Google, yaş doğrulaması için ‘Sıfır Bilgi İspatı (ZKP)’ teknolojisini açık kaynak yaptı

 (blog.google)
15 puan yazan GN⁺ 2025-07-04 | 1 yorum | WhatsApp'ta paylaş
  • Zero-Knowledge Proof (ZKP), kişisel bilgileri ifşa etmeden belirli bir gerçeğin (ör. 18 yaşından büyük olmak) kanıtlanmasını sağlayan bir kriptografik teknoloji
  • Bu teknolojinin, Avrupa Birliği'nin (AB) dijital kimlik cüzdanı (EUDI Wallet) gibi yeni nesil kimlik doğrulama ve gizlilik koruma hizmetlerinin hayata geçirilmesini hızlandırması bekleniyor
  • Geliştiriciler, şirketler ve araştırmacılar tarafından serbestçe kullanılabilir; kamu ve özel sektörde gizliliği güçlendiren hizmetlerin kurulmasına büyük katkı sağlayacak
  • Google, ZKP açık kaynağı sayesinde herkes için daha güvenli bir dijital ekosisteme ilerlenmesini umuyor

Now open source: our Zero-Knowledge Proof (ZKP) libraries for age assurance

  • Google, Zero-Knowledge Proof (ZKP) ile ilgili temel kütüphaneleri açık kaynak olarak yayımladı
    • GitHub - Longfellow ZK üzerinden erişilebiliyor
    • AB yaş doğrulaması desteği için bir temel oluşturuyor

Zero-Knowledge Proof nedir?

  • ZKP, kullanıcının kişisel bilgilerini doğrudan açıklamadan bir gerçeği kanıtlamasını sağlayan, gizlilik koruması odaklı modern bir algoritma yaklaşımıdır
    • Örnek: Bir kullanıcı bir web sitesini ziyaret ettiğinde, yaşı veya kimliği gibi ayrıntıları ifşa etmeden 18 yaşından büyük olduğunu kanıtlayabilir
  • Google'ın sunduğu kütüphaneler, yaş doğrulaması (assurance) gibi gerçek sorunları çözmek üzere tasarlandı; bu nedenle çevrim içi oyun, finans, topluluk platformları gibi yaş kısıtı bulunan hizmetlerde yüksek kullanım potansiyeline sahip

Açık kaynak yayımlanmasının önemi ve beklenen etkiler

  • ZKP'nin açık kaynak hale gelmesi, aşağıdaki farklı paydaşlara fayda sağlıyor
    • Web ve uygulama kullanıcıları: Daha gizlilik odaklı ve daha güvenli bir dijital ortamda faaliyet gösterebilir
    • Şirketler ve hizmet sağlayıcılar: Açık kaynak çözümlerden yararlanarak gizlilik gereksinimlerini karşılayabilir ve güvenilirliği artırabilir
    • Geliştiriciler: ZKP kod tabanını kullanarak çeşitli gizlilik odaklı uygulama ve hizmetleri geliştirmek daha kolay hale gelir
    • Araştırmacılar: Verimli ve performansı iyileştirilmiş ZKP uygulamalarını temel alarak yeni kullanım senaryoları üzerine araştırma ve deney yapabilir
  • Dijital kimlik, yaş doğrulama, yasal onay doğrulaması gibi çeşitli alanlara uygulanabilir

AB düzenlemeleri ve dijital kimlik cüzdanı ile bağlantısı

  • 2026'dan itibaren yürürlüğe girecek AB eIDAS düzenlemesi, her üye devletin gizliliği güçlendiren teknolojileri kendi dijital kimlik sistemi olan EUDI Wallet'a entegre etmesini teşvik ediyor
  • Google'ın ZKP'yi açık kaynak yapması, üye devletlerin bu teknolojiyi EUDI Wallet'a hızlıca dahil etmesini destekliyor

