2 poin oleh GN⁺ 4 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Di tengah meningkatnya kebutuhan verifikasi usia secara online, Google merilis pustaka ZKP sebagai open source yang dapat digunakan untuk jaminan usia
  • ZKP memungkinkan pengguna membuktikan syarat seperti berusia 18 tahun ke atas tanpa menyerahkan data pribadi yang tidak perlu, sehingga mengurangi paparan informasi pribadi dalam verifikasi usia
  • Kode yang dirilis mendukung jaminan usia di UE berdasarkan kemitraan dengan Sparkasse, dan dapat dimanfaatkan pengembang sektor swasta maupun publik untuk implementasi identitas digital
  • Pengguna, perusahaan dan organisasi lain yang bergantung padanya, pengembang, serta peneliti masing-masing dapat memanfaatkan ekosistem yang lebih aman, solusi open source, codebase, dan implementasi ZKP yang efisien
  • Karena eIDAS Regulation UE yang dijadwalkan berlaku pada 2026 mendorong integrasi teknologi peningkat privasi ke EUDI Wallet, hal ini juga dapat memengaruhi pengembangan wallet di negara-negara anggota

Google merilis pustaka ZKP

  • Google merilis Zero-Knowledge Proof (ZKP) libraries sebagai open source
  • Rilis ini merupakan bagian dari pemenuhan komitmen sebelumnya, dan dari upaya mendukung jaminan usia di UE berdasarkan kemitraan dengan Sparkasse
  • Alat kriptografi ini dapat digunakan pengembang sektor swasta maupun publik untuk membuat aplikasi peningkat privasi dan solusi identitas digital

Peran ZKP dalam verifikasi usia

  • ZKP adalah teknologi yang memungkinkan pembuktian bahwa suatu fakta itu benar tanpa harus menukar data lain di luar itu
  • Pengunjung situs web dapat membuktikan secara terverifikasi bahwa dirinya berusia 18 tahun ke atas tanpa perlu membagikan informasi tambahan

Pihak yang menjadi sasaran kode yang dirilis

  • Google menilai pembagian ZKP ini bermanfaat bagi berbagai peserta dalam ekosistem
    • Pengguna web dan aplikasi dapat menjadi bagian dari ekosistem digital yang lebih berfokus pada privasi dan lebih aman
    • Perusahaan dan organisasi lain yang bergantung padanya dapat memanfaatkan solusi open source untuk memenuhi kebutuhan privasi, terlepas dari skalanya
    • Pengembang dapat menggunakan codebase ZKP secara bebas untuk membuat aplikasi yang berfokus pada privasi
    • Peneliti dapat memanfaatkan implementasi ZKP yang lebih efisien dan berkinerja tinggi untuk menciptakan aplikasi baru serta cara pemanfaatan teknologi yang baru

Konteks EU eIDAS dan EUDI Wallet

  • eIDAS Regulation UE yang dijadwalkan berlaku pada 2026 mendorong negara-negara anggota untuk mengintegrasikan teknologi peningkat privasi seperti ZKP ke dalam European Digital Identity Wallet, yaitu EUDI Wallet
  • Perilisan alat ZKP oleh Google dapat dimanfaatkan negara-negara anggota untuk mengintegrasikan teknologi tersebut ke EUDI Wallet di masa mendatang dan mempercepat pengembangannya

Akses kode

1 komentar

 
GN⁺ 4 jam lalu
Opini Hacker News
  • Meski begitu, saya tidak menginginkan cara memblokir akses hanya berdasarkan usia
    Orang tua setidaknya harus bisa menimpa usia anaknya, atau secara opsional mengizinkan bypass
    Kalau separuh internet diblokir, pengalaman saya dengan komputer pasti akan sangat berbeda, apalagi kalau melihat konten apa saja yang diblokir

