作者：Vitalik. 编译：Cointime.com QDD

在以太坊社区中，有一个复杂但潜在价值巨大的问题，那就是去中心化的“人的身份证明”解决方案。所谓“人的身份证明”，也称为“unique-human problem”，是一种限定的真实世界身份验证，即确认某个注册账户由一个真实人类控制（并且与所有其他注册账户的控制者不同），理想情况下，不会泄露出具体的真实身份信息。

对于解决这个问题，已经有一些努力：Proof of Humanity、BrightID、Idena和Circles等都是一些例子。其中一些解决方案带有自己的应用（通常是基于UBI代币的），并且一些已经在Gitcoin Passport中得到了应用，用于验证哪些账户适用于二次方投票。像Sismo这样的零知识技术为其中许多解决方案增加了隐私保护。最近，我们看到了一个更大、更具雄心的“人的身份证明”项目的兴起：Worldcoin。

Worldcoin是由Sam Altman共同创立的，他最为人知的身份是OpenAI的CEO。该项目背后的理念很简单：人工智能将为人类创造大量丰富和财富，但它也可能会导致许多人失去工作，而且几乎不可能判断谁是真正的人而不是机器人，因此我们需要通过（i）创建一个非常好的“人的身份证明”系统，让人们能够证明自己是真正的人，以及（ii）为每个人提供基本收入（UBI）来填补这个漏洞。Worldcoin的独特之处在于它依赖于高度复杂的生物特征技术，使用专门的硬件设备“the Orb”扫描每个用户的虹膜：

其目标是生产大量这样的“Orb”，并广泛分布在世界各地，放置在公共场所，使任何人都能轻松获得身份证明。值得肯定的是，Worldcoin还承诺随着时间的推移逐步实现去中心化。首先，这意味着技术上的去中心化：作为Ethereum上Optimism技术栈上的L2，并通过ZK-SNARKs和其他密码学技术保护用户的隐私。随后，将包括对系统本身治理的去中心化。

Worldcoin因Orb的隐私和安全问题、其“代币”设计问题以及一些道德问题而受到批评。其中一些批评非常的具体，关注的是该项目可以轻易选择其他方式的决策 - 实际上，Worldcoin项目本身可能会愿意做出改变。然而，其他人提出了更根本的问题，即生物特征技术是否是一个好主意 - 不仅仅是Worldcoin所使用的眼睛扫描生物特征，还包括Proof of Humanity和Idena中使用的简单面部视频上传和验证游戏。还有一些人对“人的身份证明”本身提出了批评。风险包括不可避免的隐私泄露，进一步削弱人们在互联网上匿名的能力，受到威权政府的强制控制，以及在实现去中心化的同时可能难以保持安全。

本文将讨论这些问题，并提出一些论点，帮助您决定是否认同并扫描您的眼睛（或脸部、声音等...）向我们的新球形领主低头是一个好主意，以及自然的替代方案 - 或者是使用基于社交网络的“人的身份证明”，或者是放弃“人的身份证明” - 是否更为合理。

什么是“人的身份证明”，以及它为何重要？

“人的身份证明”系统的最简单定义是：它创建一个公钥列表，系统保证每个密钥都由唯一的人类控制。换句话说，如果你是一个人类，你可以将一个密钥放在列表中，但你不能将两个密钥放在列表中，如果你是一个机器人，你就不能将任何密钥放在列表中。

“人的身份证明”之所以有价值，是因为它解决了许多反垃圾邮件和反权力集中问题，避免依赖于中心化的权威机构，并尽可能少地透露信息。如果“人的身份证明”问题没有解决，去中心化治理（包括社交媒体帖子的投票等“微治理”）将更容易被富裕的利益相关者，包括敌对政府所操控。许多服务可能只能通过设置访问价格来防止拒绝服务攻击，但有时候为了阻止攻击者，价格也会对许多低收入合法用户过高。

