- Trong bối cảnh nhu cầu xác minh độ tuổi trên mạng ngày càng tăng, Google đã công bố mã nguồn mở một thư viện ZKP có thể dùng cho bảo đảm độ tuổi
- ZKP cho phép người dùng chứng minh các điều kiện như từ 18 tuổi trở lên mà không phải cung cấp thông tin cá nhân không cần thiết, qua đó giảm mức độ lộ lọt dữ liệu cá nhân trong xác minh độ tuổi
- Mã nguồn được công bố hỗ trợ bảo đảm độ tuổi tại EU dựa trên quan hệ đối tác với Sparkasse, và có thể được các nhà phát triển trong khu vực tư nhân lẫn công sử dụng để triển khai định danh số
- Người dùng, doanh nghiệp và các tổ chức phụ thuộc khác, nhà phát triển, nhà nghiên cứu lần lượt có thể tận dụng hệ sinh thái an toàn hơn, giải pháp mã nguồn mở, codebase và các triển khai ZKP hiệu quả
- Vì Quy định eIDAS của EU, dự kiến có hiệu lực vào năm 2026, khuyến khích tích hợp các công nghệ tăng cường bảo vệ quyền riêng tư vào EUDI Wallet, động thái này cũng có thể ảnh hưởng đến việc phát triển ví của các quốc gia thành viên
Google công bố thư viện ZKP
- Google đã công bố mã nguồn mở các thư viện Zero-Knowledge Proof (ZKP)
- Việc công bố lần này là một phần trong quá trình thực hiện cam kết trước đó và hỗ trợ bảo đảm độ tuổi tại EU dựa trên quan hệ đối tác với Sparkasse
- Công cụ mật mã này có thể được các nhà phát triển trong khu vực tư nhân và công sử dụng để xây dựng các ứng dụng tăng cường bảo vệ quyền riêng tư và giải pháp định danh số
Vai trò của ZKP trong xác minh độ tuổi
- ZKP là công nghệ cho phép chứng minh một sự thật là đúng mà không cần trao đổi dữ liệu nào khác
- Khách truy cập website có thể chứng minh một cách có thể kiểm chứng rằng mình từ 18 tuổi trở lên mà không phải chia sẻ thêm thông tin
Các bên mà mã nguồn được công bố hướng tới
- Google cho rằng việc chia sẻ ZKP sẽ mang lại lợi ích cho nhiều bên tham gia trong hệ sinh thái
- Người dùng web và ứng dụng có thể trở thành một phần của hệ sinh thái số an toàn hơn và đặt quyền riêng tư làm trọng tâm
- Doanh nghiệp và các tổ chức phụ thuộc khác, bất kể quy mô, có thể tận dụng giải pháp mã nguồn mở để đáp ứng các yêu cầu bảo vệ quyền riêng tư
- Nhà phát triển có thể tự do sử dụng codebase ZKP để xây dựng ứng dụng đặt quyền riêng tư làm trọng tâm
- Nhà nghiên cứu có thể tận dụng các triển khai ZKP hiệu quả hơn và có hiệu năng cao hơn để tạo ra ứng dụng mới cũng như cách sử dụng công nghệ mới
Bối cảnh EU eIDAS và EUDI Wallet
- Quy định eIDAS của EU, dự kiến có hiệu lực vào năm 2026, khuyến khích các quốc gia thành viên tích hợp các công nghệ tăng cường bảo vệ quyền riêng tư như ZKP vào European Digital Identity Wallet, tức EUDI Wallet
- Việc Google công bố công cụ ZKP có thể được các quốc gia thành viên sử dụng để tích hợp công nghệ này vào EUDI Wallet trong tương lai và tăng tốc phát triển
Truy cập mã nguồn
- Có thể xem codebase ZKP tại google/longfellow-zk
1 bình luận
Các ý kiến trên Hacker News
Dù vậy, tôi không muốn cách chặn truy cập chỉ dựa trên độ tuổi
