zk-Cookies: Как криптография спасёт интернет от ботов и слежки? А никак. Мы все в системе. Но вот Александр Фролов, Хэл Трейдман и Ян Майерс сделали следующие заявления в своей статье “zk-Cookies: Continuous Anonymous Authentication for the Web”. Проблематика: Анонимные удостоверения становятся необходимы для верификации возраста и отличия людей от ботов в эпоху ИИ, но существующие системы уязвимы к мошенничеству (кража, шаринг), так как не поддерживают непрерывный мониторинг поведения без нарушения приватности. Традиционные веб-сервисы собирают метаданные (IP, геолокация, fingerprint браузера) на сервере для обнаружения аномалий, но это противоречит анонимности. Доказательство того, что вы человек, а не бот, но без раскрытия имени, адреса или истории. Звучит круто? (А выйдет как всегда, шифропанкеры хреновы) Уже есть прототипы от Google для Android. Но беда в том, что без мониторинга поведения (типа смены IP или геолокации) такие данные легко украсть или поделиться (или просто скачайте про себя данные из Гугла, удивитесь). Традиционные сервисы собирают тонны данных на серверах для фрода-detection: “Ага, логин из Москвы, а через час из Нью-Йорка? Подозрительно!” Но это убивает анонимность. Они предлагают Continuous Anonymous Authentication (CAA) — систему, где вся аналитика перемещается на устройство пользователя. Сервер видит только доказательства (через zk-SNARKs), а не сырые данные. Это как куки, но zero-knowledge и приватные! Как это работает? 🔒 В основе — stateful anonymous credentials с zk-SNARKs. Пользователь хранит в credential’е историю: последние IP, геолокации, fingerprint браузера. При каждом логине: • Устройство проверяет политику (например, “последние 5 логинов в радиусе 50 км”). • Генерирует доказательство: “Всё ок, я чел и не бот!”. • Сервер верифицирует, но не видит детали. Ключевые инновации: • Geohashing для zk: Вместо дорогих расчётов расстояний (с плавающей точкой), используем geohash — сетку Земли в битах. Проверка близости — просто сравнение префиксов! Эффективно в zk-циклах. • Fuzzy fingerprint: Хэш браузера (экран, WebGL и т.д.) для детекции смены устройства. Сравниваем similarity с Hamming distance — быстро и точно. • Дифференциальная приватность с RAPPOR: Сервер собирает агрегированные stats (среднее расстояние логинов), но с шумом, чтобы не деанонимизировать. Рандом генерируем безопасно (PRF + nonce), без grinding-атак. • Допы: Проверки ad attribution (видел ли юзер рекламу?) и verified browser history. Интеграция с паспортами для age verification. Прототип (zk-Cookies) на Circom: обновление credential’а — <200 мс нативно, ~1.5 с в браузере. Тестировали на MacBook, код открыт на GitHub: https://github.com/htried/zkp-ldp. Демо: https://zk-cookies.vercel.app/ — попробуйте сами! Почему это вообще не меняет игру? 🌐 Приватность. Безопасность. Масштабируемость. Но есть нюансы: zk всё ещё требует вычислений, а мы все еще винтики системы Ссылка на оригинал