万向区块链蜂巢研习社第76期,邀请原语里弄发起人姚翔、ENSUser.com发起人/Y2ZVentures研究员安仔、复旦大学密码学博士在读KurtPan、MixLabs成员、IC生态开发者、东北大学信息安全专业在读赵杲,就“构建更好的Web3:DID、数据主权、隐私”这一话题进行了讨论。在讨论过程中,各位嘉宾不仅分享了自己的知识和见解,还贡献了很多梗。下文为蜂巢研习社第76期的分享全文。根据速记整理,略有不影响原意的删改。仅代表嘉宾个人观点,不代表万向区块链立场。
姚翔:
万向区块链B站直播间的朋友们,大家晚上好!欢迎来到蜂巢研习社的第七十六期节目,也是“构建更好的Web3系列”节目的第三期——DID、数据主权、隐私。我是主持人姚翔。
在系列的前两期节目里,第一期从宏观的角度为大家描绘了对Web3的愿景和期许,第二期就Web3的技术基础、计算、存储展开了讨论。
今天话题会更加靠近应用端,聊一聊Web3里的个人身份、数据、隐私。Web3最终是需要大家来使用的,作为下一代的CryptoNatives,到底怎么样和新的网络世界来交互,如何建立自己的数字身份,又如何保护自己的隐私呢?
作为本场活动中年龄最大的参与者,更多时间将交给其他三位,他们年纪都在25岁以下,都是标准的CryptoNatives,希望他们能从密码原住民的视角,为大家展现出对Web3不一样的认知,以及对未来的畅想。
首先有请ENSUser.com的发起人,Y2ZVentures研究员安仔,简单介绍一下自己。
安仔:
我是安仔,我之前发起了ENSUser.com社区,是一个科普ENS服务的中国社区,同时我现在在上海Y2ZVentures做研究员,这就是我的信息,很高兴今天能来到这里,跟大家谈谈DID和隐私相关的知识。
姚翔:
谢谢安仔,第二位请KurtPan,复旦大学密码学在读博士,和大家打个招呼吧。
KurtPan:
大家好!我是KurtPan,刚才姚翔老师说到CryptoNatives,姚老师的定CryptoNatives是可以自如地使用采用密码学算法积极协议工具的人,姚老师定义的重点,如果是可以自如使用的话,那严格说我也不算CryptoNatives。
但是姚老师定义还有后半部分,那就是关于使用的对象、密码学的算法与协议。这些东西在密码学里都称为“原语”Primitives。
我现在主要在设计底程密码学原理的博士研究生,所以我其实是一个CryptoNatives的一种“变体”,我把它叫做CryptoPrimitives。
这是我今天的第一个梗,谢谢!
姚翔:
谢谢KurtPan,他今天说准备了三个梗,开场就有了一个,后面看他还给大家准备了什么好的话题。
请第三位赵杲,他是MixLabs的成员,也是IC生态的开发者,和大家打个招呼吧。
赵杲:
大家好!我是赵杲,现在在ICP区块链生态做开发和研究,来自MixLabs,目前还是信息安全专业的在读本科生,向各位学习。
姚翔:
我相信赵杲是蜂巢研习社上第一位00后的参与者,下面进入今天的主题。
第一个问题想来讨论DID到底是什么?一年半前,在蜂巢研习社上我比较正式地和大家分享过DID的定义、应用、标准,但这并不能让普通人理解这件事情。
昨天万向区块链也发表了一篇报告,王普玉博士写了一篇《DID:一种全新的身份标识技术》,很全面地梳理了DID的价值及存在的问题。
但是对于普通的听众来说,对于大部分人来说,他们更关心DID和我的生活有什么关系。在前几天的社交媒体上,我看到一张图片转得很多。说的是什么呢?Web1.0是什么?是你的ID、用户名加密码的登录方式。Web2.0是使用你的Google账户、微信账户登录。Web3.0是使用钱包来登录,这里所说的“使用钱包来登录”,是不是就是所谓的DID?DID是不是就是指账户系统的变化?这种变化对用户来说又意味着什么呢?想请三位谈谈对这个问题的看法。
