Свет в тёмной комнатеАртур Аракелян
Часть III
Недостающий слой

Глава 5. Подотчётность без слежки

Прошлая глава закончилась парадоксом. Повторим его в самой жёсткой форме - теперь всё зависит от того, можно ли его разбить.

Нужны две вещи, которых лишена тёмная комната. Знать, что участник - настоящий и единственный человек: иначе нет пола подотчётности, народ не сосчитать, от толпы масок не защититься. И знать это без слежки - без имени за каждым действием, без раскрытия личности: та дорога ведёт в камеру. Итак: докажите, что перед вами подлинный, уникальный человек, не зная о нём ничего. Создайте последствия для действий, не наблюдая за действующим. Звучит как просьба дать тень без предмета. Если это невыполнимо, абсолютисты приватности выигрывают без боя, и книге больше нечего сказать.

Но это выполнимо, и ход проще, чем кажется. Это разделение двух вещей, которые мы привыкли получать в одной связке, хотя ничто не обязывает их связывать: факта, что вы уникальный человек, - и факта, кто вы.

Почти всякая система верификации сплавляет их воедино. Чтобы доказать, что вы настоящий, вы отдаёте личность - имя, лицо, документы; система их сохраняет и с этой минуты знает и что вы существуете, и кто вы, - и может наблюдать. Связка так привычна, что выглядит законом природы. Это не закон природы. Это проектное решение - и доступно другое.

Вот оно. Человек однократно проходит проверку с единственной целью: установить, что он живой человек и что он уникален - не дубликат уже сосчитанного. Проверку можно сделать хорошо: подтвердить живого, отдельного человека сегодняшние методы умеют надёжно, пусть и не безупречно. А затем - в этом всё - идентифицирующий материал уничтожается: снимки, документ, имя не сохраняются, не подшиваются, не откладываются про запас. Остаётся на стороне системы лишь то, что не способно указать ни на кого: односторонние отпечатки, выведенные из личности и запечатанные секретом, который хранится отдельно. Они отвечают ровно на один вопрос - был ли этот человек уже сосчитан? - и даже при взломе их не прокрутить назад, к лицу, имени или документу. Человек же уходит со свидетельством: токеном, который держит он сам и который удостоверяет результат проверки - и ничего больше. Токен говорит: один верифицированный уникальный человек. Ни имени, ни лица, ни документа внутри. В публичном реестре он виден как псевдонимное владение: за ним стоит один настоящий человек, и узнать, кто он, нельзя.

Смотрите, чего это достигает и от чего отказывается. Достигает того, что было не по силам тёмной комнате: с любого расстояния вы уверены, что имеете дело с одним подлинным человеком, а не с фермой масок, - свидетельство не отчеканить дважды и не передать другому. Отказывается от того, чего требовала камера: никто не наблюдает, потому что наблюдать нечем. Проверяющий не становится надзирателем - он не хранит того, чем надзирают. Это разница между верифицировать и наблюдать, и на ней держится всё. Верификация - одно действие в одну минуту, после которого система забывает. Наблюдение - постоянные отношения, которые не забывают никогда. Нужно первое; отвергается второе; и это не одно и то же, как бы часто их ни продавали вместе.

Дисциплина, которая делает это безопасным, называется минимизацией: собирать только то, чего требует единственная цель; хранить только то, что должно храниться; остальное отпускать. Удерживается факт, что проверка пройдена, да запечатанные односторонние отпечатки, не дающие пройти её дважды. Сырьё - биометрия, документ - не хранится нигде. Значит, нет хранилища лиц, которое можно слить, истребовать по повестке или превратить со временем в ту самую слежку; то, что можно изъять, нельзя прочитать назад. Систему, которая не хранит ничего обратимого, не заставить выдать то, чего у неё никогда не было.

Теперь проследите, что это одно свидетельство делает возможным дальше, - а делает оно многое.

Когда каждый участник - уникальный человек, привязанный к устойчивому свидетельству, появляется пол подотчётности. Действия прикрепляются к токену; разрушитель не может сбросить личность и явиться заново чистым - второй токен не отчеканить. Становится возможной репутация - и её потеря. Предательство обретает цену. Ничто из этого не требует знать, кто есть кто, - только что каждый есть отдельный, непрерывный кто-то. А самое глубокое следствие - то, к которому шла вся книга: такое пространство можно сосчитать. Его участники различимы - значит, из них может сложиться общность, с которой считаются. И поскольку каждый - ровно один, здесь держится «один человек - один голос» так, как не могло ни одно анонимное пространство: богатство не докупит голосов, ферма ботов не изготовит согласия - лишние голоса нельзя отчеканить вовсе. Тёмная комната, без единого луча в чьё-либо лицо, становится обитаемой: у неё есть пол и чистый воздух, а свобода, ради которой стоило входить, осталась.

