- ऑनलाइन आयु सत्यापन की मांग बढ़ने के बीच, Google ने age assurance के लिए इस्तेमाल की जा सकने वाली ZKP लाइब्रेरी को ओपन सोर्स के रूप में जारी किया
- ZKP उपयोगकर्ताओं को अनावश्यक निजी जानकारी साझा किए बिना 18 वर्ष या उससे अधिक जैसी शर्तों को साबित करने में सक्षम बनाता है, जिससे आयु सत्यापन में निजी डेटा का खुलासा कम होता है
- जारी किया गया कोड Sparkasse के साथ साझेदारी पर आधारित है और EU age assurance का समर्थन करता है, तथा इसका उपयोग निजी और सार्वजनिक क्षेत्र के डेवलपर्स द्वारा digital ID implementation में किया जा सकता है
- उपयोगकर्ता, कंपनियां और अन्य निर्भर संगठन, डेवलपर्स और शोधकर्ता क्रमशः अधिक सुरक्षित ecosystem, open source solution, codebase, और अधिक कुशल ZKP implementation का लाभ उठा सकते हैं
- 2026 में लागू होने वाला EU eIDAS Regulation जैसे-जैसे EUDI Wallet में privacy-enhancing technology के integration को प्रोत्साहित करता है, इसका असर सदस्य देशों के wallet development पर भी पड़ सकता है
Google की ZKP लाइब्रेरी जारी
- Google ने Zero-Knowledge Proof(ZKP) libraries को ओपन सोर्स के रूप में जारी किया
- यह रिलीज़ पहले किए गए वादे को पूरा करती है और Sparkasse के साथ साझेदारी के आधार पर EU age assurance को समर्थन देने वाली दिशा का हिस्सा है
- यह cryptographic tool निजी और सार्वजनिक क्षेत्र के डेवलपर्स को privacy-enhancing applications और digital ID solutions बनाने में मदद कर सकता है
आयु सत्यापन में ZKP की भूमिका
- ZKP ऐसी तकनीक है जो किसी तथ्य के सही होने को साबित करती है, बिना उसके अलावा कोई अन्य डेटा साझा किए
- वेबसाइट विज़िटर यह सत्यापन योग्य रूप से साबित कर सकते हैं कि वे 18 वर्ष या उससे अधिक हैं, जबकि अतिरिक्त जानकारी साझा करने की आवश्यकता नहीं होती
जारी कोड किन हितधारकों के लिए है
- Google का मानना है कि ZKP को साझा करना ecosystem के कई प्रतिभागियों के लिए उपयोगी होगा
- वेब और ऐप उपयोगकर्ता अधिक privacy-focused और सुरक्षित digital ecosystem का हिस्सा बन सकते हैं
- कंपनियां और अन्य निर्भर संगठन, आकार की परवाह किए बिना, open source solution का उपयोग कर privacy requirements को पूरा कर सकते हैं
- डेवलपर्स ZKP codebase का स्वतंत्र रूप से उपयोग करके privacy-focused applications बना सकते हैं
- शोधकर्ता अधिक कुशल और उच्च-प्रदर्शन वाले ZKP implementation का उपयोग करके नए applications और तकनीक उपयोग के तरीके विकसित कर सकते हैं
EU eIDAS और EUDI Wallet का संदर्भ
- 2026 में लागू होने वाला EU eIDAS Regulation सदस्य देशों को ZKP जैसी privacy-enhancing technologies को European Digital Identity Wallet, यानी EUDI Wallet, में integrate करने के लिए प्रोत्साहित करता है
- Google के ZKP tools की रिलीज़ भविष्य में सदस्य देशों को इन तकनीकों को EUDI Wallet में integrate करने और development को तेज़ करने में मदद कर सकती है
कोड एक्सेस
- ZKP codebase को google/longfellow-zk पर देखा जा सकता है
1 टिप्पणियां
Hacker News की राय
फिर भी मैं सिर्फ उम्र के आधार पर पहुंच रोकने का तरीका नहीं चाहता
कम से कम माता-पिता को अपने बच्चों की उम्र override करने या चुनिंदा तौर पर bypass की अनुमति देने में सक्षम होना चाहिए