当今世界上许多重要应用都通过使用政府支持的身份认证系统，如信用卡和护照来处理此问题。这解决了问题，但却在隐私方面做出了很大，甚至可能是不可接受的牺牲，并且可能很容易受到政府的攻击。

许多“人的身份证明”项目（不仅仅是Worldcoin，还包括Proof of Humanity、Circles等）的“旗舰应用”是内置的“每人N个令牌”（有时称为“UBI令牌”）。系统中的每个注册用户每天（或每小时、每周）获得一定数量的令牌。此外还有其他许多应用：

l   用于令牌分发的空投

l   对较不富裕用户提供条件更优惠的令牌或NFT销售

l   在DAO中进行投票

l   用于“播种”基于社交网络的信誉系统

l   平方投票法（以及资金、注意力支付）

l   在社交媒体中防止机器人或者女巫攻击（sybil attacks）

l   防止DoS攻击的替代方案（而不是验证码）

在这些情况下，共同的目标是创建开放和民主的机制，避免项目运营者的集中控制以及最富有用户的主导地位。后者在去中心化治理中尤为重要。在许多情况下，现有解决方案依赖于（i）高度不透明的人工智能算法，这些算法留下了很多空间来不可察觉地歧视运营者不喜欢的用户，以及（ii）中心化身份认证，即“KYC”。一个有效的“人的身份证明”解决方案将是一个更好的选择，它能够在不陷入现有集中化方法的陷阱的情况下实现这些应用所需的安全特性。

早期“人的身份证明”的案例有哪些？

“人的身份证明”有两种主要形式：基于社交网络的和生物特征的。基于社交网络的“人的身份证明”依赖于某种形式的担保：如果Alice、Bob、Charlie和David都经过验证是真实的人类，并且他们都说Emily是一个经过验证的人类，那么Emily也很可能是一个经过验证的人类。担保通常会通过激励措施加强：如果Alice声称Emily是一个人类，但事实上她不是，那么Alice和Emily可能都会受到处罚。生物特征的“人的身份证明”涉及验证Emily的某些生理或行为特征，以区分人类和机器人（以及个体人类之间的差异）。大多数项目使用两种技术的组合。

文章中提到的四个系统大致工作如下：

l   Proof of Humanity：您上传一段关于自己的视频，并提供一笔押金。要得到批准，现有用户需要为您提供担保，并且需要经过一段时间，期间您可以受到挑战。如果有挑战，Kleros去中心化法院将决定您的视频是否真实；如果不真实，您将失去押金，挑战者将获得奖励。

l   BrightID：您参加一个与其他用户的视频通话“验证派对”，每个人都互相确认。可以通过Bitu获得更高级别的验证，Bitu是一种系统，如果足够多的其他Bitu验证用户为您提供担保，您就可以得到验证。

l   Idena：您在特定时间进行验证码游戏（防止人们多次参与）；验证码游戏的一部分涉及创建和验证后续将用于验证其他人的验证码。

l   Circles：现有的Circles用户为您提供担保。Circles的独特之处在于它不尝试创建“全局可验证的身份”；相反，它创建了一个信任关系图，某人的信任程度只能从您在该图中的位置的角度进行验证。

Worldcoin是如何运作的？

每个Worldcoin用户在手机上安装一个应用程序，该应用程序生成私钥和公钥，类似于以太坊钱包。然后，他们亲自前往参观一个“Orb”。用户凝视Orb的摄像头，同时向Orb展示他们的Worldcoin应用生成的包含公钥的QR码。Orb扫描用户的眼睛，并使用复杂的硬件扫描和机器学习分类器验证：

l   用户是一个真正的人类

l   用户的虹膜与以前使用该系统的任何其他用户的虹膜不匹配

如果两个扫描都通过，Orb将签署一条消息，批准用户虹膜扫描的特殊哈希。哈希被上传到数据库——目前是一个集中式服务器，打算在他们确保哈希机制有效后替换为去中心化的链上系统。系统不存储完整的虹膜扫描；它只存储哈希，这些哈希用于检查唯一性。从此时起，用户拥有了一个“World ID”。