Описано это как предложение - но это не только предложение. Это построено и работает: верификация, уничтожение данных, свидетельство, доказывающее уникального человека без раскрытия личности, - в рабочей системе, не в мысленном эксперименте. Почему всё это не могло существовать раньше - разговор одной из следующих глав. Пока важно одно: парадокс прошлой главы - не парадокс. Подотчётность без слежки реальна. Выбор между тёмной комнатой и камерой был ложным.

Честность требует назвать пределы - они тоже реальны. Это сильная устойчивость к подделке, а не математическая гарантия. Решительный противник может попытаться обмануть проверку - регистрацией под принуждением, синтетическим лицом, достаточно хорошим, чтобы пройти; никакая система не безупречна против всякой попытки. Цена подделки человека поднимается с ничтожной до значительной - это меняет всё, но «значительная» не значит «невозможная». И есть остаточная точка доверия, которую надо назвать прямо: в ту единственную минуту верификации вы доверяете, что проверка честна и что данные действительно уничтожены. Доверие узкое - минута, одно действие, не постоянный надзор; его стягивают ещё туже открытый код, аудиты и тот факт, что системе, построенной ничего не хранить, нечем злоупотребить. Но это не ноль. Конструкция не волшебна. Она - хороший и конкретный ответ на задачу, у которой ответа быть не должно было.

Остаточное доверие вызывает возражение достаточно острое, чтобы разобрать его отдельно, - и приходит оно со стороны, которая этой книге ближе всего. У современной криптографии есть инструмент, который, кажется, растворяет даже эту узкую уступку: доказательство с нулевым разглашением - способ продемонстрировать, что утверждение о вас истинно: что вы прошли проверку, что вы ещё не сосчитаны, - не раскрывая ничего больше, никому и никогда. Если такие доказательства существуют, зачем принимать конструкцию, где проверяющему надо доверять - что он посмотрел и забыл? Зачем доверие там, где можно иметь математику?

Ответ: доказательство с нулевым разглашением меняет то, где живёт доказательство, а не то, откуда берётся истина. Всякое такое свидетельство сначала выпускается на основании корневого факта - документа, биометрии, той минуты, когда мир устанавливает: вот один живой человек, и он ещё не сосчитан. Криптография гарантирует, что после этой минуты не утечёт ничего, - и это очень много. Чего она не может - выколдовать первоначальный факт единственности из одной математики: кто-то или что-то всё равно проводит первую проверку, и в это мгновение ему доверяют. Ровно то узкое, одномоментное доверие, что уже выложено на стол. И уступим самой жёсткой версии довода, не дожидаясь её: уничтожение данных недоказуемо снаружи. Математика не сертифицирует стирание, а код, прошедший аудит, сам по себе не есть код, который исполняется. Именно поэтому хранимое хранится в виде, который нельзя прочитать назад, - чтобы вещи, достойной недоверия, не было в наличии. И именно поэтому ближайшие шаги той же дороги - например, слепой выпуск свидетельства, при котором даже выпускающий не свяжет его с регистрацией, - конструкция создана делать, а не отвергать. Спор с криптографическим пуристом - не «доверие против его отсутствия». Это торг о том, насколько малой можно сделать минуту доверия, - и обе стороны хотят сделать её меньше.

Позиция архитектуры формулируется легко: проверяющий слой построен заменяемым. Конституционно важен класс возможности, а не реализация - различение, которое следующая глава проведёт в полную силу, - и здесь оно действует целиком. По мере созревания систем доказательства всё большую часть минуты доверия можно передавать от институтов математике, не меняя предмета постройки: сосчитанного народа. Найдут криптографы способ ужать минуту сильнее - ничто здесь им не сопротивляется: конструкция нарочно начерчена с гнездом, куда встанет их работа. Убрать нельзя только само требование. Где-то, однажды, единственность человека должна быть установлена перед миром - на этом стоит всё.

Ещё одно различение. Одно широко разрекламированное предприятие приучило многих связывать биометрическую верификацию с определённым образом: устройство, сканирующее радужку; токен в награду за регистрацию; компания в центре. Каковы бы ни были достоинства того предприятия, эта конструкция отличается в корне. Входная точка - не выплата, а учредительный текст. Свидетельство - не продукт компании, а членство в народе. За регистрацию нет награды - значит, нет машины, накачивающей масштаб ради масштаба. И ничего биометрического не хранит никто. Сравнение понятно - и рассыпается в каждом суставе, который имеет значение.

Остаётся вопрос, дважды отложенный. Если это так сильно и парадокс растворяется так чисто - почему только теперь? Почему народу без территории пришлось ждать нынешнего десятилетия? Потому что ответ - новый: прежде должен был появиться класс инструментов, без которого всё это было недостижимо. Об этом следующая глава.