方案设计原则和安全模型

和传统reCAPTCHA方案把移动端传感器数据传输给互联网公司控制的服务器，然后在服务器端上由公司分析用户数据不同的是，这篇文章方案的基本原则是用户数据不离开用户移动设备，换句话说机器人检测算法将在用户设备上分析传感器所收集数据，并将最终分析结果发送给服务器端，从而保护用户隐私。这里顺便提一下，BAT这种不让用户数据离开用户设备且在用户端处理隐私数据的原则非常有意思，应该能成为下一代隐私保护系统的一个通用设计原则。按照BAT项目创始人Brendan Eich的话说，这相当于从do no evil变成了can’t do evil。如果数据不离开用户设备，那么对用户数据拥有主权的显然是用户，而非互联网垄断公司们了。

从上面的背景介绍中我们可以看出，这篇文章显然假设攻击者控制了移动设备。既然机器人检测算法在用户设备端执行，如何保证算法所读取传感器数据没被攻击者篡改，如何保证即使在攻击者有可能修改机器人检测分析算法代码的情况下所收集的分析结果依然正确便成了问题的关键了。

零知识证明正是用于保证分析算法结果的可靠性的。事实上，零知识证明如果只考虑其方案设计可靠性（soundness）的话，其实可以被看作计算证明（signatures of computation）方案。换句话说其所证明的是被承诺（committed）的输入和输出之间满足预定的函数关系。如果输入输出之间不满足这个预定的函数关系，攻击者是无法生成可以通过验证的证明的。如果把机器人检测算法看作一个预定的函数的话，那么显然零知识证明的这个soundness性质就可以保证一旦攻击者修改机器人检测算法代码，它将无法生成合格的计算证明。而零知识证明的零知识性质则可以保证这个过程除了告诉验证者检测结果外不泄漏其他任何个人隐私信息，因此就能保证用户隐私。

—-

编译者/作者：初衷呀

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。