1 puan yazan GN⁺ 3 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Avrupa'nın dijital kimlik cüzdanları, kamu hizmetlerine erişim ve çevrimiçi yaş doğrulaması için kullanılacak, ancak güvenlik doğrulamasını Google Play Integrity API ve Apple Managed Device Attestation gibi özel platformlara bırakacak şekilde tasarlanıyor
  • Play Integrity, uygulamanın orijinal sertifikalı bir Android cihazda çalışıp çalışmadığını doğrularken Google lisanslı Android ve Play Store üzerinden kurulum kriterlerini esas alarak Google ekosistemine bağımlılığı artırıyor
  • Hollanda ve İtalya'daki cüzdan geliştiricileri Play Integrity'yi uyguladı; bu da e/OS ve GrapheneOS gibi Google'sızlaştırılmış işletim sistemleri kullanıcılarının kamu hizmetlerinden dışlanmasına yol açabilir
  • AB'nin Architecture Reference Framework'ü Google doğrulamasını zorunlu kılmıyor ama tavsiye ediyor; İtalya bunu fiili bir zorunluluk gibi yorumlarken İsviçre veri koruması, veri egemenliği ve seçim özgürlüğü kaygıları nedeniyle bunu dışarıda bırakıyor
  • Eğer kimlik cüzdanları kamu altyapısı ise, Google ve Apple doğrulamalarına dayanmak yerine açık donanım tabanlı doğrulama mekanizmalarının zorunlu hale getirilmesi gerekiyor

Dijital kimlik cüzdanlarının özel doğrulama hizmetlerine dayanması

  • Avrupa hükümetleri, vatandaşların hizmetlere erişebilmesi ve çevrimiçi ortamda yaşını doğrulayabilmesi için dijital kimlik cüzdanlarını devreye alıyor
  • Bu cüzdanlar, Google Play Integrity API ve Apple Managed Device Attestation gibi güvenlik hizmetlerine dayanıyor
  • Bu tür güvenlik hizmetleri uzaktan doğrulama (remote attestation) olarak adlandırılıyor ve cüzdan uygulamasının kurcalanmamış donanım üzerinde çalışıp çalışmadığını doğrulamak için kullanılıyor
  • Kamu altyapısına özel şirketlerin güvenlik hizmetlerini yerleştirmek, Avrupa toplumunu Google ve Apple gibi şirketlere bağımlı hale getiriyor ve ilgili şirketlerin çıkarlarına daha uygun bir yapı oluşturabiliyor

Play Integrity API'nin yarattığı Google merkezli kontrol

  • Google Play Integrity API, geliştiricilerin uygulamanın çalıştığı ortamın bütünlüğünü doğrulayabilmesi için Google tarafından ücretsiz sunulan bir yazılım
  • Geliştiriciler bununla uygulamanın “genuine certified Android device” üzerinde çalışıp çalışmadığını kontrol edebiliyor
    • bot kaynaklı kötüye kullanımı azaltma
    • bankacılık uygulamalarında dolandırıcılığı önleme
    • oyun uygulamalarında hileyi engelleme gibi amaçlarla kullanılabiliyor
  • Sorun şu ki bu API, cihazın Google lisanslı Android çalıştırıp çalıştırmadığını da denetliyor ve lisanssız alternatifleri potansiyel güvenlik riski olarak görüyor
  • Uygulamanın değiştirilip değiştirilmediğine karar verirken de ölçüt olarak Google Play Store kullanılıyor
    • uygulamanın değiştirilip değiştirilmediğini kontrol ediyor
    • uygulamanın Play Store üzerinden kurulup kurulmadığını kontrol ediyor
  • Sonuç olarak Play Integrity, Google lisansı olmayan işletim sistemlerini dışlayan, Play Store kurulumu ve Google hesabıyla oturum açmayı teşvik eden bir yapıya sahip
  • Bu tasarım Digital Markets Act (DMA) ile çelişiyor
  • Daha açık bir alternatif olarak Android'in Hardware Attestation API seçeneği bulunuyor; bu da Google ekosistemi politikalarını dayatmadan donanım tabanlı güvenlik doğrulaması sunuyor

