- Dompet ID digital Eropa direncanakan untuk digunakan dalam akses layanan publik dan verifikasi usia online, tetapi struktur keamanannya menyerahkan pemeriksaan keamanan kepada platform privat seperti Google Play Integrity API dan Apple Managed Device Attestation
- Play Integrity memeriksa apakah aplikasi berjalan di perangkat Android asli yang tersertifikasi, sambil menjadikan Android berlisensi Google dan pemasangan melalui Play Store sebagai tolok ukur, sehingga memperdalam ketergantungan pada ekosistem Google
- Pengembang dompet di Belanda dan Italia telah mengimplementasikan Play Integrity, sehingga pengguna sistem operasi de-Googled seperti e/OS dan GrapheneOS dapat dikecualikan dari layanan publik
- Architecture Reference Framework milik UE tidak mewajibkan pembuktian Google, tetapi merekomendasikannya; Italia menafsirkannya nyaris sebagai kewajiban, sementara Swiss mengecualikannya karena kekhawatiran soal perlindungan data, kedaulatan data, dan kebebasan memilih
- Jika dompet ID adalah infrastruktur publik, mekanisme ini seharusnya tidak bergantung pada pembuktian Google dan Apple, melainkan mewajibkan mekanisme pembuktian berbasis perangkat keras terbuka
Struktur dompet ID digital yang bergantung pada layanan pembuktian privat
- Pemerintah di Eropa sedang mengadopsi dompet ID digital agar warga dapat mengakses layanan dan memverifikasi usia mereka secara online
- Dompet-dompet ini bergantung pada layanan keamanan seperti Google Play Integrity API dan Apple Managed Device Attestation
- Layanan keamanan semacam ini disebut remote attestation, dan digunakan untuk memeriksa apakah aplikasi dompet berjalan pada perangkat keras yang tidak dimodifikasi
- Jika layanan keamanan milik perusahaan swasta dimasukkan ke dalam infrastruktur publik, masyarakat Eropa akan bergantung pada perusahaan seperti Google dan Apple, dan strukturnya bisa menguntungkan kepentingan perusahaan-perusahaan tersebut
Kontrol berpusat pada Google yang dibentuk oleh Play Integrity API
- Google Play Integrity API adalah perangkat lunak yang disediakan Google secara gratis agar pengembang dapat memeriksa integritas lingkungan tempat aplikasi berjalan
- Melalui API ini, pengembang dapat memeriksa apakah aplikasi berjalan pada “genuine certified Android device”
- mengurangi penyalahgunaan bot
- mencegah penipuan pada aplikasi perbankan
- mencegah kecurangan pada aplikasi game
- Masalahnya, API ini juga memeriksa apakah perangkat menjalankan Android berlisensi Google, dan memperlakukan alternatif yang tidak berlisensi sebagai potensi risiko keamanan
- Saat menilai apakah aplikasi telah dimodifikasi, Google Play Store juga dijadikan acuan
- memeriksa apakah aplikasi telah diubah
- memeriksa apakah aplikasi dipasang melalui Play Store
- Akibatnya, Play Integrity memiliki struktur yang mengecualikan sistem operasi tanpa lisensi Google, serta mendorong pemasangan melalui Play Store dan login ke akun Google
- Desain seperti ini bertentangan dengan Digital Markets Act (DMA)
- Alternatif yang lebih terbuka adalah Hardware Attestation API milik Android, yang menyediakan verifikasi keamanan berbasis perangkat keras tanpa memaksakan kebijakan ekosistem Google
Cara implementasi pemerintah memperkuat struktur monopoli
