AB yaş doğrulama uygulaması için masaüstü desteği planlanmıyor

 (github.com/eu-digital-identity-wallet)
2 puan yazan GN⁺ 2025-09-25 | 1 yorum | WhatsApp'ta paylaş
  • AB Dijital Kimlik Cüzdanı projesi yalnızca mobil platformlara (Android/iOS) odaklanıyor ve masaüstü desteğini değerlendirmiyor
  • Akıllı telefonu olmayanlar ve farklı işletim sistemi kullanıcıları dahil çok sayıda vatandaş hizmetin dışında kalıyor
  • Sık yapılan yaş doğrulama talepleri ve gizlilik sorunları kullanılabilirliği düşürüyor
  • Bu yaklaşımın Google ve Apple'a bağımlılık, rekabetin sınırlanması ve dijital egemenliğin zayıflaması gibi temel kaygılar doğurduğu belirtiliyor
  • Açık kaynak, tarayıcı eklentileri ve genel amaçlı standartlara dayalı alternatiflere ihtiyaç olduğu vurgulanıyor

Genel bakış ve temel sorun

  • Bu konu, AB Dijital Kimlik Cüzdanı (eu-digital-identity-wallet) yaş doğrulama sisteminin kullanılabilirliğine dair endişeleri gündeme getiriyor
  • Mevcut öneri mobil uygulamalara (Android ve iOS) odaklandığı için, akıllı telefonu olmayanlar, PC kullanıcıları ve alternatif işletim sistemi kullanıcıları pratikte dışlanıyor

Başlıca kullanılabilirlik sorunları

  • Tüm vatandaşların akıllı telefon sahibi olduğu varsayılıyor, ancak özellikle yaşlılar arasında akıllı telefonu olmayan örnekler hâlâ mevcut
  • Web kullanımı sırasında, özellikle gizli tarama veya anonim modda, her seferinde yaş doğrulaması istenmesi web erişilebilirliğini ciddi biçimde düşürüyor
  • Otomatik işlem için tarayıcı eklentileri de tartışıldı, ancak güvenilirlik ve kişisel verilerin korunması açısından sınırlamalar bulunuyor
  • Teknik uygulama maliyeti yüksek ve belirli programlama dilleri ya da ekosistemlere bağımlılık riski taşıdığı için startup'lar gibi küçük aktörlerin katılım eşiği yükseliyor

AB tarafının ve topluluğun tepkisi

  • AB projesi, "belirli yaş kısıtlı içeriklere erişimde, kullanıcının güvenilir ve gizliliğini koruyan bir şekilde kimliğini doğrulaması gerekir" ifadesine yer veriyor
  • Mobil (Android/iOS) tüm kullanıcıların ve gerçek kullanım senaryolarının büyük çoğunluğunu oluşturduğu için masaüstü desteği şu anki kapsam içinde yer almıyor
  • Bunun, Veri Koruma Yasası'nı (DSA) karşılamak için sunulan yalnızca bir referans uygulama örneği olduğu ve başka alternatif çözümlerin de geliştirilebileceği belirtiliyor
  • İleride platform kapsamının genişletilmesi ve farklı katkıların değerlendirilmesinin planlandığı ifade ediliyor

Karşı görüşler ve ek kaygılar

  • Bazı Avrupa ülkelerinde 10 haneden 1'inden fazlasında akıllı telefon bulunmuyor
  • Google ve Apple'ın sunduğu standart işletim sistemleri dışında Linux, Windows, Sailfish gibi çeşitli işletim sistemleri ve cihazlar piyasada bulunmasına rağmen mevcut yaklaşım bunları dışlıyor
  • Kamu temelli kimlik altyapısının belirli şirketlerin (Google, Apple) tekelci yapısına bağımlı hâle gelmesi, kullanıcı tercihlerini ve gelecekteki piyasa rekabetini zedeliyor
  • Kamusal altyapı olarak platform bağımsızlığı ve tedarikçi tarafsızlığı sağlanmalı; akıllı kartlar, FIDO2 donanım anahtarları ve AB'nin kendi kimlik doğrulama çerçeveleri gibi alternatiflere ihtiyaç var