    • Sebagai generasi milenial, saya memang melihat cukup banyak konten yang tidak ingin saya perlihatkan kepada orang yang lebih muda, tetapi konten yang bisa diakses tanpa batasan usia justru mungkin lebih berbahaya
      Di YouTube atau TikTok ada banyak konten aneh yang tidak dilarang tetapi tidak sehat, dan kerabat saya yang masih kecil sangat tertarik padanya
    • Situs web seharusnya bisa dengan mudah memeriksa apakah kunci kontrol orang tua aktif di perangkat yang mengaksesnya
      Tidak perlu mengidentifikasi siapa yang memakai perangkat itu, dan tanggung jawab membiarkan anak memakai perangkat yang terkunci harus ada pada orang tua
    • Sudah ada ratusan komentar yang mengatakan hal serupa, tetapi batasan usia seharusnya menjadi pengaturan perangkat
      Perangkat menyatakan status seperti di atas/di bawah 18 tahun, dan situs web atau aplikasi seharusnya hanya diwajibkan secara hukum untuk menghormati pernyataan itu
      Perangkat harus bisa dikendalikan orang tua, dan apakah batasan usia diterapkan pada anak harus diputuskan oleh orang tua
      Selain itu harus ada fitur profil agar meskipun anak memakai ponsel atau laptop orang tua, mereka tidak merusak data orang tua atau mengakses hal yang tidak seharusnya mereka lihat
      Dulu pun orang tua menyewa film rating R yang memuat ketelanjangan, seks, atau kekerasan untuk anaknya dianggap boleh, berbeda dengan toko video yang tidak boleh menyewakannya langsung kepada anak
      Jika orang tua menilai anaknya yang berusia 16 tahun cukup dewasa untuk menonton porno, itu adalah urusan orang tua untuk memutuskan
    • Anda tampaknya membayangkan solusi yang cocok bagi Anda juga akan diterima sebagai solusi oleh kekuatan politik yang mendorong hal ini
      Atau tampaknya Anda menganggap risiko utama verifikasi usia hanyalah “menjalani verifikasi usia”
      Jika tidak ada solusi aman yang digerakkan pasar—pendekatan yang anonim, tidak diawasi, dan hanya membuktikan usia—serta pemerintah tidak bisa memantau, menolak, atau mencabutnya per individu, maka pada akhirnya justru model kontrol seperti itulah yang akan dipaksakan kepada semua orang
      Kita tidak bisa mengalahkan lawan hanya dengan mengatakan bahwa belenggu yang ingin mereka pasang pada semua orang tidak diperlukan
      Kita harus mengadopsi zero-knowledge proof dan teknologi keamanan kuat yang terdesentralisasi serta open source untuk menyelesaikan masalah nyata yang tampak kecil tetapi tidak akan hilang, seperti usia dan porno
      Jika tidak, kita akan berada dalam posisi harus “memercayai” politisi lemah, kelompok kepentingan, dan orang asing di internet agar tidak menyalahgunakan ketidakberdayaan kita
      Jika AI ditambahkan ke dalamnya, risiko dan dampak berbahaya dari sikap pasif akan membesar secara ekstrem
    • Saya berpendapat batasan usia memang diperlukan
      Mungkin Anda, seperti saya, adalah laki-laki yang lebih tua, dari generasi yang bebas berkeliaran di internet sebelum hubungan antarmanusia dikomersialisasi, menemukan hal dan orang keren, serta menghabiskan waktu belajar di ruang seperti Perpustakaan Alexandria