अगर आधा इंटरनेट ब्लॉक होता, तो मेरा कंप्यूटर अनुभव पूरी तरह अलग होता, और खासकर यह देखकर तो और भी कि किस तरह का कंटेंट ब्लॉक किया जाता है
YouTube या TikTok पर बहुत सारा ऐसा अजीब कंटेंट है जो प्रतिबंधित तो नहीं है, लेकिन स्वस्थ भी नहीं, और मेरे छोटे रिश्तेदार उसकी ओर बहुत आकर्षित होते हैं
डिवाइस इस्तेमाल करने वाला कौन है, यह पहचानने की जरूरत नहीं है, और बच्चे को locked डिवाइस इस्तेमाल करने देना माता-पिता की जिम्मेदारी होनी चाहिए
डिवाइस को 18+ / under 18 जैसी स्थिति घोषित करनी चाहिए, और वेबसाइटों या ऐप्स से कानूनी रूप से सिर्फ इतना अपेक्षित होना चाहिए कि वे उस घोषणा का सम्मान करें
डिवाइस माता-पिता के नियंत्रण में होना चाहिए, और बच्चे पर age restriction लागू करनी है या नहीं, यह माता-पिता तय करें
साथ ही profile फीचर भी होना चाहिए ताकि बच्चा माता-पिता का फोन या laptop इस्तेमाल करे तब भी वह माता-पिता का डेटा खराब न करे या ऐसी चीजों तक न पहुँचे जो उसे नहीं देखनी चाहिए
पहले भी यह ठीक माना जाता था कि माता-पिता अपने बच्चों के लिए nudity, sex, और violence वाली R-rated फिल्म किराए पर लें, और यह उस स्थिति से अलग था जब video store उसे सीधे बच्चे को किराए पर दे
अगर माता-पिता को लगे कि उनका 16 साल का बच्चा porn देखने लायक परिपक्व है, तो यह फैसला माता-पिता का होना चाहिए
या फिर आप शायद यह मानते हैं कि age verification का मुख्य जोखिम सिर्फ इतना है कि “उम्र की पुष्टि की जा रही है”
अगर कोई सुरक्षित, market-driven समाधान — यानी anonymous, बिना निगरानी वाला, और सिर्फ उम्र साबित करने वाला तरीका — मौजूद नहीं है, और सरकार व्यक्तिगत स्तर पर निगरानी, इनकार, या रद्द नहीं कर सकती, तो आखिरकार वही नियंत्रण वाला तरीका सब पर थोपा जाएगा
सबको पहनाई जाने वाली बेड़ियाँ जरूरी नहीं हैं, यह कह देने से दुश्मन पर जीत नहीं मिलती
हमें zero-knowledge proofs और decentralized open source high-security तकनीक अपनाकर उम्र और porn जैसे छोटे दिखने वाले लेकिन कभी खत्म न होने वाले वास्तविक मुद्दों को हल करना चाहिए
नहीं तो हमें कमजोर राजनेताओं, हित समूहों, और इंटरनेट के अजनबियों पर यह “भरोसा” करना पड़ेगा कि वे हमारी असुरक्षा का दुरुपयोग न करें
इसमें AI भी जुड़ जाए तो निष्क्रिय बने रहने का जोखिम और नुकसान बेहद बढ़ जाता है
शायद आप भी मेरी तरह उम्रदराज़ पुरुष हैं, उस दौर के जब इंटरनेट पर रिश्ते अभी commercial नहीं हुए थे, और हम आज़ादी से घूमते हुए शानदार चीज़ें और लोग खोज लेते थे, और Alexandria की लाइब्रेरी जैसी जगहों में सीखते और समय बिताते थे
लेकिन हमें Gen Z और उससे छोटी पीढ़ियों से, खासकर लड़कियों से, पूछना चाहिए कि इंटरनेट उनके लिए कैसा अनुभव रहा है
क्या आपने कभी दोस्तों के साथ हल्का-फुल्का online game खेलना चाहा हो और 3-4 वयस्क पुरुष लगातार आपको परेशान करते रहे हों
कितनी बार नाबालिगों को “loot box” जैसी किसी चीज़ के बदले पैसे देकर nude तस्वीरें भेजने के प्रस्ताव मिले हैं
क्या हर साइट पर algorithm ने आपको anorexia अपनाने, TV पर Trump क्या कहेगा इस पर सट्टा लगाने, drugs लेने, या बस suicide कर लेने वाला कंटेंट नहीं धकेला
