- Di tengah meningkatnya kebutuhan verifikasi usia secara online, Google merilis pustaka ZKP sebagai open source yang dapat digunakan untuk jaminan usia
- ZKP memungkinkan pengguna membuktikan syarat seperti berusia 18 tahun ke atas tanpa menyerahkan data pribadi yang tidak perlu, sehingga mengurangi paparan informasi pribadi dalam verifikasi usia
- Kode yang dirilis mendukung jaminan usia di UE berdasarkan kemitraan dengan Sparkasse, dan dapat dimanfaatkan pengembang sektor swasta maupun publik untuk implementasi identitas digital
- Pengguna, perusahaan dan organisasi lain yang bergantung padanya, pengembang, serta peneliti masing-masing dapat memanfaatkan ekosistem yang lebih aman, solusi open source, codebase, dan implementasi ZKP yang efisien
- Karena eIDAS Regulation UE yang dijadwalkan berlaku pada 2026 mendorong integrasi teknologi peningkat privasi ke EUDI Wallet, hal ini juga dapat memengaruhi pengembangan wallet di negara-negara anggota
Google merilis pustaka ZKP
- Google merilis Zero-Knowledge Proof (ZKP) libraries sebagai open source
- Rilis ini merupakan bagian dari pemenuhan komitmen sebelumnya, dan dari upaya mendukung jaminan usia di UE berdasarkan kemitraan dengan Sparkasse
- Alat kriptografi ini dapat digunakan pengembang sektor swasta maupun publik untuk membuat aplikasi peningkat privasi dan solusi identitas digital
Peran ZKP dalam verifikasi usia
- ZKP adalah teknologi yang memungkinkan pembuktian bahwa suatu fakta itu benar tanpa harus menukar data lain di luar itu
- Pengunjung situs web dapat membuktikan secara terverifikasi bahwa dirinya berusia 18 tahun ke atas tanpa perlu membagikan informasi tambahan
Pihak yang menjadi sasaran kode yang dirilis
- Google menilai pembagian ZKP ini bermanfaat bagi berbagai peserta dalam ekosistem
- Pengguna web dan aplikasi dapat menjadi bagian dari ekosistem digital yang lebih berfokus pada privasi dan lebih aman
- Perusahaan dan organisasi lain yang bergantung padanya dapat memanfaatkan solusi open source untuk memenuhi kebutuhan privasi, terlepas dari skalanya
- Pengembang dapat menggunakan codebase ZKP secara bebas untuk membuat aplikasi yang berfokus pada privasi
- Peneliti dapat memanfaatkan implementasi ZKP yang lebih efisien dan berkinerja tinggi untuk menciptakan aplikasi baru serta cara pemanfaatan teknologi yang baru
Konteks EU eIDAS dan EUDI Wallet
- eIDAS Regulation UE yang dijadwalkan berlaku pada 2026 mendorong negara-negara anggota untuk mengintegrasikan teknologi peningkat privasi seperti ZKP ke dalam European Digital Identity Wallet, yaitu EUDI Wallet
- Perilisan alat ZKP oleh Google dapat dimanfaatkan negara-negara anggota untuk mengintegrasikan teknologi tersebut ke EUDI Wallet di masa mendatang dan mempercepat pengembangannya
Akses kode
- Codebase ZKP dapat dilihat di google/longfellow-zk
1 komentar
Opini Hacker News
Meski begitu, saya tidak menginginkan cara memblokir akses hanya berdasarkan usia
Orang tua setidaknya harus bisa menimpa usia anaknya, atau secara opsional mengizinkan bypass
Kalau separuh internet diblokir, pengalaman saya dengan komputer pasti akan sangat berbeda, apalagi kalau melihat konten apa saja yang diblokir
Di YouTube atau TikTok ada banyak konten aneh yang tidak dilarang tetapi tidak sehat, dan kerabat saya yang masih kecil sangat tertarik padanya
Tidak perlu mengidentifikasi siapa yang memakai perangkat itu, dan tanggung jawab membiarkan anak memakai perangkat yang terkunci harus ada pada orang tua
Perangkat menyatakan status seperti di atas/di bawah 18 tahun, dan situs web atau aplikasi seharusnya hanya diwajibkan secara hukum untuk menghormati pernyataan itu
