Vitalik：xác minh kỹ thuật số+ZK công nghệ dưới nhiều khó khăn

Tác giả: Vitalik Buterin

Biên dịch: Saoirse, Foresight News

Ngày nay, việc áp dụng chứng minh không biết (zero-knowledge proof) trong hệ thống danh tính kỹ thuật số để bảo vệ quyền riêng tư đã trở thành một xu hướng phổ biến ở một mức độ nhất định. Các dự án hộ chiếu chứng minh không biết (được dịch thẳng là ZK-passport, chỉ các dự án danh tính kỹ thuật số dựa trên công nghệ chứng minh không biết) đang phát triển các gói phần mềm rất thân thiện với người dùng, nhờ vào chứng minh không biết, người dùng không cần tiết lộ bất kỳ chi tiết nào về danh tính của mình mà vẫn có thể chứng minh họ sở hữu một giấy tờ xác thực hợp lệ. World ID (trước đây là Worldcoin), sử dụng công nghệ sinh trắc học để xác minh và bảo vệ quyền riêng tư bằng chứng minh không biết, gần đây đã vượt mốc 10 triệu người dùng. Một dự án danh tính kỹ thuật số của chính phủ ở Đài Loan (Trung Quốc) đã áp dụng chứng minh không biết, và Liên minh Châu Âu cũng ngày càng chú trọng vào chứng minh không biết trong lĩnh vực danh tính kỹ thuật số.

Xét trên bề mặt, danh tính kỹ thuật số dựa trên công nghệ chứng minh không biết (zero-knowledge proof) được áp dụng rộng rãi, dường như sẽ trở thành một chiến thắng lớn cho d/acc (lưu ý: khái niệm được Vitalik đề xuất vào năm 2023, là một tư tưởng thúc đẩy sự phát triển của công nghệ phi tập trung thông qua các công cụ kỹ thuật (như mã hóa, blockchain, v.v.), đồng thời bảo vệ các rủi ro tiềm ẩn, cân bằng sự đổi mới công nghệ với an toàn, quyền riêng tư và quyền tự chủ của con người.) Nó có thể bảo vệ các mạng xã hội, hệ thống bỏ phiếu và các dịch vụ Internet khác khỏi các cuộc tấn công của phù thủy và thao túng của robot mà không hy sinh quyền riêng tư. Nhưng liệu mọi thứ có thật sự đơn giản như vậy không? Danh tính dựa trên chứng minh không biết có còn tồn tại rủi ro không? Bài viết này sẽ làm rõ các quan điểm sau:

• Bao bọc chứng minh không biết (ZK-wrapping) đã giải quyết nhiều vấn đề quan trọng.
• Rủi ro của việc đóng gói danh tính bằng chứng không kiến thức vẫn tồn tại. Những rủi ro này dường như không liên quan nhiều đến sinh trắc học hay hộ chiếu, hầu hết các rủi ro (rò rỉ thông tin cá nhân, dễ bị cưỡng ép, sai sót hệ thống, v.v.) chủ yếu xuất phát từ việc duy trì tính chất "mỗi người một danh tính" một cách cứng nhắc.
• Một cực đoan khác, tức là sử dụng "chứng minh tài sản (Proof of wealth)" để chống lại các cuộc tấn công của nữ phù thủy, trong hầu hết các tình huống ứng dụng đều không đủ, vì vậy chúng ta cần một giải pháp "giống như danh tính" nào đó.
• Trạng thái lý tưởng lý thuyết nằm giữa hai bên, tức là chi phí để có được N danh tính là N².
• Trạng thái lý tưởng này khó có thể đạt được trong thực tế, nhưng "định danh đa dạng" phù hợp gần với nó, vì vậy đây là giải pháp thực tế nhất. Định danh đa dạng có thể là rõ ràng (ví dụ: định danh dựa trên sơ đồ xã hội), hoặc có thể là ẩn (nhiều loại định danh bằng chứng không biết đồng thời tồn tại, và không có loại nào có thị phần gần 100%).

Cách hoạt động của danh tính được đóng gói bằng chứng không biết?