Devlet uygulamalarının tekelci yapıyı güçlendirme biçimi

  • AB, büyük teknoloji tekellerini kırma hedefini sık sık dile getiriyor; ancak bazı üye devletler dijital kimlik cüzdanı mimarisine Google Play Integrity API'yi ekleyerek Google ekosistemini güçlendirme riski yaratıyor
  • Hollanda ve İtalya'daki cüzdan geliştiricileri Play Integrity uygulamasını hayata geçirdi
  • Bu yaklaşımda e/OS ve GrapheneOS gibi Google'sızlaştırılmış işletim sistemleri kullanıcıları cüzdan hizmetlerine erişimden dışlanabilir
  • Devletin cüzdana Google'ın güvenlik hizmetlerini koyması, kamu kurumlarını özel şirketlerin platform politikalarını uygulayan aktörlere dönüştürüyor
  • Bu durum, açıklık, kapsayıcılık ve teknolojik egemenlik gibi kamusal değerler temelinde dijital kamu altyapısı kurma yönündeki Avrupa hedefleriyle gerilim yaratıyor
  • AB'nin kimlik cüzdanı düzenlemesi birlikte çalışabilirliği temel hedef olarak belirliyor; ancak Google yazılımı, Google takip araçları ve yerleşik LLM'ler önceden kurulu olmayan işletim sistemlerini kullanmak isteyenler, cüzdanı kullanabilmek için Google yazılımını kabul etmek zorunda kalabiliyor

Kimlik cüzdanları sıradan uygulamalar değil, kamu altyapısıdır

  • Kimlik cüzdanları, devlet belgelerine erişim ve kamu hizmetlerine giriş yönetimi için kullanılan temel araçlar
  • Bu nedenle Google ve Apple'a bağımlı olmadan herkese sunulması gereken dijital kamu altyapısının önemli bir parçası
  • Alternatif Google'sızlaştırılmış işletim sistemleri, kimlik cüzdanı gibi devlet hizmetlerine giriş için gerekli temel uygulamaları çalıştıramazsa benimsenme cazibesini büyük ölçüde kaybediyor
  • Waag'ın AB destekli Mobifree projesi araştırması da bu sorunu destekliyor
    • son iki yılda Google'sızlaştırılmış mobil yazılım ekosisteminin farklı son kullanıcılar için ne tür bir değer taşıdığı incelendi
    • 120 test kullanıcısının önemli bir bölümü, ödeme uygulamaları ve devlet kimlik doğrulama uygulamaları gibi temel hizmet uygulamalarıyla uyumluluğu, Google'sızlaştırılmış işletim sistemlerine geçiş için başlıca koşul olarak gördü
  • Devlet geliştiricileri birlikte çalışabilirliği optimize ederken daha derin yığın düzeyi katmanları da hesaba katmalı
  • Play Integrity API, DMA ile çeliştiği için Avrupa egemenliğini güçlendirmeyi amaçlayan kimlik cüzdanı hedefiyle de ters düşüyor

Ülkelere göre ayrışan doğrulama yöntemleri

  • AB, cüzdan mimarisi için genel teknik çerçeve olan Architecture Reference Framework'ü sunuyor
  • Bu çerçeve Avrupa hükümetlerine Google doğrulamasını zorunlu kılmıyor ama tavsiye ediyor
  • Bu tavsiye nedeniyle ülkeler arasında farklı yaklaşımlar ortaya çıkıyor
    • bazı ülkeler Google doğrulamasını kullanmıyor
    • bazı ülkeler bunu Google ekosistemi politikalarını fiilen dayatacak şekilde uyguluyor
  • İtalya, Play Integrity API kullanım tavsiyesini zorunluluk gibi yorumluyor
  • İsviçre, Android'in doğrulama mekanizmalarına dayanıyor ve veri koruması, veri egemenliği ve seçim özgürlüğü kaygıları nedeniyle Play Integrity'yi dışarıda bırakıyor
  • Hollanda ve İtalya, Play Integrity'yi koşulsuz kullanıyor ve Google ile Apple'ın doğrulama yazılımlarını kullanma tavsiyesini çok katı biçimde yorumluyor
  • Avrupa dijital özerkliği gerçekten ciddiye alacaksa, Architecture Reference Framework'ten Google ve Apple doğrulamalarını tamamen çıkarmalı ve açık donanım tabanlı doğrulama mekanizmalarını zorunlu hale getirmeli
  • İsviçre örneği, Google Play Integrity kullanımının haklı gösterilemeyeceğini ve başka çözümlerin mümkün olduğunu gösteriyor

