“Aplikasi” “verifikasi usia” Eropa memaksa semua orang menggunakan Android atau iOS
(github.com/eu-digital-identity-wallet)- Saat diskusi dibuka, README spesifikasi teknis mencantumkan verifikasi aplikasi dan perangkat menggunakan Google Play Integrity API dan Apple App Attestation; muncul penolakan bahwa jika ini dijadikan prasyarat verifikasi usia, ketergantungan pada penyedia platform AS dan sistem operasi mobile tertentu akan terjadi
- Jika bukti dari vendor tertentu diwajibkan, perangkat tanpa perangkat lunak Google·Apple, distribusi Android alternatif, dan pengguna tanpa smartphone akan tersisih; ini bertentangan dengan prinsip aksesibilitas dan interoperabilitas yang menyatakan layanan harus bisa digunakan siapa pun, dikendalikan pengguna, dan terintegrasi dengan berbagai sistem operasi serta wallet
- Alternatif seperti Yivi, attestation hardware Android standar, web app berbasis Digital Credentials API, metode ketika penyedia identitas negara menandatangani tantangan sekali pakai, serta Unified Attestation sempat dibahas, tetapi muncul bantahan bahwa Yivi dan Unified Attestation masing-masing tetap memusatkan kepercayaan pada penerbit pusat·layanan biometrik eksternal atau penyedia attestation lain
- Berbagai isu terkait Play Integrity pada dompet digital Italia serta masalah ketergantungan pada akun Google·ROM resmi diajukan sebagai contoh; kritik efektivitas juga berlanjut karena penyerang dapat melewati attestation atau meminta orang lain memindai QR code untuk mereka, sehingga yang dibatasi hanya pengguna normal
- Inti tuntutannya adalah layanan pemerintah harus berbasis standar terbuka yang dapat diimplementasikan siapa saja, bukan teknologi perusahaan tertentu; dalam diskusi yang diberikan tidak terlihat keputusan resmi atau hasil penyelesaian akhir terkait apakah attestation Google·Apple akan diintegrasikan
Verifikasi aplikasi·perangkat yang diusulkan dan penolakan utama
- Saat diskusi dibuka, README mencantumkan “verifikasi aplikasi dan perangkat berbasis Google Play Integrity API dan Apple App Attestation” sebagai langkah berikutnya
- Kekhawatiran awalnya adalah jika verifikasi usia dihubungkan dengan layanan-layanan ini, ketergantungan UE pada perusahaan teknologi AS dan daya kendali AS atas internet akan makin besar
- Muncul pendapat bahwa demi kedaulatan digital, ketergantungan pada layanan pihak ketiga eksternal itu sendiri harus dihindari, dan setiap tambahan dependensi juga membawa ekosistem potensi masalah keamanan
- Kemudian seorang peserta menjawab bahwa frasa tersebut tidak lagi ada di README, tetapi alasan perubahan atau keputusan resmi tidak ada dalam teks yang diberikan
- Diskusi ini dialihkan menjadi Discussion dari issue #18 pada 31 Juli 2025, dan teksnya tidak memuat hasil adopsi atau penarikan final
Aksesibilitas, kendali pengguna, dan interoperabilitas
- Verifikasi usia yang terikat pada sistem operasi dan vendor tertentu dikritik karena bertentangan dengan prinsip yang dikemukakan organisasi tersebut:
- disediakan bagi siapa pun yang ingin menggunakannya
- dikendalikan oleh pengguna
- Disebutkan bahwa prinsip interoperabilitas dalam spesifikasi teknis menuntut integrasi mulus di antara berbagai sistem operasi perangkat, aplikasi wallet, dan layanan online, sehingga tidak cocok dengan desain yang bergantung pada attestation per vendor Android·iOS
- Pengguna yang tidak memakai perangkat lunak Google atau Apple, pengguna ponsel non-Google yang banyak di Eropa Selatan, pengguna ROM alternatif·microG, serta orang tanpa smartphone bisa terhalang untuk menggunakan layanan
- Pertanyaan berlanjut tentang apakah orang yang hanya menggunakan Nokia 3310 atau laptop juga bisa mengaksesnya, dan apakah smartphone·akun Google·perangkat yang terisi daya dapat dijadikan syarat untuk memakai layanan warga
