EU Age Control: Kuda Troya untuk ID digital

• Dipromosikan sebagai autentikasi yang menjaga privasi dengan hanya membuktikan usia, tetapi struktur deployment nyatanya bergantung pada aplikasi tiap negara dan jalur opsional, sehingga tidak bekerja sebagai satu aplikasi EU
• Platform besar dapat memakai penyedia KYC umum yang melakukan pemindaian paspor dan pemeriksaan liveness alih-alih EU wallet, sehingga jalur yang menjaga privasi bukan syarat wajib melainkan sekadar opsi
• Jalur utama implementasi reference saat ini bukan zero-knowledge proofs, melainkan memakai ISO 18013-5 mdoc with ES256, dan unlinkability juga lebih bergantung pada aturan rotasi kredensial sekali pakai di wallet daripada jaminan matematis yang kuat
• Jika verifikasi integritas aplikasi diberi hardware attestation, biner akhir harus cocok dengan kode yang disetujui Google atau Apple, sehingga perangkat seperti GrapheneOS atau ponsel Linux kustom bisa tersisih
• Relay attack tidak terhalang meski semua signature dan attestation valid, dan juga muncul kekhawatiran bahwa struktur seperti ini bisa meluas dari verifikasi usia ke penerimaan digital IDs yang dapat dicabut

Jalur penghindaran DSA dan pengganti KYC

• Platform besar yang menangani konten tertentu memang perlu verifikasi usia, tetapi tidak wajib memakai EU wallet yang berorientasi privasi
  • Platform dapat memilih EU wallet
  • Pada saat yang sama, mereka juga dapat memasang penyedia KYC umum yang melakukan pemindaian penuh paspor dan pemeriksaan liveness
• Fitur privasi tetap bersifat opsional
  • Promosi berfokus pada sisi privacy-preserving, tetapi menurut aturan, jalur alternatif dengan privasi yang lebih lemah juga tetap diizinkan
• Jalur untuk menghubungkan eID tiap negara secara langsung digambarkan sulit secara praktis
  • Mengintegrasikan 27 national eID systems yang berbeda itu rumit
  • Bagi bisnis KYC, lebih murah dan lebih universal untuk mempertahankan database tampilan kartu identitas fisik serta prosedur berbasis foto
• Kesiapan interoperabilitas saat ini juga dinilai rendah
  • Dalam trusted list resmi, jumlah aplikasi production adalah 0
  • Implementasi reference juga digambarkan masih belum selesai
  • Harapan bahwa interoperabilitas yang rapi akan tercapai di semua 27 negara pada akhir 2026 dipandang tidak realistis

Alur verifikasi nyata dan kontrol perangkat

• Jalur berkepercayaan tinggi yang utama menggunakan NFC passport
  • MRZ di bagian bawah halaman foto dipindai untuk membaca data chip NFC dan memperoleh kunci untuk mendekripsinya
  • Chip tersebut berisi data yang ditandatangani dan JPEG photo pemilik
  • Secara desain, ponsel mengambil foto wajah secara real-time lalu mencocokkannya secara lokal dengan foto di chip
• Pencocokan wajah lokal ini ditulis sebagai cara untuk mencegah anak memindai paspor orang tua lalu menerbitkan kredensial untuk dirinya sendiri
• Walaupun aplikasinya open source, jika hardware attestation dipaksakan dalam build distribusi nasional, modifikasi sewenang-wenang akan terhalang
  • Berdasarkan isi tulisan, pada reference code saat ini verifikasi attestation sisi server masih belum terhubung
  • Namun, strukturnya menyebutkan bahwa build distribusi per negara harus menambahkan hal itu
  • Biner akhir harus cocok persis dengan kode yang ditandatangani Google atau Apple
• Model keamanan ini mengecualikan perangkat dan sistem operasi tertentu
  • GrapheneOS dan ponsel Linux kustom tidak diizinkan
  • Perangkat Huawei disebut bisa melakukan hardware attestation sendiri, tetapi tidak lolos Play Integrity
  • Sebagai contoh terkait, ditautkan GrapheneOS attestation compatibility guide
• Ada juga jalur MRZ-only yang lebih sederhana, tetapi sangat terbatas
  • Ini adalah jalur yang hanya memotret dokumen identitas tanpa pembacaan NFC atau pencocokan wajah
  • Disebutkan bahwa belum jelas apakah aplikasi nasional sungguhan akan mendukungnya
  • Reference merekomendasikan jalur berbasis chip dengan kepercayaan tinggi