Kamusal hesap verebilirlik ve müdahale yolları

  • Dijital cüzdanlar kamu altyapısı olduğundan, tasarım sürecinde kamusal katılım ve hesap verebilirlik gerekiyor
  • Vatandaşlar ve geliştiriciler ülke bazındaki depolarda kaygılarını dile getiriyor
    • Almanya'nın açık cüzdan geliştirme takip sistemi olan gitlab.opencode.de
    • İsviçre'nin açık tartışma forumu olan github.com/orgs/swiyu-admin-ch
  • Bu kanallar meşru itiraz yolları olsa da erişim alanları dar ve daha çok teknik okur kitlesiyle sınırlı
  • Alternatif Google'sızlaştırılmış işletim sistemi kullanıcıları, kendi ülkelerindeki EUDI Wallet uygulaması geliştiricilerinden Google ve Apple doğrulamalarından bağımsızlık talep edebilir
    • Hollanda cüzdanı için Dışişleri Bakanlığı EDI sitesindeki contact page kullanılabilir
  • Endişe duyan vatandaşlar, seçilmiş temsilcilerden kimlik cüzdanlarını Google ve Apple'dan bağımsız hale getirmelerini isteyebilir
  • Gazeteciler de siyasi ve tasarımsal süreçleri izleyebilir

1 yorum

 
GN⁺ 3 시간 전
Hacker News yorumları
  • AB’nin cüzdan referans uygulaması Google Play services’ı katı biçimde şart koşuyordu
    https://github.com/eu-digital-identity-wallet/eudi-app-andro...
    Bu yüzden İtalya’nın IO uygulaması https://github.com/pagopa/io-app da cüzdan, belge ve yaş doğrulama özelliklerinde GrapheneOS destek taleplerini sürekli reddedip Google’ı şart koşuyor
    Dava açılana kadar hiçbir şey değişmeyecek gibi; umut ise Motorola/GrapheneOS iş birliği ve rekabete aykırı davranış nedeniyle dava açabilecek tüketici örgütlerinde
    Play services şart koşan uygulamalar hakkında mümkün olan her kanaldan ses çıkarmalıyız. İleride dava açılırsa bu kayıtlar kullanıcı desteğini göstermeye yardımcı olur

    • Sorun yalnızca basit bir teknik bağımlılık değil
      Her vatandaşı bu şirketlere birkaç yüz euro ödemek zorunda bırakıyor; o şirketler de sonra vatandaşların haklarına karşı kampanyalar yürütüyor
      Bir sorun çıktığında vatandaş hiçbir destek alamıyor; şirket ise neredeyse hiç sorumluluk üstlenmeden karşı tarafı son derece ürpertici biçimlerde izlemek için geniş haklar veren aşırı asimetrik bir sözleşme yaptırıyor
    • Yalnızca GrapheneOS’a özel muamele edip desteklemek geçici bir çözümden ibaret; baştan uzaktan doğrulama gerektirmeyen bir yol bulmak gerekiyor
      Böylece herkes istediği donanımda istediği işletim sistemini kullanabilir
    • Şimdilik bu yalnızca pazar payını yansıtan bir sonuç. AB hukuku, üye devletlerin kamu hizmetlerine erişim için akıllı telefonu zorunlu kılmasını yasaklıyor
      AB, iOS ve Android’e tamamen bağımlı olmanın riskini açıkça öngördü ve EUDI Wallet çerçevesini başka fiziksel biçimleri de mümkün kılacak şekilde tasarladı
      Örneğin mevcut ulusal kimlik kartları gibi akıllı kartlar, bağımsız donanım token’ları ve USB anahtarları var
    • Ne yazık ki davaların pek etkisi olmayacak gibi. Çünkü “güvenlik”, daha doğrusu totaliter kontrol, telefonuna doğrudan dokunmak isteyen %1’lik meraklı kitleden daha önemli görülecek
    • GrapheneOS da doğrulamayı desteklediği için, başarılsa bile bunun Google, Apple ve GrapheneOS’a verilmiş bir hediye olmaktan öteye gitmesi muhtemel
      Karşı çıkılması gereken şey, doğası gereği kullanıcı düşmanı olan donanım doğrulaması. Popüler bir Android dağıtımına izin vermek büyük resimde pek bir şey ifade etmiyor
  • Play Integrity yerine Android’in donanım doğrulama API’sine dayanılsa bile, benim ölçütlerime göre bu dijital özerkliğe bir saldırı
    Kullanıcının tüm platformu için uzaktan doğrulamaya dayanan güvenlik özellikleri, sonunda hükümete hangi işletim sistemlerinin kabul edilebilir olduğunu seçme yetkisi verdiği için devlet yetkisinin kötüye kullanılmasıdır
    Bu yetkinin, işletim sistemi geliştiricilerine istihbarat kurumları için arka kapı koymaları yönünde baskı yapmakta kötüye kullanılması an meselesi; insanlara iki akıllı telefon taşımalarını söylemek de çözüm değil
    Uygun sıfır bilgi ispatı (ZKP) yöntemlerine veya kör imzalara dayalı anonim dijital yaş doğrulaması için genel amaçlı bir işletim sistemi gerekmez; birkaç kriptografik ilkel işlem ve cihaza bağlı anahtar kümeleri yeterlidir
    AB’nin yalnızca bu işlevleri taşıyan özel donanım token’ları geliştirip uygulamaya alternatif olarak tüm vatandaşlara ücretsiz sunması aşırı bir talep değil. Akıllı telefon sahibi olmadan dijital hizmetlere erişimin ciddi biçimde kısıtlanmaması özgürlüğü de böylece güvence altına alınır