Perangkat harus bisa dikendalikan orang tua, dan apakah batasan usia diterapkan pada anak harus diputuskan oleh orang tua
Selain itu harus ada fitur profil agar meskipun anak memakai ponsel atau laptop orang tua, mereka tidak merusak data orang tua atau mengakses hal yang tidak seharusnya mereka lihat
Dulu pun orang tua menyewa film rating R yang memuat ketelanjangan, seks, atau kekerasan untuk anaknya dianggap boleh, berbeda dengan toko video yang tidak boleh menyewakannya langsung kepada anak
Jika orang tua menilai anaknya yang berusia 16 tahun cukup dewasa untuk menonton porno, itu adalah urusan orang tua untuk memutuskan
Atau tampaknya Anda menganggap risiko utama verifikasi usia hanyalah “menjalani verifikasi usia”
Jika tidak ada solusi aman yang digerakkan pasar—pendekatan yang anonim, tidak diawasi, dan hanya membuktikan usia—serta pemerintah tidak bisa memantau, menolak, atau mencabutnya per individu, maka pada akhirnya justru model kontrol seperti itulah yang akan dipaksakan kepada semua orang
Kita tidak bisa mengalahkan lawan hanya dengan mengatakan bahwa belenggu yang ingin mereka pasang pada semua orang tidak diperlukan
Kita harus mengadopsi zero-knowledge proof dan teknologi keamanan kuat yang terdesentralisasi serta open source untuk menyelesaikan masalah nyata yang tampak kecil tetapi tidak akan hilang, seperti usia dan porno
Jika tidak, kita akan berada dalam posisi harus “memercayai” politisi lemah, kelompok kepentingan, dan orang asing di internet agar tidak menyalahgunakan ketidakberdayaan kita
Jika AI ditambahkan ke dalamnya, risiko dan dampak berbahaya dari sikap pasif akan membesar secara ekstrem
Mungkin Anda, seperti saya, adalah laki-laki yang lebih tua, dari generasi yang bebas berkeliaran di internet sebelum hubungan antarmanusia dikomersialisasi, menemukan hal dan orang keren, serta menghabiskan waktu belajar di ruang seperti Perpustakaan Alexandria
Namun kita harus bertanya kepada Gen Z dan generasi yang lebih muda, terutama anak perempuan, seperti apa pengalaman internet bagi mereka
Pernahkah Anda mencoba bermain game online santai dengan teman-teman tetapi terus-menerus dilecehkan oleh 3–4 laki-laki dewasa
Seberapa sering Anda pernah ditawari uang dalam bentuk seperti “loot box” agar mengirim foto telanjang saat masih di bawah umur
Apakah di setiap situs yang Anda kunjungi algoritma tidak menyodorkan konten yang menyuruh Anda menerima anoreksia, bertaruh pada apa yang akan dikatakan Trump di TV, memakai narkoba, atau sekadar bunuh diri
Generasi paman seperti kita harus berhenti merindukan pengalaman komputer masa kecil kita, dan mendengarkan anak-anak serta riset terkait
Internet yang dulu ramah, diisi para geek dan nerd baik hati, sudah tidak ada lagi, dan jika kita ingin menyisakan sedikit saja masyarakat yang berfungsi dengan baik, internet harus berubah
Jika kunjungan ke situs mulai membutuhkan bukti pemerintah per individu, pemerintah akan bisa secara dinamis menolak atau mencabut hak akses seseorang kapan pun ke situs mana pun yang menerapkan verifikasi usia
Jika situs dewasa mengadopsi sistem itu, sistem tersebut akan merembet ke situs-situs yang ingin mengurangi tanggung jawab
Bank, layanan bisnis, dan pada akhirnya hampir semua tempat bisa ikut terkena
Pemerintah akan membesar-besarkan dan memperluas isu tanggung jawab, tetapi tidak akan meloloskan undang-undang yang menciptakan safe harbor untuk tanggung jawab terkait usia
Wikipedia pun sudah berjuang agar tidak harus menerapkan verifikasi usia
Verifikasi usia yang dikelola pemerintah berarti bahkan Wikipedia pun tidak bisa diakses tanpa izin pemerintah yang dilacak, dikontrol, dan bisa dicabut per individu https://www.eff.org/deeplinks/2025/07/we-support-wikimedia-f...
