Avrupa’nın “yaş doğrulama” “uygulaması”, herkesi Android veya iOS kullanmaya zorluyor
(github.com/eu-digital-identity-wallet)- Tartışma açıldığı sırada teknik şartname README dosyasında uygulama ve cihaz doğrulaması için Google Play Integrity API ve Apple App Attestation kullanımı yazıyordu; bunun yaş doğrulamanın önkoşulu haline gelmesinin ABD’li platform şirketlerine ve belirli mobil işletim sistemlerine bağımlılık yaratacağı yönünde itirazlar yükseldi
- Belirli bir tedarikçinin kanıtını zorunlu kılmak, Google veya Apple yazılımı olmayan cihazları, alternatif Android dağıtımlarını ve akıllı telefonu olmayan kullanıcıları dışarıda bırakıyor; ayrıca herkesin kullanabilmesi, kullanıcının kontrolü elinde tutması ve birden çok işletim sistemi ile cüzdan arasında çalışması hedeflenen erişilebilirlik ve birlikte çalışabilirlik ilkeleri ile çatışıyor
- Alternatif olarak Yivi, standart Android donanım tasdiki, Digital Credentials API tabanlı web uygulamaları, ulusal kimlik sağlayıcısının tek kullanımlık meydan okumayı imzaladığı yöntem ve Unified Attestation gündeme getirildi; ancak Yivi ve Unified Attestation için de sırasıyla merkezi bir veren kuruma, harici biyometrik hizmete veya başka doğrulama sağlayıcılarına güvenin yoğunlaştığı yönünde karşı görüşler dile getirildi
- İtalya dijital cüzdanındaki Play Integrity ile ilgili çok sayıda sorun ile Google hesabı ve resmi ROM bağımlılığı örnek gösterildi; ayrıca saldırganların doğrulamayı atlatabileceği veya QR kodunu başkasına taratabileceği, dolayısıyla bunun yalnızca normal kullanıcıları kısıtlayabileceği eleştirisi sürdü
- Tartışmanın odağında, kamu hizmetlerinin belirli şirket teknolojilerine değil herkesin uygulayabileceği açık standartlara dayanması gerektiği talebi var; paylaşılan tartışmada Google ve Apple doğrulamalarının entegrasyonuna dair resmi bir karar ya da nihai çözüm sonucu görünmüyor
Önerilen uygulama-cihaz doğrulaması ve temel itiraz
- Tartışma açıldığında README’de “Google Play Integrity API ve Apple App Attestation tabanlı uygulama ve cihaz doğrulaması” bir sonraki adım olarak yazılıydı
- Yaş doğrulamayı bu hizmetlere bağlamanın, AB’nin ABD’li teknoloji şirketlerine bağımlılığını ve ABD’nin internet üzerindeki kontrol gücünü artıracağı endişesi çıkış noktası oldu
- Dijital egemenlik için dış üçüncü taraf hizmetlerine bağımlılığın baştan kaçınılması gerektiği, her yeni bağımlılığın beraberinde potansiyel güvenlik sorunlarından oluşan bir ekosistem getirdiği görüşü dile getirildi
- Daha sonra bir katılımcı bu ifadenin artık README’de yer almadığını söyledi, ancak değişikliğin nasıl yapıldığına ya da resmi bir karara dair paylaşılan metinde bilgi yok
- Bu tartışma 31 Temmuz 2025’te sorun #18 içinden Discussion’a dönüştürüldü; metinde nihai kabul ya da geri çekme sonucu bulunmuyor
Erişilebilirlik, kullanıcı kontrolü ve birlikte çalışabilirlik
- Belirli işletim sistemlerine ve tedarikçilere bağlı yaş doğrulamasının, kurumun öne sürdüğü şu ilkelerle çatıştığı eleştirisi yapıldı
- Kullanmak isteyen herkese sunulmalı
- Kontrol kullanıcıda olmalı
- Teknik şartnamedeki birlikte çalışabilirlik ilkesi, farklı cihaz işletim sistemleri, cüzdan uygulamaları ve çevrimiçi hizmetler arasında sorunsuz entegrasyon gerektirdiğinden, Android ve iOS’a özgü tedarikçi doğrulamalarına dayanan tasarımla bağdaşmadığı belirtildi
