'/%3e%3cpath%20id='Vector_2'%20d='M23.4134%2014.5948C24.0891%2013.9112%2024.7108%2013.1282%2025.2444%2012.3115C25.6968%2011.6199%2026.5564%2010.5256%2026.271%209.64115C26.1243%209.18538%2025.6449%209.03531%2025.2117%208.99582C18.6413%208.39678%2010.4183%2014.5598%205.41161%2020.3235C4.37146%2021.5205%203.17337%2022.7885%203.08087%2024.4627C2.96467%2026.5554%205.16793%2027.767%206.84548%2028.2905C9.10402%2028.9955%2011.7033%2029.1411%2014.0114%2028.5375C15.2671%2028.2093%2016.4291%2027.6993%2017.3993%2026.8374C17.8855%2026.4053%2018.304%2025.8999%2018.6289%2025.3359C18.8106%2025.0189%2018.6741%2024.6105%2018.3379%2024.4672C17.7332%2024.2088%2016.5994%2023.9291%2014.7323%2024.1727C14.4886%2024.2043%2014.5259%2024.1829%2014.4999%2023.9877C14.4762%2023.805%2014.4706%2023.5647%2014.465%2023.5308C14.4413%2023.3977%2014.5778%2023.4282%2014.791%2023.3955C17.5324%2022.9713%2020.5152%2022.3429%2022.6869%2020.521C23.137%2020.143%2023.5443%2019.7346%2023.8748%2019.2473C23.9786%2019.0938%2024.0745%2018.9359%2024.1636%2018.7746C24.3204%2018.4869%2024.2866%2018.1304%2024.0677%2017.8856C23.6537%2017.4231%2021.9276%2016.8782%2020.6844%2016.806L20.6901%2016.7563C20.8401%2016.5995%2021.1278%2016.4901%2021.3105%2016.3671C21.5441%2016.2092%2021.7708%2016.0434%2021.9919%2015.8685C22.4838%2015.4804%2022.961%2015.054%2023.4134%2014.5959V14.5948Z'%20fill='url(%23paint1_linear_20736_1314)'/%3e%3c/g%3e%3cdefs%3e%3clinearGradient%20id='paint0_linear_20736_1314'%20x1='5.04346'%20y1='5.86175'%20x2='5.04346'%20y2='18.9333'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20stop-color='%236B4EFF'/%3e%3cstop%20offset='1'%20stop-color='%234F92F6'/%3e%3c/linearGradient%3e%3clinearGradient%20id='paint1_linear_20736_1314'%20x1='16.0608'%20y1='15.1348'%20x2='16.0608'%20y2='28.9146'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20stop-color='%236B4EFF'/%3e%3cstop%20offset='1'%20stop-color='%234F92F6'/%3e%3c/linearGradient%3e%3c/defs%3e%3c/svg%3e)
Почему одних доказательств с нулевым разглашением недостаточно для защиты приватности
Доказательства с нулевым разглашением часто представляют как полный ответ на проблему приватности. В гражданских технологиях это обещание особенно привлекательно: человек может доказать право на участие, уникальность, возрастной порог или проживание в определенной юрисдикции, не раскрывая весь документ удостоверения личности.
Это обещание реально. Но оно уже, чем часто кажется.
Доказательство с нулевым разглашением защищает доказательство. Оно не защищает автоматически IP-адрес пользователя, отпечаток браузера, номер телефона, адрес электронной почты, реализацию кошелька, устройство, операционную систему и множество временных меток и поведенческих сигналов, возникающих вокруг доказательства. Если эти слои не спроектированы аккуратно, верификатор все еще может узнать, кто пользователь.
Эта статья адаптирует презентацию, представленную NGI TrustChain в сентябре 2024 года. Главный тезис прост: доказательства с нулевым разглашением являются важным строительным блоком приватного гражданского участия, но приватность пользователя — это свойство всей технической системы.
Почему идентичность появляется в гражданских платформах
Не каждому онлайн-пространству нужна проверка личности. Есть законные случаи для полностью псевдонимных сообществ, где люди участвуют через устойчивые псевдонимы и репутацию, а не через формальные credentials.
Гражданские платформы решают другую задачу. Если цель — собрать содержательный общественный вклад, противостоять спаму, снизить вычислительную пропаганду или поддержать процессы "один человек — один голос", системе нужна форма защиты от Sybil-атак. На практике ей может понадобиться знать, что участник является реальным человеком, относится к соответствующему сообществу или удовлетворяет правилу гражданской допустимости.
Подходов несколько, и у каждого есть компромиссы:
- Биометрические системы могут давать уникальность, но создают серьезные риски приватности и безопасности.
- Системы на основе социального графа полезны в некоторых контекстах, но плохо масштабируются и часто имеют слабые гарантии приватности.
- Гибридные web of trust подходы могут работать для отдельных сообществ, но обычно дают более слабую уникальность.