现场 | POC共识大会暨POC Community圆桌辩论:POW、POS、POC共识战乱:金色财经现场报道,7月30日,首届POC共识大会暨POC Community成立仪式于深圳举办,圆桌辩论以《POW、POS、POC共识战乱》为主题,HPool CEO POC生态布道者Alex、币印联合创始人朱砝、Hello EOS创始人梓岑进行辩论,并分享了精彩观点,在争辩中HPool CEO POC生态布道者Alex提到,目前POW的缺点最大最明显的发生在矿业,普通人很难参与底层的共识建设,DPOS最大的问题就在于它本身更像一个叫传统的公司股份制的方式,用这种方式去发行货币其实跟国家发行货币没太大区别,关键是看项目、应用、信用等级适不适用。
币印联合创始人朱砝表示,花200亿人民币的矿机去攻击一个价值万亿的网络是不可能的,一是网络攻击的是一个交易,并不是整个网络生态价值,并且单笔交易金额不可能与比特币生态价值相当;二是很难买到矿机。
Hello EOS创始人梓岑谈到,在2014年、2015年Dpos刚刚诞生的时候,Dpos和POW的冲突是非常激烈的,曾经以为我们要挑战POW,经过多年认知的更新,要挑战的根本就不是POW,当然也更不会是POC,POW和POC做不了DPOS要做的事情,DPOS是为应用而生的,DPOS赛道是非常安全,DPOS要的是最低成本,运行最多的应用,服务最多的用户,可以用任何的货币体系,可以支持任何的货币,并不需要挑战POW或者POC已经构建好的货币体系。[2019/7/30]
还是按照自我介绍的顺序,有请安仔。
安仔:
对我来说,我觉得这种“LoginInWithWallet”就是DID一种应用,DID账户系统变化就是从原来中心化的实体,之前用的是SignInWithGoogle、SignInWith微信,现在可以LogonInWithWallet,这种转变代表着此后我们的数据和信息不再需要存储到大公司的服务器上,不需要冒着自己数据和资产被中心化实体控制的风险,自由地享有自己数据的使用权。
当然,在现在的基础上,包括隐私还有一些应用上更令容易使用的工具还没有被开发出来,还是有很大的距离的,但是这是一种雏形。
姚翔:
你认为SignInWithWallet是DID比较好的应用切入点,请密码学博士谈谈怎么看这个问题,KurtPan。
KurtPan:
我觉得在DID中,账户系统肯定会变化的,但这种变化只是一种表象,并不是核心。我在这里依然不是试图定义DID到底是什么,我来说明一下DID一定不是什么。
如果你使用了一个服务或者一个产品,你发现第一,在使用前你必须注册一个账户;第二,你的账户信息和之后在使用产品中所产生的所有数据全部都是存储在某家特定公司所控制的数据库中,如果是这种情况就是现在互联网产品的主流情况,这种情况就一定不是DID。例子就不用我举了,听众们都很熟悉。
比如说,为什么现在B站直播间里的听众数量要远远大于那些发弹幕的听众数量呢?原因很简单,不是因为沉默大多数不想说话,而是因为你要发弹幕必须要有B站账号的,就算你有B站账号,如果你发了什么B站不喜欢的话,那你的账号完全有可能因为不明原因而消失的。
中心化所导致的数据孤岛现象和用户数据主权的丧失才是孕育DID改革的现实“土壤”,DID的核心在于用区块链这种去中心化、无需许可、抗审查的分布式数据库,以及可以用来进行数据完整性审查和身份认证等技术的密码技术,给互联网应用层Web层之下再添加一个通用的身份层,再使用身份层帮助用户把自己的数据主权彻底从大公司以及巨头手中夺回来。本质上是Anti-capitalism的,我觉得是这样的,谢谢!
姚翔:
感谢KurtPan把DID核心的价值以及所用到的关键技术在其中发挥的作用说得非常清楚。
我想请问赵杲,一方面你是信息安全在读的学生,另外一方面我在黑客松上知道你在做一些有点像DID的产品,从你的角度怎么看DID和账户系统之间的关系这个问题?
