- Avrupa'nın dijital kimlik cüzdanları, kamu hizmetlerine erişim ve çevrimiçi yaş doğrulaması için kullanılacak, ancak güvenlik doğrulamasını Google Play Integrity API ve Apple Managed Device Attestation gibi özel platformlara bırakacak şekilde tasarlanıyor
- Play Integrity, uygulamanın orijinal sertifikalı bir Android cihazda çalışıp çalışmadığını doğrularken Google lisanslı Android ve Play Store üzerinden kurulum kriterlerini esas alarak Google ekosistemine bağımlılığı artırıyor
- Hollanda ve İtalya'daki cüzdan geliştiricileri Play Integrity'yi uyguladı; bu da e/OS ve GrapheneOS gibi Google'sızlaştırılmış işletim sistemleri kullanıcılarının kamu hizmetlerinden dışlanmasına yol açabilir
- AB'nin Architecture Reference Framework'ü Google doğrulamasını zorunlu kılmıyor ama tavsiye ediyor; İtalya bunu fiili bir zorunluluk gibi yorumlarken İsviçre veri koruması, veri egemenliği ve seçim özgürlüğü kaygıları nedeniyle bunu dışarıda bırakıyor
- Eğer kimlik cüzdanları kamu altyapısı ise, Google ve Apple doğrulamalarına dayanmak yerine açık donanım tabanlı doğrulama mekanizmalarının zorunlu hale getirilmesi gerekiyor
Dijital kimlik cüzdanlarının özel doğrulama hizmetlerine dayanması
- Avrupa hükümetleri, vatandaşların hizmetlere erişebilmesi ve çevrimiçi ortamda yaşını doğrulayabilmesi için dijital kimlik cüzdanlarını devreye alıyor
- Bu cüzdanlar, Google Play Integrity API ve Apple Managed Device Attestation gibi güvenlik hizmetlerine dayanıyor
- Bu tür güvenlik hizmetleri uzaktan doğrulama (remote attestation) olarak adlandırılıyor ve cüzdan uygulamasının kurcalanmamış donanım üzerinde çalışıp çalışmadığını doğrulamak için kullanılıyor
- Kamu altyapısına özel şirketlerin güvenlik hizmetlerini yerleştirmek, Avrupa toplumunu Google ve Apple gibi şirketlere bağımlı hale getiriyor ve ilgili şirketlerin çıkarlarına daha uygun bir yapı oluşturabiliyor
Play Integrity API'nin yarattığı Google merkezli kontrol
- Google Play Integrity API, geliştiricilerin uygulamanın çalıştığı ortamın bütünlüğünü doğrulayabilmesi için Google tarafından ücretsiz sunulan bir yazılım
- Geliştiriciler bununla uygulamanın “genuine certified Android device” üzerinde çalışıp çalışmadığını kontrol edebiliyor
- bot kaynaklı kötüye kullanımı azaltma
- bankacılık uygulamalarında dolandırıcılığı önleme
- oyun uygulamalarında hileyi engelleme gibi amaçlarla kullanılabiliyor
- Sorun şu ki bu API, cihazın Google lisanslı Android çalıştırıp çalıştırmadığını da denetliyor ve lisanssız alternatifleri potansiyel güvenlik riski olarak görüyor
- Uygulamanın değiştirilip değiştirilmediğine karar verirken de ölçüt olarak Google Play Store kullanılıyor
- uygulamanın değiştirilip değiştirilmediğini kontrol ediyor
- uygulamanın Play Store üzerinden kurulup kurulmadığını kontrol ediyor
- Sonuç olarak Play Integrity, Google lisansı olmayan işletim sistemlerini dışlayan, Play Store kurulumu ve Google hesabıyla oturum açmayı teşvik eden bir yapıya sahip
- Bu tasarım Digital Markets Act (DMA) ile çelişiyor
- Daha açık bir alternatif olarak Android'in Hardware Attestation API seçeneği bulunuyor; bu da Google ekosistemi politikalarını dayatmadan donanım tabanlı güvenlik doğrulaması sunuyor
Devlet uygulamalarının tekelci yapıyı güçlendirme biçimi