Cha mẹ ít nhất phải có thể ghi đè tuổi của con mình, hoặc tùy chọn cho phép vượt qua
Nếu một nửa Internet bị chặn, trải nghiệm máy tính của tôi hẳn đã hoàn toàn khác, nhất là khi nhìn vào những nội dung bị chặn
Trên YouTube hay TikTok có rất nhiều nội dung kỳ quái không bị cấm nhưng không lành mạnh, và những người họ hàng nhỏ tuổi của tôi bị chúng thu hút mạnh
Không cần xác định người dùng thiết bị là ai; trách nhiệm để trẻ dùng thiết bị bị khóa nên thuộc về cha mẹ
Thiết bị tuyên bố trạng thái như trên/dưới 18 tuổi, còn website hoặc ứng dụng về mặt pháp lý chỉ nên bị yêu cầu tôn trọng tuyên bố đó
Thiết bị phải nằm dưới sự kiểm soát của cha mẹ, và việc có áp dụng giới hạn độ tuổi cho trẻ hay không nên do cha mẹ quyết định
Ngoài ra cần có tính năng hồ sơ để ngay cả khi trẻ dùng điện thoại hay laptop của cha mẹ, trẻ cũng không làm hỏng dữ liệu của cha mẹ hoặc truy cập những thứ không nên xem
Trước đây, việc cha mẹ thuê phim xếp hạng R có cảnh khỏa thân, tình dục, bạo lực cho con cũng được xem là chấp nhận được, khác với việc cửa hàng băng đĩa trực tiếp cho trẻ thuê
Nếu bạn cho rằng đứa con 16 tuổi của mình đủ trưởng thành để xem phim khiêu dâm, đó là vấn đề để cha mẹ quyết định
Hoặc có vẻ bạn cho rằng rủi ro chính của xác minh tuổi chỉ nằm ở việc “bị xác minh tuổi”
Nếu không có một giải pháp an toàn do thị trường dẫn dắt — tức là ẩn danh, không bị giám sát và chỉ chứng minh tuổi — và nếu chính phủ không thể giám sát, từ chối, thu hồi theo từng cá nhân, thì cuối cùng chính cơ chế kiểm soát đó sẽ bị áp đặt lên tất cả
Không thể thắng đối thủ chỉ bằng cách nói rằng những xiềng xích họ muốn tròng lên mọi người là không cần thiết
Cần đưa chứng minh không tiết lộ thông tin và các công nghệ bảo mật mạnh, mã nguồn mở, phi tập trung vào để giải quyết những vấn đề thực tế tưởng nhỏ nhưng không biến mất, như tuổi tác và nội dung khiêu dâm
Nếu không, chúng ta sẽ phải “tin tưởng” rằng các chính trị gia yếu kém, nhóm lợi ích và những người lạ trên Internet sẽ không lợi dụng tình trạng không phòng vệ của chúng ta
Khi thêm AI vào, rủi ro và tác hại của việc thụ động đứng yên sẽ tăng đến mức cực đoan
Có lẽ bạn cũng giống tôi, là một người đàn ông lớn tuổi, thuộc thế hệ từng tự do lang thang trên Internet trước khi các mối quan hệ con người bị thương mại hóa, tìm thấy những điều và con người tuyệt vời, dành thời gian học hỏi trong một không gian giống như Thư viện Alexandria
Nhưng phải hỏi Gen Z và các thế hệ trẻ hơn, đặc biệt là các bé gái, xem Internet đã là trải nghiệm như thế nào với họ
Bạn đã từng cố chơi một game online nhẹ nhàng với bạn bè nhưng liên tục bị 3–4 người đàn ông trưởng thành quấy rối chưa
Đã bao nhiêu lần bạn bị đề nghị gửi ảnh khỏa thân khi còn vị thành niên để đổi lấy tiền dưới dạng “loot box”
Có phải ở mọi trang bạn truy cập, thuật toán đều đẩy tới nội dung khuyên bạn chấp nhận chứng biếng ăn, đặt cược xem Trump sẽ nói gì trên TV, dùng ma túy, hoặc đơn giản là tự sát không
