einen QR-Code, der von ihrer Worldcoin-App generiert wurde und ihren öffentlichen Schlüssel enthält. Die Kugel scannt die Augen des Benutzers und verwendet komplizierte Hardware-Scans und maschinell erlernte Klassifikatoren, um Folgendes zu überprüfen:

1. Der Nutzer ist ein echter Mensch
2. Die Iris des Benutzers stimmt nicht mit der Iris eines anderen Benutzers überein, der das System zuvor verwendet hat

Wenn beide Scans erfolgreich verlaufen sind, signiert die Kugel eine Nachricht, die einen speziellen Hash des Iris-Scans des Benutzers genehmigt. Der Hash wird in eine Datenbank hochgeladen - derzeit ein zentraler Server, der durch ein dezentrales On-Chain-System ersetzt werden soll, sobald sie sicher sind, dass der Hashing-Mechanismus funktioniert. Das System speichert keine vollständigen Iris-Scans. Es werden nur Hashes gespeichert, und diese Hashes werden verwendet, um die Eindeutigkeit zu überprüfen. Ab diesem Zeitpunkt hat der Benutzer eine "World ID".

Ein World-ID-Inhaber kann nachweisen, dass er ein einzigartiger Mensch ist, indem er einen ZK-SNARK generiert, der beweist, dass er den privaten Schlüssel besitzt, der einem öffentlichen Schlüssel in der Datenbank entspricht, ohne preiszugeben, welchen Schlüssel er besitzt. Selbst wenn jemand Ihre Iris erneut scannt, kann er daher keine Aktionen sehen, die Sie ergriffen haben.

Was sind die Hauptprobleme bei der Konstruktion von Worldcoin?

Es gibt vier große Risiken, die einem sofort in den Sinn kommen:

• Privatsphäre. Das Register der Iris-Scans kann Informationen enthalten. Wenn jemand anderes Ihre Iris scannt, kann er sie zumindest mit der Datenbank abgleichen, um festzustellen, ob Sie eine World ID haben oder nicht. Möglicherweise können Iris-Scans mehr Informationen liefern.
• Zugänglichkeit. Welt-IDs werden nicht zuverlässig zugänglich sein, es sei denn, es gibt so viele Kugeln, dass jeder auf der Welt leicht an eine gelangen kann.
• Zentralisierung. Die Kugel ist ein Hardware-Gerät, und wir haben keine Möglichkeit zu überprüfen, ob sie korrekt konstruiert wurde und keine Hintertüren hat. Selbst wenn die Softwareschicht perfekt und vollständig dezentralisiert ist, hat die Worldcoin Foundation immer noch die Möglichkeit, eine Hintertür in das System einzubauen, die es ermöglicht, willkürlich viele gefälschte menschliche Identitäten zu erstellen.
• Sicherheit. Die Telefone der Nutzer könnten gehackt werden, die Nutzer könnten gezwungen werden, ihre Iris zu scannen, während sie einen öffentlichen Schlüssel vorzeigen, der jemand anderem gehört, und es besteht die Möglichkeit, "falsche Personen" in 3D zu drucken, die den Iris-Scan bestehen und World IDs erhalten können.

Es ist wichtig, zu unterscheiden zwischen (i) Problemen, die für die von Worldcoin getroffenen Entscheidungen spezifisch sind, (ii) Problemen, die jeder biometrische Nachweis der Persönlichkeit unweigerlich haben wird, und (iii) Problemen, die jeder Nachweis der Persönlichkeit im Allgemeinen haben wird. Wenn Sie sich zum Beispiel bei Proof of Humanity anmelden, müssen Sie Ihr Gesicht im Internet veröffentlichen. Die Teilnahme an einer BrightID-Verifizierungsparty tut das nicht ganz, zeigt aber dennoch vielen Leuten, wer Sie sind. Und wenn Sie Circles beitreten, wird Ihr Social Graph öffentlich sichtbar. Worldcoin ist deutlich besser darin, die Privatsphäre zu wahren, als diese beiden. Auf der anderen Seite ist Worldcoin auf spezialisierte Hardware angewiesen, was die Herausforderung eröffnet, den Orb-Herstellern zu vertrauen, dass sie die Orbs korrekt konstruiert haben - eine Herausforderung, die in Proof of Humanity, BrightID oder Circles keine Parallelen hat. Es ist sogar vorstellbar, dass in Zukunft jemand anderes als Worldcoin eine andere spezialisierte Hardware-Lösung entwickelt, die andere Kompromisse hat.

Wie gehen biometrische Proof-of-Personhood-Systeme mit Datenschutzproblemen um?

Das offensichtlichste und größte potenzielle Datenschutzleck, das jedes Proof-of-Person-System hat, ist die Verknüpfung jeder Aktion, die eine Person ausführt, mit einer realen Identität. Dieses Datenleck ist sehr groß, wohl inakzeptabel groß, aber glücklicherweise ist es mit einer Zero-Knowledge-Proof-Technologie leicht zu lösen. Anstatt direkt eine Signatur mit einem privaten Schlüssel zu erstellen, dessen entsprechender öffentlicher Schlüssel sich in der Datenbank befindet, könnte ein Benutzer einen ZK-SNARK erstellen, um zu beweisen, dass er den privaten Schlüssel besitzt, dessen entsprechender öffentlicher Schlüssel sich irgendwo in der Datenbank befindet, ohne preiszugeben, welchen spezifischen Schlüssel er hat. Dies kann generisch mit Tools wie Sismo (siehe hier für die Proof of Humanity-spezifische Implementierung) erfolgen, und Worldcoin hat eine eigene eingebaute Implementierung. Es ist wichtig, den "kryptonativen" Nachweis der Persönlichkeit hier zu erbringen: Sie kümmern sich tatsächlich darum, diesen grundlegenden Schritt zur Anonymisierung zu unternehmen, während dies im Grunde bei allen zentralisierten Identitätslösungen nicht der Fall ist.