Jarang sekali argumen lereng licin benar-benar selicin ini dalam kenyataan
Bahkan tidak ada penghalang teknis antara akses yang dikontrol pemerintah per warga negara untuk situs dewasa yang jelas, dan akses yang diizinkan serta dikontrol pemerintah untuk semua situs yang memiliki konten substantif
Itu hanya akan menjadi kurva adopsi situs, dan setiap kali adopsi meningkat, cakupan pengawasan pemerintah secara real-time dalam kehidupan menit demi menit serta kemampuan untuk menolak akses yang diinginkan kepada target yang diinginkan pada waktu yang diinginkan akan bertambah
Distopia sudah tiba, dan ini menakutkan
Solusi yang tampaknya diperlukan adalah bukti pihak ketiga yang bisa disediakan siapa pun yang memenuhi standar terbuka, bukti yang dibatasi hanya sebagai bukti usia, serta implementasi berbasis zero-knowledge proof
Kita harus membuat alternatif yang anonim, tidak diawasi, dan tidak memungkinkan penolakan per individu agar bisa mematahkan dorongan perluasan kekuasaan pemerintah
Jika teknolog yang sadar keamanan dan pasar tidak mampu menyelesaikannya, versi yang menghancurkan kebebasan akan menang, dan akan sulit dibalikkan
Jika situs dewasa mengadopsi sistem ini, sistem tersebut akan merembet ke semua situs yang ingin mengurangi tanggung jawab, dan bank serta layanan bisnis, lalu akhirnya hampir semuanya, bisa ikut mengikuti
Bahkan dengan zero-knowledge proof sekalipun, begitu pembuktian menjadi praktis dan umum, ia akan menyebar, dan tidak lama lagi yang dijamin bukan hanya usia
Di sini, istilah zero-knowledge tampaknya agak berlebihan
Pada praktiknya, ini lebih mirip memecah pengetahuan lalu hanya membagikan bagian yang relevan kepada tiap pihak
Dan Google, yang berperan sebagai perantara, tampaknya berpotensi mengakses informasi paling banyak di antara pihak-pihak terkait
Google hanya membagikan library yang mengimplementasikannya, dan kemungkinan tidak akan bisa mengakses informasi ini, sama seperti Google tidak bisa mengakses informasi bank pengguna Android atau Gmail
Misalnya, yang diketahui hanya “apakah lebih dari 16 tahun”, bukan tanggal lahir
Namun hal ini sulit dibuktikan, dan sulit mempercayai bahwa Google akan melakukannya
Di Estonia, cara seperti itu mungkin bisa dilakukan
Mereka menulis makalah tentang cara melakukan verifikasi usia dengan sepenuhnya menjaga privasi, bahkan tanpa memerlukan zero-knowledge proof
https://magarshak.com/papers/Personal.pdf
Thread ini memang banyak biasnya, tetapi mungkin kita bisa membahas sisi teknisnya
Saya tidak mendalami topik ini, jadi akan bagus kalau ada yang bisa menjawab
Saya penasaran seberapa zero-knowledge sebenarnya ini
Sejauh pemahaman saya, ada tiga pihak: saya, situs yang ingin saya akses, dan prover (Google atau pemerintah?)
