Vitalik: Việc áp dụng công nghệ ZK cho danh tính số có thực sự loại bỏ mọi rủi ro?
Tuyển chọn TechFlowTuyển chọn TechFlow
Vitalik: Việc áp dụng công nghệ ZK cho danh tính số có thực sự loại bỏ mọi rủi ro?
Chứng minh không kiến thức đóng gói (ZK-wrapping) giải quyết nhiều vấn đề quan trọng.
Chuyên sâu báo cáo Web3Tác giả: Vitalik Buterin
Biên dịch: Saoirse, Foresight News
Hiện nay, việc sử dụng bằng chứng không kiến thức (zero-knowledge proof) để bảo vệ quyền riêng tư trong các hệ thống định danh số đã phần nào trở thành xu hướng chủ lưu. Các dự án hộ chiếu ZK (ZK-passport project – chỉ các dự án định danh số dựa trên công nghệ bằng chứng không kiến thức) đang phát triển các gói phần mềm thân thiện với người dùng, cho phép người dùng chứng minh họ sở hữu một định danh hợp lệ mà không cần tiết lộ bất kỳ chi tiết nào về bản thân. World ID (trước đây là Worldcoin), vốn sử dụng xác thực sinh trắc học và bảo vệ quyền riêng tư qua bằng chứng không kiến thức, gần đây đã đạt mốc hơn 10 triệu người dùng. Một dự án định danh số của chính phủ tại Đài Loan (Trung Quốc) cũng áp dụng bằng chứng không kiến thức, và các nỗ lực liên quan đến định danh số của Liên minh châu Âu ngày càng coi trọng công nghệ này.
Bề ngoài, sự phổ biến của định danh dựa trên bằng chứng không kiến thức dường như là một chiến thắng lớn cho d/acc (chú thích: khái niệm do Vitalik đề xuất năm 2023, ủng hộ việc thúc đẩy công nghệ phi tập trung thông qua các công cụ kỹ thuật (như mật mã, blockchain...), vừa tăng tốc tiến bộ công nghệ vừa phòng thủ trước rủi ro tiềm tàng, là một triết lý trung dung nhằm cân bằng giữa đổi mới công nghệ với an toàn, quyền riêng tư và quyền tự chủ của con người). Nó có thể bảo vệ mạng xã hội, hệ thống bỏ phiếu và nhiều dịch vụ internet khác khỏi các cuộc tấn công Sybil và thao túng bởi bot mà không làm tổn hại đến quyền riêng tư. Nhưng liệu mọi chuyện có đơn giản như vậy? Liệu định danh dựa trên bằng chứng không kiến thức vẫn có những rủi ro tiềm ẩn? Bài viết này sẽ làm rõ các luận điểm sau:
-
ZK-wrapping giải quyết được nhiều vấn đề quan trọng.
-
Tuy nhiên, định danh ZK-wrapping vẫn tiềm ẩn rủi ro. Những rủi ro này dường như ít liên quan đến việc sử dụng sinh trắc học hay hộ chiếu, mà chủ yếu bắt nguồn từ yêu cầu cứng nhắc "một người – một định danh", bao gồm rò rỉ riêng tư, dễ bị ép buộc, sai sót hệ thống, v.v.
-
Một thái cực đối lập – sử dụng "bằng chứng tài sản (proof of wealth)" để chống lại tấn công Sybil – thì trong hầu hết các trường hợp đều không đủ hiệu quả, vì vậy chúng ta cần một giải pháp mang tính "định danh" nào đó.
-
Trạng thái lý tưởng về mặt lý thuyết nằm ở giữa hai thái cực đó: chi phí để có N định danh là N².
-
Trạng thái lý tưởng này khó đạt được trong thực tế, nhưng một hệ thống định danh đa nguyên phù hợp sẽ rất gần với nó, do đó là giải pháp thực tế nhất. Định danh đa nguyên có thể là tường minh (ví dụ: định danh dựa trên đồ thị xã hội), hoặc ngầm định (nhiều loại định danh ZK tồn tại song song mà không có loại nào chiếm thị phần gần 100%).