Ein subtileres, aber dennoch wichtiges Datenschutzleck ist die bloße Existenz eines öffentlichen Registers biometrischer Scans. Im Fall von Proof of Humanity sind das eine Menge Daten: Man bekommt ein Video von jedem Proof of Humanity-Teilnehmer, was jedem auf der Welt, der daran interessiert ist, zu untersuchen, sehr klar macht, wer alle Proof of Humanity-Teilnehmer sind. Im Fall von Worldcoin ist das Leck viel begrenzter: Die Kugel berechnet und veröffentlicht lokal nur einen "Hash" des Iris-Scans jeder Person. Dieser Hash ist kein regulärer Hash wie SHA256; Vielmehr handelt es sich um einen spezialisierten Algorithmus, der auf maschinell erlernten Gabor-Filtern basiert, der sich mit der Ungenauigkeit befasst, die jedem biometrischen Scan innewohnt, und sicherstellt, dass aufeinanderfolgende Hashes, die von der Iris derselben Person genommen werden, ähnliche Ergebnisse haben.

Blau: Prozentsatz der Bits, die sich zwischen zwei Scans der Iris derselben Person unterscheiden. Orange: Prozentsatz der Bits, die sich zwischen zwei Scans der Iris zweier verschiedener Personen unterscheiden.

Diese Iris-Hashes geben nur eine kleine Menge an Daten preis. Wenn ein Angreifer Ihre Iris zwangsweise (oder heimlich) scannen kann, kann er Ihren Iris-Hash selbst berechnen und ihn mit der Datenbank der Iris-Hashes abgleichen, um festzustellen, ob Sie an dem System teilgenommen haben oder nicht. Diese Möglichkeit, zu überprüfen, ob sich jemand angemeldet hat oder nicht, ist für das System selbst notwendig, um zu verhindern, dass sich Leute mehrmals anmelden, aber es besteht immer die Möglichkeit, dass es irgendwie missbraucht wird. Darüber hinaus besteht die Möglichkeit, dass die Iris-Hashes eine gewisse Menge an medizinischen Daten (Geschlecht, ethnische Zugehörigkeit, möglicherweise Erkrankungen) preisgeben, aber dieses Leck ist weitaus kleiner als das, was von so ziemlich jedem anderen heute verwendeten Massendatenerfassungssystem erfasst werden könnte (z. sogar Straßenkameras). Im Großen und Ganzen scheint mir die Privatsphäre bei der Speicherung von Iris-Hashes ausreichend zu sein.

Wenn andere mit diesem Urteil nicht einverstanden sind und sich entscheiden, dass sie ein System mit noch mehr Privatsphäre entwerfen möchten, gibt es zwei Möglichkeiten, dies zu tun:

1. Wenn der Iris-Hashing-Algorithmus verbessert werden kann, um den Unterschied zwischen zwei Scans derselben Person viel geringer zu machen (z. zuverlässig unter 10 % Bit-Flips), dann kann das System anstelle von vollständigen Iris-Hashes eine kleinere Anzahl von Fehlerkorrekturbits für Iris-Hashes speichern (siehe: Fuzzy-Extraktoren). Wenn die Differenz zwischen zwei Scans weniger als 10 % beträgt, ist die Anzahl der Bits, die veröffentlicht werden müssen, mindestens 5x geringer.
2. Wenn wir noch weiter gehen wollen, könnten wir die Iris-Hash-Datenbank in einem Mehrparteien-Berechnungssystem (MPC) speichern, auf das nur Orbs (mit einer Ratenbegrenzung) zugreifen können, wodurch die Daten vollständig unzugänglich wären, aber auf Kosten einer erheblichen Protokollkomplexität und sozialer Komplexität bei der Steuerung der Gruppe der MPC-Teilnehmer. Dies hätte den Vorteil, dass die Nutzer nicht in der Lage wären, eine Verbindung zwischen zwei verschiedenen World IDs nachzuweisen, die sie zu unterschiedlichen Zeiten hatten, selbst wenn sie es wollten.

Leider sind diese Techniken nicht auf Proof of Humanity anwendbar, da Proof of Humanity erfordert, dass das vollständige Video jedes Teilnehmers öffentlich zugänglich ist, damit es angefochten werden kann, wenn es Anzeichen dafür gibt, dass es sich um eine Fälschung handelt (einschließlich KI-generierter Fälschungen), und in solchen Fällen genauer untersucht werden kann.

Im Großen und Ganzen scheint es trotz der "dystopischen Stimmung", in eine Kugel zu starren und sie tief in die Augäpfel scannen zu lassen, so zu sein, als ob spezialisierte Hardwaresysteme einen recht guten Job beim Schutz der Privatsphäre leisten können. Die Kehrseite davon ist jedoch, dass spezialisierte Hardwaresysteme viel größere Zentralisierungsprobleme mit sich bringen. Daher scheinen wir Cypherpunks in einer Zwickmühle zu stecken: Wir müssen einen tief verwurzelten Cypherpunk-Wert gegen einen anderen abwägen.

Welche Probleme gibt es bei der Zugänglichkeit von biometrischen Proof-of-Personhood-Systemen?

