Google, yaş doğrulama için sıfır bilgi ispatı (ZKP) kütüphanesini açık kaynak olarak yayımladı
(blog.google)- İnternette yaş doğrulama talepleri artarken Google, yaş güvencesi için kullanılabilecek bir ZKP kütüphanesini açık kaynak olarak yayımladı
- ZKP, kullanıcıların gereksiz kişisel bilgileri paylaşmadan 18 yaşından büyük gibi koşulları kanıtlayabilmesini sağlayarak yaş doğrulamada kişisel veri ifşasını azaltıyor
- Yayımlanan kod, Sparkasse ile ortaklığa dayanarak AB yaş güvencesini destekliyor ve özel ile kamu sektöründeki geliştiricilerin dijital kimlik uygulamalarında kullanılabiliyor
- Kullanıcılar, şirketler ve diğer bağımlı kuruluşlar, geliştiriciler ve araştırmacılar; sırasıyla daha güvenli bir ekosistemden, açık kaynak çözümlerden, kod tabanından ve verimli ZKP uygulamalarından yararlanabiliyor
- 2026'da yürürlüğe girmesi planlanan AB eIDAS Regulation'ın EUDI Wallet'a gizliliği güçlendiren teknolojilerin entegrasyonunu teşvik etmesi nedeniyle, bu gelişme üye ülkelerin cüzdan geliştirmelerini de etkileyebilir
Google'ın ZKP kütüphanesini yayımlaması
- Google, Zero-Knowledge Proof(ZKP) libraries paketini açık kaynak olarak yayımladı
- Bu yayın, daha önce verilen bir sözün yerine getirilmesi ve Sparkasse ile ortaklık temelinde AB yaş güvencesini destekleme sürecinin bir parçası
- Bu kriptografik araç, özel ve kamu sektöründeki geliştiricilerin gizliliği güçlendiren uygulamalar ve dijital kimlik çözümleri oluşturmasında kullanılabilir
Yaş doğrulamada ZKP'nin rolü
- ZKP, bir bilginin doğru olduğunu kanıtlarken bunun dışındaki verilerin paylaşılmasını gerektirmeyen bir teknoloji
- Web sitesi ziyaretçileri, kendilerinin 18 yaşından büyük olduğunu doğrulanabilir biçimde kanıtlarken ek bilgi paylaşmak zorunda kalmayabilir
Yayımlanan kodun hedeflediği paydaşlar
- Google, ZKP'nin paylaşılmasının ekosistemdeki çeşitli paydaşlara fayda sağlayacağını düşünüyor
- Web ve uygulama kullanıcıları, daha gizlilik odaklı ve güvenli bir dijital ekosistemin parçası olabilir
- Şirketler ve diğer bağımlı kuruluşlar, ölçeklerinden bağımsız olarak açık kaynak çözümlerden yararlanarak gizlilik gereksinimlerini karşılayabilir
- Geliştiriciler, ZKP kod tabanını özgürce kullanarak gizlilik odaklı uygulamalar geliştirebilir
- Araştırmacılar, daha verimli ve yüksek performanslı ZKP uygulamalarını kullanarak yeni uygulamalar ve teknoloji kullanım biçimleri geliştirebilir
AB eIDAS ve EUDI Wallet bağlamı
- 2026'da yürürlüğe girmesi planlanan AB eIDAS Regulation, üye ülkeleri ZKP gibi gizliliği güçlendiren teknolojileri European Digital Identity Wallet yani EUDI Wallet ile entegre etmeye teşvik ediyor
- Google'ın ZKP araçlarını yayımlaması, üye ülkelerin gelecekte bu teknolojiyi EUDI Wallet'a entegre etmesine ve geliştirmeyi hızlandırmasına yardımcı olabilir
Koda erişim
- ZKP kod tabanına google/longfellow-zk üzerinden erişilebilir
1 yorum
Hacker News yorumları
Yine de yalnızca yaşa göre erişimi engelleyen bir yöntem istemiyorum.
Ebeveynler en azından çocuklarının yaşını geçersiz kılabilmeli ya da isteğe bağlı olarak aşmaya izin verebilmelidir.
İnternetin yarısı kapalı olsaydı, bilgisayar deneyimim tamamen farklı olurdu; özellikle de hangi içeriklerin engellendiğine bakınca.
YouTube veya TikTok’ta yasak olmayan ama sağlıksız pek çok tuhaf içerik var ve küçük akrabalarım bunlara güçlü biçimde çekiliyor.