हम जैसे चाचा-पीढ़ी के लोगों को अपने बचपन के कंप्यूटर अनुभव के लिए nostalgia पालना बंद करना चाहिए और बच्चों व संबंधित research की बात सुननी चाहिए
कल का दयालु geeks और nerds वाला इंटरनेट अब मौजूद नहीं है, और अगर हम एक सही ढंग से काम करने वाला समाज थोड़ा भी बचाना चाहते हैं, तो बदलाव जरूरी है
अगर किसी साइट पर जाने के लिए व्यक्ति-विशिष्ट सरकारी प्रमाण जरूरी हो जाए, तो सरकार age verification लागू करने वाली किसी भी साइट पर किसी व्यक्ति की पहुंच कभी भी dynamically deny या revoke कर सकेगी
अगर adult sites यह सिस्टम अपनाती हैं, तो यह जिम्मेदारी कम करना चाहने वाली दूसरी साइटों तक फैल जाएगा
बैंक, business services, और आखिरकार लगभग हर जगह तक इसका विस्तार हो सकता है
सरकार जिम्मेदारी के मुद्दे को बढ़ा-चढ़ाकर पेश करेगी, लेकिन उम्र-संबंधी जिम्मेदारी के लिए safe harbor बनाने वाला कानून पारित नहीं करेगी
Wikipedia भी age verification लागू करने से बचने के लिए पहले से लड़ रही है
सरकार-प्रबंधित age verification का मतलब है कि सरकार द्वारा tracked, controlled, और revocable अनुमति के बिना Wikipedia तक भी पहुंच नहीं होगी https://www.eff.org/deeplinks/2025/07/we-support-wikimedia-f...
slippery slope argument शायद ही कभी इतना सचमुच slippery रहा हो
साफ़ तौर पर adult sites के लिए नागरिक-स्तरीय सरकारी नियंत्रित पहुंच और वास्तविक कंटेंट वाली लगभग हर साइट के लिए सरकारी अनुमति/नियंत्रित पहुंच के बीच कोई तकनीकी दीवार भी नहीं है
यह बस site adoption curve का मामला है, और adoption बढ़ने के साथ सरकार की real-time निगरानी की सीमा भी लोगों की मिनट-दर-मिनट जिंदगी तक फैलती जाएगी, साथ ही वह जिसे चाहे, जब चाहे, जिस पहुंच से चाहे, वंचित कर सकेगी
dystopia पहले ही आ चुकी है, और यह डरावना है
जो समाधान जरूरी लगता है वह है सार्वजनिक मानकों को पूरा करने वाले किसी भी पक्ष द्वारा दिया जा सकने वाला third-party proof, सिर्फ age proof तक सीमित credential, और zero-knowledge proof आधारित implementation
हमें ऐसा anonymous, बिना निगरानी वाला, और व्यक्ति-स्तर पर deny न किया जा सकने वाला विकल्प बनाना होगा ताकि सरकारी शक्ति-विस्तार की रफ्तार तोड़ी जा सके
अगर security-conscious तकनीकी लोग और market इसे हल नहीं करते, तो आज़ादी को नष्ट करने वाला संस्करण जीत जाएगा, और उसे पलटना मुश्किल होगा
अगर adult sites यह सिस्टम अपनाती हैं, तो यह जिम्मेदारी कम करना चाहने वाली हर साइट तक फैल जाएगा, और बैंक व business services समेत आखिरकार लगभग सभी इसका अनुसरण कर सकते हैं
zero-knowledge proof होने पर भी, जिस क्षण यह verification सुविधाजनक और आम हो जाएगी, इसका फैलाव शुरू होगा, और बहुत जल्द गारंटी सिर्फ उम्र तक सीमित नहीं रहेगी
यहाँ zero-knowledge शब्द थोड़ा बढ़ा-चढ़ाकर इस्तेमाल किया हुआ लगता है
असल में यह ज्ञान को टुकड़ों में बाँटकर हर पक्ष के साथ सिर्फ उससे संबंधित हिस्सा साझा करने के ज्यादा करीब है
और बिचौलिये की भूमिका में Google के पास संबंधित पक्षों में सबसे अधिक जानकारी तक पहुँच होने की संभावना दिखती है
Google बस इसे implement करने वाली library साझा कर रहा है, और जैसे Google Android या Gmail उपयोगकर्ताओं की बैंक जानकारी तक पहुँच नहीं रखता, वैसे ही इस जानकारी तक भी उसकी पहुँच नहीं होगी
