2 คะแนน โดย GN⁺ 4 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ท่ามกลางความต้องการการยืนยันอายุบนโลกออนไลน์ที่เพิ่มขึ้น Google ได้เปิดซอร์สไลบรารี ZKP ที่สามารถใช้สำหรับ การยืนยันอายุ
  • ZKP ช่วยให้ผู้ใช้พิสูจน์เงื่อนไขอย่าง อายุ 18 ปีขึ้นไป ได้โดยไม่ต้องส่งมอบข้อมูลส่วนบุคคลที่ไม่จำเป็น ทำให้ลดการเปิดเผยข้อมูลส่วนตัวในการยืนยันอายุ
  • โค้ดที่เปิดเผยนี้รองรับการยืนยันอายุในสหภาพยุโรปบนพื้นฐานของความร่วมมือกับ Sparkasse และสามารถนำไปใช้ในการพัฒนา digital ID ของนักพัฒนาทั้งภาคเอกชนและภาครัฐ
  • ผู้ใช้ องค์กรธุรกิจและหน่วยงานที่พึ่งพาระบบอื่น ๆ นักพัฒนา และนักวิจัย ต่างสามารถใช้ประโยชน์จากระบบนิเวศที่ปลอดภัยยิ่งขึ้น โซลูชันโอเพนซอร์ส โค้ดเบส และการทำ ZKP ที่มีประสิทธิภาพมากขึ้น
  • กฎระเบียบ EU eIDAS Regulation ที่มีกำหนดเริ่มบังคับใช้ในปี 2026 ส่งเสริมการผสานเทคโนโลยีเสริมการคุ้มครองความเป็นส่วนตัวเข้ากับ EUDI Wallet จึงอาจส่งผลต่อการพัฒนาวอลเล็ตของประเทศสมาชิกด้วย

การเปิดเผยไลบรารี ZKP ของ Google

  • Google ได้เปิดซอร์ส Zero-Knowledge Proof(ZKP) libraries
  • การเปิดเผยครั้งนี้เป็นส่วนหนึ่งของการทำตามคำมั่นก่อนหน้านี้ และต่อยอดจากความร่วมมือกับ Sparkasse เพื่อสนับสนุน การยืนยันอายุในสหภาพยุโรป
  • เครื่องมือเข้ารหัสลับนี้สามารถใช้โดยนักพัฒนาทั้งภาคเอกชนและภาครัฐเพื่อสร้างแอปพลิเคชันที่เสริมการคุ้มครองความเป็นส่วนตัวและ โซลูชัน digital ID

ZKP ทำอะไรในการยืนยันอายุ

  • ZKP คือเทคโนโลยีที่ช่วยพิสูจน์ว่าข้อเท็จจริงบางอย่างเป็น จริง โดยไม่ต้องแลกเปลี่ยนข้อมูลอื่นเพิ่มเติม
  • ผู้เยี่ยมชมเว็บไซต์สามารถพิสูจน์ได้อย่างตรวจสอบได้ว่าตน อายุ 18 ปีขึ้นไป โดยไม่ต้องแชร์ข้อมูลเพิ่มเติม

ผู้มีส่วนเกี่ยวข้องที่โค้ดชุดนี้มุ่งเป้าไปถึง

  • Google มองว่าการแบ่งปัน ZKP จะเป็นประโยชน์ต่อผู้มีส่วนร่วมหลายกลุ่มในระบบนิเวศ
    • ผู้ใช้เว็บและแอปสามารถเป็นส่วนหนึ่งของระบบนิเวศดิจิทัลที่ เน้นความเป็นส่วนตัว และปลอดภัยยิ่งขึ้น
    • ธุรกิจและองค์กรอื่น ๆ ที่พึ่งพาระบบสามารถใช้โซลูชันโอเพนซอร์สเพื่อตอบโจทย์ข้อกำหนดด้านความเป็นส่วนตัวได้ ไม่ว่าจะมีขนาดใดก็ตาม
    • นักพัฒนาสามารถใช้โค้ดเบส ZKP ได้อย่างอิสระเพื่อสร้าง แอปพลิเคชันที่เน้นความเป็นส่วนตัว
    • นักวิจัยสามารถใช้การทำ ZKP ที่มีประสิทธิภาพและสมรรถนะสูงขึ้นเพื่อสร้างแอปพลิเคชันใหม่และแนวทางการใช้เทคโนโลยีใหม่ ๆ