      Namun kita harus bertanya kepada Gen Z dan generasi yang lebih muda, terutama anak perempuan, seperti apa pengalaman internet bagi mereka
      Pernahkah Anda mencoba bermain game online santai dengan teman-teman tetapi terus-menerus dilecehkan oleh 3–4 laki-laki dewasa
      Seberapa sering Anda pernah ditawari uang dalam bentuk seperti “loot box” agar mengirim foto telanjang saat masih di bawah umur
      Apakah di setiap situs yang Anda kunjungi algoritma tidak menyodorkan konten yang menyuruh Anda menerima anoreksia, bertaruh pada apa yang akan dikatakan Trump di TV, memakai narkoba, atau sekadar bunuh diri
      Generasi paman seperti kita harus berhenti merindukan pengalaman komputer masa kecil kita, dan mendengarkan anak-anak serta riset terkait
      Internet yang dulu ramah, diisi para geek dan nerd baik hati, sudah tidak ada lagi, dan jika kita ingin menyisakan sedikit saja masyarakat yang berfungsi dengan baik, internet harus berubah
  • Jika kunjungan ke situs mulai membutuhkan bukti pemerintah per individu, pemerintah akan bisa secara dinamis menolak atau mencabut hak akses seseorang kapan pun ke situs mana pun yang menerapkan verifikasi usia
    Jika situs dewasa mengadopsi sistem itu, sistem tersebut akan merembet ke situs-situs yang ingin mengurangi tanggung jawab
    Bank, layanan bisnis, dan pada akhirnya hampir semua tempat bisa ikut terkena
    Pemerintah akan membesar-besarkan dan memperluas isu tanggung jawab, tetapi tidak akan meloloskan undang-undang yang menciptakan safe harbor untuk tanggung jawab terkait usia
    Wikipedia pun sudah berjuang agar tidak harus menerapkan verifikasi usia
    Verifikasi usia yang dikelola pemerintah berarti bahkan Wikipedia pun tidak bisa diakses tanpa izin pemerintah yang dilacak, dikontrol, dan bisa dicabut per individu https://www.eff.org/deeplinks/2025/07/we-support-wikimedia-f...
    Jarang sekali argumen lereng licin benar-benar selicin ini dalam kenyataan
    Bahkan tidak ada penghalang teknis antara akses yang dikontrol pemerintah per warga negara untuk situs dewasa yang jelas, dan akses yang diizinkan serta dikontrol pemerintah untuk semua situs yang memiliki konten substantif
    Itu hanya akan menjadi kurva adopsi situs, dan setiap kali adopsi meningkat, cakupan pengawasan pemerintah secara real-time dalam kehidupan menit demi menit serta kemampuan untuk menolak akses yang diinginkan kepada target yang diinginkan pada waktu yang diinginkan akan bertambah
    Distopia sudah tiba, dan ini menakutkan
    Solusi yang tampaknya diperlukan adalah bukti pihak ketiga yang bisa disediakan siapa pun yang memenuhi standar terbuka, bukti yang dibatasi hanya sebagai bukti usia, serta implementasi berbasis zero-knowledge proof
    Kita harus membuat alternatif yang anonim, tidak diawasi, dan tidak memungkinkan penolakan per individu agar bisa mematahkan dorongan perluasan kekuasaan pemerintah
    Jika teknolog yang sadar keamanan dan pasar tidak mampu menyelesaikannya, versi yang menghancurkan kebebasan akan menang, dan akan sulit dibalikkan

