Vitalik:デジタルアイデンティティがZK技術を採用すれば、リスクは存在しないのですか?
ゼロ知識証明がデジタルIDの「保護膜」となるとき、私たちは「一人一身份」によって匿名権を失う可能性がある —— これが技術の背後にある究極のゲームである。著者:Vitalik Buterin
翻訳:Saoirse,Foresight News
現在、デジタルアイデンティティシステムにおいてプライバシーを保護するためにゼロ知識証明を活用することは、ある程度主流となっています。さまざまなゼロ知識証明パスポートプロジェクト(直訳 ZK-passport プロジェクト、ゼロ知識証明技術に基づくデジタルアイデンティティプロジェクトを指します)は、ユーザーに非常に優しいソフトウェアパッケージを開発しており、ゼロ知識証明を利用することで、ユーザーはアイデンティティの詳細を明かすことなく、有効な身分証明書を持っていることを証明できます。生体認証技術を用いて検証し、ゼロ知識証明によってプライバシーを保護するWorld ID(以前はWorldcoin)は、最近ユーザー数が1000万人を超えました。台湾のデジタルアイデンティティ政府プロジェクトはゼロ知識証明を活用しており、EUもデジタルアイデンティティ分野での関連作業においてゼロ知識証明にますます注目しています。
表面的には、ゼロ知識証明技術に基づくデジタルアイデンティティが広く採用されることは、d/acc(注:Vitalikが2023年に提唱した概念で、技術ツール(暗号、ブロックチェーンなど)を通じて分散型技術の発展を推進し、技術の進歩を加速させつつ潜在的リスクを防御し、技術革新と安全、プライバシー、人間の自主権のバランスを取る中間的な道筋の理念。)の大きな勝利のように思えます。プライバシーを犠牲にすることなく、私たちのソーシャルメディア、投票システム、さまざまなインターネットサービスをウィッチハントやロボット操作から守ることができます。しかし、事態は本当にそれほど単純なのでしょうか?ゼロ知識証明に基づくアイデンティティには依然としてリスクが存在するのでしょうか?この記事では以下の見解を明らかにします:
- ゼロ知識証明のラッピング(ZK-wrapping)は、多くの重要な問題を解決します。
- ゼロ知識証明のラッピングによるアイデンティティにはリスクが残ります。これらのリスクは生体認証やパスポートとはあまり関係がなく、大部分のリスク(プライバシーの漏洩、脅迫に対する脆弱性、システムの誤差など)は「一人一アイデンティティ」の属性を厳格に維持することに起因しています。
- もう一つの極端な解決策である「富の証明(Proof of wealth)」を用いてウィッチハント攻撃に対抗することは、多くのアプリケーションシナリオでは不十分であるため、私たちは何らかの「類似アイデンティティ」の解決策を必要とします。
- 理論的な理想状態は、N個のアイデンティティを取得するコストがN²であることです。
- この理想状態は実践では実現が難しいですが、適切な「多元アイデンティティ」がそれに近づくため、最も現実的な解決策です。多元アイデンティティは明示的(例えば、ソーシャルグラフに基づくアイデンティティ)であったり、暗黙的(さまざまなタイプのゼロ知識証明アイデンティティが共存し、どのタイプも市場シェアが100%に近づかない)であったりします。
ゼロ知識証明のラッピングによるアイデンティティはどのように機能するのか?