    • Hem bankacılıkta hem de kamu hizmetlerinde donanım güvenliğini zorunlu kılmanın kendisi bence sorun değil
      Ancak telefonda kullanıcıya özel yazılım çalıştırma imkânını sınırlamamalı ve özellikle herkesten Google/Apple tarafından imzalanmış bir telefon istememeli
      Bir Pixel’e GrapheneOS kurulduğunda da banka ve kamu uygulamaları çalışmalı; donanım güvenliğini zorunlu kılarken bunun mümkün olduğuna inanıyorum
    • Doğru. Donanım doğrulamasının devlete ne fayda sağladığını pek anlayamıyorum
      Müşteri açısından anahtarının cihazın içinde güvende olduğuna inanabilmesi gibi potansiyel bir avantaj var, ama asıl noktayı ıskalıyor
      Gerçekten gereken şey, standart bir protokol tanımlayan açık kaynaklı bir şartname. Cihaz, isteğin güvenilir bir kaynaktan geldiğini — örneğin hükümet anahtarıyla imzalanmış olduğunu — bilmeli; hükümet API’si de kişiyi temsil ettiğini bildiği anahtarla bu isteği imzalamalı
      Hükümet portalında cihaza özgü birden çok açık anahtar eklemeyi ve istek doğrulamada kullanılacak hükümetin açık anahtarını da paylaşmayı hayal ediyorum. Kimlik doğrulaması gerektiren hizmet, kullanıcının açık anahtarını ister; hükümet API’sinden bir challenge token alıp kullanıcıya iletir
      Kullanıcı, bu challenge’ın güvendiği anahtarla imzalanıp imzalanmadığını kontrol eder, imzalayıp uygulamaya geri verir; uygulama da bunu hükümet API’sine göndererek yalnızca istediği bilgilerin bir kısmına erişim izni alır. Uygulamanın yalnızca yaşa ihtiyacı varsa yalnızca o bilgiyi alır
      Telefon uygulaması anahtarları korumak için donanım doğrulaması kullanmak isteyebilir, ancak bunu zorunlu kılmak için bir neden yok. İyi tasarlanmış bir açık anahtar sistemi yeterlidir; gerektiğinde anahtarlar kolayca iptal edilip yenileri eklenebilmelidir
    • “Cihaza bağlı anahtar” gerekiyorsa, donanım veya yürütme ortamına ilişkin doğrulama olmadan o anahtarın gerçekten cihaza bağlanmış olduğunu nasıl garanti edebilirsiniz?
  • İki ABD şirketine tamamen bağımlı bir Avrupa dijital kimlik sistemi ha?
    Daha düne kadar Avrupa’nın dijital egemenliğinin acil bir ihtiyaç olduğundan bahsetmiyor muyduk? Yoksa bu sadece göstermelik boş laf mıydı?