Google'ın vizyonu

  • Google, bu açık kaynak çalışmasıyla dijital ekosistemdeki herkesin daha güvenli ve gizliliğe daha fazla saygı gösterilen bir ortamdan yararlanmasına katkı sunmayı hedeflediğini belirtiyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-07-04
Hacker News yorumları
  • Etkileşimsiz sıfır bilgi ispatlarının (non-interactive zero-knowledge proofs) sezgisel bir açıklamasını merak ediyorum. Diffie-Hellman anahtar değişiminin “boya karıştırma” benzetmesi gibi, matematiksel tekniği elde tutulur hale getiren bir anlatım lazım. Etkileşimli ZKP için iyi giriş kaynakları var ama etkileşimsiz olanlar için henüz bir şey bulamadım. ZK-STARKs'ı erasure coding ile karşılaştıran bir blog yazısı da okudum ama hâlâ tam oturmadı
    • Bunu, Waldo'yu bulabildiğini gösterip gerçek konumunu açığa çıkarmayan bir ispat yöntemi gibi anlatabilirsiniz. Dijital cüzdan, açık anahtar yerine üçüncü tarafça verilmiş bir commitment C ile imza yapısını kurar. Etkileşimsiz ispatlar Fiat-Shamir dönüşümü kullanılarak gerçekleştirilebilir. Örneğin bir bit değerinin 0 ya da 1 olduğunu gösteren basit bir range proof'tan başlayıp çok bitli aralıklara kadar genişletilebilir. Bulletproofs sayesinde ispat boyutu ciddi biçimde küçülebilir ve bu da pratik uygulanabilirliği artırır. Ancak aynı commitment tekrar tekrar kullanılırsa izleme tanımlayıcısına dönüşebilir ve gizlilik sorunu yaratabilir
    • Wikipedia'daki “Ali Baba Cave” örneği, sıfır bilgi ispatı kavramını anlamamda belirleyici oldu bağlantı
    • “Boya kutusu” düzeyinde sezgisel bir örnek istiyorsanız Matthew Green'in "crayons and hats" açıklamasını öneririm, oldukça erişilebilir bağlantı
    • Çalışma arkadaşım Amit'in Wired ile birlikte hazırladığı sıfır bilgi ispatlarına giriş videosu var. Somut çalışma mekanizmasına kadar inmiyor ama başlangıç için fena değil video
    • STARKS ve SNARKS'ın güçlü olmasının nedeni polinomların özelliklerinde yatıyor. Schwartz Zippel lemma sayesinde birkaç rastgele örnekle farklı polinomları kolayca ayırt etmek mümkün. Bu da erasure code ile yapılan karşılaştırıya bağlanıyor. Etkileşimsiz dönüşüm de Fiat-Shamir ile challenge-response diyaloğunu simüle ediyor; ilke olarak oldukça sezgisel. Groth16 zk snarks gibi aşırı kısa ispatların mümkün olması da şaşırtıcı. Bu da eliptik eğri pairing fonksiyonları gibi daha ileri matematik teorilerine dayanıyor
  • Yaş doğrulaması yakında hükümetin (ve onun vekili olan şirketlerin) internet kullanım izni için fiili kapı bekçisi haline gelecek gibi görünüyor
    • Nitekim Uganda'da 2018'den beri sosyal medyaya erişimde otomatik ücret tahsil eden bir vergi sistemi var. Günlük yaklaşık 2,7 cent düzeyinde ve tüm internet kullanıcıları devletin yönettiği ISP üzerinden bağlanıyor. Kullanım bazlı ücretlendirmeyle birleştirildiğinde internet izin sistemi teknik olarak hiç de zor değil. Böyle bir vergi toplama altyapısı varsa kullanıcı ile internet bağlantısını doğal olarak bire bir izlemek de mümkün hale geliyor yazı
    • Buna tekillik garantisi de eklenirse, internetin artık “ölü mü değil mi” tartışması olmadan gerçekten canlı bir alan olduğu bile doğrulanabilir
    • Böyle bir sistemin kendisi pratikte ehliyetsizlerin yönettiği teknoloji-feodal bir düzenin (kakistocracy-technofeudalism) inşa aracına daha yakın
    • Doğru, ama 10 yaşındaki bir çocuğun sadece tarayıcıyı açar açmaz uygunsuz içeriklere kolayca ulaşabilmesi de açıkça bir sorun. Porno sektörünün kendi kendini düzenlemesinden gerçekçi bir çözüm beklemek zor
  • Nihai raporun ve güvenlik açığına (CVE) ilişkin materyallerin yayımlanıp yayımlanmayacağı, ayrıca gelecekte güven oluşturmak için üçüncü taraf denetim mekanizmasının kurulup kurulmayacağı merak konusu
  • Sıfır bilgi ispatı temelli bir dünyada, kişisel verileri gereğinden fazla paylaşmadan her türlü doğrulamanın yapılabilmesi mümkün olabilir; özellikle sosyal güvenlik numarası (SSN) gibi hassas bilgilerin korunmasında büyük rol oynayabilir
