- Da die Anforderungen an Altersverifikation im Internet zunehmen, hat Google eine ZKP-Bibliothek als Open Source veröffentlicht, die für Alterszusicherung genutzt werden kann
- ZKP ermöglicht es Nutzerinnen und Nutzern, Bedingungen wie ab 18 Jahren nachzuweisen, ohne unnötige personenbezogene Daten weiterzugeben, und reduziert so die Offenlegung persönlicher Informationen bei der Altersverifikation
- Der veröffentlichte Code unterstützt auf Basis der Partnerschaft mit Sparkasse die Alterszusicherung in der EU und kann von Entwicklern im privaten und öffentlichen Sektor zur Umsetzung digitaler IDs genutzt werden
- Nutzerinnen und Nutzer, Unternehmen und andere abhängige Organisationen, Entwickler sowie Forschende können jeweils von einem sichereren Ökosystem, Open-Source-Lösungen, einer Codebasis und effizienten ZKP-Implementierungen profitieren
- Da die für 2026 geplante EU-eIDAS Regulation die Integration datenschutzfördernder Technologien in die EUDI Wallet unterstützt, könnte dies auch die Wallet-Entwicklung der Mitgliedstaaten beeinflussen
Veröffentlichung von Googles ZKP-Bibliothek
- Google hat Zero-Knowledge Proof(ZKP) libraries als Open Source veröffentlicht
- Die Veröffentlichung setzt eine frühere Zusage um und ist Teil der Unterstützung für Alterszusicherung in der EU auf Basis der Partnerschaft mit Sparkasse
- Dieses kryptografische Werkzeug kann von Entwicklern im privaten und öffentlichen Sektor genutzt werden, um datenschutzfördernde Anwendungen und digitale ID-Lösungen zu erstellen
Welche Rolle ZKP bei der Altersverifikation spielt
- ZKP ist eine Technologie, mit der sich beweisen lässt, dass eine Tatsache wahr ist, ohne weitere Daten auszutauschen
- Website-Besucher können überprüfbar nachweisen, dass sie ab 18 Jahren sind, ohne zusätzliche Informationen zu teilen
An wen sich der veröffentlichte Code richtet
- Google sieht im Teilen von ZKP Vorteile für verschiedene Akteure des Ökosystems
- Web- und App-Nutzer können Teil eines stärker datenschutzorientierten und sicheren digitalen Ökosystems werden
- Unternehmen und andere abhängige Organisationen können unabhängig von ihrer Größe Open-Source-Lösungen nutzen, um Datenschutzanforderungen zu erfüllen
- Entwickler können die ZKP-Codebasis frei verwenden, um datenschutzorientierte Anwendungen zu erstellen
- Forschende können effizientere und leistungsfähigere ZKP-Implementierungen nutzen, um neue Anwendungen und Einsatzmöglichkeiten der Technologie zu entwickeln
Kontext von EU eIDAS und EUDI Wallet
- Die für 2026 geplante EU-eIDAS Regulation ermutigt Mitgliedstaaten dazu, datenschutzfördernde Technologien wie ZKP in die European Digital Identity Wallet, also die EUDI Wallet, zu integrieren
- Die Veröffentlichung von Googles ZKP-Tools kann von Mitgliedstaaten genutzt werden, um diese Technologie künftig in EUDI Wallets zu integrieren und die Entwicklung zu beschleunigen
Zugriff auf den Code
- Die ZKP-Codebasis ist unter google/longfellow-zk verfügbar
1 Kommentare
Hacker-News-Meinungen
Trotzdem möchte ich keine Methode, bei der der Zugang allein aufgrund des Alters blockiert wird.
Eltern sollten zumindest das Alter ihrer Kinder überschreiben oder optional eine Umgehung erlauben können.
Meine Computererfahrung wäre wohl völlig anders gewesen, wenn die Hälfte des Internets gesperrt gewesen wäre – besonders wenn man sieht, welche Inhalte blockiert werden.
Auf YouTube oder TikTok gibt es viele nicht verbotene, aber ungesunde verstörende Inhalte, und jüngere Verwandte fühlen sich stark davon angezogen.
Es ist nicht nötig, die Person zu identifizieren, die das Gerät benutzt; die Verantwortung, ein Kind ein gesperrtes Gerät nutzen zu lassen, sollte bei den Eltern liegen.
Das Gerät deklariert einen Status wie über/unter 18, und Websites oder Apps sollten rechtlich nur verpflichtet sein, diese Deklaration zu respektieren.