- Google veya Apple yazılımı kullanmayan kullanıcılar, Google’sız telefonların yaygın olduğu Güney Avrupa bölgeleri, alternatif ROM veya microG kullanıcıları ve akıllı telefonu olmayan kişiler hizmet dışında kalabilir
- Nokia 3310 ya da yalnızca dizüstü bilgisayar kullanan kişilerin de erişip erişemeyeceği, akıllı telefon, Google hesabı ve şarjı olan bir cihazın vatandaşlık hizmetleri için şart yapılıp yapılamayacağı soruları gündeme geldi
- Kod açık kaynak olarak yayımlansa bile bütün katılımcılar doğrulamayı zorunlu tutarsa, değiştirilmiş fork’lar gerçek hizmetlerde kabul edilmeyeceği için fiilî fork edilebilirlik ortadan kalkar eleştirisi de yapıldı
Mevcut uygulamalar ve Play Integrity örneği
- Hollanda kimlik uygulaması Yivi, Google bağımlılığı olmadan kamu yaş doğrulamasında kullanılabilecek bir alternatif örnek olarak gösterildi
- Eski adı IRMA idi ve F-Droid gibi açık kaynak uygulama mağazalarında da sunuluyor
- Bazı desteklenen platformlarda kamu yaş doğrulaması için kullanılabildiğinden, Play Integrity’nin zorunlu olmadığını gösteren bir örnek olarak sunuldu
- Ancak Yivi’nin NFC pasaport kaydı da bağımlılıktan tamamen arınmış bir yapı değil
- Ham NFC veri grupları merkezi bir issuer sunucusuna gönderiliyor
- DG1’in tam MRZ’si ile DG2’nin yüz görseli zorunlu ve sunucu ad, belge numarası, uyruk, doğum tarihi ve cinsiyet bilgilerini ayrıştırıyor
- Yüz eşleştirmesi için Regula’nın üçüncü taraf API’si kullanılıyor
- Veriler geçici olarak işlense ve issuer kendi başına barındırılabilse bile, bunun cihaz doğrulamasından farklı türde bir merkezi güven yoğunlaşması olduğu yönünde karşı çıkışlar oldu
- İtalya dijital cüzdanında Play Integrity ile bağlantılı çok sayıda gerçek sorun örneği bulunuyor
- EUDI Android cüzdanında da Google Play Integrity zorunluluğunu kaldırma veya Google Mobile Services lisansını şart koşmayan standart Android donanım tasdiki API’si kullanma yönünde ayrı tartışmalar bağlantılandı
Uygulama olmadan hayata geçirme alternatifleri
- Önce gerçekten ayrı bir yerel uygulamaya ihtiyaç olup olmadığı ve gerçekçi tehdit modelinin ne olduğu değerlendirilmeli görüşü paylaşıldı
- Digital Credentials API kullanan modern bir web uygulamasıyla, “her hizmet için uygulama kurma” yapısından kaçınılması önerildi
- Ulusal kimlik sağlayıcısının tek kullanımlık rastgele bir meydan okumayı imzaladığı tarayıcı tabanlı bir yöntem de somut olarak önerildi
- Kullanıcı yaş kısıtlı bir web sitesine girer
- Web sitesi ziyaretçinin AB’den geldiğini tespit eder
- İçinde rastgele bir dize olan bir dosya indirir
- Kullanıcıyı kamu yaş doğrulama sitesine yönlendirir
- Kullanıcı ulusal kimlik sağlayıcısıyla giriş yapar ve dosyayı yükler
- Kamu hizmeti meydan okumayı imzalayıp tarayıcıya geri verir
- Kullanıcı imzalı dosyayı ilk siteye yükler
- Web sitesi imzanın güvendiği bir kurumdan gelip gelmediğini doğrular
- Meydan okuma tek kullanımlık olduğu için imzalı sonucun uzun süre korunmasına gerek olmadığı, yapının SSH veya WebAuthn kimlik doğrulamasına benzediği de açıklandı
- AB’nin kontrol ettiği bir web sitesinde ulusal kimlik bilgilerini kullanmayı öneren ayrı öneri #18 de alternatiflerden biri olarak anıldı
Unified Attestation ve güven yoğunlaşması sorunu
- Almanya’dan Volla Systeme GmbH’nin Unified Attestation çözümü, Google Play Integrity’ye ücretsiz ve açık kaynak bir alternatif olarak önerildi