Thế hệ chú bác như chúng ta cần ngừng hoài niệm về trải nghiệm máy tính thời thơ ấu, và lắng nghe trẻ em cùng các nghiên cứu liên quan
Internet của những geek và nerd tử tế ngày hôm qua không còn tồn tại nữa, và nếu muốn giữ lại dù chỉ một phần nhỏ của một xã hội vận hành đúng nghĩa, nó phải thay đổi
Nếu việc truy cập website bắt đầu cần chứng nhận của chính phủ theo từng cá nhân, chính phủ sẽ có thể bất cứ lúc nào từ chối hoặc thu hồi động quyền truy cập của một cá nhân đối với bất kỳ trang nào đã triển khai xác minh tuổi
Nếu các trang người lớn áp dụng hệ thống đó, nó sẽ lan sang các trang muốn giảm trách nhiệm pháp lý
Ngân hàng, dịch vụ doanh nghiệp, rồi cuối cùng là gần như mọi nơi đều có thể bị lan tới
Chính phủ sẽ thổi phồng và mở rộng vấn đề trách nhiệm pháp lý, nhưng sẽ không thông qua luật tạo vùng an toàn trách nhiệm liên quan đến độ tuổi
Wikipedia cũng đã đang đấu tranh để tránh phải triển khai xác minh tuổi
Xác minh tuổi do chính phủ quản lý nghĩa là ngay cả Wikipedia cũng không thể truy cập nếu không có giấy phép của chính phủ được theo dõi, kiểm soát và có thể thu hồi theo từng cá nhân https://www.eff.org/deeplinks/2025/07/we-support-wikimedia-f...
Hiếm khi một lập luận con dốc trơn trượt lại thực sự trơn trượt đến mức này
Thậm chí không có rào cản kỹ thuật nào giữa việc chính phủ kiểm soát quyền truy cập của từng công dân vào các trang người lớn rõ ràng, và việc chính phủ cấp phép/kiểm soát quyền truy cập vào mọi trang có nội dung thực chất
Nó chỉ còn là đường cong triển khai của các trang, và mỗi lần mức độ triển khai tăng lên, phạm vi giám sát thời gian thực của chính phủ trong đời sống từng phút một, cũng như khả năng từ chối quyền truy cập tùy ý với bất kỳ ai vào bất kỳ lúc nào, lại lớn hơn
Phản địa đàng đã đến rồi, và điều này thật đáng sợ
Giải pháp có vẻ cần thiết là chứng nhận bên thứ ba mà bất kỳ ai đáp ứng tiêu chuẩn công khai đều có thể cung cấp, chứng nhận chỉ giới hạn ở việc chứng minh độ tuổi, và triển khai dựa trên chứng minh không tiết lộ thông tin
Phải tạo ra một lựa chọn thay thế ẩn danh, không bị giám sát và không thể bị từ chối theo từng cá nhân, thì mới có thể bẻ gãy động lực mở rộng quyền lực chính phủ
Nếu các kỹ sư có ý thức bảo mật và thị trường không giải quyết được, phiên bản phá hủy tự do sẽ chiến thắng, và sẽ khó đảo ngược
Nếu các trang người lớn áp dụng hệ thống, nó sẽ lan sang mọi trang muốn giảm trách nhiệm pháp lý, rồi ngân hàng và dịch vụ doanh nghiệp, cuối cùng gần như tất cả đều có thể làm theo
Ngay cả với chứng minh không tiết lộ thông tin, một khi việc chứng minh trở nên tiện lợi và phổ biến, nó sẽ lan rộng, và chẳng bao lâu nữa thứ được bảo đảm sẽ không chỉ còn là tuổi tác
Ở đây, cách gọi zero-knowledge có vẻ hơi phóng đại
Thực ra nó gần với việc chia nhỏ tri thức rồi chỉ chia sẻ phần liên quan cho từng bên hơn
Và Google, trong vai trò trung gian, có vẻ có khả năng truy cập nhiều thông tin nhất trong số các bên liên quan