赵杲:
我非常同意前两位大佬说的几个方面,对于LoginInWithWallet,LoginInWithWallet本身是DID的应用,也就是安仔他们说的。之所以是DID而不是ID,主要在于没有一个统一的中央服务器,没有服务器或者第三方来生成或保存你的密码,或者你的私钥。
现场 | 共识大会(新加坡)圆桌:新一代稳定币驯服加密货币的波动性:金色财经9月19日现场报道,在新加坡共识大会的《新一代稳定币》圆桌论坛上,嘉宾分享了稳定币的受欢迎程度,同时指出了存在的不少批评。加密货币的高波动性限制了它的购买能力,稳定币因为锚定一定的价值,一定程度上保证了价值的稳定性。相较于法定货币,稳定币有更快的转账能力。未来,稳定币会在发行量与背后抵押品价值的一致性方面,做到更公开透明。[2018/9/19]
我认为,DID本身不应该是简单的对账户体系本身进行改良,而应该是一种完全全新身份体系的诞生。也就是说,不能简单地认为DID就是登录方式发生了改变,LoginInWithWallet只是DID的一个应用方向。
我认为DID主要在数据主权、数据存储、隐私保护、应用对象上和传统身份ID体系不同,从LoginwithWallet的这个方面来说,用户需要保存自己Wallet的助记词,对不同的区块链需要保存适用于不同链的钱包,DID的保存安全风险从以前的第三方服务商转移到了用户,这是不一样的地方。
另外我刚刚说数据主权、数据存储方面,现在很多DID产品可以给用户提供保存数据、管理数据、控制数据字节流向、流动、监听,让他们真正地拥有自己的数据主权,以更好地保护隐私。对个人隐私保护意识比较强的用户可能更关注相关的产品。
这是我的看法。
姚翔:
谢谢赵杲。三位都从自己的角度谈了对DID的理解以及对用户的影响,其实从2020年我第一次在蜂巢分享DID到现在,并没有看到DID有很显著的应用,我还想分享一个案例:在2020年COVID-19刚刚开始流行的一段时间,在一个关于DID的全球化组织DIF,内部曾经发起了一项讨论,DID能不能帮助更好地实现保护隐私的证件核验,比如说核酸检测证明、医疗证明、康复证明。但是这个事情在过去两年中推进得并不是非常顺利,在内部讨论中也讨论到,里面有很多制约因素。
我想问三位,你们觉得想象中的DID能不能保护用户数据主权和隐私?DID最有可能应用在哪个场景上?除了刚刚说的登录之外,还有没有什么地方是可能快速让用户去使用的?顺序倒过来。
赵杲:
我刚刚说DID是一个领域,如果是简简单单用账户登录看DID的话可能会狭隘一些,我自己认为DID可以是和你有关的智能合约,别人的智能合约可以和你的智能合约交互,获取一些信息、资产的反馈、进行交易,这个智能合约就是你在数字世界的行为代言。
也就是你在数字世界里的ID,或者是可以帮助你管理个人数据、存储个人数据的应用,你可以用应用像OAuth一样登录别的应用,或者将自己的数据传输给Dapp,整个过程中数据的存储和传输控制权需要完全在于你本人,我认为这是DID可能的应用方向。
姚翔:
请KurtPan分享一下你的观点。
KurtPan:
我觉得COVID-19这个事情推进得不顺利我还是可以想象,如果它推进得很顺利,我会觉得比较惊奇。因为他们想于所谓的“患者的分布式身份”结合,目前的事实是所有的患者并没有分布式身份,那结合从何说起呢?
我写过一篇论文,关于COVID的追踪监测ContactTracker,我设计的系统里也可以用很多密码技术来保护用户的身份隐私,但是在所有用户的用户身份体系这部分,依然假设当前互联网主流的PKI体系,而PKI体系它是分层的中心化体系,它完全可以看到是DID的反义词。
而且中心化还不是最重点的,最重点的是像Moxie文章中提到的,大多数用户并不自己运行服务器,而当年只有运行网站的服务器是会像CA去申请公钥证书的,没有任何一个普通患者、普通用手机的老百姓会去申请公钥证书这样的事情。于是,这种假定是和现实完全不符,也难怪它无法顺利地推进落地。
所以我觉得我们在讨论具体的应用场景之前,应该集中一些研发力量,把DID所宣称的通用的统一的互联网上的身份层先做出来,让全部的社会公民都可以便捷地使用起来,如果有了这个基础设施以后,应用场景一定会爆发式地出现,到那时候也就无所谓是首个应用场景的问题了。
包括ENS,也包括DAS都是很好的尝试开始,但并非最终的结果。比如说ENS当前的形态和DID标准中的要求还是存在不少差别的,这个可以下面再说,谢谢!
现场|共识大会(新加坡)圆桌:多个商业领域探索通证化客户忠诚度:金色财经9月19日现场报道,在新加坡共识大会上,来自Soramitsu和KPMG Digital Village的相关人员共同探讨了各自在通证化客户忠诚度方面的探索。KPMG Digital Village与新加坡航空合作开发了KrisPay数字钱包,在区块链上存储客户积分。Soramitsu也已与日本的几家公司合作,开发新的奖励应用,打通客户积分的使用场景。[2018/9/19]
姚翔:
谢谢,所以KurtPan认为应用是下一个阶段考虑的问题,解决基础设施的问题之后,不用太担心应用,现在因为基础设施不好,所以自己去想一些应用。安仔,作为ENS社区的发起人,你会同意这样的观点吗?