- Tek bir backend kısa ömürlü bütünlük token’ları veriyor
- Uygulama sunucusu token’ları çevrimdışı doğruluyor
- Yetkili Android sistem hizmeti token talep ediyor
- Play Integrity ile paralel kullanılabildiği ve uygulama ile sunucu tarafında entegrasyonunun basit olduğu anlatıldı
- Buna karşı çıkan görüş, Unified Attestation’ın da Google yerine başka bir şirket grubuna aynı yetkiyi devretmekten ibaret olduğu ve merkezi doğrulama otoritesi sorununu temelden çözmediği yönündeydi
- Belirli bir şirket teknolojisini başka bir şirketin teknolojisiyle değiştirmek yerine, herkesin uygulayıp entegre edebileceği açık standartların kamu sistemlerinin temeli olması gerektiği talebi tekrarlandı
Donanım tasdiki ile açık kaynak arasındaki çatışma
- Play Integrity’nin fiilen resmi ROM, Google Play Services ve tedarikçi onaylı cihaz gerektirdiği, bunun da kullanıcıların sahip oldukları donanım ve yazılımı doğrudan kontrol etme hakkını zayıflattığı eleştirildi
- Uygulama kaynak kodu serbestçe yayımlansa bile değiştirilmiş derlemeler doğrulamadan geçemiyorsa, yeniden üretilebilir derlemeler ve fork’ların pratik değeri sınırlanıyor
- Almanya uygulamasının yeniden üretilebilir derlemeler sunmayı planlamıyor gibi göründüğünü belirten ilgili çalışma maddesi paylaşıldı
- Bu yaklaşımın OWASP MASVS Resilience yönergelerinden etkilenmiş olabileceği görüşüyle birlikte OWASP/masvs#757 içindeki eleştirel tartışma da bağlantılandı
- Kamu hizmetlerinin belirli teknoloji, işletim sistemi veya uygulama mağazalarına sabitlenmesinin, uzun vadede çıkılması zor bir bağımlılık yaratabileceği; bunun geçmişte Güney Kore’de IE6 bağımlılığına benzer bir kilitlenmeye yol açabileceği karşılaştırması yapıldı
Güvenlikte etkinlik ve aşılabilirlik
- Donanım tasdikinin engellemeyi amaçladığı tehdidin gerçekten ne kadar gerçekçi olduğu soruldu
- Otomatik kimlik doğrulama hizmetleri veya saldırganlar hedeflense bile, doğrulamayı aşma yöntemlerinin yamalardan sonra yeniden ortaya çıkabileceği ve bunun yalnızca normal kullanıcılara kısıt getirebileceği eleştirisi yapıldı
- Reşit olmayan biri kısıtlı sitelere erişmek isterse QR kodunu başka birine taratabileceği, dolayısıyla cihaz doğrulamasının bunu çözmeyeceği örnek olarak verildi
- Doğrulanmış hesapların satılması ya da vekâleten doğrulama yapılması gibi durumların da doğrulama olup olmamasından bağımsız biçimde ortaya çıkabileceği kaygısı dile getirildi
- Teknik olarak atlatabilecek kişiler atlatırken, yalnızca Google veya Apple cihaz istemeyen ya da akıllı telefon kullanmayan yasal kullanıcılar engellenecekse, böyle bir güvenlik önlemini hiç koymamanın daha iyi olacağı görüşü öne çıktı
Yaş doğrulamanın kendisine yönelik itirazlar
- Bazı katılımcılar, Play Integrity seçiminin ötesinde katı çevrimiçi yaş doğrulamanın kendisinin faydalı olmadığını düşünüyor
- Ebeveynlerin akıllı telefonlarda zaten bulunan istemci tarafı filtreleri kullanmasını teşvik etmeyi öneren ayrı tartışma bağlantılandı
- Zorunlu yaş doğrulamanın gençleri Tor veya başka aşma araçlarına yöneltebileceği endişesi de dile getirildi
- Mahremiyet, erişilebilirlik ve bilişim üzerindeki kullanıcı kontrolüne büyük zarar verip yalnızca tek bir sorunu çözmeye çalışıyorsa, bunun hiç uygulanmaması gerektiği görüşü savunuldu
