EU के आयु सत्यापन ऐप में Google-अप्रमाणित Android सिस्टम को पूरी तरह ब्लॉक करने की तैयारी

 (reddit.com)
3 पॉइंट द्वारा GN⁺ 2025-07-28 | 5 टिप्पणियां | WhatsApp पर शेयर करें
  • EU privacy-केंद्रित आयु सत्यापन ऐप को open source के रूप में विकसित कर रहा है, और हर सदस्य देश इसे customize करके अपनाने वाला है
  • ऐप Remote Attestation फ़ीचर के ज़रिए यह सत्यापित करने की योजना बना रहा है कि ऐप सही और भरोसेमंद environment में चल रहा है या नहीं
  • यह Google-licensed Android OS, Play Store से installation और device security check pass जैसी शर्तों के साथ Google ecosystem से मज़बूती से जुड़ा है
  • GrapheneOS जैसे अधिक सुरक्षित custom Android भी Google की आधिकारिक certification न होने पर उपयोग नहीं किए जा सकेंगे, और Play Integrity API के इस्तेमाल के कारण सामान्य Android Attestation से भी कड़े प्रतिबंध लागू होंगे
  • नतीजतन खुद build किया गया ऐप भी, अगर Play Store के ज़रिए वितरित नहीं है, तो इस्तेमाल नहीं किया जा सकेगा; open source होने के बावजूद यह व्यावहारिक रूप से Google services पर निर्भरता और वैकल्पिक OS को बाहर करने की समस्या पैदा करता है

EU आयु सत्यापन ऐप का अवलोकन

  • EU गोपनीयता सुरक्षा पर ज़ोर देते हुए आयु सत्यापन के लिए ऐप विकसित कर रहा है, जिसे सदस्य देशों के अनुसार अनुकूलित करके लागू करने की योजना है
  • source code open source (https://github.com/eu-digital-identity-wallet/av-app-android-wallet-ui) के रूप में सार्वजनिक किया गया है

Remote Attestation और सुरक्षा नीति

  • ऐप में Remote Attestation फ़ीचर जोड़े जाने की योजना है
    • server यह सत्यापित करेगा कि ऐप आधिकारिक OS और भरोसेमंद environment में चल रहा है या नहीं
    • "Genuine" Android के मानदंड:
      • Google-licensed OS होना चाहिए
      • ऐप का Play Store से install होना ज़रूरी है (इसके लिए Google account चाहिए)
        • device security check पास करना भी ज़रूरी है
  • यह सत्यापन तरीका Google Play Integrity API पर निर्भर करता है
    • AOSP (स्टॉक Android) standard Attestation की तुलना में कहीं अधिक कड़े प्रतिबंध लागू करता है
    • GrapheneOS, LineageOS जैसे custom OS पर अधिकांश मामलों में यह पास नहीं होगा

Custom OS और build संबंधी प्रतिबंध

  • अनौपचारिक OS या खुद build किए गए ऐप Remote Attestation पास नहीं कर पाएंगे
    • Play Store में पंजीकृत न होने वाले ऐप service authentication में fail होंगे
    • व्यावहारिक रूप से यह Google account और services पर निर्भरता बनाता है
  • Open source होने के बावजूद, उपयोगकर्ता की स्वतंत्रता और अधिक सुरक्षा देने वाले OS तक को बाहर कर देने की समस्या पैदा होती है

प्रभाव और विवाद

  • EU नागरिकों और developer community के भीतर Google पर बढ़ती निर्भरता, वैकल्पिक OS का बहिष्कार, और open source की सीमाओं को लेकर विवाद उठ रहा है
  • सुरक्षा और गोपनीयता संरक्षण के उद्देश्य के बावजूद, उपयोगकर्ता विकल्पों में कमी और किसी एक ecosystem पर निर्भरता को लेकर चिंता बढ़ रही है

संबंधित पढ़ाई

5 टिप्पणियां

 
crawler 2025-07-30

......तो फिर Android का इस्तेमाल ही क्यों करें?
 
ng0301 2025-07-30

उधर भी लोगों की संख्या ही ज़्यादा है, काम-धाम तो यहाँ और वहाँ सब एक जैसा ही है हाहा
 
null468 2025-07-29

उम्र सत्यापन और privacy protection एक साथ कैसे काम कर सकते हैं, यह मुझे ठीक से समझ नहीं आता..