Perbedaan antara kriptografi yang dipromosikan dan yang benar-benar dipasang

• Narasi ke luar berpusat pada zero-knowledge proofs, tetapi jalur eksekusi di aplikasi Android reference yang sebenarnya tidak memakai kriptografi ZK
• Cara kerja yang saat ini aktif disebut sebagai ISO 18013-5 mdoc with ES256
  • Setiap atribut ditandatangani sebelumnya
  • Wallet hanya mengungkap atribut yang diminta, sementara sisanya disembunyikan dengan salted-digest commitments
• Walaupun library ZK disertakan di repositori, pada presentation path library itu tidak dipanggil
  • Fakta bahwa sesuatu ada di repositori berbeda dengan kondisi benar-benar switched on
  • Apakah aplikasi tiap negara akan mengaktifkannya nanti tetap menjadi pertanyaan terbuka
• Unlinkability dalam reference saat ini juga dijelaskan berbeda dari jaminan matematis yang kuat
  • Tulisan itu menyebutnya disposable-batch unlinkability
  • Jika kredensial yang ditandatangani dipakai sekali saja, yang mungkin terungkap hanya status berusia di atas 18 tahun dan penerbitnya, tanpa pengenal unik

Karakteristik dan batasan privasi

• Alur keseluruhan mendekati local-first, tetapi server penerbit kredensial tetap dibutuhkan
  • Pemindaian dokumen dan pemeriksaan awal dilakukan di ponsel
  • Dengan asumsi aplikasinya adalah attested app, server penerbit dapat cukup memercayai kode apa yang sedang dijalankan
  • Server memverifikasi signature dokumen lalu menerbitkan credential yang ditandatangani
• Dari sudut pandang verifier, unlinkability hanya berlaku jika wallet bergerak sesuai aturan
  • Desainnya bukan struktur di mana dua proof secara matematis mustahil dikorelasikan, melainkan pendekatan memakai disposable credentials sekali lalu meminta lagi yang baru
  • Jika wallet mematuhinya, verifier yang berbeda akan melihat signature yang berbeda sehingga sulit ditautkan
  • Jika wallet curang atau proof dipakai ulang, byte signature yang sama akan muncul dan penautan menjadi mudah
• Narasi umum ZK = unlinkability permanen tidak berlaku di sini
  • Sifat ini bertahan bukan karena kriptografi meniadakan reuse itu sendiri, tetapi karena wallet harus menaati aturan rotasi
  • Sebagai pembanding, disebut BBS+ dan CL signatures, yang dikatakan dapat membuat proof tak tertaut bahkan jika dipakai ulang
• Cakupan pelacakan dari sudut pandang penerbit juga terbatas
  • Penerbit menerbitkan credential saat pengguna menunjukkan ID
  • Setelah itu, server tidak mengetahui credential tersebut dipakai di mana dan berapa kali
  • Bahkan rate limit yang dibayangkan pun hanya membatasi jumlah penerbitan, bukan jumlah penggunaan nyata
• Dalam perilaku wallet yang normal, mungkin masih bisa disimpulkan bahwa seseorang adalah warga negara EU, tetapi sulit mengetahui akun mana yang milik orang yang sama atau mengaitkan aktivitas lintas situs

Masalah relay attack

• Disajikan skenario relay attack yang tidak benar-benar dijawab oleh spesifikasi
  • Ketika seorang anak di bawah umur ingin masuk ke situs dengan pembatasan usia, ia menyerahkan QR code atau tautan ke layanan autentikasi perantara
  • Layanan itu meneruskannya ke ponsel bersih yang memiliki government wallet milik orang dewasa sungguhan
  • Ketika orang dewasa menyetujui, situs menerima proof over-18 yang sepenuhnya valid dan mengizinkan akses
• Dalam alur ini, tidak ada verifikasi kriptografis yang gagal
  • Semua signature asli, attestation juga asli, dan orang dewasanya memang benar-benar dewasa
  • Masalahnya adalah protokol hanya terikat pada fakta bahwa ada wallet di suatu tempat yang menyetujui, bukan pada manusia yang sedang berada di depan browser ini
• Tidak adanya proximity check diajukan sebagai batasan utama
  • Digital Credentials API di sisi browser hanya memberi sedikit efek mitigasi saat browsing dan autentikasi dilakukan bersama di ponsel yang sama
  • QR code dan deep link yang dipakai untuk perpindahan antardevice disebut masih tetap terbuka
• Play Integrity juga tidak mencegah masalah ini
  • Play Integrity hanya melakukan attestation atas kode apa yang berjalan di perangkat mana
  • Ia tidak memberi tahu siapa yang berada di depan perangkat itu, atau di mana perangkat tersebut berada
  • Dalam alur proxy, layanan web perantara bukan objek attestation; ia hanya meneruskan byte
• Setelah orang dewasa terdaftar, model penjualan ulang dianggap menjadi lebih mudah
  • Di wallet disebut ada 30 disposable credentials yang diperbarui dalam siklus pendek
  • Penerbit tidak melihat bagaimana kredensial tersebut benar-benar dikonsumsi
  • Karena itu, operator proxy dapat memakai ulang credential yang sama untuk banyak anak di bawah umur, dan sistem hulu tidak dapat mendeteksinya
• Masalah ini didefinisikan bukan sebagai bug implementasi, tetapi sifat struktural yang berasal dari bentuk protokol
  • Karena itu, ini dipandang akan tetap menjadi masalah di seluruh 27 aplikasi negara yang mengikuti spesifikasi