想像してみてください。あなたは目のスキャンを通じてWorld IDを取得したり、スマートフォンのNFCリーダーでパスポートをスキャンしてゼロ知識証明パスポートのアイデンティティを取得したりしました。この記事の論点において、これら二つの方法の核心的な属性は一致しています(多国籍のケースなど、少数の周辺的な違いを除いて)。
あなたのスマートフォンには秘密の値sがあります。ブロックチェーン上のグローバル登録簿には公開ハッシュ値H(s)があります。アプリにログインするとき、あなたはそのアプリに特有のユーザーID、すなわちH(s, app_name)を生成し、ゼロ知識証明を通じて検証します:このIDは登録簿内のある公開ハッシュ値と同じ秘密の値sから派生しています。したがって、各公開ハッシュ値は各アプリに対して一つのIDしか生成できませんが、特定のアプリ専用IDがどの公開ハッシュ値に対応しているかは決して漏洩しません。
実際には、設計はもう少し複雑になる可能性があります。World IDでは、アプリ専用IDは実際にはアプリIDとセッションIDのハッシュ値を含んでいるため、同一アプリ内の異なる操作も相互に関連付けを解除できます。ゼロ知識証明パスポートの設計も同様の方法で構築できます。
このようなアイデンティティタイプの欠点を探る前に、まずその利点を認識する必要があります。ゼロ知識証明アイデンティティ(ZKID)のニッチな領域を超えて、アイデンティティ検証が必要なサービスに対して自分を証明するためには、法定アイデンティティを完全に明かさなければなりません。これはコンピュータセキュリティの「最小権限の原則」に重大な違反です:プロセスはそのタスクを完了するために必要な最小限の権限と情報のみを取得すべきです。これらは、あなたがロボットでないこと、18歳以上であること、特定の国から来ていることを証明する必要がありますが、得られるのはあなたの完全なアイデンティティの指向です。
現在実現可能な最良の改善策は、電話番号やクレジットカード番号などの間接トークンを使用することです:この場合、あなたの電話番号/クレジットカード番号とアプリ内活動を関連付ける主体と、あなたの電話番号/クレジットカード番号と法定アイデンティティを関連付ける主体(会社や銀行)は相互に分離されています。しかし、この分離は非常に脆弱です:電話番号や他の情報はいつでも漏洩する可能性があります。
ゼロ知識証明ラッピング技術(ZK-wrapping、ユーザーのアイデンティティプライバシーを保護するためにゼロ知識証明を利用する技術手段であり、ユーザーが敏感な情報を漏らさずに自分のアイデンティティを証明できるようにします)を利用することで、上記の問題は大部分解決されます。しかし、次に議論するのはあまり言及されていない点です:いくつかの問題は未解決のままであり、これらの解決策における「一人一アイデンティティ」の厳格な制限によってさらに深刻化する可能性があります。
ゼロ知識証明自体は匿名性を実現できない
ゼロ知識証明アイデンティティ(ZK-identity)プラットフォームが完全に期待通りに機能し、上記のすべての論理を厳密に再現し、中央集権的な機関に依存せずに非技術的ユーザーのプライベート情報を長期的に保護する方法を見つけたと仮定しましょう。しかし同時に、現実に即した仮定を行うことができます:アプリケーションはプライバシー保護に積極的に協力せず、「実用主義」の原則に従い、採用される設計は「ユーザーの利便性を最大化する」ことを謳いながら、実際には常に自らの政治的および商業的利益に偏るように思えます。
このようなシナリオでは、ソーシャルメディアアプリは頻繁にセッションキーを変更するなどの複雑な設計を採用せず、各ユーザーにユニークなアプリ専用IDを割り当てます。そして、アイデンティティシステムが「一人一アイデンティティ」ルールに従うため、ユーザーは一つのアカウントしか持てません(これは現在の「弱いアイデンティティ(weak ID)」と対比されます。例えば、Googleアカウントでは、普通の人が簡単に約5つのアカウントを登録できます)。現実の世界では、匿名性を実現するためには通常複数のアカウントが必要です:一つは「通常のアイデンティティ」、他はさまざまな匿名アイデンティティに使用されます(「finsta and rinsta」を参照)。したがって、このモデルでは、ユーザーが実際に得られる匿名性は現在のレベルを下回る可能性が高いです。このようにして、ゼロ知識証明ラッピングによる「一人一アイデンティティ」システムであっても、私たちはすべての活動が単一の公開アイデンティティに依存しなければならない世界に向かって徐々に進む可能性があります。リスクが高まる時代(例えば、ドローン監視など)において、匿名性を通じて自分を守る選択肢を奪うことは、深刻な悪影響をもたらします。