सत्यापन करने के क्षण कम-से-कम एक बार तो वहाँ मेरा signature छोड़ने जैसा ही नहीं है क्या?

अगर सच में privacy protection करनी है, तो उसे anonymous तरीके से इस्तेमाल कर पाना चाहिए
 
unsure4000 2025-07-28

इस बीच Pass:
 
GN⁺ 2025-07-28
Hacker News राय

  • Android के मामले में 'असली' का मतलब है Google-licensed operating system, Play Store से डाउनलोड किए गए ऐप्स (जिसके लिए Google account चाहिए), और device security check पास करना।
    मैं मानता/मानती हूँ कि इस तरह device security verification का कुछ मूल्य है, लेकिन उतनी ही मात्रा में ऐप Google की अपनी services पर बहुत अधिक निर्भर हो जाता है।
    ऐसी security checks अनौपचारिक Android OS पर पास नहीं हो सकतीं, इसलिए European digital identity wallet project में इसे एक समस्या के रूप में उठाया गया है।
    संबंधित GitHub issue
    मैं ऐसी योजना का कड़ा विरोध करना चाहता/चाहती हूँ।
    अगर age verification प्रक्रिया में अमेरिकी Big Tech पर निर्भरता बढ़ाई जाती है, तो Europe अपनी IT sovereignty का और बड़ा हिस्सा अमेरिका को सौंप देगा, जो बिल्कुल वांछनीय नहीं है।
    मेरा मानना है कि हाल की राजनीतिक परिस्थितियों को देखते हुए यह जोखिम कितना बड़ा और अवांछनीय है, यह अलग से समझाने की ज़रूरत नहीं है।
    मैं स्वयं भी, एक प्रभावित व्यक्ति के रूप में, इस चिंता को उचित मानता/मानती हूँ।
    उस GitHub issue की एक और टिप्पणी में यह भी चर्चा हुई है कि Google services को अनिवार्य करना कुछ EU सदस्य देशों की कानूनी स्वतंत्रता और privacy laws का उल्लंघन कर सकता है।

    • "Device security check" व्यक्तिगत रूप से मुझे सबसे डरावना तत्व लगता है।
      यह व्यावहारिक रूप से 'आधिकारिक रूप से स्वीकृत hardware और software' का मतलब है, और Stallman ने "Right to Read" में जिस dystopia की चेतावनी दी थी, वहाँ पहुँचने का यह सीधा रास्ता है।
      मुझे यह काफी विडंबनापूर्ण लगता है कि EU डिजिटल authoritarianism को खुद मजबूत करने के लिए अमेरिकी Big Tech पर निर्भर हो रहा है।
      लगता है कि classic American freedom, यानी विद्रोही स्वतंत्रता की अवधारणा, EU या UK में उतनी लोकप्रिय नहीं रही।

    • इसके लिए राजनीतिक माहौल कारण होना भी ज़रूरी नहीं; ऐसी नीति अपने आप में ही बुनियादी रूप से चिंताजनक है।
      राज्य द्वारा सूचनात्मक जासूसी हमेशा ज़्यादा खतरनाक होती है, और कई बार non-local OS का इस्तेमाल privacy के लिहाज़ से बेहतर हो सकता है।
      हालाँकि proprietary code चलाते समय सावधान रहना चाहिए।

    • UK की एक विशेष police organization द्वारा online immigrant critics की निगरानी किए जाने पर लिखे एक लेख का ज़िक्र करते हुए, मैं यह कहना चाहता/चाहती हूँ कि जो लोग केवल अमेरिकी राजनीतिक माहौल को लेकर चिंतित हैं, उन्हें UK की स्थिति को भी हल्के में नहीं लेना चाहिए।

