Verifikasi usia UE, apa masalahnya? (Tidak ada)

 (blog.vrypan.net)
1 poin oleh GN⁺ 10 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Verifikasi usia online di UE tidak menjadikan unggahan kartu identitas atau pemindaian wajah sebagai opsi bawaan; strukturnya justru hanya membuktikan fakta yang diperlukan, sehingga banyak kritik meleset dari inti masalah
  • Alih-alih situs menerima nama, tanggal lahir, atau nomor ID, unit dasarnya adalah bukti usia bertanda tangan yang hanya memeriksa apakah ambang batas terpenuhi seperti age >= required_age
  • Jika kredensial yang sama ditunjukkan berulang kali ke banyak situs, riwayat kunjungan bisa ditautkan, sehingga dibutuhkan pendekatan seperti pengungkapan selektif atau zero-knowledge proof untuk mengurangi korelasi
  • EU Age Verification Blueprint menggunakan Proof of Age attestations, relying parties, attestation providers, age-verification apps, dan trust lists, serta terhubung dengan arsitektur European Digital Identity Wallet
  • Perlindungan privasi tidak dijamin hanya lewat desain; perlu dicegah juga kegagalan implementasi seperti penggunaan ulang pengenal stabil, panggilan real-time ke penerbit, log terpusat, telemetri dompet, fingerprinting, dan implementasi tertutup yang tidak diaudit

Inti perdebatan tentang pembatasan usia

  • Dalam perdebatan verifikasi usia online, ada posisi yang, terlepas dari implementasi teknisnya, memang tidak menerima pembatasan usia itu sendiri
  • Dari sudut pandang ini, desain apa pun yang ramah privasi sulit menjadi solusi yang memadai
  • Anak-anak dan remaja usia 9, 10, 14 tahun belum siap menghadapi sendiri risiko seperti manipulasi, loop kecanduan, konten seksual, mekanik perjudian, grooming, perundungan, dan radikalisasi algoritmik
  • Orang tua bisa menetapkan batas yang kuat untuk anak kecil, tetapi pada masa remaja juga dibutuhkan ruang untuk bertindak dan memutuskan secara mandiri serta berbicara dengan orang lain
  • Masyarakat sudah menerapkan batas usia pada mengemudi, minum alkohol, berjudi, dan memasuki tempat tertentu, dan prinsip yang sama bisa berlaku pada sebagian wilayah internet
  • Pertanyaan yang lebih sulit bukanlah legitimasi batas usia, melainkan cara menegakkannya tanpa mengubah internet menjadi pos pemeriksaan identitas

Risiko pengawasan akibat pendekatan yang salah

  • Jika verifikasi usia online diterapkan dengan pemindaian ID, unggahan paspor, swafoto, atau pemindaian wajah, risiko privasinya meningkat
  • Tidak perlu menyerahkan nama, tanggal lahir, nomor ID, wajah, alamat, atau paspor ke situs porno, situs judi, toko alkohol online, atau forum agama hanya untuk membuktikan bahwa seseorang sudah dewasa
  • Mengandalkan login melalui pihak ketiga tepercaya juga menimbulkan masalah lain
    • Jika bank, Google, Apple, operator seluler, atau layanan identitas pemerintah yang menangani autentikasi, dokumen memang tidak perlu diberikan ke situs web
    • Tetapi sebagai gantinya, penyedia identitas jadi tahu situs dengan pembatasan usia mana yang dikunjungi pengguna
  • Dalam satu model, situs web mengetahui identitas pengguna; dalam model lain, penyedia identitas mengetahui tujuan kunjungan pengguna, dan keduanya sama-sama berisiko

