AB'nin yaş doğrulama uygulaması, Google tarafından sertifikalandırılmamış Android sistemlerini tamamen engellemeye hazırlanıyor

 (reddit.com)
3 puan yazan GN⁺ 2025-07-28 | 5 yorum | WhatsApp'ta paylaş
  • AB, gizlilik odaklı bir yaş doğrulama uygulamasını açık kaynak olarak geliştiriyor ve her üye ülkenin bunu özelleştirerek devreye alması planlanıyor
  • Uygulama, uzaktan doğrulama (Remote Attestation) özelliği üzerinden uygulamanın normal ve güvenilir bir ortamda çalışıp çalışmadığını doğrulamayı hedefliyor
  • Google lisanslı Android OS, Play Store üzerinden kurulum ve cihaz güvenlik kontrolünü geçme gibi koşullarla Google ekosistemiyle güçlü biçimde entegre durumda
  • GrapheneOS gibi güvenliği yüksek özel Android dağıtımları da Google'ın resmi sertifikasını alamadığı için kullanılamıyor; Play Integrity API kullanımı nedeniyle genel Android Attestation'dan daha katı kısıtlamalar uygulanıyor
  • Sonuç olarak, uygulamayı kendiniz derleseniz bile Play Store dağıtımı değilse kullanılamıyor; açık kaynak olmasına rağmen fiilen Google hizmetlerine bağımlılık ve alternatif işletim sistemlerinin dışlanması sorununu doğuruyor

AB yaş doğrulama uygulamasına genel bakış

Uzaktan doğrulama ve güvenlik politikası

  • Uygulamaya Remote Attestation (uzaktan doğrulama) özelliğinin eklenmesi planlanıyor
    • Sunucu, uygulamanın orijinal bir OS ve güvenilir bir ortamda çalışıp çalışmadığını doğrulayacak
    • "Genuine" Android ölçütü:
      • Google lisanslı bir OS olmalı
      • Uygulama Play Store üzerinden kurulmalı (Google hesabı gerekir)
        • Cihaz güvenlik kontrolünün geçilmesi gerekir
  • Bu doğrulama yöntemi Google Play Integrity API'ye dayanıyor
    • AOSP (saf Android) standart Attestation'ına göre çok daha katı kısıtlamalar uygulanıyor
    • GrapheneOS, LineageOS gibi özel OS'lerde çoğu durumda geçilemiyor

Özel OS ve derleme kısıtlamaları

  • Resmi olmayan OS'ler veya elle derlenmiş uygulamalar uzaktan doğrulamayı geçemiyor
    • Play Store'a kayıtlı olmayan uygulamalar hizmet doğrulamasında başarısız oluyor
    • Bu da fiilen Google hesabı ve hizmetlerine bağımlılık yaratıyor
  • Açık kaynak olmasına rağmen, kullanıcı özgürlüğü ile güvenliği daha yüksek olan OS'lerin bile dışlanması sorunu ortaya çıkıyor

Etkiler ve tartışmalar

  • AB vatandaşları ve geliştirici topluluğu içinde Google bağımlılığının güçlenmesi, alternatif OS'lerin dışlanması ve açık kaynağın sınırları konusunda tartışmalar yükseliyor
  • Güvenlik ve gizliliği koruma amacı taşımasına rağmen, kullanıcı tercihinin daralması ve belirli bir ekosisteme bağımlılık yönündeki kaygılar büyüyor

İlgili okumalar

5 yorum

 
crawler 2025-07-30

......O zaman neden Android kullanıyoruz ki?
 
ng0301 2025-07-30

Oralarda da sadece kalabalıklar; yaptıkları iş burada da orada da aynı haha
 
null468 2025-07-29

Yaş doğrulama ile kişisel verilerin korunmasının nasıl birlikte kullanılabildiğini pek anlamıyorum..

Doğrulama yaptığınız anda en az bir kez oraya imzanızı bırakmaktan farksız değil mi?