Hãy tưởng tượng rằng bạn đã nhận được World ID bằng cách quét mống mắt, hoặc sử dụng máy đọc NFC trên điện thoại để quét hộ chiếu, nhận được danh tính dựa trên hộ chiếu chứng minh không biết. Về luận điểm của bài viết này, hai phương thức này có những thuộc tính cốt lõi giống nhau (chỉ có một số khác biệt nhỏ, chẳng hạn như trường hợp đa quốc tịch).

Trên điện thoại của bạn, có một giá trị bí mật s. Trong sổ đăng ký toàn cầu trên chuỗi, có một giá trị băm công khai H(s). Khi đăng nhập vào ứng dụng, bạn sẽ tạo ra một ID người dùng cụ thể cho ứng dụng đó, tức là H(s, app_name) và xác thực bằng chứng không biết: ID này có nguồn gốc từ giá trị bí mật s cùng với một giá trị băm công khai nào đó trong sổ đăng ký. Do đó, mỗi giá trị băm công khai chỉ có thể tạo ra một ID cho mỗi ứng dụng, nhưng sẽ không bao giờ tiết lộ ID độc quyền của ứng dụng nào tương ứng với giá trị băm công khai nào.

Trên thực tế, thiết kế có thể phức tạp hơn một chút. Trong World ID, ID ứng dụng riêng thực chất là giá trị băm của ID ứng dụng và ID phiên, do đó các thao tác khác nhau trong cùng một ứng dụng cũng có thể được tách rời khỏi nhau. Thiết kế hộ chiếu dựa trên chứng minh không biết cũng có thể được xây dựng theo cách tương tự.

Trước khi thảo luận về những nhược điểm của loại danh tính này, trước tiên phải nhận ra những lợi thế mà nó mang lại. Ngoài lĩnh vực ngách của danh tính chứng minh không biết (ZKID), để chứng minh bản thân với các dịch vụ cần xác thực danh tính, bạn buộc phải tiết lộ toàn bộ danh tính hợp pháp của mình. Điều này vi phạm nghiêm trọng "nguyên tắc quyền hạn tối thiểu" trong an ninh máy tính: một quy trình chỉ nên nhận được quyền hạn và thông tin tối thiểu cần thiết để hoàn thành nhiệm vụ của mình. Chúng cần chứng minh rằng bạn không phải là robot, đã đủ 18 tuổi hoặc đến từ một quốc gia cụ thể, nhưng những gì chúng nhận được lại là thông tin về toàn bộ danh tính của bạn.

Giải pháp cải tiến tốt nhất hiện tại là sử dụng các mã gián tiếp như số điện thoại, số thẻ tín dụng: lúc này, chủ thể biết số điện thoại / số thẻ tín dụng của bạn liên kết với hoạt động trong ứng dụng và chủ thể biết số điện thoại / số thẻ tín dụng của bạn liên kết với danh tính hợp pháp (công ty hoặc ngân hàng) là tách biệt nhau. Nhưng sự tách biệt này cực kỳ mong manh: số điện thoại và các thông tin khác có thể bị rò rỉ bất cứ lúc nào.

Và nhờ vào công nghệ đóng gói bằng chứng không biết (ZK-wrapping, một phương pháp sử dụng bằng chứng không biết để bảo vệ quyền riêng tư danh tính của người dùng, cho phép người dùng chứng minh danh tính của mình mà không tiết lộ thông tin nhạy cảm), các vấn đề nêu trên đã được giải quyết đến mức độ lớn. Nhưng điều tiếp theo cần thảo luận là một điểm ít được đề cập hơn: vẫn còn một số vấn đề không chỉ chưa được giải quyết, mà còn có thể trở nên nghiêm trọng hơn do những hạn chế nghiêm ngặt của các giải pháp kiểu "một người một danh tính".

Chứng minh không kiến thức tự nó không thể thực hiện tính ẩn danh

Giả sử một nền tảng xác thực danh tính không biết (ZK-identity) hoạt động hoàn toàn theo dự kiến, tái hiện tất cả các logic trên một cách nghiêm ngặt, thậm chí đã tìm ra phương pháp để bảo vệ thông tin riêng tư của người dùng không kỹ thuật trong thời gian dài mà không phụ thuộc vào các tổ chức tập trung. Nhưng đồng thời, chúng ta có thể đưa ra một giả định phù hợp với thực tế: các ứng dụng sẽ không chủ động phối hợp với việc bảo vệ quyền riêng tư, chúng sẽ tuân thủ nguyên tắc "chủ nghĩa thực dụng", các thiết kế được áp dụng dù mang danh "tối đa hóa sự tiện lợi cho người dùng", thực tế dường như luôn nghiêng về lợi ích chính trị và thương mại của chính mình.