Unit dasar yang lebih baik: bukti usia bertanda tangan

  • Desain yang lebih baik dimulai dari hanya membuktikan fakta yang memang perlu dibuktikan
  • Situs web tidak perlu mengetahui nama pengguna, tanggal lahir, nomor ID, atau apakah usia sebenarnya 19, 37, atau 74 tahun
  • Informasi yang diperlukan hanyalah apakah syarat berikut terpenuhi
age >= required_age
  • Analogi offline-nya adalah menerima kartu resmi yang hanya bertuliskan “over 18” lalu menunjukkannya di pintu masuk tempat yang dibatasi usia
    • Usia diverifikasi di kantor pemerintah menggunakan paspor atau ID nasional
    • Kartu yang diterbitkan hanya menampilkan satu fakta seperti “18 tahun ke atas”
    • Pengelola tempat hanya memeriksa keaslian kartu dan tidak bisa mengetahui nama, tanggal lahir, atau nomor ID
  • Pendekatan digital mewujudkan struktur yang sama dengan kriptografi
    • Penerbit yang disetujui memverifikasi usia satu kali
    • Setelah itu menerbitkan kredensial bertanda tangan
{
  "claim": "age_over_18",
  "value": true,
  "issuer": "Trusted Age Attestation Provider",
  "valid_until": "2027-12-31"
}

signature = Sign(issuer_private_key, attestation)
Verify(issuer_public_key, attestation, signature)
  • Sifat pentingnya adalah situs web tidak perlu menghubungi penerbit setiap kali
    • Situs web hanya memeriksa bahwa bukti tersebut ditandatangani oleh penerbit tepercaya dan masih berlaku
    • Penerbit tidak mengetahui di mana pengguna memakai bukti itu, atau bahkan apakah bukti itu benar-benar digunakan

Struktur pendekatan UE

  • Inti dari EU Age Verification Blueprint adalah arsitektur berbasis Proof of Age attestation
  • Sistem ini terdiri dari relying parties, attestation providers, age-verification apps, dan trust lists
  • Pendekatan ini selaras dengan arsitektur European Digital Identity Wallet
  • Pengguna dapat membuktikan bahwa mereka berada di atas usia tertentu tanpa mengungkapkan usia persis atau identitas mereka
  • Dokumen terkait
    • EU Age Verification Solution: Sistem yang selaras dengan Digital Services Act, eIDAS 2.0, dan European Digital Identity Wallet Architecture and Reference Framework, menggunakan format bukti, protokol, dan binding model kepercayaan untuk interoperabilitas
    • Commission age-verification blueprint: Untuk konten dewasa yang dibatasi, pengguna dapat membuktikan bahwa mereka berusia 18 tahun ke atas tanpa mengungkapkan data pribadi lain, berbasis teknologi open source, dan dirancang agar ke depan dapat interoperabel dengan European Digital Identity Wallet
    • EU-wide age verification common approach: Pengguna dapat membuktikan bahwa mereka berada di atas usia tertentu seperti 15, 18, atau 65 tahun tanpa mengungkapkan usia tepat atau identitas mereka

Pengungkapan selektif dan zero-knowledge proof

  • Bukti bertanda tangan lebih baik daripada mengunggah kartu identitas ke setiap situs, tetapi jika kredensial yang sama ditunjukkan ke banyak situs web, korelasi kunjungan masih bisa terjadi
  • Bahkan tanpa nama, banyak situs bisa menautkan bahwa orang dewasa anonim yang sama mengunjungi site A, site B, dan site C
  • Pendekatan yang lebih kuat menggunakan pengungkapan selektif atau zero-knowledge proof
  • Dompet tidak memperlihatkan bukti dasar apa adanya, melainkan membuktikan proposisi berikut
    • Memiliki Proof of Age attestation yang valid dan ditandatangani oleh penerbit tepercaya
    • Bukti tersebut memenuhi age >= 18
  • Dokumen teknis UE membahas cara menghasilkan bukti zkSNARK dari Proof of Age attestation
    • Aplikasi mengodekan bukti itu sebagai input privat ke dalam sirkuit
    • Menggunakan input publik seperti kunci publik milik attestation provider
    • Menghasilkan zkSNARK proof yang dapat diverifikasi
  • Dengan cara ini, yang disajikan bukan “ini ID saya”, “ini tanggal lahir saya”, atau “ini kredensial usia bertanda tangan saya”, melainkan “ini bukti kriptografis bahwa saya memiliki kredensial valid yang membuktikan bahwa saya berusia 18 tahun ke atas”
  • Dokumen terkait
    • EU ZKP technical annex: Mengodekan Proof of Age attestation sebagai input privat dan hanya mengekspos input verifikasi publik seperti kunci publik attestation provider untuk menghasilkan zkSNARK proof
    • Verifier developer guide: Attestation mdoc standar adalah bukti bertanda tangan bahwa pengguna memenuhi ambang usia, sedangkan ZKP adalah format bukti yang ditingkatkan untuk perlindungan privasi yang lebih kuat dan ketiadaan pengenal yang dapat ditautkan

