ЄС планує прив’язати цифрові платіжні гаманці для посвідчення особи до Google і Apple, з’являються заперечення з боку GitHub

Специфікації для перевірки віку у гаманці цифрової ідентифікації ЄС (EU Digital Identity Wallet) планують прив’язати до API Google Play Integrity та Apple App Attestation, що забезпечить зв’язок «додаток + автентифікація справжності пристрою». Після поширення цієї інформації офіційне обговорення на GitHub миттєво заповнилося коментарями, а спільнота розробників майже одностайно виступила проти.

Причини, через які розробники виступають проти: у Yivi з Нідерландів уже є альтернативні варіанти, а примусова прив’язка порушує дві ключові засади

За повідомленнями в GitHub-обговоренні, опоненти називають три основні аргументи:

У Yivi з Нідерландів уже є не-Google варіант: нідерландський застосунок ідентифікації Yivi (колишній IRMA) може пройти перевірку віку без залежності від сервісів Google і вже розміщений у відкритому магазині F-Droid, що напряму свідчить: інтеграція Play Integrity не є технічно необхідною умовою.

Специфікація суперечить сама собі: вона встановлює три ключові принципи, тоді як примусова прив’язка до приватних сервісів верифікації Google і Apple порушує принципи «взаємосумісності» та «відкритих стандартів».

Проблема цифрового суверенітету: державні сервіси не повинні залежати від сторонніх зовнішніх сервісів; якщо Google або Apple змінять політики, приберуть сервіси або станеться системна вразливість, механізми перевірки ідентифікації в різних країнах будуть змушені зупинитися.

2-хвилинне зламування App PIN від дослідника з кібербезпеки

Згідно з повідомленням, один дослідник із кібербезпеки під час експерименту виявив, що на Android достатньо відредагувати один файл налаштувань у простому текстовому форматі: видалити елементи, пов’язані з шифрованим PIN, і вимкнути булеве значення для біометричного розпізнавання; менш ніж за 2 хвилини можна скинути PIN застосунку, вимкнути вхід через біометрію, а збережені облікові дані при цьому все ще можна повністю вилучити. Інший дослідник відтворив цей недолік і зафіксував додаткові проблеми, зокрема те, що персональні дані зберігаються без шифрування.

Ці питання безпеки деякі коментатори використовують, щоб поставити під сумнів: чи варто заради запобігання віддаленого проникнення прив’язувати всю систему до апаратної автентифікації? Також деякі розробники сумніваються, навіщо взагалі робити перевірку віку у вигляді нативного застосунку: сучасний Web App разом із Digital Credentials API теж може дати той самий ефект.

Нідерланди й Італія використовують Google Play Integrity

За повідомленням, ставлення різних урядів до цього механізму неоднакове: Нідерланди та Італія наразі безумовно приймають Google Play Integrity; натомість Швейцарія через міркування захисту даних, суверенітету даних і свободи вибору користувачів переходить на вбудований в Android механізм автентифікації, фактично відмовляючись від Play Integrity.

Щодо альтернатив: постачальник застосунків для перевірки віку Scytales заявив, що повна перевірка цілісності його європейського застосунку для перевірки віку не залежить від Google чи Apple; Volla Systeme GmbH ініціювала «Unified Attestation», яка надає короткочасні інтеграційні токени та офлайн-верифікацію, а також може співіснувати з Play Integrity — це частина коментаторів сприймає як компромісне рішення.

Поширені запитання

Чому розробники виступають проти того, щоб у гаманці цифрової ідентифікації ЄС прив’язували Google Play Integrity?

Згідно з GitHub-обговоренням, основні причини такі: застосунок Yivi з Нідерландів уже проводить перевірку віку без залежності від сервісів Google, що доводить наявність альтернатив; примусова прив’язка порушує принципи «взаємосумісності» та «відкритих стандартів», які сама специфікація ЄС визначає як вимоги; державні сервіси, що спираються на платформи приватних компаній і їхні політики, можуть спричинити ризики для цифрового суверенітету.

Попередження від Waag Futurelab у рамках DMA: про що саме йдеться?

За повідомленням, нідерландська некомерційна організація Waag Futurelab у своїй статті попереджає, що дизайн Google Play Integrity API може перетворити уряди на виконавців політик приватної компанії-платформи, і що його дизайн може суперечити європейському регулюванню «Digital Markets Act» (DMA), яке спрямоване на запобігання монополізації великими корпораціями.

У чому різниця підходів країн до інтеграції Google Play Integrity?

За повідомленням, Нідерланди та Італія безумовно приймають Google Play Integrity; Швейцарія натомість, посилаючись на захист даних, суверенітет даних і свободу вибору користувачів, переходить на вбудований в Android механізм автентифікації та відмовляється від Play Integrity.

Застереження: інформація на цій сторінці може походити зі сторонніх джерел і надається виключно для ознайомлення. Вона не відображає позицію чи думку Gate і не є фінансовою, інвестиційною чи юридичною консультацією. Торгівля віртуальними активами пов’язана з високим ризиком. Будь ласка, не покладайтеся лише на інформацію з цієї сторінки під час прийняття рішень. Детальніше дивіться у Застереженні.
Прокоментувати
0/400
Немає коментарів