World ID持有者可以通过生成ZK-SNARK来证明他们是一个唯一的人类，证明他们拥有数据库中对应的公钥的私钥，同时不透露他们拥有哪个特定的密钥。因此，即使有人重新扫描了你的虹膜，他们也无法看到你采取的任何行动。

Worldcoin的构建存在哪些主要问题？

有四个主要风险立即显现：

l   隐私。虹膜扫描登记可能泄露信息。至少，如果有人扫描了你的虹膜，他们可以将其与数据库进行比对，以确定你是否有World ID。潜在地，虹膜扫描可能泄露更多信息。

l   可访问性。除非有很多Orb，否则World ID将不会可靠地获得。

l   中心化。Orb是硬件设备，我们无法验证其是否构建正确且没有后门。因此，即使软件层完美且完全去中心化，Worldcoin基金会仍然有能力向系统中插入后门，从而可以创建任意多个虚假的人类身份。

l   安全性。用户的手机可能会被黑客攻击，用户可能会被迫在扫描他人虹膜的同时显示属于其他人的公钥，还可能出现3D打印“假人”，可以通过虹膜扫描并获得World ID。

有必要区分（i）Worldcoin所做的选择具体问题，（ii）任何生物特征“人的身份证明”系统不可避免的问题，以及（iii）任何“人的身份证明”系统普遍存在的问题。例如，注册到Proof of Humanity意味着将你的脸公开在互联网上。加入BrightID验证派对并没有完全暴露您的身份，但仍向很多人公开了您的身份。加入Circles公开暴露您的社交图。在保护隐私方面，Worldcoin明显优于前两者。另一方面，Worldcoin依赖于专门的硬件，这带来更大的中心化问题。因此，我们（密码朋党）似乎陷入了困境：我们必须在一个深植密码朋党价值观的问题与另一个问题之间权衡。

如何生物识别的身份证明方案解决隐私问题？

任何身份证明系统最明显、也是最大的潜在隐私泄露问题是将每个人的行为与现实身份关联起来。这个数据泄露很大，甚至可以说是难以接受的大，但幸运的是，可以通过零知识证明技术轻松解决。用户不需要直接使用与数据库中的公钥相对应的私钥进行签名，而是可以使用ZK-SNARK进行证明，证明他们拥有与数据库中的公钥相对应的私钥，而不会透露他们拥有哪个特定的密钥。这可以通过像Sismo这样的工具通用地实现（请参阅这里的Proof of Humanity特定实现），而Worldcoin也有其内置实现。这里需要给“密码本地化”身份证明以赞誉：他们实际上关心这一基本步骤来提供匿名性，而几乎所有集中式身份解决方案都不会这样做。

一个更微妙但同样重要的隐私泄露是公共生物识别扫描登记册的存在。在Proof of Humanity中，这是大量数据：每个Proof of Humanity参与者都有一个视频，让世界上任何关心此事的人都可以很清楚地知道所有Proof of Humanity参与者是谁。而对于Worldcoin来说，泄露要少得多：Orb仅在本地计算并发布每个人虹膜扫描的“哈希（hash）”。这个哈希不是像SHA256这样的常规哈希算法，而是基于机器学习的Gabor滤波器的专用算法，用于处理任何生物识别扫描中固有的不精确性，并确保同一人的连续哈希具有类似的输出。

这些虹膜哈希只泄露少量数据。如果攻击者可以强制（或秘密地）扫描你的虹膜，那么他们可以自行计算你的虹膜哈希，并将其与虹膜哈希数据库进行比对，以查看你是否参与了系统。系统本身需要这种检查，以防止人们多次注册，但始终存在滥用的可能性。此外，虹膜哈希可能会泄露一些医疗数据（如性别、种族、可能的医疗条件），但这种泄露远远小于目前使用的几乎所有其他大规模数据收集系统（例如，即使是街头摄像头）。总体而言，对我来说，存储虹膜哈希的隐私似乎是足够的。

