2 puntos por GN⁺ 4 시간 전 | 1 comentarios | Compartir por WhatsApp
  • Ante el aumento de las exigencias de verificación de edad en línea, Google publicó como código abierto una biblioteca ZKP que puede usarse para garantía de edad
  • Las ZKP permiten que los usuarios demuestren condiciones como ser mayores de 18 años sin entregar datos personales innecesarios, reduciendo así la exposición de información en la verificación de edad
  • El código publicado, basado en una alianza con Sparkasse, respalda la garantía de edad en la UE y puede usarse en implementaciones de identidad digital por parte de desarrolladores de los sectores público y privado
  • Usuarios, empresas y otras organizaciones dependientes, desarrolladores e investigadores pueden aprovechar respectivamente un ecosistema más seguro, soluciones de código abierto, una base de código e implementaciones ZKP más eficientes
  • Como el Reglamento eIDAS de la UE, previsto para entrar en vigor en 2026, impulsa la integración de tecnologías de mejora de la privacidad en la EUDI Wallet, esto también podría influir en el desarrollo de billeteras por parte de los Estados miembros

Publicación de la biblioteca ZKP de Google

  • Google publicó como código abierto las bibliotecas de Zero-Knowledge Proof (ZKP)
  • Esta publicación cumple una promesa anterior y forma parte del impulso para respaldar la garantía de edad en la UE sobre la base de su alianza con Sparkasse
  • Esta herramienta criptográfica puede ser utilizada por desarrolladores del sector público y privado para crear aplicaciones que refuercen la privacidad y soluciones de identidad digital

Qué hacen las ZKP en la verificación de edad

  • Las ZKP son una tecnología que permite demostrar que un hecho es verdadero sin intercambiar ningún otro dato
  • Un visitante de un sitio web puede demostrar de forma verificable que es mayor de 18 años sin compartir información adicional

A quién apunta el código publicado

  • Google considera que compartir ZKP beneficia a varios participantes del ecosistema
    • Los usuarios de la web y de apps pueden formar parte de un ecosistema digital más centrado en la privacidad y más seguro
    • Las empresas y otras organizaciones dependientes pueden usar soluciones de código abierto, sin importar su escala, para cumplir requisitos de privacidad
    • Los desarrolladores pueden usar libremente la base de código ZKP para crear aplicaciones centradas en la privacidad
    • Los investigadores pueden aprovechar implementaciones ZKP más eficientes y de mayor rendimiento para crear nuevas aplicaciones y nuevas formas de aprovechar la tecnología

Contexto de eIDAS de la UE y la EUDI Wallet

  • El Reglamento eIDAS de la UE, previsto para entrar en vigor en 2026, alienta a los Estados miembros a integrar tecnologías de mejora de la privacidad como las ZKP en la European Digital Identity Wallet, es decir, la EUDI Wallet
  • La publicación de las herramientas ZKP de Google podría ayudar a que los Estados miembros integren esta tecnología en la EUDI Wallet en el futuro y aceleren su desarrollo

Acceso al código

1 comentarios

 
GN⁺ 4 시간 전
Comentarios en Hacker News
  • Aun así, no quiero un modelo que bloquee el acceso solo por la edad
    Los padres deberían al menos poder sobrescribir la edad de sus hijos o permitir una evasión selectiva
    Si me hubieran bloqueado la mitad de internet, mi experiencia con la computadora habría sido completamente distinta, y más aún viendo qué tipo de contenido se bloquea

