I am not a technical person so maybe someone more familiar with the subject can tell me how it looks from the point of view of the potential data leakage and excessive monitoring of citizens? What are the threats?
One thing is quite obvious to me: anonymity on the Internet is becoming more and more difficult
Link to the document:
https://ageverification.dev/Technical%20Specification/architecture-and-technical-specifications/
More in the topic on the EU website
https://digital-strategy.ec.europa.eu/en/policies/eu-age-verification
https://i.redd.it/jtvpa0w8wjff1.png
Posted by Horse_in_Pink
26 Comments
Ja myślę to, co przeczytam na niebezpiecznik.pl.
Teoretycznie da się to zrobić bez naruszania anonimowości, użytkownik jedynie weryfikuje wiek na wejściu i te dane nie są dalej przetwarzane. Ale jak to w praktyce wygląda, trudno powiedzieć.
Natomiast co do kwestii anonimowości, to w internecie nikt nie jest anonimowy, tylko tak ci się wydaje. Każdego da się zidentyfikować, tylko jest to kwestia czasu i głównie dostęp do takich narzędzi mają organy państwowe.
Nie mówiąc o tym, że na anonimowość narzekają ludzie, którzy wrzucają dziesiątki zdjęć swoich bombelkow, wnętrz domów, prywatnych wydarzeń, jakim samochodem jeżdżą, publikują masę innych swoich danych, ale granice stawiają gdyby musieli podać swój wiek. Co to to nie.
Można to zrobić jak odcisk palca w telefonie i zachować anonimowość.
Pytanie tylko, jaki sens to ma w kraju gdzie 13 latek bez problemu może kupić flaszkę albo fajki?
Dane będą regularnie wyciekały
Teoretycznie wygląda jakby mogło zapewnić anonimowość i jednocześnie zweryfikować wiek. W praktyce jest kilka problemów, bo opieramy się na założeniu, że aplikacja rządowa generująca tokeny nie będzie ich zapisywała (w połączeniu z tym komu token wygenerowano), oraz że aplikacja weryfikująca wiek nie zapisze tokenu.
Przykładowo jeśli rząd będzie trzymał historię tokenów użytkownika, a do tego każe przechowywać dowody weryfikacji (w postaci tokenów użytych) administratorom aplikacji, a do tego da sobie możliwość zażądania wglądu w użyte tokeny, to będą w stanie odtworzyć twoją aktywność.
W skrócie – teoria teorią, może zadziała. W praktyce łatwo doprowadzić do nadużyć.
Bardzo zły pomysł.
Jestem przeciwny większości rozwiązań o których czytałem lubi widziałem, że zostały wprowadzone przy okazji tego bajzlu w UK.
Wszystkie wyglądają jak jakieś potencjalny farmy materiału do trenowania AI albo sprzedaży danych do Big Data i wciskania Ci reklam.
Nie mam nic przeciwko weryfikacji i ponieważ to nie jest głosowanie w wyborach, a jednak dość prosta czynność która mogłaby być anonimowa bez pozostawiania żadnego logu, coś w stylu jednostronnego zapytania, przekierownia przez udostępniene rządowe api, potwierdzenia. Zalogowanie do epuapu, które jedyne co wysyła do pytajacego o to serwisu że to jest dorosła osoba.
Ja tu widzę tylko kolejne (uzasadnione) paliwo dla skrajnej, antyunijnej prawicy. Obawiam się że UE już się nie obudzi i nie zmieni radykalnego kursu na jakim się znalazła.
Na obrazku wygląda na bardzo bezpieczny, żadne dane osobiste nie będą przechowywane, jedynie zapewne losowo wygenerowany proof of age. Wszystko natomiast rozbije się o to, czy rzeczywiście będzie to tak zaimplementowane jak na tym obrazku.
Nie licząc wycieku danych ja jestem jak najbardziej za.
Będzie tak jak w uk. Weryfikują wiek na podstawie lewych dowodów z Google image albo zdjęć z death stranding. Tak czy inaczej. Populacja VPN zwiększa się.
Patrząc na to to szansa na wyciek jest bardzo mała. Jedyne zagrożenie to spartolona inplementacja samej apki. Docelowe strony nie będą miały żadnych twoich informacji, będzie to bardziej działać w stylu blika – twoja aplikacja podaje stronie nic nie znaczący kwitek, strona uderza do rządowego serwera z tym kwitkiem i dostaję prostą odpowiedź: dorosły albo nie.
