EU Age Control: Dijital Kimlikler İçin Truva Atı

 (juraj.bednar.io)
2 puan yazan GN⁺ 3 일 전 | 1 yorum | WhatsApp'ta paylaş
  • Yalnızca yaşı kanıtlayan gizlilik korumalı doğrulama olarak tanıtılsa da, fiili dağıtım yapısı ülke bazlı uygulamalara ve isteğe bağlı yollara dayanıyor; tek bir AB uygulaması olarak çalışmıyor
  • Büyük platformlar, EU wallet yerine pasaport taraması ve liveness kontrolü yapan genel KYC provider kullanabildiği için, gizlilik korumalı yol zorunlu bir gereklilik değil, sadece bir seçenek olarak kalıyor
  • Mevcut reference implementasyonun ana yolu zero-knowledge proofs değil, ES256 ile ISO 18013-5 mdoc kullanıyor; unlinkability de güçlü matematiksel garantilerden çok cüzdanın tek kullanımlık kimlik bilgisi döndürme kurallarına dayanıyor
  • Uygulama bütünlüğü doğrulamasına hardware attestation eklendiğinde, nihai ikili dosya Google veya Apple’ın onayladığı kodla eşleşmek zorunda; bu da GrapheneOS veya özelleştirilmiş Linux telefonlar gibi cihazları dışlayabilir
  • Relay attack, tüm imzalar ve attestation normal olsa bile engellenemiyor; bunun da yaş doğrulamanın ötesine geçip iptal edilebilir dijital kimliklerin kabulüne yol açabileceği yönünde uyarı yapılıyor

DSA etrafından dolaşan yollar ve KYC ikameleri

  • Belirli içerikleri barındıran büyük platformlar yaş doğrulaması yapmak zorunda, ancak bunun için mutlaka gizlilik odaklı AB cüzdanını kullanmaları gerekmiyor
    • Platform EU wallet seçebilir
    • Aynı zamanda tüm pasaportu tarayan ve liveness kontrolü yapan genel KYC provider da ekleyebilir
  • Gizlilik özellikleri isteğe bağlı olmaya devam ediyor
    • Tanıtım privacy-preserving tarafa odaklansa da, kurallar gereği daha zayıf gizlilik sunan alternatif yollar da kabul ediliyor
  • Ülkelerin eID sistemlerini doğrudan entegre etme yolu pratikte zor olarak resmediliyor
    • 27 ülkenin farklı national eID systems yapılarını birleştirmek karmaşık
    • KYC şirketleri için fiziksel kimlik görünüm veritabanlarını ve fotoğraf tabanlı prosedürleri sürdürmek daha ucuz ve daha genel amaçlı çalışıyor
  • Mevcut birlikte çalışabilirlik hazırlık düzeyi de düşük bulunuyor
    • Resmî trusted list içinde üretimde olan uygulama sayısı 0
    • Reference implementation da henüz tamamlanmamış olarak anlatılıyor
    • 2026 sonuna kadar 27 ülkenin tamamında temiz bir birlikte çalışabilirlik sağlanacağı beklentisi gerçekçi görülmüyor

Gerçek doğrulama akışı ve cihaz kontrolü

  • Başlıca yüksek güvenli yol NFC passport kullanıyor
    • Fotoğraf sayfasının altındaki MRZ taranarak NFC çip verisini okumak ve çözmek için gereken anahtar elde ediliyor
    • Çipte imzalı veriler ve sahibin JPEG photo’su bulunuyor
    • Tasarım gereği telefon, çipteki fotoğrafla yerelde eşleştirmek için gerçek zamanlı bir yüz fotoğrafı çekiyor
  • Bu yerel yüz eşleştirmesi, çocuğun ebeveyn pasaportunu tarayıp kendi kimlik bilgisini çıkarmasını engellemek amacıyla tanımlanıyor
  • Uygulama açık kaynak olsa bile, gerçek ülke sürümlerinde hardware attestation zorunlu tutulursa keyfî değişiklikler engellenmiş oluyor
    • Metne göre şu anda reference code içinde sunucu tarafı attestation doğrulaması henüz bağlanmış değil
    • Ancak ülke bazlı sürümlerin bunu eklemesi gereken bir yapı tanımlanıyor
    • Nihai ikili dosya, Google veya Apple’ın imzaladığı tam kodla eşleşmek zorunda
  • Bu güvenlik modeli belirli cihazları ve işletim sistemlerini dışlıyor
    • GrapheneOS ve özelleştirilmiş Linux telefonlara izin verilmiyor
    • Huawei cihazlarının kendi donanım attestation’ını yapabilse bile Play Integrity’den geçemediği belirtiliyor
    • İlgili örnek olarak GrapheneOS attestation compatibility guide bağlantısı veriliyor
  • Daha basit bir MRZ-only yol da var, ancak sınırlamaları büyük
    • NFC okuma veya yüz eşleştirme olmadan yalnızca kimlik fotoğrafı çekilen bir yol
    • Gerçek ülke uygulamalarının bunu destekleyip desteklemeyeceğinin belirsiz olduğu söyleniyor
    • Reference, yüksek güvenli çip tabanlı yolu öneriyor