- AB, büyük teknoloji tekellerini kırma hedefini sık sık dile getiriyor; ancak bazı üye devletler dijital kimlik cüzdanı mimarisine Google Play Integrity API'yi ekleyerek Google ekosistemini güçlendirme riski yaratıyor
- Hollanda ve İtalya'daki cüzdan geliştiricileri Play Integrity uygulamasını hayata geçirdi
- Bu yaklaşımda e/OS ve GrapheneOS gibi Google'sızlaştırılmış işletim sistemleri kullanıcıları cüzdan hizmetlerine erişimden dışlanabilir
- Devletin cüzdana Google'ın güvenlik hizmetlerini koyması, kamu kurumlarını özel şirketlerin platform politikalarını uygulayan aktörlere dönüştürüyor
- Bu durum, açıklık, kapsayıcılık ve teknolojik egemenlik gibi kamusal değerler temelinde dijital kamu altyapısı kurma yönündeki Avrupa hedefleriyle gerilim yaratıyor
- AB'nin kimlik cüzdanı düzenlemesi birlikte çalışabilirliği temel hedef olarak belirliyor; ancak Google yazılımı, Google takip araçları ve yerleşik LLM'ler önceden kurulu olmayan işletim sistemlerini kullanmak isteyenler, cüzdanı kullanabilmek için Google yazılımını kabul etmek zorunda kalabiliyor
Kimlik cüzdanları sıradan uygulamalar değil, kamu altyapısıdır
- Kimlik cüzdanları, devlet belgelerine erişim ve kamu hizmetlerine giriş yönetimi için kullanılan temel araçlar
- Bu nedenle Google ve Apple'a bağımlı olmadan herkese sunulması gereken dijital kamu altyapısının önemli bir parçası
- Alternatif Google'sızlaştırılmış işletim sistemleri, kimlik cüzdanı gibi devlet hizmetlerine giriş için gerekli temel uygulamaları çalıştıramazsa benimsenme cazibesini büyük ölçüde kaybediyor
- Waag'ın AB destekli Mobifree projesi araştırması da bu sorunu destekliyor
- son iki yılda Google'sızlaştırılmış mobil yazılım ekosisteminin farklı son kullanıcılar için ne tür bir değer taşıdığı incelendi
- 120 test kullanıcısının önemli bir bölümü, ödeme uygulamaları ve devlet kimlik doğrulama uygulamaları gibi temel hizmet uygulamalarıyla uyumluluğu, Google'sızlaştırılmış işletim sistemlerine geçiş için başlıca koşul olarak gördü
- Devlet geliştiricileri birlikte çalışabilirliği optimize ederken daha derin yığın düzeyi katmanları da hesaba katmalı
- Play Integrity API, DMA ile çeliştiği için Avrupa egemenliğini güçlendirmeyi amaçlayan kimlik cüzdanı hedefiyle de ters düşüyor
Ülkelere göre ayrışan doğrulama yöntemleri
- AB, cüzdan mimarisi için genel teknik çerçeve olan Architecture Reference Framework'ü sunuyor
- Bu çerçeve Avrupa hükümetlerine Google doğrulamasını zorunlu kılmıyor ama tavsiye ediyor
- Bu tavsiye nedeniyle ülkeler arasında farklı yaklaşımlar ortaya çıkıyor
- bazı ülkeler Google doğrulamasını kullanmıyor
- bazı ülkeler bunu Google ekosistemi politikalarını fiilen dayatacak şekilde uyguluyor
- İtalya, Play Integrity API kullanım tavsiyesini zorunluluk gibi yorumluyor
- İsviçre, Android'in doğrulama mekanizmalarına dayanıyor ve veri koruması, veri egemenliği ve seçim özgürlüğü kaygıları nedeniyle Play Integrity'yi dışarıda bırakıyor
- Hollanda ve İtalya, Play Integrity'yi koşulsuz kullanıyor ve Google ile Apple'ın doğrulama yazılımlarını kullanma tavsiyesini çok katı biçimde yorumluyor
- Avrupa dijital özerkliği gerçekten ciddiye alacaksa, Architecture Reference Framework'ten Google ve Apple doğrulamalarını tamamen çıkarmalı ve açık donanım tabanlı doğrulama mekanizmalarını zorunlu hale getirmeli