如果其他人对此判断持不同意见，并决定设计一个更加隐私的系统，有两种方法可以实现：

1. 如果虹膜哈希算法可以改进，使得两次扫描之间的差异更小（例如，在可靠地达到10％以下的位翻转情况下），那么系统可以存储虹膜哈希的更少数量的纠错位（参见：fuzzy extractors）。如果两次扫描之间的差异在10％以下，则需要发布的位数至少减少5倍。

2. 如果我们希望进一步，我们可以将虹膜哈希数据库存储在多方计算（MPC）系统中，只能由Orbs（带有速率限制）访问，使数据完全无法访问，但代价是显着的协议复杂性和治理MPC参与者集合的社会复杂性。这将带来一个好处，即用户将无法证明他们在不同时间拥有的两个不同的World ID之间的联系，即使他们想要这样做。

不幸的是，这些技术对Proof of Humanity并不适用，因为Proof of Humanity要求完整的视频对每个参与者都是公开的，以便在出现AI生成的伪造视频等迹象时可以对其进行挑战，并在这些情况下进行更详细的调查。

总体而言，尽管“凝视Orb并让它深入扫描你的眼球”给人一种“反乌托邦的感觉”，但似乎专用硬件系统可以相当不错地保护隐私。然而，其反面是专用硬件系统引入了更大的集中化担忧。因此，我们这些密码朋克似乎陷入了困境：我们不得不在一个深入扎根的密码朋克价值和另一个价值之间权衡。

生物识别的身份证明系统中的可访问性问题是什么？

专用硬件引入可访问性问题，因为，嗯，专用硬件并不是很易于访问。撒哈拉以南非洲地区大约有51％到64％的人现在拥有智能手机，并且这一比例预计到2030年将增加到87％。但尽管有数十亿部智能手机，却只有几百个Orbs。即使通过更高规模的分布式制造，要实现每个人周围5公里内都有一个Orb的世界仍然是困难的。

值得注意的是，许多其他形式的身份证明也存在更严重的可访问性问题。加入基于社交图的身份证明系统非常困难，除非你已经认识社交图中的某些人。这使得这些系统很容易局限于一个国家的一个社区。

即使是集中式身份系统也已经认识到了这一点：印度的Aadhaar身份证系统是基于生物识别的，因为这是为了在避免大规模欺诈（同时有力成本节省）的同时快速注册其庞大人口的唯一途径，尽管Aadhaar系统整体上在隐私方面比加密社区内正在大规模提出的任何东西都要弱。

从可访问性的角度来看，性能最好的系统实际上是像Proof of Humanity这样的系统，你可以仅使用智能手机注册——虽然，正如我们已经看到和将要看到的那样，这样的系统带来了各种其他的权衡。

生物识别的身份证明系统中的集中化问题是什么？

主要有三个方面：

l   系统顶级治理的集中化风险（特别是在系统中的不同参与者对主观判断存在分歧时，决定最终顶级解决方案的系统）。

l   专用硬件使用的系统中特有的集中化风险。

l   如果使用专有算法来确定谁是真正的参与者，则存在集中化风险。

任何身份证明系统都必须应对（1）这个问题，也许对于完全主观接受的ID集合的系统除外。如果一个系统使用以外部资产（如ETH、USDC、DAI）计量的激励措施，那么它就不能是完全主观的，因此治理风险就是不可避免的。

（2）对于Worldcoin而言，比Proof of Humanity（或BrightID）更大的风险，因为Worldcoin依赖于专用硬件，而其他系统则没有。

（3）这个风险尤其在“逻辑中心化”的系统中存在，因为在这样的系统中，只有一个系统执行验证，除非所有算法都是开源的，并且我们确保它们确实运行了他们声称运行的代码。对于纯粹依靠用户互相验证的系统（如Proof of Humanity），这不是一个风险。