  • Kötü niyetli saldırganların nasıl engelleneceği konusunda soru işaretleri var. Örneğin yetkili özel anahtarın kayıtlı olduğu bir dizüstü bilgisayar ya da telefonu satın almak, sızdırılmış özel anahtar dosyasını indirmek ya da VPN kullanarak yasal kısıtları aşmak gibi yollar mümkün olmaz mı
    • Sürücü belgesi gibi kimlik belgeleri açık anahtarı içerir, gerçek gizli anahtar ise telefonun secure element'inde tutulur. Bu yüzden telefonu satın almak, tek başına özel anahtarla doğrulama yapabilmek anlamına gelmez. Hem telefonu hem de özel anahtarı birlikte almak gerekir. Ayrıca parmak izi gibi biyometrik doğrulamaya dayandığı için, gerçek bir devlet noktasında veriliyorsa bunu suistimal etmek kolay değildir
    • Bu tür teknik önlemler aslında büyük ölçüde itaatkâr sıradan vatandaşları kontrol etme aracıdır. Üstteki %0,1 ile alttaki %20 ilkesel olarak zaten kontrol edilemez. Gelecekte internet erişimi ancak PII/KYC ile birlikte imzalanmış sertifikalarla mümkün olacak; Çin bunu zaten itiyor, Batı da aynı yöne gidiyor
  • Kritik yazılımlarda Google'a bağımlı olmamak daha sağlıklı bir geliştirme yaklaşımıdır
    • Açık kaynak olması sevindirici
  • David Chaum sıfır bilgi ispatı teknolojisindeki yeniliği patentlerle kilitlediğinde buna çok öfkelenmiştim. DigiCash ekibi dot-com balonunun en açgözlüleri arasındaydı ve her işlemden para kesmeye çalıştıkları için pazar bunu kabul etmedi. Andy Birrell'in “micro-cents” fikrinde olduğu gibi, MD5 hash'in tek yönlülüğünü kullanan hızlı ve ucuz mikro ödeme teknikleri de vardı ama gerçek kullanıma kadar gidememesi üzücü. 90'larda hayal edilen ZKP tabanlı kimlikler ve para birimleri keşke gerçekten ortaya çıksaydı. Çevrimdışı durumda çift harcamayı imkânsız kılan dijital para mümkün olsaydı, hükümetlerin buna sert karşı çıkmasını da anlayabilirdim. Eski usul ZKP fikirlerini bugünün teknolojisi üzerinde yeniden denemek isterdim
    • Ama bu teknolojinin sonunda kişisel verileri Apple, Google, Microsoft gibi büyük teknoloji şirketlerine işlemeye zorlayan bir yapıya dönüşmesi beni düşündürüyor. Passkeys gibi çözümleri seviyorum ama sektör bunları gerektiği gibi kullanamıyor. Kullanıcının özel anahtarı, taşınabilir cihazın donanımsal güvenlik anahtarına zorunlu olarak bağlı olduğu için büyük teknolojiye bağımlı bir gerçeklik var
    • Hâlihazırda yürüyen bir proje olarak Paygo'yu önerebilirim. Twitter'da da bilgi var
  • ZKP, dağıtık kimlik doğrulama için iyi bir çözüm. Kimlik cüzdanı tabanlı yapıyla parti üyeliği, bölge, yaş gibi asgari kişisel bilgiyle demokrasi hizmetleri dâhil pek çok alana genişleyebilir. Politika komitesinin uzun zaman sonra ilk kez (ISDN'den beri) protokol seviyesinde yeniliği zorlamasını olumlu buluyorum
  • Fransa ve ABD'deki büyük porno siteleri, aşırı yaş doğrulama düzenlemelerinin kullanıcı deneyimi ve gizliliğe zarar vereceği endişesiyle erişimi engelleyip, kurallar gevşetilince hizmeti yeniden açmıştı. Bu tartışmayla doğrudan bağlantılı bir durum
  • Mevcut ECDSA donanım anahtarlarını kullanarak multi-show unlinkability ile donanım bağını birleştiren çok ilginç bir yapı; sadece yaş doğrulama için değil, çeşitli nitelik ispatları için de kullanılabilir. Ancak Idemix ya da BBS+ gibi mevcut çözümlerden çok daha karmaşık olduğu için bunu gerçekten anlayan insan sayısı çok az olacaktır. Kişisel niteliklerin tekrar tekrar ifşa edilme sayısını sınırlayarak anonimlik ile tanımlanabilirlik arasında denge kuran teknikler gibi çeşitli gizlilik koruma girişimleri de var. Ama kusursuz bir şekilde aşılmayı önlemek imkânsız. Gerçekçi olarak doğrulamanın, saf kullanıcıları korumaya yönelik bir engel olduğu kabul edilmeli; tam engelleme beklentisi yüksek olursa ilk güvenlik olayından sonra gizliliği koruyan açık kaynak yaklaşımı hızla rafa kaldırılabilir teknik doküman 1, teknik doküman 2
    • Aslında bizim çözümümüz lisans öğrencilerinin bile anlayabileceği düzeyde. Buna karşılık BBS'nin bilineer pairing'leri, bilenin çok az olduğu kadar zorlayıcıdır