Cihazı kullanan kişinin kim olduğunu tespit etmeye gerek yok; kilitli bir cihazı çocuğun kullanmasını sağlama sorumluluğu ebeveynde olmalıdır.
Cihaz 18 yaş üstü/altı gibi bir durum beyan eder; web siteleri veya uygulamalardan yasal olarak yalnızca bu beyana saygı göstermeleri istenmelidir.
Cihaz ebeveyn tarafından kontrol edilebilmeli ve çocuğa yaş sınırlaması uygulanıp uygulanmayacağına ebeveyn karar vermelidir.
Ayrıca profil özelliği olmalı ki çocuk ebeveyninin telefonunu veya dizüstü bilgisayarını kullansa bile ebeveynin verilerini bozmasın ya da görmemesi gereken şeylere erişmesin.
Eskiden de ebeveynin çocuğu için çıplaklık, cinsellik ve şiddet içeren R dereceli bir filmi kiralaması kabul edilebilir görülürdü; bu, video dükkânının filmi doğrudan çocuğa kiralamasından farklıydı.
16 yaşındaki çocuğunun porno izleyecek kadar olgun olduğuna karar veriyorsa, bu ebeveynin karar vereceği bir meseledir.
Ya da yaş doğrulamanın başlıca riskinin yalnızca “yaş doğrulamasından geçmek” olduğunu düşünüyor gibisiniz.
Güvenli, piyasa odaklı bir çözüm; yani anonim, izlenmeyen ve yalnızca yaşı kanıtlayan bir yaklaşım olmazsa ve hükümet birey bazında izleyip reddedip geri çekemezse, sonunda tam da bu tür bir kontrol yöntemi herkese dayatılacaktır.
Herkese takılmak istenen prangalara gerek olmadığını söyleyerek düşmanı yenemezsiniz.
Yaş ve porno gibi küçük görünen ama ortadan kalkmayan gerçek sorunları çözmek için sıfır bilgi kanıtı ve merkeziyetsiz, açık kaynaklı, güçlü güvenlik teknolojileri devreye alınmalıdır.
Aksi halde zayıf siyasetçilere, çıkar gruplarına ve internetteki yabancılara savunmasızlığımızı kötüye kullanmamaları için “güvenmek” zorunda kalırız.
Buna yapay zeka da eklendiğinde, pasif kalmanın riski ve zararı aşırı ölçüde büyür.
Muhtemelen siz de benim gibi yaşça büyük bir erkeksiniz; insan ilişkileri ticarileşmeden önceki internette özgürce dolaşıp harika şeyler ve insanlar bulan, İskenderiye Kütüphanesi gibi bir alanda öğrenerek zaman geçiren kuşaktansınız.
Ama Z kuşağına ve daha gençlere, özellikle de kız çocuklarına, internetin onlar için nasıl bir deneyim olduğunu sormalıyız.
Arkadaşlarınızla hafif bir çevrimiçi oyun oynamaya çalışırken 3-4 yetişkin erkek tarafından sürekli taciz edildiniz mi?
Reşit olmayan birine “loot box” gibi bir biçimde para teklif edilip çıplak fotoğraf göndermesi istendiği kaç kez oldu?
Ziyaret ettiğiniz her sitede algoritmalar size anoreksiyayı benimsemenizi, Trump’ın televizyonda ne söyleyeceğine bahis oynamanızı, uyuşturucu kullanmanızı ya da sadece intihar etmenizi söyleyen içerikler dayatmadı mı?
Bizim gibi amca kuşağı, çocukluğumuzdaki bilgisayar deneyimine özlem duymayı bırakıp çocukları ve ilgili araştırmaları dinlemeli.
Dünün nazik geek’lerinin ve nerd’lerinin interneti artık yok; düzgün işleyen bir toplumdan az da olsa bir şeyler bırakmak istiyorsak değişmesi gerekiyor.
Site ziyaretleri için kişiye özel devlet kanıtı gerekirse, hükümet yaş doğrulamayı uygulayan herhangi bir sitede bireyin erişim hakkını istediği an dinamik olarak reddedebilir veya geri çekebilir.
Yetişkin siteleri bu sistemi benimserse, sorumluluğu azaltmak isteyen sitelere yayılacaktır.
Bankalara, iş hizmetlerine ve sonunda neredeyse her yere yayılabilir.
Hükümet sorumluluk sorununu abartıp büyütecek, ama yaşla ilgili sorumluluk için güvenli liman yaratan yasalar geçirmeyecektir.
Wikipedia bile şimdiden yaş doğrulama uygulamasından kaçınmak için mücadele ediyor.