Định danh ZK-wrapping hoạt động như thế nào?
Hãy hình dung bạn nhận được World ID bằng cách quét mống mắt, hoặc dùng đầu đọc NFC trên điện thoại để quét hộ chiếu và nhận định danh dựa trên ZK-passport. Về mục đích lập luận trong bài viết này, hai phương pháp này có các thuộc tính cốt lõi giống nhau (chỉ khác biệt nhỏ ở các trường hợp biên như người mang quốc tịch kép).
Trên điện thoại của bạn, có một giá trị bí mật s. Trên bảng đăng ký toàn cầu trong chuỗi (on-chain), có một giá trị băm công khai H(s). Khi đăng nhập vào một ứng dụng, bạn tạo ra một định danh người dùng dành riêng cho ứng dụng đó, tức là H(s, tên_ứng_dụng), đồng thời sử dụng bằng chứng không kiến thức để xác minh rằng định danh này cùng bắt nguồn từ giá trị bí mật s với một giá trị băm công khai nào đó trong bảng đăng ký. Do đó, mỗi giá trị băm công khai chỉ có thể tạo ra một định danh duy nhất cho mỗi ứng dụng, nhưng tuyệt đối không tiết lộ mối liên hệ giữa một định danh riêng cho ứng dụng cụ thể và giá trị băm công khai nào.
Trong thực tế, thiết kế có thể phức tạp hơn. Trong World ID, định danh riêng cho ứng dụng thực chất là giá trị băm của ID ứng dụng và ID phiên, do đó các hành động khác nhau trong cùng một ứng dụng cũng có thể được tách rời về mặt nhận dạng. Thiết kế dựa trên ZK-passport cũng có thể được xây dựng theo cách tương tự.
Trước khi thảo luận về những điểm yếu của loại định danh này, điều quan trọng là phải công nhận những lợi ích mà nó mang lại. Ngoài phạm vi hẹp của định danh ZK (ZKID), để chứng minh bản thân với các dịch vụ yêu cầu xác thực, bạn thường phải tiết lộ toàn bộ danh tính pháp lý của mình. Điều này vi phạm nghiêm trọng "nguyên tắc quyền hạn tối thiểu" trong bảo mật máy tính: một tiến trình chỉ nên nhận được mức quyền hạn và thông tin tối thiểu cần thiết để hoàn thành nhiệm vụ. Chúng cần bằng chứng rằng bạn không phải robot, đủ 18 tuổi hoặc đến từ một quốc gia cụ thể, nhưng điều chúng nhận được lại là thông tin định danh đầy đủ của bạn.
Cải tiến tốt nhất hiện có là sử dụng các token gián tiếp như số điện thoại hoặc số thẻ tín dụng: lúc này, thực thể biết mối liên hệ giữa số điện thoại/thẻ tín dụng với hoạt động trong ứng dụng và thực thể biết mối liên hệ giữa số điện thoại/thẻ tín dụng với danh tính pháp lý (công ty hoặc ngân hàng) là hai bên riêng biệt. Tuy nhiên, sự tách biệt này rất mong manh: số điện thoại và các thông tin khác có thể bị rò rỉ bất cứ lúc nào.
Nhờ ZK-wrapping (một kỹ thuật sử dụng bằng chứng không kiến thức để bảo vệ quyền riêng tư trong định danh, cho phép người dùng chứng minh danh tính mà không tiết lộ thông tin nhạy cảm), vấn đề trên phần lớn được giải quyết. Nhưng tiếp theo là một điểm ít được nhắc tới: vẫn còn những vấn đề chưa được giải quyết, thậm chí có thể trở nên tồi tệ hơn do giới hạn cứng nhắc "một người – một định danh" trong các giải pháp kiểu này.