  • European Union हर बार यह कहकर innovation की बात करता है कि वह अमेरिकी कंपनियों पर निर्भरता कम करेगा, लेकिन व्यवहार में वह अक्सर अपनी बात बदल देता है, और समय बीतने पर सब चुपचाप भुला दिया जाता है।
    यूरोपीय देश अलग-अलग मज़बूत हैं, लेकिन कभी-कभी EU सिर्फ शोर करने वाला और कम असरदार ढाँचा लगता है।

    • संरचनात्मक रूप से EU एक single nation नहीं, बल्कि एक आर्थिक supranational organization है।
      France/Germany अक्सर strategic autonomy पर ज़ोर देते हैं, लेकिन Poland/Czechia/Baltic तीनों देश इस दिशा के प्रति उतने अनुकूल नहीं हैं।
      हाल की self-hosting चर्चाओं की तरह, यह autonomy और efficiency के बीच संतुलन खोजने का सवाल है।

    • Europe के 95% लोग पहले से ही अमेरिकी OS इस्तेमाल कर रहे हैं, इसलिए age verification के लिए EurOS आने तक 20 साल इंतज़ार नहीं किया जा सकता।

    • EU की policy direction बार-बार डगमगाने का एक बड़ा कारण यह है कि पृष्ठभूमि में France, Germany, Ireland, Czechia जैसे देशों के औद्योगिक हित आपस में टकराते हैं।
      "EU की अपनी technology" की बात लगभग हमेशा फ्रांसीसी policymakers/companies ही करते हैं; Germany, Netherlands और Eastern Europe आमतौर पर ऐसा नहीं करते।
      EU से भी अधिक प्राथमिकता individual national interests को मिलती है, और अमेरिकी Big Tech की foreign direct investment कई सदस्य देशों की अर्थव्यवस्था में पहले से ही बहुत बड़ी है।
      1980-90 के दशक में जापानी और कोरियाई automakers ने भी अमेरिकी बाज़ार और हितों के साथ तालमेल बिठाकर सहयोग का रास्ता चुना था।

    • EU एक तरह का 'बेअसर लेकिन शोर मचाने वाला chihuahua' लगता है।
      यह authoritarian laws पास करता है, फिर national politicians कहते हैं कि वे मजबूर हैं, लेकिन internet control से मिलने वाले लाभ फिर भी ले लेते हैं।
      असल में आम नागरिकों को इससे ज़्यादा फायदा नहीं मिलता।

  • Internet freedom की लड़ाई तेज़ हो रही है।
    Dystopian bills के खिलाफ वास्तविक प्रतिरोध के बिना, information freedom का प्रवाह धीरे-धीरे अपवाद बनता जा रहा है।
    यह भविष्य की संभावना नहीं, बल्कि इस समय दुनिया भर में चल रही वास्तविकता है।

    • एक दोस्त ने बताया कि वह अपने देश के protests से जुड़ी X (पूर्व Twitter) posts नहीं देख पा रहा/रही है।
      ऐसी posts को 'adult' content के रूप में वर्गीकृत कर दिया गया है, और अब बिना ID verification के उन्हें नहीं देखा जा सकता।
      यह वास्तविक pornography भी नहीं, बल्कि protest videos हैं।
      सचमुच, यह सब आज ही हो रहा है।

    • बात हमेशा "बच्चों के बारे में सोचना होगा" से शुरू होती है, लेकिन वह सिर्फ शुरुआत होती है।
      Internet का golden age, उसका wild era, अब बीत चुका है।
      आगे privacy और freedom of expression को बचाया जा सकेगा या नहीं, यह भी अनिश्चित है।