Teknik ve politik alternatif önerileri

  • W3C Credential Management API gibi standart tabanlı, tarayıcı, işletim sistemi ve açık kaynak uzantıları üzerinden çalışan genel amaçlı bir yaklaşım öneriliyor
  • Dijital kimlik sistemini mobile odaklamak, fiziksel kimlik kartının yerini alma açısından uygun olabilir; ancak çevrim içi doğrulamada web tabanlı ve genişletilebilir bir yapının sağlanması şart görülüyor
  • Düzenlemelerin ilerlemesiyle birlikte, AB vatandaşlarının belirli ABD şirketlerine bağımlı bir yapıya sürükleneceğine dair çok sayıda endişe dile getiriliyor

Sonuç ve talepler

  • Temel altyapı niteliğindeki dijital kimliğin (yaş doğrulama vb.) genel amaçlı kullanım, tedarikçi tarafsızlığı ve platform bağımsızlığı sağlaması zorunlu görülüyor
  • Farklı donanım, işletim sistemi, tarayıcı ve açık API temelli alternatif çözümlerin geliştirilip devreye alınması gerektiği vurgulanıyor
  • AB'nin bu projesinin yalnızca tek bir örnek olduğu; açık kaynak ve üçüncü taraf uygulamalara izin verilmesi ile masaüstü ve diğer platformlara genişlemenin zorunlu bir görev olduğu ifade ediliyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-09-25
Hacker News görüşü

  • Şu anda bu proje mobil platformlara, yani Android ve iOS'a odaklanıyor; gerekçe olarak da bu iki platformun kullanıcıların çoğunu kapsadığı söyleniyor. Masaüstü desteği şu anki plana dahil değil. Bence bu durum biraz “Sizin telefonunuz yok mu?” diye sormaya benziyor, ama çok daha büyük ölçekte yaşanıyor. Benim yaşadığım yerde de telefonu yalnızca asgari düzeyde kullanıyorum. Teknoloji sektöründe çalışmama rağmen durum böyle. Ama bunun giderek daha rahatsız edici hale gelmesi beni ciddi biçimde endişelendiriyor. Toplumun bir üyesi olarak kabul görmek için telefon kullanmak zorundaymışsın gibi bir atmosfere gidiyoruz. Özellikle birçok ülke (benimki dahil) yaş doğrulamayı zorlamaya başlarken ve Android'de sideloadingin engellenmesinden söz edilirken, 2026 sonuna doğru devlet onaylı bir akıllı telefonun yoksa insan yerine konmayacak mıyız diye kaygılanıyorum. YouTube bağlantısı

    • Bu tür projeler, daha fazla insana kolay ve ucuz akıllı telefonlar üzerinden modern topluma erişim sağlama niyetiyle ilerletiliyor, ama sonuçta toplumsal tabakalaşmayı daha da derinleştiriyor. Ağabeyim de teknolojiden gerçekten nefret ediyor ve yalnızca eski tip kapaklı telefon kullanıyor; bunun yol açtığı çeşitli sorunlar gerçekten şaşırtıcı. Masaüstü sitelerinin durmadan uygulama kurmanı istemesi ve sonra da düzgün çalışmaması en kötüsü.

    • Son zamanlardaki zorunlu uygulama kullanımı haberleri hakkında konuşmak istiyorum. Ryanair, kasımdan itibaren basılı biniş kartlarını kaldırıp biniş kartlarını yalnızca uygulama üzerinden vereceğini söylüyor. Ryanair sitesinde mobil tarayıcı üzerinden bile QR kodu göstermiyor; mutlaka uygulamayı kullanman gerekiyor. Haber bağlantısı

    • Meselenin özü, herkesi “tasmalı” hale getirip izlenebilir kılmak. Komplo teorisyenleri deri altına yerleştirilen mikroçiplerden korkuyor ama aslında modern toplumda kontrol çok daha az itici bir yöntemle sağlanıyor. Sonsuz özgürlük ve fırsat varmış gibi görünüyor, ama gerçekte özgürlüğü sınırlayan araç tam da bu. Gilles Deleuze'ün ‘Denetim Toplumları Üzerine Postscript’ metninden alıntı yapacak olursak, denetim sistemi her unsurun (hayvanın ya da insanın) konumunu gerçek zamanlı olarak takip eder; dijital geçiş kartı ya da kart gibi görünür ama aslında bilgisayar bulunduğumuz yeri ve bütün davranışlarımızı izler. Makale bağlantısı

    • Yaş doğrulamanın özgür olmayan masaüstüne uygulanmaması bence tersine iyi bir şey. En azından masaüstünde hâlâ özgürüz.