Bằng chứng không kiến thức bản thân không đảm bảo tính ẩn danh
Giả sử một nền tảng định danh ZK (ZK-identity) vận hành hoàn hảo như mong đợi, tái hiện chính xác tất cả logic nêu trên, thậm chí đã tìm ra cách bảo vệ thông tin cá nhân lâu dài cho người dùng không chuyên mà không cần đến tổ chức trung tâm. Đồng thời, ta có thể giả định một cách hợp lý rằng các ứng dụng sẽ không tích cực phối hợp bảo vệ quyền riêng tư; chúng sẽ theo chủ nghĩa thực dụng, lựa chọn thiết kế dù mang danh "tối ưu hóa tiện lợi cho người dùng" nhưng thực tế luôn nghiêng về lợi ích thương mại và chính trị của bản thân.
Trong kịch bản này, các ứng dụng mạng xã hội sẽ không áp dụng các thiết kế phức tạp như thường xuyên luân chuyển khóa phiên, mà thay vào đó gán cho mỗi người dùng một định danh riêng duy nhất cho ứng dụng, và do hệ thống định danh tuân theo quy tắc "một người – một định danh", người dùng chỉ có thể sở hữu một tài khoản (khác với "định danh yếu (weak ID)" hiện tại như tài khoản Google, nơi người bình thường dễ dàng tạo khoảng 5 tài khoản). Trên thực tế, tính ẩn danh thường đòi hỏi nhiều tài khoản: một cái cho "danh tính thông thường", và các cái khác cho các danh tính ẩn danh (xem ví dụ "finsta and rinsta"). Do đó, dưới mô hình này, mức độ ẩn danh mà người dùng thực sự có thể đạt được có thể thấp hơn hiện tại. Như vậy, ngay cả hệ thống "một người – một định danh" đã được ZK-wrapping cũng có thể dẫn chúng ta đến một thế giới nơi mọi hoạt động đều phải gắn liền với một danh tính công khai duy nhất. Trong thời đại rủi ro ngày càng gia tăng (ví dụ giám sát bằng drone), việc tước đi lựa chọn bảo vệ bản thân qua ẩn danh sẽ gây ra hậu quả nghiêm trọng.
Bằng chứng không kiến thức bản thân không bảo vệ bạn khỏi sự ép buộc
Dù bạn không tiết lộ giá trị bí mật s của mình và không ai thấy được mối liên hệ công khai giữa các tài khoản của bạn, nhưng nếu có người ép bạn tiết lộ thì sao? Chính phủ có thể yêu cầu bắt buộc tiết lộ giá trị bí mật để xem xét mọi hoạt động. Điều này không phải viễn cảnh: chính phủ Mỹ đã bắt đầu yêu cầu người xin visa tiết lộ tài khoản mạng xã hội của họ. Ngoài ra, nhà tuyển dụng cũng có thể dễ dàng đặt điều kiện tiết lộ toàn bộ hồ sơ công khai để được thuê. Thậm chí, từng ứng dụng riêng lẻ về mặt kỹ thuật cũng có thể yêu cầu người dùng tiết lộ danh tính của họ trên các ứng dụng khác mới cho phép đăng ký (việc dùng app để đăng nhập mặc định thực hiện điều này).
Một lần nữa, trong những trường hợp này, giá trị của thuộc tính bằng chứng không kiến thức hoàn toàn mất tác dụng, nhưng nhược điểm của thuộc tính mới "một người – một tài khoản" vẫn tồn tại.
Chúng ta có thể giảm rủi ro ép buộc bằng thiết kế: ví dụ, dùng cơ chế tính toán đa bên (multi-party computation) để tạo định danh riêng cho mỗi ứng dụng, nơi người dùng và bên cung cấp dịch vụ cùng tham gia. Như vậy, nếu không có sự tham gia của nhà vận hành ứng dụng, người dùng sẽ không thể chứng minh định danh riêng của mình trong ứng dụng đó. Điều này làm tăng độ khó để ép buộc người khác tiết lộ toàn bộ danh tính, nhưng không thể loại bỏ hoàn toàn khả năng này, và các giải pháp như vậy cũng có nhược điểm khác, ví dụ yêu cầu các nhà phát triển ứng dụng phải là thực thể hoạt động liên tục, chứ không phải hợp đồng thông minh thụ động trên chuỗi (không cần can thiệp liên tục).
