EU आयु सत्यापन ऐप के लिए डेस्कटॉप सपोर्ट की कोई योजना नहीं

 (github.com/eu-digital-identity-wallet)
2 पॉइंट द्वारा GN⁺ 2025-09-25 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • EU Digital Identity Wallet project केवल मोबाइल प्लेटफ़ॉर्म (Android/iOS) पर केंद्रित है, इसलिए डेस्कटॉप सपोर्ट पर विचार नहीं किया जा रहा है
  • स्मार्टफ़ोन न रखने वाले लोग, विभिन्न operating system उपयोगकर्ता सहित कई नागरिक सेवा से बाहर हो रहे हैं
  • बार-बार होने वाले age verification अनुरोध और प्राइवेसी संबंधी समस्याओं से usability घटती है
  • इस तरीके से Google·Apple पर निर्भरता, प्रतिस्पर्धा में कमी, और digital sovereignty के कमजोर होने जैसी बड़ी चिंताएँ पैदा होती हैं
  • open source, browser extension, और universal standard आधारित विकल्पों की ज़रूरत उठाई गई है

अवलोकन और मुख्य समस्या

  • यह मुद्दा EU Digital Identity Wallet (eu-digital-identity-wallet) के age verification system की usability को लेकर चिंता उठाता है
  • मौजूदा प्रस्ताव मोबाइल ऐप्स (Android और iOS) पर केंद्रित होने के कारण, स्मार्टफ़ोन न रखने वाले, PC उपयोगकर्ता, और वैकल्पिक OS उपयोगकर्ताओं के व्यावहारिक रूप से बाहर रह जाने की समस्या दिखाता है

मुख्य usability issues

  • यह मान लिया गया है कि सभी नागरिकों के पास स्मार्टफ़ोन है, लेकिन बुज़ुर्गों सहित स्मार्टफ़ोन न रखने के मामले अब भी मौजूद हैं
  • वेब उपयोग के दौरान, खासकर private browsing या anonymous mode में, हर बार age verification माँगा जाता है, जिससे वेब accessibility काफ़ी घट जाती है
  • स्वचालित प्रोसेसिंग के लिए browser extension पर भी चर्चा हुई, लेकिन reliability और privacy protection के लिहाज़ से उसकी सीमाएँ हैं
  • तकनीकी implementation cost अधिक है, और किसी खास programming language या ecosystem पर निर्भरता का जोखिम होने से startup जैसे छोटे पक्षों की भागीदारी में बाधा बढ़ती है

EU पक्ष और कम्युनिटी की प्रतिक्रिया

  • EU project ने कहा है कि "कुछ age-restricted content तक पहुँच के समय, उपयोगकर्ता को भरोसेमंद और privacy-preserving तरीके से अपनी पहचान सत्यापित करनी होगी"
  • चूँकि मोबाइल (Android/iOS) कुल उपयोगकर्ताओं और वास्तविक use case के अधिकांश हिस्से का प्रतिनिधित्व करता है, इसलिए डेस्कटॉप सपोर्ट अभी scope में शामिल नहीं है
  • यह data protection law (DSA) compliance के लिए सिर्फ़ एक reference implementation example है, और अन्य वैकल्पिक solutions का implementation भी संभव है
  • आगे चलकर platform expansion और विविध contributions पर विचार करने की बात भी कही गई है

प्रतिवाद और अतिरिक्त चिंताएँ

  • कुछ यूरोपीय देशों में 10 में से 1 से अधिक households के पास स्मार्टफ़ोन नहीं है
  • Google और Apple के standard OS के अलावा भी Linux, Windows, Sailfish जैसे कई OS और डिवाइस बाज़ार में मौजूद हैं, लेकिन मौजूदा तरीका इन्हें बाहर कर देता है
  • सार्वजनिक पहचान इन्फ्रास्ट्रक्चर का कुछ कंपनियों (Google, Apple) के एकाधिकार ढाँचे पर निर्भर होना उपयोगकर्ता की पसंद और भविष्य की बाज़ार प्रतिस्पर्धा दोनों को नुकसान पहुँचाता है
  • सार्वजनिक इन्फ्रास्ट्रक्चर के रूप में platform independence और vendor neutrality सुनिश्चित की जानी चाहिए, और smart card, FIDO2 hardware token, EU के अपने authentication framework जैसे विकल्पों की आवश्यकता है