Tanıtılan kriptografi ile fiilen kullanılan kriptografi arasındaki fark

  • Dışa dönük anlatı zero-knowledge proofs merkezli olsa da, gerçek reference Android uygulamasının çalışma yolu ZK kriptografisi kullanmıyor
  • Şu anda çalışan yöntem ES256 ile ISO 18013-5 mdoc olarak açıklanıyor
    • Her öznitelik önceden imzalanıyor
    • Cüzdan yalnızca istenen öznitelikleri açığa çıkarıyor, kalanları ise salted-digest commitments ile gizliyor
  • Depoda ZK kütüphaneleri bulunsa bile, presentation path içinde bunlar çağrılmıyor
    • Depoda bulunması ile gerçekten switched on olması arasında fark olduğu vurgulanıyor
    • Ülke uygulamalarının bunu daha sonra etkinleştirip etkinleştirmeyeceği açık bir soru olarak bırakılıyor
  • Mevcut reference’taki unlinkability de güçlü matematiksel garantilerden farklı şekilde açıklanıyor
    • Metin bunu disposable-batch unlinkability olarak adlandırıyor
    • İmzalı kimlik bilgileri yalnızca birer kez kullanılırsa, sadece 18 yaş üstü olma durumu ve düzenleyici gibi bilgiler açığa çıkabilir; benzersiz bir tanımlayıcı bulunmadığı belirtiliyor

Gizlilik özellikleri ve sınırlar

  • Tüm akış local-first yaklaşımına yakın, ancak kimlik bilgisi çıkaran sunucuya hâlâ ihtiyaç var
    • Belge tarama ve ilk kontroller telefonda yapılıyor
    • Uygulamanın attested olduğu varsayımı altında, kimlik bilgisi çıkaran sunucu hangi kodun çalıştığına belli ölçüde güvenebiliyor
    • Sunucu belge imzalarını doğruluyor ve imzalı credential yayımlıyor
  • Doğrulayıcı açısından unlinkability ancak cüzdan kurallara göre davranırsa geçerli oluyor
    • Tasarım, iki kanıtın matematiksel olarak ilişkilendirilemediği bir yapı değil; disposable credentials tek tek kullanılıp yeniden alınan bir model
    • Cüzdan buna uyarsa, farklı doğrulayıcılar farklı imzalar gördüğü için ilişkilendirme zorlaşıyor
    • Cüzdan hile yaparsa veya proof yeniden kullanılırsa, aynı imza baytları ortaya çıktığından ilişkilendirme kolaylaşıyor
  • Sık duyulan ZK = kalıcı unlinkability anlatısı burada geçerli değil
    • Bu özellik, kriptografinin yeniden kullanımı etkisizleştirmesi sayesinde değil, cüzdanın döndürme kurallarına uyması sayesinde korunuyor
    • Karşılaştırma için BBS+ ve CL signatures anılıyor; bu yöntemlerin, tekrar kullanılsa bile ilişkilendirilemeyen kanıtlar üretebildiği belirtiliyor
  • Düzenleyici açısından takip kapsamı da sınırlı
    • Düzenleyici, kullanıcı kimlik gösterdiğinde credential yayımlıyor
    • Sonrasında bu credential’ın nerede ve kaç kez kullanıldığını sunucu bilmiyor
    • Hayal edilebilecek bir rate limit bile yalnızca yayımlama miktarını sınırlar; gerçek kullanım sayısını değil
  • Cüzdan normal çalıştığında kişinin bir AB ülkesi vatandaşı olduğu çıkarımı yapılabilse de, hangi hesapların aynı kişiye ait olduğu ya da siteler arası etkinlik bağlantısı kurmanın zor olduğu belirtiliyor

