Aplikasi verifikasi usia UE tidak berencana mendukung desktop

 (github.com/eu-digital-identity-wallet)
2 poin oleh GN⁺ 2025-09-25 | 1 komentar | Bagikan ke WhatsApp
  • Proyek dompet identitas digital UE hanya berfokus pada platform mobile (Android/iOS), sehingga tidak mempertimbangkan dukungan desktop
  • Banyak warga, seperti yang tidak memiliki smartphone dan pengguna berbagai sistem operasi, menjadi dikecualikan dari layanan
  • Permintaan verifikasi usia yang sering serta masalah perlindungan privasi menurunkan kegunaan
  • Pendekatan ini memunculkan kekhawatiran utama seperti ketergantungan pada Google dan Apple, pembatasan persaingan, dan melemahnya kedaulatan digital
  • Muncul seruan akan perlunya alternatif berbasis open source, ekstensi browser, dan standar universal

Ikhtisar dan masalah utama

  • Isu ini menyoroti kekhawatiran atas kegunaan sistem verifikasi usia EU Digital Identity Wallet (eu-digital-identity-wallet)
  • Karena usulan saat ini berfokus pada aplikasi mobile (Android dan iOS), hal ini memperlihatkan masalah bahwa orang yang tidak memiliki smartphone, pengguna PC, dan pengguna OS alternatif pada praktiknya tersisih

Masalah kegunaan utama

  • Ada anggapan bahwa semua warga memiliki smartphone, tetapi kasus orang yang tidak memiliki smartphone, termasuk lansia, masih tetap ada
  • Saat menggunakan web, khususnya dalam private browsing atau mode anonim, pengguna harus melakukan verifikasi usia setiap kali, sehingga aksesibilitas web menurun drastis
  • Ekstensi browser untuk pemrosesan otomatis juga sempat dibahas, tetapi memiliki keterbatasan dari sisi keandalan dan perlindungan privasi
  • Biaya implementasi teknis besar, dan ada kekhawatiran ketergantungan pada bahasa pemrograman atau ekosistem tertentu, sehingga hambatan partisipasi bagi pelaku kecil seperti startup menjadi tinggi

Respons dari pihak UE dan komunitas

  • Proyek UE menyatakan bahwa "saat mengakses konten dengan pembatasan usia tertentu, pengguna perlu memverifikasi identitas dengan cara yang tepercaya dan menjaga privasi"
  • Karena mobile (Android/iOS) mencakup mayoritas seluruh pengguna dan sebagian besar kasus nyata, dukungan desktop saat ini tidak termasuk dalam cakupan
  • Mereka menjelaskan bahwa ini hanyalah satu contoh implementasi referensi untuk memenuhi hukum perlindungan data (DSA), dan solusi alternatif lain juga dapat diimplementasikan
  • Mereka juga menyatakan akan mempertimbangkan perluasan platform dan berbagai kontribusi di masa depan

Sanggahan dan kekhawatiran tambahan

  • Di beberapa negara Eropa, lebih dari 1 dari 10 rumah tangga tidak memiliki smartphone
  • Meskipun ada beragam OS dan perangkat di pasar selain OS standar dari Google dan Apple (Linux, Windows, Sailfish, dll.), pendekatan saat ini mengecualikan semuanya
  • Infrastruktur identitas publik menjadi bergantung pada struktur monopoli perusahaan tertentu (Google, Apple), sehingga merusak kebebasan memilih pengguna dan persaingan pasar di masa depan
  • Sebagai infrastruktur publik, independensi platform dan netralitas vendor harus dijamin, dan diperlukan alternatif seperti smart card, token hardware FIDO2, serta kerangka autentikasi milik UE sendiri

Usulan alternatif teknis dan kebijakan

  • Diusulkan pendekatan universal berbasis standar seperti W3C Credential Management API, serta melalui browser, sistem operasi, dan ekstensi open source
  • Memusatkan sistem identitas digital pada mobile cocok untuk menggantikan kartu identitas fisik, tetapi untuk autentikasi online, kemampuan berbasis web dan dapat diperluas adalah hal yang wajib
  • Seiring dorongan regulasi, banyak suara yang menyuarakan kekhawatiran bahwa warga UE akan menjadi bergantung pada perusahaan AS tertentu

Kesimpulan dan tuntutan

  • Untuk infrastruktur inti seperti identitas digital (termasuk verifikasi usia), universalitas, netralitas vendor, dan independensi platform wajib dipastikan
  • Ditekankan perlunya pengembangan dan penerapan solusi alternatif berbasis berbagai hardware, OS, browser, dan Open API
  • Proyek UE ini hanyalah satu contoh, dan implementasi open source maupun pihak ketiga serta perluasan ke desktop dan platform lain merupakan tugas penting yang wajib dilakukan