Kondisi implementasi yang merusak privasi

  • Bahkan arsitektur yang ramah privasi pun tidak akan menepati janjinya jika diimplementasikan dengan buruk
  • Kondisi berikut dapat merusak jaminan privasi dari pendekatan ala UE
    • Pengenal stabil yang digunakan ulang antar-situs web
    • Struktur yang menghubungi penerbit setiap kali verifikasi usia dilakukan
    • Log terpusat atas peristiwa verifikasi
    • Telemetri dompet yang mencatat relying party mana yang meminta bukti
    • Perilaku situs web yang meminta lebih banyak atribut daripada yang diperlukan
    • Keamanan dompet yang lemah
    • UX buruk yang mendorong pengguna membagikan terlalu banyak informasi
    • Fingerprinting browser atau perangkat yang menautkan bukti anonim satu sama lain
    • Konfirmasi pencabutan yang mengungkap di mana kredensial digunakan
    • Implementasi tertutup per negara yang tidak dapat diaudit
  • Fokus pembahasan privasi bukanlah menolak sistem verifikasi usia begitu saja, melainkan memastikan ada pemeriksaan yang diperlukan agar implementasi nyata benar-benar mematuhi arsitektur ini

Bacaan terkait

1 komentar

 
GN⁺ 10 jam lalu
Komentar di Lobste.rs

  • Ada satu poin dalam tulisan ini yang sepenuhnya saya setujui: jika pada prinsipnya Anda menentang verifikasi usia, solusi apa pun tidak akan memuaskan. Menurut saya itu benar

    • Dengan asumsi ini diterapkan sepenuhnya dengan cara yang menjaga privasi, menurut Anda apa argumen terkuat untuk menentang verifikasi usia?
    • Pada prinsipnya saya menentang ketiadaan verifikasi usia, tetapi bukan berarti saya menganggap semua solusi itu baik
      Namun pendekatan EU kali ini tampak cukup baik. Saya berharap ini diwajibkan secepat mungkin, meski saya juga mengakui bahwa karena alasan praktis hal itu mungkin tidak terjadi

  • Tulisan blog itu mendasarkan argumennya pada ruang online yang merugikan orang, seperti manipulasi, loop adiksi, mekanisme bernuansa judi, grooming, perundungan, dan radikalisasi berbasis algoritma, dan tulisan itu sendiri juga mengakui bahwa semua ini berbahaya bagi orang dewasa juga
    Jadi saya tidak mengerti mengapa, alih-alih secara langsung melarang tindakan berbahaya lewat hukum demi membantu semua orang, kita justru menggunakan usia sebagai indikator proksi atas kemungkinan bahaya, mengecualikan remaja dari sebagian ruang yang bisa dikendalikan, menjauhkan mereka dari komunitas dan sumber daya, serta merampas ruang penting bagi kelompok rentan seperti remaja queer atau mendorong mereka ke ruang di luar kendali
    Bagus sekali, sebuah blog yang langsung memulai dengan dikotomi palsu setelah menyebut kritik sebagai “tidak tahu apa-apa atau sengaja menyesatkan”