Trong bối cảnh như vậy, các ứng dụng mạng xã hội sẽ không áp dụng thiết kế phức tạp như thường xuyên thay đổi khóa phiên, mà sẽ phân bổ một ID riêng biệt cho từng người dùng, và do hệ thống danh tính tuân theo quy tắc "mỗi người một danh tính", người dùng chỉ có thể sở hữu một tài khoản (điều này trái ngược với "danh tính yếu (weak ID)" hiện tại, chẳng hạn như tài khoản Google, mà người bình thường dễ dàng đăng ký khoảng 5 tài khoản). Trong thế giới thực, việc đạt được sự ẩn danh thường yêu cầu nhiều tài khoản: một tài khoản cho "danh tính thông thường", các tài khoản khác cho các danh tính ẩn danh khác nhau (xem "finsta và rinsta"). Do đó, trong mô hình này, mức độ ẩn danh mà người dùng thực sự có thể đạt được có thể thấp hơn mức hiện tại. Như vậy, ngay cả hệ thống "mỗi người một danh tính" được bọc bằng chứng không tri thức cũng có thể dẫn chúng ta dần dần đến một thế giới mà mọi hoạt động phải phụ thuộc vào một danh tính công khai duy nhất. Trong thời đại rủi ro ngày càng gia tăng (chẳng hạn như giám sát bằng máy bay không người lái), việc tước đoạt quyền lựa chọn bảo vệ bản thân thông qua sự ẩn danh sẽ mang lại những tác động tiêu cực nghiêm trọng.

Chứng minh không kiến thức không thể bảo vệ bạn khỏi sự ép buộc.

Ngay cả khi bạn không công khai giá trị bí mật của mình là s, không ai có thể thấy mối liên hệ công khai giữa các tài khoản của bạn, nhưng nếu ai đó buộc bạn phải công khai thì sao? Chính phủ có thể buộc yêu cầu tiết lộ giá trị bí mật của bạn để xem tất cả các hoạt động của bạn. Điều này không phải là chuyện hão huyền: chính phủ Mỹ đã bắt đầu yêu cầu những người xin visa công khai tài khoản mạng xã hội của họ. Hơn nữa, các nhà tuyển dụng cũng có thể dễ dàng đặt việc tiết lộ thông tin công khai đầy đủ làm điều kiện tuyển dụng. Thậm chí, một số ứng dụng có thể yêu cầu người dùng tiết lộ danh tính của họ trên các ứng dụng khác ở mức độ kỹ thuật, mới cho phép đăng ký sử dụng (việc đăng nhập bằng ứng dụng thường thực hiện hành động này).

Tương tự, trong những trường hợp này, giá trị của thuộc tính chứng minh không biết (zero-knowledge proof) hoàn toàn biến mất, nhưng nhược điểm của thuộc tính mới "mỗi người một tài khoản" vẫn tồn tại.

Chúng ta có thể giảm thiểu rủi ro cưỡng chế thông qua tối ưu thiết kế: ví dụ, sử dụng cơ chế tính toán đa bên để tạo ra ID riêng cho từng ứng dụng, cho phép người dùng và bên cung cấp dịch vụ cùng tham gia. Như vậy, nếu không có sự tham gia của bên vận hành ứng dụng, người dùng sẽ không thể chứng minh ID riêng của mình trong ứng dụng đó. Điều này sẽ tăng độ khó trong việc ép buộc người khác tiết lộ danh tính đầy đủ, nhưng không thể hoàn toàn loại bỏ khả năng này, và các giải pháp như vậy cũng có những nhược điểm khác, chẳng hạn như yêu cầu nhà phát triển ứng dụng phải là thực thể hoạt động liên tục, chứ không phải như hợp đồng thông minh trên chuỗi thụ động (không cần can thiệp liên tục).

Chứng minh không biết không thể giải quyết các rủi ro không liên quan đến quyền riêng tư.

Tất cả các hình thức danh tính đều có trường hợp biên.

