EU-Altersverifikation: Was ist das Problem?

 (blog.vrypan.net)
1 Punkte von GN⁺ 10 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Die Altersverifikation der EU basiert standardmäßig nicht auf dem Hochladen von Ausweisen oder Gesichtsscans, sondern auf einer Struktur, die nur die jeweils nötige Tatsache nachweist; viele Kritiken verfehlen daher den Kern.
  • Anstatt dass eine Website Name, Geburtsdatum oder ID-Nummer erhält, ist die Grundeinheit ein signierter Altersnachweis, der nur prüft, ob ein Schwellenwert erfüllt ist, etwa age >= required_age.
  • Wenn dieselbe Berechtigung auf mehreren Websites wiederholt vorgezeigt wird, können Besuchsverläufe miteinander verknüpft werden; deshalb sind Verfahren wie selektive Offenlegung oder Zero-Knowledge-Proofs nötig, um diese Korrelation zu verringern.
  • Der EU Age Verification Blueprint verwendet Proof of Age attestations, relying parties, attestation providers, age-verification apps und trust lists und ist mit der Architektur der European Digital Identity Wallet verzahnt.
  • Datenschutz ist nicht allein durch das Design garantiert; verhindert werden müssen auch Implementierungsfehler wie die Wiederverwendung stabiler Identifikatoren, Echtzeitabfragen beim Aussteller, zentrale Logs, Wallet-Telemetrie, Fingerprinting oder nicht öffentliche Implementierungen.

Der Kern der Debatte über Altersgrenzen

  • In der Debatte über Online-Altersverifikation vermischt sich die technische Umsetzung mit der grundsätzlichen Ablehnung von Altersgrenzen selbst.
  • Aus dieser Perspektive ist selbst ein datenschutzfreundliches Design schwerlich eine ausreichende Lösung.
  • Kinder und Jugendliche im Alter von 9, 10 oder 14 Jahren sind nicht darauf vorbereitet, Risiken wie Manipulation, Suchtspiralen, sexuelle Inhalte, Glücksspielmechaniken, Grooming, Belästigung oder algorithmische Radikalisierung allein zu bewältigen.
  • Eltern können für kleine Kinder klare Grenzen setzen, doch in der Jugend braucht es auch Raum, um eigenständig zu handeln, Entscheidungen zu treffen und mit anderen zu kommunizieren.
  • Die Gesellschaft kennt bereits Altersgrenzen beim Fahren, Trinken, Glücksspiel oder beim Zutritt zu bestimmten Orten; dasselbe Prinzip kann auch für Teile des Internets gelten.
  • Die schwierigere Frage ist nicht, ob Altersgrenzen legitim sind, sondern wie sie durchgesetzt werden können, ohne das Internet in einen Identitätskontrollpunkt zu verwandeln.

Überwachungsrisiken durch schlechte Umsetzung

  • Wenn Online-Altersverifikation über Ausweisscans, Passport-Uploads, Selfies oder Gesichtsscans umgesetzt wird, steigen die Datenschutzrisiken erheblich.
  • Um auf Pornoseiten, Glücksspielseiten, Online-Alkoholshops oder religiösen Foren die Volljährigkeit nachzuweisen, sollte niemand Name, Geburtsdatum, ID-Nummer, Gesicht, Adresse oder Reisepass preisgeben müssen.
  • Auch das Einloggen über einen vertrauenswürdigen Dritten schafft neue Probleme.
    • Wenn Banken, Google, Apple, Mobilfunkanbieter oder staatliche Identitätsdienste die Verifikation übernehmen, müssen Dokumente zwar nicht direkt an die Website übermittelt werden.
    • Dafür erfährt dann der Identitätsanbieter, welche altersbeschränkten Websites ein Nutzer besucht.
  • Im einen Modell kennt die Website die Identität des Nutzers, im anderen kennt der Identitätsanbieter dessen Besuchsziele — beides ist riskant.