Hükümetin yönettiği yaş doğrulama, bireysel olarak izlenen, kontrol edilen ve geri çekilebilir bir devlet izni olmadan Wikipedia’ya bile erişememek anlamına gelir https://www.eff.org/deeplinks/2025/07/we-support-wikimedia-f...
Bu tür bir kaygan zemin argümanının gerçekten bu kadar kaygan olduğu nadir görülür.
Açıkça yetişkinlere yönelik sitelere vatandaş bazında devlet kontrollü erişim ile, kayda değer içeriği olan tüm sitelere devlet izni ve kontrolüyle erişim arasında teknik bir engel bile yok.
Bu yalnızca sitelerin benimseme eğrisi olacaktır; benimseme arttıkça, dakikalarla ölçülen gündelik yaşam içinde gerçek zamanlı devlet gözetiminin kapsamı ve istenen kişiye istenen zamanda istenen erişimi reddetme kapasitesi büyür.
Distopya çoktan geldi ve bu korkutucu.
Gerekli görünen çözüm; açık kriterleri karşılayan herkesin sunabileceği üçüncü taraf kanıtı, yalnızca yaş kanıtıyla sınırlı bir kanıt ve sıfır bilgi kanıtı tabanlı bir uygulamadır.
Anonim, izlenmeyen ve kişi bazında reddi imkânsız bir alternatif yaratmalıyız ki devlet gücünün genişleme ivmesini kırabilelim.
Güvenlik bilinci olan teknisyenler ve piyasa bunu çözemezse, özgürlüğü yok eden sürüm kazanacak ve geri çevirmesi zor olacaktır.
Yetişkin siteleri sistemi benimserse, sorumluluğu azaltmak isteyen tüm sitelere yayılacak; bankalar ve iş hizmetleri, sonunda neredeyse herkes peşinden gelebilir.
Sıfır bilgi kanıtı olsa bile, kanıt kullanımı kolay ve yaygın hale geldiği anda yayılacaktır; çok geçmeden garanti edilen tek şey yaş olmayacaktır.
Burada sıfır bilgi ifadesi biraz abartılı görünüyor
Aslında bilgiyi parçalara ayırıp her ilgili tarafla yalnızca onu ilgilendiren kısmı paylaşmaya daha yakın
Ayrıca aracı rolündeki Google’ın, ilgili taraflar arasında en fazla bilgiye erişme ihtimali var gibi görünüyor
Google yalnızca bunu uygulayan bir kütüphaneyi paylaşıyor; Android veya Gmail kullanıcılarının banka bilgilerine Google’ın erişememesi gibi bu bilgiye de erişemeyecektir
Örneğin doğum tarihi değil, yalnızca “16 yaşından büyük mü” bilgisi öğrenilebilir
Ancak bunu kanıtlamak zor ve Google’ın bunu yapacağına güvenmek de güç
Estonya’da böyle bir yöntem mümkün olabilir
Yaş doğrulamasını tamamen gizliliği koruyan bir şekilde yapmanın yolu üzerine bir makale yazdılar ve sıfır bilgi ispatına bile gerek yok
https://magarshak.com/papers/Personal.pdf
Bu başlıkta çok fazla önyargı var, ama teknik bir tartışma yapılabilir diye düşünüyorum
Bu konuya derinlemesine girmiş değilim; biri yanıt verirse iyi olur
Bunun gerçekten ne kadar sıfır bilgi olduğunu merak ediyorum
Benim anladığım kadarıyla üç taraf var: ben, erişmeye çalıştığım site, ispatlayan taraf (Google veya devlet?)