- Ada pula kritik bahwa meskipun kode dipublikasikan sebagai open source, jika semua pihak mewajibkan attestation, fork yang dimodifikasi tidak akan diakui dalam layanan nyata sehingga kemungkinan fork secara praktis hilang
Implementasi yang ada dan contoh Play Integrity
- Aplikasi identitas Belanda Yivi, yang dapat digunakan untuk verifikasi usia pemerintah tanpa ketergantungan pada Google, disebut sebagai contoh alternatif
- Nama sebelumnya adalah IRMA dan tersedia juga di toko aplikasi open source seperti F-Droid
- Karena dapat digunakan untuk verifikasi usia pemerintah pada sebagian platform yang didukung, ini diajukan sebagai dasar bahwa Play Integrity tidak wajib
- Namun, pendaftaran paspor NFC pada Yivi juga bukan struktur tanpa dependensi
- Grup data NFC mentah dikirim ke server penerbit pusat
- MRZ lengkap dari DG1 dan gambar wajah dari DG2 wajib, dan server mem-parsing nama·nomor dokumen·kewarganegaraan·tanggal lahir·jenis kelamin
- Pencocokan wajah menggunakan API pihak ketiga Regula
- Meskipun data diproses sementara dan penerbit dapat di-host sendiri, muncul bantahan bahwa ini tetap bentuk lain dari pemusatan kepercayaan, berbeda dari attestation perangkat
- Pada dompet digital Italia, banyak masalah nyata terkait Play Integrity ditautkan
- Pada EUDI Android wallet juga ditautkan diskusi terpisah agar persyaratan Google Play Integrity dihapus atau agar digunakan API attestation hardware Android standar yang tidak memaksakan lisensi Google Mobile Services
Alternatif implementasi tanpa aplikasi
- Muncul pendapat bahwa hal yang lebih dulu harus ditinjau adalah apakah native app terpisah memang dibutuhkan dan apa model ancaman yang realistis
- Diusulkan cara menggunakan web app modern berbasis Digital Credentials API untuk menghindari struktur “menginstal aplikasi untuk setiap layanan”
- Mekanisme berbasis browser ketika penyedia identitas negara menandatangani tantangan acak sekali pakai juga diusulkan secara konkret:
- Pengguna mengakses situs web dengan batasan usia
- Situs web mendeteksi bahwa pengunjung berasal dari UE
- Situs mengunduh file berisi string acak
- Pengguna diarahkan ke situs verifikasi usia pemerintah
- Pengguna login ke penyedia identitas negara dan mengunggah file
- Layanan pemerintah menandatangani tantangan dan mengembalikannya ke browser
- Pengguna mengunggah file bertanda tangan ke situs asal
- Situs web memverifikasi apakah tanda tangan berasal dari lembaga yang dipercaya
- Karena tantangannya sekali pakai, hasil bertanda tangan tidak perlu dilindungi dalam jangka panjang, dan dijelaskan bahwa strukturnya mirip autentikasi SSH atau WebAuthn
- Usulan terpisah #18 untuk menggunakan kredensial nasional di situs web yang dikendalikan UE juga disebut sebagai alternatif
Unified Attestation dan masalah pemusatan kepercayaan
- Unified Attestation dari Volla Systeme GmbH, Jerman, diusulkan sebagai alternatif gratis dan open source untuk Google Play Integrity
- Satu backend menerbitkan token integritas berumur pendek
- Server aplikasi memverifikasi token secara offline
- Layanan sistem Android yang berwenang meminta token
- Diperkenalkan sebagai solusi yang dapat berjalan berdampingan dengan Play Integrity serta sederhana untuk diintegrasikan di sisi aplikasi maupun server
- Bantahannya adalah Unified Attestation hanya memindahkan kewenangan yang sama dari Google ke kelompok perusahaan lain, dan tidak menyelesaikan masalah mendasar berupa entitas attestation terpusat
- Tuntutan berlanjut agar sistem pemerintah berbasis standar terbuka yang dapat diimplementasikan dan diintegrasikan siapa saja, alih-alih mengganti teknologi perusahaan tertentu dengan teknologi perusahaan lain
