Vitalik ：Visions, Part 2: 信任问题

Vitalik 旧文。

如果你问普通的加密货币或区块链热衷者，该技术的关键单个基本优势是什么，很大可能，他们会给你一个特别意料之内的答案：它无需信任（ it does not require trust ）。

不像传统（经济或其他）系统，你需要相信有一个特定主体来维护数据库——谁持有多少资金，谁拥有特定物联网设备，一个特定金融合约的状态是什么，区块链允许你创建系统，通过这个系统，你可以跟踪以上问题的答案，而完全不需信任任何人（至少理论如此）。无需受制于任何武断方，使用区块链技术的人，因为了解到，他们的身份、资金和设备所有权状态，是由一个超级安全可靠的非信分布式分类账（Backed By Math™）进行维护，而感到安心。

这个信任问题，确切来说，是什么呢？极具讽刺的是，不像在“加密大陆”，加密大陆的交易所会经常携卷客户的百万美元消失，现实世界的商业交易，似乎不存在这些问题。当然，信用卡诈骗仍然存在。至少在发达世界，如果你把你的钱放进银行，是安全的。从这一角度看，我们可以轻易看到，一个传统中心化系统如何服务好人们。那么，什么是重要的事？

信任

首先，重要点在于指出，“非信”（distrust）几乎不是使用区块链的唯一原因；在本系列前一部分，我提到了一些用例。但是，很多人对区块链感兴趣，尤其是由于其“非信”（trustlessness）属性，所以，这个属性值得一谈。

让我们先尝试简单阐述“信任”概念——同时，解释它的反义词“非信”。

信任到底是什么？这个问题，词典并没有给出特别好的定义；比如，如果我们查阅 Wiktionary，我们得到的定义是：

1，对某人或某种品质有信心或依赖：如果他想要赢回她的心，他需要重新获得她的信任。

2，对未来某样东西的依赖；希望（Dependence upon something in the future; hope）

3，对已供应商品或服务的未来付款有信心；信誉（credit）：我没有现金了，但房东太太答应让我赊账（I was out of cash, but the landlady let me have it on trust）

法律上的定义是：

A relationship created at the direction of an individual, in which one or more persons hold the individual’s property subject to certain duties to use and protect it for the benefit of others.

对于我们的目的而言，两者都不够精确或不够完整。如果我们想要一个更正式及更抽象的定义，我们可以提供一个如下定义：

信任，是一个特定人或群体的预期行为模型，他们根据此模型调整自己的行为。

信任是一种信念，某个特定的人或群体，在特定时间，将会受到某些特定目标和激励集合的影响，并意愿采取行动，该行动依赖于合乎规范的该模型。

仅从词典定义出发，人们可能会陷入思考陷阱，认为信任本质上是非逻辑或非理性的（ illogical or irrational ），人们应该尽可能地少去信任。

但事实上，这样的想法是完全谬误的。每个人对一切都有某种信念；实际上，有一系列原理基本说明了，如果你是一个完全理性的代理（agent），对每个可能主张，你的头脑里不得不有一个概率计算，并且你会根据一定规则更新这些概率。但是之后，如果你有一个信念，那么不依此行动，便是不理性的（if you have a belief, it is irrational not to act on it）。如果，以你本地地理范围的个人行为内在模式论，如果你没有锁门，有大于 0.01% 的概率，一些人会偷取你房内价值10000美元的物品， 你将携带钥匙的不方便，定价为 1 美元，那么，你应该锁好你的门，当你去工作时，携带好你的钥匙。但是，如果以上概率低于0.01%（“一些人会进入你的房内，偷取那么多”的概率），那么，锁门，则是不合理的（irrational）。

绝对形式上的“非信”（Trustlessness）不存在。由人类维护的任何系统，存在一个假定的动机及激励组合，会导致那些人成功地密谋对你进行诈骗（screw you over）。因此，如果你信任系统可行，你必然相信人类的总集合不具有这种特定的动机及激励组合。