- Государственные или институциональные credentials могут давать сильные гарантии, но не должны превращаться в слой наблюдения.
Именно поэтому self-sovereign identity и доказательства с нулевым разглашением выглядят привлекательно. Они предлагают способ проверить допустимость, не заставляя пользователя раскрывать больше персональных данных, чем нужно.
Что доказательства с нулевым разглашением делают хорошо
В упрощенном потоке credential участвуют три стороны:
- Эмитент подтверждает факт о человеке и выдает credential.
- Держатель хранит credential и решает, когда его использовать.
- Верификатор проверяет доказательство, полученное из credential.
Техники нулевого разглашения позволяют держателю доказать конкретное утверждение, не раскрывая исходный credential. Например, пользователь может доказать, что ему больше 18 лет, не раскрывая дату рождения, или доказать, что получил credential от доверенного эмитента, не показывая все его содержимое.
Этот паттерн поддерживают разные технические подходы. BBS+ credentials позволяют выборочное раскрытие и несвязываемые доказательства. Другие подходы "меркелизируют" более связываемые форматы credential и используют ZK-SNARKs, чтобы сделать их более приватными. Универсальные zkVM в будущем могут упростить доказательства фактов о существующих security-focused credentials.
Эти инструменты ценны, потому что могут обеспечивать несвязываемость эмитента на уровне доказательства. Иными словами, эмитент не должен узнавать, где используется credential, а разные использования одного credential не должны тривиально связываться через само доказательство.
Это решает важную проблему. Но не решает все проблемы приватности.
Модель угроз: держатель на первом месте
Для гражданского участия модель приватности должна начинаться с точки зрения держателя. Человек, использующий credential, должен контролировать, что он раскрывает и кому.
Это требует более строгой модели угроз, чем у большинства современных социальных платформ:
- Верификатор, то есть платформа, запрашивающая доказательство, не должен слепо считаться доверенным. Он может пытаться деанонимизировать пользователя, если система не делает это трудным и проверяемым.
- Эмитент доверен для идентификации держателя и выдачи valid credential, но не должен знать, где, когда и зачем credential используется позже.
- Эмитент и верификатор не должны иметь возможность сговориться и идентифицировать пользователей через предъявления доказательств.
- Проприетарный клиентский код, код кошелька и frontend верификатора должны считаться поверхностями риска, если они не open source, не инспектируемы и желательно не прошли независимый аудит.
Это сильно отличается от доминирующей модели социальных сетей, где платформам обычно доверяют ответственно обрабатывать данные. История онлайн-платформ дает пользователям много причин скептически относиться к такому доверию.
Остальная часть айсберга приватности
Самая простая ошибка — считать доказательство с нулевым разглашением всей системой приватности. На самом деле доказательство — только один слой.
Избыточное раскрытие
Даже если доказательство генерируется в zero knowledge, верификатор может запросить слишком точные, слишком многочисленные или слишком редкие атрибуты. Пользователь может не раскрывать весь документ, но комбинация атрибутов все равно может его идентифицировать.
Например, точный возраст, город, профессия и статус членства могут быть достаточны, чтобы выделить человека в небольшом сообществе. Приватные системы должны предпочитать грубые предикаты и минимально необходимое раскрытие.
Сетевые метаданные
Верификатор может пытаться связать доказательство с пользователем через IP-адреса, отпечатки браузера, метаданные устройства или время запросов. Если доказательство отправлено из той же браузерной сессии, что и идентифицирующий логин или email verification, математическая приватность доказательства может перестать иметь значение.
Zero knowledge по умолчанию не скрывает сетевой слой. Важны приватность транспорта, прокси, политика логирования и аккуратное разделение сессий.
Cookies и data brokers
Сторонние cookies, аналитические скрипты, рекламные идентификаторы и купленные данные могут подорвать приватность доказательства. Если верификатор встроит tracking вокруг proof flow, он может сопоставить анонимное доказательство с известной web identity.
Для гражданской платформы proof flow должен полностью избегать сторонних трекеров. Приватность не может зависеть от криптографического протокола, пока окружающая страница сливает идентичность через обычную веб-инфраструктуру.
Email, телефон и восстановление аккаунта
Email и телефон удобны, но являются сильными идентификаторами. Если верификатор связывает их с доказательством с нулевым разглашением, доказательство может стать частью более широкого identity profile.
Это не значит, что гражданская платформа никогда не может использовать email или телефон. Это значит, что такие идентификаторы нужно по возможности изолировать от событий доказательства, использовать только при необходимости и управлять ими по ясным правилам хранения.
Постоянные идентификаторы
Доказательство с нулевым разглашением все еще может быть связано, если вокруг него появляется тот же постоянный идентификатор. Адреса кошельков, DIDs, subject IDs, device IDs или устойчивые account IDs могут стать ручками корреляции.
Системы, которым нужна псевдонимность, должны использовать контекстные или pairwise идентификаторы вместо универсальных. Пользователь не должен по умолчанию нести один и тот же след между несвязанными гражданскими пространствами.