บริบทของ EU eIDAS และ EUDI Wallet

  • กฎระเบียบ EU eIDAS Regulation ที่มีกำหนดเริ่มใช้ในปี 2026 สนับสนุนให้ประเทศสมาชิกผสานเทคโนโลยีเสริมการคุ้มครองความเป็นส่วนตัวอย่าง ZKP เข้ากับ European Digital Identity Wallet หรือ EUDI Wallet
  • การเปิดเผยเครื่องมือ ZKP ของ Google อาจถูกนำไปใช้เพื่อช่วยให้ประเทศสมาชิกผสานเทคโนโลยีดังกล่าวเข้ากับ EUDI Wallet ในอนาคตและเร่งการพัฒนาได้

การเข้าถึงโค้ด

1 ความคิดเห็น

 
GN⁺ 4 시간 전
ความคิดเห็นบน Hacker News
  • ถึงอย่างนั้นก็ไม่ต้องการ วิธีที่บล็อกการเข้าถึงโดยอิงแค่อายุ
    อย่างน้อยผู้ปกครองควรสามารถเขียนทับอายุของลูก หรือเลือกอนุญาตให้ข้ามข้อจำกัดได้
    ถ้าครึ่งหนึ่งของอินเทอร์เน็ตถูกบล็อกไว้ ประสบการณ์การใช้คอมพิวเตอร์ของผมคงต่างไปโดยสิ้นเชิง โดยเฉพาะเมื่อดูว่าเนื้อหาแบบไหนถูกบล็อก