- İsviçre örneği, Google Play Integrity kullanımının haklı gösterilemeyeceğini ve başka çözümlerin mümkün olduğunu gösteriyor
Kamusal hesap verebilirlik ve müdahale yolları
- Dijital cüzdanlar kamu altyapısı olduğundan, tasarım sürecinde kamusal katılım ve hesap verebilirlik gerekiyor
- Vatandaşlar ve geliştiriciler ülke bazındaki depolarda kaygılarını dile getiriyor
- Almanya'nın açık cüzdan geliştirme takip sistemi olan gitlab.opencode.de
- İsviçre'nin açık tartışma forumu olan github.com/orgs/swiyu-admin-ch
- Bu kanallar meşru itiraz yolları olsa da erişim alanları dar ve daha çok teknik okur kitlesiyle sınırlı
- Alternatif Google'sızlaştırılmış işletim sistemi kullanıcıları, kendi ülkelerindeki EUDI Wallet uygulaması geliştiricilerinden Google ve Apple doğrulamalarından bağımsızlık talep edebilir
- Hollanda cüzdanı için Dışişleri Bakanlığı EDI sitesindeki contact page kullanılabilir
- Endişe duyan vatandaşlar, seçilmiş temsilcilerden kimlik cüzdanlarını Google ve Apple'dan bağımsız hale getirmelerini isteyebilir
- Gazeteciler de siyasi ve tasarımsal süreçleri izleyebilir
- geliştirme güncellemeleri ve depolar, developer.overheid.nl'deki EUDI Wallet sayfasında görülebilir
- toplantılar ve iletişim bilgileri, Hollanda Dışişleri Bakanlığı'nın EDI website sayfasında bulunabilir
1 yorum
Hacker News yorumları
AB’nin cüzdan referans uygulaması Google Play services’ı katı biçimde şart koşuyordu
https://github.com/eu-digital-identity-wallet/eudi-app-andro...
Bu yüzden İtalya’nın IO uygulaması https://github.com/pagopa/io-app da cüzdan, belge ve yaş doğrulama özelliklerinde GrapheneOS destek taleplerini sürekli reddedip Google’ı şart koşuyor
Dava açılana kadar hiçbir şey değişmeyecek gibi; umut ise Motorola/GrapheneOS iş birliği ve rekabete aykırı davranış nedeniyle dava açabilecek tüketici örgütlerinde
Play services şart koşan uygulamalar hakkında mümkün olan her kanaldan ses çıkarmalıyız. İleride dava açılırsa bu kayıtlar kullanıcı desteğini göstermeye yardımcı olur
Her vatandaşı bu şirketlere birkaç yüz euro ödemek zorunda bırakıyor; o şirketler de sonra vatandaşların haklarına karşı kampanyalar yürütüyor
Bir sorun çıktığında vatandaş hiçbir destek alamıyor; şirket ise neredeyse hiç sorumluluk üstlenmeden karşı tarafı son derece ürpertici biçimlerde izlemek için geniş haklar veren aşırı asimetrik bir sözleşme yaptırıyor
Böylece herkes istediği donanımda istediği işletim sistemini kullanabilir
AB, iOS ve Android’e tamamen bağımlı olmanın riskini açıkça öngördü ve EUDI Wallet çerçevesini başka fiziksel biçimleri de mümkün kılacak şekilde tasarladı
Örneğin mevcut ulusal kimlik kartları gibi akıllı kartlar, bağımsız donanım token’ları ve USB anahtarları var
Karşı çıkılması gereken şey, doğası gereği kullanıcı düşmanı olan donanım doğrulaması. Popüler bir Android dağıtımına izin vermek büyük resimde pek bir şey ifade etmiyor
Play Integrity yerine Android’in donanım doğrulama API’sine dayanılsa bile, benim ölçütlerime göre bu dijital özerkliğe bir saldırı
Kullanıcının tüm platformu için uzaktan doğrulamaya dayanan güvenlik özellikleri, sonunda hükümete hangi işletim sistemlerinin kabul edilebilir olduğunu seçme yetkisi verdiği için devlet yetkisinin kötüye kullanılmasıdır