- Paylaşılan tartışma kapsamında, yaş doğrulama uygulaması, cihaz tasdiki yöntemi ya da Google ve Apple entegrasyonu konusunda resmî bir nihai sonucun doğrulanmadığı görülüyor
1 yorum
Hacker News yorumları
AB’nin devasa dijital egemenlik tartışmasında asıl gözden kaçan temel sorun bu. AB kurumları sonunda ABD bulutundan taşınmaları gerektiği yönünü kabullenmeye başladı, ancak maliyetler çok büyük olduğu için eskiye dönülmesini isteyen hava da hâlâ sürüyor
Buna karşılık mobil platformlara neredeyse hiç ilgi yok. Masaüstündeki Linux gibi bir alternatif de yok; mevcut alternatiflere fon da sağlanmıyor. AB’de Android telefon satmak için firmware’in açılmasını ve alternatif işletim sistemi kurulumuna izin verilmesini zorunlu kılalım diye bir tartışma bile yok. Backend tarafı egemenliğin ne anlama geldiğini bir ölçüde anladı ama son kullanıcı cihazlarının yarattığı dijital bağımlılık konusunda çok daha fazla eğitime ihtiyaç var gibi görünüyor
Egemen yapay zekanın mobil işletim sisteminden daha önemli olduğunu savunan yapay zeka şirketlerinin lobisiyle hâlâ rekabet etmeleri gerekiyor, ama ilgi artıyor. Linux tabanlı bir Android alternatifi kendi başına o kadar zor olmayabilir; asıl zor olan, donanım üreticilerini özel cihazlar yapmaya ikna etmek. Sanırım devletin bunu önce güvenlik amaçlı kamu cihazları olarak itmesi gerekecek
Dijital kimlik cüzdanı da üye devletlerin kimlik altyapısı üzerindeki kontrolünü kaybedip AB’nin bunu ele geçirmesine yol açıyor. Ulusal düzeyde egemenlik neredeyse hiç kalmıyor
Teknik olarak herkese yaş doğrulaması dayatmanın yolunu düşünme tuzağına düşmemek gerekir. Önce sorulması gereken, bunun neden herkese zorla dayatıldığıdır; ne ben ne de sen buna hiç onay vermedik
Siyasetçilerin vatandaşların söz hakkı olmadan çevremizdeki tüm dünyayı sürekli değiştirdiği yönetim yapısında ciddi bir sorun var. Bu önlem, internet ve toplum için büyük bir tehdit olmasına rağmen gerçek bir tartışma ya da direnç olmadan ilerletiliyor. Düzgün bir demokrasi böyle işlememeli
https://old.reddit.com/r/Twitter/comments/1uk6a98/lets_confi...
Şu anda Birleşik Krallık’taki Labour ve Conservative de bu tür konularda kontrolden çıkmış durumda, ama en azından teoride politikayı etkilemenin yolunu biliyorum
GitHub issue’sundaki argümana tamamen katılıyorum, ama devletin çıkardığı yaş doğrulama uygulamasına baştan şüpheyle bakmak da gerekmez. Mevcut yöntem çok daha kötü
13 yaşındaki oğlum Roblox oyunu yapıyor; birkaç aydır arkadaşlarıyla oyun paylaşmak için yaş doğrulaması yapması gerekiyor. Roblox’ta yüzünün 3D şeklini şüpheli bir ABD şirketine vermesi gerekiyor; şirket de sadece daha sonra sileceğine söz veriyor. Çocuğumun biyometrik verilerini ya da pasaportunu keyfi biçimde satabilecek bir ABD teknoloji şirketine vermek istemiyorum
Bunun yerine gizliliğin garanti edildiği, verileri satmak için ticari teşviki olmayan ve Roblox gibi şirketlere hangi bilginin aktarıldığını görebileceğim bir devlet uygulaması daha iyi. Bunun geçerli olması için devlete ABD teknoloji şirketlerinden daha fazla güvenilebilmesi gerekir; ama mevcut AB ve birçok üye devlet için durumun böyle olduğunu düşünüyorum. Hollanda’nın koronavirüs takip uygulaması gibi gizliliği iyi uygulayan kamu uygulamaları zaten var