Gerçekten kişisel verileri korumak istiyorsanız, anonim olarak kullanılabilmesi gerekir
 
unsure4000 2025-07-28

Bu arada Pass:
 
GN⁺ 2025-07-28
Hacker News görüşleri

  • Android tarafında “orijinal”, Google tarafından lisanslanmış işletim sistemi, Play Store’dan indirilen uygulamalar (Google hesabı gerekir) ve cihaz güvenlik kontrolünden geçmek anlamına geliyor
    Bu yöntemle cihaz güvenliğini doğrulamanın bir değeri olduğunu kabul ediyorum, ancak bunun karşılığında uygulama Google’ın kendi hizmetlerine güçlü biçimde bağımlı hale geliyor
    Bu tür güvenlik kontrolleri gayriresmî Android OS’lerde geçilemediği için Avrupa’nın dijital kimlik cüzdanı projesinde sorun olarak işaret ediliyor
    İlgili GitHub sorunu
    Ben bu tür bir plana sert biçimde karşı çıkmak isterim
    Yaş doğrulama sürecinde ABD’li büyük teknoloji şirketlerine bağımlılığı artırmak, Avrupa’nın ABD’ye daha fazla BT egemenliği devretmesi anlamına gelir; bu da hiç arzu edilir değil
    Son dönemdeki siyasi durum düşünüldüğünde bunun ne kadar büyük ve istenmeyen bir risk olduğunu ayrıca açıklamaya bile gerek olmadığını düşünüyorum
    Doğrudan taraf olan biri olarak ben de bu kaygının makul olduğunu hissediyorum
    Söz konusu GitHub sorunundaki başka bir yorumda da, Google hizmetlerini zorunlu kılmanın bazı AB üye devletlerinin hukuki bağımsızlığına ve gizlilik yasalarına aykırı olabileceği tartışılıyor

    • “Cihaz güvenlik kontrolü” bana göre en korkutucu unsur
      Bu, fiilen “resmî olarak onaylanmış donanım ve yazılım” anlamına geliyor ve Stallman’ın "Right to Read" eserinde uyardığı distopyaya giden kestirme bir yol
      AB’nin dijital otoriterliği kendi eliyle güçlendirmek için ABD’li büyük teknoloji şirketlerine dayanması oldukça ironik geliyor
      Klasik Amerikan özgürlük anlayışı (asi özgürlük), AB’de ya da Birleşik Krallık’ta o kadar da popüler olmamış gibi görünüyor

    • Bunun siyasi ortamla ilgisi olmak zorunda değil; bu tür politikalar başlı başına temelden kaygı verici
      Devletin bilgi gözetlemesi her zaman daha tehlikelidir ve hatta yerel olmayan bir OS kullanmak gizlilik açısından daha avantajlı olabilir
      Yine de proprietary kod çalıştırırken dikkatli olmak gerekir

    • Birleşik Krallık’taki belirli bir polis örgütünün internette göçmen eleştirmenlerini izlediğine dair bir habere değinerek, ABD’nin siyasi ortamından endişe edenler olsa da Birleşik Krallık’taki durumun da güven verici olmadığını vurgulamak isterim

  • Avrupa Birliği her seferinde ABD şirketlerine bağımlılığı azaltma ve inovasyon söylemiyle ortaya çıkıyor, ama gerçekte sık sık söz değiştiriyor ve zaman geçince her şey sessizce unutuluyor; bu kısır döngü tekrarlanıyor
    Avrupa ülkeleri tek tek güçlü olsa da bazen Avrupa Birliği sadece gürültülü ama etkisizmiş gibi geliyor

    • Bunun yapısal nedeni, Avrupa Birliği’nin tek bir devlet değil ekonomik bir ulusüstü yapı olması
      Fransa/Almanya sık sık stratejik özerkliği vurguluyor ama Polonya/Çekya/Baltık üçlüsü bu tür hamlelere daha az sıcak bakıyor
      Bu, son dönemdeki self-hosting tartışmalarında olduğu gibi özerklik ile verimlilik arasında denge kurma meselesi

    • Avrupalıların %95’i zaten ABD menşeli OS kullanıyor; yaş doğrulama için EurOS dağıtılana kadar 20 yıl bekleyemeyiz