    • ในฐานะคนรุ่นมิลเลนเนียล ผมเคยเห็นเนื้อหาพอสมควรที่ไม่อยากให้คนอายุน้อยได้เห็น แต่จริง ๆ แล้วเนื้อหาที่เข้าถึงได้โดยไม่มีการจำกัดอายุอาจเป็นอันตรายยิ่งกว่า
      บน YouTube หรือ TikTok มี คอนเทนต์ประหลาด จำนวนมากที่ไม่ได้ถูกแบน แต่ไม่ดีต่อสุขภาพจิต และญาติเด็ก ๆ ของผมก็ถูกดึงดูดไปหามันอย่างแรง
    • เว็บไซต์ควรตรวจสอบได้ง่ายว่าอุปกรณ์ที่เข้าชมนั้นเปิด การล็อกควบคุมโดยผู้ปกครอง อยู่หรือไม่
      ไม่จำเป็นต้องระบุตัวตนว่าคนใช้อุปกรณ์คือใคร และความรับผิดชอบในการให้เด็กใช้อุปกรณ์ที่ถูกล็อกควรอยู่ที่ผู้ปกครอง
    • มีคอมเมนต์หลายร้อยอันพูดทำนองเดียวกันแล้ว แต่ การจำกัดอายุควรเป็นการตั้งค่าของอุปกรณ์
      อุปกรณ์ควรประกาศสถานะ เช่น อายุ 18 ปีขึ้นไป/ต่ำกว่า 18 ปี และเว็บไซต์หรือแอปควรถูกบังคับตามกฎหมายเพียงให้เคารพการประกาศนั้น
      ผู้ปกครองควรควบคุมอุปกรณ์ได้ และผู้ปกครองควรเป็นคนตัดสินใจว่าจะบังคับใช้การจำกัดอายุกับเด็กหรือไม่
      อีกทั้งควรมีฟีเจอร์โปรไฟล์ เพื่อให้แม้เด็กจะใช้โทรศัพท์หรือแล็ปท็อปของผู้ปกครอง ก็จะไม่ทำข้อมูลของผู้ปกครองเสียหายหรือเข้าถึงสิ่งที่ไม่ควรเห็น
      ในอดีต การที่ผู้ปกครองเช่าหนังเรต R ที่มีภาพโป๊เปลือย เพศ หรือความรุนแรงให้ลูกถือว่าโอเค ซึ่งต่างจากกรณีที่ร้านวิดีโอให้เด็กเช่าโดยตรง
      ถ้าผู้ปกครองเห็นว่าลูกวัย 16 ปีมีวุฒิภาวะพอจะดูสื่อลามกได้ นั่นก็เป็นเรื่องที่ผู้ปกครองควรตัดสินใจ
    • คุณกำลังจินตนาการว่าแนวทางแก้ปัญหาที่เหมาะกับตัวเองจะถูกยอมรับเป็นทางออกโดย อำนาจทางการเมือง ที่ผลักดันเรื่องนี้อยู่ด้วย
      หรือดูเหมือนจะมองว่าความเสี่ยงหลักของการยืนยันอายุมีเพียงแค่ “การถูกยืนยันอายุ” เท่านั้น
      หากไม่มีแนวทางที่ปลอดภัยและขับเคลื่อนโดยตลาด ซึ่งเป็นวิธีที่นิรนาม ไม่ถูกเฝ้าระวัง และพิสูจน์เฉพาะอายุเท่านั้น และหากรัฐบาลไม่สามารถเฝ้าติดตาม ปฏิเสธ หรือเพิกถอนสิทธิ์เป็นรายบุคคลได้ ท้ายที่สุดรูปแบบการควบคุมแบบนั้นแหละจะถูกบังคับใช้กับทุกคน
      การบอกว่าเราไม่จำเป็นต้องมีโซ่ตรวนที่พยายามจะล่ามทุกคน ไม่ได้ช่วยให้เอาชนะฝ่ายตรงข้ามได้
      เราต้องนำ zero-knowledge proof และเทคโนโลยีโอเพนซอร์สแบบกระจายศูนย์ที่มีความปลอดภัยสูงมาใช้ เพื่อแก้ปัญหาในโลกจริงที่อาจดูเล็กน้อยแต่ไม่หายไปไหน เช่น อายุและสื่อลามก
      ไม่เช่นนั้นเราก็ต้อง “เชื่อใจ” นักการเมืองที่อ่อนแอ กลุ่มผลประโยชน์ และคนแปลกหน้าบนอินเทอร์เน็ตว่าจะไม่ฉวยประโยชน์จากความไร้การป้องกันของเรา
      เมื่อรวม AI เข้าไปด้วย ความเสี่ยงและความเสียหายจากการอยู่นิ่ง ๆ จะรุนแรงขึ้นอย่างสุดขั้ว
    • ผมคิดว่าจำเป็นต้องมีการจำกัดอายุ
      คุณก็คงเหมือนผม เป็นผู้ชายสูงวัย และเป็นรุ่นที่เคยท่องอินเทอร์เน็ตอย่างเสรีก่อนที่ความสัมพันธ์ระหว่างผู้คนจะถูกทำให้เป็นเชิงพาณิชย์ ได้ค้นพบสิ่งและผู้คนเจ๋ง ๆ และใช้เวลาเรียนรู้ในพื้นที่ที่เหมือนหอสมุดอเล็กซานเดรีย
      แต่เราควรถามคน Gen Z และคนรุ่นที่อายุน้อยกว่านั้น โดยเฉพาะเด็กผู้หญิง ว่าอินเทอร์เน็ตเป็นประสบการณ์แบบไหนสำหรับพวกเขา
      คุณเคยพยายามเล่นเกมออนไลน์สบาย ๆ กับเพื่อน ๆ แล้วถูกผู้ชายผู้ใหญ่ 3-4 คนคุกคามไม่หยุดไหม
      คุณเคยถูกเสนอเงินในรูปแบบอย่าง “loot box” เพื่อแลกกับการส่งรูปเปลือยให้ ในฐานะผู้เยาว์ บ่อยแค่ไหน
      ทุกเว็บไซต์ที่คุณเข้าไปมีอัลกอริทึมยัดเยียดเนื้อหาที่บอกให้ยอมรับโรคคลั่งผอม ให้พนันว่า Trump จะพูดอะไรในทีวี ให้เสพยา หรือให้ฆ่าตัวตายไปเลยหรือเปล่า
      คนรุ่นลุงอย่างเราควรหยุดถวิลหาประสบการณ์คอมพิวเตอร์ในวัยเด็ก แล้วรับฟังเด็ก ๆ และงานวิจัยที่เกี่ยวข้อง
      อินเทอร์เน็ตของเหล่าคนประหลาดใจดีและ nerd ในวันวานไม่มีอยู่อีกแล้ว และถ้าอยากเหลือสังคมที่ทำงานได้ดีไว้แม้เพียงเล็กน้อย มันก็ต้องเปลี่ยน
  • หากการเข้าชมเว็บไซต์ต้องใช้ หลักฐานรับรองจากรัฐบาลแบบรายบุคคล รัฐบาลก็จะสามารถปฏิเสธหรือเพิกถอนสิทธิ์การเข้าถึงของบุคคลต่อเว็บไซต์ใด ๆ ที่นำการยืนยันอายุมาใช้ได้แบบไดนามิกทุกเมื่อ
    เมื่อเว็บไซต์สำหรับผู้ใหญ่นำระบบนั้นมาใช้ มันจะแพร่ไปยังเว็บไซต์อื่น ๆ ที่ต้องการลดความรับผิด
    ธนาคาร บริการธุรกิจ และสุดท้ายอาจลามไปแทบทุกแห่ง
    รัฐบาลจะขยายและทำให้ปัญหาความรับผิดดูใหญ่เกินจริง แต่จะไม่ผ่านกฎหมายที่สร้างเขตปลอดภัยด้านความรับผิดเกี่ยวกับอายุ
    Wikipedia เองก็กำลังต่อสู้เพื่อหลีกเลี่ยงการนำการยืนยันอายุมาใช้แล้ว
    การยืนยันอายุที่รัฐบาลบริหารหมายความว่า แม้แต่ Wikipedia ก็จะเข้าถึงไม่ได้หากไม่มีใบอนุญาตจากรัฐบาลที่ถูกติดตาม ควบคุม และเพิกถอนได้เป็นรายบุคคล https://www.eff.org/deeplinks/2025/07/we-support-wikimedia-f...
    มีน้อยครั้งที่ ข้อโต้แย้งแบบทางลาดลื่น จะลื่นจริงได้ถึงขนาดนี้
    ไม่มีแม้แต่กำแพงทางเทคนิคระหว่างการเข้าถึงเว็บไซต์สำหรับผู้ใหญ่อย่างชัดเจนภายใต้การควบคุมของรัฐบาลรายพลเมือง กับการเข้าถึงเว็บไซต์ทุกแห่งที่มีเนื้อหาจริงจังโดยต้องได้รับอนุญาตและอยู่ภายใต้การควบคุมของรัฐบาล
    มันจะเป็นเพียงเส้นโค้งการนำไปใช้ของเว็บไซต์เท่านั้น และทุกครั้งที่มีการนำไปใช้เพิ่มขึ้น ขอบเขตการเฝ้าระวังแบบเรียลไทม์ของรัฐบาลในชีวิตระดับนาทีต่อนาทีก็จะกว้างขึ้น รวมถึงความสามารถในการปฏิเสธการเข้าถึงที่ต้องการ ต่อเป้าหมายที่ต้องการ ในเวลาที่ต้องการ
    ดิสโทเปียมาถึงแล้ว และนี่น่ากลัว
    ทางออกที่ดูจำเป็นคือหลักฐานรับรองจากบุคคลที่สามที่ใครก็ตามซึ่งผ่านเกณฑ์สาธารณะสามารถให้บริการได้ หลักฐานที่จำกัดไว้เฉพาะการพิสูจน์อายุ และการใช้งานที่อิง zero-knowledge proof
    ต้องสร้างทางเลือกที่นิรนาม ไม่ถูกเฝ้าระวัง และไม่สามารถปฏิเสธเป็นรายบุคคลได้ เพื่อหักแรงขับในการขยายอำนาจรัฐ
    ถ้านักเทคโนโลยีที่ใส่ใจด้านความปลอดภัยและตลาดแก้ปัญหานี้ไม่ได้ เวอร์ชันที่ทำลายเสรีภาพจะเป็นฝ่ายชนะ และจะย้อนกลับได้ยาก