तकनीकी और नीतिगत विकल्प

  • W3C Credential Management API जैसे standards-आधारित, browser·operating system·open source extension के ज़रिए universal access approach का प्रस्ताव किया गया है
  • digital identity system को मोबाइल-केंद्रित रखना भौतिक ID के विकल्प के रूप में उपयुक्त हो सकता है, लेकिन online authentication के लिए web-based और expandable approach आवश्यक है
  • regulation आगे बढ़ने के साथ, EU नागरिकों के कुछ अमेरिकी कंपनियों पर निर्भर ढाँचे में फँस जाने को लेकर काफ़ी आवाज़ें उठ रही हैं

निष्कर्ष और माँगें

  • मुख्य इन्फ्रास्ट्रक्चर digital identity (जैसे age verification) के लिए universality, vendor neutrality, और platform independence सुनिश्चित करना अनिवार्य है
  • विभिन्न hardware, OS, browser, और open API आधारित वैकल्पिक solutions के विकास और अपनाने की आवश्यकता पर ज़ोर दिया गया है
  • EU का यह project केवल एक उदाहरण है, और open source·third-party implementations की अनुमति के साथ डेस्कटॉप और अन्य प्लेटफ़ॉर्म तक विस्तार एक अनिवार्य कार्य है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-09-25
Hacker News की राय

  • फिलहाल यह प्रोजेक्ट मोबाइल प्लेटफ़ॉर्म, यानी Android और iOS, पर केंद्रित है, क्योंकि उनका मानना है कि ये दोनों ज़्यादातर users को cover करते हैं, और desktop support अभी योजना में शामिल नहीं है. मुझे यह स्थिति कुछ वैसी लगती है जैसे पूछा जाए, “क्या तुम्हारे पास फ़ोन नहीं है?”, बस कहीं बड़े पैमाने पर. जहाँ मैं रहता हूँ वहाँ भी मैं फ़ोन का इस्तेमाल न्यूनतम ही करता हूँ. tech industry में काम करते हुए भी ऐसा ही है. लेकिन यह जो लगातार असुविधाजनक होता जा रहा है, उससे मैं बहुत चिंतित हूँ. माहौल ऐसा बनता जा रहा है कि समाज का मान्य सदस्य बने रहने के लिए फ़ोन इस्तेमाल करना पड़ेगा. खासकर जब कई देश, जिनमें मेरा देश भी शामिल है, age verification ला रहे हैं, और Android में ‘sideloading’ रोकने की बात भी हो रही है, तो डर है कि 2026 के अंत तक कहीं बिना सरकार-मान्य smartphone के इंसान जैसा व्यवहार भी न मिले. YouTube लिंक देखें

    • ज़्यादा लोगों को आसान और सस्ते smartphone के ज़रिए modern society तक पहुँच देने के इरादे से ऐसे प्रोजेक्ट आगे बढ़ाए जा रहे हैं, लेकिन नतीजे में social stratification और गहरी हो रही है. मेरा भाई भी tech से सचमुच नफ़रत करता है, इसलिए आज भी पुराना flip phone ही इस्तेमाल करता है, और इससे पैदा होने वाली तरह-तरह की समस्याएँ हैरान कर देती हैं. सबसे बुरा तब लगता है जब desktop sites बार-बार app install करने को कहती हैं और ठीक से काम ही नहीं करतीं

    • हाल की forced app use वाली खबर पर बात करना चाहता हूँ. Ryanair नवंबर से printed boarding pass बंद कर रहा है और boarding pass केवल app के ज़रिए ही देगा. मोबाइल browser में Ryanair site भी QR code नहीं दिखाएगी, यानी app का इस्तेमाल अनिवार्य होगा. समाचार लिंक

    • मूल बात यह है कि हर व्यक्ति को “गले में पहने जाने वाले tag” की तरह track किया जा सके. conspiracy theorists microchip implant को लेकर चिंतित रहते हैं, लेकिन असल में modern society में इससे कहीं कम प्रतिरोध पैदा करने वाले तरीक़े से नियंत्रण किया जा रहा है. ऊपर से सब कुछ अनंत freedom और opportunity जैसा दिखता है, लेकिन वास्तव में वही freedom सीमित करने का साधन है. Gilles Deleuze की ‘Postscript on the Societies of Control’ को उद्धृत करें तो, control systems हर element (जानवर या इंसान) की location real time में track करते हैं, और भले वह digital pass या card जैसा दिखे, असल में computer हमारी location और behavior सब पर नज़र रख रहा होता है. पेपर लिंक

    • मुझे तो अच्छा ही लगता है कि age verification अब तक desktop पर लागू नहीं है, क्योंकि desktop पर अभी भी कुछ आज़ादी बची हुई है

  • मुझे लगता है यह एक अच्छा उदाहरण है कि यह requirement बिना ठीक से सोचे-समझे आगे बढ़ाई जा रही है. उनके अपने शब्दों में desktop apps तो age verification के दायरे में आते ही नहीं हैं. अगर ऐसा है, तो शायद आगे चलकर web services की जगह desktop applications फिर लौट आएँ, ऐसी उम्मीद की जा सकती है. लेकिन अब adults को और ज़्यादा असुविधा झेलनी पड़ रही है. एक और समस्या यह है कि यह policy नए phone OS के development को लगभग रोक देगी. अगर online wallet verification संभव ही न हो, तो कौन नया phone OS बनाना चाहेगा?