Die bessere Grundeinheit: signierter Altersnachweis

  • Ein besseres Design beginnt damit, nur die tatsächlich nötige Tatsache zu belegen.
  • Eine Website muss weder Namen, Geburtsdatum oder ID-Nummer kennen noch wissen, ob jemand 19, 37 oder 74 Jahre alt ist.
  • Benötigt wird lediglich der Nachweis, dass folgende Bedingung erfüllt ist:
age >= required_age
  • Das Offline-Analogon wäre eine amtliche Karte, auf der nur „über 18“ steht und die am Eingang eines altersbeschränkten Ortes vorgezeigt wird.
    • In einer Behörde wird das Alter anhand von Reisepass oder nationalem Ausweis geprüft.
    • Die ausgegebene Karte enthält nur eine einzige Aussage wie „18+“.
    • Der Betreiber des Ortes prüft nur die Echtheit der Karte und erfährt weder Namen, Geburtsdatum noch ID-Nummer.
  • Digital lässt sich dieselbe Struktur mit Kryptographie umsetzen.
    • Ein zugelassener Aussteller prüft das Alter einmalig.
    • Danach stellt er eine signierte Berechtigung aus.
{
  "claim": "age_over_18",
  "value": true,
  "issuer": "Trusted Age Attestation Provider",
  "valid_until": "2027-12-31"
}

signature = Sign(issuer_private_key, attestation)
Verify(issuer_public_key, attestation, signature)
  • Entscheidend ist, dass die Website nicht jedes Mal den Aussteller kontaktieren muss.
    • Die Website prüft nur, ob der Nachweis von einem vertrauenswürdigen Aussteller signiert wurde und noch gültig ist.
    • Der Aussteller weiß dadurch weder, wo der Nutzer den Nachweis verwendet hat, noch ob er überhaupt genutzt wurde.

Die Struktur des EU-Ansatzes

  • Im Zentrum des EU Age Verification Blueprint steht eine Architektur auf Basis von Proof of Age attestations.
  • Das System besteht aus relying parties, attestation providers, age-verification apps und trust lists.
  • Dieser Ansatz ist auf die Architektur der European Digital Identity Wallet abgestimmt.
  • Nutzer können nachweisen, dass sie über einem bestimmten Alter liegen, ohne ihr genaues Alter oder ihre Identität offenzulegen.
  • Relevante Dokumente
    • EU Age Verification Solution: Ein System im Einklang mit dem Digital Services Act, eIDAS 2.0 und dem European Digital Identity Wallet Architecture and Reference Framework, das Nachweisformate, Protokolle und Bindungen an Vertrauensmodelle für Interoperabilität verwendet
    • Commission age-verification blueprint: Nutzer können für eingeschränkte Erwachsenen-Inhalte nachweisen, dass sie mindestens 18 Jahre alt sind, ohne weitere personenbezogene Daten offenzulegen; die Lösung basiert auf Open-Source-Technologie und ist für die künftige Interoperabilität mit der European Digital Identity Wallet ausgelegt
    • EU-wide age verification common approach: Nutzer können nachweisen, dass sie ein bestimmtes Alter wie 15, 18 oder 65 erreicht haben, ohne ihr genaues Alter oder ihre Identität preiszugeben

Selektive Offenlegung und Zero-Knowledge-Proofs

  • Ein signierter Nachweis ist besser, als auf jeder Website den Ausweis hochzuladen, aber wenn dieselbe Berechtigung auf mehreren Websites vorgelegt wird, kann dennoch eine Korrelation der Besuche entstehen.
  • Auch ohne Namen könnten mehrere Websites erkennen, dass derselbe anonyme Erwachsene site A, site B und site C besucht hat.
  • Ein stärkerer Ansatz nutzt selektive Offenlegung oder Zero-Knowledge-Proofs.
  • Die Wallet zeigt den ursprünglichen Nachweis dabei nicht direkt vor, sondern beweist folgende Aussagen:
    • dass sie einen gültigen, von einem vertrauenswürdigen Aussteller signierten Proof of Age attestation besitzt
    • dass dieser Nachweis age >= 18 erfüllt
  • Die technischen EU-Dokumente behandeln die Erzeugung eines zkSNARK-Proofs aus einem Proof of Age attestation.
    • Die App kodiert den Nachweis als privaten Input eines Schaltkreises.
    • Sie verwendet öffentliche Inputs wie den öffentlichen Schlüssel des attestation providers.
    • Daraus wird ein verifizierbarer zkSNARK-Proof erzeugt.
  • Statt „Hier ist mein Ausweis“, „Hier ist mein Geburtsdatum“ oder „Hier ist mein signierter Altersnachweis“ vorzulegen, präsentiert man also einen „kryptographischen Beweis dafür, dass ich eine gültige Berechtigung besitze, die belegt, dass ich 18 oder älter bin“.
  • Relevante Dokumente
    • EU ZKP technical annex: Beschreibt die Erzeugung eines zkSNARK-Proofs, bei der ein Proof of Age attestation als privater Input kodiert wird und nur öffentliche Verifikationsinputs wie der öffentliche Schlüssel des attestation providers offengelegt werden
    • Verifier developer guide: Ein standardmäßiger mdoc-Nachweis ist ein signierter Beleg dafür, dass ein Nutzer einen Altersschwellenwert erfüllt; ZKP ist ein erweitertes Nachweisformat mit stärkerem Datenschutz und ohne verknüpfbare Identifikatoren