  • अगर जानना है कि यह वास्तव में क्या है, तो आधिकारिक technical documentation और user flow diagram देखें।
    मुख्य user flow का सार यह है कि privacy को सुरक्षित रखते हुए '18 वर्ष से अधिक' की पुष्टि की जाए।
    यह तरीका नाबालिगों की pornography तक पहुँच रोकने के लिए है, लेकिन तकनीक की थोड़ी समझ रखने वालों के लिए यह वास्तविक बाधा नहीं बनेगा।
    उदाहरण के लिए, थोड़ी-सी जानकारी होने पर भी VPN या torrent का उपयोग करके आसानी से bypass किया जा सकता है।
    हाँ, अगर BitTorrent के लिए भी 18+ verification ज़रूरी हो जाए तो बात अलग होगी, लेकिन व्यवहारिक रूप से इसे रोकना कठिन है।

    • आजकल तो browser (जैसे Opera GX) और VPN भर से ज़्यादातर मामलों में आसानी से bypass किया जा सकता है।
      यह इतना आम तरीका है कि YouTube ads में भी अक्सर दिखता है, इसलिए शायद इसे 'tech-savvy' स्तर भी नहीं कहा जा सकता।

    • मुझे लगता है कि social media pornography से भी बड़ी समस्या है।
      शायद social platforms सब बंद कर दिए जाएँ और सिर्फ pornography छोड़ दी जाए तो वह भी बेहतर हो।
      कम उम्र से ऐसी चीज़ें देखने पर समस्या हो सकती है, लेकिन दुनिया भर में birth rate गिरने की स्थिति देखकर कभी-कभी लगता है कि वैसे भी लोग बच्चे पैदा करने के बारे में ज़्यादा सोच नहीं रहे, तो अब चिंता करने की वजह भी क्या है।
      लगता है मैं इन दिनों बहुत निंदक हो गया/गई हूँ।

    • मेरा मानना है कि मूल समाधान यह है कि नाबालिगों को internet से ही दूर रखा जाए।
      अगर 18 वर्ष से कम उम्र के छात्र बिना उचित वयस्क निगरानी के online हैं, तो समाज पहले ही अपनी जिम्मेदारी निभाने में विफल रहा है।
      हालाँकि school assignments के online-केंद्रित हो जाने से यह जहाज़ पहले ही निकल चुका है, फिर भी किसी दिन शुरुआत से दोबारा कोशिश करनी चाहिए।
      Pornography जितनी ही खतरनाक चीज़ आखिरकार दूसरे लोग और तरह-तरह की लतें हैं।
      मूल समस्या हल किए बिना सिर्फ व्यवस्था बदलने से सार नहीं बदलता।
      संपादन: मुझे school assignments के लिए internet को अनिवार्य बनाना भी पसंद नहीं है।
      बच्चे को internet इस्तेमाल करने देना है या नहीं, यह माता-पिता का अधिकार होना चाहिए, और मैं तकनीकी age verification या content blanket bans का विरोध करता/करती हूँ।
      माता-पिता को बच्चों का समझदारी से मार्गदर्शन करना चाहिए।

  • मैं EU के दोस्तों से पूछना चाहता/चाहती हूँ:
    तुम लोग Google जैसे अमेरिकी Big Tech के सामने इतने असहाय क्यों हो?
    मुझे लगता है Europe के पास अपने दम पर यह करने की पर्याप्त क्षमता है।
    Google के बिना भी यह संभव है; ज़रूरत सिर्फ स्पष्ट योजना और उसे लागू करने की इच्छा की है।

    • अमेरिकी Big Tech अगर सिर्फ "free" solution प्रस्तावित कर दे, तो EU भी उसे आसानी से स्वीकार कर लेता है, और अंततः सभी शर्तों के आगे झुक जाता है।
      बाद में फिर हमेशा की तरह देर से चौंकता हुआ दिखता है।