Benturan antara attestation hardware dan open source
- Play Integrity dikritik karena secara praktis menuntut ROM resmi, Google Play Services, dan perangkat yang disetujui vendor, sehingga melemahkan hak pengguna untuk mengendalikan langsung hardware dan software miliknya
- Walaupun source code aplikasi dibuka bebas, jika build yang dimodifikasi tidak lolos attestation, kegunaan praktis dari reproducible build dan fork menjadi terbatas
- Dibagikan item kerja terkait yang menunjukkan implementasi Jerman tampaknya tidak berencana menyediakan reproducible build
- Bersama pendapat bahwa arah ini mungkin dipengaruhi pedoman OWASP MASVS Resilience, turut ditautkan diskusi kritik di OWASP/masvs#757
- Jika layanan pemerintah dikunci pada teknologi·sistem operasi·app store tertentu, hal itu bisa menjadi sulit dilepaskan dalam jangka panjang, dan muncul perbandingan dengan ketergantungan Korea pada IE6 di masa lalu
Efektivitas keamanan dan kemungkinan bypass
- Dipertanyakan apakah ancaman yang ingin dicegah oleh attestation hardware benar-benar realistis
- Bahkan jika menyasar layanan verifikasi identitas otomatis atau penyerang, metode bypass attestation dapat muncul lagi setelah ditambal, sehingga dikritik hanya akan memberi pembatasan kepada pengguna normal
- Diberikan contoh bahwa jika anak di bawah umur ingin mengakses situs terbatas, mereka dapat meminta orang lain memindai QR code, sehingga attestation perangkat tidak menyelesaikan masalah tersebut
- Kekhawatiran juga muncul bahwa penjualan akun terverifikasi atau autentikasi oleh perantara tetap bisa terjadi terlepas dari ada tidaknya attestation
- Muncul pendapat bahwa jika orang yang secara teknis mampu akan tetap bypass, sementara pengguna sah yang tidak menginginkan perangkat Google·Apple atau smartphone justru diblokir, lebih baik tidak menerapkan langkah keamanan tersebut
Penolakan terhadap verifikasi usia itu sendiri
- Sebagian peserta menilai bahwa melampaui pilihan Play Integrity, verifikasi usia online yang ketat itu sendiri tidak berguna
- Ditautkan diskusi terpisah yang mendorong orang tua memanfaatkan filter sisi klien yang sudah ada di smartphone
- Ada juga kekhawatiran bahwa verifikasi usia wajib dapat mendorong remaja berpindah ke Tor atau cara bypass lain
- Dikemukakan pendapat bahwa jika ia menyebabkan kerugian besar pada privasi·aksesibilitas·kendali komputasi sambil hanya mencoba menyelesaikan satu masalah, sebaiknya tidak diimplementasikan sama sekali
- Dalam cakupan diskusi yang diberikan, kesimpulan final resmi tidak terkonfirmasi mengenai aplikasi verifikasi usia, metode attestation perangkat, ataupun integrasi Google·Apple
1 komentar
Komentar Hacker News
Ini adalah masalah inti yang justru diabaikan dalam perdebatan besar tentang kedaulatan digital di UE. Lembaga-lembaga UE akhirnya mulai menerima arah bahwa mereka harus bermigrasi dari cloud Amerika, tetapi biayanya sangat besar sehingga suasana yang berharap kembali ke cara lama juga masih kuat
Sebaliknya, hampir tidak ada perhatian terhadap platform mobile. Tidak ada alternatif seperti Linux di desktop, tidak ada pendanaan bagi alternatif yang sudah ada, dan bahkan tidak ada pembahasan untuk mewajibkan agar ponsel Android yang dijual di UE membuka firmware serta mengizinkan pemasangan sistem operasi alternatif. Di sisi backend, mereka sampai taraf tertentu memahami arti kedaulatan, tetapi untuk perbudakan digital yang diciptakan oleh perangkat pengguna akhir, tampaknya masih dibutuhkan edukasi yang jauh lebih banyak
Mereka masih harus bersaing dengan lobi perusahaan AI yang menganggap AI berdaulat lebih penting daripada sistem operasi mobile, tetapi minatnya sedang meningkat. Alternatif Android berbasis Linux itu sendiri mungkin tidak terlalu sulit, tetapi sulit meyakinkan produsen hardware untuk membuat perangkat khusus. Pemerintah tampaknya perlu mendorongnya lebih dulu sebagai perangkat publik untuk keamanan