- UE sering menyatakan tujuan untuk membongkar monopoli big tech, tetapi beberapa negara anggota justru berisiko memperkuat ekosistem Google dengan memasukkan Google Play Integrity API ke dalam arsitektur dompet ID digital
- Pengembang dompet di Belanda dan Italia telah mengimplementasikan Play Integrity
- Dengan pendekatan ini, pengguna sistem operasi de-Googled seperti e/OS dan GrapheneOS dapat dikecualikan dari akses ke layanan dompet
- Jika pemerintah memasukkan layanan keamanan Google ke dalam dompet, lembaga publik pada akhirnya menjalankan kebijakan platform milik perusahaan privat
- Hal ini menimbulkan ketegangan dengan tujuan Eropa untuk membangun infrastruktur publik digital berdasarkan nilai-nilai publik seperti keterbukaan, inklusivitas, dan kedaulatan teknologi
- Regulasi dompet ID UE menjadikan interoperabilitas sebagai tujuan utama, tetapi pengguna yang ingin memakai sistem operasi tanpa perangkat lunak Google, pelacak Google, dan LLM bawaan yang dipra-instal bisa dipaksa menerima perangkat lunak Google agar dapat menggunakan dompet tersebut
Dompet ID bukan aplikasi biasa, melainkan infrastruktur publik
- Dompet ID adalah sarana penting untuk mengakses dokumen pemerintah dan mengelola login ke layanan publik
- Karena itu, dompet ini merupakan komponen penting dari infrastruktur publik digital yang harus tersedia bagi semua orang tanpa ketergantungan pada Google dan Apple
- Daya tarik adopsi sistem operasi de-Googled alternatif akan jauh menurun jika aplikasi penting seperti dompet identitas yang dibutuhkan untuk login ke layanan pemerintah tidak dapat digunakan
- Riset proyek Mobifree yang didukung UE oleh Waag juga mendukung masalah ini
- selama dua tahun terakhir, proyek ini meneliti nilai ekosistem perangkat lunak seluler de-Googled bagi beragam pengguna akhir
- dari 120 penguji, banyak yang menganggap kompatibilitas dengan aplikasi layanan penting seperti aplikasi pembayaran dan aplikasi verifikasi identitas pemerintah sebagai syarat utama untuk beralih ke sistem operasi de-Googled
- Saat mengoptimalkan interoperabilitas, pengembang pemerintah perlu mempertimbangkan hingga tingkat stack yang lebih dalam
- Play Integrity API bertentangan dengan DMA, sehingga juga bertolak belakang dengan tujuan dompet ID untuk memperkuat kedaulatan Eropa
Pendekatan pembuktian yang berbeda-beda di tiap negara
- UE menyediakan Architecture Reference Framework, yaitu kerangka teknis umum untuk arsitektur dompet
- Kerangka ini tidak mewajibkan pemerintah Eropa menggunakan pembuktian Google, tetapi merekomendasikannya
- Karena rekomendasi ini, pendekatan tiap negara menjadi berbeda
- beberapa negara tidak menggunakan pembuktian Google
- beberapa negara mengimplementasikannya dengan cara yang memaksakan kebijakan ekosistem Google
- Italia menafsirkan rekomendasi penggunaan Play Integrity API seolah-olah itu wajib
- Swiss mengandalkan mekanisme pembuktian Android dan mengecualikan Play Integrity karena kekhawatiran tentang perlindungan data, kedaulatan data, dan kebebasan memilih
- Belanda dan Italia menggunakan Play Integrity tanpa syarat, serta menafsirkan rekomendasi penggunaan perangkat lunak pembuktian Google dan Apple secara sangat ketat