    • ไม่จำเป็นต้องมีทั้งหลักฐานพิสูจน์อายุหรือ หลักฐานพิสูจน์ตัวตน ใด ๆ เลย
    • ประเด็นนี้ควรถูกเน้นมากกว่านี้
      เมื่อเว็บไซต์สำหรับผู้ใหญ่นำระบบมาใช้ มันจะแพร่ไปยังทุกเว็บไซต์ที่ต้องการลดความรับผิด และธนาคารกับบริการธุรกิจ รวมถึงท้ายที่สุดแทบทุกแห่งก็อาจทำตาม
      ต่อให้เป็น zero-knowledge proof ทันทีที่การพิสูจน์กลายเป็นเรื่องสะดวกและแพร่หลาย มันก็จะขยายออกไป และอีกไม่นานสิ่งที่ถูกรับรองจะไม่ใช่แค่อายุอีกต่อไป
  • ตรงนี้ การใช้คำว่า ความรู้เป็นศูนย์ ดูเหมือนจะเกินจริงไปหน่อย
    ในทางปฏิบัติ มันใกล้เคียงกับการแบ่งข้อมูลออกเป็นส่วน ๆ แล้วแชร์เฉพาะส่วนที่เกี่ยวข้องให้แต่ละฝ่ายมากกว่า
    และดูเหมือนว่า Google ซึ่งทำหน้าที่เป็นตัวกลาง อาจมีโอกาสเข้าถึงข้อมูลได้มากที่สุดในบรรดาฝ่ายที่เกี่ยวข้อง