Spezialisierte Hardware führt zu Problemen mit der Barrierefreiheit, da spezialisierte Hardware nicht sehr zugänglich ist. Zwischen 51 % und 64 % der Menschen südlich der Sahara besitzen heute Smartphones, und es wird prognostiziert, dass dieser Anteil bis 2030 auf 87 % ansteigen wird. Aber obwohl es Milliarden von Smartphones gibt, gibt es nur ein paar hundert Orbs. Selbst mit einer viel größeren verteilten Fertigung wäre es schwierig, eine Welt zu erreichen, in der es eine Kugel im Umkreis von fünf Kilometern um alle gibt.

Aber man muss dem Team zugute halten, dass sie es versucht haben!

Es ist auch erwähnenswert, dass viele andere Formen des Personennachweises noch schlimmere Probleme mit der Zugänglichkeit haben. Es ist sehr schwierig, einem Social-Graph-basierten Proof-of-Personhood-System beizutreten, es sei denn, Sie kennen bereits jemanden, der sich im Social Graph befindet. Dies macht es sehr einfach, dass solche Systeme auf eine einzige Gemeinschaft in einem einzigen Land beschränkt bleiben.

Sogar zentralisierte Identitätssysteme haben diese Lektion gelernt: Indiens Aadhaar-ID-System ist biometrisch, da dies die einzige Möglichkeit war, die riesige Bevölkerung schnell an Bord zu holen und gleichzeitig massiven Betrug durch doppelte und gefälschte Konten zu vermeiden (was zu enormen Kosteneinsparungen führte), obwohl das Aadhaar-System als Ganzes natürlich viel schwächer in Bezug auf die Privatsphäre ist als alles, was in großem Maßstab innerhalb der Krypto-Community vorgeschlagen wird.

Die leistungsstärksten Systeme aus Sicht der Barrierefreiheit sind tatsächlich Systeme wie Proof of Humanity, bei denen Sie sich nur mit einem Smartphone anmelden können - obwohl, wie wir gesehen haben und wie wir sehen werden, solche Systeme mit allen möglichen anderen Kompromissen verbunden sind.

Was sind die Zentralisierungsprobleme in biometrischen Proof-of-Personhood-Systemen?

Es gibt drei:

1. Zentralisierungsrisiken in der obersten Governance-Ebene des Systems (insb. das System, das endgültige Entscheidungen auf oberster Ebene trifft, wenn sich verschiedene Akteure im System über subjektive Urteile nicht einig sind).
2. Zentralisierungsrisiken, die für Systeme gelten, die spezielle Hardware verwenden.
3. Zentralisierungsrisiken, wenn proprietäre Algorithmen verwendet werden, um zu bestimmen, wer ein authentischer Teilnehmer ist.

Jedes Proof-of-Personhood-System muss sich mit (1) auseinandersetzen, vielleicht mit Ausnahme von Systemen, bei denen die Menge der "akzeptierten" IDs völlig subjektiv ist. Wenn ein System Anreize verwendet, die auf externe Vermögenswerte lauten (z. ETH, USDC, DAI), dann kann sie nicht vollständig subjektiv sein, und so werden Governance-Risiken unvermeidlich.

[2] ist ein viel größeres Risiko für Worldcoin als für Proof of Humanity (oder BrightID), da Worldcoin auf spezialisierte Hardware angewiesen ist und andere Systeme dies nicht tun.

[3] ist ein Risiko, insbesondere in "<a href="https://medium.com/@VitalikButerin/the-meaning-of-decentralization-a0c92b76a274">logisch zentralisierten" Systemen, in denen es ein einziges System gibt, das die Verifizierung durchführt, es sei denn, alle Algorithmen sind Open Source und wir haben die Gewissheit, dass sie tatsächlich den Code ausführen, den sie vorgeben zu sein. Für Systeme, die ausschließlich darauf angewiesen sind, dass Benutzer andere Benutzer verifizieren (wie Proof of Humanity), stellt dies kein Risiko dar.

Wie geht Worldcoin mit Problemen der Hardware-Zentralisierung um?

Derzeit ist eine mit Worldcoin verbundene Organisation namens Tools for Humanity die einzige Organisation, die Orbs herstellt. Der Quellcode des Orb ist jedoch größtenteils öffentlich: Sie können die Hardware-Spezifikationen in diesem Github-Repository sehen, und andere Teile des Quellcodes werden voraussichtlich bald veröffentlicht. Die Lizenz ist eine weitere dieser "Shared Source, aber technisch nicht Open Source bis in vier Jahren"-Lizenzen, ähnlich der Uniswap BSL, mit dem Unterschied, dass sie nicht nur das Forking verhindert, sondern auch das verhindert, was sie als unethisches Verhalten betrachten - sie listen ausdrücklich Massenüberwachung und drei internationale Bürgerrechtserklärungen auf.

Das erklärte Ziel des Teams ist es, anderen Organisationen zu erlauben und sie zu ermutigen, Orbs zu erschaffen und im Laufe der Zeit von Orbs, die von Tools for Humanity erstellt werden, zu einer Art DAO überzugehen, die genehmigt und verwaltet, welche Organisationen Orbs herstellen können, die vom System erkannt werden.