Bu yetkinin, işletim sistemi geliştiricilerine istihbarat kurumları için arka kapı koymaları yönünde baskı yapmakta kötüye kullanılması an meselesi; insanlara iki akıllı telefon taşımalarını söylemek de çözüm değil
Uygun sıfır bilgi ispatı (ZKP) yöntemlerine veya kör imzalara dayalı anonim dijital yaş doğrulaması için genel amaçlı bir işletim sistemi gerekmez; birkaç kriptografik ilkel işlem ve cihaza bağlı anahtar kümeleri yeterlidir
AB’nin yalnızca bu işlevleri taşıyan özel donanım token’ları geliştirip uygulamaya alternatif olarak tüm vatandaşlara ücretsiz sunması aşırı bir talep değil. Akıllı telefon sahibi olmadan dijital hizmetlere erişimin ciddi biçimde kısıtlanmaması özgürlüğü de böylece güvence altına alınır
Ancak telefonda kullanıcıya özel yazılım çalıştırma imkânını sınırlamamalı ve özellikle herkesten Google/Apple tarafından imzalanmış bir telefon istememeli
Bir Pixel’e GrapheneOS kurulduğunda da banka ve kamu uygulamaları çalışmalı; donanım güvenliğini zorunlu kılarken bunun mümkün olduğuna inanıyorum
Müşteri açısından anahtarının cihazın içinde güvende olduğuna inanabilmesi gibi potansiyel bir avantaj var, ama asıl noktayı ıskalıyor
Gerçekten gereken şey, standart bir protokol tanımlayan açık kaynaklı bir şartname. Cihaz, isteğin güvenilir bir kaynaktan geldiğini — örneğin hükümet anahtarıyla imzalanmış olduğunu — bilmeli; hükümet API’si de kişiyi temsil ettiğini bildiği anahtarla bu isteği imzalamalı
Hükümet portalında cihaza özgü birden çok açık anahtar eklemeyi ve istek doğrulamada kullanılacak hükümetin açık anahtarını da paylaşmayı hayal ediyorum. Kimlik doğrulaması gerektiren hizmet, kullanıcının açık anahtarını ister; hükümet API’sinden bir challenge token alıp kullanıcıya iletir
Kullanıcı, bu challenge’ın güvendiği anahtarla imzalanıp imzalanmadığını kontrol eder, imzalayıp uygulamaya geri verir; uygulama da bunu hükümet API’sine göndererek yalnızca istediği bilgilerin bir kısmına erişim izni alır. Uygulamanın yalnızca yaşa ihtiyacı varsa yalnızca o bilgiyi alır
Telefon uygulaması anahtarları korumak için donanım doğrulaması kullanmak isteyebilir, ancak bunu zorunlu kılmak için bir neden yok. İyi tasarlanmış bir açık anahtar sistemi yeterlidir; gerektiğinde anahtarlar kolayca iptal edilip yenileri eklenebilmelidir
İki ABD şirketine tamamen bağımlı bir Avrupa dijital kimlik sistemi ha?
Daha düne kadar Avrupa’nın dijital egemenliğinin acil bir ihtiyaç olduğundan bahsetmiyor muyduk? Yoksa bu sadece göstermelik boş laf mıydı?
Ancak birçok durumda destekleyebileceği Avrupa’ya ait bir alternatif yok. Google ve Apple’ın sunduğu yazılım yığınının kayda değer bir bölümünü bile ikame edebilecek tek bir AB şirketi yok.
Düzenleyici ortam değişmedikçe muhtemelen bundan sonra da olmayacak.
Sadece birinin uçakta olabileceği gerekçesiyle; o kişi aslında uçakta bile değildi ve tek gerçek “suçu”, ABD’nin temelden anayasaya aykırı yasa dışı eylemlerini ifşa ederek ABD’yi küçük düşürmekti.
İsveçli savcılar için de durum aynıydı. ABD tek bir telefonla iddianame olmasa da o akşam tüm dünyadaki manşetlerde “Assange” ve “rape” kelimelerinin yan yana çıkmasına yetecek resmi açıklamayı aldırdı.