Apakah situs tahu siapa saya
Apakah situs tahu siapa prover saya, dan misalnya bisa menyimpulkan bahwa prover itu tidak menyukai meme Winnie-the-Pooh
Apakah prover tahu situs atau jenis konten apa yang ingin saya lihat
Apakah prover tahu siapa saya
Apakah saya selalu bisa mengetahui siapa situs dan prover-nya, serta kapan pembuktian ini terjadi
Sebagai contoh klasik, katakanlah kita membuktikan usia ≥ n lewat identitas resmi pemerintah
Situs tidak tahu siapa Anda
Intinya adalah membuat bukti matematis bahwa Anda memiliki identitas resmi pemerintah yang valid dan di dalamnya tertulis “usia ≥ n”
Situs bisa mengetahui penerbitnya
Karena bukti didasarkan pada informasi yang dijadikan dasar oleh prover, dalam kasus ini bukti baru bermakna jika pemerintah penerbit identitas diketahui
Prover tidak perlu mengetahui situs dalam proses ini
Ia hanya tahu bahwa ia pernah menerbitkan identitas, dan setelah itu tidak perlu dihubungi lagi
Memang bisa saja dirancang agar meminta zero-knowledge proof atas izin tertulis terbaru dari suatu lembaga, tetapi itu bukan esensi zero-knowledge proof
Apakah pengguna selalu bisa mengetahuinya adalah persoalan pengalaman pengguna
Itu memungkinkan jika wallet dan situs web diimplementasikan untuk selalu menampilkan waktu dan jenis permintaan kredensial
Di sini prover bukan Google
Google hanya menyediakan infrastruktur untuk membuat dan memverifikasi proof, sedangkan prover lebih tepat disebut penerbit, yaitu lembaga tepercaya yang memberikan bukti identitas
Alur yang mungkin adalah seperti ini
Pertama, penerbit seperti pemerintah, bank, atau operator seluler menerbitkan kredensial bertanda tangan ke wallet saya, misalnya ponsel
Ini bisa berupa identitas digital penuh, atau “bukti usia” yang lebih sempit
Kemudian situs meminta browser membuktikan bahwa ia memenuhi kondisi seperti age >= 18
Situs menyediakan “zk-program” (circuit) yang harus dijalankan, lalu menunggu bukti bahwa program tersebut dijalankan atas input yang tepercaya tetapi tidak dibuka
Ponsel mengetahui kredensial bertanda tangan dari penerbit yang valid, lalu membuat zero-knowledge proof bahwa atribut tersembunyi itu memenuhi kondisi
Idealnya ini dibuat secara lokal, tetapi saat ini belum sepenuhnya siap
Situs memverifikasi proof dengan input publik seperti public key penerbit, circuit yang digunakan, kondisi yang diminta, dan nonce/challenge baru
Jadi dari zero-knowledge proof itu sendiri, situs tidak tahu siapa saya, tetapi situs menjadi tahu siapa yang menerbitkan ID saya
Situs mengetahui public key prover, dan prover tidak tahu situs yang saya kunjungi
Prover tahu siapa saya
Apakah pengguna mengetahui situs, prover, dan waktu pembuktian bisa diwujudkan dalam berbagai cara tergantung pengalaman pengguna yang diimplementasikan
Situs tidak tahu siapa pengguna
Itulah tujuan keseluruhan metode ini
Situs tahu siapa prover-nya
Karena harus melakukan verifikasi kriptografi asimetris atas proof, diperlukan daftar public key, dan identitas prover bisa dikaitkan dengan key tersebut
Prover seharusnya tidak mengetahui konten apa yang ingin saya lihat
Jika menggunakan JWT, proof seorang pengguna bisa diverifikasi tanpa memberi tahu prover proof siapa yang sedang diverifikasi
Namun jika ada API seperti “apakah proof ini sudah dicabut”, bisa saja secara tidak sengaja menciptakan kembali kanal informasi
Prover mengetahui siapa pengguna, atau setidaknya memiliki sebagian informasi pengguna yang akan dibuktikan kepada pihak lain
Secara realistis, yang perlu dibayangkan adalah informasi akun Google, Apple, Microsoft, bank, dan semacamnya
Secara teknis pengguna bisa selalu mengetahui situs dan prover, tetapi dari sudut pandang manusia nyata, itu meragukan
Saya karyawan Google, tetapi jauh dari proyek ini sehingga tidak punya pengetahuan internal
Sistemnya bisa saja merupakan zero-knowledge proof yang valid, tetapi layanan-layanan nyata tetap bisa mengumpulkan informasi identitas pribadi dari pengguna
Selain itu, tidak ada yang mencegah prover berkolusi dengan situs yang ingin diakses untuk mengungkap informasi tentang Anda
https://www.youtube.com/watch?v=fOGdb1CTu5c