Es gibt zwei Möglichkeiten, wie dieser Entwurf fehlschlagen kann:

1. Es gelingt ihr nicht, tatsächlich zu dezentralisieren. Dies könnte aufgrund der gemeinsamen Falle föderierter Protokolle passieren: Ein Hersteller dominiert in der Praxis, was zu einer Rezentralisierung des Systems führt. Vermutlich könnte die Governance begrenzen, wie viele gültige Orbs jeder Hersteller produzieren kann, aber das müsste sorgfältig gehandhabt werden, und es übt einen großen Druck auf die Governance aus, sowohl dezentralisiert zu sein als auch das Ökosystem zu überwachen und effektiv auf Bedrohungen zu reagieren: eine viel schwierigere Aufgabe als z.B. eine ziemlich statische DAO, die sich nur um Streitbeilegungsaufgaben auf höchster Ebene kümmert.
2. Es stellt sich heraus, dass es nicht möglich ist, einen solchen verteilten Fertigungsmechanismus sicher zu machen. Hier gibt es zwei Risiken, die ich sehe:
   • Zerbrechlichkeit gegen böse Orb-Hersteller: Wenn auch nur ein Orb-Hersteller bösartig oder gehackt ist, kann er eine unbegrenzte Anzahl von gefälschten Iris-Scan-Hashes generieren und ihnen Welt-IDs geben.
   • Staatliche Einschränkung von Orbs: Regierungen, die nicht wollen, dass ihre Bürger am Worldcoin-Ökosystem teilnehmen, können Orbs aus ihrem Land verbannen. Darüber hinaus könnten sie ihre Bürger sogar zwingen, ihre Iris scannen zu lassen, was es der Regierung ermöglichen würde, ihre Konten zu erhalten, und die Bürger hätten keine Möglichkeit, darauf zu reagieren.

Um das System robuster gegen schlechte Orb-Hersteller zu machen, schlägt das Worldcoin-Team vor, regelmäßige Audits an Orbs durchzuführen, um zu überprüfen, ob sie korrekt gebaut sind und wichtige Hardwarekomponenten gemäß den Spezifikationen gebaut und nicht nachträglich manipuliert wurden. Das ist eine schwierige Aufgabe: Es ist im Grunde so etwas wie die Bürokratie der IAEO-Atominspektionen , aber für Orbs. Die Hoffnung ist, dass selbst eine sehr unvollkommene Implementierung eines Auditing-Regimes die Anzahl der gefälschten Orbs stark reduzieren könnte.

Um den Schaden zu begrenzen, der durch eine schlechte Kugel verursacht wird, die durchschlüpft, ist es sinnvoll, eine zweite Minderung zu haben. Welt-IDs, die bei verschiedenen Orb-Herstellern registriert sind, und idealerweise bei verschiedenen Orbs, sollten voneinander unterscheidbar sein. Es ist in Ordnung, wenn diese Informationen privat sind und nur auf dem Gerät des World ID-Inhabers gespeichert werden. Aber es muss auf Verlangen beweisbar sein. Dies ermöglicht es dem Ökosystem, auf (unvermeidliche) Angriffe zu reagieren, indem einzelne Orb-Hersteller und vielleicht sogar einzelne Orbs bei Bedarf von der Whitelist entfernt werden. Wenn wir sehen, dass die nordkoreanische Regierung herumläuft und die Menschen zwingt, ihre Augäpfel zu scannen, könnten diese Orbs und alle von ihnen produzierten Konten sofort rückwirkend deaktiviert werden.

Sicherheitsaspekte beim Nachweis der Persönlichkeit im Allgemeinen

Zusätzlich zu den Worldcoin-spezifischen Problemen gibt es Bedenken, die sich auf Proof-of-Personhood-Designs im Allgemeinen auswirken. Die wichtigsten, die mir einfallen, sind:

1. 3D-gedruckte gefälschte Personen: Man könnte KI verwenden, um Fotos oder sogar 3D-Drucke von falschen Personen zu erstellen, die überzeugend genug sind, um von der Orb-Software akzeptiert zu werden. Wenn auch nur eine Gruppe dies tut, kann sie eine unbegrenzte Anzahl von Identitäten generieren.
2. Möglichkeit des Verkaufs von IDs: Jemand kann bei der Registrierung den öffentlichen Schlüssel einer anderen Person anstelle seines eigenen angeben und dieser Person gegen Geld die Kontrolle über ihre registrierte ID geben. Dies scheint bereits zu geschehen. Neben dem Verkauf gibt es auch die Möglichkeit, IDs zu mieten, um sie für kurze Zeit in einer Anwendung zu verwenden.
3. Telefon-Hacking: Wenn das Telefon einer Person gehackt wird, kann der Hacker den Schlüssel stehlen, der ihre World ID steuert.
4. Staatlicher Zwang zum Diebstahl von Ausweisen: Eine Regierung könnte ihre Bürger zwingen, sich verifizieren zu lassen, während sie einen QR-Code der Regierung vorzeigt. Auf diese Weise könnte sich eine böswillige Regierung Zugang zu Millionen von IDs verschaffen. In einem biometrischen System könnte dies sogar verdeckt geschehen: Regierungen könnten verschleierte Kugeln verwenden, um von jedem, der ihr Land betritt, an der Passkontrolle Weltausweise zu entlocken.

[1] ist spezifisch für biometrische Proof-of-Personhood-Systeme. [2] und [3] gelten sowohl für biometrische als auch für nicht-biometrische Designs. [4] ist ebenfalls beiden gemeinsam, obwohl die erforderlichen Techniken in beiden Fällen sehr unterschiedlich wären; In diesem Abschnitt werde ich mich auf die Probleme im Bereich der biometrischen Daten konzentrieren.

Das sind ziemlich gravierende Schwächen. Einige wurden bereits in bestehenden Protokollen behandelt, andere können mit zukünftigen Verbesserungen angegangen werden, und wieder andere scheinen grundlegende Einschränkungen zu sein.

Wie können wir mit Fake-Personen umgehen?