Relay attack sorunu

  • Standartların düzgün cevap veremediği bir relay attack senaryosu sunuluyor
    • Reşit olmayan biri yaş sınırlı bir siteye girmek istediğinde, vekil doğrulama hizmetine QR kodunu veya bağlantıyı iletiyor
    • Bu hizmet de bunu, içinde yetişkinin resmî cüzdanı bulunan temiz bir telefona aktarıyor
    • Yetişkin onay verince site tamamen geçerli bir over-18 proof alıyor ve erişime izin veriyor
  • Bu akışta hiçbir kriptografik doğrulama başarısız olmuyor
    • Tüm imzalar gerçek, attestation gerçek ve yetişkin de gerçekten yetişkin
    • Sorun, protokolün şu anda bu tarayıcının önündeki insana değil, bir yerdeki herhangi bir cüzdanın onay vermiş olmasına bağlanması
  • Proximity check olmaması temel sınırlama olarak gösteriliyor
    • Tarayıcı tarafındaki Digital Credentials API, sadece gezinme ve doğrulama aynı telefonda yapılırsa kısmi bir hafifletme sağlayabiliyor
    • Cihazlar arası geçişte kullanılan QR kodları ve deep link’lerin ise hâlâ açık olduğu belirtiliyor
  • Play Integrity de bu sorunu çözmüyor
    • Play Integrity yalnızca hangi cihazda hangi kodun çalıştığını attestation ile doğruluyor
    • Cihazın önünde kimin bulunduğunu veya cihazın nerede olduğunu söylemiyor
    • Proxy akışında vekil web hizmeti attestation konusu değil; sadece baytları aktarıyor
  • Bir yetişkin kaydı yapıldıktan sonra yeniden satış modeli daha da kolaylaşıyor
    • Cüzdanda kısa aralıklarla yenilenen 30 disposable credentials bulunduğu belirtiliyor
    • Düzenleyici, bu kimlik bilgilerinin pratikte nasıl tüketildiğini görmüyor
    • Bu nedenle proxy işletmecisi aynı credential’ı çok sayıda reşit olmayana yeniden kullandırabilir ve üst sistem bunu tespit edemez
  • Bunun bir implementasyon hatası değil, protocol shape kaynaklı yapısal bir özellik olduğu söyleniyor
    • Bu yüzden standardı izleyen 27 ülke uygulamasının genelinde sürecek bir sorun olarak görülüyor

Dijital kimlik altyapısına doğru genişleme endişesi

  • Yaş doğrulama uygulaması, digital ID infrastructure için bir giriş noktası olarak ele alınıyor
  • Başlangıç noktası çocukları koruma ve zararlı içerikleri engelleme olsa da, gerçekte insanları daha rahat olan attested wallet seçeneğine yöneltecek bir sürtünme üretildiği anlatılıyor
  • Bu yapıda uygulamanın kendisi de attestation kapsamına girdiğinden, neyin çalıştırılabileceğini Google veya Apple belirlemiş oluyor
  • Issuer’ın credential’ları iptal edebileceği belirtiliyor
  • Reference app’in yüz fotoğrafını yalnızca yerelde sızdırdığı söyleniyor
    • Aynı zamanda 27 ülkenin ayrı sürümler geliştireceği için, her ülke implementasyonunda ayrı gizlilik hataları çıkabileceği öngörülüyor
  • Tekrarlanan cüzdan çağrılarının Hawthorne effect yaratacağı belirtiliyor
    • Tartışmalı sitelerde her seferinde cüzdan açmak gerekirse, proof anonim olsa bile oto-sansür artabilir
    • Devletlerin bu tür verileri iyi koruma sicilinin parlak olmadığı da söyleniyor
  • Sonrasında bunun Digital Euro gibi başka sistemlerle bağlanabileceği endişesi de dile getiriliyor
    • Böyle bir durumda hayatın büyük bir kısmının uzaktan kapatılabileceği düşünülüyor
    • Örnek olarak ödenmeyen park cezası nedeniyle credential’ın geçici olarak askıya alınması gibi senaryolar veriliyor
  • Sonuç olarak internete erişimin bedeli olarak iptal edilebilir dijital kimlikleri kabul etmek zorunda olmadığımız vurgulanıyor