Bằng chứng không kiến thức bản thân không giải quyết được các rủi ro phi riêng tư
Mọi hình thức định danh đều có các trường hợp ngoại lệ:
-
Định danh dựa trên chính phủ (Government-rooted ID), bao gồm hộ chiếu, không thể bao phủ người vô quốc tịch hoặc những người chưa có giấy tờ này.
-
Mặt khác, hệ thống định danh dựa trên chính phủ này lại trao đặc quyền độc đáo cho những người mang quốc tịch kép.
-
Cơ quan cấp hộ chiếu có thể bị tấn công mạng, cơ quan tình báo nước địch thậm chí có thể giả mạo hàng triệu định danh giả (ví dụ, nếu các "cuộc bầu cử du kích" kiểu Nga lan rộng, chúng có thể dùng định danh giả để thao túng bầu cử).
-
Với những người tổn thương sinh trắc học do bệnh tật hoặc chấn thương, định danh sinh trắc học sẽ hoàn toàn thất bại.
-
Định danh sinh trắc học rất dễ bị đánh lừa bởi bản sao. Nếu giá trị của định danh sinh trắc học trở nên cực kỳ cao, chúng ta thậm chí có thể thấy tình trạng nuôi cấy cơ quan người chỉ để "sản xuất hàng loạt" các định danh này.
Những trường hợp ngoại lệ này gây hại nhiều nhất trong các hệ thống cố gắng duy trì thuộc tính "một người – một định danh", và chúng hoàn toàn không liên quan đến riêng tư. Vì vậy, bằng chứng không kiến thức không thể giúp gì ở đây.
Phòng chống tấn công Sybil bằng "bằng chứng tài sản" là không đủ, do đó chúng ta cần một dạng hệ thống định danh nào đó
Trong cộng đồng mật mã thuần túy (cypherpunk), một giải pháp thay thế phổ biến là hoàn toàn dựa vào "bằng chứng tài sản (proof of wealth)" để chống tấn công Sybil, thay vì xây dựng bất kỳ dạng hệ thống định danh nào. Bằng cách khiến mỗi tài khoản phải tốn một chi phí nhất định, ta có thể ngăn chặn việc tạo hàng loạt tài khoản một cách dễ dàng. Cách làm này đã có tiền lệ trên internet, ví dụ diễn đàn Somethingawful yêu cầu thanh toán 10 USD một lần để đăng ký tài khoản, và khoản tiền này sẽ không được hoàn lại nếu tài khoản bị cấm. Tuy nhiên, trong thực tế đây không phải mô hình mật mã kinh tế thực sự, vì rào cản lớn nhất để tạo tài khoản mới không phải trả lại 10 USD, mà là việc lấy được một thẻ tín dụng mới.
Theo lý thuyết, thanh toán có thể được thiết kế có điều kiện: khi đăng ký tài khoản, bạn chỉ cần đặt cọc một khoản tiền, và chỉ mất khoản này trong những trường hợp cực đoan như tài khoản bị cấm. Về mặt lý thuyết, điều này có thể nâng cao đáng kể chi phí tấn công.
Giải pháp này hiệu quả trong nhiều tình huống, nhưng lại hoàn toàn bất khả thi trong một số loại tình huống nhất định. Tôi sẽ tập trung vào hai loại, tạm gọi là tình huống "giống UBI (UBI-like)" và "giống quản trị (governance-like)".