    • Tidak perlu bukti usia maupun bukti identitas apa pun sama sekali
    • Bagian ini perlu lebih ditekankan
      Jika situs dewasa mengadopsi sistem ini, sistem tersebut akan merembet ke semua situs yang ingin mengurangi tanggung jawab, dan bank serta layanan bisnis, lalu akhirnya hampir semuanya, bisa ikut mengikuti
      Bahkan dengan zero-knowledge proof sekalipun, begitu pembuktian menjadi praktis dan umum, ia akan menyebar, dan tidak lama lagi yang dijamin bukan hanya usia
  • Di sini, istilah zero-knowledge tampaknya agak berlebihan
    Pada praktiknya, ini lebih mirip memecah pengetahuan lalu hanya membagikan bagian yang relevan kepada tiap pihak
    Dan Google, yang berperan sebagai perantara, tampaknya berpotensi mengakses informasi paling banyak di antara pihak-pihak terkait

    • Zero-knowledge proof adalah alat yang sudah dikenal luas dalam kriptografi https://en.wikipedia.org/wiki/Zero-knowledge_proof
      Google hanya membagikan library yang mengimplementasikannya, dan kemungkinan tidak akan bisa mengakses informasi ini, sama seperti Google tidak bisa mengakses informasi bank pengguna Android atau Gmail
    • Jika ini benar-benar pengaturan zero-knowledge proof, siapa pun bisa dibuat tidak mengetahui apa pun selain informasi yang benar-benar minimal
      Misalnya, yang diketahui hanya “apakah lebih dari 16 tahun”, bukan tanggal lahir
      Namun hal ini sulit dibuktikan, dan sulit mempercayai bahwa Google akan melakukannya
    • Idealnya, pemerintah menjadi penerbit sekaligus perantara, tetapi AS tidak memiliki kapabilitas negara untuk menjalankan ini
      Di Estonia, cara seperti itu mungkin bisa dilakukan
    • Google telah merintis beberapa teknologi yang menjadikan mereka dealer tepercaya, contohnya Private State Tokens
      Mereka menulis makalah tentang cara melakukan verifikasi usia dengan sepenuhnya menjaga privasi, bahkan tanpa memerlukan zero-knowledge proof
      https://magarshak.com/papers/Personal.pdf
  • Thread ini memang banyak biasnya, tetapi mungkin kita bisa membahas sisi teknisnya
    Saya tidak mendalami topik ini, jadi akan bagus kalau ada yang bisa menjawab
    Saya penasaran seberapa zero-knowledge sebenarnya ini
    Sejauh pemahaman saya, ada tiga pihak: saya, situs yang ingin saya akses, dan prover (Google atau pemerintah?)
    Apakah situs tahu siapa saya
    Apakah situs tahu siapa prover saya, dan misalnya bisa menyimpulkan bahwa prover itu tidak menyukai meme Winnie-the-Pooh
    Apakah prover tahu situs atau jenis konten apa yang ingin saya lihat
    Apakah prover tahu siapa saya
    Apakah saya selalu bisa mengetahui siapa situs dan prover-nya, serta kapan pembuktian ini terjadi