    • Como millennial, vi bastante contenido que no querría mostrarle a gente joven, pero el contenido accesible sin restricción de edad podría ser aún más dañino
      En YouTube o TikTok hay mucho contenido raro que no está prohibido pero no es sano, y mis familiares más jóvenes se sienten fuertemente atraídos por eso
    • Los sitios web deberían poder verificar fácilmente si en el dispositivo que se conecta está activado el bloqueo parental
      No hace falta identificar quién está usando el dispositivo, y la responsabilidad de dejar que un menor use un dispositivo bloqueado debería recaer en los padres
    • Ya hubo cientos de comentarios diciendo algo parecido, pero las restricciones de edad deberían ser una configuración del dispositivo
      El dispositivo debería declarar un estado como mayor/menor de 18 años, y a los sitios web o apps solo se les debería exigir legalmente que respeten esa declaración
      El dispositivo debería poder ser controlado por los padres, y deberían ser ellos quienes decidan si aplican o no una restricción de edad a sus hijos
      También debería haber perfiles para que, aunque un niño use el teléfono o laptop de sus padres, no arruine su información ni acceda a cosas que no debería ver
      Antes también se consideraba aceptable que los padres alquilaran para sus hijos películas clasificación R con desnudos, sexo o violencia, y eso era distinto de que el videoclub se las alquilara directamente al menor
      Si consideran que su hijo de 16 años es lo suficientemente maduro como para ver porno, eso debería ser decisión de los padres
    • Es imaginar que la solución que te sirve a ti también será aceptada como solución por el poder político que está empujando esto
      O parece asumir que el principal riesgo de la verificación de edad está simplemente en “que te verifiquen la edad”
      Si no existe una solución segura impulsada por el mercado, es decir, un enfoque anónimo, no vigilado y que solo pruebe la edad, y donde el gobierno no pueda vigilar, denegar ni revocar por persona, entonces justo ese tipo de control terminará imponiéndose a todos
      No se puede derrotar al enemigo diciendo que no hacen falta los grilletes que quieren ponerle a todo el mundo
      Hay que adoptar pruebas de conocimiento cero y tecnología fuerte, descentralizada y de código abierto para resolver problemas reales, pequeños en apariencia pero persistentes, como la edad y la pornografía
      De lo contrario, terminamos “confiando” en que políticos débiles, grupos de interés y desconocidos de internet no abusen de nuestra indefensión
      Si además se le suma la IA, los riesgos y daños de quedarse pasivos aumentan de forma extrema
    • Yo sí creo que hacen falta restricciones de edad
      Probablemente tú también seas, como yo, un hombre mayor, de la generación que recorrió libremente el internet anterior a la comercialización de las relaciones humanas, encontrando cosas y personas increíbles, y pasando el tiempo aprendiendo en un espacio como la Biblioteca de Alejandría
      Pero hay que preguntarles a la Generación Z y a los más jóvenes, especialmente a las niñas, cómo ha sido para ellos internet
      ¿Alguna vez intentaste jugar un juego en línea casual con tus amigos y terminaste siendo acosada constantemente por 3 o 4 hombres adultos?
      ¿Cuántas veces le ofrecieron a un menor dinero, en formas como “loot boxes”, a cambio de fotos desnudo?
      ¿No les empujan algoritmos en cada sitio que visitan contenido que les dice que acepten la anorexia, que apuesten sobre qué dirá Trump en TV, que consuman drogas o simplemente se suiciden?
      Los de nuestra generación de tíos tenemos que dejar de añorar la experiencia informática de nuestra infancia y escuchar a los chicos y a la investigación relacionada
      El internet amable de los geeks y nerds de antes ya no existe, y si queremos conservar aunque sea un poco de una sociedad que funcione, tiene que cambiar
  • Si para visitar sitios pasa a hacer falta una credencial gubernamental individual, el gobierno podrá denegar o revocar dinámicamente en cualquier momento el acceso de una persona a cualquier sitio que haya implementado verificación de edad
    Si los sitios para adultos adoptan ese sistema, se extenderá a los sitios que quieran reducir su responsabilidad
    Podría expandirse a bancos, servicios empresariales y, al final, a casi todo
    El gobierno exagerará y amplificará el tema de la responsabilidad, pero no aprobará leyes que creen una zona segura de responsabilidad en temas de edad
    Wikipedia ya está luchando para evitar tener que implementar verificación de edad
    La verificación de edad gestionada por el gobierno significa que ni siquiera se podrá acceder a Wikipedia sin un permiso estatal rastreable, controlado y revocable de forma individual https://www.eff.org/deeplinks/2025/07/we-support-wikimedia-f...
    Pocas veces una pendiente resbaladiza fue tan realmente resbaladiza como esta
    Ni siquiera hay una barrera técnica entre un acceso controlado por el gobierno, persona por persona, a sitios claramente para adultos, y un acceso con permiso y control estatal a cualquier sitio con contenido sustantivo
    Solo sería una curva de adopción de sitios, y a medida que crezca la adopción también crecerán el alcance de la vigilancia estatal en tiempo real sobre la vida cotidiana, minuto a minuto, y la capacidad de negar a quien quieran el acceso que quieran cuando quieran
    La distopía ya llegó, y esto da miedo
    La solución que parece necesaria es una credencial de terceros que cualquiera que cumpla criterios públicos pueda ofrecer, una credencial limitada a probar edad, y una implementación basada en pruebas de conocimiento cero
    Hay que crear una alternativa anónima, no vigilada e imposible de negar por persona para frenar el impulso de expansión del poder estatal
    Si los técnicos con conciencia de seguridad y el mercado no lo resuelven, ganará la versión que destruye la libertad, y será difícil revertirla