Nhu cầu về định danh trong tình huống giống UBI (UBI-like)
"Tình huống giống UBI" ám chỉ các trường hợp cần phân phối một lượng tài sản hoặc dịch vụ nhất định cho một nhóm người dùng cực kỳ rộng rãi (lý tưởng là toàn bộ), mà không xét đến khả năng chi trả của họ. Worldcoin là ví dụ điển hình: bất kỳ ai có World ID đều định kỳ nhận được một lượng nhỏ token WLD. Nhiều đợt airdrop token cũng theo đuổi mục tiêu tương tự theo cách thức không chính thức hơn, cố gắng đưa một phần token vào tay càng nhiều người dùng càng tốt.
Theo quan điểm cá nhân tôi, tôi không nghĩ các token này sẽ có giá trị đến mức duy trì sinh kế. Trong một nền kinh tế do AI thúc đẩy, với quy mô tài sản gấp nghìn lần hiện tại, các token này có thể có giá trị sinh kế; nhưng ngay cả vậy, các dự án do chính phủ dẫn dắt, được hậu thuẫn bởi tài sản thiên nhiên, vẫn sẽ quan trọng hơn về mặt kinh tế. Tuy nhiên, tôi cho rằng các "UBI nhỏ (mini-UBIs)" này có thể giải quyết thực tế: giúp mọi người có được lượng tiền mã hóa đủ để thực hiện các giao dịch cơ bản trên chuỗi và mua hàng trực tuyến. Cụ thể có thể bao gồm:
-
Lấy tên ENS
-
Đăng tải hash lên chuỗi để khởi tạo một định danh ZK
-
Thanh toán phí nền tảng mạng xã hội
Nếu tiền mã hóa được áp dụng rộng rãi toàn cầu, vấn đề này sẽ không còn. Nhưng trong bối cảnh tiền mã hóa chưa phổ cập, đây có thể là con đường duy nhất để mọi người tiếp cận các ứng dụng phi tài chính trên chuỗi và các dịch vụ hàng hóa/dịch vụ trực tuyến liên quan, nếu không họ có thể hoàn toàn bị loại trừ.
Ngoài ra, còn một cách khác để đạt được hiệu quả tương tự: "dịch vụ cơ bản phổ quát (universal basic services)" – cấp cho mỗi người có định danh quyền gửi một số lượng giao dịch miễn phí giới hạn trong một ứng dụng cụ thể. Cách này có thể phù hợp hơn về mặt cơ chế khuyến khích và hiệu quả vốn cao hơn, vì mỗi ứng dụng hưởng lợi từ việc áp dụng đều có thể tự làm như vậy, mà không phải trả tiền cho người không dùng; tuy nhiên, điều này đi kèm với sự đánh đổi: tính phổ quát giảm (người dùng chỉ được đảm bảo quyền truy cập ứng dụng tham gia chương trình). Dù vậy, ở đây vẫn cần một giải pháp định danh để ngăn hệ thống bị tấn công spam, đồng thời tránh sự loại trừ do yêu cầu người dùng phải trả bằng một phương thức nào đó mà không phải ai cũng có thể sử dụng.
Một hạng mục quan trọng khác cần nhấn mạnh là "khoản đặt cọc an toàn cơ bản phổ quát (universal basic security deposit)". Một chức năng của định danh là cung cấp một đối tượng có thể truy cứu trách nhiệm, mà không cần người dùng đặt cọc số vốn tương đương với quy mô khuyến khích. Điều này cũng góp phần vào mục tiêu: giảm sự phụ thuộc của ngưỡng tham gia vào lượng vốn cá nhân (thậm chí hoàn toàn không cần vốn).