    • Zero-knowledge proof เป็นเครื่องมือที่รู้จักกันดีในวิทยาการเข้ารหัสลับ https://en.wikipedia.org/wiki/Zero-knowledge_proof
      Google แค่แชร์ไลบรารีที่นำสิ่งนี้ไปใช้งาน และน่าจะไม่สามารถเข้าถึงข้อมูลนี้ได้ เช่นเดียวกับที่ Google เข้าถึงข้อมูลธนาคารของผู้ใช้ Android หรือ Gmail ไม่ได้
    • ถ้าเป็น การตั้งค่า zero-knowledge proof จริง ๆ ก็สามารถทำให้ไม่มีใครรู้อะไรมากไปกว่าข้อมูลขั้นต่ำสุดที่จำเป็นได้
      เช่น รู้แค่ว่า “อายุมากกว่า 16 ปีหรือไม่” แทนที่จะรู้วันเดือนปีเกิด
      แต่การพิสูจน์เรื่องนี้ทำได้ยาก และก็ยากที่จะเชื่อใจว่า Google จะทำแบบนั้น
    • ในอุดมคติ รัฐบาลควรเป็นทั้งผู้ออกเอกสารและตัวกลาง แต่สหรัฐฯ ขาด ขีดความสามารถระดับชาติ ที่จะทำสิ่งนี้
      ใน Estonia อาจทำแบบนั้นได้
    • Google ได้บุกเบิกเทคโนโลยีบางอย่างที่ทำให้ตัวเองเป็น ดีลเลอร์ที่เชื่อถือได้ เช่น Private State Tokens
      พวกเขาเขียน论文เกี่ยวกับวิธีตรวจสอบอายุแบบรักษาความเป็นส่วนตัวอย่างสมบูรณ์ และไม่จำเป็นต้องใช้ zero-knowledge proof ด้วยซ้ำ
      https://magarshak.com/papers/Personal.pdf
  • ในเธรดนี้มีอคติเยอะ แต่คิดว่าน่าจะคุยเชิงเทคนิคกันได้
    ผมไม่ได้ลงลึกในหัวข้อนี้มากนัก เลยอยากให้ใครสักคนช่วยตอบ
    สงสัยว่าจริง ๆ แล้วสิ่งนี้เป็น ความรู้เป็นศูนย์ แค่ไหน
    ตามที่ผมเข้าใจ มีสามฝ่าย: ผม, เว็บไซต์ที่พยายามเข้าถึง, และผู้พิสูจน์ (Google หรือรัฐบาล?)
    เว็บไซต์รู้หรือไม่ว่าผมเป็นใคร
    เว็บไซต์รู้หรือไม่ว่าผู้พิสูจน์ของผมคือใคร และสามารถอนุมานได้ถึงขั้นว่า เช่น ผู้พิสูจน์คนนั้นไม่ชอบมีม Winnie-the-Pooh หรือไม่
    ผู้พิสูจน์รู้หรือไม่ว่าผมกำลังพยายามดูเว็บไซต์ไหนหรือเนื้อหาประเภทใด
    ผู้พิสูจน์รู้หรือไม่ว่าผมเป็นใคร
    ผมรู้ได้เสมอหรือไม่ว่าเว็บไซต์กับผู้พิสูจน์คือใคร และการพิสูจน์นี้เกิดขึ้นเมื่อใด