Kamuya açık hack örneklerine dair ayrım

  • Bildirilen sorunlar iki gruba ayrılıyor
    • mock-up bugs: dosya sızıntısı, doğrulanmamış MRZ taraması, placeholder backend’e istek atan Chrome extension demosu vb.
    • structural properties: proximity binding yokluğu, istemci tarafında tek kullanımlık yapı, yeniden kullanımda bozulan unlinkability vb.
  • İlk grup, ülke bazlı implementasyonlarda düzeltilebilecek sorunlar olarak sınıflandırılıyor
    • Reference app’in disk dosyası sızıntısının düzeltileceği ve temel mesele olarak görülmediği belirtiliyor
    • Test credential’ı alınabilecek şekilde kandırmak mümkün olsa da, gerçek ana yolun doğrulanmamış MRZ tarayıcı mock-up’ı değil, ülke bazlı eID sistemleri olacağı söyleniyor
  • İkinci grup ise hata değil, doğrudan standarttan çıkan özellikler olarak ele alınıyor
    • Standardı izleyen tüm ülke implementasyonlarında kalacak sorunlar olarak tanımlanıyor
  • custom Chrome extension tabanlı hack’in üretim ortamında çalışmayacağı düşünülüyor
    • Attestation zorunlu olursa uygulama doğrulamasında başarısız olacak
    • MRZ yolu da gerçek AB ortak backend’ine bağlı değil; geçerli belge kayıtlarının ülke yetkisinde olduğu belirtiliyor
  • “Mock-up’ı kırdık” türündeki gösteriler, bir kütüphane kullanım örneğini hedef alan saldırılar olarak özetleniyor
    • Gerçekte Slovak, Hungarian, German, Dutch, French gibi ülke bazlı uygulamaların ayrı ayrı var olacağı belirtiliyor

Talep ve sonuç

  • Böyle bir sisteme yönelik talebin gerçekten var olduğu düşünülüyor
    • İnternetin tehlikeli olduğunu düşünen ebeveynler çocuklarını koruyacak araçlar istiyor
    • Çocukların bunu aşma ihtimalinden bağımsız olarak, asıl müşterinin korunan çocuklardan çok rahatlamak isteyen ebeveynler olduğu anlatılıyor
  • İlgili referans bağlantıları da veriliyor
  • Son bölümdeki değerlendirme dört noktada özetleniyor
    • EU fancy ZK apps geç kaldığı için platformların genel KYC provider, yapay zeka yüz yaşı tahmin edicileri ve diğer yöntemlere yönelmesi muhtemel
    • Standarta uygun uygulanırsa, platformların kullanıcının gerçek adını ya da hesaplar arası bağlantıları öğrenmesini zorlaştıran anlamlı gizlilik özellikleri var
    • Ancak bu özellikler kriptografik zorunluluktan çok wallet behavior’a dayanıyor ve depodaki ZK matematiği şu anda etkin değil
    • Google/Apple approved device dışında çalışmama kısıtı ile relay attack’in yapısal sınırları birlikte geliyor

İlgili okumalar

1 yorum

 
GN⁺ 3 일 전
Hacker News görüşleri

  • Bu bir Truva atı değil; karar metinlerinde, tartışmalarda ve yasa metinlerinde açıkça belirtilmiş hedef bu
    Yaş doğrulama gereksinimleri, teknolojinin uygulanabilir olduğunu kanıtlama aracı ve tam kapsamlı dijital kimliğe giden en basit başlangıç noktası olarak seçildi
    AB'de zaten ulusal hükümetler akıllı kartlara veya devlet hesabı tabanlı, OIDC benzeri kimlik doğrulama hizmetleri sunuyor; dijital cüzdan da bunun devamı olarak diğer AB ülkesi vatandaşlarının kimliğini doğrulamayı kolaylaştırmak ve kimliği telefona taşımak için tasarlanmış bir yapı
    Çocuğa yaş doğrulama token'ını devretme senaryosu gerçek hayatta da zaten mümkün ve bu risk, ortaya çıkarsa cezalandırma yoluyla ele alınıyor; barın peşinden gidip gerçekten içip içmediğini kontrol etmiyoruz