Nhu cầu về định danh trong tình huống giống quản trị (governance-like)
Hãy tưởng tượng một hệ thống bỏ phiếu (ví dụ: lượt thích và chia sẻ trên mạng xã hội): nếu nguồn lực của người dùng A gấp 10 lần người dùng B, thì quyền biểu quyết của A cũng sẽ gấp 10 lần B. Nhưng về mặt kinh tế, mỗi đơn vị quyền biểu quyết mang lại lợi ích cho A lại gấp 10 lần so với B (vì quy mô của A lớn hơn, bất kỳ quyết định nào cũng ảnh hưởng sâu rộng hơn về mặt kinh tế đến A). Do đó, tổng thể, lá phiếu của A có lợi cho bản thân A gấp 100 lần so với lá phiếu của B có lợi cho bản thân B. Chính vì vậy, ta thấy A sẵn sàng bỏ nhiều công sức hơn để tham gia bỏ phiếu, nghiên cứu cách bỏ phiếu tối ưu hóa mục tiêu của mình, thậm chí có thể thao túng thuật toán một cách chiến lược. Đây cũng là nguyên nhân căn bản khiến "cá voi" có ảnh hưởng quá mức trong cơ chế bỏ phiếu bằng token.
Một lý do phổ quát và sâu sắc hơn: hệ thống quản trị không nên đối xử như nhau giữa "một người kiểm soát 100.000 USD" và "1.000 người cùng nắm giữ 100.000 USD". Cái sau đại diện cho 1.000 cá thể độc lập, do đó chứa đựng thông tin có giá trị phong phú hơn, chứ không phải thông tin dung lượng nhỏ bị lặp lại ở mức cao. Tín hiệu từ 1.000 người cũng thường "nhẹ nhàng" hơn, vì ý kiến của các cá thể khác nhau thường triệt tiêu lẫn nhau.
Điều này đúng cả với các hệ thống bỏ phiếu chính thức và các "hệ thống bỏ phiếu phi chính thức", ví dụ như khả năng mọi người lên tiếng công khai để tham gia tiến hóa văn hóa.
Điều này cho thấy các hệ thống giống quản trị sẽ không thực sự hài lòng với cách làm "đối xử như nhau với các gói tài chính có quy mô bằng nhau, bất kể nguồn gốc". Hệ thống thực sự cần hiểu được mức độ phối hợp nội bộ của các gói tài chính này.
Cần lưu ý rằng, nếu bạn đồng tình với khung mô tả của tôi về hai loại tình huống trên (giống UBI và giống quản trị), thì về mặt kỹ thuật, nhu cầu về một quy tắc rõ ràng như "một người – một phiếu" là không còn cần thiết.
-
Đối với ứng dụng giống UBI, giải pháp định danh thực sự cần là: định danh đầu tiên miễn phí, giới hạn số lượng định danh có thể lấy. Khi chi phí để lấy thêm định danh cao đến mức khiến việc tấn công hệ thống trở nên vô nghĩa, thì đã đạt được giới hạn.
-
Đối với ứng dụng giống quản trị, nhu cầu cốt lõi là: có thể sử dụng một chỉ số gián tiếp nào đó để đánh giá xem gói tài nguyên bạn đang tiếp xúc là do một chủ thể duy nhất điều khiển, hay là một nhóm "tự nhiên hình thành", có mức độ phối hợp thấp.
Trong cả hai trường hợp, định danh vẫn rất hữu ích, nhưng yêu cầu phải tuân theo các quy tắc cứng nhắc như "một người – một định danh" đã không còn.
Trạng thái lý tưởng về mặt lý thuyết: chi phí để có N định danh là N²
Từ các luận điểm trên, ta thấy có hai áp lực trái ngược nhau giới hạn độ khó mong muốn trong việc có được nhiều định danh:
Thứ nhất, không được đặt một giới hạn cứng rõ ràng về "số lượng định danh có thể dễ dàng có được". Nếu một người chỉ có thể có một định danh, thì không thể nói đến ẩn danh, và có thể bị ép buộc tiết lộ danh tính. Thực tế, ngay cả một số lượng cố định lớn hơn 1 cũng tiềm ẩn rủi ro: nếu ai cũng biết mỗi người có 5 định danh, thì bạn có thể bị ép buộc tiết lộ cả 5 cái.