Implementierungsbedingungen, die den Datenschutz brechen

  • Auch eine datenschutzfreundliche Architektur hält ihre Versprechen nicht, wenn sie falsch implementiert wird.
  • Die folgenden Bedingungen können die Datenschutzgarantien des EU-Ansatzes aushebeln:
    • stabile Identifikatoren, die zwischen Websites wiederverwendet werden
    • eine Architektur, die bei jeder Altersprüfung den Aussteller kontaktiert
    • zentrale Logs von Verifikationsereignissen
    • Wallet-Telemetrie, die protokolliert, welche relying party einen Nachweis angefordert hat
    • Verhalten von Websites, die mehr Attribute anfordern als nötig
    • schwache Wallet-Sicherheit
    • schlechte UX, die Nutzer dazu verleitet, übermäßig viele Informationen preiszugeben
    • Browser- oder Geräte-Fingerprinting, das anonyme Nachweise miteinander verknüpft
    • Widerrufsprüfungen, die offenlegen, wo eine Berechtigung verwendet wurde
    • geschlossene, nicht auditierte nationale Implementierungen
  • Im Mittelpunkt der Datenschutzdebatte sollte daher nicht die pauschale Ablehnung von Altersverifikationssystemen stehen, sondern die nötigen Kontrollen, damit reale Implementierungen diese Architektur tatsächlich einhalten.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 10 시간 전
Meinungen auf Lobste.rs

  • Es gibt einen Punkt in diesem Beitrag, dem ich voll zustimme: Wenn man Altersverifikation grundsätzlich ablehnt, kann keine Lösung zufriedenstellend sein. Das halte ich für richtig.

    • Was wäre deiner Meinung nach das stärkste Argument gegen Altersverifikation, wenn man annimmt, dass sie vollständig datenschutzwahrend umgesetzt wird?
    • Ich bin grundsätzlich nicht gegen Altersverifikation, aber das heißt nicht, dass ich jede Lösung gut finde.
      Diese EU-Lösung wirkt auf mich allerdings vernünftig. Ich würde es begrüßen, wenn sie so schnell wie möglich verpflichtend würde, erkenne aber auch an, dass das aus praktischen Gründen vielleicht nicht passiert.

  • Der Blogbeitrag begründet das mit Online-Räumen, die Menschen schaden, etwa durch Manipulation, Suchtspiralen, Glücksspielmechaniken, Grooming, Belästigung und algorithmische Radikalisierung, und der Text selbst erkennt an, dass diese Dinge auch für Erwachsene schädlich sind.
    Warum es dann besser sein soll, Jugendliche mithilfe des Stellvertreters Alter aus einigen kontrollierbaren Räumen auszuschließen, sie von Communitys und Ressourcen fernzuhalten und insbesondere verletzlichen Gruppen wie queeren Jugendlichen wichtige Räume zu nehmen oder sie in unkontrollierte Räume abzudrängen, statt schädliches Verhalten gesetzlich direkt zu verbieten und damit allen zu helfen, ist für mich nicht nachvollziehbar.
    Immerhin ein Blog, das Kritik erst als „ahnungslos oder absichtlich irreführend“ bezeichnet und dann mit einer falschen Dichotomie beginnt.