Bacaan terkait

1 komentar

 
GN⁺ 2025-09-25
Opini Hacker News

  • Saat ini proyek ini berfokus pada platform mobile, yaitu Android dan iOS, dengan alasan bahwa kedua platform tersebut mencakup sebagian besar pengguna, dan dukungan desktop saat ini tidak termasuk dalam rencana; menurut saya situasi ini mirip dengan pertanyaan “memangnya kalian tidak punya ponsel?”, hanya saja terjadi dalam skala yang lebih besar, di tempat saya tinggal pun saya hanya menggunakan ponsel seminimal mungkin, demikian juga meskipun saya bekerja di industri teknologi, tetapi saya sangat khawatir karena hal ini makin merepotkan, suasananya makin mengarah ke kondisi bahwa untuk diakui sebagai anggota masyarakat, Anda harus menggunakan ponsel, terutama karena banyak negara, termasuk negara saya, sedang mendorong verifikasi usia, dan bahkan mulai ada pembicaraan soal memblokir sideloading di Android, jadi saya khawatir sekitar akhir 2026 orang tanpa smartphone resmi pemerintah tidak akan dianggap sebagai manusia lihat tautan YouTube

    • Proyek-proyek seperti ini didorong dengan niat mempermudah dan memurahkan akses ke masyarakat modern lewat smartphone, tetapi hasilnya justru memperparah stratifikasi sosial, kakak saya juga sangat membenci teknologi sehingga hanya memakai ponsel lipat kuno, dan berbagai masalah yang timbul karenanya bahkan terasa mengejutkan, yang paling buruk adalah ketika situs desktop terus meminta pemasangan aplikasi lalu tidak berfungsi dengan benar

    • Saya ingin menyinggung berita terbaru tentang pemaksaan penggunaan aplikasi: Ryanair dikabarkan akan menghentikan boarding pass cetak mulai November dan hanya menyediakan boarding pass lewat aplikasi, bahkan di situs Ryanair melalui browser mobile pun mereka tidak menampilkan kode QR dan mewajibkan penggunaan aplikasi tautan berita

    • Intinya adalah membuat semua orang dapat dilacak seperti “kalung”, para teoretikus konspirasi khawatir soal penanaman microchip, tetapi kenyataannya masyarakat modern dikendalikan dengan cara yang jauh lebih mudah diterima daripada itu, seolah-olah ada kebebasan dan peluang tak terbatas, padahal justru itulah alat pembatas kebebasan, mengutip Gilles Deleuze dalam ‘Postscript on the Societies of Control’, sistem kontrol melacak posisi tiap elemen (hewan atau manusia) secara real-time, tampak seperti kartu atau pass digital untuk akses, tetapi sebenarnya komputer memantau semua lokasi dan perilaku kita tautan makalah

    • Menurut saya justru bagus kalau verifikasi usia tidak diterapkan pada desktop yang masih bebas, setidaknya di desktop masih ada kebebasan

  • Saya rasa ini contoh bagus bahwa persyaratan ini didorong tanpa dipikirkan dengan matang, menurut pernyataan mereka, aplikasi desktop sama sekali tidak termasuk dalam cakupan verifikasi usia, jadi saya berharap mungkin ini justru bisa memicu kebangkitan aplikasi desktop alih-alih web service, tetapi sekarang orang dewasa justru akan makin direpotkan, masalah lainnya adalah kebijakan ini pada dasarnya akan menghalangi pengembangan OS ponsel baru, jika verifikasi dompet online tidak memungkinkan, saya jadi bertanya-tanya siapa yang mau membuat OS ponsel baru

    • Menurut saya kenyataannya memang sudah begitu, aplikasi bank atau aplikasi eID pemerintah hanya bisa dipakai di perangkat Google atau Apple

    • Kebijakan ini benar-benar memberi kesan seperti “PC itu kuno jadi tidak penting”

    • Saya rasa kasus ini bukan contoh kebijakan yang dijalankan secara ceroboh, melainkan contoh salah paham tentang apa yang sebenarnya diinginkan para pendorong kebijakan ini, pada dasarnya tujuan mereka adalah memblokir konten itu sendiri, dan pembatasan usia hanyalah bungkusnya, jadi yang mereka inginkan adalah mencegah akses sejak awal

    • Jadi jawaban yang sebenarnya adalah “untuk memakai aplikasi desktop ini, Anda memerlukan smartphone”

    • Tidak ada gunanya berharap pada kebangkitan 'aplikasi desktop', karena demi memenuhi persyaratan hukum, bahkan aplikasi desktop pun pada akhirnya harus terhubung ke smartphone