• Dựa trên danh tính do chính phủ phát hành (ID gốc từ chính phủ), bao gồm hộ chiếu, không bao trùm những người vô tịch, và không bao gồm những người chưa nhận được loại giấy tờ này.
• Mặt khác, hệ thống danh tính dựa trên chính phủ này sẽ trao cho những người có nhiều quốc tịch những đặc quyền độc đáo.
• Cơ quan cấp hộ chiếu có thể bị tấn công bởi hacker, thậm chí các cơ quan tình báo của các quốc gia thù địch có thể làm giả hàng triệu danh tính giả (ví dụ, nếu kiểu "bầu cử du kích" của Nga ngày càng trở nên phổ biến, có thể sử dụng danh tính giả để thao túng bầu cử).
• Đối với những người có đặc điểm sinh học liên quan bị tổn thương do bệnh tật, danh tính sinh trắc học sẽ hoàn toàn không còn hiệu lực.
• Danh tính sinh trắc học rất có thể bị giả mạo. Nếu giá trị của danh tính sinh trắc học trở nên cực kỳ cao, chúng ta thậm chí có thể thấy có người chuyên nuôi cấy các bộ phận cơ thể con người chỉ để "sản xuất hàng loạt" loại danh tính này.

Những trường hợp biên này gây hại nhất trong các hệ thống cố gắng duy trì thuộc tính "mỗi người một danh tính", và chúng không liên quan gì đến quyền riêng tư. Do đó, bằng chứng không biết phải đối phó với điều này.

Dựa vào "chứng minh tài sản" để ngăn chặn tấn công của phù thủy không đủ để giải quyết vấn đề, vì vậy chúng ta cần một hình thức hệ thống danh tính nào đó.

Trong cộng đồng hacker mã hóa thuần túy, một giải pháp thay thế phổ biến là: hoàn toàn phụ thuộc vào "bằng chứng tài sản" để phòng ngừa các cuộc tấn công phù thủy, thay vì xây dựng bất kỳ hình thức hệ thống danh tính nào. Bằng cách yêu cầu mỗi tài khoản phát sinh một chi phí nhất định, có thể ngăn chặn ai đó dễ dàng tạo ra nhiều tài khoản. Cách làm này đã có tiền lệ trên Internet, ví dụ như diễn đàn Somethingawful yêu cầu tài khoản đăng ký phải trả một khoản phí một lần là 10 đô la, nếu tài khoản bị cấm, khoản phí này sẽ không được hoàn lại. Tuy nhiên, trong thực tế, đây không phải là một mô hình kinh tế mã hóa thực sự, vì rào cản lớn nhất để tạo tài khoản mới không phải là thanh toán lại 10 đô la, mà là việc có được thẻ tín dụng mới.

Về lý thuyết, thậm chí có thể làm cho việc thanh toán có tính điều kiện: Khi đăng ký tài khoản, bạn chỉ cần đặt cọc một khoản tiền, chỉ trong những trường hợp rất hiếm hoi như tài khoản bị cấm mới mất khoản tiền này. Về lý thuyết, điều này có thể làm tăng đáng kể chi phí tấn công.

Giải pháp này có hiệu quả đáng kể trong nhiều kịch bản, nhưng lại hoàn toàn không khả thi trong một số loại kịch bản nhất định. Tôi sẽ tập trung thảo luận về hai loại kịch bản, tạm gọi là "kịch bản giống như thu nhập cơ bản toàn cầu (UBI-like)" và "kịch bản giống như quản trị (governance-like)".

Nhu cầu về danh tính trong các tình huống giống như thu nhập cơ bản toàn cầu (UBI-like)

Khái niệm "tình huống thu nhập cơ bản gần như toàn dân" đề cập đến việc phát hành một số lượng tài sản hoặc dịch vụ nhất định cho một nhóm người dùng rất rộng rãi (trong lý tưởng là toàn bộ) mà không xem xét khả năng chi trả của họ. Worldcoin chính là thực hiện điều này một cách hệ thống: bất cứ ai sở hữu World ID đều có thể nhận được một lượng WLD token nhỏ định kỳ. Nhiều airdrop token cũng đạt được mục tiêu tương tự theo cách không chính thức hơn, cố gắng để ít nhất một phần token đến tay càng nhiều người dùng càng tốt.

