Google merilis teknologi ‘Zero-Knowledge Proof (ZKP)’ sebagai open source

 (blog.google)
15 poin oleh GN⁺ 2025-07-04 | 1 komentar | Bagikan ke WhatsApp
  • Zero-Knowledge Proof (ZKP) adalah teknologi kriptografi yang memungkinkan pembuktian fakta tertentu (misalnya: berusia di atas 18 tahun) tanpa mengekspos informasi pribadi
  • Teknologi ini diperkirakan akan mempercepat implementasi layanan autentikasi identitas generasi berikutnya dan perlindungan privasi, termasuk dompet identitas digital Uni Eropa (EUDI Wallet)
  • Pengembang, perusahaan, dan peneliti semuanya dapat memanfaatkannya secara bebas, dan ini akan sangat membantu dalam membangun layanan dengan privasi yang diperkuat di sektor publik maupun swasta
  • Google berharap open source ZKP ini dapat membantu mendorong ekosistem digital yang lebih aman untuk semua orang

Now open source: our Zero-Knowledge Proof (ZKP) libraries for age assurance

  • Google merilis sebagai open source pustaka utama terkait ‘Zero-Knowledge Proof (ZKP)’

Apa itu Zero-Knowledge Proof?

  • ZKP adalah algoritme mutakhir berbasis perlindungan privasi yang memungkinkan pengguna membuktikan suatu fakta tanpa secara langsung mengungkapkan informasi pribadi
    • Contoh: saat pengguna mengunjungi sebuah situs web, mereka dapat membuktikan bahwa dirinya berusia di atas 18 tahun tanpa mengungkap usia atau identitas secara spesifik
  • Pustaka yang disediakan Google dirancang untuk menyelesaikan masalah nyata seperti verifikasi usia (assurance), sehingga sangat berguna untuk layanan dengan batasan usia seperti game online, keuangan, dan komunitas

Makna rilis open source dan dampak yang diharapkan

  • Open source ZKP memberikan manfaat bagi berbagai pemangku kepentingan berikut
    • Pengguna web dan aplikasi: dapat beraktivitas di lingkungan digital yang lebih berfokus pada privasi dan lebih aman
    • Perusahaan dan penyedia layanan: dapat memanfaatkan solusi open source untuk memenuhi persyaratan privasi dan meningkatkan kepercayaan
    • Pengembang: lebih mudah mengembangkan berbagai aplikasi/layanan yang berpusat pada privasi dengan memanfaatkan codebase ZKP
    • Peneliti: dapat meneliti dan bereksperimen dengan kasus penggunaan baru berdasarkan implementasi ZKP yang efisien dan berkinerja lebih baik
  • Dapat diterapkan ke berbagai bidang seperti identitas digital, verifikasi usia, dan verifikasi persetujuan hukum

Keterkaitan dengan regulasi UE dan dompet identitas digital

  • Regulasi EU eIDAS yang mulai berlaku pada 2026 mendorong tiap negara anggota untuk mengintegrasikan teknologi peningkat privasi ke dalam sistem identitas digital nasional mereka (EUDI Wallet)
  • Open source ZKP dari Google membantu negara-negara anggota mengadopsi teknologi ini dengan cepat ke dalam EUDI Wallet

Visi Google

  • Google menyatakan bahwa melalui open source ini, mereka ingin berkontribusi agar semua pihak dalam ekosistem digital dapat menikmati lingkungan yang lebih aman dan lebih menghormati privasi