उदाहरण के लिए जन्मतिथि नहीं, सिर्फ इतना पता चल सके कि “क्या उम्र 16 से अधिक है”
लेकिन इसे साबित करना कठिन है, और यह भरोसा करना भी मुश्किल है कि Google ऐसा करेगा
Estonia में शायद ऐसा मॉडल संभव हो
उसने उम्र सत्यापन को पूरी तरह privacy-preserving तरीके से करने पर एक paper लिखा है, जिसमें zero-knowledge proof की भी ज़रूरत नहीं पड़ती
https://magarshak.com/papers/Personal.pdf
इस thread में काफ़ी पक्षपात है, लेकिन क्या हम तकनीकी चर्चा कर सकते हैं
मैं इस विषय में बहुत गहराई तक नहीं गया हूँ, इसलिए अच्छा होगा अगर कोई जवाब दे
मैं जानना चाहता हूँ कि यह वास्तव में कितना zero-knowledge है
मेरी समझ के अनुसार इसमें तीन पक्ष हैं: मैं, वह साइट जिसे मैं access करना चाहता हूँ, और prover (Google या सरकार?)
क्या साइट जानती है कि मैं कौन हूँ
क्या साइट जानती है कि मेरा prover कौन है, और क्या वह इससे यह भी अनुमान लगा सकती है कि, उदाहरण के लिए, वह prover Winnie-the-Pooh meme को नापसंद करता है
क्या prover को पता होता है कि मैं कौन सी साइट या किस तरह का content देखना चाहता हूँ
क्या prover जानता है कि मैं कौन हूँ
क्या मुझे हमेशा पता हो सकता है कि साइट और prover कौन हैं, और यह proof कब हो रहा है
एक सामान्य उदाहरण लें कि सरकारी ID के ज़रिये उम्र ≥ n साबित की जा रही है
साइट नहीं जानती कि आप कौन हैं
मुख्य बात यह है कि ऐसा गणितीय proof बनाया जाए कि आपके पास वैध सरकारी ID है और उसमें “उम्र ≥ n” लिखा है
साइट जारीकर्ता को जान सकती है
proof उस जानकारी पर आधारित होता है जिस पर prover का आधार टिका है, इसलिए इस मामले में proof का अर्थ समझने के लिए यह जानना ज़रूरी है कि ID किस सरकार ने जारी की
इस प्रक्रिया में prover को साइट के बारे में जानने की ज़रूरत नहीं होती
उसे सिर्फ इतना पता होता है कि उसने ID जारी की थी, और बाद में उसे फिर से query करने की ज़रूरत नहीं पड़ती
हाँ, इसे इस तरह design किया जा सकता है कि किसी संस्था की हाल की लिखित अनुमति का zero-knowledge proof माँगा जाए, लेकिन वह zero-knowledge proof का मूल स्वभाव नहीं है
उपयोगकर्ता को हमेशा पता हो, यह user experience का सवाल है
अगर wallet और website को इस तरह implement किया गया हो कि credential request का समय और प्रकार हमेशा दिखे, तो यह संभव है
यहाँ prover Google नहीं है
Google सिर्फ proof generate और verify करने की infrastructure देता है, और prover को जारीकर्ता कहना ज़्यादा सही होगा, यानी वह भरोसेमंद संस्था जो identity proof देती है
संभावित flow कुछ ऐसा है
पहले सरकार, बैंक, या telecom company जैसे जारीकर्ता मेरे wallet, जैसे मेरे फ़ोन, में signed credential जारी करते हैं
यह पूरा digital ID हो सकता है, या उससे सीमित “age proof” भी हो सकता है
इसके बाद साइट browser से यह proof माँगती है कि
age >= 18जैसी कोई शर्त पूरी होती हैसाइट चलाया जाने वाला “zk-program” (circuit) देती है और इस बात का proof चाहती है कि program trusted लेकिन public न किए गए input पर चलाया गया
फ़ोन जानता है कि उसके पास वैध issuer-signed credential है, और उसके hidden attributes उस शर्त को पूरा करते हैं, इसका zero-knowledge proof बनाता है