但这并不意味着，非信(trustlessness)没有一个有力的攻坚方向。

当一个系统声称它是“非信”的，它实际上尝试的是，扩大动机的可能集合——当仍然维持一个特定的低故障率时，个人可被允许拥有这样的动机集合（When a system is claiming to be “trustless”, what it is actually trying to do is expand the possible set of motivations that individuals are allowed to have while still maintaining a particular low probability of failure）。

当一个系统声称它是“可信”（ “trustful”）时，它在尝试降低给定特定动机集合的故障率（When a system is claiming to be “trustful”, it is trying to reduce the probability of failure given a particular set of motivations）。

因此，我们可以看出“非信”和“可信”，至少在方向上，实际上是同种事物：

值得注意的是，在实践中，这两个可能有不同内涵：

“非信”系统（“trustless” systems），倾向更尝试提高系统的可信度（trustability），考虑到的是这样的模型——“我们对个人动机知之甚少”；

“可信”系统（“trustful” systems），倾向更尝试提高系统的可信度，考虑到的是这样的模型——“我们对个人动机了解很深，且我们知道，这些动机有更高的诚实度”。

两个方向都值得一做。

另一个值得注意的重要点是，信任不是二进制的，它甚至不是标量（ trust is not binary, and it is not even scalar）。重要的是，你相信人们会做什么不会做什么。一个特别违反直觉的观点是，很有可能的，并且经常发生——我们相信某些人不会做 X 这件事，但我们不会相信他们不会做 Y 这件事。你相信当你从他们身边路过的时候，成千上万的人们不会突然从他们的口袋里掏出一把刀置你于死地，但你不会相信完全陌生的人会帮你保管 500 美金。当然，原因很明了：没有人有动机跳出来拿着刀对着你，有一个很强的抑制作用抑制他们这样做，但如果有人有你的 500 美元，他们就有动机带着这 500 美元逃跑，而且他们很容易永远不会被抓住（如果对他们的处罚不是很重）。有时，即使在这两种情况下的激励是相似的，这种违反直觉的结果，可能只是因为，你对别人的道德方面的了解，有着细微差别；作为一种普适原则，你可以相信人们擅长防止自身做明显有违道德的错误事情，但是道德常常在边缘地带挣扎，在这个边缘地带，你会自我说服，扩展灰色地带。（详情参见 Bruce 的 concept of “moral pressures” in Liars and Outliers 以及 Dan Ariely的 The Honest Truth about Dishonesty）

信任的这种特殊细微差别，跟金融有直接相关：尽管，自 2008 年金融危机以来，对金融体系的不信任度确实上升了，公众感受到的这种不信任感，不是对那种“银行可能公然直接窃取人民财产，使人民的银行余额为零”的极高风险的感觉。那当然是他们可能对你做的事里，最坏可能的一种，但这不是他们最可能做的一件事：这是严重违法的，明显可察觉的，并且将会导致牵涉其中的各方受长期牢狱之灾——并且，更重要的是，对于银行 CEO 来说，如果他们做了那样的事，很难让他们自己或他们的女儿信服，他们仍然是道德上正直的人。相反地，我们害怕，银行将会执行众多卑鄙且极具恶意的把戏之一，比如使我们相信，一个特定金融产品有一定曝光率，但向我们隐藏它可能的风险。尽管我们总是害怕大公司会对我们做一些适度隐蔽的事情，但是同时，我们相当确定，他们不会做任何极度邪恶的事——至少大多数时候不会。