Bacaan terkait

1 komentar

 
GN⁺ 2025-07-04
Komentar Hacker News
  • Ingin penjelasan yang intuitif tentang non-interactive zero-knowledge proofs. Seperti analogi ‘mencampur cat’ pada pertukaran kunci Diffie-Hellman, dibutuhkan penjelasan yang membuat teknik matematis ini terasa mudah dipahami. Ada materi pengantar yang bagus untuk ZKP interaktif, tetapi untuk yang non-interaktif saya belum menemukannya. Saya juga sempat membaca tulisan blog yang membandingkan ZK-STARKs dengan erasure coding, tetapi masih belum benar-benar terasa masuk akal
    • Ini bisa dijelaskan seperti metode pembuktian yang menunjukkan bahwa kita bisa menemukan Waldo tanpa mengungkap lokasi sebenarnya. Dompet digital membangun struktur tanda tangan dengan ‘commitment C’ yang diterbitkan pihak ketiga alih-alih kunci publik. Pembuktian non-interaktif bisa dilakukan dengan transformasi Fiat-Shamir. Misalnya dimulai dari range proof sederhana untuk menunjukkan bahwa suatu nilai bit adalah 0 atau 1, lalu diperluas ke rentang banyak bit. Berkat Bulletproofs, ukuran bukti bisa diperkecil secara signifikan sehingga makin praktis digunakan. Namun, jika commitment yang sama dipakai berulang kali, ia bisa menjadi pengenal pelacakan dan menimbulkan masalah privasi
    • Contoh “Ali Baba Cave” di Wikipedia sangat menentukan dalam membantu memahami konsep zero-knowledge proof tautan
    • Jika menginginkan contoh intuitif setingkat ‘kaleng cat’, saya merekomendasikan penjelasan "crayons and hats" dari Matthew Green, cukup mudah diikuti tautan
    • Ada video pengantar zero-knowledge proof yang dibuat rekan saya Amit bersama Wired. Tidak membahas cara kerjanya secara detail, tetapi cukup bagus sebagai titik awal video
    • Alasan STARKS dan SNARKS sangat kuat ada pada sifat polinomial. Berkat Schwartz Zippel lemma, polinomial yang berbeda bisa dibedakan dengan mudah hanya lewat beberapa sampel acak. Di situlah kaitannya dengan perbandingan terhadap erasure code. Peralihan ke non-interaktif juga mensimulasikan dialog challenge-response melalui Fiat-Shamir, jadi prinsipnya sendiri cukup intuitif. Fakta bahwa bukti yang sangat pendek seperti pada Groth16 zk snarks bisa dibuat juga sangat mengagumkan. Ini bertumpu pada teori matematika lanjutan berupa fungsi pairing kurva eliptik
  • Verifikasi usia tampaknya akan menjadi gerbang izin penggunaan internet yang diterbitkan pemerintah (dan perusahaan sebagai agennya)
    • Memang, di Uganda sejak 2018 sudah ada sistem pajak yang otomatis membebankan biaya saat mengakses media sosial. Nilainya sekitar 2,7 sen per hari, dan semua pengguna internet terhubung melalui ISP yang dikelola negara. Jika dikaitkan dengan penagihan berbasis penggunaan, sistem perizinan internet sama sekali tidak sulit secara teknis. Begitu ada sistem pemungutan pajak seperti ini, pelacakan 1:1 antara pengguna dan koneksi internet pun menjadi sangat mungkin artikel
    • Jika digabung dengan jaminan keunikan, internet benar-benar bisa dipastikan sebagai ruang yang hidup tanpa perlu lagi perdebatan ‘sudah mati atau belum’
    • Sistem seperti ini pada dasarnya lebih mirip alat untuk membangun rezim kakistokrasi-teknofeodalisme
    • Itu benar, tetapi saya juga jelas melihat masalah pada kenyataan bahwa anak 10 tahun bisa langsung melihat konten yang tidak pantas hanya dengan membuka browser. Sulit berharap ada alternatif realistis hanya dari swaregulasi industri porno itu sendiri
  • Penasaran apakah laporan akhir dan materi terkait kerentanan keamanan (CVE) akan dipublikasikan, dan apakah nantinya akan dibentuk pula mekanisme audit pihak ketiga untuk membangun kepercayaan
  • Dengan basis zero-knowledge proof, tampaknya memungkinkan membangun dunia di mana berbagai jenis verifikasi bisa dilakukan tanpa berbagi data pribadi secara berlebihan, dan ini bisa berperan besar terutama dalam melindungi informasi sensitif seperti nomor jaminan sosial (SSN)
  • Saya penasaran bagaimana cara menghentikan penyerang jahat. Misalnya dengan membeli laptop atau ponsel yang menyimpan private key yang sudah disetujui, mengunduh file private key yang bocor, atau memakai VPN untuk mengakses dari luar jangkauan regulasi hukum
