一字千金、开诚布公、歃血为盟、言听计从，人类社会有太多形容信任的词汇，信任似乎只有两种形态，信任或不信任。但自从互联网成为日常生活的一部分之后，信任开始变得模糊。1993年7月5日，《纽约客》首次出版了彼得·斯坦纳的旧漫画《在互联网上，没有人知道你是狗》。30年后，就连这只狗的身份也令人怀疑，人们认为这可能是一个彻头彻尾的骗局。美国20世纪的登月计划让全世界人们知晓了第一个登月的人类叫作“阿姆斯特朗”，但在数字社会上，有越来越多的人开始质疑登月计划的真实性。

当互联网发展起来的时候，人们就已经在实现信任方面进行了各种技术尝试。随着数字证书和加密的出现，互联网通信拥有了提供基础设施的底层协议，即TCP/IP、DNS和HTTP，以及现在的可信通信。

随着互联网在我们的生活中无处不在，信任已然是互联网不可或缺的一部分，协议设计者和开发人员仍在努力确保软件和计算机系统之间的通信建立在技术信任的基础上。加密、数字签名和身份验证仍然是当下数字世界中信任的代表。

然而，即使在数字领域，信任也关乎人性，而这是技术信任无法解决的终极问题。在人性的促使下，网络钓鱼和社交工程开始猖獗，越来越多的不法分子从暴力破解加密转变为窃取密钥，或是欺骗别人自愿提供重要数据。

现在，深度造假成为新一代的社交工程，与网络钓鱼不同的是，深度造假正在改变技术壁垒，使其成为可信身份验证必须解决的问题。

验证是解决数字身份信任问题的一个相对较新的方式，也是围绕用户或公民身份的一个复杂问题。如果企业身份可能需要依赖于企业目录来检查员工的角色和状态，用户或公民身份则必须要求对个人进行验证。

这种验证可以来自各种来源，但通常采取身份证件检查的形式，例如身份证、护照、征信机构检查（CRA）、生物识别，以及最近使用开放银行或其他银行API的银行ID。身份验证越来越多地转移到网上，大部分检查都是作为注册过程的一部分实时进行的。

那么，深度伪造的假身份是从哪里来的呢？让我们回到20世纪60年代和臭名昭著的骗子弗兰克·阿伯纳尔（电影《猫鼠游戏》的原型人物）。弗兰克冒充泛美航空公司的飞行员和医生等职业，利用这些“身份”骗取公司大笔资金。弗兰克通过扮演一个经过验证的人，利用该职业的特点，成功地欺骗了公司——换句话说，他创造了一个经过核实的身份，在社会这个大环境下“横向攻击”。而深度伪造是一种数字方式，可以帮助生成可用于实施欺诈的“真实”身份。

验证是维护数字信任的重要方式，但深度伪造通过伪装技术打破了这种信任。可以预见的是，使用深度造假来破坏信任即将成为一场“海啸”，业界需要对任何身份都要保持警惕。在2023年，大约有超过50万个视频和语音深度造假在社交媒体网站上被分享。与此同时，通过伪造高层身份向财务或其他部门索要资金和重要数据也变得越来越普遍。

人工智能的繁荣让深度伪造变得更加“强大”，过去的深度伪造或许还局限于数字身份，而人工智能甚至可以助其成为一个真实的“人”，在人工智能的加持下，深度伪造可以模拟声音、语气、面容和表情等等，这让验证变得更加困难。

此外，人工智能还让深度伪造的流程变得更加“简单”，从而导致诈骗的激增。欺诈者正在使用深度伪造和生成式人工智能来建立身份档案，并提供通过KYC（身份验证）流程所需的文件。简单的深度造假意味着欺诈者可以更容易地将其用于欺诈计划，从而推动一个“低廉”的造假行业，使基于身份的交易充斥各类诈骗活动。

合成身份在金融诈骗领域中并不是一个新概念，但近年来它已经达到了新的高度。据汤森路透的数据显示，在KYC检查中，有95%的伪造身份没有被检测到。为此，验证服务针对伪造身份的方式是将生物识别技术纳入验证过程，即面部识别和人机测试，然而，AI被用来解决这些问题。

验证服务正在尝试集成历史数据，以建立一个更丰富身份证明而不是快照身份的配置文件。然而，深度伪造的KYC流程也增加一层新的混淆和欺骗。目前，反深度假冒的最新策略之一是去中心化身份。

去中心化身份也被称为自我主权身份（SSI），是一种数字身份管理方法，让个人控制他们的个人信息，以及如何分享、访问和使用这些信息。在一个去中心化的身份系统中，个人创建和管理自己的数字身份，而不依赖政府、银行或科技公司等中心化机构。去中心化身份的概念建立在用户控制、隐私、安全和互操作性等原则之上。为了促进去中心化身份的推广，W3C开发了一个体系结构和数据模型。W3C指出，“本规范中定义的去中心化标识符（DID）是一种新型的全球唯一标识符。它们旨在使个人和组织能够使用他们信任系统生成自己的标识符。”

去中心化身份的基础是可验证的证书，即经过验证并存储在区块链上的身份数据，因此是衡量身份真实性的不可变指标。

一些人还声称，人工智能可以用来检测已验证证书的滥用，确保它们不会被劫持和用于欺诈。去中心化身份的倡导者强调，可以使用身份钱包来存储与身份相关的物品，如教育证书、NFT、职业历程等，以增加对数字身份的进一步信任，即建立一张不仅仅是姓名、地址和年龄的名片。

由此可见，去中心化身份已然成为当前验证身份的重要武器，越来越多的人推崇这些验证方式，但这不意味着去中心化身份是万无一失的。如果网络欺诈者利用深度伪造等技术攻破了去中心化身份，那么数字世界的信任将彻底崩塌。试想一下，一个备受信任的技术成为欺诈者可以利用的工具，那么将发生任何可以想象或难以想象的欺诈事件，这些人将拥有一个可信但虚假的身份来进行任何欺诈活动，“利用信任，持续造假”将取代“永不信任，持续验证”。

无法否认的是，去中心化身份是一个伟大的概念，但我们必须知道它不是万能的灵丹妙药。身份会随着时间的推移而变化，去中心化身份及其验证证书必须跟随变化，保持动态，这意味着需要保持验证，那么“去中心化”就成为一个悖论，人们无法切实掌握自己的身份的同时，还要接受越来越频繁的质疑和验证。因此，真正的去中心化或许很难实现。

网络信任是一种依赖，以此来确定信息的真实性，因此，网络依赖是一个新的网络复原力，也是在涉及人们身份时保持信任的必备条件。因此，无论现实中出现了多少令人畏惧和厌恶的网络攻击，依然有数字钱包、身份验证等基于网络信任的产品和工具在被使用。因此，就像互联网先驱们一样，人们需要循序渐进地修复，将各种解决方案的功能整合在一起，来解决身份验证的仿冒和欺诈等问题。

每一位安全从业者都知道一个道理：安全的目的是降低风险，而不是完全阻止攻击。所以，只要将风险限制在可接受的范围内，就可以看作是最佳实践。