因此，在现今世界，我们将信任遗失在何处？什么是人们目标及动机模型？谁是我们依赖却不信任的？我们真正恐惧他们做什么，去中心化区块链技术如何提供帮助？

金融

在某些情况下，事实证明，中心化的几个大东西仍然非常不可信。因此，去中心化，值得信任的计算平台——尤其是，政治去中心化，值得信任的计算平台，可以解决这样的问题吗？

根据一部人的看法，是的，它们能够解决这样的问题。但是，在这种情况下，一些评论（如Tim Swanson）指出，一个“完全开放”的PoW/PoS方案的潜在缺陷：它开放得有些过度。部分而言，可能有一个监管问题，因为这个结算系统（ settlement system ）基于一组完全匿名的共识参与者；但是，更重要的是，对这个系统的限制，实际上可以降低参与者密谋，及系统崩溃的可能性。

你会更倾向于相信谁：31 个审核度很好 (well-vetted) 的银行，他们显然是独立实体，位于不同国家，不属于同一投资集团，如果他们勾结起来欺骗你，他们就负有法律上的责任；或一批数量及规模不详，在真实世界没有声誉的矿业公司，他们 90% 的芯片可能在台湾或深圳生产？对于主流证券结算，世界上大多数人会给出的答案似乎十分明了。但是，在十年时间里，如果一组矿工，或某些特定货币的一组匿名持币者证明自身值得信任，最终银行可能尝试试行更倾向于 “pure cryptoanarchic” 的模型——或他们也可能不这样做。

Interaction and Common Knowledge

另外一个重要关键点是，即使我们每个人都有自己信任的一些实体，但不是我们所有人都有相同的信任主体。IBM 是十分完美的可信 IBM，但是 IBM 可能不希望自己关键的基础设施在 Google’s cloud 上运行。更具针对性的是，IBM 和 Google 都对他们的基础设施在腾讯云端上运行不感兴趣，并且不愿意他们的行踪更多地暴露于中国政府的眼皮底下（同样，人们越来越热衷于，使自己的数据远离美国政府的控制，即使对于这个警告，我们必须提及的是，大多数担忧与隐私有关，而不是对频繁干涉的预防，而区块链对后者的有用性，大于前者）。

因此，如果 IBM 和腾讯想要建立应用，这些应用彼此重度交互，会怎么样呢？一种选择是通过JRON-RPC 或某种类似框架来简单地呼叫彼此服务，但作为一种程序环境，这还是有些限制性的；每个程序必须要么扎根在 IBM 领域内，并且用500毫秒往返路程发送请求到腾讯，要么扎根在腾讯，并用500毫秒发送请求到IBM。可靠性（Reliability）也必然降到100%以下。在某些情况下，可能有用的一种解决办法是，只需在同一执行环境中，运行两个代码块，即使每个代码块有不同管理者——但是，共享的执行环境需要被双方所信任。

区块链就像一个完美解决者，至少在某些用例下是这样。当有大量用户有互动需求时，利益便会最大化；当只有IBM和腾讯时，他们可以轻易地做出一些定制化双边系统，但是当N个公司在交互时，在每对公司里，你将会需要N（平方） 双边系统（you would need either N平方 bilateral systems among every pair of companies），或者你可以简单地为每个人建立一个共享系统——而那个系统可能也可称之为区块链。

Trust for the Rest of Us

去中心化的第二种情况，更微妙。在这里，在成为信任核心（ locus of trust ）过程中，我们强调进入门槛（barrier to entry），而不是聚焦于“缺乏信任”（ the lack of trust）。当然，估值10亿美元的公司当然可以成为信任的好对象，并且事实上他们运行地十分好——有几个重要的例外，我们稍后将讨论。但是，这几个例外——这样做的代价很大。即使很多比特币企业设法带着客户资金潜逃的事实，有时被认为是对去中心化经济的打击，实际上是完全相异的事物：这是一种对低社会资本的经济体（ it is a strike against a economy with low social capital）的打击。这表明，主流机构如今所拥有的高信用度，并非因为所呈现出来的简单原因——因为有权势的人很友好，技术极客不那么友好；相反，这是几个世纪以来积累起来的社会资本产物，这一过程需要几十年和数万亿美元的投入，才能复制。通常情况下，机构只扮演友好角色，是因为他们在政府的监管下——而监管本身反过来也是一笔第二大的成本。如果没有社会资本的积累，那么，我们就是这样：