    • No hace falta en absoluto una prueba de edad ni ningún otro tipo de prueba de identidad
    • Esto debería enfatizarse más
      Si los sitios para adultos adoptan el sistema, se extenderá a todos los sitios que quieran reducir su responsabilidad, y bancos, servicios empresariales y al final casi todos podrían seguir el mismo camino
      Incluso con pruebas de conocimiento cero, en cuanto la credencial se vuelva conveniente y común se expandirá, y pronto lo que se garantice ya no será solo la edad
  • Aquí la expresión conocimiento cero parece algo exagerada.
    En la práctica, se acerca más a dividir el conocimiento y compartir con cada parte solo la porción relevante.
    Y parece posible que Google, en su papel de intermediario, sea quien tenga acceso a más información entre las partes involucradas.

    • Las pruebas de conocimiento cero son una herramienta bien conocida en criptografía https://en.wikipedia.org/wiki/Zero-knowledge_proof
      Google solo está compartiendo una librería que las implementa, y así como Google no puede acceder a la información bancaria de los usuarios de Android o Gmail, tampoco debería poder acceder a esta información.
    • En una verdadera configuración de prueba de conocimiento cero, nadie debería poder saber nada más allá de la información absolutamente mínima.
      Por ejemplo, se podría saber solo si alguien es “mayor de 16” en vez de su fecha de nacimiento.
      Pero demostrar eso es difícil, y cuesta confiar en que Google lo haga de esa manera.
    • Idealmente, el gobierno sería tanto el emisor como el intermediario, pero en Estados Unidos falta la capacidad estatal para hacerlo.
      En Estonia quizá algo así sí sea posible.
    • Google ha sido pionera en algunas técnicas donde actúa como trusted dealer, por ejemplo con Private State Tokens.
      Ha escrito un paper sobre cómo hacer verificación de edad de forma totalmente preservadora de la privacidad, y ni siquiera hace falta una prueba de conocimiento cero.
      https://magarshak.com/papers/Personal.pdf
  • En este hilo hay mucho sesgo, pero me pregunto si podríamos tener una discusión técnica.
    No estoy tan metido en el tema, así que me gustaría que alguien respondiera.
    Tengo curiosidad por saber qué tan de conocimiento cero es esto realmente.
    Según entiendo, hay tres partes: yo, el sitio al que quiero acceder y el probador (¿Google o el gobierno?).
    ¿El sitio sabe quién soy?
    ¿El sitio sabe quién es mi probador y puede incluso inferir, por ejemplo, que a ese probador no le gusta el meme de Winnie-the-Pooh?
    ¿El probador sabe a qué sitio, o a qué tipo de contenido, quiero acceder?
    ¿El probador sabe quién soy?
    ¿Yo siempre puedo saber quiénes son el sitio y el probador, y cuándo ocurre esta prueba?