Dies ist für Worldcoin ein deutlich geringeres Risiko als für Proof-of-Humanity-ähnliche Systeme: Ein persönlicher Scan kann viele Merkmale einer Person untersuchen und ist im Vergleich zum bloßen Deep-Faking eines Videos ziemlich schwer zu fälschen. Spezialisierte Hardware ist von Natur aus schwieriger zu täuschen als handelsübliche Hardware, die wiederum schwieriger zu täuschen ist als digitale Algorithmen, die Bilder und Videos verifizieren, die aus der Ferne gesendet werden.

Könnte jemand etwas in 3D drucken, das selbst spezialisierte Hardware täuschen kann? Wahrscheinlich. Ich gehe davon aus, dass wir irgendwann wachsende Spannungen zwischen dem Ziel, den Mechanismus offen zu halten, und seiner Sicherheit sehen werden: Open-Source-KI-Algorithmen sind von Natur aus anfälliger für feindliches maschinelles Lernen. Black-Box-Algorithmen sind besser geschützt, aber es ist schwer zu erkennen, dass ein Black-Box-Algorithmus nicht darauf trainiert wurde, Hintertüren einzubauen. Vielleicht könnten uns die ZK-ML-Technologien das Beste aus beiden Welten bieten. Es ist jedoch wahrscheinlich, dass irgendwann in der Zukunft selbst die besten KI-Algorithmen von den besten 3D-gedruckten Fake-Menschen getäuscht werden.

Aus meinen Gesprächen mit den Teams von Worldcoin und Proof of Humanity geht jedoch hervor, dass es derzeit bei keinem der beiden Protokolle zu nennenswerten Deep-Fake-Angriffen kommt, und zwar aus dem einfachen Grund, dass es recht billig und einfach ist, echte Niedriglohnarbeiter einzustellen, die sich in Ihrem Namen anmelden.

Können wir den Verkauf von IDs verhindern?

Kurzfristig ist es schwierig, diese Art von Outsourcing zu verhindern, da die meisten Menschen auf der Welt nicht einmal die Protokolle zum Nachweis der Persönlichkeit kennen, und wenn Sie ihnen sagen, dass sie einen QR-Code hochhalten und ihre Augen für 30 US-Dollar scannen sollen, werden sie das tun. Sobald sich mehr Menschen darüber im Klaren sind, was Proof-of-Personhood-Protokolle sind, wird eine ziemlich einfache Abhilfemaßnahme möglich: Personen, die einen registrierten Ausweis haben, die Möglichkeit zu geben, sich erneut zu registrieren und den vorherigen Ausweis zu stornieren. Dies macht den "ID-Verkauf" viel weniger glaubwürdig, da jemand, der Ihnen seinen Ausweis verkauft, sich einfach neu registrieren und den gerade verkauften Ausweis stornieren kann. Um an diesen Punkt zu gelangen, muss das Protokoll jedoch sehr bekannt sein und Orbs muss sehr weit verbreitet sein, um die On-Demand-Registrierung praktikabel zu machen.

Dies ist einer der Gründe, warum die Integration einer BGE-Münze in ein Proof-of-Personhood-System wertvoll ist: Eine BGE-Münze bietet einen leicht verständlichen Anreiz für Menschen, (i) sich über das Protokoll zu informieren und sich anzumelden und (ii) sich sofort erneut zu registrieren, wenn sie sich im Namen einer anderen Person registrieren. Die erneute Registrierung verhindert auch das Hacken von Telefonen.

Können wir Zwang in biometrischen Proof-of-Personhood-Systemen verhindern?

Das hängt davon ab, um welche Art von Zwang es sich handelt. Mögliche Formen der Nötigung sind:

• Regierungen, die die Augen (oder Gesichter oder...) von Menschen bei Grenzkontrollen und anderen routinemäßigen staatlichen Kontrollpunkten scannen und dies nutzen, um ihre Bürger zu registrieren (und häufig neu zu registrieren)
• Regierungen, die Orbs innerhalb des Landes verbieten, um Menschen daran zu hindern, sich selbstständig neu zu registrieren
• Personen, die Ausweise kaufen und dann drohen, dem Verkäufer Schaden zuzufügen, wenn sie feststellen, dass der Ausweis aufgrund einer erneuten Registrierung ungültig geworden ist
• (Möglicherweise von der Regierung betriebene) Anwendungen, bei denen sich die Benutzer "anmelden" müssen, indem sie direkt mit ihrem öffentlichen Schlüssel unterschreiben, so dass sie den entsprechenden biometrischen Scan und damit die Verknüpfung zwischen der aktuellen ID des Benutzers und allen zukünftigen IDs, die sie durch die erneute Registrierung erhalten, sehen können. Eine weit verbreitete Befürchtung ist, dass es dadurch zu einfach wird, "permanente Aufzeichnungen" zu erstellen, die eine Person ihr ganzes Leben lang begleiten.

Ihr gesamtes BGE und Ihre Stimmrechte gehören uns. Bildquelle.

Vor allem in den Händen von unbedarften Benutzern scheint es ziemlich schwierig zu sein, diese Situationen vollständig zu verhindern. Benutzer könnten ihr Land verlassen, um sich bei einem Orb in einem sichereren Land (wieder) zu registrieren, aber das ist ein schwieriger Prozess und hohe Kosten. In einem wirklich feindlichen rechtlichen Umfeld scheint die Suche nach einer unabhängigen Kugel zu schwierig und riskant zu sein.