免得你认为这样的事件是“加密大陆”的一个独有特征，在现实世界，我们是这样的：

去中心化技术的关键承诺是，在这种观点下，不应创造出比当前大型机构更值得信赖的系统；如果一个人只是简单地看到发达国家的基本数据，一个人可以看到许多这样的系统——这样的系统可以相当合理地被描述为“足够可信”，在这样的系统里，他们每年故障率很低，以至其他因素支配了关于“使用哪种平台”的选择。相反，去中心化技术的主要承诺是，提供一个捷径，让未来应用的开发者能够更快地到达那儿。

传统上，创建一个“掌握关键客户数据或大量客户资金”的服务，会涉及一个很高的信用度，因此也会涉及一个很高的努力度——其中一些涉及法规的遵从，一些涉及说服一个既有合作伙伴借他们的品牌给你，一些涉及有些人购买非常昂贵的西装，在纽约或东京市中心租用伪造的“办公空间”，而一些只是涉及已成立公司，并给客户提供了几十年的好服务。如果你想要被托付几百万美元，你首先就要准备花费几百万美元。

然而，运用区块链技术，恰恰是相反的潜在情况。由来自世界各地的随机的人们，组成的 5-of-8 多重签名，比所有大机构的故障可能性都要小——且成本只有其百万分之一。基于区块链技术的应用，允许开发者证明他们是诚实的——通过建立这样一个系统，在这个系统中，他们的权力不会大于用户。如果一组 20 到 25 岁的大学辍学者，声称他们正在打开一个新的预测市场，并且让人们通过银行存款，将数百万美元存在他们这里，他们的行为很可能被怀疑地看待。而运用区块链技术，他们可以发布 Augur 去中心化应用，他们可以向全世界保证，他们携带每个人资金逃跑的能力极大降低。尤其是，想象一下，这组特殊群体如果在印度、阿富汗或更糟糕的尼日利亚，情况又会怎么样。如果不是一个去中心化应用，他们很可能一点都得不到人们的信任。即使在发达世界，你在“让用户相信你是可信的”上所需付出的努力越少，你就可以越自由地开发你的实际产品。

Subtler Subterfuge

最终，当然，我们可以回到大公司的例子上。这的确是个事实：在我们的时代，大公司越来越令人难以信任——监管者越来越不信任他们，公众也越来越不信任他们，而他们则越来越不信任彼此。但至少在发达世界，很明显的是，他们不会去归零人们的余额，或者仅仅为了恶作剧采用武断恶劣的方法，引发设备故障。因此如果我们不相信这些巨鳄，那么我们到底在害怕他们会做什么呢？信任，正如上面探讨的那样，不是一个布尔数学体系的或一个纯量（isn’t a boolean or a scalar），它是其他人投射行为的模型（a model of someone else’s projected behavior）。那么，在我们的模型中，可能的故障模式是什么?

答案通常来自基层服务概念，如本系列的前一部分所述。有某些种类的服务，碰巧有以下属性：（1）有其他服务依赖于他们（2）高转换成本（3）高网络效应，在这些情况下，如果一个运行中心化服务的私企创造了一个垄断，那么，他们就拥有一个可观的可操作纬度，以维护其自身利益，为自身在社会中心建立一个永久位置——以牺牲他人利益为代价。

当一个服务变成一个垄断，它开始有动机维持那个垄断。那是否意味着会导致，扰乱这样一种公司的生存——想要以一种与其产品竞争的方式，在该平台上建立起来的公司；或限制其访问系统内部的用户数据；或使它容易进入却不易退出；有很多机会慢慢蚕食用户的自由度。我们越来越不相信那些公司不会那样做。另一方面，建立于区块链基础设施之上，是应用开发者承诺不成为混蛋的一种方式，永远。