- Jika Eropa sungguh serius mengejar otonomi digital, maka Architecture Reference Framework harus sepenuhnya mengecualikan pembuktian Google dan Apple, serta mewajibkan mekanisme pembuktian berbasis perangkat keras terbuka
- Kasus Swiss menunjukkan bahwa penggunaan Google Play Integrity tidak dapat dibenarkan dan bahwa solusi lain memang memungkinkan
Akuntabilitas publik dan jalur respons
- Karena dompet digital adalah infrastruktur publik, proses perancangannya memerlukan partisipasi publik dan akuntabilitas
- Warga dan pengembang telah menyampaikan kekhawatiran di repositori tiap negara
- pelacak pengembangan dompet terbuka Jerman: gitlab.opencode.de
- forum diskusi terbuka Swiss: github.com/orgs/swiyu-admin-ch
- Kanal-kanal ini adalah jalur yang sah untuk menyampaikan masalah, tetapi jangkauannya terbatas pada pembaca teknis yang sempit
- Pengguna sistem operasi de-Googled alternatif dapat menuntut pengembang aplikasi EUDI Wallet di masing-masing negara agar independen dari pembuktian Google dan Apple
- untuk dompet Belanda, dapat menggunakan contact page di situs web EDI Kementerian Luar Negeri
- Warga yang khawatir dapat meminta wakil terpilih untuk membuat dompet ID independen dari Google dan Apple
- Jurnalis dapat menelusuri proses politik dan desain
- pembaruan pengembangan dan repositori dapat dilihat di halaman EUDI Wallet di developer.overheid.nl
- pertemuan dan kontak dapat dilihat di EDI website milik Kementerian Luar Negeri Belanda
1 komentar
Komentar Hacker News
Implementasi referensi dompet UE secara ketat mewajibkan Google Play services
https://github.com/eu-digital-identity-wallet/eudi-app-andro...
Karena itu, aplikasi IO milik Italia https://github.com/pagopa/io-app juga terus menolak permintaan dukungan GrapheneOS untuk fitur dompet, dokumen, dan verifikasi usia, serta tetap mewajibkan Google
Sepertinya tidak akan ada yang berubah sampai gugatan hukum dimulai, dan satu-satunya harapan hanyalah kolaborasi Motorola/GrapheneOS serta kelompok konsumen yang bisa menggugat atas dasar perilaku anti-persaingan
Kita perlu menyuarakan penolakan lewat semua saluran yang memungkinkan terhadap aplikasi yang mewajibkan Play services. Jika nanti gugatan benar-benar dimulai, catatan seperti ini akan membantu menunjukkan dukungan pengguna
Ini membuat tiap warga harus membayar ratusan euro kepada perusahaan-perusahaan semacam itu, lalu perusahaan-perusahaan itu kembali menjalankan kampanye yang bertentangan dengan hak warga
Bahkan saat terjadi masalah, warga tidak mendapat dukungan apa pun, sementara perusahaan hampir tidak memikul tanggung jawab tetapi memiliki hak yang sangat luas untuk melacak pihak lawan dengan cara yang sangat menyeramkan, sehingga warga dipaksa menandatangani kontrak yang sangat timpang
Dengan begitu, siapa pun bisa memakai sistem operasi pilihannya di perangkat keras apa pun yang diinginkan
UE secara eksplisit telah mengantisipasi risiko ketergantungan total pada iOS dan Android, dan merancang kerangka EUDI Wallet agar bentuk fisik lain juga dimungkinkan
Contohnya adalah smart card seperti kartu identitas nasional saat ini, token perangkat keras mandiri, dan kunci USB
Yang harus ditentang adalah hardware attestation yang pada dasarnya bersifat memusuhi pengguna. Mengizinkan satu distribusi Android populer tidak banyak berarti dalam gambaran besarnya