Kekhawatiran perluasan ke infrastruktur ID digital

• Aplikasi verifikasi usia diposisikan sebagai titik masuk menuju digital ID infrastructure
• Titik awalnya adalah perlindungan anak dan pemblokiran konten berbahaya, tetapi dalam praktiknya digambarkan sebagai struktur yang menciptakan friksi agar orang memilih attested wallet yang lebih nyaman
• Dalam struktur ini, aplikasi itu sendiri juga menjadi objek attestation, sehingga Google atau Apple ikut menentukan apa yang boleh dijalankan
• Disebutkan bahwa kredensial dapat dicabut oleh issuer
• Aplikasi reference disebut hanya membocorkan foto wajah secara lokal
  • Namun, karena 27 negara akan membuat versi masing-masing, diperkirakan bug privasi terpisah bisa muncul di implementasi tiap negara
• Pemanggilan wallet yang berulang disebut menimbulkan Hawthorne effect
  • Jika wallet harus dikeluarkan setiap kali mengakses situs yang kontroversial, maka self-censorship bisa meningkat meski proof itu anonim
  • Disebutkan pula bahwa rekam jejak pemerintah dalam melindungi data seperti ini tidak terlalu baik
• Ada juga kekhawatiran bahwa sistem ini nantinya dapat terhubung dengan skema lain seperti Digital Euro
  • Jika itu terjadi, sebagian besar aspek hidup bisa dimatikan dari jarak jauh
  • Dengan contoh denda parkir yang belum dibayar, dibayangkan skenario seperti pencabutan sementara credential
• Kesimpulannya ditegaskan bahwa tidak perlu menerima digital IDs yang dapat dicabut sebagai harga untuk mengakses internet

Pembedaan terhadap kasus peretasan yang dipublikasikan

• Masalah yang dilaporkan dibagi menjadi dua kategori
  • mock-up bugs: kebocoran file, pemindaian MRZ yang tidak diperiksa, demo Chrome extension yang menghantam placeholder backend, dan sebagainya
  • structural properties: tidak adanya proximity binding, one-time-use di sisi klien, unlinkability yang runtuh saat dipakai ulang, dan sebagainya
• Kategori pertama diklasifikasikan sebagai masalah yang dapat diperbaiki dalam implementasi per negara
  • Kebocoran file disk pada aplikasi reference diperkirakan akan diperbaiki dan tidak dianggap masalah esensial
  • Walaupun mungkin bisa ditipu untuk mendapatkan test credential, disebutkan bahwa jalur utama nyata nantinya bukan mock-up MRZ scanner yang tidak diverifikasi, melainkan sistem eID masing-masing negara
• Kategori kedua diperlakukan bukan sebagai bug, melainkan sifat yang langsung mengikuti dari spesifikasi
  • Ini didefinisikan sebagai masalah yang akan tetap ada di semua implementasi nasional yang mematuhi spesifikasi
• Peretasan berbasis custom Chrome extension juga dinilai tidak akan berhasil di lingkungan production
  • Jika attestation dipaksakan, itu akan gagal pada verifikasi aplikasi
  • Jalur MRZ juga tidak terhubung ke backend umum EU yang nyata, dan registri dokumen valid disebut berada di bawah yurisdiksi masing-masing negara
• Disebutkan bahwa demo yang seolah-olah berhasil menembus mock-up lebih mirip menyerang contoh penggunaan library
  • Dalam kenyataannya akan ada aplikasi per negara seperti Slovak, Hungarian, German, Dutch, French, dan lain-lain

Permintaan dan kesimpulan

• Dianggap memang ada permintaan terhadap sistem seperti ini
  • Orang tua yang merasa internet berbahaya menginginkan sarana perlindungan bagi anak
  • Terlepas dari kemungkinan anak mengakalinya, pelanggan nyatanya digambarkan bukan anak yang dilindungi, melainkan orang tua yang ingin merasa tenang
• Turut disertakan tautan referensi terkait
  • tamersofentropy.net
  • Nostr accounts
• Penilaian pada bagian akhir diringkas menjadi empat poin
  • EU fancy ZK apps datang terlambat sehingga platform kemungkinan akan memakai penyedia KYC umum, AI penaksir usia wajah, atau cara lain
  • Jika diimplementasikan sesuai spesifikasi, memang ada karakteristik privasi yang bermakna karena platform sulit mengetahui nama asli pengguna atau mengaitkan akun-akun antarplatform
  • Namun, karakteristik itu bergantung pada wallet behavior lebih daripada pemaksaan kriptografis, dan matematika ZK yang ada di repositori saat ini belum diaktifkan
  • Batasan bahwa sistem tidak berjalan di luar Google/Apple approved device serta kelemahan struktural relay attack tetap ikut menyertainya