Google chỉ chia sẻ thư viện triển khai nó, và có lẽ sẽ không thể truy cập thông tin này, giống như Google không thể truy cập thông tin ngân hàng của người dùng Android hay Gmail
Ví dụ, chỉ có thể biết “có trên 16 tuổi hay không” chứ không phải ngày sinh
Tuy nhiên việc chứng minh điều đó rất khó, và cũng khó tin rằng Google sẽ làm như vậy
Ở Estonia thì có lẽ cách đó có thể khả thi
Họ đã viết một bài báo về cách xác minh tuổi hoàn toàn theo hướng bảo vệ quyền riêng tư, thậm chí không cần zero-knowledge proof
https://magarshak.com/papers/Personal.pdf
Chủ đề này có nhiều thiên kiến, nhưng có lẽ vẫn có thể thảo luận về mặt kỹ thuật
Tôi chưa tìm hiểu sâu về chủ đề này nên mong có ai đó trả lời
Tôi tò mò thực tế nó zero-knowledge đến mức nào
Theo cách tôi hiểu thì có ba bên: tôi, trang web tôi muốn truy cập, và bên chứng minh (Google hoặc chính phủ?)
Trang web có biết tôi là ai không
Trang web có biết bên chứng minh của tôi là ai, và chẳng hạn có thể suy luận rằng bên chứng minh đó ghét meme Winnie-the-Pooh không
Bên chứng minh có biết tôi đang muốn xem trang web nào hoặc loại nội dung nào không
Bên chứng minh có biết tôi là ai không
Tôi có luôn biết trang web và bên chứng minh là ai, cũng như thời điểm việc chứng minh này diễn ra không
Lấy ví dụ điển hình là chứng minh tuổi ≥ n bằng giấy tờ tùy thân do chính phủ cấp
Trang web không biết bạn là ai
Điểm cốt lõi là tạo ra một chứng minh toán học rằng bạn có giấy tờ tùy thân hợp lệ do chính phủ cấp và trên đó ghi “tuổi ≥ n”
Trang web có thể biết bên phát hành
Vì chứng minh dựa trên thông tin mà bên chứng minh căn cứ vào, trong trường hợp này phải biết chính phủ cấp giấy tờ thì chứng minh đó mới có ý nghĩa
Bên chứng minh không cần biết trang web trong quá trình này
Họ chỉ biết rằng mình đã phát hành giấy tờ tùy thân, và sau đó không cần được truy vấn lại
Tuy vậy, có thể thiết kế theo cách yêu cầu zero-knowledge proof về một giấy phép bằng văn bản gần đây của một tổ chức nào đó, nhưng đó không phải bản chất của zero-knowledge proof
Việc người dùng có luôn biết hay không là vấn đề trải nghiệm người dùng
Nếu ví và trang web được triển khai để luôn hiển thị thời điểm và loại yêu cầu thông tin xác thực thì có thể làm được
Ở đây bên chứng minh không phải Google
Google chỉ cung cấp hạ tầng để tạo và xác minh chứng minh; đúng hơn nên gọi bên chứng minh là bên phát hành, tức tổ chức đáng tin cậy cấp chứng minh danh tính
Một luồng khả dĩ là như thế này
Trước tiên, một bên phát hành như chính phủ, ngân hàng, nhà mạng di động cấp cho ví của tôi, ví dụ điện thoại, một thông tin xác thực đã ký
Đó có thể là căn cước số đầy đủ, hoặc một “chứng minh tuổi” hẹp hơn
Sau đó một trang web yêu cầu trình duyệt chứng minh rằng điều kiện như age >= 18 được thỏa mãn
Trang web cung cấp “zk-program” (mạch) cần chạy, và chờ một chứng minh rằng chương trình đã được chạy trên các đầu vào đáng tin cậy nhưng không công khai