Worldcoin如何解决硬件集中化问题？

目前，与Worldcoin相关的名为Tools for Humanity的实体是唯一制造Orbs的组织。然而，Orb的源代码大部分是公开的：你可以在这个GitHub存储库中查看硬件规格，其他部分的源代码预计很快会公开发布。许可证是那种“共享源代码，但直到四年后才真正开源”的许可证，类似于Uniswap的BSL，除了防止分叉之外，它还防止他们认为不道德的行为，他们明确列出了大规模监视和三项国际公民权利声明。

该团队的目标是允许和鼓励其他组织创建Orbs，并随着时间的推移，从Tools for Humanity创建Orbs转变为有一种DAO来批准和管理哪些组织可以制造被系统承认的Orbs。

这种设计的两个失败方式：

1. 它未能实际分散。这可能是因为联邦化协议的常见陷阱：一个制造商最终在实践中占据主导地位，导致系统重新集中化。理论上，治理可以限制每个制造商可以生产的有效Orbs数量，但这需要小心处理，并对治理施加了很大的压力，要既实现去中心化，又监视生态系统并有效应对威胁：这比如一个相当静态的DAO处理顶层争议解决任务要困难得多。

2. 结果证明实现分布式制造机制的安全是不可能的。在这里，我看到两个风险：

1) 对坏Orb制造商的脆弱性：如果即使一个Orb制造商是恶意的或被黑客攻击，它也可以生成无限数量的虚假虹膜扫描哈希，并且给它们World IDs。

2) Orb的政府限制：不希望其公民参与Worldcoin生态系统的政府可以禁止Orbs进入他们的国家。此外，他们甚至可以强迫其公民扫描他们的虹膜，使政府获得他们的账户，并且公民无法进行回应。

为了使系统对任何不良Orb制造商的伤害降至最低，Worldcoin团队建议对Orb进行定期审核，验证它们是否正确构建，并且关键硬件组件是否按规格构建，并且在事后没有被篡改。这是一项具有挑战性的任务：它基本上类似于IAEA核查机构，但用于Orbs。希望即使是一个非常不完美的审核机制的实施也可以大大减少虚假Orb的数量。

为了限制由任何一个恶意Orb引起的任何伤害，有必要采取第二种缓解措施。具有不同Orb制造商和理想情况下具有不同Orbs的World ID应该可以互相区分。这种信息可以是私有的，仅存储在World ID持有者的设备上，但需要在需要时可以被证明。这使得生态系统可以对（不可避免的）攻击做出回应，通过将个人Orb制造商，甚至可能是单个Orbs，从白名单中删除。如果我们看到朝鲜政府强迫人们扫描他们的眼球，那么这些Orbs和它们所产生的任何账户可以立即被追溯地禁用。

身份证明的安全问题

除了Worldcoin的特定问题外，还有一些影响身份证明设计的一般问题。我能想到的主要问题如下：

1. 3D打印的虚假身份：可以使用AI生成逼真的虚假人物照片甚至3D打印的虚假人物。如果有一个群体这样做，他们可以生成无限数量的身份。

2. 可能出售身份：有人在注册时提供别人的公钥，而不是自己的公钥，从而将控制权交给那个人，以换取金钱。这似乎已经在发生。除了出售，还可能出租身份，以便在一个应用程序中短时间内使用。

3. 手机黑客攻击：如果一个人的手机被黑客攻击，黑客可以窃取控制他们World ID的密钥。

4. 政府胁迫窃取身份：政府可以强迫其公民进行验证，同时显示属于政府的QR码。这样，恶意政府可以获得数百万个身份。在生物识别系统中，这甚至可以秘密进行：政府可以使用隐秘的Orb从每个进入他们国家的人身上提取World ID。

（1）是特定于生物识别的身份证明系统。（2）和（3）适用于生物识别和非生物识别设计。在本节中，我将重点讨论生物识别情况下的问题。

我们如何处理虚假身份？

对于Worldcoin而言，这比Proof of Humanity等系统要少些风险：面对面的扫描可以检查一个人的许多特征，相对于深度伪造一个视频来说，这是非常难以伪造的。专用硬件比普通硬件更难以欺骗，后者又比远程验证发送的照片和视频的数字算法更难以欺骗。