安仔:
我同意这个观点,基础设施的薄弱包括各种应用还没有真正让很多人有。像现在统计到的以太坊地址月活已经过千万了,但是对于Web2网络来说,这个数量还很少。不过我觉得倒不必悲观或者从别的地方找那么落地的应用。
去年和金融有关的资产应用,已经在用一种雏形的身份,实际上已经是有地址的身份进行金融活动了。
发展到现在,NFT中有Punk社区和猴子社区,这些NFT的持有者自发形成了一种对身份的需求,对于猴子社区的持有人,他们有需求证明自己的NFT持有者身份,所以我需要链上的身份证明我是社区持有人,可以参与需要门槛的活动。以太坊的profile页一定程度上满足了DID的需求,但这种基础设施还没有非常普及开来,目前需求已经摆在这里了,而且已经有很多团队在做这种事情。
所以,我觉得DID的落地应用会最先出现在CryptoNative当中。
姚翔:
刚才也都聊到了,KurtPan也提到了Moxie的那篇文章,里面说到了用户不自己运行服务器,但是实际情况可能会更差一点,用户并不能保管好自己的密钥。甚至没有要求你运行服务器,仅仅是保存密钥都没办法做到。
接下来就来聊聊DID的潜在问题,首先就是密钥管理的问题,如果普通人不能很好地把自己的密钥管理好,那DID是不是一个伪命题?如果这个问题确实出现,应该怎么来解决?请KurtPan最后回答,赵杲先开始,然后安仔。
赵杲:
我在IC生态也开发了一些东西,他们使用WebAuthn访问钱包,因此我主要在这个方向进行一些回答吧。
现在的密钥管理麻烦,对普通人来说确实是很大的阻挠,也确实是一个困难,这是现实原因。但是在你保管好自己助记词的基础上,一些链提供一些新的访问钱包的方案,比如说我刚才说的Webauthn访问钱包,不过并不是所有的设备、承载的应用主体都支持Webauthn。
因此,现在来说Webauthn也不是管理密钥的最优解。但相对让用户自己来保存私钥来说,风险会更低一点,现在的API、应用整体流程也要更安全和便捷一点,因此我觉得Webauthn未来可能会是签名登录Wallet的解决方案,但这和助记词又是两回事情。
姚翔:
好的,赵杲提到了一个很关键的技术,Webauth。接下来有请安仔。
安仔:
我觉得对于普通用户那么长的私钥,或者是简单一点的助记词都是比较难以接受的概念。不过我觉得在这方面已经有很多钱包和应用在做尝试和简化。比如说一些智能合约钱包Argent、MYKEY,它们可以让你不用去记私钥,而且即使忘记的话,也可以通过社交恢复的手段重新找回来。
它肯定不是伪命题,可以通过别的更考虑用户需求的方式解决的一个小困难、小障碍。
姚翔:
谢谢安仔,安仔提到了智能合约钱包,我也做过相关的研究,确实是很好的方向,但是在现在的发展中遇到了底层问题,比如说以太坊手续费太贵,比方说开户成本太高的问题,确实是值得期待的方向。
我相信这个问题KurtPan有很多话想说,是不是还有梗在这里?
KurtPan:
没有梗在这里,我不觉得密钥管理是个问题,而且它也不是一个新问题了。只不过到了DID时代我觉得会变得比过去更为严峻。
大家可以想一想,如果你的密钥丢了或被盗了,那你损失的是这个钱包里所有的资产。虽然也挺惨的,但是所损失的并不是你这个人的全部,你大可以重新注册一个然后东山再起。
比特币共识大会圆桌讨论有关政府如何使用加密技术:今日比特币共识大会召开,在有关政府如何使用加密技术的圆桌讨论环节,德勤高级经理Wendy Henry表示,美国正着眼于能够实现现代化的技术。这些技术例如区块链技术,实际上可以作为连接的组织,人们必须弄清关于如何使用区块链技术。linux基金会首席营销官Jamie E. Smith表示,区块链技术并非将房子烧毁一样的革命,而是提供政府目前已经提供了的服务的更好版本。[2018/5/15]
但是DID不光关联着你的资产,而是联系着你的这个在线身份所关联的所有东西,你的名声,你的社交关系,你的数字足迹等等,如果这个丢失或被盗了,那就绝对不是重新注册一个身份重新开始那么简单了,那你就是字面意义上的“社会性死亡”了。
至于怎么解决,我目前只能回答我也不清楚,可以说DID级别的密钥管理从研究上都处于非常初期的阶段,有非常多需要考虑解决的问题。
在解决的过程中可能会用到一些密码学技术,比如说秘密分享、身份基密码、属性基密码、门限密码、零知识证明、安全多方计算等等最前沿的密码技术。可能会找到它们发挥作用的地方,谢谢!