Was machbar ist, ist, diese Art von Missbrauch ärgerlicher zu implementieren und erkennbarer zu machen. Der Ansatz des Proof of Humanity, bei dem eine Person bei der Registrierung einen bestimmten Satz sprechen muss, ist ein gutes Beispiel: Es kann ausreichen, um verstecktes Scannen zu verhindern, was erfordert, dass der Zwang viel offensichtlicher ist, und der Registrierungssatz könnte sogar eine Erklärung enthalten, die bestätigt, dass der Befragte weiß, dass er das Recht hat, sich unabhängig neu zu registrieren und möglicherweise BGE-Münzen oder andere Belohnungen zu erhalten. Wenn Zwang festgestellt wird, können den Geräten, die massenhaft Zwangsregistrierungen durchführen, die Zugriffsrechte entzogen werden. Um zu verhindern, dass Anwendungen die aktuellen und früheren IDs von Personen verknüpfen und versuchen, "permanente Aufzeichnungen" zu hinterlassen, könnte die Standard-App zum Nachweis der Identität den Schlüssel des Benutzers in vertrauenswürdiger Hardware sperren und verhindern, dass eine Anwendung den Schlüssel direkt verwendet, ohne dass die anonymisierende ZK-SNARK-Schicht dazwischen liegt. Wenn eine Regierung oder ein Anwendungsentwickler dies umgehen möchte, müsste sie die Verwendung ihrer eigenen benutzerdefinierten App vorschreiben.

Mit einer Kombination aus diesen Techniken und aktiver Wachsamkeit scheint es möglich zu sein, jene Regime auszusperren, die wirklich feindlich sind, und die Regime ehrlich zu halten, die nur mittelschlecht sind (wie es in weiten Teilen der Welt der Fall ist). Dies kann entweder dadurch geschehen, dass ein Projekt wie Worldcoin oder Proof of Humanity eine eigene Bürokratie für diese Aufgabe unterhält, oder indem mehr Informationen darüber preisgegeben werden, wie eine ID registriert wurde (z. B. in Worldcoin, von welchem Orb sie stammt) und diese Klassifizierungsaufgabe der Community überlässt.

Können wir verhindern, dass Ausweise gemietet werden (z.B. um Stimmen zu verkaufen)?

Die Vermietung Ihres Ausweises wird durch eine erneute Registrierung nicht verhindert. Dies ist in einigen Anwendungen in Ordnung: Die Kosten für die Vermietung Ihres Rechts, den Tagesanteil der BGE-Münze zu sammeln, entsprechen nur dem Wert des Tagesanteils der BGE-Münze. Aber in Anwendungen wie Abstimmungen ist der einfache Stimmenverkauf ein großes Problem.

Systeme wie MACI können Sie daran hindern, Ihre Stimme glaubwürdig zu verkaufen, indem sie es Ihnen ermöglichen, später eine weitere Stimme abzugeben, die Ihre vorherige Stimme ungültig macht, so dass niemand sagen kann, ob Sie tatsächlich eine solche Stimme abgegeben haben oder nicht. Wenn der Bestecher jedoch bei der Registrierung kontrolliert, welchen Schlüssel Sie erhalten, hilft das nicht.

Ich sehe hier zwei Lösungen:

1. Führen Sie ganze Anwendungen in einem MPC aus. Dies würde auch den Prozess der erneuten Registrierung abdecken: Wenn sich eine Person beim MPC registriert, weist das MPC ihr eine ID zu, die von ihrem Identitätsnachweis getrennt ist und nicht mit diesem verknüpft werden kann, und wenn sich eine Person erneut registriert, weiß nur das MPC, welches Konto deaktiviert werden muss. Dadurch wird verhindert, dass Benutzer Beweise für ihre Handlungen erbringen können, da jeder wichtige Schritt innerhalb eines MPC mit privaten Informationen durchgeführt wird, die nur dem MPC bekannt sind.
2. Dezentrale Registrierungszeremonien. Implementieren Sie im Grunde so etwas wie dieses persönliche Schlüsselregistrierungsprotokoll , bei dem vier zufällig ausgewählte lokale Teilnehmer zusammenarbeiten müssen, um jemanden zu registrieren. Dadurch könnte sichergestellt werden, dass es sich bei der Registrierung um ein "vertrauenswürdiges" Verfahren handelt, bei dem ein Angreifer nicht ausspionieren kann.

Social-Graph-basierte Systeme könnten hier sogar besser abschneiden, weil sie als Nebenprodukt ihrer Arbeitsweise automatisch lokale dezentrale Registrierungsprozesse erstellen können.

Wie schneidet die Biometrie im Vergleich zu dem anderen führenden Kandidaten für den Nachweis der Persönlichkeit ab, der auf Social Graphen basierenden Verifizierung?

Abgesehen von biometrischen Ansätzen war der Hauptanwärter auf den Nachweis der Persönlichkeit bisher die auf sozialen Graphen basierende Verifizierung. Social-Graph-basierte Verifizierungssysteme funktionieren alle nach dem gleichen Prinzip: Wenn es eine ganze Reihe von existierenden verifizierten Identitäten gibt, die alle die Gültigkeit Ihrer Identität bestätigen, dann sind Sie wahrscheinlich gültig und sollten auch den verifizierten Status erhalten.

Wenn nur wenige echte Benutzer (versehentlich oder böswillig) gefälschte Benutzer verifizieren, können Sie grundlegende Techniken der Graphentheorie verwenden, um eine Obergrenze für die Anzahl der gefälschten Benutzer festzulegen, die vom System verifiziert werden. Quelle: https://www.sciencedirect.com/science/article/abs/pii/S0045790622000611.