Điện thoại biết thông tin xác thực có chữ ký hợp lệ của bên phát hành, và tạo zero-knowledge proof rằng thuộc tính ẩn đó thỏa mãn điều kiện
Lý tưởng là tạo cục bộ, nhưng hiện vẫn chưa sẵn sàng
Trang web xác minh chứng minh bằng các đầu vào công khai như khóa công khai của bên phát hành, mạch đã dùng, điều kiện được yêu cầu, và một nonce/challenge mới
Vì vậy chỉ từ bản thân zero-knowledge proof, trang web không biết tôi là ai, nhưng sẽ biết ai đã cấp ID cho tôi
Trang web biết khóa công khai của bên chứng minh, còn bên chứng minh không biết tôi đã truy cập trang web nào
Bên chứng minh biết tôi là ai
Việc người dùng biết trang web, bên chứng minh và thời điểm chứng minh hay không có thể có nhiều cách tùy theo trải nghiệm người dùng được triển khai
Trang web không biết người dùng là ai
Đó là toàn bộ mục đích của cách này
Trang web biết bên chứng minh là ai
Vì phải thực hiện xác minh mật mã bất đối xứng đối với chứng minh, cần có danh sách khóa công khai, và có thể gắn danh tính bên chứng minh vào các khóa đó
Bên chứng minh không nên biết tôi đang muốn xem nội dung nào
Nếu là JWT thì có thể xác minh mà không báo cho bên chứng minh biết đang xác minh chứng minh của người dùng nào
Tuy nhiên nếu có API kiểu “chứng minh này đã bị thu hồi chưa” thì có thể vô tình tạo lại một kênh thông tin
Bên chứng minh biết người dùng là ai, hoặc ít nhất có một phần thông tin người dùng để chứng minh cho người khác
Trên thực tế nên giả định đó là thông tin tài khoản Google, Apple, Microsoft hoặc ngân hàng, v.v.
Việc người dùng có luôn biết trang web và bên chứng minh hay không về mặt kỹ thuật là có thể, nhưng xét từ góc nhìn con người thực tế thì đáng nghi
Tôi là nhân viên Google nhưng ở rất xa dự án này nên không có kiến thức nội bộ
Hệ thống có thể là zero-knowledge proof hợp lệ, nhưng các dịch vụ thực tế vẫn có thể thu thập thông tin định danh cá nhân từ người dùng
Ngoài ra cũng không có gì ngăn bên chứng minh thông đồng với trang web bạn muốn truy cập để tiết lộ thông tin về bạn
https://www.youtube.com/watch?v=fOGdb1CTu5c
Video này giải thích rất hay
Việc bảo đảm độ tuổi trở nên thịnh hành đúng vào thời điểm các tác nhân AI có thể tự chủ điều khiển máy tính cá nhân như nhân viên văn phòng là con người thật đáng ngờ
Tôi lo rằng bảo đảm độ tuổi có lẽ chẳng liên quan gì đến “trẻ em”
Vấn đề này đã tồn tại lâu như thời trẻ em có mặt trên mạng
Đầu những năm 2000 người ta đã thử bằng thẻ tín dụng và tất nhiên là thất bại
Vương quốc Anh cũng đã thất bại trong suốt 10 năm qua khi cố dùng cách này để ngăn trẻ vị thành niên truy cập nội dung khiêu dâm
Các công cụ AI có lẽ thậm chí còn không nằm trên radar của những chính trị gia cứ tiếp tục thúc đẩy chuyện này
Những biện pháp này và các biện pháp xâm phạm quyền riêng tư khác chưa bao giờ liên quan đến trẻ em
Bạn có thể chứng minh tuổi mà vẫn không đánh mất quyền riêng tư
Tuổi chỉ là một trong các chỉ báo mà thôi