    • Berdasarkan pengalaman dengan zero-knowledge proof, “prover” di sini bisa dipahami sebagai pihak yang menyediakan dasar data atau menerbitkan kredensial yang ingin dibuktikan
      Sebagai contoh klasik, katakanlah kita membuktikan usia ≥ n lewat identitas resmi pemerintah
      Situs tidak tahu siapa Anda
      Intinya adalah membuat bukti matematis bahwa Anda memiliki identitas resmi pemerintah yang valid dan di dalamnya tertulis “usia ≥ n”
      Situs bisa mengetahui penerbitnya
      Karena bukti didasarkan pada informasi yang dijadikan dasar oleh prover, dalam kasus ini bukti baru bermakna jika pemerintah penerbit identitas diketahui
      Prover tidak perlu mengetahui situs dalam proses ini
      Ia hanya tahu bahwa ia pernah menerbitkan identitas, dan setelah itu tidak perlu dihubungi lagi
      Memang bisa saja dirancang agar meminta zero-knowledge proof atas izin tertulis terbaru dari suatu lembaga, tetapi itu bukan esensi zero-knowledge proof
      Apakah pengguna selalu bisa mengetahuinya adalah persoalan pengalaman pengguna
      Itu memungkinkan jika wallet dan situs web diimplementasikan untuk selalu menampilkan waktu dan jenis permintaan kredensial
    • Saya juga bukan ahli, tetapi saya pernah mempelajarinya sedikit dan mencoba beberapa hal
      Di sini prover bukan Google
      Google hanya menyediakan infrastruktur untuk membuat dan memverifikasi proof, sedangkan prover lebih tepat disebut penerbit, yaitu lembaga tepercaya yang memberikan bukti identitas
      Alur yang mungkin adalah seperti ini
      Pertama, penerbit seperti pemerintah, bank, atau operator seluler menerbitkan kredensial bertanda tangan ke wallet saya, misalnya ponsel
      Ini bisa berupa identitas digital penuh, atau “bukti usia” yang lebih sempit
      Kemudian situs meminta browser membuktikan bahwa ia memenuhi kondisi seperti age >= 18
      Situs menyediakan “zk-program” (circuit) yang harus dijalankan, lalu menunggu bukti bahwa program tersebut dijalankan atas input yang tepercaya tetapi tidak dibuka
      Ponsel mengetahui kredensial bertanda tangan dari penerbit yang valid, lalu membuat zero-knowledge proof bahwa atribut tersembunyi itu memenuhi kondisi
      Idealnya ini dibuat secara lokal, tetapi saat ini belum sepenuhnya siap
      Situs memverifikasi proof dengan input publik seperti public key penerbit, circuit yang digunakan, kondisi yang diminta, dan nonce/challenge baru
      Jadi dari zero-knowledge proof itu sendiri, situs tidak tahu siapa saya, tetapi situs menjadi tahu siapa yang menerbitkan ID saya
      Situs mengetahui public key prover, dan prover tidak tahu situs yang saya kunjungi
      Prover tahu siapa saya
      Apakah pengguna mengetahui situs, prover, dan waktu pembuktian bisa diwujudkan dalam berbagai cara tergantung pengalaman pengguna yang diimplementasikan
    • Saya mencoba mencari materi yang definitif, tetapi waktunya kurang, jadi ini semacam perkiraan yang digeneralisasi
      Situs tidak tahu siapa pengguna
      Itulah tujuan keseluruhan metode ini
      Situs tahu siapa prover-nya
      Karena harus melakukan verifikasi kriptografi asimetris atas proof, diperlukan daftar public key, dan identitas prover bisa dikaitkan dengan key tersebut
      Prover seharusnya tidak mengetahui konten apa yang ingin saya lihat
      Jika menggunakan JWT, proof seorang pengguna bisa diverifikasi tanpa memberi tahu prover proof siapa yang sedang diverifikasi
      Namun jika ada API seperti “apakah proof ini sudah dicabut”, bisa saja secara tidak sengaja menciptakan kembali kanal informasi
      Prover mengetahui siapa pengguna, atau setidaknya memiliki sebagian informasi pengguna yang akan dibuktikan kepada pihak lain
      Secara realistis, yang perlu dibayangkan adalah informasi akun Google, Apple, Microsoft, bank, dan semacamnya
      Secara teknis pengguna bisa selalu mengetahui situs dan prover, tetapi dari sudut pandang manusia nyata, itu meragukan
      Saya karyawan Google, tetapi jauh dari proyek ini sehingga tidak punya pengetahuan internal
    • Sulit untuk benar-benar mengetahuinya
      Sistemnya bisa saja merupakan zero-knowledge proof yang valid, tetapi layanan-layanan nyata tetap bisa mengumpulkan informasi identitas pribadi dari pengguna
      Selain itu, tidak ada yang mencegah prover berkolusi dengan situs yang ingin diakses untuk mengungkap informasi tentang Anda
    • Computer Scientist Explains One Concept in 5 Levels of Difficult
      https://www.youtube.com/watch?v=fOGdb1CTu5c
      Video ini menjelaskannya dengan sangat baik
  • Mencurigakan bahwa jaminan usia menjadi tren tepat pada saat agen AI mulai bisa mengoperasikan komputer pribadi secara otonom seperti pekerja kantoran manusia
    Saya khawatir jaminan usia mungkin tidak ada hubungannya dengan “anak-anak”

    • Premis itu keliru
      Masalah ini sudah ada selama anak-anak berada online
      Pada awal 2000-an, mereka mencoba memakai kartu kredit dan tentu saja gagal
      Inggris juga gagal mencegah akses anak di bawah umur ke pornografi dengan cara seperti ini selama 10 tahun terakhir
      Alat AI mungkin bahkan tidak masuk radar para politisi yang terus mendorong hal semacam ini
    • Kita memang harus benar-benar takut
      Langkah-langkah seperti ini dan langkah pelanggaran privasi lainnya tidak pernah benar-benar ada hubungannya dengan anak-anak
    • Inti dari zero-knowledge proof di dompet EU adalah memisahkan verifikasi usia dan privasi
      Anda bisa membuktikan usia tanpa kehilangan privasi
  • Usia hanyalah salah satu indikator
    Saya tidak menginginkan teknologi zero-knowledge untuk informasi X, dan saya juga tidak ingin memiliki identitas itu sendiri
    Selesai sampai di sini

