A Assinatura protege os dados. Mas protege o usuário?

Rythm - Crypto Analyst · 2026-03-24T14:27:47.000Z

O Protocolo de Assinatura faz corretamente uma coisa que os sistemas de identificação digital anteriores não conseguem fazer. Usa prova ZK e BBS+, ou seja, operações criptográficas que permitem provar que uma proposição é verdadeira sem revelar os dados originais, o usuário pode provar que tem pelo menos 18 anos sem precisar enviar a data de nascimento, provar que pertence a uma área sem precisar revelar o endereço completo. Dados sensíveis não saem do dispositivo. Não há servidor central para ser hackeado ou vazar. Se olharmos apenas para o nível criptográfico, este é um design muito limpo.

Sign Protocol làm đúng một thứ mà hệ thống định danh số trước đây không làm được. Dùng ZK proof và BBS+, tức các phép toán mật mã cho phép chứng minh một mệnh đề đúng mà không lộ dữ liệu gốc, user có thể prove đủ 18 tuổi mà không cần gửi ngày sinh, prove thuộc một khu vực mà không cần lộ địa chỉ đầy đủ. Dữ liệu nhạy cảm không rời khỏi thiết bị. Không có server trung tâm để bị hack hay rò rỉ. Nếu chỉ nhìn ở tầng mật mã, đây là một thiết kế rất sạch.
Đây là chỗ mình bắt đầu thấy hai vấn đề mâu thuẫn, và cả hai đều xuất phát từ chính thiết kế của Sign.
Vấn đề đầu tiên nằm ở thứ mà ZK không bảo vệ. Metadata.
Trong docs của Sign, họ khuyến nghị verifier tránh lưu correlatable identifiers và nên rotate session ID để giảm khả năng liên kết dữ liệu. Nghe thì ổn, nhưng đây chỉ là khuyến nghị về hành vi, không phải thứ được enforce bởi protocol. Một ngân hàng dùng Sign hoàn toàn có thể không lưu ngày sinh hay địa chỉ, nhưng vẫn log thời gian verify, loại credential, IP, device fingerprint và session ID mỗi lần xác thực. Không cần dữ liệu gốc. Chỉ cần đủ metadata, họ vẫn có thể reconstruct hành vi người dùng với độ chính xác cao. Đây không phải giả thuyết. Năm 2006, AOL công bố bộ dữ liệu search "ẩn danh" và người ta vẫn re-identify được user chỉ từ pattern tìm kiếm, không có tên hay địa chỉ.
ZK proof bảo vệ dữ liệu khai báo. Nó không bảo vệ dấu vết của hành vi.
Nhưng ngay cả khi bỏ qua metadata, vấn đề lớn hơn vẫn nằm ở phía pháp lý.
FATF Travel Rule, quy định của Financial Action Task Force mà 200 quốc gia cam kết thực thi, yêu cầu các tổ chức tài chính tự động đính kèm thông tin định danh người gửi và người nhận cho mỗi giao dịch trên $1,000. Không phải khi bị yêu cầu. Là mặc định phải có, phải chia sẻ, phải lưu trữ để audit. Thiết kế này đi ngược hoàn toàn với selective disclosure. Năm 2022, OFAC sanctioned Tornado Cash, không phải vì code sai mà vì hệ thống đó không thể phân biệt giao dịch hợp pháp và rửa tiền khi privacy là tuyệt đối theo thiết kế. Đây là lần đầu tiên trong lịch sử một smart contract bị trừng phạt, không phải công ty hay cá nhân mà là đoạn code. Sign không phải Tornado Cash, có nhiều lớp compliance hơn. Nhưng logic cốt lõi vẫn giống nhau: nếu một hệ thống không thể expose thông tin khi regulator cần, nó không được phép vận hành trong môi trường regulated.
Và đây là lúc mọi thứ hội tụ lại.
Sign đang build CBDC và regulated stablecoin cho UAE, Thailand, Singapore, tất cả đều nằm trong hệ thống FATF. Một giao dịch trong các hệ thống này phải đồng thời thỏa hai điều kiện: bảo vệ privacy của user bằng ZK proof, và expose đúng thông tin định danh để comply Travel Rule. Sign có thể implement compliance mode riêng cho regulated flows, nhưng khi compliance trở thành mặc định thì disclosure không còn "selective" nữa. Nó trở thành bắt buộc.
Điều đó có nghĩa privacy vẫn tồn tại, nhưng không nằm ở trung tâm của hệ thống. Bị đẩy ra rìa, chỉ hoạt động trong những ngữ cảnh không bị ràng buộc pháp lý, tức là không hoạt động trong đúng những deployment quan trọng nhất mà Sign đang target.
Mình không nghĩ Sign thiết kế sai. Ngược lại, cả ba thứ họ chọn đều đúng. ZK selective disclosure là đúng. Sovereign deployment là đúng. FATF compliance là điều bắt buộc. Vấn đề là khi đặt ba thứ đúng đó vào cùng một hệ thống, kết quả không còn là privacy theo cách người dùng thường hiểu khi họ nghe đến ZK. Đây không còn là bài toán kỹ thuật. Đây là bài toán cấu trúc mà không có giải pháp kỹ thuật thuần túy nào giải được.
Đây không phải là giới hạn của công nghệ. Đây là giới hạn của hệ thống mà công nghệ đó đang cố tồn tại bên trong.
Liệu selective disclosure có thể thực sự tồn tại trong một hệ thống mà disclosure là yêu cầu mặc định, hay Sign cuối cùng phải chọn giữa privacy cho user và compliance cho sovereign? Và nếu phải chọn, thì "privacy infrastructure" mà thị trường đang định giá thực sự là gì?
@SignOfficial  $SIGN  #SignDigitalSovereignInfra 

Sign bảo vệ được dữ liệu. Nhưng có bảo vệ được user?