आदर्श रूप में यह local पर generate होता, लेकिन अभी वह पूरी तरह तैयार नहीं है
साइट issuer public key, इस्तेमाल किए गए circuit, माँगी गई शर्त, और नए nonce/challenge जैसे public inputs से proof verify करती है
इसलिए साइट सिर्फ zero-knowledge proof के आधार पर यह नहीं जानती कि मैं कौन हूँ, लेकिन उसे यह पता चल जाता है कि मेरी ID किसने जारी की
साइट prover की public key जानती है, और prover को यह नहीं पता होता कि मैंने कौन सी साइट देखी
prover जानता है कि मैं कौन हूँ
उपयोगकर्ता को साइट, prover और proof के समय के बारे में पता होगा या नहीं, यह implement किए गए user experience पर निर्भर करता है
साइट नहीं जानती कि उपयोगकर्ता कौन है
यही इस तरीके का पूरा उद्देश्य है
साइट जानती है कि prover कौन है
क्योंकि उसे proof का asymmetric cryptographic verification करना होता है, इसलिए उसे public keys की सूची चाहिए, और उन keys को prover की पहचान से जोड़ा जा सकता है
prover को यह नहीं पता होना चाहिए कि मैं कौन सा content देखना चाहता हूँ
JWT में भी किसी उपयोगकर्ता के proof को verify करने के लिए prover को बताए बिना verification किया जा सकता है
लेकिन अगर “क्या यह proof revoke किया गया है” जैसी कोई API हो, तो गलती से फिर एक information channel बन सकता है
prover जानता है कि उपयोगकर्ता कौन है, या कम से कम उसके पास उपयोगकर्ता की कुछ ऐसी जानकारी होती है जिसे वह किसी तीसरे पक्ष के सामने साबित कर सकता है
व्यवहार में Google, Apple, Microsoft account जानकारी या बैंक जैसी संस्थाओं की कल्पना करनी होगी
उपयोगकर्ता हमेशा साइट और prover को जान सके, यह तकनीकी रूप से संभव है, लेकिन वास्तविक इंसानी व्यवहार के स्तर पर इस पर संदेह है
मैं Google में कर्मचारी हूँ, लेकिन इस project से काफ़ी दूर हूँ, इसलिए मेरे पास कोई internal knowledge नहीं है
system एक वैध zero-knowledge proof हो सकता है, लेकिन असली services फिर भी उपयोगकर्ता से personally identifiable information इकट्ठा कर सकती हैं
और यह भी रोकने का कोई तरीका नहीं है कि prover उस साइट के साथ मिलकर, जिस तक आप पहुँचना चाहते हैं, आपके बारे में जानकारी उजागर न करे
https://www.youtube.com/watch?v=fOGdb1CTu5c
यह वीडियो इसे बहुत अच्छी तरह समझाता है
आयु आश्वासन का ठीक उसी समय लोकप्रिय होना संदिग्ध लगता है जब AI एजेंट मानव दफ़्तर कर्मचारियों की तरह personal computer को स्वायत्त रूप से चला सकने लगते हैं
चिंता है कि आयु आश्वासन का “बच्चों” से शायद कोई संबंध ही न हो
यह समस्या तब से चली आ रही है जितने समय से बच्चे ऑनलाइन रहे हैं
2000 के शुरुआती दशक में इसे credit card से आज़माया गया था और स्वाभाविक रूप से यह विफल रहा
UK भी पिछले 10 वर्षों में इसी तरह से नाबालिगों की pornography तक पहुंच रोकने की कोशिश करके असफल रहा है
जो राजनेता इस तरह की चीज़ों को लगातार आगे बढ़ाते हैं, उनके radar पर शायद AI tools हैं ही नहीं
ये कदम और अन्य privacy उल्लंघन वाले कदमों का बच्चों से कभी संबंध नहीं रहा
आयु साबित करते हुए भी privacy खोए बिना काम हो सकता है
आयु सिर्फ एक संकेतक है
मैं जानकारी X के लिए zero-knowledge तकनीक नहीं चाहता, मैं पहचान ही नहीं रखना चाहता
बात यहीं खत्म होती है