Das Gerät sollte von den Eltern kontrollierbar sein, und die Eltern sollten entscheiden, ob Altersbeschränkungen für das Kind gelten.
Außerdem sollte es Profilfunktionen geben, damit ein Kind, das das Handy oder den Laptop der Eltern benutzt, nicht deren Daten durcheinanderbringt oder auf Dinge zugreift, die es nicht sehen sollte.
Früher galt es auch als in Ordnung, wenn Eltern für ihr Kind einen R-Rated-Film mit Nacktheit, Sex oder Gewalt ausliehen; das war etwas anderes, als wenn die Videothek ihn direkt an das Kind verliehen hätte.
Wenn man entscheidet, dass ein 16-jähriges Kind reif genug ist, Pornografie anzusehen, dann ist das Sache der Eltern.
Oder man sieht das Hauptrisiko der Altersprüfung wohl lediglich darin, „altersgeprüft zu werden“.
Wenn es keine sichere, marktgetriebene Lösung gibt – also einen Ansatz, der anonym und nicht überwacht ist und nur das Alter nachweist, ohne dass der Staat einzelne Personen überwachen, ablehnen oder widerrufen kann –, dann wird am Ende genau diese Art von Kontrolle allen aufgezwungen.
Man kann den Gegner nicht besiegen, nur indem man sagt, dass man die Fesseln, die man allen anlegen will, nicht braucht.
Wir müssen Zero-Knowledge-Proofs und dezentrale, quelloffene Hochsicherheitstechnologien einsetzen, um scheinbar kleine, aber nicht verschwindende reale Probleme wie Alter und Pornografie zu lösen.
Sonst müssen wir schwachen Politikern, Interessengruppen und Fremden im Internet „vertrauen“, dass sie unsere Schutzlosigkeit nicht ausnutzen.
Kommt noch KI hinzu, werden Risiko und Schaden des passiven Abwartens extrem groß.
Wahrscheinlich bist du, wie ich, ein älterer Mann und gehörst zu der Generation, die sich im Internet frei bewegen konnte, bevor menschliche Beziehungen kommerzialisiert wurden, die dort coole Dinge und Menschen fand und in einem Raum wie der Bibliothek von Alexandria lernte und Zeit verbrachte.
Aber wir müssen die Gen Z und jüngere Generationen fragen, insbesondere Mädchen, wie ihre Erfahrung mit dem Internet war.
Hast du schon einmal versucht, mit Freunden ein lockeres Online-Spiel zu spielen, und wurdest dabei ständig von drei oder vier erwachsenen Männern belästigt?
Wie oft wurde Minderjährigen Geld in Form von „Lootboxen“ oder Ähnlichem angeboten, wenn sie Nacktfotos schicken?
Wurden dir nicht auf jeder besuchten Website von Algorithmen Inhalte aufgedrängt, die dir Magersucht nahelegen, dich dazu bringen wollen, darauf zu wetten, was Trump im Fernsehen sagen wird, Drogen zu nehmen oder dich einfach umzubringen?
Unsere Onkel-Generation muss aufhören, der Computererfahrung ihrer Kindheit nachzutrauern, und Kindern sowie der einschlägigen Forschung zuhören.
Das Internet der freundlichen Geeks und Nerds von gestern existiert nicht mehr, und wenn wir auch nur ein bisschen einer funktionierenden Gesellschaft bewahren wollen, muss es sich ändern.
Wenn für den Besuch von Websites ein personenbezogener staatlicher Nachweis erforderlich wird, kann der Staat den Zugang einzelner Personen zu jeder Website, die Altersprüfung einführt, jederzeit dynamisch verweigern oder widerrufen.
Wenn Erwachsenenseiten dieses System einführen, wird es auf Websites übergreifen, die ihre Haftung reduzieren wollen.
Banken, Geschäftsdienste und am Ende fast alles könnten folgen.
Der Staat wird Haftungsfragen übertreiben und aufblähen, aber keine Gesetze verabschieden, die sichere Häfen bei altersbezogener Haftung schaffen.
Wikipedia kämpft bereits darum, der Einführung von Altersprüfung zu entgehen.
Staatlich verwaltete Altersprüfung bedeutet, dass man nicht einmal auf Wikipedia zugreifen kann, ohne eine individuell nachverfolgbare, kontrollierte und widerrufbare staatliche Erlaubnis zu haben. https://www.eff.org/deeplinks/2025/07/we-support-wikimedia-f...