  • Bunun, bu gereksinimlerin doğru düzgün düşünülmeden ilerletildiğine iyi bir örnek olduğunu düşünüyorum. Kendi ifadelerine göre masaüstü uygulamaları yaş doğrulama kapsamına hiç girmiyor. Öyleyse ileride web hizmetleri yerine masaüstü uygulamaların yeniden canlanmasını umut edebiliriz. Ama artık yetişkinler daha fazla zorluk yaşıyor. Bir başka sorun da bu politikanın yeni telefon işletim sistemlerinin geliştirilmesini fiilen engelleyecek olması. Eğer çevrimiçi cüzdan doğrulaması mümkün değilse, kim yeni bir telefon işletim sistemi yapmak ister ki?

    • Bence gerçeklik zaten böyle. Banka uygulamaları ya da devletin eID uygulamaları yalnızca Google veya Apple cihazlarında kullanılabiliyor.

    • Bu politika bana güçlü biçimde “PC'ler eski, dolayısıyla önemli değiller” diye düşünüldüğü hissini veriyor.

    • Bence bu örnek, politikanın acemice ilerletilmesinden çok, politikayı yürütenlerin ne istediğinin yanlış anlaşılmasına işaret ediyor. Aslında amaçları fiilen o içeriğin kendisini engellemek. Yetişkin kısıtlaması sadece ambalajı. Yani erişimi engellemek zaten hedefleri.

    • Aslında doğru ifade şu: “Bu masaüstü uygulamayı kullanmak için bir akıllı telefona ihtiyacınız var.”

    • 'Masaüstü uygulamaları'nın geri dönüşünü umut etmenin de faydası yok. Yasal zorunluluk nedeniyle masaüstü uygulamalar bile sonunda akıllı telefonla bağlantı gerektirecek.

  • Bunun THE digital wallet değil, erken aşama bir prototip olduğunu bir kez daha vurgulamak istiyorum. Altyapı, attestation değil, çift kör ZKP (Zero-Knowledge Proof) kullanmak istiyor. Bu yaklaşım mevcut açık anahtar sistemlerinden daha iyi mahremiyet sunuyor. Platformlar arasında da uyumlu olabilir. Eğer konuya aşina değilseniz, bu sistemde doğrulama otoritesi, özellikler (yaş, ehliyet vb.) hakkındaki beyan dışında hiçbir şey bilmiyor ve AB de hangi özelliğin ne zaman doğrulandığını ya da kimin denediğini bilmiyor.

    • “İnsanlar projeyi yanlış anlıyor” denebilir ama gerçekte yapılan şey, veren tarafın ayırt edilemediği bir yöntemi araştırmak; şu anda ise standart kriptografi tabanlı, bağlantılanabilir bir çözüm uygulanıyor. Bu yüzden doğrulama otoritesi (üye devlet hükümeti) ile doğrulama talep eden taraf (web sitesi) iş birliği yaparsa kullanıcının anonimliği kolayca bozulabilir. SD-JWT ve imzaların tamamı paylaşıldığı için veren tarafla talep eden taraf tanımlayıcıları görebiliyor. Sonuçta bu proje, yaş doğrulamanın teknik olarak mümkün olduğunu göstermek için bir vitrin. Mahremiyet teknolojileri daha sonra gelebilir, ama geçici çözümler çoğu zaman en kalıcı çözümler olur. Mevcut tasarımda veren tarafın ayırt edilmesi çok kolay olduğu için mahremiyet önlemleri daha da kötüleşebilir. Referans bağlantısı

    • ZKP (Zero-Knowledge-Proof) ile ilgili belgeler var mı diye merak ediyorum.