Avrupa ülkeleri genel olarak ABD’nin evcil köpeği gibi davranıyor ve bu gerçekten üzücü. Buna rağmen ABD başkanı, işgal ve ilhakla tehdit ederek ya da NATO üyelerinin temel yükümlülüklerini tamamen görmezden gelerek onları arkadan bıçaklıyor.
Avrupa’nın neden ABD’nin aptal oyunlarına sürekli kapıldığını anlamıyorum. Tekrar tekrar gördüğümüz gibi, bu tutum aynı şekilde karşılık bulmuyor.
Bu, amaçlandığı gibi çalışıyor. AB, insanları tamamen kontrol edilebilir cihazlar ve işletim sistemleri kullanmaya zorlamak istiyor.
Yeni ve akıl almaz düzenlemelere uymazsanız uygulamanız yasaklanabilir.
Düzenleme tekeller yaratır. Büyük şirketlerin kontrolünü azaltmayı amaçlayan düzenlemeler bile küçük oyuncuların genellikle altından kalkamaması nedeniyle pazar payı kaybetmesine yol açar
Bu, işletme fakültelerinde rekabet avantajı stratejisi olarak gerçekten öğretilen bir konudur. Şirketler görünüşte kendilerine zarar verecek yasalar çıkarması için hükümete lobi yapar, ama gerçekte uygulama maliyetini yükselterek eşitsiz bir oyun alanı yaratır ve pazar payını alır
Her düzenleme tekelleri kırmaz, ama tekelleri kırabilecek tek araç da düzenlemedir
Tüm “serbest” piyasaların %1 kuralı nedeniyle tekele doğru eğilim gösterdiği biliniyor. Tamamen serbest piyasa yalnızca soyut bir kavram olarak vardır, gerçek hayatta yoktur; bu yüzden gerçek bir serbest piyasayı güvenceye almak için düzenleme gerekir
Bazı durumlarda serbest piyasa yanlış çözümdür ve düzenlenmiş bir tekel gerekir; kimlik alanının da tam olarak böyle olduğunu düşünüyorum. Çünkü kimlik bireye özgüdür
Bir kişinin teorik olarak yalnızca tek bir kimliği olmalı ve çok istisnai, iyi belgelenmiş durumlar dışında bu kimlik değişmemelidir
Devletlerin kimlik sağlamak için iyi bir yöntemi olmalı; küçük bir devletin kaynakları yetersizse büyük bir devlet bunu herkes adına sağlamalıdır. Bu, ülkeler arası uyumsuzluğu azaltır ve özel çıkarları devre dışı bırakır
Devlet, kimin kimliğini kanıtlayacağı konusunda tek tekele sahip olmalıdır. Çünkü piyasa koşullarından etkilenmeyen tek aktör odur
Bu konuda önde olan ülkeler pratikte böyle çalışıyor. Tek tek ülkeler ortak bir çözüme ulaşamıyorsa bunu topluluk yapmalıdır
Burada topluluk başarısız oldu. Çünkü Avrupa çapında bir çözümü zorunlu kılmak yerine özel sektör çözümlerini tavsiye etti
Özel sektörün kâr amacı olduğundan, kimliğin neyle ve nasıl kanıtlanacağını dikte etmemelidir. Devlet çözümleri değerlendirmelidir, ancak işletme ve uygulama devletin işi olmalıdır
Piyasa çözümlerinin iyi olduğu birçok alan var, ama bu onlardan biri değil
Örneğin MMTIS (çok modlu yolcu bilgileri) yeniliği ve yeni oyuncuları açıkça hedefler. Benzer başka örnekler de var
Söz konusu düzenlemenin ne kadar pahalı olduğu da önemli. Binaların çökmemesi, gıdaların zehirli olmaması ve ilaçların farmakolojik Rus ruletine dönüşmemesi için birçok alanda düzenleme kesinlikle gereklidir
Dolayısıyla hedef, düzenlemenin maliyet-etkinliğini optimize etmek olmalıdır
Ama bu, “düzenleme tekeller yaratır” şeklindeki kapsamlı iddiadan farklıdır
Google birini engellerse, o kişi dijital kimlik gerektiren tüm hizmetlere erişim hakkını da sonsuza dek kaybeder mi?