    • Wenn Sperren auf ISP-Ebene und Altersverifikation für VPNs eingeführt werden, dürften solche unkontrollierten Räume größtenteils verschwinden.
      Das Nervigste an der Debatte über Altersverifikation ist, dass fast niemand über die eigentliche Ursache spricht. Das Problem sind die Unternehmen der Tech-Feudalherren, die Kinder und Erwachsene in eine dauerhafte Dopaminstimulation hinein süchtig machen.
      Statt Altersverifikation einzuführen, sollte man süchtigkeitsoptimierte algorithmische Feeds wie bei YouTube Shorts, TikTok und Facebook verbieten. Sie schaden Kindern wie Erwachsenen und machen Lügen, Desinformation und Polarisierung salonfähig und zerreißen damit das Gewebe der Demokratie.
      Man sollte nicht länger zulassen, dass man Milliarden verdient, während man die Gesellschaft zerstört.
    • Man kann nicht alles verbieten, was schädlich sein könnte. Gesellschaftlich akzeptieren wir im Allgemeinen, dass Erwachsene meist selbst entscheiden können sollten.
      Nimm Glücksspiel oder Alkohol: In Norwegen kann der Staat versuchen, durch höhere Steuern und zusätzliche Hürden schädliche Aktivitäten einzudämmen, finanziert aber zugleich Angebote für Menschen, die Probleme damit haben. Ein Totalverbot hätte Gegenreaktionen ausgelöst und die Dinge in illegale Märkte verlagert.
      Deshalb lässt man Erwachsene selbst entscheiden, auch wenn manche dadurch Schaden nehmen. Bei Kindern ist dagegen weithin anerkannt, dass sie noch nicht vollständig entwickelt sind und vor Entscheidungen geschützt werden sollten, die ihnen schaden. Mit zunehmendem Alter erlaubt man ihnen mehr Entscheidungen und nimmt auch kleinere Schäden eher in Kauf.
      Deshalb können Kinder in der realen Welt auch keinen Alkohol oder Rubellose kaufen.
      Ich denke, Teile der Online-Welt sollten besser reguliert werden, auch für Erwachsene. Aber es kann Bereiche geben, die für Kinder verboten sein sollten, während ein Verbot für Erwachsene absurd wäre.
    • Mit „ahnungslos oder absichtlich irreführend“ sind Fälle gemeint, in denen gesagt oder angedeutet wird, Altersverifikation werde nach dem Vorbild heutiger KYC-Anforderungen durch das Vorzeigen eines Ausweises erfolgen.
      Es gibt nur sehr wenige Texte, die die jeweils eingesetzte Technik erklären, und Lösungen der EU, des UK und einzelner US-Bundesstaaten unterscheiden sich technisch erheblich.

  • Wie wäre es, wenn man Online-Plattformen für den Schaden verantwortlich macht, den sie Menschen zufügen? Wenn man sie für Hass, Frauenfeindlichkeit und Radikalisierung verantwortlich macht?
    Wenn Plattformen nicht jeden Inhalt hosten würden und nicht mehr versuchen würden, Interaktion oder Empörung zu maximieren, um Klicks und Werbeengagement zu steigern, wäre das Internet für Menschen — nicht nur für Kinder, sondern für alle — vielleicht nicht so schädlich.

    • Online-Plattformen haben Haftungsfreistellungen wie Section 230 des Communications Decency Act in den USA. In anderen Regionen gibt es ähnliche Regelungen, und diese Bestimmung ist das Vorbild vieler solcher Systeme.
      Wir müssen vielleicht neu darüber nachdenken, was unter solche Plattformen fällt. Die ursprüngliche Logik war, dass sie lediglich nutzergenerierte Inhalte bereitstellen und deshalb nicht haften, solange sie schädliche Inhalte nach Meldung entfernen.
      Aber gilt das noch, wenn Feed-Algorithmen entscheiden, was angezeigt wird? Ich finde, auf solche redaktionellen Entscheidungen sollte auch redaktionelle Verantwortung folgen, egal ob sie von Menschen oder von Algorithmen getroffen werden.
    • Ich finde auch, dass sie Verantwortung tragen sollten. Allerdings scheinst du hier nur an Social-Media-Plattformen zu denken.
      Es gibt auch Online-Dienste und Plattformen, die nicht illegal sind, aber für Kinder ungeeignet. Wettseiten zum Beispiel oder Inhalte, die für ein neunjähriges Kind unpassend sind. Als Eltern muss man oft sagen: „Dafür bist du noch zu jung“, und in den letzten zehn Jahren hat sich immer mehr davon ins Internet verlagert.
    • Trotzdem müsste man die USA ins Boot holen, und das erscheint wenig wahrscheinlich. Wenn man versucht, den Schaden aus den USA zu blockieren, drohen einem womöglich Zölle oder sogar so etwas wie Entführungen.
      Das heißt nicht, dass es den Versuch nicht wert ist, aber solch komplexe Probleme muss man gleichzeitig aus mehreren Richtungen angehen.