Tôi không muốn công nghệ không tiết lộ tri thức cho thông tin X, và cũng không muốn có chính danh tính đó
Hết chuyện
Vì vậy họ không lấy tuổi thật, mà chỉ biết bạn thuộc một trong hai nhóm rộng
“Chứng minh không tiết lộ tri thức cho phép một người chứng minh rằng một sự thật nào đó về họ là đúng mà không cần trao đổi dữ liệu nào khác. Ví dụ, một khách truy cập website có thể chứng minh một cách kiểm chứng được rằng mình từ 18 tuổi trở lên mà không chia sẻ bất kỳ thứ gì khác”
Nhưng điều đó không có nghĩa là “ngay cả khi thiết lập token cũng không chia sẻ gì cả”
Có thể chứng minh rằng một token mật mã nào đó A) không chứa thông tin nhận dạng cá nhân, và B) bản thân token không thể được dùng như một ID liên kết với danh tính của tôi trong cơ sở dữ liệu của Google hay chính phủ không
Vì cả hai đều không thể, nên tôi không ủng hộ cách dùng token như thế này
Bạn nhận một chứng chỉ từ một thực thể đáng tin cậy xác minh bạn từ 18 tuổi trở lên, rồi dùng nó để tạo một token chỉ chứa thông tin “X đã xác minh rằng tôi từ 18 tuổi trở lên”
Cả bên xác minh ban đầu lẫn bên nhận token đều không thể liên kết nó với chứng chỉ gốc
Xem phần 2 của tài liệu này: https://eudi.dev/2.4.0/discussion-topics/g-zero-knowledge-pr...
Nếu có phản biện rằng về mặt kỹ thuật điều này khó đạt được trong thực tế thì tôi muốn biết
Ngoài ra, cấu trúc như vậy có vẻ có thể đáp ứng phần lớn các dự luật xác minh độ tuổi đang được đề xuất trên toàn thế giới
Ngay cả khi tổ chức thành hai bộ phận trong cùng một công ty, họ vẫn có thể chứng minh rằng tuy đã xem tất cả ID của người dùng nhưng không thể liên kết tên người dùng với ID
Dù vậy, vì vẫn xử lý thông tin nhận dạng cá nhân nên vẫn có rủi ro rò rỉ, không phải là tốt nhất, nhưng tốt hơn nhiều so với cách mà đa số hiện đang làm
Cách dự định là cho phép chính phủ, vốn đã có dữ liệu tuổi, tạo thông điệp đã ký, và nền tảng kiểm tra tuổi sẽ chỉ biết rằng bạn là người lớn, chứ không biết bạn là ai hay tuổi chính xác của bạn
Chứng minh không tiết lộ tri thức cho mục đích này là con ngựa thành Troy cho việc theo dõi danh tính và chứng thực thiết bị
Bởi vì cần các tiền đề đó để ngăn tình huống mọi người in hàng loạt chứng minh rằng mình là người lớn rồi phát miễn phí
Trong ký hợp đồng và thanh toán thì có động lực nội tại nên nó hoạt động, còn chứng minh độ tuổi thì không
Cuối cùng chẳng phải họ sẽ lập luận rằng “vì chứng minh có thể được chia sẻ, nên cần một điểm xác minh đáng tin cậy để xác nhận rằng người thực sự nắm giữ token không tiết lộ tri thức tại chính thời điểm này là bạn” sao
Rồi họ có thể bảo bạn bật camera điện thoại và ngoan ngoãn làm theo hướng dẫn xác thực sinh trắc học
Chính phủ dường như không còn thực hiện các biện pháp để quản lý những gì nữa, và có lẽ sau này cũng sẽ không
Khi đó sẽ lộ rõ rằng họ không hề tìm kiếm một giải pháp thực dụng
Cần có “cách giải thích chứng minh không tiết lộ tri thức cho nhà lập pháp”
Như vậy là đủ