  • Saya ingin menekankan sekali lagi bahwa proyek ini bukan THE digital wallet, melainkan prototipe awal, infrastrukturnya ingin mengadopsi ZKP (Zero-Knowledge Proof) double-blind, bukan attestation, dan pendekatan ini lebih unggul dari sistem kunci publik yang ada dari sisi privasi, serta bisa kompatibel lintas platform, kalau Anda belum familiar, dalam sistem ini otoritas penerbit tidak mengetahui apa pun selain pernyataan atas atribut seperti usia atau izin mengemudi, dan UE juga tidak tahu atribut apa yang diverifikasi, kapan diverifikasi, atau siapa yang mencobanya

    • Orang mungkin mengira “orang-orang salah memahami proyek ini”, tetapi kenyataannya mereka hanya sedang mengeksplorasi cara yang membuat pembedaan penerbit menjadi mustahil, sementara saat ini solusi yang diterapkan masih berbasis kriptografi standar yang dapat ditautkan, sehingga jika otoritas penerbit (pemerintah negara anggota) dan pihak peminta verifikasi (situs web) bekerja sama, anonimitas pengguna dapat dengan mudah dibongkar, SD-JWT dan tanda tangan sama-sama dibagikan sehingga penerbit dan peminta verifikasi bisa melihat pengenal, pada akhirnya proyek ini adalah showcase yang menunjukkan bahwa verifikasi usia secara teknis memungkinkan, teknologi privasi mungkin akan ditambahkan nanti, tetapi sering kali solusi sementara menjadi solusi paling permanen, dan karena identifikasi penerbit dalam desain saat ini terlalu mudah, perlindungan privasi justru bisa memburuk tautan referensi

    • Saya penasaran apakah ada dokumen terkait ZKP (Zero-Knowledge-Proof)

    • Saya bingung dengan maksud ungkapan “proyek ini bukan THE digital wallet, melainkan the wallet”

  • Untuk menjelaskan esensi hardware attestation, ini benar-benar pedang bermata dua yang sangat tajam, masalah terbesarnya adalah hardware autentikasi dan aplikasi klien berada pada perangkat yang sama dari produsen yang sama, dan produsen akan memprioritaskan pendapatannya sendiri di atas privasi pelanggan, lanskap pro-attestation saat ini begitu kuat sehingga saya ingin menghargai momen ‘keterbukaan’ yang masih kita miliki

    • Saya memahami metafora “pedang bermata dua” sebagai adanya plus dan minus, tetapi saya tidak benar-benar melihat apa keuntungan dari keadaan di mana saya tidak bisa menggunakan hardware yang saya miliki sesuka saya

    • Hal yang paling menggelikan adalah saya tidak paham mengapa UE ingin menjadikan hardware attestation yang dikendalikan dua perusahaan swasta AS sebagai syarat wajib untuk mengakses layanan, semangat regulasi UE sendiri berpusat pada perlindungan konsumen, pencegahan monopoli, dan hak-hak dasar warga, belakangan bahkan menekankan kedaulatan digital, tetapi ini justru bertentangan langsung dengan semua prinsip itu, merugikan pelanggan (bahkan pada dasarnya kebalikan dari GDPR), hanya menguntungkan perusahaan monopoli besar, dan berujung pada situasi di mana perusahaan AS menentukan kelayakan warga dalam mengakses informasi, rasanya ini sepenuhnya bertentangan dengan semangat UE

    • Saya punya harapan tipis bahwa situasi ini justru bisa menjadi peluang untuk jenis hardware baru

    • Saya penasaran bagaimana Private Access Token (PAT) merusak privasi demi monetisasi

  • Pada akhirnya saya rasa satu-satunya pilihan yang tersisa bagi kita adalah tidak menggunakan layanannya, tetapi secara realistis orang-orang tidak ingin menerima ketidaknyamanan, jadi kecil kemungkinan akan ada aksi kolektif, mungkin saja bisa terjadi jika semua orang memboikot layanan yang hanya menyingkirkan pengguna desktop, solusi sejatinya adalah tindakan konsumen dengan ‘memilih dengan kaki’, tetapi kebanyakan orang tidak peduli bagaimana data dan hak mereka digunakan, dan sering kali hanya menerimanya meski tidak nyaman, harus membeli ponsel baru setiap tahun? OK, menyerahkan semua data komunikasi ke perusahaan teknologi raksasa? OK, pengawasan oleh perusahaan swasta alih-alih lembaga negara pun diterima saja, terlalu banyak orang yang langsung kehilangan minat begitu topik masalah teknis atau sosial dibahas, tantangan terbesar adalah bagaimana membuat masyarakat umum peduli pada hak digital