II. Dünya Savaşı sırasında Hollanda nüfus kayıtları dini ayrıntılı biçimde kaydetti ve işgal altındaki Batı Avrupa’da en yüksek oranlardan biri olan Hollandalı Yahudilerin yaklaşık %75’inin öldürülmesinde büyük rol oynadı. 1942’de ABD Census Bureau, gizlilik garantisine rağmen Japon kökenli Amerikalılara dair bölge bazlı bilgileri sağladı; sonraki araştırmalar ad ve adreslerin bile paylaşıldığını ortaya koydu. Ruanda’da ise Belçika sömürge yönetimi 1930’lardaki kimlik kartlarına Hutu ve Tutsi kimliklerini yazdı; 60 yıl sonra bunlar katliam kontrol noktalarının temel aracı oldu
Bugünün Avrupa’sı güvenli görünse bile belirli bir amaçla toplanan bilgiler, dönem değiştiğinde bambaşka amaçlar için kullanılabilir. Gelecekteki bir rejimin hangi etnik grubu, inancı, davranışı ya da kişisel geçmişi hedef alacağını bilemeyiz; kayda geçirilmesine izin verdiğimiz tüm veriler onların eline geçer. Avrupa hükümetleri de yalnızca birkaç on yıl önce böyle şeyler yaptı; bugünkü barış dönemi tarihsel olarak istisnai ve pek çok kişi için geçici olma ihtimali yüksek
Karanlık desenler ve kapalı ekosistemlerle dolu Roblox’u illa kullanmaya gerek yok
İlgili materyal olarak, 27 Temmuz 2025 tarihli “Google tarafından onaylanmamış tüm Android sistemlerini engelleyen AB yaş doğrulama uygulaması” var
https://www.reddit.com/r/BuyFromEU/comments/1mah79o/eu_age_v...
Ayrıca 24 Eylül 2025’te “masaüstü desteği planlamayan AB yaş doğrulama uygulaması” da ele alındı
https://news.ycombinator.com/item?id=45359074
Kullanmayın, düşünmeyin bile. Bu sistemi kullanmayacağınızı mümkün olan her yolla duyurmalı ve arkadaşlarınıza da bunu önermelisiniz
Egemenlikten söz edip tam tersini yapıyorlar. AB’yi bütünüyle destekliyor olsanız bile Commission’ı sandıkta durduramıyorsanız eylemle reddettiğinizi göstermelisiniz
Akıllı telefon kullanamayan yaşlıların dijital dışlanması konusunda duyulan endişenin son birkaç yılda kaybolması komik
Telefonu olmayan ya da kullanmayı bilmeyen ve yardım alacak kimsesi de bulunmayan yaşlıların sayısı hızla azalacak. Benim gördüğüm kadarıyla bu grup daha çok İkinci Dünya Savaşı’nı hatırlayan kuşakla örtüşüyor
Doğru düzgün incelenmemiş düzenlemeler, niyeti iyi de kötü de olsa beklenmedik sonuçlar doğurabilir. Şimdi de ziyaret ettiğimiz her web sitesinde çerezlerle ilgili yasal onayı tekrar tekrar vermek zorundayız; artık umursamayıp herhangi bir düğmeye basıyoruz
https://addons.mozilla.org/en-US/firefox/addon/consent-o-mat...
Birkaç cihazda ve telefonda kullanıyorum; oldukça iyi çalışıyor, çerez açılır pencerelerini neredeyse hiç görmüyorum
Gözetim kapitalizminden para kazanan şirketler doğal olarak banner’ı seçiyor. İzlemeyi tamamen yasaklamak da mümkündü, ama işe zarar vereceği gerekçesiyle bunu yapmadılar
Android de kullansanız iOS de, neredeyse tüm internet hizmetlerine erişmek için belirli bir platformu zorla kullanmak doğru değil
Bu yöntemin engellileri, yaşlıları ve belirli dini inançları koruyan yasalarla nasıl bağdaştığı soru işareti. Kamu işlemleri vekil ya da kâğıt dâhil olmak üzere mutlaka başka yollar da sağlayan çok kanallı bir şekilde yürütülürdü; bu ise aşırı sert bir yaklaşım
Yaş doğrulaması uygulamaya zorlanan hizmetleri ileride hiç kullanmama tarafına eğilimliyim
Sosyal medyadan daha endişe verici olan, bu dijital kimlik doğrulamanın zorunlu hizmetler üzerindeki etkisi. Basitçe kullanmam demekle çözülecek bir şey değil
Çocuklar baştan beri amaç değil; yalnızca insanların dikkatini başka yöne çekmek için kullanılan bir bahane