    • मेरे हिसाब से हक़ीक़त पहले से ऐसी ही है. banking apps या government eID apps केवल Google या Apple devices पर ही इस्तेमाल किए जा सकते हैं

    • यह policy ऐसा मज़बूत एहसास देती है मानो सोच यह हो कि “PC पुराने हो चुके हैं, इसलिए मायने नहीं रखते”

    • मुझे लगता है यह मामला policy के कच्चेपन का नहीं, बल्कि इस ग़लतफ़हमी का उदाहरण है कि policy बनाने वाले लोग क्या चाहते हैं. असल में उनका लक्ष्य उस content को ही block करना है. adult restriction तो सिर्फ़ एक packaging है. यानी उनका असली उद्देश्य access को रोकना है

    • असल जवाब तो यही है: “इस desktop app का इस्तेमाल करने के लिए आपको smartphone चाहिए”

    • 'desktop application' की वापसी की उम्मीद करना बेकार है. क़ानूनी requirement की वजह से desktop app को भी आख़िरकार smartphone के साथ integrate करना पड़ेगा

  • मैं फिर से ज़ोर देकर कहना चाहता हूँ कि यह प्रोजेक्ट THE digital wallet नहीं, बल्कि एक शुरुआती prototype है. infrastructure attestation नहीं बल्कि double blind ZKP (Zero-Knowledge Proof) लाना चाहता है. यह तरीका मौजूदा public-key systems की तुलना में privacy के लिहाज़ से बेहतर है. यह platform-to-platform compatible भी हो सकता है. अगर कोई परिचित न हो, तो इस system में issuer को attributes (उम्र, license आदि) के बारे में अपने assertion के अलावा और कुछ पता नहीं चलता, और EU को भी यह नहीं पता चलता कि कौन-सा attribute कब verify हुआ या किसने कोशिश की

    • कोई कह सकता है कि “लोग प्रोजेक्ट को ग़लत समझ रहे हैं”, लेकिन वास्तव में अभी सिर्फ़ issuer-unlinkability वाले approaches पर शोध हो रहा है, जबकि मौजूदा implementation में standard cryptography पर आधारित linkable solution लागू है. इसलिए verification authority (member state government) और verifier/requester (website) अगर मिलकर काम करें, तो user anonymity आसानी से तोड़ी जा सकती है. SD-JWT और signatures दोनों साझा होते हैं, इसलिए issuer और verifier दोनों identifiers देख सकते हैं. आख़िरकार यह प्रोजेक्ट एक showcase है, जो दिखाता है कि age verification तकनीकी रूप से संभव है. privacy technology बाद में जोड़ी जा सकती है, लेकिन अक्सर अस्थायी उपाय ही स्थायी समाधान बन जाते हैं. मौजूदा design में issuer identification बहुत आसान है, इसलिए privacy safeguards और भी कमज़ोर पड़ सकते हैं. संदर्भ लिंक

    • क्या ZKP (Zero-Knowledge-Proof) से संबंधित कोई documentation है?

    • “यह प्रोजेक्ट THE digital wallet नहीं बल्कि the wallet है” — इसका मतलब क्या है, यही मुझे समझ नहीं आ रहा

  • hardware attestation का सार समझाऊँ तो यह सचमुच बहुत धार वाली दोधारी तलवार है. सबसे बड़ी समस्या यह है कि attestation hardware और client app दोनों एक ही manufacturer के उसी device पर होते हैं. manufacturer ग्राहक की privacy से पहले अपना revenue रखता है. मौजूदा pro-attestation माहौल इतना मज़बूत है कि मैं बस चाहता हूँ कि हमारे पास जो थोड़ी-सी ‘openness’ अभी है, उसकी क़दर की जाए

    • “दोधारी तलवार” वाली उपमा से मैं समझता हूँ कि इसमें फायदे और नुकसान दोनों हैं, लेकिन मुझे यह समझ नहीं आता कि अपने ही hardware को अपनी इच्छा के मुताबिक़ इस्तेमाल न कर पाने में फायदा क्या है