    • ตอบจากประสบการณ์เกี่ยวกับ zero-knowledge proof ในที่นี้ “ผู้พิสูจน์” ควรมองว่าเป็นหน่วยงานที่ให้หลักฐานของข้อมูล หรือออกข้อมูลรับรองที่ต้องการพิสูจน์
      ตัวอย่างทั่วไปคือการพิสูจน์ อายุ ≥ n ด้วยบัตรประจำตัวที่ออกโดยรัฐบาล
      เว็บไซต์ไม่รู้ว่าคุณเป็นใคร
      ประเด็นสำคัญคือการสร้างหลักฐานเชิงคณิตศาสตร์ว่าคุณมีบัตรประจำตัวรัฐบาลที่ถูกต้อง และในนั้นระบุว่า “อายุ ≥ n”
      เว็บไซต์สามารถรู้ผู้ออกได้
      เพราะการพิสูจน์อิงกับข้อมูลที่ผู้พิสูจน์ใช้เป็นฐาน ในกรณีนี้จึงต้องรู้ว่ารัฐบาลใดออกบัตรประจำตัว เพื่อให้การพิสูจน์นั้นมีความหมาย
      ผู้พิสูจน์ไม่จำเป็นต้องรู้เว็บไซต์ในกระบวนการนี้
      รู้แค่ว่าตัวเองเคยออกบัตรประจำตัว และไม่จำเป็นต้องถูกเรียกตรวจสอบอีกภายหลัง
      อย่างไรก็ตาม สามารถออกแบบให้ต้องใช้ zero-knowledge proof ของการอนุญาตเป็นลายลักษณ์อักษรล่าสุดจากหน่วยงานบางแห่งได้ แต่นั่นไม่ใช่แก่นแท้ของ zero-knowledge proof
      ผู้ใช้จะรู้เสมอหรือไม่เป็นเรื่องของประสบการณ์ผู้ใช้
      ถ้า wallet และเว็บไซต์ถูกทำให้แสดงเสมอว่ามีการร้องขอข้อมูลรับรองเมื่อใดและชนิดใด ก็เป็นไปได้
    • ผมก็ไม่ใช่ผู้เชี่ยวชาญ แต่เคยศึกษาเล็กน้อยและลองทำบางอย่างดู
      ในที่นี้ผู้พิสูจน์ไม่ใช่ Google
      Google เพียงให้ โครงสร้างพื้นฐาน สำหรับสร้างและตรวจสอบหลักฐานเท่านั้น และควรเรียกผู้พิสูจน์ว่าเป็นผู้ออก หรือหน่วยงานที่เชื่อถือได้ซึ่งให้หลักฐานยืนยันตัวตน
      โฟลว์ที่เป็นไปได้มีดังนี้
      ก่อนอื่น ผู้ออก เช่น รัฐบาล ธนาคาร หรือผู้ให้บริการโทรศัพท์มือถือ จะออกข้อมูลรับรองที่ลงนามแล้วให้กับ wallet ของผม เช่น ในโทรศัพท์
      สิ่งนี้อาจเป็นบัตรประจำตัวดิจิทัลแบบเต็มรูปแบบ หรืออาจเป็น “หลักฐานยืนยันอายุ” ที่แคบกว่าก็ได้
      จากนั้นเว็บไซต์จะขอให้เบราว์เซอร์พิสูจน์ว่าเป็นไปตามเงื่อนไขอย่าง age >= 18
      เว็บไซต์จะให้ “zk-program” (วงจร) ที่ต้องรัน และรอหลักฐานว่าโปรแกรมถูกเรียกใช้กับอินพุตที่เชื่อถือได้แต่ไม่เปิดเผย
      โทรศัพท์รู้ข้อมูลรับรองที่มีลายเซ็นจากผู้ออกที่ถูกต้อง และสร้าง zero-knowledge proof ว่าแอตทริบิวต์ที่ซ่อนอยู่นั้นเป็นไปตามเงื่อนไข
      ในอุดมคติจะสร้างในเครื่อง แต่ตอนนี้ยังไม่พร้อมนัก
      เว็บไซต์ตรวจสอบหลักฐานด้วยอินพุตสาธารณะ เช่น public key ของผู้ออก, วงจรที่ใช้, เงื่อนไขที่ร้องขอ, และ nonce/challenge ใหม่
      ดังนั้นจากตัว zero-knowledge proof เอง เว็บไซต์ไม่รู้ว่าผมเป็นใคร แต่จะรู้ว่าใครออก ID ให้ผม
      เว็บไซต์รู้ public key ของผู้พิสูจน์ และผู้พิสูจน์ไม่รู้ว่าผมเข้าชมเว็บไซต์ใด
      ผู้พิสูจน์รู้ว่าผมเป็นใคร
      ส่วนผู้ใช้จะรู้เว็บไซต์ ผู้พิสูจน์ และเวลาที่พิสูจน์หรือไม่ สามารถเป็นไปได้หลายแบบขึ้นอยู่กับประสบการณ์ผู้ใช้ที่นำไปใช้งาน
    • พยายามหาเอกสารที่ฟันธงได้แล้ว แต่มีเวลาไม่พอ จึงเป็นการคาดเดาที่ค่อนข้างทั่วไป
      เว็บไซต์ไม่รู้ว่าผู้ใช้เป็นใคร
      นั่นคือจุดประสงค์ทั้งหมดของวิธีนี้
      เว็บไซต์รู้ว่าผู้พิสูจน์คือใคร
      เพราะต้องทำ การตรวจสอบด้วยการเข้ารหัสแบบอสมมาตร ต่อหลักฐาน จึงต้องมีรายการ public key และสามารถผูกคีย์นั้นเข้ากับตัวตนของผู้พิสูจน์ได้
      ผู้พิสูจน์ไม่ควรรู้ว่าผมกำลังจะดูเนื้อหาอะไร
      ถ้าเป็น JWT ก็สามารถตรวจสอบได้โดยไม่ต้องแจ้งผู้พิสูจน์ว่ากำลังตรวจสอบหลักฐานของผู้ใช้คนใด
      แต่ถ้ามี API ประเภท “หลักฐานนี้ถูกเพิกถอนหรือไม่” ก็อาจสร้างช่องทางข้อมูลกลับขึ้นมาโดยไม่ตั้งใจ
      ผู้พิสูจน์รู้ว่าผู้ใช้เป็นใคร หรืออย่างน้อยก็มีข้อมูลผู้ใช้บางส่วนที่จะนำไปพิสูจน์ให้ผู้อื่น
      ในทางปฏิบัติคงต้องนึกถึงข้อมูลบัญชี Google, Apple, Microsoft หรือธนาคาร เป็นต้น
      ผู้ใช้จะรู้เว็บไซต์และผู้พิสูจน์เสมอหรือไม่นั้น ในทางเทคนิคเป็นไปได้ แต่จากมุมมองของมนุษย์จริง ๆ ยังน่าสงสัย
      ผมเป็นพนักงาน Google แต่ห่างจากโปรเจกต์นี้มาก จึงไม่มีความรู้ภายใน
    • จริง ๆ แล้วรู้ได้ยาก
      ระบบอาจเป็น zero-knowledge proof ที่ถูกต้อง แต่บริการจริง ๆ ยังอาจเก็บข้อมูลที่ระบุตัวบุคคลจากผู้ใช้ได้อยู่
      อีกทั้งไม่มีอะไรป้องกันไม่ให้ผู้พิสูจน์สมรู้ร่วมคิดกับเว็บไซต์ที่คุณพยายามเข้าถึงเพื่อเปิดเผยข้อมูลเกี่ยวกับคุณ
    • Computer Scientist Explains One Concept in 5 Levels of Difficult
      https://www.youtube.com/watch?v=fOGdb1CTu5c
      วิดีโอนี้อธิบายได้ดีมาก
  • เป็นเรื่องน่าสงสัยที่ การรับรองอายุ กลายเป็นกระแสขึ้นมาพอดีกับช่วงที่ AI agent กำลังจะสามารถควบคุมคอมพิวเตอร์ส่วนบุคคลได้เองเหมือนพนักงานออฟฟิศที่เป็นมนุษย์
    กังวลว่าการรับรองอายุอาจไม่ได้เกี่ยวข้องกับ “เด็ก ๆ” เลย