Befürworter der Social-Graph-basierten Verifizierung beschreiben sie aus mehreren Gründen oft als eine bessere Alternative zur Biometrie:

• Es ist nicht auf spezielle Hardware angewiesen, was die Bereitstellung erheblich vereinfacht
• Es vermeidet ein permanentes Wettrüsten zwischen Herstellern, die versuchen, falsche Menschen zu erschaffen, und der Kugel, die aktualisiert werden muss, um solche falschen Menschen abzulehnen
• Es erfordert keine Erfassung biometrischer Daten, was es datenschutzfreundlicher macht
• Es ist potenziell freundlicher für Pseudonymität, denn wenn sich jemand dafür entscheidet, sein Internetleben auf mehrere Identitäten aufzuteilen, die er voneinander getrennt hält, könnten diese beiden Identitäten möglicherweise verifiziert werden (aber die Beibehaltung mehrerer echter und separater Identitäten opfert Netzwerkeffekte und ist mit hohen Kosten verbunden, so dass Angreifer dies nicht leicht tun könnten)
• Biometrische Ansätze geben eine binäre Bewertung von "ist ein Mensch" oder "ist kein Mensch", was fragil ist: Menschen, die versehentlich abgelehnt werden, hätten am Ende überhaupt kein BGE und möglicherweise keine Möglichkeit, am Online-Leben teilzunehmen. Social-Graph-basierte Ansätze können zu einer nuancierteren numerischen Bewertung führen, die natürlich für einige Teilnehmer moderat unfair sein kann, aber wahrscheinlich nicht dazu führt, dass jemand vollständig "entpersönlicht" wird.

Meine Sicht auf diese Argumente ist, dass ich ihnen weitgehend zustimme! Dies sind echte Vorteile von Social-Graph-basierten Ansätzen und sollten ernst genommen werden. Es lohnt sich jedoch, auch die Schwächen von Social-Graph-basierten Ansätzen zu berücksichtigen:

• Bootstrapping: Damit ein Benutzer einem Social-Graph-basierten System beitreten kann, muss dieser Benutzer jemanden kennen, der sich bereits im Graphen befindet. Dies erschwert eine großflächige Einführung und birgt die Gefahr, dass ganze Regionen der Welt ausgeschlossen werden, die beim anfänglichen Bootstrapping-Prozess kein Glück haben.
• Datenschutz: Während Social-Graph-basierte Ansätze das Sammeln biometrischer Daten vermeiden, verlieren sie oft Informationen über die sozialen Beziehungen einer Person, was zu noch größeren Risiken führen kann. Natürlich kann die Zero-Knowledge-Technologie dies abmildern (z. siehe diesen Vorschlag von Barry Whitehat), aber die Interdependenz, die einem Graphen innewohnt, und die Notwendigkeit, mathematische Analysen des Graphen durchzuführen, machen es schwieriger, das gleiche Maß an Datenverschleierung zu erreichen, wie es mit Biometrie möglich ist.
• Ungleichheit: Jede Person kann nur eine biometrische ID haben, aber eine wohlhabende und sozial gut vernetzte Person könnte ihre Verbindungen nutzen, um viele IDs zu generieren. Im Wesentlichen ist die gleiche Flexibilität, die es einem Social-Graph-basierten System ermöglichen könnte, jemandem mehrere Pseudonyme zu geben (z. ein Aktivist), der diese Funktion wirklich braucht, würde wahrscheinlich auch bedeuten, dass mächtigere und gut vernetzte Menschen mehr Pseudonyme erhalten können als weniger mächtige und gut vernetzte Menschen.
• Gefahr des Zusammenbruchs in die Zentralisierung: Die meisten Menschen sind zu faul, Zeit damit zu verbringen, in einer Internet-App zu melden, wer eine reale Person ist und wer nicht. Infolgedessen besteht die Gefahr, dass das System im Laufe der Zeit "einfache" Wege zur Einführung bevorzugt, die von zentralisierten Behörden abhängen, und der "soziale Graph", dass die Systembenutzer de facto zum sozialen Graphen dessen werden, welche Länder welche Personen als Bürger anerkennen - was uns ein zentralisiertes KYC mit unnötigen zusätzlichen Schritten ermöglicht.

Ist der Nachweis der Persönlichkeit mit der Pseudonymität in der realen Welt vereinbar?

Prinzipiell ist der Nachweis der Persönlichkeit mit allen Arten von Pseudonymität vereinbar. Anwendungen könnten so gestaltet werden, dass jemand mit einem einzigen Identitätsnachweis bis zu fünf Profile innerhalb der Anwendung erstellen kann, was Raum für pseudonyme Konten lässt. Man könnte sogar quadratische Formeln verwenden: N ergibt Kosten von $N². Aber werden sie das tun?

Ein Pessimist könnte jedoch argumentieren, dass es naiv ist, zu versuchen, eine datenschutzfreundlichere Form des Ausweises zu schaffen, und zu hoffen, dass sie tatsächlich auf die richtige Weise angenommen wird, denn die Machthaber sind nicht datenschutzfreundlich, und wenn ein mächtiger Akteur ein Werkzeug erhält, mit dem er viel mehr Informationen über eine Person erhalten könnte, Sie werden es auf diese Weise verwenden. In einer solchen Welt, so das Argument, besteht der einzige realistische Ansatz leider darin, Sand ins Getriebe jeder Identitätslösung zu streuen und eine Welt mit vollständiger Anonymität und digitalen Inseln vertrauenswürdiger Gemeinschaften zu verteidigen.