Về phần cá nhân tôi, tôi không nghĩ rằng giá trị của các loại token này có thể đạt đến mức đủ để duy trì cuộc sống cá nhân. Trong một nền kinh tế do trí tuệ nhân tạo điều khiển, với quy mô tài sản đạt đến hàng nghìn lần hiện tại, các loại token này có thể có giá trị để duy trì cuộc sống; nhưng ngay cả như vậy, ít nhất các dự án do chính phủ dẫn dắt với tài nguyên thiên nhiên làm nền tảng vẫn sẽ chiếm ưu thế hơn về mặt kinh tế. Tuy nhiên, tôi nghĩ rằng các "mini-UBIs" này có thể giải quyết một vấn đề thực tiễn là: giúp mọi người có đủ số lượng tiền điện tử để thực hiện một số giao dịch cơ bản trên chuỗi và mua sắm trực tuyến. Cụ thể có thể bao gồm:

• Lấy tên ENS
• Đăng hash lên chuỗi để khởi tạo một danh tính bằng chứng không kiến thức nào đó
• Thanh toán phí nền tảng mạng xã hội

Nếu tiền điện tử được áp dụng rộng rãi trên toàn cầu, vấn đề này sẽ không còn tồn tại. Nhưng trong bối cảnh tiền điện tử vẫn chưa phổ biến, đây có thể là cách duy nhất để mọi người tiếp cận các ứng dụng phi tài chính trên chuỗi và các dịch vụ hàng hóa trực tuyến liên quan, nếu không họ có thể hoàn toàn không tiếp cận được những tài nguyên này.

Ngoài ra, còn một cách khác có thể đạt được hiệu quả tương tự, đó là "dịch vụ cơ bản toàn cầu (universal basic services)": cung cấp quyền gửi một số lượng giao dịch miễn phí có giới hạn trong một ứng dụng cụ thể cho mỗi người có danh tính. Cách này có thể phù hợp hơn với cơ chế khuyến khích và có hiệu quả vốn cao hơn, vì mỗi ứng dụng được hưởng lợi từ việc áp dụng này có thể làm như vậy mà không cần phải trả tiền cho những người không phải là người dùng; tuy nhiên, điều này cũng đi kèm với một số đánh đổi, tức là tính phổ quát sẽ giảm (người dùng chỉ có thể đảm bảo quyền truy cập vào các ứng dụng tham gia vào chương trình đó). Nhưng ngay cả như vậy, vẫn cần một giải pháp danh tính để ngăn chặn hệ thống bị tấn công bởi spam, đồng thời tránh tạo ra tính độc quyền, tính độc quyền này xuất phát từ việc yêu cầu người dùng thanh toán bằng một phương thức nào đó, và phương thức thanh toán này có thể không phải ai cũng có thể sử dụng.

Loại quan trọng cuối cùng cần nhấn mạnh là "tiền gửi bảo đảm cơ bản toàn cầu (universal basic security deposit)". Một trong những chức năng của danh tính là cung cấp một mục tiêu có thể được truy trách nhiệm mà không cần người dùng đặt cọc số tiền tương đương với quy mô khuyến khích. Điều này cũng giúp thực hiện một mục tiêu: giảm sự phụ thuộc của ngưỡng tham gia vào lượng vốn cá nhân (thậm chí hoàn toàn không cần bất kỳ vốn nào).

Nhu cầu về danh tính trong các tình huống giống như quản trị (governance-like)

Hãy tưởng tượng một hệ thống bỏ phiếu (chẳng hạn như lượt thích và chia sẻ trên nền tảng mạng xã hội): nếu tài nguyên của người dùng A gấp 10 lần người dùng B, thì quyền bỏ phiếu của A cũng sẽ gấp 10 lần của B. Nhưng từ góc độ kinh tế, mỗi đơn vị quyền bỏ phiếu mang lại lợi ích cho A gấp 10 lần so với B (bởi vì quy mô của A lớn hơn, bất kỳ quyết định nào cũng có ảnh hưởng rõ rệt hơn đến lĩnh vực kinh tế của A). Do đó, tổng thể mà nói, lợi ích từ việc bỏ phiếu của A cho bản thân là gấp 100 lần lợi ích từ việc bỏ phiếu của B cho bản thân. Chính vì lý do này, chúng ta sẽ thấy A sẽ đầu tư nhiều công sức hơn vào việc tham gia bỏ phiếu, nghiên cứu cách bỏ phiếu để tối đa hóa mục tiêu của bản thân, thậm chí có thể sẽ thao túng thuật toán một cách chiến lược. Đây cũng là lý do cơ bản khiến "cá voi" có thể tạo ra ảnh hưởng quá mức trong cơ chế bỏ phiếu bằng token.