某个时候，是否可以3D打印出足够欺骗专用硬件的东西？可能。我预计，在某个时刻，我们将看到在保持机制开放和保持其安全性之间日益紧张的情况：开源AI算法在本质上更容易受到对抗性机器学习的攻击。黑盒算法更受保护，但很难判断黑盒算法是否被训练包含了后门。也许ZK-ML技术可以为我们带来最佳解决方案。然而，即使在更远的未来，最好的AI算法也可能会被最好的3D打印虚假身份所欺骗。

然而，根据我与Worldcoin和Proof of Humanity团队的讨论，目前似乎还没有看到重大的深度伪造攻击，因为雇佣真实的低工资工人为你注册是相当便宜和容易的。

我们可以防止身份信息被出售吗？

在短期内，防止这种外包是困难的，因为世界上大多数人甚至不知道身份证明协议，如果你告诉他们为30美元举起一个QR码并扫描他们的眼睛，他们可能会照做。但是，一旦更多的人意识到身份证明协议是什么，一个相当简单的缓解措施就变得可能：允许已注册身份的人重新注册，取消之前的身份。这使得“出售身份”变得不那么可信，因为卖掉你身份的人可以重新注册，取消他们刚刚出售的身份。然而，要达到这一点，需要广泛传播协议，并且Orbs需要非常普遍可用，以使按需注册成为可能。

这就是为什么在身份证明系统中集成一种基本收入加密货币（UBI coin）是有价值的原因：UBI coin为人们提供了一个易于理解的激励，使他们（i）了解该协议并注册，以及（ii）如果他们代表其他人注册，则立即重新注册。重新注册也可以防止手机黑客攻击。

我们可以防止生物识别身份证明系统中的胁迫吗？

这取决于我们谈论的是哪种胁迫形式。可能的胁迫形式包括：

l   政府在边境控制和其他例行政府检查点扫描人们的眼睛（或面部等），并使用这些信息来注册（并经常重新注册）其公民。

l   政府禁止国内使用Orbs，以防止人们独立重新注册。

l   个人购买ID，然后威胁要伤害他们，如果他们发现他们的ID因重新注册而失效。

l   （可能由政府运行的）应用程序要求人们通过直接使用他们的公钥进行签名登录，让他们看到相应的生物识别扫描，从而确认用户当前ID与他们未来通过重新注册获得的任何ID之间的联系。人们普遍担心这使得创建“永久记录”变得太容易，这些记录将在一个人的整个生命中都与他们相关联。

特别是对于不成熟的用户，似乎完全阻止这些情况是相当困难的。用户可以离开他们的国家去一个更安全的国家进行（重新）注册，但这是一个困难且成本高昂的过程。在一个真正敌对的法律环境中，寻找一个独立的Orb似乎太困难且风险太高。

可以做的是使这种滥用更加烦人和可检测。Proof of Humanity采取要求一个人在注册时说出特定短语的方法就是一个很好的例子：它可能足以防止隐蔽的扫描，需要更加明显地进行胁迫，而且注册短语甚至可以包括确认受访者知道他们有权独立重新注册并可能获得UBI coin或其他奖励的声明。如果检测到胁迫，用于进行大规模胁迫注册的设备可以撤销其访问权。为了防止应用程序将人们当前和以前的ID联系起来，并尝试留下“永久记录”，默认的身份证明应用程序可以将用户的密钥锁定在受信任的硬件中，防止任何应用程序在没有匿名化的ZK-SNARK层的情况下直接使用密钥。如果政府或应用程序开发者想绕过这一点，他们将需要强制使用自己的定制应用程序。