    • สมมติฐานนั้นผิด
      ปัญหานี้มีมานานเท่ากับที่เด็ก ๆ อยู่บนโลกออนไลน์
      ช่วงต้นทศวรรษ 2000 เคยลองใช้บัตรเครดิตแล้ว และแน่นอนว่าล้มเหลว
      สหราชอาณาจักรก็พยายามใช้วิธีแบบนี้เพื่อกันไม่ให้ผู้เยาว์เข้าถึงสื่อลามกตลอด 10 ปีที่ผ่านมา แต่ก็ล้มเหลว
      เครื่องมือ AI คงไม่อยู่ในเรดาร์ของนักการเมืองที่ยังผลักดันเรื่องพวกนี้ต่อไปด้วยซ้ำ
    • ควรกลัวจริง ๆ
      มาตรการเหล่านี้และมาตรการ ละเมิดความเป็นส่วนตัว อื่น ๆ ไม่เคยเกี่ยวข้องกับเด็ก ๆ เลย
    • ประเด็นหลักของการพิสูจน์แบบไม่เปิดเผยข้อมูลใน EU Wallet คือการแยก การยืนยันอายุกับความเป็นส่วนตัว ออกจากกัน
      สามารถพิสูจน์อายุได้โดยไม่สูญเสียความเป็นส่วนตัว
  • อายุเป็นเพียงหนึ่งในตัวชี้วัดเท่านั้น
    ไม่ได้ต้องการ เทคโนโลยี zero-knowledge สำหรับข้อมูล X และไม่อยากให้มีตัวตนดิจิทัลตั้งแต่แรก
    จบแค่นี้

    • เทคโนโลยีนี้สามารถใช้ทำ zero-knowledge proof สำหรับ “อายุ 18 ปีขึ้นไป” หรือ “อายุต่ำกว่า 18 ปี” ได้
      ดังนั้นจึงไม่ได้เอาอายุจริงไป แต่รู้แค่ว่าอยู่ในหนึ่งในสองหมวดกว้าง ๆ เท่านั้น
  • “Zero-knowledge proof ช่วยให้บุคคลพิสูจน์ได้ว่าข้อเท็จจริงบางอย่างเกี่ยวกับตนเป็นจริง โดยไม่ต้องแลกเปลี่ยนข้อมูลอื่น เช่น ผู้เยี่ยมชมเว็บไซต์สามารถพิสูจน์ได้แบบตรวจสอบได้ว่าตนมีอายุ 18 ปีขึ้นไป โดยไม่แชร์สิ่งอื่นใด”
    แต่นั่นไม่ได้แปลว่า “ไม่แชร์อะไรเลยแม้แต่ตอนตั้งค่าโทเคน”
    จะพิสูจน์ได้ไหมว่าโทเคนคริปโตใด ๆ A) ไม่มีข้อมูลที่ระบุตัวบุคคลได้ และ B) ตัวโทเคนเองไม่สามารถถูกใช้เป็น ID ที่เชื่อมโยงกับตัวตนของฉันในฐานข้อมูลของ Google หรือรัฐบาลได้
    ทั้งสองอย่างเป็นไปไม่ได้ ดังนั้นจึงไม่สนับสนุน แนวทางแบบโทเคน เช่นนี้