Một lý do hỗ trợ khác là bản thân tính ẩn danh rất mong manh, do đó cần một khoảng đệm an toàn đủ lớn. Với các công cụ AI hiện đại, việc liên kết hành vi người dùng qua các nền tảng trở nên dễ dàng, chỉ cần các thông tin công khai như thói quen dùng từ, thời gian đăng bài, khoảng cách giữa các bài, chủ đề thảo luận, v.v., chỉ cần 33 bits thông tin đã có thể xác định chính xác một người. Người ta có thể dùng công cụ AI để phòng thủ (ví dụ, tôi từng đăng nội dung ẩn danh bằng cách viết bằng tiếng Pháp, rồi dịch sang tiếng Anh qua mô hình ngôn ngữ lớn chạy cục bộ), nhưng dù vậy, cũng không ai muốn một sai sót nhỏ kết thúc hoàn toàn ẩn danh của mình.
Thứ hai, định danh không thể hoàn toàn gắn với tài chính (tức chi phí có N định danh là N), vì điều đó cho phép các thực thể lớn dễ dàng có ảnh hưởng quá mức (dẫn đến các thực thể nhỏ hoàn toàn mất tiếng nói). Cơ chế mới của Twitter Blue minh chứng điều này: phí xác thực 8 USD/tháng quá thấp, hoàn toàn không thể hạn chế hiệu quả hành vi lạm dụng, và giờ đây người dùng hầu như đã coi biểu tượng xác thực này như không tồn tại.
Hơn nữa, ta cũng không muốn một thực thể có nguồn lực gấp N lần có thể thoải mái thực hiện hành vi sai trái gấp N lần.
Kết hợp các luận điểm trên, ta muốn có được nhiều định danh một cách dễ dàng nhất có thể trong giới hạn các ràng buộc: (1) hạn chế quyền lực của các thực thể lớn trong ứng dụng giống quản trị; (2) hạn chế lạm dụng trong ứng dụng giống UBI.
Nếu mượn trực tiếp mô hình toán học từ ứng dụng giống quản trị trước đó, ta có câu trả lời rõ ràng: nếu có N định danh mang lại ảnh hưởng N², thì chi phí để có N định danh phải là N². Tình cờ thay, câu trả lời này cũng phù hợp với ứng dụng giống UBI.
Độc giả lâu năm của blog này có lẽ nhận ra, biểu đồ này hoàn toàn giống với biểu đồ trong bài viết trước đây về "quadratic funding", và đây không phải là trùng hợp ngẫu nhiên.
Hệ thống định danh đa nguyên (Pluralistic identity) có thể đạt được trạng thái lý tưởng này
"Hệ thống định danh đa nguyên" là một cơ chế định danh không có một tổ chức phát hành duy nhất thống trị, bất kể đó là cá nhân, tổ chức hay nền tảng. Hệ thống này có thể đạt được theo hai cách:
-
Định danh đa nguyên tường minh (Explicit pluralistic identity), còn gọi là "định danh dựa trên đồ thị xã hội (social-graph-based identity)". Bạn có thể xác minh danh tính (hoặc các tuyên bố khác, ví dụ như là thành viên của một cộng đồng) thông qua sự xác nhận từ những người khác trong cộng đồng của bạn, và danh tính của những người xác nhận này lại được xác minh qua cơ chế tương tự. Bài viết "Xã hội phi tập trung" mô tả chi tiết hơn về các thiết kế kiểu này, Circles là một ví dụ đang hoạt động.
-
Định danh đa nguyên ngầm định (Implicit pluralistic identity). Đây là trạng thái hiện tại: tồn tại nhiều nhà cung cấp định danh khác nhau, bao gồm Google, Twitter, các nền tảng tương tự của các quốc gia và nhiều loại giấy tờ tùy thân do chính phủ cấp. Rất ít ứng dụng chỉ chấp nhận một loại xác thực duy nhất; hầu hết đều tương thích với nhiều loại, vì chỉ như vậy mới tiếp cận được người dùng tiềm năng.