    • AB’nin politika yönünü sürekli değiştirmesinin başlıca nedeni, arka planda Fransa, Almanya, İrlanda, Çekya gibi ülkelerin sanayi çıkarlarının çatışıyor olması
      “AB içinde kendi teknolojimiz” söylemini neredeyse her zaman Fransız politika yapıcılar/şirketler dillendiriyor; Almanya, Hollanda ve Doğu Avrupa ise aynı çizgide değil
      AB’den çok tek tek ülkelerin çıkarları öncelikli ve ABD’li büyük teknoloji şirketlerinin doğrudan yabancı yatırımları birçok üye devlet ekonomisinde zaten çok büyük yer tutuyor
      1980’ler ve 90’larda Japon ve Güney Koreli otomotiv şirketlerinin de ABD pazarıyla çıkarlarını uyumlu hale getirip işbirliğini seçmiş olmasının bir örneği var

    • AB bir tür “etkisiz ama gürültücü chihuahua” gibi
      Otoriter yasaları geçiriyor ama ulusal siyasetçiler ellerinden bir şey gelmediğini söylerken internet kontrolünden elde ettikleri faydayı da topluyor
      Sıradan yurttaşlar ise bundan pek bir şey kazanmıyor

  • İnternet özgürlüğü savaşı hızlanıyor
    Distopik yasalara karşı gerçek bir direniş olmazsa bilginin özgür dolaşımı giderek istisnai bir duruma dönüşüyor
    Bu gelecekte olabilecek bir ihtimal değil; tam şu anda, dünya genelinde yaşanan bir gerçek

    • Bir arkadaşım kendi ülkesindeki protestolarla ilgili X (eski Twitter) gönderilerini artık göremediğini söyledi
      Bu tür gönderiler “yetişkin” içeriği olarak sınıflandırılıyor ve artık kimlik doğrulaması olmadan görüntülenemiyor
      Üstelik bunlar gerçek porno bile değil, protesto videoları
      Gerçekten de bu durum şimdiden bugün yaşanıyor

    • Her zaman “çocukları düşünmeliyiz” diye başlanıyor ama bu yalnızca başlangıç
      İnternetin altın çağı, vahşi dönemi artık geride kaldı
      Bundan sonra mahremiyeti ve ifade özgürlüğünü koruyup koruyamayacağımız bile belirsiz

  • Ne olduğunu merak edenler resmî teknik belgeye ve kullanıcı akışı şemasına bakabilir
    Temel kullanım akışı, gizliliği koruyan bir “18 yaşından büyük” doğrulaması olarak özetlenebilir
    Bu yöntem reşit olmayanların pornoya erişimini engellemeyi amaçlıyor, ama teknik bilgisi biraz olan kişiler için gerçek bir engel olamaz
    Örneğin biraz bilgisi olan herkes VPN kullanarak ya da torrent ile bunu kolayca aşabilir
    BitTorrent için de 18 yaş doğrulaması zorunlu hale gelirse durum değişebilir, ama pratikte bunu engellemek zor

    • Aslında bugünlerde sadece bir tarayıcı (ör. Opera GX) ve VPN ile çoğu durumda bunu kolayca aşmak mümkün
      YouTube reklamlarında sık görünmesi kadar yaygın bir yöntem; yani bu, “teknoloji meraklısı” düzeyinde bile olmayabilir

    • Bence sosyal medya pornodan bile daha büyük bir sorun
      Hatta belki tüm sosyal platformları kapatıp sadece pornoyu bırakmak daha iyi olabilir
      Küçük yaşlardan itibaren bunlara maruz kalmak sorun yaratabilir, ama dünya genelinde doğum oranları düşerken insanların zaten pek çocuk sahibi olmak istemediğine bakınca artık bunun için endişelenmeye bile gerek yokmuş gibi geliyor
      Sanırım son zamanlarda fazla alaycı oldum

    • Temel çözümün, reşit olmayanları en baştan internetten uzak tutmak olduğunu düşünüyorum
      18 yaş altındaki öğrenciler düzgün bir yetişkin gözetimi olmadan çevrimiçiyse, toplum zaten sorumluluğunu yerine getirmemiş demektir
      Her ne kadar okul ödevlerinin çevrimiçi eksene kaymasıyla bu gemi çoktan kalkmış olsa da bir gün buna yeniden en baştan yaklaşmak gerekir
      Pornografi kadar tehlikeli olan şey sonuçta diğer insanlar ve her türlü bağımlılık
      Temel sorun çözülmeden sadece sistemi değiştirmek özde hiçbir şeyi değiştirmez
      Düzenleme: Okul ödevleri için internetin zorunlu kılınmasından da hoşlanmıyorum
      Bir çocuğun internet kullanmasına izin verilip verilmeyeceği ebeveynlerin yetkisinde olmalı; teknik yaş doğrulamasına ya da içeriğin toptan engellenmesine karşıyım
      Ebeveynler çocuklarını akıllıca yönlendirmeli