Aplikacja sama w sobie też nie przechowuje Twoich danych, jej jedynym celem z tego co rozumiem jest zweryfikować Cię raz “tradycyjnymi” metodami typu mObywatel i otrzymać od rządowego serwera kwitek który potem będzie podawać dalej. Jeśli ktos ukradnie Ci telefon też z tej apki nie wyciągnie Twoich danych, jedynie kwitek za pomocą którego będzie mógł potwierdzić, że jest dorosły.
Co do anonimowości, tu musiałbyś zaufać rządowi. Teoretycznie rząd nie musi mieć bazy wydanych kwitów by je weryfikować, od tego jest kryptografia. W praktyce mogą mieć ich bazę i je porównywać. A że strony muszą się zweryfikować, to tak, rząd może dostawać powiadomienie za każdym razem jak wchodzisz na pornhuba i weryfikujesz się. Ale z tego co rozumiem grafikę, może też dostać tylko jedno powiadomienie, o tym, że założyłeś zweryfikowane konto na pornhubie, a potem nikt już nie korzysta z apki.
Ogółem, szczerze? Brzmi jak zajebiście pomyślany system. Dostęp do danych obywatela jest zminimalizowany na każdym kroku. Strona docelowa już w ogóle go nie ma. Ciężko też to nazwać narzędziem inwigilacji i kontroli, bo to, że kwitek trzeba było zweryfikować z jakimś rządowym serwerem może nie jest nieuniknione ale jest dość rozsądnym wymaganiem. A już zwłaszcza ten punkt o możliwości weryfikacji raz przy zakładaniu konta. Myślę że dla większości ludzi z momentem wejścia tego w życie rząd dostanie parę powiadomień o tym że ludzie pozakładali dorosłe konta i na tym śledzona aktywność obywateli się skończy.
EDIT:
Wielokrotnie mówię tutaj rząd, ale skoro ma to działać w skali EU, to zgaduję, że to będzie jakaś baza na poziomie UE, do której rzady państw członkowskich nie będą miały ot tak dostępu. Wiec hipotetycznie np. PiS, żeby dostać listę osób zarejestrowanych na Grindr (o ile taka będzie istniała) być może musiałby wystosować jakąś oficjalną prośbę o dostęp. Wyniesienie tego do poziomu UE może znacząco zmniejszyć szansę na nadużycia
Uważam że wszyscy nie powinni ponosić konsekwencji tego że niektórzy rodzice nie potrafią upilnować swoich dzieci w Internecie.
Dużo lepszy pomysł z apką pośredniczącą niż pokazywanie dowodu osobistego stronom porno. Tego chyba nie trzeba tłumaczyć. Problem w tym czy aby na pewno link między apką a tożsamością użytkownika jest przecięty jak twierdzi projekt. Technicznie da się to zrobić dobrze tylko pytanie czy rząd/UE nie zrobi tego celowo źle żeby monitorować obywateli i mieć możliwość inwigilacji. To byłoby bardzo złe z 2 powodów. Po pierwsze nie chcesz żeby rząd wiedział co oglądasz. Po drugie jak rząd ma do tego dostęp to mogą uzyskać dostęp przestępcy i zacząć np. brać chwilówki na PESEL. Czyli pomysł dobry ale musi być dobrze wykonany. Przydałby się dobry niezależny audyt systemu a najlepiej żeby całość była open source bo inaczej ciężko będzie temu zaufać.
Dobrze moze darknet troche ozyje bo ostatnio cos nudno
Absolutne skurwysyństwo
UK to wprowadziło i nagle po paru dniach wprowadza to też Unia Europejska, USA i Australia. Strasznie podejrzane to wszystko. Weryfikacja ID na fora, serwisy streamingowe, gry… wszystko. Nie lubię teorii spiskowych, ale to zbyt mi przypomina jakąś dystopię, gdzie rząd będzie mógł kontrolować każdy ruch użytkowników internetu i można dojść kto co napisał i oglądał
Pełna anonimowość ułatwia dokonywanie pewnej grupy przestępstw i znakomicie utrudnia ich wykrywanie – jak ktoś został nabrany na jakiś scam, to chciałby zaprzeczyć anonimowości i dowiedzieć się kto konkretnie za tym stoi, by odzyskać to, co stracił, i by ten ktoś poniósł karę, ale jednocześnie niekoniecznie chciałby znaleźć się na liście ofiar scamu z imienia i nazwiska i być wytykanym palcami jako naiwniak.