通过这些技术手段和积极的警惕性，封锁那些真正敌对的政权，保持那些只是中度糟糕的政权的诚实（就像世界上大部分地区一样），似乎是可能的。这可以通过像Worldcoin或Proof of Humanity这样的项目维护自己的官僚机构来实现，或者通过透露更多关于如何注册ID的信息（例如，在Worldcoin中，它来自哪个Orb），并将此分类任务留给社区。

我们可以防止出租ID（例如出售选票）吗？

通过重新注册，无法防止出租您的身份。在某些应用程序中，出租您的权利以获得当天的UBI coin份额的成本只会是当天UBI coin份额的价值。但在投票等应用程序中，容易出售选票是一个巨大的问题。

像MACI这样的系统可以通过允许您稍后投票以使您之前的投票无效，而又没有人可以知道您是否确实投了这样一票来防止您可信地出售您的选票。然而，如果收买者在注册时控制您得到的密钥，这就无济于事。

在这里我看到两个解决方案：

1. 在MPC中运行整个应用程序。这也将涵盖重新注册过程：当一个人在MPC中注册时，MPC会为他们分配一个与他们的身份证明ID分开且不可链接的ID，当一个人重新注册时，只有MPC会知道要停用哪个账户。这防止了用户对其操作进行证明，因为每个重要步骤都在MPC内部完成，使用仅MPC知道的私人信息。

2. 去中心化注册仪式。基本上，实现类似于这种需要四个随机选定的当地参与者共同注册某人的协议。这可以确保注册是一个“受信任”的过程，攻击者无法窥探其中的细节。

基于社交图的系统在这方面实际上可能表现得更好，因为它们可以自动创建本地分散的注册过程，作为它们工作的副产品。

生物识别与其他主要用于身份验证的候选方法，基于社交图的验证相比较如何？

除了生物识别方法外，主要用于身份验证的另一个竞争对手是基于社交图的验证。基于社交图的验证系统都遵循同样的原则：如果有大量已验证的身份都证实了你的身份的有效性，那么你很可能是有效的，应该获得验证状态。

支持基于社交图的验证的人通常认为，它是生物识别的更好替代方案，原因如下：

l   它不依赖于特定的硬件，更容易部署。

l   它避免了制造商试图创建虚假身份与Orbs更新以拒绝这些虚假身份之间的永久性竞赛。

l   它不需要收集生物识别数据，更加注重隐私保护。

l   它可能更加友好于匿名性，因为如果某人选择将他们的网络生活分成多个彼此分开的身份，那么这两个身份都有可能被验证（但同时维护多个真实且独立的身份会牺牲网络效应并具有很高的成本，因此攻击者不容易做到这一点）。

l   生物识别方法提供“是人还是不是人”的二进制得分，这是脆弱的：那些被意外拒绝的人最终将一无所有，甚至可能无法参与在线生活。基于社交图的方法可以提供更细致的数值得分，可能对某些参与者稍微不公平，但不太可能完全“取消一个人”。

对于这些论点，我的观点主要是我基本上同意它们！这些都是基于社交图的方法的真正优势，应该认真对待。然而，还值得考虑基于社交图的方法的弱点：

l   启动：为了加入基于社交图的系统，用户必须认识已经在图中的某人。这使得大规模采用变得困难，并可能排除整个世界上那些在初始启动过程中没有幸运的地区。

l   隐私：虽然基于社交图的方法避免了收集生物识别数据，但它们常常会泄漏有关个人社交关系的信息，这可能导致更大的风险。当然，零知识技术可以缓解这一问题（例如，参考Barry Whitehat的这个提案），但图中的相互依赖性以及对图进行数学分析的需要使其更难以实现与生物识别相同水平的数据隐藏。

l   不平等：每个人只能拥有一个生物识别ID，但是富有和社交关系良好的人可能利用他们的社交关系来生成许多ID。本质上，使基于社交图的系统能够为那些确实需要这种功能（例如激进分子）的人提供多个假名，很可能也意味着更强大和社交关系良好的人可以获得比不那么强大和社交关系较差的人更多的假名。

l   崩溃成为中心化的风险：大多数人懒得花时间向一个互联网应用程序报告谁是真实的人，谁不是。因此，有一种风险，随着时间的推移，该系统将倾向于采用依赖于中心化机构的“简单”方法来引入人，而系统用户的“社交图”实际上将变成世界上哪个国家承认哪个人作为公民的社交图——这将使我们不必要地在中心化的KYC中增加了额外步骤。