  • Ich lehne den Grundsatz „Altersverifikation sollte es nicht geben“ gerade deshalb ab, weil ich glaube, dass es dafür keine angemessene technische Lösung geben kann.
    Außerdem zielt viel vom Schaden im Internet nicht nur auf Kinder, sondern auf alle, und damit wird die Last der Inhaltsregulierung weiter auf die Verbraucher abgewälzt.
    Nachweisbasierte Verifikation ist nur dann großartig, wenn man annimmt, dass alle dokumentiert sind, jederzeit Zugriff auf diese Dokumente haben, Geräte besitzen, die „sicher genug“ sind, um solche Nachweise zu verarbeiten, Websites aufrufen, die diese Nachweise überhaupt verwenden dürfen, und ausreichend gebildet sind, um zu verstehen, ob die Anforderung eines solchen Nachweises legitim ist.
    Jede technische Lösung, die wir normalisieren, wird von Tech-Unternehmen und Betrügern missbraucht werden. So war es schon früher, und sie mussten dafür keinen nennenswerten Preis zahlen. Auch Lobbyisten werden das nutzen, um den Bereich „zulässiger“ Dienste und Geräte einzuengen.

  • Kryptographie darüberzustülpen macht es nicht sicher. Jeder Vorschlag nach dem Motto „Denkt an die Kinder“ muss auch den Fall „Kind stiehlt den Ausweis der Eltern“ mitbedenken und führt am Ende dazu, dass Websites Fotos speichern
    Die Formulierung könnte etwa lauten: „Zur Bestätigung des Besitzers wird Bilderkennung eingesetzt“, ohne zu erwähnen, dass gespeichert wird. Aber sobald eine Klage kommt, weil nicht ordentlich geprüft wurde oder die Verifikation mangelhaft war, werden Aufzeichnungen nötig
    Es gibt zwar Gegenmaßnahmen, aber darum geht es nicht im Kern. Zensur funktioniert auf zwei Arten. Die eine ist, Websites dazu zu bringen, Nutzer zu identifizieren und damit nachverfolgbar zu machen; die andere ist, den Betrieb einer Website so teuer und riskant zu machen, dass er kaum noch tragbar ist
    Man sieht das daran, wie Homophobe das widerwärtige Argument „Schützt die Kinder“ benutzen
    Die Forderung nach Ausweisen macht es für Kinder schwer oder unmöglich, auf Inhalte zuzugreifen, in denen ihnen nicht eingeredet wird, sie seien kranke Kriminelle. Wer heute eine Website betreiben will, muss dann sowohl die Sicherheitskosten für die sichere Aufbewahrung von Aufzeichnungen zur eigenen Verteidigung als auch die Kosten von Klagen wegen angeblich unzureichender Zensur tragen
    Jede mathematisch begründete Argumentation, die den Schritt „Es muss bewiesen werden, dass der vorgelegte Ausweis tatsächlich zu diesem Nutzer gehört“ nicht lösen kann, überspringt den wichtigsten Schritt des ganzen Prozesses

  • Wenn ich über 18 bin, kann ich dann so eine ID annehmen und nach Belieben jede gewünschte Anfrage damit signieren? Falls ja, dann ist dieses Verfahren zwar datenschutzwahrend, aber wirkungslos

    • Makroskopisch betrachtet scheint schon die Aktivierungsenergie „Man muss den älteren Bruder oder die ältere Schwester nerven, um einen TikTok-Account zu erstellen“ die Nutzung spürbar zu senken. Ob das ausreicht, um dafür andere negative Folgen in Kauf zu nehmen, eher nicht
    • Solche Texte scheinen vergessen zu wollen, dass der schwierige Teil nicht darin besteht, Zahlen mit Menschen zu verknüpfen, sondern in dem Schritt, beim ersten Vorzeigen dieser Zahl zu prüfen, ob es tatsächlich die Person ist, für die diese ID steht
    • Ja, das ist möglich. Aber man wird dann mit Remote Attestation und anderer DRM-Technik kommen, um es schwerer zu machen. Dann wären alternative Wallet-Implementierungen unmöglich, und auf nicht dem Mainstream entsprechenden Plattformen ließe es sich ebenfalls nicht ausführen
      De facto entstünde eine gesetzliche Pflicht, den Nutzungsbedingungen von Google und Apple zuzustimmen und ein Smartphone dieser Oligopolisten zu besitzen, um Social Media nutzen zu können. Später würde das auf andere Dienste ausgeweitet, bei denen man dieses System für nützlich hält, etwa Pornografie, Online-Videospiele oder Filmverleih
      Wenn Google dich sperrt, ist Schluss. Wenn du Linux nutzt, ebenfalls
    • Beim letzten europäischen Vorschlag, den ich gesehen habe, sollten signierte Bündel auf einmal von einer vertrauenswürdigen Stelle ausgegeben werden, zum Beispiel vom Bürgeramt
      Soweit ich mich erinnere, war die Idee, dass dafür nicht zwingend eine Trusted Wallet auf einem zugelassenen OS nötig sein müsste; theoretisch wäre auch etwas wie PostIdent denkbar, bei dem man in der Postfiliale den Ausweis zeigt und Signaturen erhält, die in einer verschlüsselten Datei gespeichert sind
      Zum Beispiel bekommt man 1000 Signaturen, und jede davon ist nur einmal gültig. Wenn man mehr braucht, holt man sich ein neues Bündel. Jede einzelne Signatur wahrt die Privatsphäre