姚翔:
谢谢KurtPan,其实在W3C的文档里也提到了一些可能性,比如说他们在考虑做生物的识别,比如说他们在考虑通过多密码方式来加强对身份体系的保护。
我觉得在这个问题上大家的观点有一点冲突,安仔认为这个问题不是特别大,代表CryptoNative比较乐观的一种精神。KurtPan作为密码学从业者,他自己说是CryptoPrimitives,会更加有一些悲观。
刚才提到了密钥管理的问题,第二个问题想说产业的集成,一般来说技术的推广、普及,和标准化组织以及所谓的巨头厂商,比如说微软、Google、亚马逊的推动有密切关联,分不开。
但是我们又会看到一个矛盾,如果大家仔细去读W3C对DID的定义,和所谓的Crypto的理解似乎有挺大分歧的,这里面是不是会有一种矛盾?
或者这么说吧,对于基础设施的搭建上来说,刚才KurtPan也提到了以太坊底层ENS协议和W3C标准有一些不那么一致的地方,关于这些矛盾大家觉得应该怎么解决?KurtPan先开始,然后再安仔、赵杲。
KurtPan:
首先我要区分一下DID的这个ID其实是有两种解释的,一种是identifier,一种是identity。W3C对此的理解应该是前者标识符”,而后者是“身份”。
身份和标识符最大的不同是标识符只需要确保全局唯一性并且保障持久存在就可以了,至于标识符本身的内容他是不会带有任何额外的附加价值。比如说我注册了一个timcooketh的ENS,这个是完全可行的只要你能抢到,但这和我就是那个苹果CEO这件事是没有任何关系的,不是说我抢注了一个大佬名字的域名我就成为大佬了。
而身份是什么?身份是一种社会地位的表现形式。本质上不是由你自己决定的,是由别人来决定的,哪些人认识你,觉得你是谁,那你就是谁。
这是我们日常生活熟知的“身份”的定义,那么迁移到Web世界里,只有你的这个identifier得到了你认识的人的普遍背书之后,你的这个identifier才会成为你真正的identity。
而至于Crypto行业是怎么理解DID的我其实不太清楚,姚老师可以再解释一下。
不管怎样,我想如果Crypto从业者们有自己的理解,并且能达成共识的话,那大家完全可以联合起来,成立一个“DIDDAO”之类的组织,制定大家想要的标准就可以了。毕竟互联网当年也并非是按照任何一个学院派的论文或标准化组织文档既定的路线在发展的对不对。
姚翔:
谢谢KurtPan,请安仔谈一谈你观察到的Crypto从业者。
安仔:
KurtPan刚才说的,之前互联网并没有通过任何一个学院派论文去既定的一步一步去发展,现在Crypto上我观察到的一些尝试也是基于应用和需求做事情的,同时也逐渐在应用的实践中形成标准。
去年开始牵头做的以太坊基金会ENS一起发起了一项招标,内容是如何把现在的LoginwithEthereum,从现在单纯的DAPP、DeFi应用转接回去,我们可以拿来登录微信、Google等Web2应用。SPRUCE的公司中标了,他们现在正在做这件事情,网站是“login.xyz”。真正的产品还没有做出来,但是每周都在进行很积极的会议做这件事情。
MasterDAX在TokenSky区块链大会上发起圆桌会议:3月14日上午9:00,“数字资产交易所全球合规政策圆桌会议”在TokenSky主会场召开,并由MasterDAX 首席运营官 Christian Reeve担任特邀主持。本次会议由数字资产交易所解决方案供应商MasterDAX发起,出席嘉宾包括中国人民大学法学院副院长杨东教授、卢森堡金融技术基金会LHoFT项目负责人Emilie Allaert、日本四大律所之一AM&T合伙人Akira Moriwaki、DongIn Law Group合伙人李东国、CK区块链集团COO郭小川。会上,嘉宾们就“不同国家的数字资产行业政策及合规问题”进行了讨论。
?[2018/3/14]
从这个事情发展来说,我看了“login.xyz”下面的各种合作组织,没有刚刚说的W3C或者各种巨头的,更多都是一些Crypto行业里比较紧密的参与者,都是Tally、以太坊基金会这种参与者,所以他们更可能从实践和应用出发构建这个标准。现在以太坊的月活已经过千万了,如果它实践出来的话就是接受了考验的。
姚翔:
谢谢安仔,赵杲你对这个问题有没有一些观点?