Bahkan jika bergantung pada API hardware attestation Android alih-alih Play Integrity, menurut saya itu tetap merupakan serangan terhadap kedaulatan digital
Fitur keamanan yang bergantung pada attestation jarak jauh atas seluruh platform pengguna pada akhirnya memberi pemerintah hak untuk memilih sistem operasi yang boleh dipakai, sehingga itu adalah penyalahgunaan wewenang pemerintah
Tinggal menunggu waktu sampai kewenangan ini disalahgunakan untuk menekan pengembang sistem operasi agar memasang backdoor bagi badan intelijen, dan menyuruh orang memiliki dua smartphone bukanlah solusi
Verifikasi usia digital anonim yang layak, berbasis zero-knowledge proof (ZKP) atau blind signature, tidak memerlukan sistem operasi serbaguna; cukup beberapa operasi primitif kriptografi dan sekumpulan kunci yang terikat ke perangkat
Bukan tuntutan berlebihan jika UE mengembangkan token perangkat keras khusus yang hanya memiliki fungsi-fungsi ini dan memberikannya gratis kepada semua warga sebagai alternatif aplikasi. Ini juga menjamin kebebasan agar akses ke layanan digital tidak dibatasi secara berat hanya karena seseorang tidak memiliki smartphone
Namun, itu tidak boleh membatasi kemampuan menjalankan perangkat lunak kustom di ponsel, dan khususnya tidak boleh mewajibkan semua orang memakai ponsel yang ditandatangani Google/Apple
Aplikasi bank dan pemerintah tetap harus berjalan pada Pixel yang memakai GrapheneOS, dan saya percaya hal ini tetap bisa dilakukan sambil mewajibkan keamanan perangkat keras
Dari sudut pandang pelanggan, mungkin ada keuntungan berupa keyakinan bahwa kunci mereka aman di dalam perangkat, tetapi itu meleset dari inti masalah
Yang benar-benar dibutuhkan adalah spesifikasi open source yang mendefinisikan protokol standar. Perangkat cukup mengetahui bahwa permintaan berasal dari sumber tepercaya, misalnya permintaan yang ditandatangani dengan kunci pemerintah, lalu menandatangani permintaan itu dengan kunci yang diketahui oleh API pemerintah sebagai representasi identitasnya
Saya membayangkan portal pemerintah yang memungkinkan penambahan beberapa kunci publik per perangkat, dan juga membagikan kunci publik pemerintah yang akan dipakai untuk memverifikasi permintaan
Layanan yang memerlukan verifikasi identitas akan meminta kunci publik pengguna, menerima token challenge dari API pemerintah, lalu meneruskannya ke pengguna
Pengguna memeriksa apakah challenge itu ditandatangani oleh kunci yang ia percayai, lalu menandatanganinya dan mengembalikannya ke aplikasi; aplikasi kemudian mengirimkannya ke API pemerintah untuk mendapat izin mengakses hanya sebagian dari informasi yang diminta. Jika aplikasi hanya membutuhkan usia, maka hanya informasi itu yang diterima
Implementasi di ponsel mungkin ingin memakai hardware attestation untuk melindungi kunci, tetapi tidak ada alasan untuk menjadikannya wajib. Sistem kunci publik yang dirancang dengan baik sudah cukup, dan bila perlu kunci harus bisa dengan mudah dicabut lalu ditambahkan yang baru
Sistem ID digital Eropa yang sepenuhnya bergantung pada dua perusahaan AS?
Bukankah sampai belum lama ini mereka bilang kedaulatan digital Eropa itu mendesak? Atau itu cuma omong kosong pencitraan?