Video ini menjelaskannya dengan sangat baik
Mencurigakan bahwa jaminan usia menjadi tren tepat pada saat agen AI mulai bisa mengoperasikan komputer pribadi secara otonom seperti pekerja kantoran manusia
Saya khawatir jaminan usia mungkin tidak ada hubungannya dengan “anak-anak”
Masalah ini sudah ada selama anak-anak berada online
Pada awal 2000-an, mereka mencoba memakai kartu kredit dan tentu saja gagal
Inggris juga gagal mencegah akses anak di bawah umur ke pornografi dengan cara seperti ini selama 10 tahun terakhir
Alat AI mungkin bahkan tidak masuk radar para politisi yang terus mendorong hal semacam ini
Langkah-langkah seperti ini dan langkah pelanggaran privasi lainnya tidak pernah benar-benar ada hubungannya dengan anak-anak
Anda bisa membuktikan usia tanpa kehilangan privasi
Usia hanyalah salah satu indikator
Saya tidak menginginkan teknologi zero-knowledge untuk informasi X, dan saya juga tidak ingin memiliki identitas itu sendiri
Selesai sampai di sini
Jadi yang diketahui bukan usia sebenarnya, melainkan hanya salah satu dari dua kategori luas tersebut
“Zero-knowledge proof memungkinkan seseorang membuktikan bahwa suatu fakta tentang dirinya benar tanpa pertukaran data lain. Misalnya, pengunjung situs web dapat membuktikan secara terverifikasi bahwa ia berusia 18 tahun ke atas tanpa membagikan apa pun lainnya”
Namun itu bukan berarti “bahkan saat menyiapkan token pun tidak ada apa pun yang dibagikan”
Bisakah dibuktikan bahwa suatu token kriptografis A) tidak berisi informasi identifikasi pribadi, dan B) token itu sendiri tidak dapat digunakan sebagai ID yang terhubung ke identitas saya di Google atau basis data pemerintah
Karena keduanya tidak mungkin, saya tidak mendukung pendekatan token seperti ini
Anda mendapat sertifikat dari pihak tepercaya yang memverifikasi apakah Anda berusia 18 tahun ke atas, lalu menggunakannya untuk membuat token yang hanya berisi informasi bahwa “X telah memverifikasi bahwa saya berusia 18 tahun ke atas”
Baik pemeriksa awal maupun pihak yang menerima token semestinya tidak bisa mengaitkannya kembali ke sertifikat asli
Lihat bagian 2 dokumen ini: https://eudi.dev/2.4.0/discussion-topics/g-zero-knowledge-pr...
Saya ingin tahu jika ada sanggahan bahwa hal ini sebenarnya sulit dicapai secara teknis
Selain itu, struktur seperti ini tampaknya bisa memenuhi sebagian besar rancangan undang-undang verifikasi usia yang diusulkan di seluruh dunia
Bahkan jika dibuat sebagai dua divisi dalam perusahaan yang sama, mereka bisa membuktikan bahwa mereka telah melihat semua ID pengguna tetapi tidak bisa menghubungkan nama pengguna dengan ID
Tetap saja ini bukan yang terbaik karena menangani informasi identifikasi pribadi dan berisiko bocor, tetapi jauh lebih baik daripada cara yang dilakukan kebanyakan pihak saat ini
Cara yang dimaksud adalah memungkinkan pemerintah yang sudah memiliki data usia membuat pesan bertanda tangan, dan platform yang memeriksa usia hanya mengetahui bahwa Anda orang dewasa, tanpa mengetahui siapa Anda atau usia persis Anda
Zero-knowledge proof untuk tujuan ini adalah kuda Troya untuk pelacakan identitas dan pembuktian perangkat
Sebab prasyarat semacam itu diperlukan untuk mencegah situasi ketika semua orang mencetak massal bukti bahwa mereka orang dewasa lalu membagikannya secara gratis
Dalam penandatanganan kontrak dan pembayaran, ini bekerja karena ada insentif bawaan, tetapi tidak demikian pada pembuktian usia
Pada akhirnya, bukankah mereka akan berargumen bahwa “karena bukti bisa dibagikan, kita membutuhkan titik verifikasi tepercaya untuk memastikan bahwa orang yang benar-benar memegang token zero-knowledge pada saat ini adalah Anda”
Lalu mereka bisa meminta Anda menyalakan kamera smartphone dan patuh mengikuti instruksi autentikasi biometrik
Pemerintah tampaknya tidak lagi mengambil langkah untuk mengatur apa pun, dan mungkin juga tidak akan melakukannya di masa depan
Dengan begitu akan terlihat bahwa mereka bukan sedang mencari solusi praktis
Kita membutuhkan “cara menjelaskan zero-knowledge proof kepada pembuat undang-undang”
Itu sudah cukup