Bản chụp mới nhất về đồ thị định danh Circles. Circles là một trong những dự án định danh dựa trên đồ thị xã hội lớn nhất hiện nay.
Định danh đa nguyên tường minh tự nhiên có tính ẩn danh: bạn có thể có một (hoặc nhiều) danh tính ẩn danh, mỗi danh tính đều có thể xây dựng uy tín trong cộng đồng thông qua hành động của riêng mình. Một hệ thống định danh đa nguyên lý tưởng thậm chí có thể không cần khái niệm "danh tính rời rạc (discrete identities)"; thay vào đó, bạn có thể sở hữu một tập hợp mờ các hành vi trong quá khứ có thể xác minh, và có thể chứng minh tinh vi các phần khác nhau tùy theo nhu cầu của từng hành vi.
Bằng chứng không kiến thức sẽ giúp việc ẩn danh dễ dàng hơn: bạn có thể dùng danh tính chính để khởi động một danh tính ẩn danh, bằng cách cung cấp tín hiệu đầu tiên riêng tư để danh tính ẩn danh mới được công nhận (ví dụ, chứng minh qua ZK rằng bạn sở hữu một lượng token nhất định để có thể đăng nội dung trên anon.world; hoặc chứng minh qua ZK rằng người theo dõi Twitter của bạn có đặc điểm nhất định). Có thể còn những cách hiệu quả hơn để sử dụng bằng chứng không kiến thức.
Đường cong "chi phí" của định danh đa nguyên ngầm định dốc hơn đường cong bậc hai, nhưng vẫn có phần lớn các đặc tính cần thiết. Hầu hết mọi người sở hữu một phần các hình thức định danh liệt kê trong bài, chứ không phải tất cả. Bạn có thể nỗ lực để có thêm một hình thức định danh nữa, nhưng càng có nhiều hình thức định danh, thì tỷ lệ chi phí – hiệu quả để có hình thức tiếp theo càng thấp. Do đó, nó cung cấp sự kiềm chế cần thiết đối với các cuộc tấn công quản trị và các hành vi lạm dụng khác, đồng thời đảm bảo kẻ ép buộc không thể yêu cầu (và không thể kỳ vọng hợp lý) bạn tiết lộ một bộ định danh cố định nào đó.
Bất kỳ hình thức hệ thống định danh đa nguyên nào (dù ngầm định hay tường minh) đều tự nhiên có độ bền lỗi cao hơn: người tàn tật tay hoặc mắt vẫn có thể có hộ chiếu, người vô quốc tịch vẫn có thể chứng minh danh tính qua các kênh phi chính phủ.
Cần lưu ý rằng, nếu một hình thức định danh nào đó chiếm thị phần gần 100% và trở thành lựa chọn đăng nhập duy nhất, thì các đặc tính trên sẽ mất hiệu lực. Theo tôi, đây là rủi ro lớn nhất mà các hệ thống định danh quá theo đuổi "tính phổ quát" có thể gặp phải: một khi thị phần gần 100%, nó sẽ kéo cả thế giới từ mô hình đa nguyên sang mô hình "một người – một định danh", vốn như bài viết đã nêu, có nhiều nhược điểm.
Theo tôi, kết cục lý tưởng cho các dự án "một người – một định danh" hiện nay là hợp nhất với hệ thống định danh dựa trên đồ thị xã hội. Vấn đề lớn nhất của các dự án định danh dựa trên đồ thị xã hội là khó mở rộng đến lượng người dùng khổng lồ. Trong khi đó, hệ thống "một người – một định danh" có thể dùng để tạo điểm tựa ban đầu cho đồ thị xã hội, tạo ra hàng triệu "người dùng hạt giống", khi đó số lượng người dùng sẽ đủ lớn để từ nền tảng an toàn này phát triển ra một đồ thị xã hội phân tán toàn cầu.
Đặc biệt cảm ơn các tình nguyện viên Balvi, thành viên Silviculture và đội ngũ World đã tham gia thảo luận.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
@VitalikButerin