    • इसकी वजह पूँजी की कमी और भविष्य का डर है।
      अगर Google सैकड़ों मिलियन euro का निवेश कर data centers बनाने की बात करे, तो jobs और स्थानीय अर्थव्यवस्था को बढ़ावा देने की दलील सामने आ जाती है।
      Google के साथ अच्छे संबंध हों तो ऐसे project लगातार आते रहते हैं, और अगर मना किया जाए तो Big Tech निवेश कहीं और ले जा सकता है।
      आजकल अपनी European technology विकसित करने की आवाज़ भी तेज़ हो रही है, लेकिन Big Tech की price competitiveness का मुकाबला करते हुए investment जुटाना बहुत कठिन है।
      राज्य द्वारा सीधे निवेश करना लोकप्रिय नहीं है, और private companies के लिए भी बिना पक्के demand contracts के निवेश का प्रोत्साहन कम होता है।
      आखिरकार global Big Tech ही सबसे तेज़ और सबसे सस्ता समाधान दे सकता है, और अगर supply chain टूट जाए तो उसका जोखिम पूरे Europe में फैल जाता है।
      अगर EU अमेरिकी Big Tech को पूरी तरह बाहर कर दे, तो अमेरिका में retaliatory trade war भी भड़क सकती है।

    • मैं इस दावे से सहमत नहीं हूँ कि "EU के पास अपना समाधान खुद बनाने की क्षमता है।"
      मैंने जिन EU-made software का इस्तेमाल किया है, उनमें से ज़्यादातर की गुणवत्ता कमज़ोर रही, और जो कुछ बेहतर थे उन्हें भी अंततः अमेरिकी कंपनियों ने खरीद लिया।

    • अंत में असली बात 'पैसा' ही है।
      Europe के भीतर उस पैसे को इकट्ठा करने और उपयोग करने का तरीका अमेरिका से अलग है।

    • राजनीति आखिरकार भ्रष्ट होने की ओर झुकती है।

  • पहले भी ऐसे उदाहरण रहे हैं जहाँ सरकारों ने Google-unauthorized Android devices पर रोक लगाई है।
    GrapheneOS पर blocking का सारांश पढ़ा जा सकता है।

  • यह वास्तविकता धीरे-धीरे तकनीकी रूप से no-win game बनती जा रही है।
    मैं GrapheneOS रोज़ इस्तेमाल करता/करती हूँ, और यह इतना संतोषजनक है कि इसे default होना चाहिए।
    एक ऐप ने इसी तरह की पाबंदी लगा रखी है और वह चलती ही नहीं, इसलिए उस ऐप के लिए मैं अलग से एक stock Android device इस्तेमाल करता/करती हूँ।
    यह असुविधाजनक है, लेकिन मुझे लगता है कि इसकी कीमत वाजिब है।
    फिर भी राहत की बात है कि मेरे आसपास यह रुझान बहुत तेज़ी से नहीं फैल रहा, हालाँकि कुल मिलाकर यह trend मुझे पसंद नहीं है।

    • इस स्थिति में जीतने का एकमात्र तरीका है कि खेल में उतरा ही न जाए।
      Smartphone की ज़रूरत हो सकती है, लेकिन रोज़मर्रा की computing अलग computer पर करनी चाहिए।

    • यह तकनीकी समस्या नहीं, बल्कि दरअसल regulation की समस्या है।
      EU internet पर और अधिक नियंत्रण चाहता है, और अभी बहाना "बच्चों के लिए" है, लेकिन आगे यह real-name systems, chat scanning वगैरह तक जा सकता है।
      ऐसे regulations को आगे बढ़ाने वाली ताकतों को हर हाल में रोका जाना चाहिए।

  • यह नया user flow अपने आप में असुविधाजनक है, लेकिन उससे भी अधिक खटकने वाली बात यह है कि चाहे अमेरिका हो या चीन, private companies internet के प्रवेश-द्वार पर नियंत्रण रखें।
    ऐसा internet आख़िर कौन चाहता है?