懒惰

某些情况下，有另外一种担忧：如果一个特定服务中断了怎么办？在这里，典型例子是“RemindMe”服务的各种化身，用这些服务，你可以要求在未来的某个时刻给你发特定信息——可能是一周后，可能是一个月后，也可能是 25 年后。然而，在25年后的情况下（实际上甚至只是5年的情况），所有这种类型的现存服务，由于一个十分明显的原因，变得相当无用：无法保障运行该服务的这些公司将会在5年内仍然存在，更别说25年了。“不相信人们不会消失”，这是没有道理的；有些人消失，他们甚至不必需主动恶意——他们只是懒惰。

在网络上，有个严重问题，法庭案例中引用的文件，49% 不再可访问，因为页面所在的服务器不再联机，为此，如 IPFS ，尝试通过政治去中心化内容存储网络，解决这个问题：而不是通过“控制着这个文件的实体名称”，来指向一个文件 (其地址就像这样：“https://blog.ethereum.org/2015/04/13/visions-part-1-the-value-of-blockchain-technology/”)，我们通过该文件的哈希来指向该文件，当用户请求访问该文件时，网络上的任何节点都可以提供该文件——用 IPFS 的自身语言说就是，创造“永久网络”。区块链就是用于软件后端的永久网络。

这尤其与物联网领域相关；在最近的一个 IBM 相关报道中，他们对物联网基础设施的默认选择的主要担心之一是，一个中心化“云”，引用如下：

虽然很多公司都在快速进入智能连接设备市场，他们仍然没有发现，退出是十分困难的。然后，消费者每 18 至 36 个月更换一次智能手机和个人电脑，他们的预期是门锁，LED灯泡和其他基础设施的基础组件能维持几年，甚至几十年而不需要更换。在 IoT 世界，对于长期过时和终止的产品，其软件更新和修复成本，会重压在公司的资产负债表上长达几十年，甚至超过制造商淘汰期（often even beyond manufacturer obsolescence）。

从制造商角度看，必须维护服务器，处理剩余的过时产品实例，是一个恼人的费用和杂务。从消费者角度看，总是有挥之不去的恐惧：如果制造商能轻易摆脱这个责任，而可以不用保持服务的连续性，随意消失，那该怎么办？具有完全自主设备，这些设备使用区块链基础设施管理自身，似乎是一个不错的选择。

结论

信任是一个复杂的事情。至少在某种程度上，我们都想要摆脱它生活，并且我们很自信我们可以不冒着为别人的坏行为所带来的风险，而达到我们的目标——就像每个农民都喜欢让作物开花而不必担心天气和阳光。但是经济的发展需要合作，而合作需要与人打交道。但是，最终目的的不可能性并不意味着方向的徒劳，并且在任何情况下，无论我们的模型是什么，找出降低我们系统故障概率的方法，是一个值得去做的任务。

这里所描述的那种去中心化，在物质世界并不普遍，因为涉及的复制成本是高昂的，并且达成共识是困难的，你不会想要去 5 of 8 政府部门，仅仅为了签发你的护照，由大型执行董事会作出每一个决策的组织，往往在效率上迅速下降。然而在加密大陆，我们受益于这样一种快速发展的40年——低成本电脑硬件，这种电脑硬件能够执行每秒数十亿计的处理周期（capable of executing billions of processing cycles per second in silicon ）——因此，至少探索这种假设——最佳平衡应该不同——这种探索是合理的（it is rational to at least explore the hypothesis that the optimal tradeoffs should be different）。在某些方面，这是去中心化软件行业的终极赌注——现在让我们往前走，看看我们究竟能走多远。

Special thanks to: Robert Sams, Gavin Wood, Mark Karpeles and countless cryptocurrency critics on online forums for helping to develop the thoughts behind this article

原文：https://blog.ethereum.org/2015/04/27/visions-part-2-the-problem-of-trust/
作者：Vitalik Buterin
编译：吴婧，东林