    • Jika pemblokiran di tingkat ISP, verifikasi usia VPN, dan semacamnya diterapkan, ruang-ruang di luar kendali seperti itu tampaknya sebagian besar akan menghilang
      Hal paling menyebalkan dalam diskusi verifikasi usia adalah hampir tidak ada yang membicarakan akar masalahnya. Masalahnya adalah perusahaan para feodalis teknologi yang membuat anak-anak dan orang dewasa kecanduan rangsangan dopamin terus-menerus
      Alih-alih menerapkan verifikasi usia, menurut saya feed algoritmik yang dioptimalkan untuk adiksi seperti YouTube Shorts, TikTok, dan Facebook harus dibuat ilegal. Ini merugikan anak-anak maupun orang dewasa, dan merobek tatanan demokrasi dengan memainstreamkan kebohongan, informasi palsu, dorongan polarisasi, dan sebagainya
      Kita tidak boleh lagi membiarkan mereka menghasilkan miliaran sambil menghancurkan masyarakat
    • Kita tidak bisa melarang semua hal yang mungkin berbahaya. Secara sosial, kita umumnya menerima bahwa orang dewasa harus bisa menentukan pilihannya sendiri
      Ambil contoh judi atau alkohol: di Norwegia, pemerintah bisa mencoba menekan aktivitas berbahaya dengan mengenakan pajak lebih tinggi dan membuatnya lebih tidak nyaman, tetapi pada saat yang sama juga mendanai layanan untuk membantu orang yang mengalami kesulitan. Jika dilarang sepenuhnya, itu akan memicu penolakan dan berpindah ke pasar ilegal
      Karena itu, meski sebagian orang dewasa dirugikan, kita cenderung membiarkan orang dewasa membuat pilihan sendiri. Sebaliknya, anak-anak umumnya dipandang belum sepenuhnya berkembang dan perlu dilindungi dari pilihan yang merugikan diri mereka. Semakin bertambah usia, semakin banyak keputusan yang diizinkan dan sebagian kerugian kecil juga dibiarkan sampai batas tertentu
      Karena itu, di dunia nyata anak-anak tidak bisa membeli alkohol atau lotre instan
      Menurut saya sebagian dunia online perlu diatur lebih baik, termasuk untuk orang dewasa. Namun ada ranah tertentu yang seharusnya dilarang bagi anak-anak, tetapi akan konyol jika dilarang bagi orang dewasa
    • Ungkapan “tidak tahu apa-apa atau sengaja menyesatkan” merujuk pada kasus ketika orang mengatakan atau menyiratkan bahwa verifikasi usia akan dilakukan dengan menunjukkan kartu identitas seperti persyaratan KYC saat ini
      Sangat sedikit tulisan yang menjelaskan teknologi yang digunakan dalam masing-masing kasus, dan solusi EU, UK, dan per negara bagian di AS secara teknis cukup berbeda

  • Bagaimana kalau platform online dibuat bertanggung jawab atas kerugian yang mereka timbulkan pada orang? Bagaimana kalau mereka dimintai tanggung jawab atas kebencian, misogini, dan radikalisasi?
    Jika platform tidak meng-host semua konten, dan berhenti mengoptimalkan keterlibatan atau pemicu kemarahan demi memaksimalkan klik dan interaksi iklan, mungkin internet tidak akan seberbahaya ini bagi orang-orang, bukan hanya anak-anak tetapi semua orang

    • Platform online memiliki ketentuan imunitas tanggung jawab seperti Section 230 Communications Decency Act di AS. Wilayah lain juga punya rezim serupa, dan ketentuan ini menjadi cetak biru bagi banyak sistem
      Kita perlu memikirkan ulang apa yang termasuk platform semacam itu. Logika awalnya adalah mereka hanya menyediakan konten buatan pengguna, sehingga selama mereka menghapus hal berbahaya setelah dilaporkan, mereka tidak bertanggung jawab
      Tetapi apakah itu masih berlaku jika algoritma feed menentukan apa yang ditampilkan? Menurut saya, keputusan editorial seperti itu—entah dibuat oleh manusia atau algoritma—juga harus disertai tanggung jawab editorial
    • Menurut saya mereka harus bertanggung jawab. Namun di sini tampaknya yang terbayang hanya platform media sosial
      Ada juga layanan dan platform online yang tidak ilegal, tetapi tidak cocok untuk anak-anak. Misalnya situs taruhan atau konten yang tidak pantas untuk anak 9 tahun. Sebagai orang tua, sering kali kita harus mengatakan “ini belum boleh untukmu”, dan selama 10 tahun terakhir kasus seperti itu makin banyak berpindah ke ranah online
    • Meski begitu, AS harus ikut serta, dan kemungkinan itu tampak kecil. Jika mencoba memblokir bahaya yang datang dari AS, kita bisa diancam tarif atau bahkan mengalami hal seperti penculikan
      Bukan berarti tidak layak dicoba, tetapi masalah serumit ini harus diserang dari berbagai arah sekaligus