    • Bugün yaş doğrulama, yarın dijital kimlik, sonra da kalıcı takip; düzen hep aynı görünüyor
    • Arada büyük fark var
      Gerçek fiziksel kimlik çoğu zaman banka işlemleri, belge imzalama, devletle muhatap olma gibi seyrek durumlarda gösteriliyor; alkol alırken bile çoğunlukla istenmiyordu
      İstense bile sadece gösteriyorsun; fotoğrafını çekip saklamalarına izin vermiyorsun
      Ama market, eczane, benzinlik, otopark, restoran ve barların hepsi kimlik isteyip fotoğrafını çekerek veritabanına kaydetse kimse bunu memnuniyetle karşılamazdı
    • O halde bir yol haritası ya da takvim var mı merak ediyorum
      Ben de yazar gibi Slovak kimliğine sahibim; bunun internet hizmetlerine erişimde gerçekten ne zaman işe yarar hâle geleceğini bilmek istiyorum
    • Gerçek hayatta da mümkün olduğu benzetmesi, yersiz bir analoji olmaya yakın
      Buradaki kusur, etrafından dolaşmayı endüstriyel ölçekte mümkün kılıyor; bu da gerçek hayatta birkaç kez bir başkası adına satın alma yapılmasıyla aynı şey değil

  • BBS+ ya da CL imzaları gibi gerçek kriptografik unlinkability, yeniden kullanıldığında bile ilişkilendirilemeyen kanıtlar üretir; ama bu sistem öyle değil
    İsviçre eID tartışmalarında da gündeme geldiği gibi, ZKP yerine dönen imzalar kullanılmasının sebebi çoğu telefon güvenlik donanımının BBS+ gibi algoritmaları desteklememesi
    Devletin baştan kendi gizli anahtar saklama düzenini kurmasındansa, donanım modülünün ürettiği imza paketlerini döngüsel kullanmak genel olarak daha gerçekçi ve daha az problemli görülüyor
    Donanım modülünün avantajı, telefon kaybolduğunda saldırganın gerçek gizli anahtarı çıkarmasını çok daha zorlaştırması
    Dijital kimlik her gündeme geldiğinde korkuyu büyüten taraf hep aynı kopyala-yapıştır kaygıları tekrarlıyor; ama gerçek EUDI spec okunursa bunların önemli kısmının zaten ele alındığı görülür
    https://eudi.dev/1.6.0/architecture-and-reference-framework-main/

    • Spesifikasyonu okudum ama revocation flow'un, veren taraf/devlet ile site işletmecisi işbirliği yaptığında yaş doğrulama kullanıcısının kimliğini açığa çıkarmayı nasıl engellediğini tam anlayamadım
    • Çeşitli ID sistemleri için önerileri, artılarını-eksilerini ve gerçek işletim deneyimlerini derleyen iyi bir giriş kaynağı varsa bilmek isterim
      Vikipedi'de ülkelere göre eID maddelerine bakmaktan daha iyi bir başlangıç noktası arıyorum
    • Evet
      Bu yalancı çoban tarzı abartı döngüsü gerçekten yorucu

  • Başka bir bakış açısı da mümkün
    EU Age Control'ün kendisi Truva atı değil ve uygulama iddia ettiği işlevi gerçekten yerine getiriyor
    Kimse bunu kullanmak istemiyor
    Asıl Truva atı kurumsal mobil OS
    Ücretsiz bir hediye gibi göründüğü için insanlar bunu isteyerek kabul ediyor ama gerçekte temel iş modeli, Google·Apple ve reklam ortaklarının lehine çalışan bir mahremiyet aşındırma yazılımı
    İnsanlar özelliği görmüyor, sadece güzel ücretsiz hediyeyi görüyor
    Bu yüzden yaş doğrulama uygulaması da yalnızca kurumsal mobil OS üzerinde çalışıyor
    Yazarın dediği gibi Google veya Apple'ın onayladığı cihazlar dışında Linux, GrapheneOS, Huawei ve özel firmware'ler dışlanıyor; bunun güvenlik modelinin parçası olduğu söyleniyor
    Kimlik istemenin gerçek bahanesi yaş doğrulama değil, güvenlik; tam da bu mantık yüzünden cihaz sahibinin kendi derlediği OS'yi kullanmasına izin verilmiyor