    • Respondiendo desde mi experiencia con pruebas de conocimiento cero, aquí el “probador” sería la entidad que proporciona la base de los datos o emite la credencial que se quiere probar.
      Un ejemplo típico sería demostrar edad ≥ n usando una identificación gubernamental.
      El sitio no sabe quién eres.
      La idea central es generar una prueba matemática de que tienes una identificación gubernamental válida y que en ella figura “edad ≥ n”.
      El sitio sí puede saber quién es el emisor.
      Como la prueba se basa en la información de la que parte el probador, en este caso tiene sentido que se sepa qué gobierno emitió la identificación.
      El probador no necesita saber cuál es el sitio durante este proceso.
      Solo sabe que emitió la identificación, y no hace falta volver a consultarlo después.
      Claro que podría diseñarse de forma que se exigiera una prueba de conocimiento cero sobre una autorización escrita reciente de alguna institución, pero eso no es la esencia de las pruebas de conocimiento cero.
      Que el usuario siempre pueda saberlo depende de la experiencia de usuario.
      Si la billetera y el sitio web están implementados para mostrar siempre cuándo y qué tipo de credencial se solicita, entonces sí sería posible.
    • Tampoco soy experto, pero estudié un poco el tema e hice algunas pruebas.
      Aquí el probador no es Google.
      Google solo proporciona la infraestructura para generar y verificar las pruebas, y sería más correcto llamar probador al emisor, es decir, a la entidad de confianza que entrega la prueba de identidad.
      Un flujo posible sería así.
      Primero, un emisor como el gobierno, un banco o una telefónica emite una credencial firmada a mi billetera, por ejemplo en el teléfono.
      Puede ser una identificación digital completa o algo más acotado, como una simple “prueba de edad”.
      Luego, el sitio le pide al navegador una prueba de que se cumple una condición como age >= 18.
      El sitio proporciona el “zk-program” (circuito) que debe ejecutarse y espera una prueba de que el programa se ejecutó sobre entradas confiables pero no públicas.
      El teléfono sabe que tiene una credencial válida firmada por el emisor y genera una prueba de conocimiento cero de que sus atributos ocultos cumplen la condición.
      Idealmente esto se genera de forma local, pero todavía no está del todo listo.
      El sitio verifica la prueba con entradas públicas como la clave pública del emisor, el circuito usado, la condición solicitada y un nonce/challenge nuevo.
      Así que, solo por la prueba de conocimiento cero, el sitio no sabe quién soy, pero sí sabe quién emitió mi ID.
      El sitio conoce la clave pública del probador, y el probador no sabe qué sitio visité.
      El probador sí sabe quién soy.
      Si el usuario sabe qué sitio, qué probador y en qué momento ocurre la prueba depende de la experiencia de usuario que se implemente, y hay varias formas de hacerlo.
    • Intenté encontrar material concluyente, pero no tuve tiempo, así que esto es una estimación bastante general.
      El sitio no sabe quién es el usuario.
      Ese es justamente el objetivo de todo este enfoque.
      El sitio sí sabe quién es el probador.
      Como tiene que hacer una verificación criptográfica asimétrica de la prueba, necesita una lista de claves públicas, y a esas claves se les puede asociar la identidad del probador.
      El probador no debería saber qué contenido estoy tratando de ver.
      Igual que con un JWT, debería poder verificarse la prueba de un usuario sin avisarle al probador cuál es esa validación.
      Pero si existe una API para algo como “¿esta prueba fue revocada?”, accidentalmente se podría volver a abrir un canal de información.
      El probador sí sabe quién es el usuario, o al menos tiene parte de la información del usuario que puede usarse para probar algo ante terceros.
      En la práctica, habría que pensar en información de cuentas de Google, Apple, Microsoft o de bancos, entre otros.
      Que el usuario siempre sepa quiénes son el sitio y el probador es técnicamente posible, pero desde una perspectiva humana real genera dudas.
      Trabajo en Google, pero estoy muy lejos de este proyecto y no tengo conocimiento interno.
    • Es difícil saberlo en la práctica.
      El sistema puede ser una prueba de conocimiento cero válida, pero los servicios reales igual pueden seguir recopilando información de identificación personal del usuario.
      Tampoco hay nada que impida que el probador se ponga de acuerdo con el sitio al que quieres entrar para revelar información sobre ti.
    • Computer Scientist Explains One Concept in 5 Levels of Difficult
      https://www.youtube.com/watch?v=fOGdb1CTu5c
      Este video lo explica muy bien.
  • Es sospechoso que la moda de la garantía de edad coincida exactamente con el momento en que los agentes de IA empiezan a poder operar de forma autónoma computadoras personales como si fueran oficinistas humanos
    Me preocupa que la garantía de edad quizá no tenga nada que ver con “los niños”