Bir zamanlar bir YouTuber canlı yayın izleyicilerinden emoji girerek “oy vermelerini” istemişti; bunun ardından birden fazla izleyicinin Google hesabı spam nedeniyle engellenmişti[1]
Google kullanıcı desteğine isteksizliğiyle de ünlü olduğundan, bireysel telafi beklemek zor
Yeni fidye yazılımı şimdiden görünüyor: “Para ödemezsen Gmail’inden spam gönderip dijital kimliğini kaybettiririm”
[1] https://www.engadget.com/2019-11-10-youtube-reinstates-banne...
Bunun için görece basit, çok daha açık ve güvenli bir çözüm, fiziksel AB kimlik kartını doğrulama kaynağı olarak kullanmak ve yüksek değerli imzalar, yeni cihaz girişi ya da tekrarlanan kimlik doğrulama başarısızlıklarından sonraki giriş gibi önemli işlemler için kullanıcının kartı telefona dokundurmasını istemektir
Böylece cihaz tarafındaki açık donanım/işletim sistemi “sorunu” tamamen ortadan kalkar. Çünkü artık güvenilir donanıma veya işletim sistemi imzasına ihtiyaç kalmaz
Telefonda ortadaki adam saldırısı olasılığı doğduğunu iddia etmek mümkün. Kartta ekran da PIN pedi de olmadığı için neye imza attığınızı veya PIN’i kime verdiğinizi bilemezsiniz
Ama bu riski azaltmanın, telefon doğrulamasının beraberinde getirdiği tüm bağımlılık endişelerini kabul etmeye değip değmeyeceği şüpheli
Şu anda tüm AB kimlik kartlarının zaten güçlü kriptografik kimlik doğrulamaya sahip olması zorunlu, ancak bu yalnızca ICAO biyometrik kimlik belgesi standardına göre yüz yüze kimlik kontrolünde kullanılabilecek, uzaktan kimlik kanıtlamada kullanılamayacak biçimde. İhtiyaç duyulana sinir bozucu derecede yakın, ama gereken işlevin kendisi değil
Almanya’da Alman Demiryolları’nın (DB) yaşlılara ayrımcılık yapmaması için bilgisayar ya da akıllı telefon olmadan satın alınabilen çevrimdışı biletler sunması gerektiğine dair bir mahkeme kararı vardı
EUDI Wallet’ın Google/Apple gerektirmesi durumunda da benzer bir karar çıkma olasılığının yüksek olduğunu düşünüyorum
Bu yüzden EUDI, çevrimiçi hizmetleri kullanmak isteyenler için isteğe bağlı bir alternatif olarak kaldığı sürece benzer bir karar çıkacağından şüpheliyim
İnsanlar Play Store veya App Store’a bağımlı ve DB de uygulamayı doğrudan indirme olarak sunmuyor
AB, her şey için tek kimlik doğrulama unsuru olarak rastgele dizeleri kullanan kullanıcı odaklı bir kimlik doğrulama sistemini zorunlu kılmalıydı
Modern kurumsal yazılımlardaki API tokenlarına oldukça benzer, ama uygulama geliştiricileri yerine sıradan insanların kullanacağı bir biçimde
Hassasiyeti yüksek uygulamalar için de donanım token’larıyla desteklenebilirdi
Passkey’ler bu rolü üstlenebilirdi, ama sektör tarafından hızla yozlaştırıldılar
Her gün rastgele dizesini kaybeden 50 bin kişiyi nasıl destekleyeceksin? Peki o dizeyi rastgele bir web sitesine yapıştıran diğer 50 bin kişiye ne yapacaksın? Avrupa’da 1 milyar insan var
Genel ölçüt şudur:
Tamamen kendi yaptığım ya da seçtiğim birine yaptırabildiğim bir bilgisayarda, tamamen kendi yazdığım ya da seçtiğim birine yazdırabildiğim kodu çalıştırarak herhangi bir dijital hizmeti veya ürünü kullanamıyorsam, bu kesinlikle kabul edilemez.