Tetapi dalam banyak kasus, memang tidak ada alternatif buatan Eropa yang bisa didukung. Tidak ada satu pun perusahaan EU yang bisa menggantikan bahkan sebagian besar software stack yang disediakan Google dan Apple
Kecuali lingkungan regulasinya berubah, kemungkinan besar keadaan itu akan tetap begitu
Alasannya hanya karena seseorang mungkin ada di dalam pesawat, padahal faktanya tidak, dan satu-satunya “kejahatan” nyata orang itu hanyalah membongkar tindakan ilegal AS yang pada dasarnya inkonstitusional dan mempermalukan AS karenanya
Jaksa Swedia juga sama. Dengan satu panggilan telepon, AS bisa mendapatkan pernyataan resmi yang, meski bukan dakwaan, cukup untuk membuat “Assange” dan “rape” muncul bersama di headline seluruh dunia malam itu
Negara-negara Eropa umumnya bertindak seperti hewan peliharaan AS, dan itu sangat menyedihkan. Namun presiden AS tetap menikam dari belakang dengan mengancam invasi dan aneksasi atau sepenuhnya mengabaikan kewajiban dasar negara anggota NATO
Saya tidak paham mengapa Eropa terus ikut dalam permainan bodoh AS. Seperti yang berulang kali kita lihat, sikap seperti itu tidak pernah dibalas dengan cara yang sama
Itu bekerja persis seperti yang dimaksudkan. EU ingin memaksa penggunaan perangkat dan sistem operasi yang bisa dikendalikan sepenuhnya
Aplikasi bisa dilarang jika tidak mematuhi aturan baru yang absurd
Regulasi menciptakan monopoli. Bahkan regulasi yang dimaksudkan untuk mengurangi kendali perusahaan raksasa biasanya tidak mampu ditanggung oleh perusahaan kecil, sehingga mereka kehilangan pangsa pasar
Ini benar-benar diajarkan di sekolah bisnis sebagai strategi keunggulan kompetitif. Perusahaan melobi pemerintah agar membuat hukum yang tampaknya merugikan mereka, tetapi pada praktiknya menaikkan biaya implementasi, menciptakan lapangan yang timpang, dan merebut pangsa pasar
Tidak semua regulasi memecah monopoli, tetapi regulasi juga satu-satunya alat yang bisa memecah monopoli
Sudah diketahui bahwa semua pasar “bebas” cenderung menuju monopoli karena aturan 1%. Pasar bebas yang sepenuhnya murni hanya ada dalam abstraksi, bukan di dunia nyata, jadi regulasi diperlukan untuk menjamin pasar yang benar-benar bebas dalam praktik
Dalam beberapa kasus, pasar bebas adalah solusi yang salah dan yang dibutuhkan justru monopoli yang diatur, dan menurut saya bidang identitas adalah salah satunya. Identitas itu unik bagi setiap individu
Secara teori seseorang hanya boleh memiliki satu identitas, dan kecuali dalam kasus yang sangat luar biasa serta terdokumentasi dengan baik, identitas itu tidak berubah
Negara harus memiliki cara yang baik untuk menyediakan identitas, dan jika negara kecil kekurangan sumber daya, negara besar harus menyediakannya untuk semua orang. Ini mengurangi ketidakcocokan antarnegara dan menyingkirkan kepentingan privat
Negara harus memegang monopoli tunggal atas penentuan identitas siapa yang akan dibuktikan. Karena negara adalah satu-satunya pihak yang tidak dipengaruhi oleh kondisi pasar
Negara-negara yang lebih maju dalam topik ini memang bekerja seperti itu. Jika negara-negara individual tidak bisa mencapai solusi bersama, maka kelompoklah yang harus melakukannya
Di sini kelompok itu gagal. Karena mereka tidak mewajibkan solusi tingkat Eropa dan malah merekomendasikan solusi swasta
Sektor swasta punya agenda mencari laba, jadi tidak boleh menentukan identitas dibuktikan sebagai apa dan dengan cara bagaimana. Negara harus mengevaluasi solusi, tetapi pengoperasian dan implementasinya harus menjadi urusan negara
Ada banyak bidang di mana solusi pasar itu bagus, tetapi ini bukan salah satunya
Misalnya, MMTIS (multimodal travel information services) secara eksplisit menargetkan inovasi dan pemain baru. Ada lebih banyak contoh serupa
Seberapa mahal regulasi itu juga penting. Di banyak bidang, regulasi mutlak diperlukan agar bangunan tidak roboh, makanan tidak beracun, dan obat tidak menjadi roulette Rusia farmakologis
Jadi tujuannya seharusnya mengoptimalkan biaya dibanding efektivitas dari regulasi
Tetapi itu berbeda dari klaim menyeluruh bahwa “regulasi menciptakan monopoli”
Jika Google memblokir seseorang, apakah orang itu juga akan kehilangan akses selamanya ke semua layanan yang membutuhkan ID digital?