    • ऐसा internet आखिरकार डरे हुए अमीरों और bureaucrats को ही चाहिए।

  • वैचारिक मुद्दों से अलग, मैं यह पूछना चाहता/चाहती हूँ कि क्या यह तरीका सचमुच तकनीकी रूप से आवश्यक है।
    मान लीजिए, अगर यह verification न हो तो कोई source code या binary बदलकर बस यह दावा कर सकता है कि "मैं 18 वर्ष से अधिक हूँ।"
    तो फिर यह जानना दिलचस्प है कि Google के बिना इसे रोकने का कोई स्पष्ट तकनीकी तरीका मौजूद है या नहीं।

    • सही बात है।
      पूरा यह flow असल में EU Wallet project पर आधारित होने की धारणा पर टिका है।
      EU Wallet, OpenID (oidc4vci, oidc4vp) standards पर आधारित है और attributes के अनुसार selective verification को support करता है।
      उदाहरण के लिए, सरकार द्वारा जारी attributes को electronic signature के रूप में wallet में store किया जा सकता है।
      समस्या यह है कि यह जानकारी copy की जा सकती है या resale हो सकती है, इसलिए सिर्फ store कर देने से verification bypass संभव है।
      इसीलिए attribute (credential) जारी करते समय उसे किसी specific device से बाँधकर public/private key pair को attest किया जाता है, और उसी आधार पर RP यह अतिरिक्त जाँच करता है कि अनुरोध वास्तव में उसी device से आया है या नहीं।
      आखिरकार इस चरण पर 'secure storage', यानी Secure Enclave जैसे hardware की आवश्यकता पड़ती है।
      अगर environment root किए गए phone जैसा असुरक्षित हो, या private key निकाली जा सके, तो devices के बीच cloning संभव हो जाती है और पूरी मंशा निरर्थक हो जाती है।
      उदाहरण के लिए, 18+ दोस्त verification करवाकर उसे दूसरों के साथ साझा कर सकता है।

    • व्यावहारिक रूप से बात बस इतनी है कि website में login करके यह साबित करना है कि आपके पास व्यक्तिगत ID है, लेकिन इसके लिए hardware token/biometric authentication (जैसे FIDO, passkeys आदि) की भी आवश्यकता हो सकती है।
      लगता है कि असली समस्या वास्तविक/virtual token में भेद करने और simulation रोकने की है।
      यहीं Secure Boot जैसी hardware trust verification काम में आ सकती है।

    • Verification bypass रोकने के लिए boot, OS और hardware को EU-registered production signing chain द्वारा attest किया हुआ होना चाहिए।
      अगर उपयोगकर्ता अपनी खुद की signing key register करे, या secure-boot OS image को customize करे, तो boot verification मेल नहीं खाएगा और verification संभव नहीं होगा।
      यह उसी तरह है जैसे macOS में security options बंद करने पर Apple Wallet का access नहीं मिलता।
      मूल रूप से उपयोगकर्ता को अपनी इच्छा से customize करने से रोका नहीं जा सकता, लेकिन उस स्थिति में वह आधिकारिक verification chain से बाहर हो जाएगा।
      समस्या यह है कि इस system का commercial-scale implementation अभी केवल Google और Apple के hardware-OS ecosystems में ही मौजूद है।
      अंततः EU इस तरह अपनी verification chain को अपेक्षाकृत खुला रख सकता है, लेकिन यदि कोई security weakness exploit हो या शिकायत दर्ज हो, तो कानूनी जिम्मेदारी तय की जा सकती है।
      भविष्य में Steam Linux जैसी platforms भी VAC जैसी security attestation के लिए इस chain को EU में register कर सकती हैं।
      आखिरकार manufacturers/platforms को ज़िम्मेदारी दिखाते हुए EU के सामने अपनी trustworthiness साबित करनी होगी, और भविष्य में अधिक विविध OS और chains को अनुमति देने की संभावना भी है।

  • इस पर एक लंबी संबंधित चर्चा इस GitHub issue में देखी जा सकती है।
    Google पर निर्भर यह तरीका EU बाज़ार के मूल सिद्धांतों को कमजोर करता है।