ゼロ知識証明自体は脅迫からあなたを守ることができない
たとえあなたが自分の秘密の値sを公開せず、誰もあなたのアカウント間の公開関連を見えないとしても、誰かがあなたに公開を強制する場合はどうでしょうか?政府は秘密の値を明かすよう強制するかもしれません。これにより、あなたのすべての活動を確認することができます。これは空想ではありません:アメリカ政府はすでにビザ申請者に自分のソーシャルメディアアカウントを公開するよう要求し始めています。さらに、雇用主も簡単に完全な公開情報の開示を雇用条件にすることができます。さらには、一部のアプリは技術的に他のアプリでのアイデンティティを開示することを要求する場合もあり、その場合は登録が許可されません(アプリにログインする際にこの操作がデフォルトで実行されます)。
同様に、これらの状況ではゼロ知識証明の特性の価値は消失しますが、「一人一アカウント」という新しい特性の欠点は依然として存在します。
私たちは設計の最適化を通じて脅迫リスクを低減できるかもしれません:例えば、マルチパーティ計算メカニズムを使用して各アプリ専用IDを生成し、ユーザーとサービスプロバイダーが共同で参加することを可能にします。こうすることで、アプリの運営者が参加しなければ、ユーザーはそのアプリ内の専用IDを証明できなくなります。これにより、他人に完全なアイデンティティを開示させることが難しくなりますが、この可能性を完全に排除することはできず、またこのような解決策には他の欠点も存在します。例えば、アプリ開発者はリアルタイムで活動している実体である必要があり、受動的なオンチェーンスマートコントラクトのように(継続的な介入を必要としない)ではありません。
ゼロ知識証明自体は非プライバシーリスクを解決できない
すべてのアイデンティティ形式には周辺ケースが存在します:
- 政府発行のアイデンティティ(Government-rooted ID)、パスポートを含むものは、無国籍者をカバーできず、またそのような証明書をまだ取得していない人々も含まれません。
- 一方で、このような政府に基づくアイデンティティシステムは、多重国籍保持者に特有の特権を与えることになります。
- パスポート発行機関はハッキングの標的になる可能性があり、敵対国の情報機関は数百万の偽のアイデンティティを偽造する可能性があります(例えば、ロシア式の「ゲリラ選挙」が広がると、偽のアイデンティティを使用して選挙を操作することが可能になります)。
- 関連する生体的特徴が傷害や病気によって損なわれた人々にとって、生体認証アイデンティティは完全に無効になります。
- 生体認証アイデンティティは模倣品に騙される可能性が高いです。生体認証アイデンティティの価値が非常に高くなると、個人の器官を培養して「大量生産」する人が現れるかもしれません。
これらの周辺ケースは、「一人一アイデンティティ」属性を維持しようとするシステムにおいて最も危険であり、プライバシーとは無関係です。したがって、ゼロ知識証明はこれに対処できません。
「富の証明」に依存してウィッチハント攻撃を防ぐことは問題を解決するには不十分であり、したがって私たちは何らかの形式のアイデンティティシステムを必要とします
純粋な暗号パンクのコミュニティの中で、一般的な代替策は「富の証明」に完全に依存してウィッチハント攻撃を防ぐことであり、アイデンティティシステムを構築することではありません。各アカウントに一定のコストを発生させることで、誰かが簡単に大量のアカウントを作成するのを防ぐことができます。このようなアプローチはインターネット上で以前から存在しており、例えばSomethingawfulフォーラムでは、登録アカウントに10ドルの一時的な費用を要求し、アカウントが禁止された場合、この費用は返金されません。しかし、これは実際には真の暗号経済モデルではなく、新しいアカウントを作成する最大の障害は再度10ドルを支払うことではなく、新しいクレジットカードを取得することです。
理論的には、支払いに条件を付けることも可能です:アカウント登録時に、一定の資金を担保として質入れし、アカウントが禁止された場合にのみその資金を失うことになります。理論的には、これにより攻撃コストが大幅に増加します。
このような解決策は多くのシナリオで効果的ですが、特定のタイプのシナリオでは完全に機能しません。私は二つのシナリオに重点を置いて議論しますが、それぞれ「UBIに類似したシナリオ(UBI-like)」と「ガバナンスに類似したシナリオ(governance-like)」と呼びます。