  • Kinder sind geschickt darin, zu bekommen, was sie wollen. Wenn sie nur oft genug fragen, wird es schon irgendwer machen

    • Das mag auf manche zutreffen, aber das heißt nicht, dass man deshalb zum Beispiel jedem Kind direkt Alkohol verkaufen sollte
      Ich persönlich glaube nicht, dass alle Kinder gleich motiviert sind, dieselben Ziele haben oder sich in gleichem Maß für langfristige Ziele anstrengen können

  • Grundsätzlich widerspreche ich dem Blogpost nicht stark, und ich stimme auch zu, dass ein datenschutzwahrendes System zur Altersverifikation wünschenswert wäre. Ich bin nur wirklich, wirklich skeptisch, ob das in der Praxis sauber umgesetzt würde
    Der Autor hat am Ende des Textes freundlicherweise sogar eine Liste von Implementierungsproblemen angehängt, die die Privatsphäre beschädigen. Falls Altersverifikation gesetzlich vorgeschrieben wird, mache ich mir große Sorgen, dass unter dem Vorwand von Schnelligkeit und Jugendschutz einige oder alle dieser Probleme akzeptiert werden
    Wenn man meint, dass ein schlechtes System zur Altersverifikation schlimmer ist als gar keines — und das sehe ich auch so —, dann halte ich es politisch für realistischer, das Konzept von Anfang an abzulehnen, statt zu versuchen, genau diese feine Grenze durchzubringen

  • „Neun-, zehn- oder vierzehnjährige Kinder sind nicht bereit, sich ohne jede Einschränkung im offenen Internet zu bewegen“
    Wir dürfen künftigen Generationen nicht die besten Teile von Kindheit und Jugend nehmen, die viele von uns überhaupt erst hierher gebracht haben
    Ich habe seit 1993, als ich 12 war, uneingeschränkt ein lokales BBS genutzt, das über ein FIDOnet-ähnliches Netzwerk mit anderen BBS verbunden war, und seit 1995, als ich 14 war, das offene Internet ohne Einschränkungen verwendet. Hätte meine Mutter mir früher einen PC mit Modem gekauft, hätte ich vermutlich auch früher mit BBS angefangen
    Also schaffen wir Sucht-Schleifen, glücksspielartige Mechanismen und algorithmische Radikalisierung für alle ab und lassen die guten Teile des Internets ohne Einschränkungen für alle offen. Dann können künftige Generationen etwas noch Besseres haben als wir

    • Soll das heißen, wir sollten ein Internet für Kinder bauen? Dann bin ich dafür

  • Allein mit Zero-Knowledge-Proofs gibt es keinen Grund, warum ich nicht beweisen könnte, dass alle Menschen in der EU 39 Jahre alt sind. Um das abzumildern, braucht man faktisch Identitätsnachweis und Gerätenachweis, und die abschüssige Ebene ist in die Technik selbst eingebaut
    Diese Art von Architektur passt für Zahlungsbestätigungen oder das Signieren rechtlicher Dokumente, weil man ein starkes Eigeninteresse daran hat, nicht zuzulassen, dass irgendein Dritter mit meinem Geld bezahlt oder in meinem Namen Verträge unterschreibt
    Bei einem Altersnachweis verliere ich aber nichts, wenn ich ihn stellvertretend für jemand anderen erbringe