    • Bukti identitas seperti SIM memiliki struktur yang memuat kunci publik, sedangkan secret key yang sesungguhnya disimpan di secure element ponsel. Jadi membeli ponsel saja tidak otomatis memungkinkan autentikasi hanya dengan private key. Anda harus menerima ponsel dan private key sekaligus. Karena berbasis autentikasi biometrik seperti sidik jari, jika diterbitkan langsung di loket pemerintah, hal itu tidak mudah dilakukan
    • Langkah teknis seperti ini pada praktiknya adalah alat untuk mengendalikan warga biasa yang patuh. 0,1% teratas dan 20% terbawah pada prinsipnya tidak bisa dikendalikan. Di masa depan, internet mungkin hanya bisa diakses dengan sertifikat bertanda tangan bersama PII/KYC, dan China sudah bergerak ke arah itu sementara negara-negara Barat juga sedang menuju jalur yang sama
  • Untuk software kritis, praktik pengembangan yang sehat adalah tidak bergantung pada Google
    • Untungnya ini open source
  • Saya cukup marah ketika David Chaum mengunci inovasi zero-knowledge proof lewat paten. Tim DigiCash adalah orang-orang paling serakah di era dot-com bubble dan mencoba menarik uang dari setiap transaksi, sehingga tidak diterima pasar. Ada juga teknologi micropayment cepat dan murah seperti ide “micro-cents” dari Andy Birrell yang memanfaatkan sifat satu arah hash MD5, tetapi sayangnya tidak pernah benar-benar diterapkan. Saya ingin melihat identitas, mata uang, dan hal-hal berbasis ZKP yang dibayangkan pada era 90-an benar-benar terwujud. Jika mata uang digital yang mustahil dibelanjakan ganda secara offline memang mungkin dibuat, saya juga bisa memahami mengapa pemerintah menentangnya dengan keras. Saya ingin mencoba kembali ide-ide ZKP old-school di atas teknologi masa kini
    • Tetapi saya ragu karena pada akhirnya teknologi ini bisa menjadi struktur yang memaksa pemrosesan data pribadi melalui big tech seperti Apple, Google, dan Microsoft. Saya menyukai solusi seperti Passkeys, tetapi sayang industri belum memanfaatkannya dengan baik. Private key pengguna harus terikat pada hardware security key di perangkat pribadi, sehingga realitasnya tetap bergantung pada big tech
    • Sebagai proyek yang benar-benar sedang berjalan, saya perkenalkan Paygo. Ada juga informasi yang dibagikan di Twitter
  • ZKP adalah solusi yang baik untuk identitas terdesentralisasi. Dengan dompet identitas, layanan demokrasi dan berbagai bidang lain bisa diperluas hanya dengan data minimum seperti afiliasi partai, wilayah, dan usia. Saya menilai positif karena komite kebijakan mendorong inovasi di level protokol untuk pertama kalinya setelah sekian lama, mungkin sejak ISDN
  • Ada kasus di mana situs porno besar di Prancis dan Amerika Serikat sempat memblokir akses karena khawatir regulasi verifikasi usia yang berlebihan akan merusak pengalaman pengguna dan privasi, lalu melanjutkan layanan kembali setelah pelonggaran regulasi. Situasi ini sangat terkait langsung dengan diskusi tersebut
  • Ini struktur yang sangat menarik karena menggabungkan multi-show unlinkability dan hardware binding menggunakan kunci hardware ECDSA yang sudah ada, sehingga bisa dimanfaatkan bukan hanya untuk verifikasi usia tetapi juga untuk pembuktian berbagai atribut. Namun, ini jauh lebih kompleks dibanding solusi yang sudah ada seperti Idemix atau BBS+, sehingga mungkin hanya sangat sedikit orang yang benar-benar memahaminya. Ada juga berbagai upaya perlindungan privasi, seperti teknik untuk membatasi frekuensi pengungkapan berulang atribut pribadi agar keseimbangan antara anonimitas dan identifiabilitas bisa diatur. Namun, pencegahan pengelakan yang sempurna tetap mustahil. Secara realistis, verifikasi harus diakui sebagai penghalang untuk melindungi pengguna yang naif, dan jika ekspektasi terhadap pencegahan total terlalu tinggi, pendekatan open-source yang berorientasi perlindungan privasi bisa segera dibuang setelah insiden keamanan pertama dokumen teknis 1, dokumen teknis 2
    • Justru solusi kami bisa dipahami bahkan oleh mahasiswa S1. Sebaliknya, pairing bilinear pada BBS sangat sulit sampai-sampai hanya sedikit orang yang benar-benar memahaminya.