
Lehet-e privátan életkort ellenőrizni online?
Egyre több szó esik az online életkor-ellenőrzésről, Dávid Dórának is írt valaki egy poszt-petíciót, és egyre relevánsabb a kérdés az új törvényjavaslatok miatt is: létezik egyáltalán olyan megoldás, ami egyszerre privát és hatékony? A rövid válasz: nem. Hosszabb válasz: ez a poszt.
Milyen lehetőségek vannak?
Vannak szolgáltatások, mint a Persona vagy a Yoti, amelyek életkor-ellenőrzést kínálnak. Ezek azonban egyáltalán nem privát megoldások. A Persona és a Yoti tipikusan dokumentumok (pl. személyi igazolvány) szkennelését és azok ellenőrzését jelenti, ráadásul ezek a szolgáltatások egyre több botrányba keverednek adatkezelési problémák miatt.
A Zero-Knowledge Proof (ZKP) gyakran felmerül mint csodaszer. Bár létező eszköz, de nem alkalmas életkor-ellenőrzésre. Olyan, mintha a blockchain technológiát emlegetnénk mindenre.
Miért nem lehet valami egyszerre anonim és életkor-ellenőrző? Egy logikai kísérlet:
Tegyük fel, hogy létezik egy privát életkor-ellenőrző alkalmazás. Valaki letölti, beüzemeli. Ezután létrehoz egy weboldalt mondjuk verifymyage.org címen, amelynek a szerverére felteszi ezt az alkalmazást/hozzáköt telefonokat amiken fut az alkalmazás. Az oldalon bárki kérhet egy kódot, hogy egy korlátozott tartalmú oldalra beléphessen.
Tegyük fel, hogy a hatóságok rájönnek erre a visszaélésre. Két dolog történhet:
- A kiadott kódból vissza lehet követni, hogy melyik alkalmazás, melyik felhasználó generálta. Ebben az esetben az alkalmazás nem anonim, hiszen a kód egyértelműen hozzáköthető egy személyhez.
- A kiadott kódból semmit nem lehet megtudni. Ebben az esetben az oldal működik tovább, és a rendszer teljesen használhatatlanná válik a céljára, hiszen bárki korlátlanul generálhat érvényes kódokat.
Technikai részletek
Az első verzióban az alkalmazás generál egy számot, átküldi a kormány szervernek, amely aláírja és visszaküldi neked, majd te elküldöd azt a webhelynek. Ezt azért mondják privátnak, mert a két szerver (a kormányé és a webhelyé) elvileg nem tud egymásról. Ez azonban illúzió. A háttérben a kormány megkeresheti a Facebookot: "Használták ezeket a kódokat nálatok?" és a Facebook könnyedén megerősítheti ha igen és melyik fióknál. A második verziónál, ahol a kódok semmilyen információt nem tartalmaznak, a rendszer olyan, mintha csak beikszelnéd, hogy "igen, elmúltam 18", ami semmilyen biztonságot nem nyújt.
Egyébiránt érdekes még egy kérdés, hogy mi történik azokkal a kódgeneráló alkalmazásokkal, amelyeket elhunyt személyek birtokolnak. A kormánynak valahogy érvénytelenítenie kell ezeket, ami elengedhetetlenné teszi egy hogy ne legyen privát.
Még ha létezne is egy működő és privát megoldás, az sem lenne elfogadható. Ez azt jelentené, hogy az internethez való hozzáféréshez kormányzati (vagy más központi entitás általi) engedélyre lenne szükség. Ha a kormány letiltja az ellenőrző alkalmazásodat, gyakorlatilag kizárnak az internetből.
Ez csak a bankok identitás-ellenőrzése miatt valósulhatott meg, hiszen ha nincs ellenőrzés nem tudják kié a fiók. Ha minden oldal tudná hogy ki vagy, ez a bíró az egész internetre nem léphetne be.
A platformok problémája: Play Store és App Store
Ezeket az alkalmazásokat várhatóan telefonra adnák ki. Ez újabb problémát vet fel: a Play Store és az App Store által hitelesített alkalmazásokon keresztül történne minden. Ez azt jelenti, hogy az Egyesült Államokban lévő "big tech" (Google, Apple) eszközei nélkül nem tudnál ebben résztvenni. Ha nem szeretnéd használni ezeket a platformokat, vagy nem férsz hozzájuk, onnantól kezdve megint csak kizárnának az internet nagy részéből.
A megkerülhetetlenség illúziója
Tegyük fel, hogy a rendszer mégis működik. Vajon segítene? A gyerekek (és felnőttek) könnyedén kikerülhetik:
- Szülői azonosítóval történő belépés.
- VPN vagy proxy használata.
- Külföldi életkor-ellenőrzés nélküli szerverek IP címét adó DNS-szerverek.