Lý do sâu sắc và phổ biến hơn nằm ở chỗ: Hệ thống quản trị không nên coi "một người nắm giữ 100.000 đô la" và "1.000 người cùng nắm giữ 100.000 đô la" là ngang nhau. Cái sau đại diện cho 1.000 cá nhân độc lập, do đó sẽ chứa đựng nhiều thông tin có giá trị phong phú hơn, thay vì thông tin có khối lượng nhỏ nhưng lặp đi lặp lại. Tín hiệu từ 1.000 người thường cũng "ôn hòa" hơn, vì ý kiến của các cá nhân khác nhau thường sẽ tự cân bằng lẫn nhau.

Điều này áp dụng cho cả hệ thống bỏ phiếu chính thức và "hệ thống bỏ phiếu không chính thức", chẳng hạn như khả năng của mọi người tham gia vào sự tiến hóa văn hóa thông qua việc phát biểu công khai.

Điều này cho thấy rằng hệ thống quản trị kiểu này sẽ không thực sự hài lòng với cách tiếp cận "bất kể nguồn vốn, các nguồn vốn có quy mô tương đương đều được đối xử như nhau". Hệ thống thực sự cần hiểu mức độ phối hợp bên trong của các nguồn vốn này.

Cần lưu ý rằng, nếu bạn đồng ý với khuôn khổ mô tả của tôi về hai loại tình huống trên (tình huống thu nhập cơ bản toàn dân và tình huống quản trị), thì từ góc độ kỹ thuật, nhu cầu về quy tắc rõ ràng "mỗi người một phiếu" sẽ không còn nữa.

• Đối với các ứng dụng trong bối cảnh thu nhập cơ bản toàn cầu (giống như UBI), giải pháp danh tính thực sự cần thiết là: danh tính đầu tiên miễn phí, giới hạn số lượng danh tính có thể nhận được. Khi chi phí để có thêm danh tính cao đến mức làm cho hành vi tấn công hệ thống trở nên vô nghĩa, thì hiệu quả giới hạn đã đạt được.
• Đối với các ứng dụng trong bối cảnh giống như quản trị (governance-like), nhu cầu cốt lõi là: có thể thông qua một chỉ số gián tiếp nào đó để đánh giá, tài nguyên mà bạn tiếp xúc có một chủ thể điều khiển duy nhất đứng sau, hay là một nhóm nào đó "hình thành tự nhiên", có mức độ phối hợp thấp.

Trong hai tình huống này, danh tính vẫn rất hữu ích, nhưng yêu cầu tuân thủ các quy tắc nghiêm ngặt như "mỗi người một danh tính" đã không còn.

Trạng thái lý tưởng về lý thuyết là: Chi phí để có N danh tính là N²

Từ các lập luận trên, chúng ta có thể thấy có hai loại áp lực từ hai phía đối lập giới hạn độ khó kỳ vọng trong việc có được nhiều danh tính trong hệ thống danh tính:

Đầu tiên, không thể đặt ra một giới hạn cứng rõ ràng cho "số lượng danh tính có thể dễ dàng có được". Nếu một người chỉ có thể có một danh tính, thì không thể nói đến tính ẩn danh, và có thể bị ép buộc tiết lộ danh tính. Thực tế, ngay cả khi số lượng cố định lớn hơn 1 cũng tiềm ẩn rủi ro: nếu mọi người đều biết mỗi người có 5 danh tính, thì bạn có thể bị ép buộc tiết lộ cả 5 danh tính.