赵杲:
其实也是观察,像KurtPan说W3C制定了DID标准,主要侧重于数字身份的特征以及表达方式。Crypto行业对DID的理解比较多,有人认为钱包是DID,有的人认为公私钥、地址是DID,或者别的,NFT头像、域名,不过他们的主要目光还是集中在资产方面。
因此,我认为矛盾是存在的,而且很可能很难解决,很可能传统行业的DID是一套方案体系,Crypto是另外一套方案体系,除非两个领域可以达成很深度的融合,否则很有可能是各有各的方法。
W3C很难把它的标准推进到Crypto领域,Crypto也一样。
姚翔:
谢谢赵杲,关于这个问题我想稍微展开一下,刚才我也提到一个组织,名字叫DIF,全称是DecentralizedIdentityFoundation。
这个基金会很有趣,里面既包含传统意义上的大厂微软,包括传统的区块链公司,也包括在密码学方向做出很多研究的,包括像更加CryptoNatives的一些企业,大家可以关注一下这个组织。
他们会组织一些行业的会议来讨论整个发展方向,同步彼此的信息。现在会员应该有100多家,在今年二月底会举办。线上每年只有一次的活动,邀请会员参与,是对公众开放的:DIFFacetoFace-Virtual#3,可以报名。这是我观察到解决矛盾的组织、协商的机构。
今天还有一个大的问题,就是隐私,前面都在谈DID,现在进到隐私里。我直接把我的观点抛出来,看看大家有什么反馈。DID和隐私本质上是不是矛盾的?
首先请安仔来回答,因为你也在做ENS社区,我其实观察到很多人会使用ENS,会炫耀自己持有的NFT或者参加过的一些活动。但是另一方面,他的资产也会被暴露在社会的公众面前,很可能你的ENS绑定的地址并不是你真正唯一的地址,和真实身份的关联,会不会导致人们对隐私的担忧,从而影响进一步的推广?最佳的使用方式是什么?可以分享一下你的经验吗?
第一,DID和隐私本质上会不会矛盾?第二,你自己会怎么处理这个问题?
安仔:
DID和隐私本质上是不是矛盾的,就跟DeFi的可组合性一样,ENS是中性的基础服务,就是刚刚说到的标识服务,它也不代表你的身份,而且通常在实践使用中一个人会有很多个地址。
之前有过调查,高频使用用户会有2-3个地址,平均下来活跃以太坊地址,每个地址会有超过2个ENS域名。实际上现在大家在用的过程中也没有那么绑定,有些域名绑定的地址也不会给别人。
ENS生态里也有项目去解决这个隐私,前几个月我一直关注到的sismo.io项目,做的事情是用零知识证明汇集一个人管理多个地址的资产,生成零知识证明。
这些零知识证明就好像现在大家用的Poap链上勋章,但是它是零知识证明,我可能想证明我拥有一个猴子,通过它的协议去生成我拥有猴子的隐私Poap,用这个Poap去参与只有猴子持有人才能加入的私密频道。
这种实践很新颖,ENS社区也给了他们contribute的资助,这是一种尝试,而且类似的尝试还有很多,通过可组合型可以解决DID的隐私问题。我自己也会用像tomado.cash这种隐私工具把钱打到不同的地址里操作,也是可组合性的一种,为了隐藏自己的地址确实需要使用不同的工具。
姚翔:
谢谢安仔,安仔刚刚提到了Poap,Poap就是ProofofAttendanceProtocol,出勤某一个活动给你发勋章。
接下来想请赵杲来谈谈对这个问题的看法,在黑客松上我看到你们设计了一个类似的产品,我当时也问了你一个问题,哪些数据是公开的,哪些数据是私密的,私密的数据你们会怎么来考虑它的管理。请以你的角度来谈一谈。
赵杲:
我们的黑客松是IC区块链的黑客松,当时姚翔老师提问的是要不要对数据进行加密,以及数据该怎么去保存或管理。我们做的产品和数据是存在智能合约里的,这是IC区块链自己独有的特性,我就不在这里展开了。
主要保护隐私分为三层:
节点层。产品服务运营这一层,要由官方在协议层做一些安全设置,比如说TEE、SEV这种虚拟化或者别的解决方案。在节点这一层,让节点运营商和数据本身分离开。
传输层。可以用TLS协议来保证传输层传输数据的安全。
应用层,在应用层本地,用户可以选择是否要对数据进行加密,从这个角度来说主要要关注的是应用层的安全,应用层安全可以分为两种,一种是敏感数据,一种是非敏感数据。敏感数据可以对它进行加密,非敏感数据可以根据用户的意愿选择是否加密,因为一旦加密就涉及到密钥管理之类的东西,会带来额外的复杂性,交由用户来判断。
我认为DID产品要注意产品本身的控制权,也就是数据本身的控制权。刚开始的时候KurtPan就说人民终于拥有了他们自己的数据,应该说具有数据的控制权,不止数据本身,我认为用户的数据字节流的操作权可以放在智能合约里,由用户本身去控制,规则由智能合约保证。
我的主要观点是这样。
姚翔:
谢谢赵杲分享你在这方面的经验,最后想问问KurtPan,在这个问题上密码学能给到哪些帮助?刚才你提到零知识证明,还有没有其他的密码技术?