Dompet identitas digital juga membuat negara anggota kehilangan kendali atas infrastruktur identitas dan membiarkan UE mengambil alihnya. Hampir tidak ada kedaulatan di tingkat negara yang tersisa
Kita tidak boleh terjebak dalam perangkap memikirkan cara untuk secara teknis memaksakan verifikasi usia kepada semua orang. Pertanyaan pertama yang harus diajukan adalah mengapa ini dipaksakan kepada semua orang, dan saya maupun Anda tidak pernah menyetujuinya
Ada masalah serius dalam struktur pemerintahan di mana para politisi terus mengubah seluruh dunia di sekitar warga tanpa memberi mereka suara. Langkah ini adalah ancaman besar bagi internet dan masyarakat, tetapi didorong maju tanpa diskusi atau perlawanan yang nyata. Demokrasi yang semestinya seharusnya tidak bekerja seperti ini
https://old.reddit.com/r/Twitter/comments/1uk6a98/lets_confi...
Saat ini Labour dan Conservative di Inggris juga tak terkendali dalam isu-isu seperti ini, tetapi setidaknya secara teori saya tahu cara memengaruhi kebijakan mereka
Saya sepenuhnya setuju dengan argumen di isu GitHub itu, tetapi tidak perlu hanya memandang aplikasi verifikasi usia yang diterbitkan pemerintah dengan skeptis. Cara yang sekarang jauh lebih buruk
Anak laki-laki saya yang berusia 13 tahun membuat game Roblox, dan sejak beberapa bulan lalu dia harus melakukan verifikasi usia untuk membagikan game itu kepada temannya. Di Roblox, Anda harus menyerahkan model 3D wajah kepada perusahaan Amerika yang mencurigakan, dan perusahaan itu hanya berjanji akan menghapusnya nanti. Saya tidak ingin memberikan data biometrik anak saya atau paspornya kepada perusahaan teknologi Amerika yang bebas menjualnya sesuka hati
Jauh lebih baik aplikasi pemerintah yang menjamin privasi, tidak punya insentif bisnis untuk menjual data, dan memungkinkan kita memeriksa informasi apa yang dikirim ke perusahaan seperti Roblox. Ini memang bergantung pada anggapan bahwa pemerintah lebih bisa dipercaya daripada perusahaan teknologi Amerika, tetapi untuk UE saat ini dan banyak negara anggotanya, saya rasa itu benar. Sudah ada juga aplikasi publik dengan implementasi privasi yang baik, seperti aplikasi pelacakan COVID di Belanda
Pada Perang Dunia II, registrasi penduduk Belanda mencatat agama dengan sangat teliti, dan ini sangat berperan dalam terbunuhnya sekitar 75% orang Yahudi Belanda, angka tertinggi di Eropa Barat yang diduduki. Pada 1942, U.S. Census Bureau memberikan data warga Jepang-Amerika per blok meski ada jaminan kerahasiaan, dan penelitian selanjutnya mengungkap bahwa nama serta alamat juga dibagikan. Di Rwanda, pemerintah kolonial Belgia pada 1930-an mencatat Hutu dan Tutsi pada kartu identitas, dan 60 tahun kemudian itu menjadi alat utama di pos pemeriksaan genosida
Walaupun Eropa saat ini tampak aman, informasi yang dikumpulkan untuk satu tujuan bisa dipakai untuk tujuan yang sama sekali berbeda ketika zaman berubah. Kita tidak tahu kelompok etnis, keyakinan, perilaku, atau riwayat pribadi apa yang akan menjadi sasaran rezim masa depan, dan semua data yang kita izinkan untuk dicatat akan jatuh ke tangan mereka. Pemerintah-pemerintah Eropa juga melakukan hal seperti ini belum lama beberapa dekade yang lalu, dan masa damai sekarang secara historis adalah pengecualian serta kemungkinan hanya sementara bagi banyak orang
Tidak ada keharusan menggunakan Roblox yang dipenuhi dark pattern dan ekosistem tertutup
Sebagai referensi terkait, ada “Aplikasi verifikasi usia EU yang memblokir semua sistem Android yang tidak disetujui Google” dari 27 Juli 2025
https://www.reddit.com/r/BuyFromEU/comments/1mah79o/eu_age_v...