Ich verstehe die Argumentation hinter dieser Denkweise, aber ich mache mir Sorgen, dass ein solcher Ansatz, selbst wenn er erfolgreich wäre, zu einer Welt führen würde, in der es für niemanden eine Möglichkeit gibt, etwas gegen die Vermögenskonzentration und die Zentralisierung der Regierungsführung zu tun, weil eine Person immer so tun könnte, als wären sie zehntausend. Solche Zentralisierungspunkte wären wiederum für die Machthaber leicht zu erobern. Vielmehr würde ich einen moderaten Ansatz bevorzugen, bei dem wir uns energisch dafür einsetzen, dass Proof-of-Personhood-Lösungen einen starken Datenschutz haben, möglicherweise sogar einen "N Accounts for $N²"-Mechanismus auf Protokollebene enthalten und etwas schaffen, das datenschutzfreundliche Werte hat und eine Chance hat, von der Außenwelt akzeptiert zu werden.

Also... was denke ich?

Es gibt keine ideale Form des Nachweises der Person. Stattdessen haben wir mindestens drei verschiedene Paradigmen von Ansätzen, die alle ihre eigenen Stärken und Schwächen haben. Ein Vergleichsdiagramm könnte wie folgt aussehen:

Im Idealfall sollten wir diese drei Techniken als komplementär behandeln und sie alle kombinieren. Wie das indische Unternehmen Aadhaar in großem Maßstab gezeigt hat, hat die Biometrie mit spezialisierter Hardware den Vorteil, dass sie in großem Maßstab sicher ist. Sie sind sehr schwach in der Dezentralisierung, obwohl dies behoben werden kann, indem man einzelne Orbs zur Rechenschaft zieht. Universelle Biometrie kann heute sehr einfach übernommen werden, aber ihre Sicherheit schwindet rapide, und sie funktioniert möglicherweise nur noch 1-2 Jahre. Social-Graph-basierte Systeme, die von ein paar hundert Menschen gebootet werden, die dem Gründerteam sozial nahe stehen, werden wahrscheinlich mit ständigen Kompromissen konfrontiert sein, zwischen dem völligen Verpassen großer Teile der Welt und der Anfälligkeit für Angriffe innerhalb von Gemeinschaften, in die sie keinen Einblick haben. Ein auf sozialen Graphen basierendes System, das Dutzende Millionen von biometrischen ID-Inhabern abspart, könnte jedoch tatsächlich funktionieren. Biometrisches Bootstrapping kann kurzfristig besser funktionieren, und Social-Graph-basierte Techniken können langfristig robuster sein und im Laufe der Zeit einen größeren Teil der Verantwortung übernehmen, wenn sich ihre Algorithmen verbessern.

Ein möglicher hybrider Pfad.

Alle diese Teams sind in der Lage, viele Fehler zu machen, und es gibt unvermeidliche Spannungen zwischen Geschäftsinteressen und den Bedürfnissen der breiteren Gemeinschaft, daher ist es wichtig, viel Wachsamkeit walten zu lassen. Als Gemeinschaft können und sollten wir die Komfortzonen aller Teilnehmer in Bezug auf die Open-Source-Bereitstellung ihrer Technologie erweitern, Audits von Drittanbietern und sogar von Drittanbietern geschriebene Software sowie andere Checks and Balances verlangen. Wir brauchen auch mehr Alternativen in jeder der drei Kategorien.

Gleichzeitig ist es wichtig, die bereits geleistete Arbeit anzuerkennen: Viele der Teams, die diese Systeme betreiben, haben die Bereitschaft gezeigt, den Datenschutz viel ernster zu nehmen als so ziemlich alle von Regierungen oder großen Unternehmen betriebenen Identitätssysteme, und das ist ein Erfolg, auf dem wir aufbauen sollten.

Das Problem, ein effektives und zuverlässiges Proof-of-Personhood-System zu entwickeln, insbesondere in den Händen von Menschen, die weit von der bestehenden Krypto-Community entfernt sind, scheint eine ziemliche Herausforderung zu sein. Ich beneide die Leute, die sich an die Aufgabe wagen, definitiv nicht, und es wird wahrscheinlich Jahre dauern, eine Formel zu finden, die funktioniert. Das Konzept des Proof-of-Personhood scheint im Prinzip sehr wertvoll zu sein, und während die verschiedenen Implementierungen ihre Risiken haben, birgt das Fehlen eines Proof-of-Personhood auch seine Risiken: Eine Welt ohne Proof-of-Personhood scheint eher eine Welt zu sein, die von zentralisierten Identitätslösungen, Geld, kleinen geschlossenen Gemeinschaften oder einer Kombination aus allen dreien dominiert wird. Ich freue mich darauf, weitere Fortschritte bei allen Arten von Personennachweisen zu sehen und hoffentlich zu sehen, wie die verschiedenen Ansätze schließlich zu einem kohärenten Ganzen zusammenkommen.

Verzichtserklärung:

1. Dieser Artikel ist ein Nachdruck von [vitalik], Alle Urheberrechte liegen beim ursprünglichen Autor [vitalik]. Wenn es Einwände gegen diesen Nachdruck gibt, wenden Sie sich bitte an das Gate Learn-Team , das sich umgehend darum kümmern wird.
2. Haftungsausschluss: Die in diesem Artikel geäußerten Ansichten und Meinungen sind ausschließlich die des Autors und stellen keine Anlageberatung dar.
3. Übersetzungen des Artikels in andere Sprachen werden vom Gate Learn-Team durchgeführt. Sofern nicht anders angegeben, ist das Kopieren, Verbreiten oder Plagiieren der übersetzten Artikel verboten.