Selten war ein solches Slippery-Slope-Argument in der Praxis tatsächlich so rutschig.
Zwischen staatlich kontrolliertem Zugang pro Bürger zu offensichtlichen Erwachsenenseiten und staatlich genehmigtem, kontrolliertem Zugang zu allen Websites mit substanziellen Inhalten gibt es nicht einmal eine technische Barriere.
Es ist lediglich eine Einführungskurve der Websites, und mit jeder weiteren Einführung wächst der Umfang staatlicher Echtzeitüberwachung im Minutentakt des Lebens sowie die Fähigkeit, beliebigen Zielpersonen jederzeit beliebigen Zugang zu verweigern.
Die Dystopie ist bereits da, und das ist beängstigend.
Die offenbar nötige Lösung sind Nachweise durch Dritte, die jeder bereitstellen kann, der öffentliche Kriterien erfüllt; Nachweise, die ausschließlich auf den Altersnachweis beschränkt sind; und eine Implementierung auf Basis von Zero-Knowledge-Proofs.
Wir müssen eine Alternative schaffen, die anonym und nicht überwacht ist und bei der individuelle Ablehnung unmöglich ist, um den Antrieb zur Ausweitung staatlicher Macht zu brechen.
Wenn sicherheitsbewusste Techniker und der Markt das nicht lösen, wird die freiheitszerstörende Version gewinnen, und sie wird schwer rückgängig zu machen sein.
Wenn Erwachsenenseiten das System einführen, wird es auf alle Websites übergreifen, die ihre Haftung reduzieren wollen, und Banken, Geschäftsdienste und am Ende fast alle könnten nachziehen.
Selbst bei Zero-Knowledge-Proofs wird sich der Nachweis verbreiten, sobald er bequem und üblich wird, und schon bald wird nicht mehr nur das Alter zugesichert.
Die Bezeichnung Zero-Knowledge wirkt hier etwas übertrieben
Tatsächlich geht es eher darum, Wissen aufzuteilen und jeder Partei nur den für sie relevanten Teil mitzuteilen
Und Google als Vermittler scheint unter den beteiligten Parteien potenziell Zugriff auf die meisten Informationen zu haben
Google teilt lediglich eine Bibliothek, die das implementiert, und wird auf diese Informationen wohl genauso wenig zugreifen können wie auf die Bankdaten von Android- oder Gmail-Nutzern
Zum Beispiel nur, ob jemand „älter als 16“ ist, statt des Geburtsdatums
Allerdings ist das schwer nachzuweisen, und es ist schwer, Google zu vertrauen, dass sie es so machen
In Estland könnte so etwas vielleicht möglich sein
Sie haben ein Paper darüber geschrieben, wie Altersverifikation vollständig datenschutzwahrend funktionieren kann, und dafür braucht man nicht einmal Zero-Knowledge-Proofs
https://magarshak.com/papers/Personal.pdf
In diesem Thread gibt es viele Voreingenommenheiten, aber vielleicht lässt sich trotzdem eine technische Diskussion führen
Ich stecke nicht tief in dem Thema und würde mich freuen, wenn jemand antwortet
Mich interessiert, wie Zero-Knowledge das tatsächlich ist
So wie ich es verstehe, gibt es drei Parteien: mich, die Website, auf die ich zugreifen möchte, und den Prover (Google oder die Regierung?)
Weiß die Website, wer ich bin?
Weiß die Website, wer mein Prover ist, und kann sie zum Beispiel sogar daraus ableiten, dass dieser Prover Winnie-the-Pooh-Memes nicht mag?
Weiß der Prover, welche Website oder welche Art von Inhalten ich ansehen möchte?
Weiß der Prover, wer ich bin?
Kann ich immer wissen, wer Website und Prover sind und wann dieser Nachweis stattfindet?