    • ตามที่ผมเข้าใจ zero-knowledge proof สามารถพิสูจน์คุณสมบัติทั้งสองข้อนั้นได้
      คุณรับใบรับรองจากหน่วยงานที่เชื่อถือได้ซึ่งตรวจสอบว่าคุณอายุ 18 ปีขึ้นไป แล้วใช้มันสร้างโทเคนที่มีเพียงข้อมูลว่า “X ได้ตรวจสอบแล้วว่าฉันอายุ 18 ปีขึ้นไป”
      ทั้งผู้ตรวจสอบเดิมและฝ่ายที่รับโทเคนไม่ควรจะเชื่อมโยงสิ่งนี้กลับไปยังใบรับรองเดิมได้
      ดูหัวข้อ 2 ของเอกสารนี้: https://eudi.dev/2.4.0/discussion-topics/g-zero-knowledge-pr...
      ถ้ามีข้อโต้แย้งว่าในทางเทคนิคแล้วทำให้สำเร็จจริงได้ยาก ก็อยากทราบ
      อีกทั้งโครงสร้างแบบนี้น่าจะตอบโจทย์กฎหมายยืนยันอายุส่วนใหญ่ที่กำลังถูกเสนอทั่วโลกได้
      แม้จะจัดเป็นสองแผนกในบริษัทเดียวกัน ก็ยังพิสูจน์ได้ว่าเห็น ID ของผู้ใช้ทั้งหมดแล้ว แต่ไม่สามารถเชื่อมโยงชื่อผู้ใช้กับ ID ได้
      ถึงอย่างนั้นก็ยังจัดการข้อมูลที่ระบุตัวบุคคลได้ จึงมีความเสี่ยงข้อมูลรั่วไหล ไม่ใช่ทางเลือกที่ดีที่สุด แต่ก็ดีกว่าวิธีที่ส่วนใหญ่ทำอยู่ตอนนี้มาก
    • แน่นอนว่าใช้ตัวโทเคนอย่างเดียวไม่ได้
      วิธีที่ตั้งใจไว้คือให้รัฐบาลซึ่งมีข้อมูลอายุอยู่แล้วสามารถสร้าง ข้อความที่ลงนามแล้ว ได้ และแพลตฟอร์มที่ตรวจสอบอายุจะรู้เพียงว่าคุณเป็นผู้ใหญ่ โดยไม่รู้ว่าคุณเป็นใครหรืออายุที่แน่ชัด
  • Zero-knowledge proof เพื่อจุดประสงค์นี้เป็นม้าโทรจันสำหรับการติดตามตัวตนและการพิสูจน์อุปกรณ์
    เพราะจำเป็นต้องมีเงื่อนไขตั้งต้นแบบนั้นเพื่อป้องกันไม่ให้ทุกคนผลิตหลักฐานว่าเป็นผู้ใหญ่จำนวนมากแล้วแจกฟรี
    ในการลงนามสัญญาและการชำระเงินมันทำงานได้เพราะมีแรงจูงใจในตัวเอง แต่การพิสูจน์อายุไม่มี

  • สุดท้ายคงจะมีการอ้างว่า “เพราะสามารถแชร์หลักฐานกันได้ จึงต้องมี จุดตรวจสอบที่เชื่อถือได้ เพื่อยืนยันว่าคนที่ถือโทเคน zero-knowledge จริง ๆ ในขณะนี้คือคุณ”
    แล้วอาจบอกให้เปิดกล้องสมาร์ตโฟนและทำตามคำสั่งยืนยันตัวตนด้วยชีวมิติอย่างว่าง่าย

    • ง่ายกว่านั้นคืออ้างว่านำไปใช้แล้ว แต่จริง ๆ แค่เก็บข้อมูลไว้ก็ได้
      ดูเหมือนรัฐบาลไม่ได้กำลังดำเนินมาตรการเพื่อกำกับดูแลอะไรเพิ่มเติมอีกแล้ว และอาจจะไม่มีต่อไปด้วย
    • อาจเป็นอย่างนั้นได้ แต่เราควรทำให้พวกเขาต้องอ้างเช่นนั้นหลังจากที่เราแสดงให้เห็นแล้วว่าสามารถยืนยันอายุได้โดยไม่ต้องระบุตัวตนกับทุกเว็บไซต์
      แบบนั้นจะเผยให้เห็นว่าพวกเขาไม่ได้กำลังหาทางออกที่ใช้งานได้จริง
  • ต้องมี “วิธีอธิบาย zero-knowledge proof ให้สมาชิกสภานิติบัญญัติเข้าใจ”

    • “อย่าทำการรับรองอายุเด็ดขาด”
      แค่นี้ก็พอ
    • สมาชิกสภานิติบัญญัติสหรัฐฯ มักไม่ได้ถูกขับเคลื่อนด้วยผลประโยชน์ของคนทั่วไป คงไม่มีความหมายมากนัก