  • Alasan saya menentang secara prinsip bahwa “verifikasi usia tidak boleh ada” adalah karena saya percaya tidak mungkin ada solusi teknis yang memadai
    Selain itu, banyak bahaya internet menyasar bukan hanya anak-anak, tetapi semua orang, sementara beban regulasi konten makin banyak dialihkan kepada konsumen
    Verifikasi berbasis sertifikat hanya bagus jika diasumsikan semua orang terdokumentasi, selalu bisa mengakses dokumen itu, memiliki perangkat yang “cukup aman” untuk memproses bukti tersebut, mengakses situs web yang diakui boleh menggunakan bukti itu, dan bahkan cukup terdidik untuk memahami apakah permintaan dokumen tersebut sah
    Solusi teknis apa pun yang kita normalisasi akan disalahgunakan oleh perusahaan teknologi dan penipu. Itu pernah terjadi sebelumnya dan mereka tidak membayar harga yang berarti. Para pelobi juga akan menyalahgunakannya untuk mempersempit cakupan layanan dan perangkat yang “dapat diterima”

  • Tidak otomatis menjadi aman hanya dengan melapisinya dengan kriptografi. Setiap proposal yang memakai dalih “pikirkan anak-anak” pada akhirnya juga memperhitungkan “anak yang mencuri KTP orang tuanya”, sehingga ujung-ujungnya membuat situs web merekam foto
    Kalimatnya mungkin hanya seperti “kami melakukan pengenalan gambar untuk memverifikasi pemilik”, dan mungkin tidak menyebutkan soal pencatatan. Namun begitu mereka digugat karena tidak memverifikasi dengan benar atau validasinya lemah, catatan itu menjadi diperlukan
    Memang ada langkah-langkah yang bisa dilakukan, tetapi intinya bukan di sana. Sensor bekerja dengan dua cara. Yang pertama adalah membuat situs mengidentifikasi pengguna sehingga mereka bisa dilacak, dan yang kedua adalah membuat pengoperasian situs itu sendiri menjadi terlalu mahal dan berisiko
    Lihat saja bagaimana para homofob memakai logika sampah “lindungi anak-anak”
    Persyaratan KTP membuat anak-anak sulit atau mustahil mengakses konten yang tidak menyebut mereka sebagai penjahat sakit. Sekarang, untuk mengoperasikan situs, orang harus menanggung biaya keamanan untuk menyimpan dengan aman informasi catatan guna membela diri, sekaligus biaya gugatan karena dianggap tidak cukup menyensor
    Argumen berbasis matematika yang tidak bisa menangani langkah “harus membuktikan bahwa KTP yang ditunjukkan benar-benar milik pengguna itu” berarti melewati langkah paling penting dalam keseluruhan proses

  • Jika saya berusia 18 tahun ke atas, apakah saya bisa menerima ID seperti ini lalu menandatangani permintaan apa pun semaunya? Kalau begitu, metode ini memang menjaga privasi, tetapi tidak efektif

    • Secara makro, sekadar energi aktivasi berupa “untuk membuat akun TikTok harus mengganggu kakak laki-laki atau perempuan” saja sepertinya sudah bisa mengurangi penggunaan secara bermakna. Apakah itu cukup untuk menerima efek negatif lainnya? Mungkin tidak
    • Tulisan seperti ini seolah ingin melupakan bahwa bagian sulitnya bukan menghubungkan angka dengan orang, melainkan langkah saat pertama kali angka itu ditunjukkan: memastikan bahwa orang tersebut benar-benar orang yang diwakili oleh ID itu
    • Bisa. Namun untuk membuatnya lebih sulit, mereka akan membawa remote attestation dan teknologi DRM lain. Kalau begitu, implementasi dompet alternatif menjadi mustahil, dan menjalankannya di platform nonarus utama juga tidak akan bisa
      Praktis akan muncul kewajiban hukum bahwa untuk memakai media sosial, Anda harus menyetujui ketentuan Google dan Apple serta memiliki smartphone dari perusahaan oligopoli ini. Ke depan, sistem ini akan diperluas juga ke layanan lain yang dianggap berguna, seperti pornografi, gim video online, dan penyewaan film
      Kalau diblokir Google, selesai. Kalau memakai Linux, juga selesai
    • Dalam proposal Eropa terakhir yang saya periksa, caranya adalah menerima satu bundel tanda tangan dari lembaga tepercaya, misalnya kantor urusan warga
      Seingat saya, idenya adalah agar tidak harus membutuhkan dompet tepercaya dari OS yang disetujui, dan secara teori bisa juga seperti PostIdent: menunjukkan KTP di kantor pos lalu menerima tanda tangan yang disimpan dalam file terenkripsi
      Misalnya menerima 1000 tanda tangan, dan masing-masing hanya berlaku satu kali. Kalau butuh lebih, tinggal menerima bundel baru. Setiap tanda tangan menjaga privasi