Selain itu, pada 24 September 2025 juga dibahas “Aplikasi verifikasi usia EU yang tidak berencana mendukung desktop”
https://news.ycombinator.com/item?id=45359074
Jangan gunakan, bahkan jangan pertimbangkan. Kita harus menyampaikan dengan segala cara yang memungkinkan bahwa kita tidak akan memakai sistem ini, dan mendorong teman-teman untuk melakukan hal yang sama
Mereka berbicara soal kedaulatan sambil bertindak sebaliknya. Bahkan jika sepenuhnya mendukung EU, bila Commission tidak bisa dihentikan lewat pemilu, maka kita harus menunjukkan penolakan lewat tindakan
Lucu bahwa sikap yang dulu mengkhawatirkan eksklusi digital bagi lansia yang tidak bisa menggunakan smartphone kini menghilang dalam beberapa tahun terakhir
Jumlah lansia yang tidak punya ponsel atau tidak tahu cara memakainya, serta tidak punya siapa pun untuk membantu, akan cepat berkurang. Dari yang saya lihat, ini terutama bertumpang tindih dengan generasi yang masih mengingat Perang Dunia II
Regulasi yang tidak dikaji dengan baik dapat menimbulkan konsekuensi tak terduga, baik niatnya baik maupun buruk. Bahkan sekarang pun kita harus berulang kali memberikan persetujuan hukum terkait cookie di setiap situs yang dikunjungi, sampai akhirnya jadi tidak peduli dan menekan tombol apa saja
https://addons.mozilla.org/en-US/firefox/addon/consent-o-mat...
Saya memakainya di beberapa perangkat dan ponsel, dan kerjanya cukup baik sehingga saya hampir tidak pernah lagi melihat popup cookie
Perusahaan yang menghasilkan uang dari kapitalisme pengawasan tentu memilih banner. Pelacakan sebenarnya bisa saja dilarang total, tetapi itu tidak dilakukan karena dianggap merugikan bisnis
Baik memakai Android maupun iOS, tidak benar jika untuk mengakses hampir semua layanan internet kita harus dipaksa menggunakan platform tertentu
Saya mempertanyakan bagaimana pendekatan ini bisa selaras dengan hukum yang melindungi penyandang disabilitas, lansia, dan keyakinan agama tertentu. Layanan pemerintah selama ini dijalankan secara multimodal dengan selalu menyediakan cara lain, termasuk perwakilan atau dokumen kertas, tetapi ini adalah pendekatan yang terlalu keras
Saya makin condong untuk sama sekali tidak menggunakan layanan yang dipaksa menerapkan verifikasi usia
Yang lebih mengkhawatirkan daripada media sosial adalah dampak autentikasi digital ini terhadap layanan esensial. Sikap sekadar tidak mau menggunakannya tidak akan menyelesaikan masalah
Anak-anak sejak awal bukanlah tujuannya, melainkan hanya dipakai sebagai alasan untuk mengalihkan perhatian orang