- Külföldi szerverek elérése (pl. egy kurucinfó vagy 4chan szerver, amelyik nem kérdezi mert mindkettő szervere az Egyesült Államokban található, a kurucinfót sokszor próbálta a magyar állam eltüntetni de nem sikerült).
De legalább az EU életkor-ellenőrző alkalmazása biztonságos?
Nem. Nem követelmény,hogy az alkalmazás nyílt forráskódú legyen, és a tagállamoknak kifejezetten ajánlják a kód elhomályosítását. Ez azt jelenti, hogy a működése nem ellenőrizhető független szakértők által . Mivel maga az alkalmazás hozzáfér minden információhoz (és azt naplóznia/tárolnia is kell), az alkalmazás fejlesztője (vagy az ő rendszerét feltörő támadó) minden gond nélkül hozzáférhet mindezekhez az adatokhoz.
Nem várt következmények
Az ilyen törvények megalkotása a nagy cégek (Meta, Google) érdeke. A hirdetők (Lidl, eMAG) nem tudják biztosra, hogy hány valós emberhez jut el a reklám, és mennyi a bot. Ha mindenki azonosított, a statisztikák megbízhatóbbak lesznek, és a cégek többet fizethetnek a reklámokért. Minden felület fiókregisztrációhoz kötötté válik. A Reddit már most is bejelentette, hogy az old.reddit.com eléréséhez is fiók kell. Ez azt jelenti, hogy nem lesz olyan, hogy "ránézek valamire az interneten"; folyamatosan regisztrálni kell majd minden weboldalra. Ezt az AI-modellek betanításához kapcsolódó adatgyűjtés megakadályozása is ösztönzi, ezzel is több indokuk van ennek a bevezetésére.
A szabályozás különösen súlyosan érinti a kis webhelyeket, amelyeket valaki egyedül üzemeltet és ha gond van azzal hétvégén 2 órában tud csak foglalkozni. Ő nem fogja beleölni az energiát, hogy megfeleljen ezeknek a szabályoknak.
Az állam, mint megbízható entitás?
Ha még a Tisza kormány szentekből is állna, nem ők vannak és lesznek kormányon mind a 27 tagállamban egyszerre. Valaki tényleg rábízná Ficóra, Babitsra vagy Orbánra, hogy nem fognak visszaélni ezekkel az adatokkal? Emlékezzünk vissza, hogy a Tisza Párt alkalmazását a kormány feltörte, a propagandamédia pedig listázta és térképre tette az áldozatokat.
A „szakértők”-ről akik ezeket támogatják:
Ennek a törvénynek az egyik élharcosa magyarországon Dávid Dóra, a Diktadóra.
Foglalkozását tekintve egy ügyvéd, akinek az ég egy adta világon semmilyen kvalifikációja nincs informatikai témában. Beszédeiben visszatérő, demagóg szimbólum nála a "Dávid és Góliát" harca, illetve az, hogy a szülők és gyerekek könyörögnek a védelemért. 2020-ban a Metánál dolgozott, ugye annál a cégnél, amelyik lobbizik az ilyen törvényekért, hogy a felelősséget és a terhet áthárítsa az államra és a felhasználókra, és ne nekik kelljen biztonságos platformot építeniük. Érdekes módon a dokumentumot, amelyben ez a kapcsolat szerepel, levették a honlapjukról, de elérhető a Wayback Machine segítségével.
Érdekességek még Dóra volt munkahelyéről
Egy másik, Dórához hasonlóan képzett nő az EP-ben pedig azt mondta, hogy szerinte a gyerekek elleni elkövetett abúzus tartalmat ki lehet az elektronikus eszközökön "szagolni." (Sajnos a linket nem tudom betenni mert a rothadó reddit nem engedi, de Ylva Johansson ezt mondta egy interjúban: "It's about sniffing, checking out you could say. It's not as if you read the communication; I mean, it’s like a police dog being able to smell if there’s something there.")
Ilyen emberek akarják megmondani a programozóknak, hogy milyen programot írjanak.
Végszó
Az internet a korlátlan információmegosztásért épült. Nem gyerekekre tervezték, és nem is lesz az. Ha valaki nem szeretné, hogy a gyereke rossz oldalakra kerüljön:
- Elveheti a gyereke készülékét.
- Ha ez nem opció, csak a nappaliban engedi azt használni, ahol mint szülő egyből ránézhet.
- Vannak szülői felügyeleti alkalmazások és beépített funkciók Xboxon, iPhone-on, tableten, laptopon.
Más országok mint Malajzia és India az EU-ra, az USÁ-ra és az UK-re hivatkozva vezet be hasonló törvényeket, ahol a VPN-használat már bűncselekménynek számít, és tömeges megfigyelés folyik, remélem itthon ezt nem szeretnénk.
A holokauszt is az emberek listázásával kezdődött.