इसलिए आपकी वास्तविक आयु नहीं ली जाती, सिर्फ यह पता चलता है कि आप दो व्यापक श्रेणियों में से किसमें आते हैं
“Zero-knowledge proof किसी व्यक्ति को अपने बारे में किसी तथ्य के सत्य होने को बिना किसी अन्य data exchange के साबित करने देता है. उदाहरण के लिए, website visitor यह सत्यापन योग्य तरीके से साबित कर सकता है कि वह 18 से अधिक आयु का है, बिना कुछ और साझा किए”
लेकिन इसका अर्थ यह नहीं है कि “token सेट करते समय भी कुछ भी साझा नहीं किया जाता”
क्या यह सिद्ध किया जा सकता है कि कोई crypto token A) personally identifiable information शामिल नहीं करता, और B) token स्वयं Google या government database में मेरी पहचान से जुड़े ID के रूप में इस्तेमाल नहीं हो सकता
दोनों ही संभव नहीं हैं, इसलिए मैं ऐसे token approach का समर्थन नहीं करता
आप किसी trusted entity से certificate लेते हैं जो यह सत्यापित करती है कि आप 18+ हैं, और उसका उपयोग करके ऐसा token बना सकते हैं जिसमें सिर्फ “X ने सत्यापित किया कि मैं 18+ हूं” जैसी जानकारी हो
न तो मूल verifier और न ही token प्राप्त करने वाला पक्ष इसे मूल certificate से जोड़ पाने में सक्षम होना चाहिए
इस दस्तावेज़ का section 2 देखें: https://eudi.dev/2.4.0/discussion-topics/g-zero-knowledge-pr...
अगर इसके वास्तव में तकनीकी रूप से कठिन होने पर कोई आपत्ति है, तो मैं उसके बारे में जानना चाहूंगा
साथ ही, ऐसा ढांचा दुनिया भर में प्रस्तावित अधिकांश आयु सत्यापन क़ानूनों को पूरा करता हुआ लगता है
इसे एक ही कंपनी के दो विभागों के रूप में भी बनाया जा सकता है, ताकि यह साबित किया जा सके कि उन्होंने सभी users की IDs देखी हैं, लेकिन usernames को IDs से जोड़ नहीं सकते
फिर भी यह personally identifiable information को संभालता है, इसलिए leak का जोखिम रहता है और यह सर्वोत्तम नहीं है, लेकिन आज जो ज़्यादातर लोग कर रहे हैं उससे कहीं बेहतर है
अभिप्रेत तरीका यह है कि government, जिसके पास पहले से आयु data है, एक signed message बना सके, और आयु जांचने वाला platform यह जाने कि आप वयस्क हैं, लेकिन यह न जाने कि आप कौन हैं या आपकी सटीक आयु क्या है
इस उद्देश्य के लिए zero-knowledge proof पहचान-ट्रैकिंग और device attestation के लिए Trojan horse है
क्योंकि सभी लोगों के वयस्क होने के प्रमाण बड़े पैमाने पर बनाकर मुफ़्त में बांटे जाने से रोकने के लिए ऐसे पूर्वशर्तों की ज़रूरत पड़ती है
contract signing और payments में अंतर्निहित incentives होते हैं, इसलिए वे काम करते हैं, लेकिन आयु प्रमाणन में ऐसा नहीं है
अंततः वे शायद यह कहेंगे, “क्योंकि proof साझा किया जा सकता है, इसलिए यह पुष्टि करने के लिए एक trusted verification point चाहिए कि इस समय वास्तव में zero-knowledge token आपके ही पास है”
और फिर आपसे smartphone camera चालू करने और biometric authentication निर्देशों का आज्ञाकारी रूप से पालन करने को कहा जा सकता है
ऐसा नहीं लगता कि governments अब और क्या regulate करना चाहती हैं, इस पर रोक लगाने के लिए कदम उठा रही हैं, और शायद आगे भी नहीं उठाएंगी
तब यह साफ़ हो जाएगा कि वे कोई व्यावहारिक समाधान खोजने की कोशिश नहीं कर रहे
“विधायकों को zero-knowledge proof कैसे समझाएं” इसकी ज़रूरत है
इतना ही काफ़ी है