Một lý do khác để hỗ trợ điều này là tính ẩn danh tự thân rất mong manh, vì vậy cần có đủ không gian an toàn để dự phòng. Nhờ có các công cụ AI hiện đại, việc liên kết hành vi người dùng trên nhiều nền tảng trở nên dễ dàng, chỉ cần 33 bits thông tin để xác định chính xác một người thông qua thói quen sử dụng từ ngữ, thời gian đăng bài, khoảng cách giữa các bài đăng, chủ đề thảo luận và các thông tin công khai khác. Mọi người có thể sử dụng các công cụ AI để phòng ngừa (ví dụ, khi tôi đã đăng nội dung một cách ẩn danh, tôi đã viết bằng tiếng Pháp trước, rồi dịch sang tiếng Anh bằng mô hình ngôn ngữ chạy cục bộ), nhưng ngay cả như vậy, tôi cũng không muốn một lần sai lầm thì sẽ chấm dứt hoàn toàn tính ẩn danh của mình.

Thứ hai, danh tính không thể hoàn toàn gắn liền với tài chính (tức là chi phí để có được N danh tính là N), vì điều này sẽ cho phép các thực thể lớn dễ dàng có được ảnh hưởng quá lớn (dẫn đến việc các thực thể nhỏ hoàn toàn mất quyền phát ngôn). Cơ chế mới của Twitter Blue thể hiện điều này: phí xác thực 8 đô la mỗi tháng quá thấp, hoàn toàn không thể hạn chế hiệu quả hành vi lạm dụng, hiện nay người dùng về cơ bản đã coi nhẹ biểu tượng xác thực này.

Ngoài ra, có lẽ chúng ta cũng không muốn những thực thể có số lượng tài nguyên gấp N lần có thể tùy ý thực hiện những hành vi không đúng mực gấp N lần.

Tổng hợp các luận điểm trên, chúng tôi hy vọng có thể dễ dàng có được nhiều danh tính trong điều kiện đáp ứng các ràng buộc sau: (1) Hạn chế quyền lực của các chủ thể lớn trong các ứng dụng quản trị; (2) Hạn chế hành vi lạm dụng trong các ứng dụng liên quan đến thu nhập cơ bản toàn dân.

Nếu chúng ta trực tiếp tham khảo mô hình toán học của các ứng dụng quản trị trong văn bản trước, chúng ta sẽ có một câu trả lời rõ ràng: nếu có N danh tính mang lại sức ảnh hưởng là N², thì chi phí để có được N danh tính nên là N². Thật trùng hợp, câu trả lời này cũng áp dụng cho các ứng dụng tương tự như thu nhập cơ bản toàn dân.

Các độc giả cũ của blog này có thể nhận thấy rằng điều này hoàn toàn nhất quán với biểu đồ trong một bài viết trước đây về "quadratic funding", điều này không phải là ngẫu nhiên.

Hệ thống danh tính đa dạng (Pluralistic identity) có thể đạt được trạng thái lý tưởng này

Hệ thống "định danh đa dạng" đề cập đến cơ chế định danh không có một cơ quan phát hành nào thống trị, bất kể cơ quan đó là cá nhân, tổ chức hay nền tảng. Hệ thống này có thể được thực hiện theo hai cách:

• Danh tính đa dạng rõ rệt (Explicit pluralistic identity, còn được gọi là "danh tính dựa trên đồ thị xã hội social-graph-based identity"). Bạn có thể xác thực danh tính của mình (hoặc các tuyên bố khác, chẳng hạn như xác nhận bạn là thành viên của một cộng đồng) thông qua sự chứng thực của những người khác trong cộng đồng của bạn, và danh tính của những người chứng thực này cũng được xác thực qua cùng một cơ chế. Bài viết "Xã hội phi tập trung" cung cấp những giải thích chi tiết hơn về loại thiết kế này, Circles là một ví dụ đang hoạt động hiện nay.
• Danh tính đa dạng ngầm (Implicit pluralistic identity). Đây là tình trạng hiện tại, có nhiều nhà cung cấp danh tính khác nhau, bao gồm Google, Twitter, các nền tảng tương tự ở các quốc gia và nhiều loại giấy tờ tùy thân do chính phủ phát hành. Rất ít ứng dụng chỉ chấp nhận một loại xác thực danh tính, hầu hết các ứng dụng sẽ tương thích với nhiều loại, vì chỉ như vậy mới có thể tiếp cận được người dùng tiềm năng.