KurtPan:
首先我非常喜欢这个问题,因为我觉得他非常有矛盾。就类似于问加密和签名是不是矛盾的;证明系统中的简洁性和零知识性是不是矛盾的;承诺的hiding性质和binding性质是不是矛盾的;区块链的效率和去中心化是不是矛盾的等等。
其实密码协议设计和很多其他领域的设计是一样的,都是一种关于权衡tradeoff的艺术,密码协议设计是一种通过仔细权衡,然后设计出兼顾多个看似矛盾属性系统的过程。
具体到这个问题,我觉得DID和隐私也只是看起来是矛盾的,本质上并不是矛盾的。这类似于物理学中的“佯谬”。
隐私是什么,隐私其实是一种权利,一种关于你可以选择性的披露数据的权力。只有当用户通过DID把自己的身份主权和数据主权从中心化的权威化的机构手中夺回来之后,用户才有获得隐私这种权利的可能。
比如我们很难说当前的Web2是保护用户隐私的,毕竟有无数数据库被黑和账号被封的案例存在。
在DID中用户可以通过自主生成多个在不同场景不同服务中使用的不同的身份,每一个身份都只选择性的披露部分身份信息,并且自己做好身份之间的隔离。
比如在你在超市付款的这个短暂时间窗口中超市可以读取你的信用卡信息来完成支付,只能读取你的信用卡信息而非其他任何其他信息,而且只有在支付的这个短暂时间窗口可以读取,时间也是一种选择性披露的属性。
所以DID是通过给予用户数据主权来帮助用户加强隐私保护的一种基础设施。事实上在DID的标准文档里,隐私是在去中心化和数据主权之后的第三大设计目标。
至于密码学可以起到什么样的作用,我觉得密码学天生就是用来保护隐私的,甚至在区块链诞生之前的密码学的主要功能就是确保数据保密对吧,然后到了区块链时代才变得更加注重确权方面的应用。
下面我举几个可能用来保护隐私的密码学的例子。签名部分,除了大家熟知已经在用的ECDSA、Schnorr签名、BLS签名、环签名等等,还有群签名可能会找到应用,盲签名应该会复兴。为什么说是复兴呢?因为用盲签名来支持匿名交易和双花的eCash可是1982的产品了,比特币网络见了都要叫“爸爸”的产品。
第二方面就是门限密码和属性密码,刚才提到过DID中用户想要更自如的去分隔自己的多个身份,以及更加自如的去选择性的披露身份信息,那么可能要用到门限密码和属性密码所带来的更细致的访问控制结构。
第三方面是zkSNARKs、FHE、MPC这些通用的隐私计算技术,这些方面发展的速度特别快,我觉得Crypto行业从业者一定要多多关注这方面。
最后我再提一个名词但是不解释:IO不可区分混淆。这个是密码学的终极神器,感兴趣的朋友可以下去查一下。
我把上面说的总结成一句话就是,Crypto只是实现了一半的Cryptography,这是我今天的第二个梗。
谢谢!