Nehmen wir als typisches Beispiel den Nachweis Alter ≥ n über einen staatlichen Ausweis
Die Website weiß nicht, wer du bist
Der Kern besteht darin, einen mathematischen Nachweis zu erzeugen, dass du einen gültigen staatlichen Ausweis besitzt und darauf „Alter ≥ n“ steht
Die Website kann den Aussteller kennen
Da der Nachweis auf Informationen beruht, auf die sich der Prover stützt, muss man in diesem Fall wissen, welche Regierung den Ausweis ausgestellt hat, damit der Nachweis Bedeutung hat
Der Prover muss die Website in diesem Prozess nicht kennen
Er weiß nur, dass er den Ausweis ausgestellt hat, und muss danach nicht erneut abgefragt werden
Man könnte das System allerdings so entwerfen, dass ein Zero-Knowledge-Proof über eine aktuelle schriftliche Erlaubnis irgendeiner Stelle verlangt wird; das ist aber nicht der Wesenskern von Zero-Knowledge-Proofs
Ob der Nutzer immer Bescheid weiß, ist eine Frage der User Experience
Wenn Wallet und Website so implementiert sind, dass sie Zeitpunkt und Art der Credential-Anfrage immer anzeigen, ist das möglich
Der Prover ist hier nicht Google
Google stellt nur die Infrastruktur zum Erzeugen und Verifizieren von Nachweisen bereit; den Prover sollte man eher Aussteller nennen, also die vertrauenswürdige Stelle, die den Identitätsnachweis liefert
Ein möglicher Ablauf sieht so aus
Zuerst stellt ein Aussteller wie Regierung, Bank oder Mobilfunkanbieter meiner Wallet, zum Beispiel meinem Smartphone, eine signierte Credential aus
Das kann ein vollständiger digitaler Ausweis sein oder ein enger gefasster „Altersnachweis“
Später fordert eine Website vom Browser einen Nachweis an, dass eine Bedingung wie age >= 18 erfüllt ist
Die Website liefert das auszuführende „zk-program“ (Circuit) und wartet auf den Nachweis, dass das Programm mit vertrauenswürdigen, aber nicht offengelegten Eingaben ausgeführt wurde
Das Smartphone weiß von einer gültig vom Aussteller signierten Credential und erzeugt einen Zero-Knowledge-Proof, dass deren verborgenes Attribut die Bedingung erfüllt
Idealerweise passiert das lokal, aber so weit ist es noch nicht
Die Website verifiziert den Nachweis mit öffentlichen Eingaben wie dem öffentlichen Schlüssel des Ausstellers, dem verwendeten Circuit, der angeforderten Bedingung und einer neuen Nonce/Challenge
Dadurch weiß die Website allein durch den Zero-Knowledge-Proof nicht, wer ich bin, erfährt aber, wer meine ID ausgestellt hat
Die Website kennt den öffentlichen Schlüssel des Provers, und der Prover weiß nicht, welche Website ich besucht habe
Der Prover weiß, wer ich bin
Ob der Nutzer Website, Prover und Zeitpunkt des Nachweises kennt, kann je nach implementierter User Experience auf verschiedene Arten gelöst sein
Die Website weiß nicht, wer der Nutzer ist
Das ist der eigentliche Zweck dieses Ansatzes
Die Website weiß, wer der Prover ist
Da sie eine asymmetrische kryptografische Verifikation des Nachweises durchführen muss, braucht sie eine Liste öffentlicher Schlüssel, und diesen Schlüsseln kann man die Identität des Provers zuordnen
Der Prover sollte nicht wissen, welche Inhalte ich ansehen möchte
Bei einem JWT kann man verifizieren, ohne dem Prover mitzuteilen, wessen Nachweis geprüft wird
Wenn es allerdings eine API wie „wurde dieser Nachweis widerrufen?“ gibt, kann versehentlich wieder ein Informationskanal entstehen
Der Prover kennt den Nutzer oder besitzt zumindest einen Teil der Nutzerinformationen, die er gegenüber anderen bestätigen soll
Realistisch muss man hier an Google-, Apple- oder Microsoft-Kontoinformationen oder an Banken denken
Ob der Nutzer Website und Prover immer kennt, ist technisch möglich, aus Sicht echter Menschen aber fraglich
Ich bin Google-Mitarbeiter, aber weit weg von diesem Projekt und habe kein internes Wissen dazu
Das System kann ein gültiger Zero-Knowledge-Proof sein, aber reale Dienste können trotzdem weiterhin personenbezogene Daten vom Nutzer sammeln
Außerdem gibt es nichts, was verhindert, dass der Prover mit der Website, auf die zugegriffen werden soll, zusammenarbeitet und Informationen über dich offenlegt
https://www.youtube.com/watch?v=fOGdb1CTu5c