    • FOSDEM’de bu konu epey uzun tartışıldı. Bir miktar hareketlenme vardı ve her yıl daha iyiye gittiği konusunda iyimserlerdi.
    • Doğru. Google/iOS doğrulaması gerektirmeyen açık kaynaklı bir şartname [0] de var. Ancak cüzdan sağlayıcılarına, uygulamayı App Store’a “mümkün olduğunca” koymaları söyleniyor [1]

      Kullanıcıların cüzdan çözümüne güvenebilmesi için, cüzdan sağlayıcısının sertifikalı cüzdan çözümünü ilgili işletim sistemlerinin resmi uygulama mağazaları (Android, iOS vb.) üzerinden kurulabilir hale getirmesi tavsiye edilir. Böylece cihazın işletim sistemi, uygulamanın gerçekliğine ilişkin ilgili kontrolleri gerçekleştirebilir.
      Elbette önemli bir şirketin ayrı bir dağıtım yolu uygulama olasılığı fiilen sıfıra yakın; bazı kamu kurumları ise belki seçenek sunabilir.
      [0] https://github.com/eu-digital-identity-wallet
      [1] https://eudi.dev/latest/architecture-and-reference-framework...

    • Tam olarak öyle değil. AB gerçekten de ayrışmayı deniyor.
      Ancak birçok durumda destekleyebileceği Avrupa’ya ait bir alternatif yok. Google ve Apple’ın sunduğu yazılım yığınının kayda değer bir bölümünü bile ikame edebilecek tek bir AB şirketi yok.
      Düzenleyici ortam değişmedikçe muhtemelen bundan sonra da olmayacak.
    • ABD, Avusturya’ya 5 dakika içinde telefon açıp, kanıt yükü bile olmadan egemen bir devlet başkanının uçağına verilen hava sahası iznini iptal ettirebilir ve uçak iner inmez uçağa baskın yapılmasını sağlayabilir.
      Sadece birinin uçakta olabileceği gerekçesiyle; o kişi aslında uçakta bile değildi ve tek gerçek “suçu”, ABD’nin temelden anayasaya aykırı yasa dışı eylemlerini ifşa ederek ABD’yi küçük düşürmekti.
      İsveçli savcılar için de durum aynıydı. ABD tek bir telefonla iddianame olmasa da o akşam tüm dünyadaki manşetlerde “Assange” ve “rape” kelimelerinin yan yana çıkmasına yetecek resmi açıklamayı aldırdı.
      Avrupa ülkeleri genel olarak ABD’nin evcil köpeği gibi davranıyor ve bu gerçekten üzücü. Buna rağmen ABD başkanı, işgal ve ilhakla tehdit ederek ya da NATO üyelerinin temel yükümlülüklerini tamamen görmezden gelerek onları arkadan bıçaklıyor.
      Avrupa’nın neden ABD’nin aptal oyunlarına sürekli kapıldığını anlamıyorum. Tekrar tekrar gördüğümüz gibi, bu tutum aynı şekilde karşılık bulmuyor.
  • Bu, amaçlandığı gibi çalışıyor. AB, insanları tamamen kontrol edilebilir cihazlar ve işletim sistemleri kullanmaya zorlamak istiyor.
    Yeni ve akıl almaz düzenlemelere uymazsanız uygulamanız yasaklanabilir.

    EU App Store: Apple Removes Thousands of Apps Due to Digital Services Act Requirements
    Apple’s app removals follow the Digital Services Act, a European law requiring all app traders to display verified contact details, including address, email, and phone number.
    https://www.techrepublic.com/article/eu-app-store-apple-digi...
    Chat Control uygulamak istemeyen uygulamaların uygulama mağazalarında kalacağını mı sanıyorsunuz?
    EU to legislate about Chat Control behind closed doors (https://news.ycombinator.com/item?id=48707719)

    • Sorun şu ki AB o cihazları kontrol etmiyor. Kontrol edenler Google ve Apple, daha da ötesi ABD hükümeti.
  • Düzenleme tekeller yaratır. Büyük şirketlerin kontrolünü azaltmayı amaçlayan düzenlemeler bile küçük oyuncuların genellikle altından kalkamaması nedeniyle pazar payı kaybetmesine yol açar
    Bu, işletme fakültelerinde rekabet avantajı stratejisi olarak gerçekten öğretilen bir konudur. Şirketler görünüşte kendilerine zarar verecek yasalar çıkarması için hükümete lobi yapar, ama gerçekte uygulama maliyetini yükselterek eşitsiz bir oyun alanı yaratır ve pazar payını alır