姚翔:
谢谢,重复一下第二个梗,前两天KurtPan在群里说过,Crypto只是实现了一半的Cryptography。我前段时间写了一篇文章说怎么定义CryptoNative,首先要定义Crypto,Crypto这个词现在广泛理解、从业者理解都是Cryptography,但其实密码学界对这个有很大声音的。在中本聪论文之前很多年,Crypto这个词指的都是密码学,希望大家更加关注密码学的发展。
顺着隐私的话题,节目也快要到尾声了,大家给听众们一些建议,使用ENS以及其他类似的产品,你会建议大家怎样保护自己的隐私,要么KurtPan先开始,接着是赵杲和安仔。
KurtPan:
SlowVentures的合伙人Sam给关心Web3的人们的建议是,“对于在未来几年关注这些生态系统,或者想要在这些生态系统中建立东西的任何人,我的最佳建议是阅读大量的科幻小说。”
那关于保护隐私,我最大的建议其实就是来自大刘《三体》里的一句话,那就是:“藏好自己,做好清理。“当然如果你不是黑客,那就不用”做好清理了,你要做的是“做好管理”,密钥管理。这个不光是DID区块链了,是整个赛博空间和宇宙空间都适用的生存法则。
姚翔:
谢谢KurtPan,很直接,大家多去读科幻小说。
赵杲:
对区块链产品而言,设计自己的隐私数据,最好注意它核心的合约是否开源,以及智能合约的可信度,开源的是不是他用的合约,以及是否真实,不是所有区块链都和以太坊一样,可以在Etherscan上看到他们的合约源码。
姚翔:
谢谢赵杲,安仔你应该是我们这里经验最丰富的人。
安仔:
对,被Rug最多的人。要有保护隐私的概念,但是也希望能积极使用各种Web3产品,比如说ENS域名。使用域名之前,你可以通过tornado.cash这种混币协议。
姚翔:
谢谢安仔,节目也到尾声了。最后一个问题,大家作为行业里非常年轻的研究者、从业者,想问一下,你们在行业里是怎么学习和成长的?怎么保持最新的认知?有什么经验可以分享给听众们。不然安仔先来,然后KurtPan和赵杲。
安仔:
我加入到区块链行业是在本科的时候学校开一个讲座,是信通院的教授当时准备招研究生,那时候科普了一下以太坊,我听我隔壁的舍友也在聊这个东西,感觉很有意思。那个时候同时以太坊爱好者在招翻译,我就去应聘到了译者,之后跟着以太坊爱好者翻译了很多文章,那段时间翻译的过程也是逐渐了解行业的过程。
通过翻译文章也不断接触到各种产品,也去尝试,就看到了ENS,那时候参加了ENS的短域名拍卖,我发现在国内了解这个东西的人,也不知道有哪些人在关注,就想做社区,把知识可以科普出去,就一起做了ENSUser。
之后2020年积极在用各种新产品。主要就是多去尝试新产品,多去了解更第一手的知识、信息。大概就是这样。
姚翔:
谢谢安仔,他翻译了很多文章,可以尝试一些新的产品。
KurtPan:
我其实还没有进入到区块链行业。大家知道我英文名为什么叫Kurt吗?因为我大二的时候学过一门课,叫数理逻辑,里面的命题逻辑和一阶谓词逻辑我都能学懂,但是有个叫哥德尔不完备性定理的东西我到了课程结束都没学懂,当然这个不在考试范围内。
但是我当时就想,如果我这辈子能把哥德尔不完备性定理搞清楚,那我就此生无憾了,所以我给自己起了个哥德尔的英文名Kurt。
后来我又痴迷于计算复杂性理论,事实上就是哥德尔在给冯·诺依曼1952年的信里第一次提到了NP完全的思想。再后来,我发现可证明安全的现代公钥密码学完全是建立在计算复杂性理论的基础上的,于是我又很迷现代密码学。
那我觉得一个痴迷于公钥密码学的人是不可能不被区块链吸引的吧,因为发现天天研究的哈希算法、签名算法竟然在现实世界中有用。这就是我的历程。
最后打个广告,我的公众号是XPTY,里面每周都会发布,KurtPan密码周刊。周刊主要记录我看到的最新的eprint上的密码学论文以及最新Crypto行业信息,欢迎大家一起探讨新的形式。
还有今天的最后一个梗,是关于我今天带的这个口罩的,其实这个口罩和隐私保护和COVID都没关系。大家都知道这个口罩不是phisical的,是meta的,所以这个meta的口罩应该叫什么呢?MetaMask。
姚翔:
KurtPan分享了他学习的历程,很有感触,我也是学密码的,我在上学的时候就学密码学。赵杲,你是这里最年轻的。
赵杲:
我其实也是在本科期间大一的时候不是很安分,就去了解各种技术,包括AI之类的之前都有做。但是区块链本身吞噬我时间比较多,后来就干脆Allin算了。我主要侧重在开发方面、智能合约安全,也做了一些相关的工作。感觉我一直在被大佬带着,所以了解行业的知识会快一点。
后来参加了IC生态,里面做一些开发设计了一些东西,参加了黑客松,我自己平时是学一些底层原理、分布式领域、环境密码学领域我都非常感兴趣,所以自己有比较强的动机去学习,然后就是买一些产品。
我们自己也在做数据主权相关的东西,希望可以实现愿景,等我们产品到该发布时间的时候就会发布。
姚翔:
谢谢赵杲,我也藏了一个梗,大家可以注意我的背景,这个人叫AaronSwartz,有一部纪录片的名字叫《互联网之子》,推荐大家如果有时间可以去看,他代表了怎么和现实世界中的不好事情反抗,追求信息的自由。这部片子的开头有一段话,是梭罗的一段名言“世有不公之法,我们是安于循守,还是且改且守,待其功成,或是即刻起而破之?”
今天的节目暂时到这里结束了,非常感谢安仔、KurtPan、赵杲三位来到今天的活动,谢谢大家的收看。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。