Site benim kim olduğumu biliyor mu
Site ispatlayan tarafımın kim olduğunu bilip, örneğin o tarafın Winnie-the-Pooh mem’lerinden hoşlanmadığını bile çıkarabilir mi
İspatlayan taraf hangi siteye veya ne tür bir içeriğe bakmak istediğimi biliyor mu
İspatlayan taraf benim kim olduğumu biliyor mu
Ben sitenin ve ispatlayan tarafın kim olduğunu, ayrıca bu ispatın ne zaman gerçekleştiğini her zaman bilebilir miyim
Tipik bir örnek olarak devlet kimliğiyle yaş ≥ n ispatladığımızı varsayalım
Site sizin kim olduğunuzu bilmez
Asıl nokta, geçerli bir devlet kimliğiniz olduğuna ve üzerinde “yaş ≥ n” yazdığına dair matematiksel bir ispat üretmektir
Site düzenleyeni bilebilir
İspat, ispatlayanın dayandığı bilgiye bağlı olduğundan, bu durumda kimliği düzenleyen devleti bilmek ispatın anlamlı olması için gerekir
İspatlayan tarafın bu süreçte siteyi bilmesine gerek yoktur
Yalnızca kimliği düzenlediğini bilir ve daha sonra tekrar sorgulanması gerekmez
Ancak bir kurumun yakın tarihli yazılı iznine dair sıfır bilgi ispatı gerektirecek şekilde tasarlanabilir; ama bu sıfır bilgi ispatının özü değildir
Kullanıcının bunu her zaman bilip bilemeyeceği bir kullanıcı deneyimi meselesidir
Cüzdan ve web sitesi, kimlik bilgisi talebinin zamanını ve türünü her zaman gösterecek şekilde uygulanmışsa bu mümkündür
Burada ispatlayan taraf Google değil
Google yalnızca ispat oluşturma ve doğrulama altyapısını sağlıyor; ispatlayan tarafa düzenleyici, yani kimlik kanıtı veren güvenilir kurum demek daha doğru
Olası akış şöyle
Önce devlet, banka veya mobil operatör gibi bir düzenleyici, cüzdanıma, örneğin telefonuma imzalı bir kimlik bilgisi verir
Bu tam bir dijital kimlik de olabilir, daha dar kapsamlı bir “yaş kanıtı” da olabilir
Sonra site tarayıcıdan age >= 18 gibi bir koşulu karşıladığına dair ispat ister
Site çalıştırılması gereken “zk-program”ı (devreyi) sağlar ve güvenilen ama açık olmayan girdiler üzerinde programın çalıştırıldığına dair ispatı bekler
Telefon, geçerli bir düzenleyici imzalı kimlik bilgisini bilir ve bu gizli niteliğin koşulu karşıladığına dair sıfır bilgi ispatı üretir
İdeal olarak bu yerelde üretilir, ancak henüz tam hazır değil
Site, düzenleyicinin açık anahtarı, kullanılan devre, istenen koşul ve yeni nonce/challenge gibi açık girdilerle ispatı doğrular
Bu nedenle site, sıfır bilgi ispatının kendisinden benim kim olduğumu bilmez; ama ID’mi kimin düzenlediğini öğrenir
Site ispatlayanın açık anahtarını bilir, ispatlayan ise hangi siteyi ziyaret ettiğimi bilmez
İspatlayan benim kim olduğumu bilir
Kullanıcının siteyi, ispatlayanı ve ispat anını bilip bilmemesi, uygulanacak kullanıcı deneyimine göre çeşitli şekillerde mümkün olabilir
Site kullanıcının kim olduğunu bilmez
Bu yöntemin bütün amacı budur
Site ispatlayanın kim olduğunu bilir
İspat üzerinde asimetrik kriptografik doğrulama yapması gerektiği için bir açık anahtar listesine ihtiyaç duyar ve bu anahtarlara ispatlayan kimliği iliştirilebilir
İspatlayan hangi içeriği görmek istediğimi bilmemelidir
JWT ise hangi kullanıcının ispatının doğrulandığını ispatlayana bildirmeden doğrulanabilir
Ancak “bu ispat iptal edilmiş mi” gibi bir API varsa yanlışlıkla yeniden bir bilgi kanalı yaratılabilir
İspatlayan kullanıcının kim olduğunu bilir ya da en azından başkalarına ispatlayacağı kullanıcı bilgisinin bir kısmına sahiptir
Gerçekçi olarak Google, Apple, Microsoft hesap bilgilerini veya bankaları varsaymak gerekir
Kullanıcının siteyi ve ispatlayanı her zaman bilmesi teknik olarak mümkündür, fakat gerçek insan perspektifinden şüpheli
Google çalışanıyım ama bu projeden çok uzağım; içeriden bilgim yok
Sistem geçerli bir sıfır bilgi ispatı olabilir, ancak gerçek hizmetler hâlâ kullanıcılardan kişisel tanımlayıcı bilgi toplayabilir