  • AB’deki arkadaşlara sormak istiyorum
    Neden Google gibi ABD’li büyük teknoloji şirketlerine bu kadar teslim olunuyor?
    Avrupa’nın bunu kendi başına yapabilecek kapasitesi olduğunu düşünüyorum
    Google olmadan da mümkün; önemli olan net bir plan ve bunu uygulama iradesi

    • ABD’li büyük teknoloji şirketleri sadece “ücretsiz” çözüm önerdiğinde AB de bunu kolayca kabul ediyor ve sonunda bütün koşullara uyum sağlıyor
      Daha sonra ise sanki çok normalmiş gibi gecikmeli bir şaşkınlık yaşanması tekrar ediyor

    • Sebep sermaye eksikliği ve gelecek korkusu
      Google yüz milyonlarca euro yatırıp veri merkezi kuracağını söylediğinde iş, istihdam ve yerel ekonomiyi canlandırma söylemi hemen devreye giriyor
      Google ile ilişkiler iyi olursa bu tür yatırım projeleri sürüyor; reddedilirse büyük teknoloji şirketleri yatırımı başka yere kaydırabilir
      Bugünlerde Avrupa menşeli teknolojileri kendi başımıza geliştirmemiz gerektiğine dair sesler yükseliyor ama büyük teknoloji şirketlerinin fiyat rekabetiyle baş etmek için yatırım çekmek çok zor
      Devletin doğrudan yatırım yapması çok popüler değil; özel şirketler açısından da sağlam bir talep sözleşmesi olmadan yatırım teşviki düşük kalıyor
      Sonuçta küresel büyük teknoloji şirketleri bunu en hızlı ve en ucuza yapabiliyor ve tedarik zinciri koparsa risk Avrupa geneline yayılıyor
      AB, ABD’li büyük teknoloji şirketlerini toptan dışlarsa ABD’den misilleme niteliğinde bir ticaret savaşını da tetikleyebilir

    • “AB’nin kendi çözüm kapasitesi var” iddiasına katılmıyorum
      Gerçekte kullandığım AB menşeli yazılımların çoğu düşük kaliteliydi; nispeten iyi olanlar bile sonunda ABD şirketleri tarafından satın alındı

    • Sonuçta önemli olan şey “para”
      Avrupa içinde o para ABD’den farklı şekilde toplanıyor ve kullanılıyor

    • Siyaset sonuçta yozlaşmaya açık

  • Daha önce de hükümetlerin Google dışı Android cihazları yasakladığı örnekler oldu
    GrapheneOS üzerinde engellemelere dair özeti okuyabilirsiniz

  • Gerçeklik giderek teknik olarak kazananı olmayan bir oyuna dönüşüyor
    Ben GrapheneOS’i her gün kullanıyorum ve bana göre varsayılan olması gereken düzeyde tatmin edici
    Bir uygulama benzer kısıtlamalar uyguladığı için hiç çalışmıyor; ben de o uygulama için ayrıca bir stok Android cihaz kullanıyorum
    Rahatsız edici ama buna değdiğini düşünüyorum
    Yine de bu eğilimin çevremde çok hızlı yayılmamasına seviniyorum, ancak trendin kendisini sevmiyorum

    • Bu durumda kazanmanın tek yolu oyunu hiç oynamamak
      Akıllı telefon gerekli olabilir ama günlük hesaplama işleri için ayrı bir bilgisayar kullanmak en doğru çözüm

    • Bu aslında teknik değil, düzenleme meselesi
      AB interneti daha fazla kontrol etmek istiyor ve şu an gerekçe “çocuklar için”, ama yakında gerçek isim zorunluluğu, sohbet taraması vb. şeylere uzanabilir
      Bu tür düzenlemeleri iten güçler mutlaka durdurulmalı

  • Yeni denenmekte olan kullanıcı akışı zaten rahatsız edici, ama ister ABD ister Çin olsun özel şirketlerin internetin giriş biletini elinde tutması daha da sinir bozucu
    Kim böyle bir internet ister ki?