    • Esa premisa es incorrecta
      Este problema existe desde hace tanto tiempo como los niños han estado en internet
      A principios de los 2000 lo intentaron con tarjetas de crédito y, como era de esperarse, fracasó
      El Reino Unido también intentó durante la última década impedir así el acceso de menores al porno y fracasó
      Los políticos que siguen impulsando esto probablemente ni siquiera tengan las herramientas de IA en el radar
    • Sí hay que tenerle miedo
      Estas medidas y otras medidas de violación de la privacidad nunca han tenido que ver con los niños
    • La esencia de las pruebas de conocimiento cero en la billetera de la UE es separar la verificación de edad de la privacidad
      Puedes demostrar tu edad sin perder tu privacidad
  • La edad es solo un indicador
    No quiero tecnología de conocimiento cero sobre la información X; no quiero tener identidad en absoluto
    Punto

    • Esta tecnología puede usarse para pruebas de conocimiento cero de “mayor de 18” o “menor de 18”
      Así que no se entrega la edad real, solo una de dos categorías amplias
  • “Las pruebas de conocimiento cero permiten que una persona demuestre que cierto hecho sobre sí misma es verdadero sin intercambiar ningún otro dato. Por ejemplo, un visitante de un sitio web puede demostrar de manera verificable que tiene más de 18 años sin compartir nada más”
    Pero eso no significa “no compartes nada ni siquiera al configurar el token”
    ¿Se puede demostrar que algún token criptográfico A) no contiene información personalmente identificable y B) no puede usarse por sí mismo como un ID vinculable a mi identidad en una base de datos de Google o del gobierno?
    Ambas cosas son imposibles, así que no apoyo estos esquemas de tokens

    • Según entiendo, las pruebas de conocimiento cero sí pueden demostrar ambas propiedades
      Puedes recibir un certificado de una entidad de confianza que verifique que eres mayor de 18, y usarlo para generar un token que solo contenga la información “X verificó que soy mayor de 18”
      Ni el verificador original ni quien reciba el token deberían poder vincularlo con el certificado original
      Véase la sección 2 de este documento: https://eudi.dev/2.4.0/discussion-topics/g-zero-knowledge-pr...
      Si hay alguna objeción de que esto sea difícil de lograr técnicamente en la práctica, me gustaría conocerla
      Además, una estructura así parece capaz de cumplir con la mayoría de las propuestas de ley de verificación de edad en todo el mundo
      Incluso si se compone de dos departamentos de la misma empresa, se podría demostrar que vieron todos los IDs de los usuarios pero no pueden vincular los nombres de usuario con esos IDs
      Aun así, como manejan información personalmente identificable, existe riesgo de filtración, así que no es lo ideal, pero es mucho mejor que lo que hace la mayoría hoy
    • Claro que el token por sí solo no basta
      La idea es que el gobierno, que ya tiene tus datos de edad, pueda crear un mensaje firmado, y que la plataforma que verifica la edad no sepa quién eres ni tu edad exacta, sino solo que eres una persona adulta
  • Las pruebas de conocimiento cero para este propósito son un caballo de Troya para el rastreo de identidad y la certificación del dispositivo
    Porque para evitar que todo el mundo emita pruebas de adultez en masa y las regale gratis, hacen falta esos prerrequisitos
    En la firma de contratos y los pagos funciona porque hay incentivos inherentes, pero en la prueba de edad no

  • Al final van a decir algo como “como la prueba se puede compartir, necesitamos un punto de verificación confiable que confirme que tú eres quien realmente posee en este momento el token de conocimiento cero”
    Y entonces podrán decirte que prendas la cámara del smartphone y sigas obedientemente instrucciones de biometría

    • Más simple aún, podrían afirmar que lo implementaron y simplemente guardar los datos
      Ya no parece que los gobiernos estén tomando medidas para regular ese tipo de cosas, y quizá nunca lo hagan
    • Puede ser, pero tenemos que lograr que hagan esa afirmación solo después de haber demostrado que es posible verificar la edad en todos los sitios web sin identificarte
      Así quedará claro que no están buscando una solución práctica
  • Hace falta una forma de “explicarles las pruebas de conocimiento cero a los legisladores”

    • “Nunca hagan garantía de edad”
      Con eso basta
    • Como los legisladores de EE. UU. normalmente no están motivados por el interés de la gente común, probablemente no sirva de mucho