Ayrıca ispatlayanın, erişmeye çalıştığınız siteyle işbirliği yapıp sizinle ilgili bilgileri açığa çıkarmasını engelleyen bir şey de yok
https://www.youtube.com/watch?v=fOGdb1CTu5c
Bu video bunu çok iyi açıklıyor
Yaş güvencesinin, yapay zeka ajanlarının insan beyaz yakalılar gibi kişisel bilgisayarları otonom biçimde kullanabilir hâle geldiği anla tam denk düşerek moda olması şüpheli
Yaş güvencesinin “çocuklarla” ilgisi olmayabileceğinden endişeleniyorum
Bu sorun, çocuklar çevrimiçi olduğundan beri var
2000’lerin başında kredi kartlarıyla denendi ve doğal olarak başarısız oldu
Birleşik Krallık da son 10 yılda bu yöntemle reşit olmayanların pornoya erişimini engellemeye çalıştı ve başarısız oldu
Bunları sürekli zorlayan siyasetçilerin radarında yapay zeka araçları muhtemelen yoktur
Bu önlemler ve diğer gizlilik ihlali önlemleri hiçbir zaman çocuklarla ilgili olmadı
Yaşınızı kanıtlarken gizliliğinizi kaybetmeyebilirsiniz
Yaş yalnızca göstergelerden biri
X bilgisi için sıfır bilgi teknolojisi istemiyorum; kimliğin kendisine sahip olunmasını da istemiyorum
Mesele bu kadar
Böylece gerçek yaşınızı almak yerine yalnızca iki geniş kategoriden biri bilinir
“Sıfır bilgi ispatları, bir kişinin kendisi hakkında bir olgunun doğru olduğunu başka veri alışverişi olmadan kanıtlamasını sağlar. Örneğin bir web sitesi ziyaretçisi, başka hiçbir şey paylaşmadan 18 yaşından büyük olduğunu doğrulanabilir biçimde kanıtlayabilir”
Ancak bu, “token ayarlanırken bile hiçbir şey paylaşılmaz” anlamına gelmez
Bir kriptografik token’ın A) kişisel olarak tanımlanabilir bilgi içermediği ve B) token’ın kendisinin Google’daki ya da devlet veri tabanındaki kimliğimle bağlantılı bir ID olarak kullanılamayacağı kanıtlanabilir mi?
İkisi de imkânsız olduğundan bu token yaklaşımını desteklemiyorum
18 yaş ve üzeri olup olmadığınızı doğrulayan güvenilir bir taraftan sertifika alıp, bunu kullanarak yalnızca “X, 18 yaş ve üzeri olduğumu doğruladı” bilgisini içeren bir token oluşturabilirsiniz
Ne asıl doğrulayıcı ne de token’ı alan taraf bunu asıl sertifikayla ilişkilendirebilmelidir
Bu belgenin 2. bölümüne bakabilirsiniz: https://eudi.dev/2.4.0/discussion-topics/g-zero-knowledge-pr...
Bunun pratikte teknik olarak başarılmasının zor olduğuna dair bir karşı argüman varsa duymak isterim
Ayrıca bu yapının, dünya genelinde önerilen yaş doğrulama yasalarının çoğunu karşılayabileceğini düşünüyorum
Aynı şirketin iki departmanı olarak kurgulansa bile, kullanıcıların tüm ID’lerini gördüklerini ama kullanıcı adlarıyla ID’leri ilişkilendiremediklerini kanıtlayabilirler
Yine de kişisel olarak tanımlanabilir bilgiyle uğraştığı için sızıntı riski var ve en iyisi değil; ancak bugün çoğu kişinin yaptığından çok daha iyi
Amaçlanan yöntem, zaten yaş verisine sahip olan devletin imzalı mesaj üretebilmesini sağlamak; yaşı kontrol eden platform ise sizin kim olduğunuzu ya da tam yaşınızı bilmeden yalnızca yetişkin olduğunuzu öğrenir
Bu amaçla kullanılan sıfır bilgi ispatı, kimlik takibi ve cihaz kanıtlama için bir Truva atıdır
Çünkü herkesin yetişkin olduğuna dair ispatları topluca basıp ücretsiz dağıtmasını engellemek için bu tür ön koşullar gerekir
Sözleşme imzalama ve ödemelerde yerleşik teşvikler olduğu için işler, ama yaş kanıtında böyle değildir
Sonunda “ispat paylaşılabildiğine göre, şu anda sıfır bilgi token’ını fiilen elinde bulunduran kişinin siz olduğunu doğrulayacak güvenilir bir doğrulama noktası gerekir” diye savunacaklarını düşünüyorum
Ardından akıllı telefon kamerasını açıp biyometrik doğrulama talimatlarına uslu uslu uymanızı isteyebilirler
Devlet artık neyi düzenlemeye çalıştığına dair önlem alıyor gibi görünmüyor; belki gelecekte de almayabilir
Böylece pratik bir çözüm aramadıkları ortaya çıkar
“Yasa koyuculara sıfır bilgi ispatını açıklama yöntemi” gerekiyor
Bu yeterli