Bản chụp nhanh mới nhất của Circles về bản đồ danh tính. Circles là một trong những dự án danh tính lớn nhất hiện nay dựa trên mạng xã hội.

Danh tính đa dạng rõ ràng tự nhiên mang tính ẩn danh: bạn có thể có một danh tính ẩn danh (thậm chí là nhiều danh tính), mỗi danh tính có thể xây dựng uy tín trong cộng đồng thông qua hành động của mình. Một hệ thống danh tính đa dạng rõ ràng lý tưởng thậm chí có thể không cần khái niệm "danh tính riêng biệt"; ngược lại, bạn có thể sở hữu một tập hợp mờ được cấu thành từ các hành vi quá khứ có thể xác minh, và có thể chứng minh các phần khác nhau của nó theo cách tinh vi tùy theo nhu cầu của mỗi hành động.

Chứng minh không kiến thức sẽ giúp việc đạt được tính ẩn danh trở nên dễ dàng hơn: bạn có thể sử dụng danh tính chính để khởi động một danh tính ẩn danh bằng cách cung cấp tín hiệu đầu tiên một cách riêng tư để danh tính ẩn danh mới được công nhận (ví dụ, thông qua chứng minh không kiến thức rằng bạn sở hữu một số lượng token nhất định, từ đó có thể đăng nội dung trên anon.world; hoặc, thông qua chứng minh không kiến thức rằng người theo dõi Twitter của bạn có một đặc điểm nào đó). Có thể còn nhiều cách sử dụng chứng minh không kiến thức hiệu quả hơn.

"Đường chi phí" của danh tính đa dạng tiềm ẩn dốc hơn đường parabola, nhưng vẫn có hầu hết các đặc điểm cần thiết. Hầu hết mọi người sở hữu một số dạng danh tính được liệt kê trong bài viết này, chứ không phải tất cả. Bạn có thể nỗ lực để có được một dạng danh tính khác, nhưng càng có nhiều dạng danh tính, thì tỷ lệ chi phí lợi ích để có được dạng tiếp theo càng thấp. Do đó, nó cung cấp tác dụng kiềm chế cần thiết cho các cuộc tấn công quản trị và các hành vi lạm dụng khác, đồng thời đảm bảo rằng những kẻ cưỡng chế không thể yêu cầu (và không thể hợp lý kỳ vọng) bạn tiết lộ một bộ danh tính cố định nào đó.

Bất kỳ hình thức hệ thống danh tính đa dạng nào (dù là ẩn hay hiện) đều có khả năng chịu lỗi mạnh mẽ hơn: người bị khuyết tật tay hoặc mắt vẫn có thể giữ hộ chiếu, người không quốc tịch cũng có thể chứng minh danh tính của mình thông qua một số kênh phi chính phủ.

Cần lưu ý rằng, nếu thị phần của một hình thức danh tính nào đó gần 100% và trở thành lựa chọn đăng nhập duy nhất, thì những đặc điểm trên sẽ không còn hiệu lực. Theo tôi, đây là rủi ro lớn nhất mà các hệ thống danh tính quá chú trọng đến "tính phổ quát" có thể phải đối mặt: một khi thị phần của chúng gần 100%, chúng sẽ đưa thế giới từ hệ thống danh tính đa dạng sang mô hình "mỗi người một danh tính", và như đã nêu trong bài viết này, mô hình này có nhiều nhược điểm.

Trong quan điểm của tôi, kết thúc lý tưởng của dự án "Một người một danh tính" hiện tại là sự hòa nhập với hệ thống danh tính dựa trên đồ thị xã hội. Vấn đề lớn nhất mà các dự án danh tính dựa trên đồ thị xã hội phải đối mặt là khó mở rộng cho hàng triệu người dùng. Hệ thống "Một người một danh tính" có thể được sử dụng để cung cấp hỗ trợ ban đầu cho đồ thị xã hội, tạo ra hàng triệu "người dùng hạt giống", khi đó số lượng người dùng sẽ đủ lớn để có thể phát triển an toàn từ nền tảng này thành đồ thị xã hội phân tán toàn cầu.

Xin chân thành cảm ơn các tình nguyện viên Balvi, các thành viên Silviculture và các thành viên đội ngũ World đã tham gia thảo luận.