    • “Bu proje THE digital wallet değil, a digital wallet” denince ne kastedildiğini tam anlayamadım.

  • Donanım attestation'ının özünü açıklamak gerekirse, gerçekten keskin iki ucu olan bir kılıç. En büyük sorun, doğrulama donanımı ile istemci uygulamasının aynı üreticinin aynı cihazında bulunması. Üretici, müşterinin mahremiyetinden önce kendi gelirini önceliklendirecektir. Bugünkü pro-attestation ortamı bu kadar baskınken, elimizdeki ‘açık’ anın kıymetini bilmek istiyorum.

    • “İki ucu keskin kılıç” benzetmesini artıları ve eksileri var diye anlıyorum ama sahip olduğum donanımı istediğim gibi kullanamamamın ne gibi bir artısı olduğunu göremiyorum.

    • En saçma nokta şu: AB'nin, ABD'li iki özel şirketin kontrol ettiği donanım attestation'ını hizmetlere erişimin ön koşulu haline getirmeyi neden isteyeceğini anlayamıyorum. AB düzenlemelerinin ruhu tüketiciyi korumak, tekelleşmeyi engellemek ve vatandaşların temel haklarını merkeze almak üzerine kurulu. Son dönemde dijital egemenlik de özellikle vurgulanıyor. Ama bu, bütün bu ilkelere doğrudan ters düşüyor. Müşteriye zarar veriyor (hatta fiilen GDPR'nin tam tersi), sadece tekelci büyük şirketlerin işine yarıyor ve bilgiye erişimde ABD şirketlerinin vatandaşlık denetimi yapmasına kapı açıyor. Bana tamamen AB'nin ruhuna aykırı geliyor.

    • Belki de bu durum yeni bir donanım türü için bir fırsata dönüşebilir diye umut etmek istiyorum.

    • Private Access Token (PAT)'ın gelir elde etme uğruna mahremiyeti nasıl zedelediğini merak ediyorum.

  • Sonuçta bize kalan tek seçeneğin hizmetleri kullanmamak olduğunu düşünüyorum. Ama gerçekçi olmak gerekirse insanlar rahatsızlık çekmek istemediği için toplu bir hareket oluşmayacak gibi. Yalnızca masaüstü kullanıcılarını dışlayan hizmetleri herkes boykot etse belki mümkün olabilir. Gerçek çözüm, tüketici olarak ‘ayağınla oy vermek’. Ama çoğu insan kendi verilerinin ve haklarının nasıl kullanıldığıyla ilgilenmiyor; rahatsız olsa bile kabulleniyor. Her yıl yeni telefon mu almak gerekiyor? Tamam. Tüm iletişim verilerini dev teknoloji şirketlerine mi teslim ediyoruz? Tamam. Devlet kurumu değil de özel şirket gözetimi mi var? Ona da razılar. Teknik ve toplumsal sorunlar konuşulmaya başlanır başlamaz ilgisini kapatan çok fazla insan var. Sıradan insanlara dijital hakları nasıl önemseteceğimiz bence en büyük mesele.

    • Bu tartışma bana uzun zaman önce kaybedilmiş bir savaş gibi geliyor. İnternet özgürlüğünün gelecekte de yavaş yavaş aşınacağını düşünüyorum. İnsanlar farkına vardığında büyük olasılıkla artık çok geç olacak. Yine de iyimser tarafım, federated hizmetlerin ana akım haline gelip bu duruma karşı denge oluşturmasını umuyor.

    • Bence bu ilk adım. Sonraki adım, bütün hizmetler için zorunlu kimlik doğrulamasının mecburi hale gelmesi olacak. Ya kabul edeceksin ya da hizmeti hiç kullanamayacaksın.

    • İnsanların çoğu, bir formda OK düğmesine basmanın gerçek dünyadaki ailelerine, işlerine ya da günlük yaşamlarına somut zarar verdiğine dair net bir neden-sonuç örneğini bizzat yaşamadan umursamıyor. Aksi halde her şey sadece soyut bir endişe olarak kalıyor.