UBIに類似したシナリオにおけるアイデンティティの需要
「UBIに類似したシナリオ」とは、非常に広範な(理想的には全ての)ユーザー群に対して一定量の資産やサービスを提供する必要があり、その支払い能力を考慮しないシナリオを指します。Worldcoinはまさにこの点を体系的に実践しています:World IDを持つ誰もが定期的に少量のWLDトークンを受け取ることができます。多くのトークンエアドロップも、より非公式な方法で類似の目標を達成し、少なくとも一部のトークンができるだけ多くのユーザーに届くようにしています。
私個人の意見として、これらのトークンの価値が個人の生計を維持するのに十分なレベルに達するとは思いません。AIによって駆動され、富の規模が現在の千倍に達する経済体では、これらのトークンが生計を維持する価値を持つかもしれません。しかし、それでもなお、自然資源の富を支える政府主導のプロジェクトが経済的により重要な地位を占めるでしょう。しかし、私はこの「小型UBI(mini-UBIs)」が実際に解決できる問題は、基本的なオンチェーン取引やオンライン購入を行うために十分な量の暗号通貨を人々に提供することだと考えています。具体的には以下のようなことが含まれます:
- ENS名の取得
- ゼロ知識証明アイデンティティを初期化するためのハッシュをオンチェーンで公開する
- ソーシャルメディアプラットフォームの料金を支払う
もし暗号通貨が世界中で広く採用されれば、この問題は解消されます。しかし、暗号通貨が普及していない現在、これは人々がオンチェーンの非金融アプリケーションや関連するオンライン商品サービスにアクセスする唯一の手段かもしれません。
さらに、同様の効果を実現する別の方法もあります。それは「ユニバーサルベーシックサービス(universal basic services)」です:アイデンティティを持つすべての人に特定のアプリ内で限られた数の無料取引を送信する権限を提供します。この方法は、インセンティブメカニズムによりより適合し、資本効率が高くなります。なぜなら、このように採用されるアプリケーションは、非ユーザーに対して支払う必要がないからです。しかし、これは一定のトレードオフを伴い、普遍性が低下することになります(ユーザーはこのプログラムに参加するアプリへのアクセス権を保証されるだけです)。それでも、ここでもアイデンティティ解決策が必要です。なぜなら、システムがスパム攻撃を受けるのを防ぎ、ユーザーが何らかの支払い方法で支払うことを要求することによって生じる排他性を避ける必要があるからです。この支払い方法は、すべての人が使用できるとは限りません。
最後に強調すべき重要なカテゴリーは「ユニバーサルベーシック保証金(universal basic security deposit)」です。アイデンティティの機能の一つは、ユーザーが担保として資金を質入れすることなく、責任を追及するための対象を提供することです。これにより、参加のハードルを個人の資本量に依存させることを減少させる(あるいは完全に資本を必要としない)という目標を達成するのにも役立ちます。
ガバナンスに類似したシナリオにおけるアイデンティティの需要
投票システム(例えば、ソーシャルメディアプラットフォームでの「いいね」やリツイート)を想像してみてください:ユーザーAのリソースがユーザーBの10倍であれば、Aの投票権もBの10倍になります。しかし、経済的な観点から見ると、Aにとっての投票権の単位あたりの利益は、Bにとっての10倍です(Aの規模が大きいため、どんな決定もその経済的影響がより顕著になります)。したがって、全体として、Aの投票が自身にもたらす利益は、Bの投票が自身にもたらす利益の100倍です。このため、Aは投票に多くのエネルギーを投入し、どのように投票すれば自身の目標を最大化できるかを研究し、さらには戦略的にアルゴリズムを操作する可能性があります。これが、トークン投票メカニズムにおいて「クジラ」が過度な影響を及ぼす根本的な理由です。
より一般的で深い理由は、ガバナンスシステムは「一人が10万ドルを支配する」ことと「1000人が10万ドルを共有する」ことに同等の重みを与えるべきではないということです。後者は1000の独立した個体を表しており、より豊富な価値のある情報を含むため、小規模な情報の高度な繰り返しではありません。1000人からの信号は、異なる個体の意見が相互に打ち消し合うため、より「穏やか」なことが多いです。
これは正式な投票システムにも、非公式な投票システムにも適用されます。例えば、人々が公に声を上げることで文化の進化に参加する能力です。