To tak wszystko zależy od tego jak to jest faktycznie zaimplementowane.
Potencjalne problemy:
1. Aplikacja ma już po pobraniu i uruchomieniu dane o użytkowniku itp z samego telefonu.
2. Aplikacja pozyska dane z innych miejsc informacje o tożsamości czyli ma jednocześnie dane o tożsamości i dane użytkownika z telefonu które mogą być fingerprintowane przez co potencjalnie będzie można powiązać rzeczywistą tożsamość z cyfrowym odciskiem który później przy używaniu telefonu może być określony.
3. Generowanie proof of age zakładając że jest unikatowy i nie bezpośrednio powiązany z tożsamością ale aplikacja może mieć i cyfrową tożsamość(fingerprint) i faktyczną i możliwie identyfikowalny proof of age nawet jeżeli już kończy się komunikacja z platformami potwierdzającymi wyciek z appki czy atak na appke czy podstawiona appka albo backdoor do niej ma wszystko co trzeba żeby identyfikować albo przekazać dane do identyfikacji dalej.
Czyli odpowiednio napisana aplikacja może powiązać wszystko i potencjalnie de-anonimizować takie potwierdzanie.
Ale to tylko na szybko zanim się obudziłem ;]
Jest w sumie bardziej anonimowy prosty (chociaż nie tak łatwy) sposób offlineowej weryfikacji wieku. To się nazywa nadzór rodzicielski.
Nikt nie dba o anonimowość w internecie, więc jest coraz trudniejsza dla ludzi, którzy chcą o nią zadbać. W zasadzie od dawna jest niemożliwa w stopniu całkowitym.
A internet za weryfikację wieku, to głupota.
Nienawidzę w jakim kierunku świat zmierza.
Weryfikacja wieku to dopiero początek. Poszperaj po necie na temat grupy HLG i np. projektu “going dark”
niezerowe.
Ale moim zdaniem ciągle warto.
Najbardziej obawiam się, że by nie poszło to drogą ciasteczek i GDPR – w teorii dobry pomysł w praktyce powiększenie upierdliwości korzystania z internetu.
Uważam, że powinno się cisnąć pieniądze w uświadamianiu ludzi, że istnieje coś takiego jak kontrola rodzicielska od wielu lat i że to rodzice są odpowiedzialni za swoje dzieci.
To nie jest problem wszystkich dorosłych, tylko rodziców.
Już teraz te treści latają po innych stronach, które nie weryfikują wieku… I “piractwo” będzie istniało i tak. Bez weryfikacji wieku.
Zamiast cisnąć pieniądze w coś co i tak będzie dziurawe, lepiej to wydać na edukację, albo finansowanie licencji na już dostępne rozwiązania.
Głupota, głupota i jeszcze raz głupota.
Kompletnie nie rozumiem jaki problem to ma rozwiązywać. Ograniczenie dostępu do pornografii dla nieletnich? Każdą taką weryfikację da się obejść VPNem, a z tym poradzi sobie każdy 13-latek kupując nord-vpn z kodem zniżkowym swojego ulubionego youtubera.
Ba, powiem więcej taka weryfikacja tworzy kolejny problem. Ograniczymy dostęp tylko na portalach najpopularniejszych, gdzie treść jest moderowana. Ktoś nabuzowany i tak będzie szukał czegoś do czego będzie mógł dać upust i trafi na jakieś niszowa, ruskie strony z rzeczami totalnie pojebanymi.
W skrócie taka weryfikacja nie rozwiązuje żadnego problemu, tworzy kolejne, może naruszać anonimowość, jest podatna na wycieki danych i będzie wodą na młyn dla skrajnej prawicy w całej UE. Ba, jak zaczną się w to bawić to jako umiarkowany lewak sam będą za wyjściem z instytucji, która nie szanuje prywatności obywateli.
Tu trzeba edukować rodziców jak ograniczać dostęp, jest do tego tysiące narzędzi. Ograniczanie na poziomie routera i telefonu też jest rozwiązaniem bardziej skutecznym niż ten kretyński pomysł.