    • Teknologi ini bisa digunakan untuk zero-knowledge proof atas “18 tahun ke atas” atau “di bawah 18 tahun”
      Jadi yang diketahui bukan usia sebenarnya, melainkan hanya salah satu dari dua kategori luas tersebut
  • “Zero-knowledge proof memungkinkan seseorang membuktikan bahwa suatu fakta tentang dirinya benar tanpa pertukaran data lain. Misalnya, pengunjung situs web dapat membuktikan secara terverifikasi bahwa ia berusia 18 tahun ke atas tanpa membagikan apa pun lainnya”
    Namun itu bukan berarti “bahkan saat menyiapkan token pun tidak ada apa pun yang dibagikan”
    Bisakah dibuktikan bahwa suatu token kriptografis A) tidak berisi informasi identifikasi pribadi, dan B) token itu sendiri tidak dapat digunakan sebagai ID yang terhubung ke identitas saya di Google atau basis data pemerintah
    Karena keduanya tidak mungkin, saya tidak mendukung pendekatan token seperti ini

    • Sepemahaman saya, zero-knowledge proof bisa membuktikan kedua sifat itu
      Anda mendapat sertifikat dari pihak tepercaya yang memverifikasi apakah Anda berusia 18 tahun ke atas, lalu menggunakannya untuk membuat token yang hanya berisi informasi bahwa “X telah memverifikasi bahwa saya berusia 18 tahun ke atas”
      Baik pemeriksa awal maupun pihak yang menerima token semestinya tidak bisa mengaitkannya kembali ke sertifikat asli
      Lihat bagian 2 dokumen ini: https://eudi.dev/2.4.0/discussion-topics/g-zero-knowledge-pr...
      Saya ingin tahu jika ada sanggahan bahwa hal ini sebenarnya sulit dicapai secara teknis
      Selain itu, struktur seperti ini tampaknya bisa memenuhi sebagian besar rancangan undang-undang verifikasi usia yang diusulkan di seluruh dunia
      Bahkan jika dibuat sebagai dua divisi dalam perusahaan yang sama, mereka bisa membuktikan bahwa mereka telah melihat semua ID pengguna tetapi tidak bisa menghubungkan nama pengguna dengan ID
      Tetap saja ini bukan yang terbaik karena menangani informasi identifikasi pribadi dan berisiko bocor, tetapi jauh lebih baik daripada cara yang dilakukan kebanyakan pihak saat ini
    • Tentu saja token saja tidak cukup
      Cara yang dimaksud adalah memungkinkan pemerintah yang sudah memiliki data usia membuat pesan bertanda tangan, dan platform yang memeriksa usia hanya mengetahui bahwa Anda orang dewasa, tanpa mengetahui siapa Anda atau usia persis Anda
  • Zero-knowledge proof untuk tujuan ini adalah kuda Troya untuk pelacakan identitas dan pembuktian perangkat
    Sebab prasyarat semacam itu diperlukan untuk mencegah situasi ketika semua orang mencetak massal bukti bahwa mereka orang dewasa lalu membagikannya secara gratis
    Dalam penandatanganan kontrak dan pembayaran, ini bekerja karena ada insentif bawaan, tetapi tidak demikian pada pembuktian usia

  • Pada akhirnya, bukankah mereka akan berargumen bahwa “karena bukti bisa dibagikan, kita membutuhkan titik verifikasi tepercaya untuk memastikan bahwa orang yang benar-benar memegang token zero-knowledge pada saat ini adalah Anda”
    Lalu mereka bisa meminta Anda menyalakan kamera smartphone dan patuh mengikuti instruksi autentikasi biometrik

    • Lebih sederhananya, mereka juga bisa saja mengklaim telah mengimplementasikannya sambil tetap menyimpan data
      Pemerintah tampaknya tidak lagi mengambil langkah untuk mengatur apa pun, dan mungkin juga tidak akan melakukannya di masa depan
    • Bisa jadi, tetapi kita harus membuat mereka mengajukan argumen itu hanya setelah kita menunjukkan bahwa verifikasi usia dapat dilakukan di semua situs web tanpa mengidentifikasi diri
      Dengan begitu akan terlihat bahwa mereka bukan sedang mencari solusi praktis
  • Kita membutuhkan “cara menjelaskan zero-knowledge proof kepada pembuat undang-undang”

    • “Jangan pernah menerapkan jaminan usia”
      Itu sudah cukup
    • Pembuat undang-undang AS biasanya tidak termotivasi oleh kepentingan orang biasa, jadi sepertinya tidak banyak artinya