    • Perdebatan seperti ini terasa seperti perang yang sudah kalah sejak lama, saya memperkirakan kebebasan internet akan terus tergerus secara bertahap, dan saat orang-orang tersadar kemungkinan semuanya sudah terlambat, meski begitu secara optimistis saya berharap layanan federated bisa menjadi arus utama dan menahan situasi ini

    • Saya melihat ini sebagai tahap pertama, tahap berikutnya adalah verifikasi identitas wajib untuk semua layanan, pada akhirnya hanya ada dua pilihan: terima atau sama sekali tidak bisa memakai layanan tersebut

    • Kebanyakan orang tidak peduli kecuali mereka sendiri mengalami contoh sebab-akibat yang jelas bahwa menekan tombol OK di suatu formulir benar-benar membawa dampak buruk di dunia nyata terhadap keluarga, pekerjaan, atau kehidupan sehari-hari mereka, jika tidak, semuanya hanya dianggap kekhawatiran abstrak

  • Setelah memeriksa DSA (Digital Services Act), saya hanya menemukan tiga bagian yang menyebut verifikasi usia, recital 71 dan Article 28 menyatakan bahwa privasi dan keselamatan anak di bawah umur harus dilindungi secara khusus, tetapi pemrosesan tambahan atas data identitas pribadi dilarang, hanya Article 35 yang mengisyaratkan bahwa “platform online besar” dapat menerapkan verifikasi usia, dan recital 57 menegaskan bahwa UKM tidak menjadi subjek regulasi ini, dalam situasi saat ini, selain platform besar, verifikasi usia belum wajib, Komisi memang sedang mencoba membentuk opini publik ke arah tertentu, tetapi penting untuk ditekankan bahwa secara hukum ini belum bersifat wajib, lihat juga panduan dan komentar

    • Dompet identitas digital bukan bagian dari DSA, melainkan proyek ‘memindahkan identitas ke ponsel’, jika berjalan sesuai rencana, kartu identitas, SIM, ijazah, tiket kereta, hingga pembayaran akan bisa ditangani lewat aplikasi semacam ini, karena ini adalah verifikasi atribut, misalnya seseorang bisa membuktikan dirinya memenuhi syarat mengemudi tanpa mengungkapkan nomor identitas penduduknya, tetapi begitu infrastruktur seperti ini diterapkan, saya pikir pemerintah akan menambahkan berbagai kewajiban dengan dalih penghematan biaya atau alasan seperti perlindungan anak dan penanggulangan terorisme, pada akhirnya ada risiko verifikasi wajib meluas ke lebih banyak bisnis tautan proyek

  • Saya pikir judul “EU age verification app not planning desktop support” menyesatkan, seolah-olah verifikasi usia tidak mungkin dilakukan di desktop, padahal sebenarnya berbagai solusi dimungkinkan, aplikasi ini hanyalah salah satu ‘contoh’, jadi menurut saya judul yang lebih tepat adalah “EU age verification example app not planning desktop support”, saya tidak setuju dengan implementasinya, tetapi kritik harus akurat

  • Ini mungkin terdengar seperti teori konspirasi, tetapi saya rasa inilah alasan Google berusaha mematikan sideloading, saat ini mobile adalah satu-satunya platform tempat pemasangan software wajib dan autentikasi jarak jauh bisa benar-benar diterapkan, jika sideloading diblokir, ke depannya Google (atau Apple di iOS) bisa memaksa semua app store/browser menerapkan API verifikasi yang disetujui pemerintah

    • Alasan Google menyambut baik undang-undang terkait verifikasi semacam ini adalah karena selaras dengan model bisnisnya, dalam penjualan iklan penting bahwa pengguna adalah manusia nyata, jadi verifikasi penting bagi mereka, platform media sosial lain seperti X juga memiliki insentif serupa

  • “Karena kebijakan seperti ini, web menjadi ruang yang tidak bisa dipakai bagi orang yang ingin menjelajah web secara privat”, ini bukan kecelakaan, melainkan ‘niat’ mereka, lihat kasus orang-orang yang ditangkap karena unggahan media sosial di Inggris dan Jerman

  • Kebijakan seperti ini terasa konyol dan tidak masuk akal

    • Sebenarnya ini kebijakan yang cukup masuk akal, tujuannya adalah memandang buruk pengguna sistem operasi yang menjunjung kebebasan seperti Linux dan memperlakukan mereka sebagai warga kelas dua, lihat kasus terkait

    • Tergantung Anda bertanya kepada siapa, Google ingin mengontrol apa yang digunakan pengguna melalui verifikasi pengembang atau hambatan sideloading di iOS, desktop terlalu bebas, sehingga kebijakan seperti ini justru menekan penggunaan desktop dan memperkuat ketergantungan pada ekosistem tertutup