Dieses Video erklärt es sehr gut
Es ist verdächtig, dass Age Assurance genau dann in Mode kommt, wenn KI-Agenten in der Lage sein werden, PCs autonom wie menschliche Büroangestellte zu bedienen
Ich fürchte, bei Age Assurance geht es vielleicht gar nicht um „Kinder“
Dieses Problem gibt es schon so lange, wie Kinder online sind
Anfang der 2000er hat man es mit Kreditkarten versucht, und das ist natürlich gescheitert
Auch Großbritannien hat im vergangenen Jahrzehnt versucht, Minderjährige auf diese Weise vom Zugriff auf Pornografie abzuhalten, und ist gescheitert
KI-Tools sind für die Politiker, die so etwas immer weiter vorantreiben, vermutlich nicht einmal auf dem Radar
Diese Maßnahmen und andere Maßnahmen zur Verletzung der Privatsphäre hatten nie etwas mit Kindern zu tun
Man kann sein Alter nachweisen, ohne Privatsphäre zu verlieren
Das Alter ist nur ein Indikator unter mehreren
Ich will keine Zero-Knowledge-Technik für Information X, ich will überhaupt keine Identität haben
Punkt
Dadurch wird nicht das tatsächliche Alter weitergegeben, sondern man erfährt nur eine von zwei groben Kategorien
„Zero-Knowledge-Proofs ermöglichen es einer Person, zu beweisen, dass eine bestimmte Aussage über sie wahr ist, ohne weitere Daten auszutauschen. Zum Beispiel kann ein Website-Besucher verifizierbar nachweisen, dass er über 18 ist, ohne irgendetwas anderes preiszugeben“
Das heißt aber nicht, dass „selbst beim Einrichten des Tokens nichts geteilt wird“
Kann man beweisen, dass ein kryptografischer Token A) keine personenbezogenen Daten enthält und B) der Token selbst nicht als ID verwendet werden kann, die mit meiner Identität in einer Google- oder Regierungsdatenbank verknüpft ist?
Beides ist unmöglich, daher unterstütze ich diese Token-Methode nicht
Man erhält von einer vertrauenswürdigen Stelle, die prüft, ob man über 18 ist, ein Zertifikat und kann damit einen Token erzeugen, der nur die Information enthält: „X hat verifiziert, dass ich über 18 bin“
Weder der ursprüngliche Prüfer noch die Stelle, die den Token entgegennimmt, sollten ihn mit dem ursprünglichen Zertifikat verknüpfen können
Siehe Abschnitt 2 dieses Dokuments: https://eudi.dev/2.4.0/discussion-topics/g-zero-knowledge-pr...
Falls es Einwände gibt, dass dies technisch tatsächlich schwer zu erreichen ist, würde ich sie gern kennen
Außerdem scheint eine solche Architektur die meisten weltweit vorgeschlagenen Gesetze zur Altersprüfung erfüllen zu können
Selbst wenn man sie mit zwei Abteilungen desselben Unternehmens aufbaut, kann man nachweisen, dass zwar alle IDs der Nutzer gesehen wurden, aber Nutzernamen nicht mit IDs verknüpft werden können
Da dabei trotzdem personenbezogene Daten verarbeitet werden, besteht bei Leaks ein Risiko, also ist es nicht ideal, aber es ist deutlich besser als das, was die meisten derzeit machen
Der gedachte Ansatz ist, dass eine Regierung, die die Altersdaten bereits hat, eine signierte Nachricht erstellen kann, und die Plattform, die das Alter prüft, erfährt nicht, wer du bist oder wie alt genau du bist, sondern nur, dass du erwachsen bist
Zero-Knowledge-Proofs für diesen Zweck sind ein trojanisches Pferd für Identitäts-Tracking und Geräteattestierung
Denn solche Voraussetzungen sind nötig, um zu verhindern, dass jemand massenhaft Nachweise dafür erzeugt, erwachsen zu sein, und sie kostenlos verteilt
Bei Vertragsunterzeichnungen und Zahlungen funktioniert das wegen eingebauter Anreize, bei Altersnachweisen aber nicht
Am Ende wird man wohl argumentieren: „Da Nachweise geteilt werden können, brauchen wir einen vertrauenswürdigen Verifikationspunkt, der bestätigt, dass die Person, die den Zero-Knowledge-Token genau in diesem Moment tatsächlich besitzt, du bist“
Und dann könnte man verlangen, die Smartphone-Kamera einzuschalten und den biometrischen Anweisungen brav zu folgen
Es wirkt nicht mehr so, als würde die Regierung Maßnahmen ergreifen, um das zu regulieren, und vielleicht wird sie das auch künftig nicht tun
Dann wird sichtbar, dass sie nicht nach einer praktikablen Lösung suchen
Wir brauchen eine Anleitung: „Wie man Gesetzgebern Zero-Knowledge-Proofs erklärt“
Das reicht