これは、ガバナンスシステムが「資金源に関係なく、同等の規模の資金束を一律に扱う」ことに満足しないことを示しています。システムは、これらの資金束の内部調整の程度を理解する必要があります。
注意すべきは、私が上記の二つのシナリオ(UBIに類似したシナリオとガバナンスに類似したシナリオ)の説明フレームワークに同意するなら、技術的な観点から「一人一票」という明確なルールの必要性はなくなるということです。
- UBIに類似したシナリオのアプリケーションにとって、本当に必要なアイデンティティソリューションは:最初のアイデンティティは無料で、取得可能なアイデンティティの数に制限を設けることです。より多くのアイデンティティを取得するコストが、システムを攻撃する行為の意味を失わせるほど高くなれば、制限効果が達成されます。
- ガバナンスに類似したシナリオのアプリケーションにとって、核心的なニーズは:あなたが接触しているこの資源の背後に、単一の操作主体がいるのか、それとも何らかの「自然に形成された」、調整の程度が低い集団がいるのかを判断できる間接的な指標を持つことです。
この二つのシナリオにおいて、アイデンティティは依然として非常に有用ですが、「一人一アイデンティティ」という厳格なルールに従う必要性はなくなります。
理論的な理想状態は:N個のアイデンティティを取得するコストがN²
上記の論点から、アイデンティティシステムにおける複数のアイデンティティを取得する期待難度を相反する二つの圧力が制限していることがわかります:
まず、「簡単に取得できるアイデンティティの数」に明確で目に見えるハードリミットを設定することはできません。もし一人が一つのアイデンティティしか持てないのであれば、匿名性については語ることができず、脅迫されてアイデンティティを漏らす可能性があります。実際、1より大きい固定数であってもリスクがあります:もし全員が各自5つのアイデンティティを持っていることを知っているなら、あなたは全ての5つを漏らすよう脅迫されるかもしれません。
これを支持する別の理由は、匿名性自体が非常に脆弱であるため、十分な安全バッファスペースが必要であるということです。現代のAIツールを利用すれば、プラットフォーム間でのユーザー行動の関連付けは容易になり、言葉の使い方、投稿時間、投稿間隔、議論のトピックなどの公開情報を通じて、わずか33ビットの情報量で特定の人物を正確に特定できます。人々はAIツールを使って防御することができるかもしれません(例えば、私は匿名でコンテンツを投稿する際に、まずフランス語で書き、その後ローカルで動作する大規模言語モデルを使って英語に翻訳しました)が、それでも一度の失敗で自分の匿名性が完全に終わることは望ましくありません。
次に、アイデンティティは完全に財務に結びつけることができません(すなわち、N個のアイデンティティを取得するコストがNであること)。なぜなら、これにより大規模な主体が容易に過度な影響力を得てしまい(その結果、小規模な主体が完全に発言権を失うことになります)、Twitter Blueの新しいメカニズムがこれを示しています:月額8ドルの認証費用は低すぎて、悪用行為を効果的に制限することができず、現在ユーザーは基本的にこの認証マークを無視しています。
さらに、私たちは資源量がN倍の主体が、N倍の不当行為を自由に行うことを望まないかもしれません。
上記の論点を総合すると、以下の制約条件を満たす前提で、できるだけ容易に複数のアイデンティティを取得したいと考えています:(1)ガバナンスアプリケーションにおいて大規模主体の権力を制限すること;(2)UBIに類似したアプリケーションにおいて悪用行為を制限すること。
もし前述のガバナンスアプリケーションの数学モデルを直接借用すれば、明確な答えが得られます:もしN個のアイデンティティを持つことがN²の影響力をもたらすなら、N個のアイデンティティを取得するコストはN²であるべきです。偶然にも、この答えはUBIに類似したアプリケーションにも同様に適用されます。
このブログの古い読者は、これが以前の「 quadratic funding」に関するブログ記事の図表と完全に一致することに気づくかもしれませんが、これは偶然ではありません。
多元アイデンティティシステム(Pluralistic identity)がこの理想状態を実現できる
「多元アイデンティティシステム」とは、個人、組織、またはプラットフォームのいずれかの単一の主導的な発行機関が存在しないアイデンティティメカニズムを指します。このシステムは二つの方法で実現できます:
- 明示的多元アイデンティティ(Explicit pluralistic identity、ソーシャルグラフに基づくアイデンティティとも呼ばれます)。あなたは、所属するコミュニティの他の人々の証明を通じて自分のアイデンティティ(または他の主張、例えば自分がそのコミュニティのメンバーであることを証明する)を確認できます。そして、これらの証明者のアイデンティティも同様のメカニズムで検証されます。「去中心化社会」という文書は、このような設計についてより詳細に説明しており、Circlesは現在運営されている実例です。
- 暗黙的多元アイデンティティ(Implicit pluralistic identity)。これは現在の状況であり、Google、Twitter、各国の同様のプラットフォーム、さまざまな政府発行の身分証明書など、さまざまなアイデンティティ提供者が存在します。ほとんどのアプリケーションは、これらのうちの一つのアイデンティティ認証のみを受け入れることはほとんどなく、大多数のアプリケーションは複数のアイデンティティを互換性を持たせる必要があります。なぜなら、そうしなければ潜在的なユーザーにアクセスできないからです。
Circlesアイデンティティグラフの最新のスナップショット。Circlesは現在、規模が最大のソーシャルグラフに基づくアイデンティティプロジェクトの一つです。
明示的多元アイデンティティは自然に匿名性を持ちます:あなたは匿名のアイデンティティ(さらには複数のアイデンティティ)を持つことができ、各アイデンティティはコミュニティ内で自らの行動を通じて評判を築くことができます。理想的な明示的多元アイデンティティシステムは、「独立したアイデンティティ(discrete identities)」の概念を必要としないかもしれません。むしろ、あなたは検証可能な過去の行動から構成された曖昧な集合を持ち、各行動の必要に応じてその中の異なる部分を精緻に証明することができるかもしれません。
ゼロ知識証明は匿名性を実現しやすくします:あなたは主アイデンティティを利用して匿名アイデンティティを立ち上げ、プライベートに最初の信号を提供して新しい匿名アイデンティティを認識させることができます(例えば、一定量のトークンを所有していることをゼロ知識証明することで、anon.worldにコンテンツを投稿できるようにする;または、Twitterのフォロワーが特定の特性を持っていることをゼロ知識証明する)。ゼロ知識証明をより効果的に活用する方法もあるかもしれません。
暗黙的多元アイデンティティの「コスト曲線」は二次曲線よりも急ですが、依然として必要な特性の大部分を備えています。ほとんどの人は、この記事で挙げた部分的なアイデンティティ形式を持っており、すべてを持っているわけではありません。あなたは一定の努力を通じて別のアイデンティティ形式を取得できますが、持っているアイデンティティ形式が多いほど、次のものを取得するコスト効果比は低くなります。したがって、これはガバナンス攻撃や他の悪用行為に対する必要な抑制効果を提供し、脅迫者が特定の固定アイデンティティを開示するよう要求することができず、また合理的に期待することもできないことを保証します。
あらゆる形式の多元アイデンティティシステム(暗黙的でも明示的でも)は、自然により強い耐障害性を持ちます:手や目に障害がある人でもパスポートを持つことができ、無国籍者も特定の非政府チャネルを通じて自分のアイデンティティを証明することができます。
注意すべきは、もしあるアイデンティティ形式の市場占有率が100%に近づき、唯一のログインオプションとなると、上記の特性は失われるということです。私の見解では、過度に「普遍性」を追求するアイデンティティシステムが直面する最大のリスクは、マーケットシェアが100%に近づくと、世界を多元アイデンティティシステムから「一人一アイデンティティ」モデルに押しやることです。そして、この記事で述べたように、このモデルには多くの欠点があります。
私の見解では、現在の「一人一アイデンティティ」プロジェクトの理想的な結末は、ソーシャルグラフに基づくアイデンティティシステムとの融合です。ソーシャルグラフに基づくアイデンティティプロジェクトが直面する最大の問題は、大規模なユーザーに拡張することが難しいことです。一方で、「一人一アイデンティティ」システムは、ソーシャルグラフに初期の支援を提供し、数百万の「シードユーザー」を創出するために利用されることができ、ユーザー数が十分に多くなれば、この基盤から安全にグローバル分散型ソーシャルグラフを発展させることができます。
推奨読書:
リスク警告 リスク警告