  • Bana göre dijital kimlik, dijital para gibi sonunda kaçınılmaz hâle gelebilir
    Daha rahat ve daha verimli olduğu için verilmeye devam edecek, kâğıt tabanlı kimlik ispatı da zamanla ortadan kalkacak
    Bağlantılı bir dünyada banka kartı ya da sürücü belgesi gibi fiziksel token'lar ne zorunlu ne de en iyi çözüm
    O yüzden odak, hükümetin bununla neleri yapamayacağını sınırlamakta olmalı
    Örneğin vatandaşlık nasıl keyfi biçimde kaldırılamıyorsa, kimliğin devre dışı bırakılması ya da silinmesi de kolay olmamalı

    • İnsanlar digital ids ifadesini duyunca farklı şeyler anlıyor gibi
      Hollanda hükümetinin vergi beyanı gibi işler için kullandığı dijital kimlik de var, Ukrayna hükümetinin verdiği X509 sertifikası ve uygulamayla benzer işleri yapmak da mümkün
      Bunların bile kötü sayılmasını pek anlayamıyorum
    • Ama birçok ülke fiilen vatandaşlıktan çıkarmaya izin veriyor
      Birleşik Krallık'ta bu siyasi kararla da yapılabiliyor; banka hesabı dondurma gibi başka haklar da engellenebildiğinden bunun etkili biçimde yasaklanabileceğine dair şüpheliyim
      Fiziksel token'larla ilgili sorunu da pek göremiyorum
      Basitler, tekil arıza noktası oluşturmuyorlar, telefonunu kaybetsen bile kart ve nakit sende kalıyor, ağ ya da sistem arızalarına karşı da dayanıklılar
      Yanında birkaç kart taşımak gerçekten o kadar büyük bir dezavantaj mı bilmiyorum
    • Dijital kimlik büyük ihtimalle fiziksel token biçimleriyle birlikte var olmaya devam edecek
      Üstelik kâğıt üzerinde de dijitalleştirilmiş ve kriptografik olarak imzalanmış kimlik taşınabiliyor; bu da güvenlik ve makine tarafından okunabilirlik açısından elektronik olanla oldukça benzer bir rol oynayabiliyor
      Elektronik token'ın özellikle öne çıktığı yer, kimlik olsun ya da başka bir şey, tek bir kopyanın fiziksel olarak elde bulundurulduğunu kanıtlamak
    • Kaçınılmaz olduğu kısmına katılıyorum ama sonrası derin bir tavşan deliği gibi görünüyor
      AB zaten yıllardır devletlerin neler yapabileceğini sınırlama iddiasıyla bu yöne gidiyor
      https://escapekey.substack.com/p/europe-goes-full-digital
    • Kimliğin engellenememesi deniyorsa, pasaportu kaybedince polise bildirip geçersiz kılmak gerektiği gibi telefondaki dijital kimlik de kaybolduğunda iptal edilebilmelidir

  • Sosyal medya büyüdüğünden beri seçimlerin değiştiğini görünce, hükümetler sanki eskisi gibi kontrolü geri kazanmak istiyor
    Çocuk istismarı materyali, terör ve şimdi de AI üretimi CP gibi korkular öne sürülerek açık internet giderek daha çok sıkılıyor; sonunda da Batı tarzı bir Great Firewall ve sosyal kredi benzeri ikinci sınıf bir sürüm elde edeceğiz gibi duruyor
    Bazı özgür demokrasilerde bunun kökleri şimdiden atılmış gibi görünüyor

    • Bence bu daha çok, sosyal medyada dijital kimlik doğrulaması yoluyla kamusal tartışmayı bozan bot hesapları ortadan kaldırma çabasına benziyor
      Büyük influencer hesaplarının bazılarının Çin veya Rusya botları olduğu ortaya çıktı ve nefretle kutuplaşmayı büyütme çabaları LLM'ler yüzünden daha da artıyor
      Sosyal hesapların arkasındaki gerçek varlığı doğrulayabilecek bir tür dijital kimlik, belki de kamusal tartışmayı korumak için elimizdeki son gerçek umut olabilir
    • Hükümetler kontrolü geri almak istiyor denirken, bizi Amerikan şirketlerinin tamamen kontrol ettiği cihazlardan geçirmek zorunda bırakmaları tuhaf değil mi
    • Bunun seçimlerdeki değişimle doğrudan bağlantılı olup olmadığından emin değilim
      Benim hükümetim bir süredir sosyal medyanın bizi daha aptal, daha depresif ve daha kaygılı yaptığını söylüyor; bence bu doğru
      Bunun etkisinin seçimlere de yansıdığını biliyorum ama çözmek istedikleri ana nokta doğrudan seçimlerin kendisi gibi görünmüyor
      Sorunu çözersen seçimleri de etkilemesi zaten doğal olur
    • Hükümetlerin AI CP meselesini gerçekten umursadığını da sanmıyorum
      Gerçek çocuklar temel alınarak üretilenler söz konusu olduğunda bile, bir milyarder açıkça üretici erişimi satarsa pek bir şey olmamış gibi davranılıyor
      Bu yüzden bunun sonunda korkuyu büyüten bir korkuluk argümanı olduğu hissi daha da güçleniyor