  • Anak-anak pandai mendapatkan apa yang mereka inginkan. Kalau meminta cukup sering, pasti ada seseorang yang akan melakukannya

    • Sebagian mungkin begitu, tetapi itu tidak berarti, misalnya, kita harus menjual alkohol langsung kepada semua anak
      Secara pribadi, saya tidak melihat semua anak punya motivasi yang sama, punya tujuan yang sama, atau bisa berupaya sama kerasnya demi tujuan jangka panjang

  • Pada prinsipnya saya tidak terlalu menentang tulisan blog itu, dan saya juga setuju bahwa akan bagus jika ada sistem verifikasi usia yang menjaga privasi. Namun saya benar-benar sangat skeptis bahwa itu akan diimplementasikan dengan benar di dunia nyata
    Penulisnya juga dengan baik hati menyertakan daftar masalah implementasi di akhir tulisan yang bisa merusak privasi. Jika verifikasi usia diwajibkan oleh hukum, saya sangat khawatir sebagian atau seluruh masalah itu akan diterima atas nama kecepatan dan perlindungan remaja
    Jika menurut Anda sistem verifikasi usia yang buruk lebih buruk daripada tidak ada verifikasi usia sama sekali, saya juga berpikir begitu, tetapi menurut saya secara politik lebih realistis menentang konsepnya sejak awal daripada mencoba meloloskan batas yang begitu bernuansa

  • “Anak usia 9, 10, atau 14 tahun belum siap menjelajahi internet terbuka tanpa batasan apa pun”
    Kita tidak boleh merampas dari generasi mendatang bagian terbaik dari masa kecil dan remaja yang membuat banyak dari kita bisa sampai ke titik ini sekarang
    Sejak 1993, saat berusia 12 tahun, saya menjelajahi BBS lokal tanpa batasan yang terhubung ke BBS lain melalui jaringan mirip FIDOnet, dan sejak 1995, saat berusia 14 tahun, saya memakai internet terbuka tanpa batasan. Kalau ibu saya membelikan PC bermodem lebih awal, mungkin saya sudah mulai memakai BBS lebih awal juga
    Jadi mari hapus loop adiksi, mekanisme bergaya perjudian, dan radikalisasi berbasis algoritme untuk semua orang, lalu biarkan bagian baik dari internet terbuka tanpa batas bagi semua. Dengan begitu, generasi mendatang bisa memiliki sesuatu yang lebih baik daripada yang kita miliki

    • Maksudnya membuat internet untuk anak-anak? Kalau begitu saya setuju

  • Dengan zero-knowledge proof saja, tidak ada alasan saya tidak bisa membuktikan bahwa semua orang di UE berusia 39 tahun. Untuk memitigasinya, pada praktiknya dibutuhkan pembuktian identitas dan pembuktian perangkat, dan lereng licinnya sudah tertanam dalam teknologinya sendiri
    Bentuk arsitektur ini cocok untuk verifikasi pembayaran atau penandatanganan dokumen hukum. Sebab saya punya kepentingan kuat untuk tidak membiarkan pihak ketiga mana pun membayar dengan uang saya atau menandatangani kontrak atas nama saya
    Namun dalam pembuktian usia, saya tidak kehilangan apa pun jika membuktikannya atas nama orang lain