Корреляция по времени
Даже если идентификаторы скрыты, время может раскрывать связи. Верификатор может сопоставить момент генерации доказательства с другим запросом: логином, кликом по уведомлению или загрузкой страницы.
Проектировщики должны считать временные метки чувствительными. Batching, отложенная отправка, минимизация логов и разделение аутентификации и предъявления доказательства уменьшают риск корреляции.
Кошельки, устройства и supply-chain риски
Доказательство может быть криптографически корректным, но кошелек или клиент все еще может утекать чувствительные данные. Проприетарный кошелек может отправлять телеметрию. Скомпрометированный SDK может раскрывать атрибуты. Вредоносный frontend может запросить больше, чем пользователь понимает.
Open source не устраняет эти риски магически, но закрытый код делает их гораздо сложнее проверять. Для доверенных гражданских систем open-source клиенты, воспроизводимые сборки, независимые аудиты и минимальная телеметрия должны быть базовой инфраструктурой.
Поведенческий вывод
Машинное обучение может выводить идентичность из паттернов, которые по отдельности кажутся безобидными. Стиль письма, время активности, поведение устройства, паттерны местоположения и история взаимодействий могут сужать anonymity set.
Это еще одна причина, почему приватность нельзя сводить к доказательству. Анонимное участие также требует продуктовых, модерационных и data-retention решений, которые не создают ненужные поведенческие досье.
Лучшая архитектура для правдоподобно анонимных доказательств
Приватный credential flow нужно проектировать с предположением, что верификатор хочет узнать больше, чем должен.
Как минимум гражданская платформа с доказательствами с нулевым разглашением должна учитывать такие принципы:
- Запрашивать наименее точное доказательство, достаточное для гражданского требования.
- Не смешивать предъявление доказательства с идентифицирующими account flows.
- Не привязывать телефоны, email, адреса кошельков или постоянные DIDs к proof events, если use case не требует этого явно.
- Убрать сторонние cookies, аналитику и trackers из proof flow.
- Минимизировать логи, особенно IP-адреса, временные метки и метаданные запросов.
- Использовать контекстные псевдонимы, когда требуется постоянное участие.
- Делать frontend верификатора, proof-request logic, wallet integrations и SDK open source и audit-friendly.
- Делать proof requests понятными пользователям, чтобы они видели, что доказывается и что не раскрывается.
- Предотвращать callbacks к эмитенту и другие механизмы, которые позволили бы ему узнать, где используются credentials.
Цель — не только анонимные доказательства. Цель — правдоподобная анонимность: система, в которой пользователи, аудиторы и гражданское общество могут проверить, совпадают ли обещания приватности с реальным поведением платформы.
Открытые вызовы
Впереди остается сложная работа.
Во-первых, пользовательский опыт пока недостаточно хорош. Большинство людей не может рассуждать о credential schemas, selective disclosure, proof requests, issuer unlinkability или correlation attacks. Безопасный продукт должен объяснять свойства приватности, не требуя от пользователей стать криптографами.
Во-вторых, экосистема credentials фрагментирована. BBS+, SD-JWT, мобильные водительские удостоверения, паспортные чипы, merkelized credentials и zkVM-based proofs имеют разные компромиссы. Гражданским платформам нужна интероперабельность, но не ценой перехода к самому слабому общему знаменателю приватности.
В-третьих, Sybil resistance и приватность остаются в напряжении. Более сильная уникальность часто требует более сильного identity evidence. Задача — проверять только необходимое и не позволять этой проверке стать универсальным identity graph.
В-четвертых, предотвращение злоупотреблений не должно заново создавать наблюдение. Анонимным или псевдонимным пространствам все еще нужны модерация, rate limits и механизмы ответственности. Но они должны быть спроектированы так, чтобы не реидентифицировать всех незаметно.
Наконец, open source необходим, но недостаточен. Опубликованный код помогает, но пользователям также нужны воспроизводимые сборки, независимые аудиты, понятное управление и гарантии на этапе деплоя, что проверенный код — это код, который реально используется.
Заключение
Доказательства с нулевым разглашением мощны. Они позволяют доказывать факты без раскрытия исходных данных и могут мешать эмитентам отслеживать, где используются credentials.
Но доказательства — не вся система приватности. Верификатор все еще может атаковать соседние слои: атрибуты, метаданные, cookies, email, телефон, постоянные идентификаторы, время, кошельки, устройства и поведенческие паттерны.
Для гражданских технологий это различие важно. Если цифровая идентичность становится частью общественного участия, она не должна стать еще одним способом наблюдать за гражданами. Доказательства с нулевым разглашением могут быть частью ответа, но только внутри более широкой архитектуры, построенной на минимизации данных, несвязываемости, auditability open source и контроле пользователя.
Практический урок ясен: используйте zero knowledge, но не останавливайтесь на этом.