  • İster demo uygulaması olsun ister olmasın, asıl önemli olan doğru düzgün uygulanması
    Çünkü her üye devletin bunu eksiksiz ve doğru uygulama ihtimali düşük
    Çocuğu koruma çözümünün kendisi de sonuçta sınırlı
    Çocuğa telefon ya da bilgisayar vermemek daha basit bir çözüm olabilir ve zaten yasa dışı siteler yaş doğrulamaya uymayacaktır
    Pirate Bay gibi yerler yasaya iyi uyuyor olsaydı zaten en baştan var olmazlardı; dolayısıyla bu, sonunda etkisiz bir çözüme benziyor

    • Tek uygulama olup olmamasından çok veritabanı ve birlikte çalışabilirlik beni endişelendiriyor
      Özellikle ülkeler arasında hangi onay/kontrol protokollerinin izleneceği asıl mesele
      Tek bir veritabanı ya da denetimsiz bir ağ isteme fikri oldukça ürkütücü geliyor
    • Çocuğa telefon ya da bilgisayar vermemek çözüm değil
      Günümüzde birçok okul bilgisayara erişimi zaten zorunlu tutuyor

  • Biz zaten uzun zamandır eID kullanıyoruz ve bunun internette daha yaygın kullanılması sorun değil
    Yaş doğrulama da öyle ama bunun Amerikan şirketleri veya Palantir işin içine girmeden yapılması gerekir

  • Yaş doğrulama gibi alanlarda gerçek bir Zero Knowledge Proof düzenine izin verilmesi pek olası görünmüyor
    Ayrıca remote attestation da bu şekilde çalışmıyor
    Gerçek bir ZKP düzeninde tek bir anahtar sızsa ya da çıkarılsa bile sonsuz sayıda sahte kanıt üretilebilir ve bunu tespit etmek zorlaşır

    • Bu yazının ele aldığı AB yaş doğrulaması, gördüğüm teknik belgelerde açıkça ZKP kullanımını belirtiyor
      https://eudi.dev/2.5.0/discussion-topics/g-zero-knowledge-proof/
    • O zaman Google Play Integrity kullanılamaz
      Çünkü Oreo gibi eski cihazları bile doğruluyor ve üreticinin güncellemeyi kestiği cihazlarda anahtar sızdırmayı mümkün kılan fiilen sonsuz sayıda açık kalmış oluyor

  • Birçok ülke zaten yıllardır dijital kimlik işletiyor
    Sorun dijital kimliğin kendisi değil, gözetim
    Devletin verdiği kurumla doğrudan iletişim kurarken kullanılan dijital kimlik sorun değil, hatta tercih edilir bile olabilir
    Ama yaş doğrulamayı dayatmak, bu bilgiyi özel şirketlere de açan bir mekanizma ve bence Truva atı da tam olarak bu

    • Buradaki bilgi aslında {"over_18": true} ya da {"over_16": true, "over_18": false} üzerine devlet imzası eklenmesinden ibaret
      Elbette Vatikan kimliği gibi sıra dışı bir durum olursa sorun çıkabilir ama o taraf zaten bu sisteme katılmıyor

  • İnternet eskiden cyberpunk bir kaçış alanıydı, şimdi ise ne pahasına olursa olsun anonimliğin kaldırılmasına doğru gidiyor gibiyiz
    Yüz tanımayla telefon kilidi açılan, internet geçmişinin devlet kimliğiyle bire bir bağlandığı bir dünya sadece hüzün verici