Dulu ada YouTuber yang meminta penonton siaran langsungnya “memilih” dengan mengetik emoji, lalu sejumlah akun Google milik penonton diblokir sebagai spam[1]
Google juga terkenal enggan memberikan dukungan pengguna, jadi sulit berharap ada pemulihan per individu
Ransomware baru juga sudah mulai terlihat. “Bayar, atau kami akan mengirim spam dari Gmail-mu dan membuatmu kehilangan ID digital”
[1] https://www.engadget.com/2019-11-10-youtube-reinstates-banne...
Solusi yang relatif sederhana, jauh lebih terbuka, dan lebih aman untuk ini adalah menjadikan kartu identitas fisik Uni Eropa sebagai sumber pembuktian, lalu untuk tindakan penting seperti tanda tangan bernilai tinggi, login perangkat baru, atau login setelah kegagalan autentikasi berulang, pengguna diminta menempelkan kartunya ke ponsel
Dengan begitu, “masalah” hardware dan sistem operasi terbuka di sisi perangkat hilang sepenuhnya. Tidak lagi diperlukan hardware tepercaya atau tanda tangan sistem operasi
Bisa saja dikatakan ini membuka kemungkinan serangan man-in-the-middle di ponsel. Karena kartu tidak punya layar atau keypad PIN, jadi tidak ada cara mengetahui apa yang sedang ditandatangani atau kepada siapa PIN diberikan
Tetapi patut dipertanyakan apakah mitigasi atas risiko ini sepadan dengan semua kekhawatiran ketergantungan yang datang bersama attestation ponsel
Saat ini semua kartu identitas UE sudah diwajibkan memiliki autentikasi kriptografis yang kuat, tetapi bentuknya hanya bisa dipakai untuk verifikasi identitas tatap muka sesuai standar dokumen identitas biometrik ICAO, dan tidak bisa dipakai untuk pembuktian identitas jarak jauh. Sangat dekat dengan yang dibutuhkan sampai terasa menjengkelkan, tetapi tetap bukan fungsi yang benar-benar dibutuhkan
Di Jerman, pernah ada putusan pengadilan bahwa Deutsche Bahn (DB) harus menyediakan tiket offline yang bisa dibeli tanpa komputer atau smartphone agar tidak mendiskriminasi lansia
Saya rasa kemungkinan besar akan ada putusan serupa jika EUDI Wallet mewajibkan Google/Apple
Jadi selama EUDI tetap menjadi alternatif opsional bagi orang yang ingin menggunakan layanan online, saya ragu putusan serupa akan muncul
Orang-orang tetap bergantung pada Play Store atau App Store, dan DB juga tidak menyediakan aplikasi lewat unduhan langsung
UE seharusnya mewajibkan skema autentikasi pengguna yang memakai string acak sebagai satu-satunya faktor autentikasi untuk semua hal
Hampir sama seperti token API pada software perusahaan modern, tetapi digunakan oleh orang biasa alih-alih pengembang aplikasi
Lalu untuk aplikasi yang sangat sensitif, tinggal ditambah hardware token
Passkey sebenarnya bisa mengisi peran itu, tetapi cepat diselewengkan oleh industri
Bagaimana Anda akan menangani 50 ribu orang per hari yang kehilangan string acak itu? Dan 50 ribu orang lain yang menempelkannya ke sembarang situs web? Eropa punya 1 miliar orang
Standar umumnya seperti ini
Jika saya tidak bisa menggunakan suatu layanan atau produk digital dengan menjalankan kode pada komputer yang sepenuhnya saya bangun sendiri, atau yang bisa saya minta untuk dibuat oleh seseorang pilihan saya, dan dengan kode yang sepenuhnya saya tulis sendiri, atau yang bisa saya minta untuk ditulis oleh seseorang pilihan saya, maka itu sama sekali tidak bisa diterima