    • Hiç düzenleme yoksa bunun temelde tekele varması gerekmez mi?
      Her düzenleme tekelleri kırmaz, ama tekelleri kırabilecek tek araç da düzenlemedir
    • Tekeli garanti etmenin tek yolu düzenlemenin tamamen olmadığı bir durumdur
      Tüm “serbest” piyasaların %1 kuralı nedeniyle tekele doğru eğilim gösterdiği biliniyor. Tamamen serbest piyasa yalnızca soyut bir kavram olarak vardır, gerçek hayatta yoktur; bu yüzden gerçek bir serbest piyasayı güvenceye almak için düzenleme gerekir
      Bazı durumlarda serbest piyasa yanlış çözümdür ve düzenlenmiş bir tekel gerekir; kimlik alanının da tam olarak böyle olduğunu düşünüyorum. Çünkü kimlik bireye özgüdür
      Bir kişinin teorik olarak yalnızca tek bir kimliği olmalı ve çok istisnai, iyi belgelenmiş durumlar dışında bu kimlik değişmemelidir
      Devletlerin kimlik sağlamak için iyi bir yöntemi olmalı; küçük bir devletin kaynakları yetersizse büyük bir devlet bunu herkes adına sağlamalıdır. Bu, ülkeler arası uyumsuzluğu azaltır ve özel çıkarları devre dışı bırakır
      Devlet, kimin kimliğini kanıtlayacağı konusunda tek tekele sahip olmalıdır. Çünkü piyasa koşullarından etkilenmeyen tek aktör odur
      Bu konuda önde olan ülkeler pratikte böyle çalışıyor. Tek tek ülkeler ortak bir çözüme ulaşamıyorsa bunu topluluk yapmalıdır
      Burada topluluk başarısız oldu. Çünkü Avrupa çapında bir çözümü zorunlu kılmak yerine özel sektör çözümlerini tavsiye etti
      Özel sektörün kâr amacı olduğundan, kimliğin neyle ve nasıl kanıtlanacağını dikte etmemelidir. Devlet çözümleri değerlendirmelidir, ancak işletme ve uygulama devletin işi olmalıdır
      Piyasa çözümlerinin iyi olduğu birçok alan var, ama bu onlardan biri değil
    • Düzenleme yerleşik oyunculara ve yeni girenlere nasıl davranılacağını açıkça içeriyorsa durum değişir
      Örneğin MMTIS (çok modlu yolcu bilgileri) yeniliği ve yeni oyuncuları açıkça hedefler. Benzer başka örnekler de var
    • Sezgisel olarak mutlaka doğru değil, ama pratikte sık sık doğru gibi görünüyor; bu konuyu daha iyi bilen biri açıklayabilir
      Söz konusu düzenlemenin ne kadar pahalı olduğu da önemli. Binaların çökmemesi, gıdaların zehirli olmaması ve ilaçların farmakolojik Rus ruletine dönüşmemesi için birçok alanda düzenleme kesinlikle gereklidir
      Dolayısıyla hedef, düzenlemenin maliyet-etkinliğini optimize etmek olmalıdır
    • Şirket lobileriyle oluşturulan düzenlemelerin o şirketlerin tekele gitmesine yardımcı olduğu kastediliyorsa, bu mantıklı
      Ama bu, “düzenleme tekeller yaratır” şeklindeki kapsamlı iddiadan farklıdır
  • Google birini engellerse, o kişi dijital kimlik gerektiren tüm hizmetlere erişim hakkını da sonsuza dek kaybeder mi?
    Bir zamanlar bir YouTuber canlı yayın izleyicilerinden emoji girerek “oy vermelerini” istemişti; bunun ardından birden fazla izleyicinin Google hesabı spam nedeniyle engellenmişti[1]
    Google kullanıcı desteğine isteksizliğiyle de ünlü olduğundan, bireysel telafi beklemek zor
    Yeni fidye yazılımı şimdiden görünüyor: “Para ödemezsen Gmail’inden spam gönderip dijital kimliğini kaybettiririm”
    [1] https://www.engadget.com/2019-11-10-youtube-reinstates-banne...