    • Böyle bir interneti isteyenler sonuçta korkmuş zenginler ve bürokratlar

  • İdeolojik boyutu bir yana, bunun gerçekten teknik olarak gerekli olup olmadığını sormak istiyorum
    Örneğin bu doğrulama yapılmazsa kaynak kodu ya da binary’yi değiştirip doğrudan “ben 18 yaşından büyüğüm” demek mümkün olmaz mı?
    Öyleyse bunu Google üzerinden gitmeden engellemenin net bir teknik yolu var mı, merak ediyorum

    • Evet
      Bu bütün akış aslında EU Wallet (Projesi) tabanlı olmasını önkoşul kabul ediyor
      EU Wallet, OpenID (oidc4vci, oidc4vp) standartları temelinde öznitelik bazlı seçici doğrulamayı destekliyor
      Örneğin devlet tarafından verilmiş öznitelikleri elektronik imza biçiminde cüzdanda saklayabilirsiniz
      Sorun şu ki bu bilgi kopyalanabilir ya da ikinci el olarak paylaşılabilir; dolayısıyla sadece saklamak doğrulamayı aşmaya yetebilir
      Bu yüzden öznitelik (credential) verilirken onu belirli bir cihaza bağlayıp açık anahtar/özel anahtar çiftini doğruluyorlar ve RP de buradan hareketle isteğin gerçekten o cihazdan gelip gelmediğini ek olarak kontrol ediyor
      Sonuçta bu aşamada “güvenli saklama”, yani Secure Enclave benzeri bir donanım gerekiyor
      Eğer köklü erişimli bir telefonda olduğu gibi korumasız bir ortam varsa ya da özel anahtar doğrudan çıkarılabiliyorsa, cihazlar arası kopyalama mümkün olacağı için bütün amaç anlamsızlaşır
      Örneğin 18 yaşından büyük bir arkadaş doğrulamayı yapıp bunu paylaşabilir

    • Pratikte gereken şey, bir web sitesine giriş yapıp kişisel kimliğe sahip olduğunuzu kanıtlamak gibi; burada donanım token’ı/biyometrik doğrulama (ör. FIDO, passkey vb.) istenebilir
      Asıl sorun gerçek ve sanal token’ları ayırt etmek ve simülasyonu önlemek gibi görünüyor
      Burada Secure Boot gibi donanım güvenilirliği doğrulaması devreye girebilir

    • Doğrulamanın aşılmasını önlemek için önyükleme, OS ve donanımın AB’ye kayıtlı production imza zinciriyle doğrulanmış durumda olması gerekir
      Kullanıcı kendi imza anahtarını kaydederse ya da güvenli önyükleme OS imajını özelleştirirse önyükleme doğrulaması eşleşmez ve doğrulama yapılamaz
      Bu, macOS’te güvenlik seçenekleri kapatıldığında Apple Wallet’a erişilememesiyle benzer bir mantık
      Özünde kullanıcının kendi istediği gibi özelleştirme yapmasını engelleyemezsiniz, ama bu durumda resmî doğrulama zincirinin dışında kalır
      Sorun, bu sistemi ticarileştirip donanım-OS tarafında uygulayanların fiilen yalnızca Google ve Apple olması
      Sonuçta AB, kendi doğrulama zincirini mümkün olduğunca geniş açık tutarken güvenlik açığını istismar eden ya da haklarında ihbar gelen tarafların hukuki sorumluluk üstlenmesini sağlayabilir
      Gelecekte Steam Linux gibi platformlar da VAC benzeri güvenlik doğrulamaları için bu zinciri AB’ye kaydettirebilir
      Sonuç olarak üretici/platformun sorumluluk bilinciyle AB’ye güvenilirliğini gösterebilmesi gerekir ve ileride daha fazla OS ile zincirin kabul edilmesi de mümkün olabilir

  • İlgili uzun tartışma bu GitHub sorununda görülebilir
    Google’a bağımlı bu yaklaşımın AB pazarının temel ilkelerini zedelediğini düşünüyorum