  • DSA'yı (Dijital Hizmetler Yasası) kontrol ettim; yaş doğrulamayla ilgili yalnızca üç yerde bahsediliyor. 71. gerekçe ve 28. maddede, reşit olmayanların mahremiyeti ve güvenliğinin özel olarak korunması gerektiği, ancak ek kişisel kimlik verisi işlenmesinin yasak olduğu söyleniyor. Yalnızca 35. maddede “çok büyük çevrimiçi platformlar”ın yaş doğrulama getirebileceğine dair bir ima var. 57. gerekçede ise KOBİ'lerin düzenleme kapsamı dışında olduğu açıkça belirtiliyor. Şu anki durumda büyük platformlar dışında yaş doğrulama zorunlu değil. Komisyon ortamı bu yöne çekmeye çalışıyor olabilir, ama hukuken henüz zorunlu değil; bunu özellikle vurgulamak isterim. Kılavuz ve yorum yazısı da burada.

    • Dijital kimlik cüzdanı DSA'nın bir parçası değil; 'kimliği telefona taşıma' projesi. Planlandığı gibi giderse kimlik kartı, ehliyet, diploma, tren bileti ve hatta ödeme bile bu uygulama üzerinden yapılabilecek. Özellik doğrulaması sayesinde örneğin kendi vatandaşlık numaranı açıklamadan araç kullanma yetkin olduğunu kanıtlayabilirsin. Ama böyle bir altyapı bir kez kurulduktan sonra, hükümetlerin maliyet azaltma ya da çocuk koruma, terörle mücadele gibi gerekçelerle türlü yükümlülükler ekleyeceğini düşünüyorum. Sonunda zorunlu doğrulamanın daha fazla işletmeye yayılması riski var. Proje bağlantısı

  • “EU age verification app not planning desktop support” başlığının yanıltıcı olduğunu düşünüyorum. Sanki masaüstünde yaş doğrulama yapılamıyormuş gibi bir izlenim veriyor. Oysa gerçekte çeşitli çözümler mümkün. Bu uygulama onlardan sadece bir ‘örnek’. Bu yüzden “EU age verification example app not planning desktop support” daha uygun bir başlık olurdu diye düşünüyorum. Uygulama biçimine katılmıyorum ama eleştiri doğru hedefe yönelmeli.

  • Komplocu gibi gelebilir ama Google'ın sideloadingi öldürmeye çalışmasının nedeninin tam da bu olduğunu düşünüyorum. Şu an zorunlu yazılım kurulumu ve uzaktan doğrulamanın pratik biçimde uygulanabildiği tek platform mobil. Sideloading engellenirse ileride Google'ın (veya iOS'ta Apple'ın) tüm uygulama mağazaları ve tarayıcılar için devlet onaylı API'leri zorunlu tutabileceğini düşünüyorum.

    • Google'ın bu tür doğrulama yasalarını memnuniyetle karşılamasının nedeni, bunun kendi iş modeliyle uyumlu olması. Reklam satabilmek için kullanıcının gerçek bir insan olduğunun doğrulanması önemli. X gibi diğer sosyal medya platformlarının da benzer teşvikleri var.

  • “Bu tür politikalar yüzünden, web'de özel biçimde gezinmek isteyenler için tüm web kullanılamaz bir yere dönüşüyor.” Bu bir kaza değil, onların ‘niyeti’. Birleşik Krallık ve Almanya'da sosyal medya paylaşımları nedeniyle yapılan tutuklamalara bakın.

  • Bu tür politikalar saçma ve anlaşılmaz geliyor.

    • Aslında tamamen anlaşılır politikalar. Özgürlüğe önem veren Linux gibi işletim sistemi kullanıcılarından hoşlanmıyorlar ve onları ikinci sınıf vatandaş gibi görmek istiyorlar. İlgili örnek

    • Kime sorduğunuza bağlı. Google, geliştirici doğrulaması ya da iOS'taki sideloading engelleri üzerinden kullanıcıların ne kullandığını kontrol etmek istiyor. Masaüstü fazla özgür olduğu için, bu tür politikalar masaüstü kullanımını bastırıp kapalı ekosistemlere bağımlılığı güçlendiriyor.