  • Bunun için görece basit, çok daha açık ve güvenli bir çözüm, fiziksel AB kimlik kartını doğrulama kaynağı olarak kullanmak ve yüksek değerli imzalar, yeni cihaz girişi ya da tekrarlanan kimlik doğrulama başarısızlıklarından sonraki giriş gibi önemli işlemler için kullanıcının kartı telefona dokundurmasını istemektir
    Böylece cihaz tarafındaki açık donanım/işletim sistemi “sorunu” tamamen ortadan kalkar. Çünkü artık güvenilir donanıma veya işletim sistemi imzasına ihtiyaç kalmaz
    Telefonda ortadaki adam saldırısı olasılığı doğduğunu iddia etmek mümkün. Kartta ekran da PIN pedi de olmadığı için neye imza attığınızı veya PIN’i kime verdiğinizi bilemezsiniz
    Ama bu riski azaltmanın, telefon doğrulamasının beraberinde getirdiği tüm bağımlılık endişelerini kabul etmeye değip değmeyeceği şüpheli
    Şu anda tüm AB kimlik kartlarının zaten güçlü kriptografik kimlik doğrulamaya sahip olması zorunlu, ancak bu yalnızca ICAO biyometrik kimlik belgesi standardına göre yüz yüze kimlik kontrolünde kullanılabilecek, uzaktan kimlik kanıtlamada kullanılamayacak biçimde. İhtiyaç duyulana sinir bozucu derecede yakın, ama gereken işlevin kendisi değil

    • Benim Fransız kimlik kartımda böyle bir özellik var, ama Fransız dijital kimlik uygulaması da Play Integrity istiyor
    • Donanım doğrulaması olmadan nasıl secure enclave’e sahip olabilirsiniz? Her şeyin kaynağı işlemci kök anahtarıdır
  • Almanya’da Alman Demiryolları’nın (DB) yaşlılara ayrımcılık yapmaması için bilgisayar ya da akıllı telefon olmadan satın alınabilen çevrimdışı biletler sunması gerektiğine dair bir mahkeme kararı vardı
    EUDI Wallet’ın Google/Apple gerektirmesi durumunda da benzer bir karar çıkma olasılığının yüksek olduğunu düşünüyorum

    • Bildiğim kadarıyla şu anda herkesin yanında taşıması gereken çevrimdışı kimlik kartını tamamen kaldırma planı yok
      Bu yüzden EUDI, çevrimiçi hizmetleri kullanmak isteyenler için isteğe bağlı bir alternatif olarak kaldığı sürece benzer bir karar çıkacağından şüpheliyim
    • İdeal olarak tüm Alman bankalarına da uygulama tabanlı olmayan hesaplar veya iki faktörlü kimlik doğrulama dağıtma ya da sunma zorunluluğu getirilmeliydi. Ama yapılmadı
      İnsanlar Play Store veya App Store’a bağımlı ve DB de uygulamayı doğrudan indirme olarak sunmuyor
  • AB, her şey için tek kimlik doğrulama unsuru olarak rastgele dizeleri kullanan kullanıcı odaklı bir kimlik doğrulama sistemini zorunlu kılmalıydı
    Modern kurumsal yazılımlardaki API tokenlarına oldukça benzer, ama uygulama geliştiricileri yerine sıradan insanların kullanacağı bir biçimde
    Hassasiyeti yüksek uygulamalar için de donanım token’larıyla desteklenebilirdi
    Passkey’ler bu rolü üstlenebilirdi, ama sektör tarafından hızla yozlaştırıldılar

    • Bu yöntem takip ve pazarlamaya izin vermiyor; o halde neden böyle bir şey yapsınlar ki?
    • Büyük ölçekli bir kullanıcı tabanını hiç desteklemediğini böyle belli ediyorsun
      Her gün rastgele dizesini kaybeden 50 bin kişiyi nasıl destekleyeceksin? Peki o dizeyi rastgele bir web sitesine yapıştıran diğer 50 bin kişiye ne yapacaksın? Avrupa’da 1 milyar insan var
  • Genel ölçüt şudur:
    Tamamen kendi yaptığım ya da seçtiğim birine yaptırabildiğim bir bilgisayarda, tamamen kendi yazdığım ya da seçtiğim birine yazdırabildiğim kodu çalıştırarak herhangi bir dijital hizmeti veya ürünü kullanamıyorsam, bu kesinlikle kabul edilemez.