身份证明是否与现实世界中的匿名性兼容？

原则上，身份证明与所有形式的匿名性都是兼容的。应用程序可以设计成这样一个方式，一个人只需一个身份证明ID就可以在应用程序内创建多达五个个人资料，为匿名账户留出空间。甚至可以使用二次方程式：N个账户的成本为N²美元。但它们是否会这样做呢？

然而，悲观的观点可能是，试图创建更注重隐私的身份证明形式，并希望它能以正确的方式被采纳，是幼稚的。因为权力机构并不注重隐私，如果一个强大的行为者获得了一个可以用来获得更多关于一个人信息的工具，他们就会用于那样的目的。在这样的世界中，这种论点认为，唯一现实的方法是遗憾地阻碍任何身份解决方案的进展，维护一个完全匿名的世界，以及高信任社区的数字化孤岛。

我对这种思维方式的看法是，我担心这样的方法即使成功，也将导致一个世界，没有人可以做任何事情来对抗财富集中和治理集中，因为一个人总是可以假装是一万人。这样的中心化点又容易被权力机构所掌握。相反，我更倾向于一种温和的方法，我们 vigorously advocate，身份证明解决方案具有强大的隐私性，如果需要甚至可以在协议层使用“N个账户的成本为N²”机制，并创造一个具有注重隐私的价值观且有机会被外界接受的东西。

我的个人看法

没有理想的身份证明形式。相反，我们至少有三种不同的方法范式，它们都有各自独特的优势和弱点。一个比较表如下：

我们理想的做法是将这三种技术视为互补的，并将它们结合起来。就像印度的Aadhaar在规模上展示的那样，专用硬件生物识别具有在大规模情况下保持安全的优势。然而，它们在分散化方面非常脆弱，尽管可以通过对个体Orbs进行问责来解决这个问题。通用生物识别目前可以很容易地被采用，但它们的安全性正在迅速减弱，可能只能再工作1-2年。基于社交图的系统从与创始团队有密切社交关系的几百人开始，可能面临在完全错过世界的大部分内容和在他们无法看到的社区中遭受攻击之间持续的权衡。然而，基于数千万生物识别ID持有者启动的基于社交图的系统可能真的可行。短期内，生物识别引导可能效果更好，而长期内，基于社交图的技术可能更加稳健，并随着其算法的改进而逐渐承担更多的责任。

所有这些团队都可能会犯很多错误，商业利益与更广泛社区的需求之间不可避免地存在紧张关系，所以要保持高度警惕是非常重要的。作为社区，我们可以并且应该推动所有参与者在开源其技术方面的舒适区域，并要求进行第三方审计，甚至第三方编写的软件等检查和平衡。我们还需要在这三个类别中有更多的替代方案。

同时，也要认识到已经取得的工作成果：许多运行这些系统的团队已经表现出愿意比几乎任何政府或主要企业运行的身份系统更加重视隐私，这是一个我们应该建立在其基础上的成功。

在实际上，让一个有效可靠的身份证明系统，特别是在远离现有加密社区的人手中，似乎相当具有挑战性。我绝对不羡慕试图解决这个任务的人，这可能需要几年的时间才能找到一个可行的方法。原则上，身份证明的概念似乎非常有价值，虽然各种实现都存在风险，但完全没有任何身份证明也有其风险：一个没有身份证明的世界更有可能是一个被中心化身份解决方案、货币、小闭合社区或某种组合所主导的世界。我期待着在各种身份证明方面取得更多进展，希望不同的方法最终能够融合成一个连贯的整体。