    • सबसे अजीब बात यह है कि EU क्यों ऐसी hardware attestation को service access की अनिवार्य शर्त बनाना चाहेगा, जिसे अमेरिका की दो private companies control करती हैं. EU regulation की मूल भावना consumer protection, anti-monopoly, और नागरिकों के बुनियादी अधिकारों पर आधारित है. हाल में तो digital sovereignty पर भी ज़ोर दिया जा रहा है. लेकिन यह सब उन सिद्धांतों के ठीक उलट है. इससे customers को नुकसान होता है (वास्तव में यह GDPR के लगभग उलट है), सिर्फ़ monopoly वाली बड़ी कंपनियों को फायदा होता है, और information access के मामले में अमेरिकी कंपनियाँ तय करने लगती हैं कि कौन नागरिक की तरह योग्य है. यह मुझे EU की मूल भावना के पूरी तरह ख़िलाफ़ लगता है

    • मैं कुछ उम्मीद के साथ यह भी सोचता हूँ कि यह स्थिति किसी नए तरह के hardware अवसर को जन्म दे सकती है

    • मैं जानना चाहता हूँ कि Private Access Token (PAT) monetization के लिए privacy को कैसे कमज़ोर करता है

  • आख़िर में मुझे लगता है कि हमारे पास एकमात्र विकल्प यह है कि हम ऐसी services का इस्तेमाल ही न करें. लेकिन व्यावहारिक रूप से लोग असुविधा सहना नहीं चाहते, इसलिए collective action होना मुश्किल लगता है. अगर सभी लोग ऐसी services से मुँह मोड़ लें जो desktop users को अलग-थलग करती हैं, तब शायद कुछ हो सकता है. असली समाधान consumer action है — यानी ‘पैरों से वोट करना’. लेकिन ज़्यादातर लोग इस बात की परवाह नहीं करते कि उनका data और अधिकार कैसे इस्तेमाल हो रहे हैं, और असुविधा होने पर भी बस स्वीकार कर लेते हैं. हर साल नया फ़ोन खरीदना पड़े? OK. अपनी सारी communication data बड़ी tech companies को सौंपनी पड़े? OK. state agency नहीं बल्कि private companies की surveillance भी बस मान लेंगे. जैसे ही तकनीकी या सामाजिक समस्याओं की बात आती है, बहुत से लोग रुचि खो देते हैं. आम लोगों को digital rights में दिलचस्पी कैसे दिलाई जाए, यही सबसे बड़ी चुनौती है

    • यह बहस बहुत पहले ही हारी हुई लड़ाई जैसी लगती है. मुझे लगता है internet freedom आगे भी धीरे-धीरे कम होती जाएगी. जब तक लोग जागेंगे, तब तक शायद बहुत देर हो चुकी होगी. फिर भी आशावादी रूप से उम्मीद है कि federated services मुख्यधारा में आएँ और ऐसी स्थिति पर कुछ अंकुश लगाएँ

    • मैं इसे पहला चरण मानता हूँ. अगला चरण यह होगा कि हर service के लिए mandatory identity verification ज़रूरी बना दिया जाए. फिर बस दो ही विकल्प बचेंगे — मान लो या service का इस्तेमाल ही मत करो

    • ज़्यादातर लोग तब तक परवाह नहीं करते जब तक किसी form में OK बटन दबाने का परिणाम उनके परिवार, नौकरी, या रोज़मर्रा की ज़िंदगी पर वास्तविक और ठोस बुरा असर डालते हुए सीधे cause-and-effect के रूप में सामने न आ जाए. वरना सब कुछ केवल एक abstract चिंता बनकर रह जाता है

  • DSA (Digital Services Act) देखने पर मुझे age verification से जुड़े केवल तीन संदर्भ मिले. recital 71 और article 28 में कहा गया है कि minors की privacy और safety की विशेष सुरक्षा होनी चाहिए, लेकिन personal identification data की अतिरिक्त processing नहीं होनी चाहिए. article 35 में ही सिर्फ़ इतना संकेत है कि “very large online platforms” age verification अपना सकते हैं. recital 57 में साफ़ कहा गया है कि SMEs regulation के दायरे में नहीं आते. मौजूदा स्थिति में बड़े platforms के अलावा किसी और पर age verification अनिवार्य नहीं है. Commission माहौल बनाने की कोशिश कर रही है, लेकिन कानूनी रूप से यह अभी अनिवार्य नहीं है — यह बात ज़ोर देकर कहनी चाहिए. guidelines और commentary भी देखें

    • digital identity wallet, DSA का हिस्सा नहीं है, बल्कि ‘पहचान को फ़ोन में ले आने’ वाला प्रोजेक्ट है. योजना के मुताबिक़ identity card, driving licence, diploma, train ticket, और payment तक सब कुछ ऐसे app में संभाला जा सकेगा. क्योंकि यह attribute verification है, इसलिए उदाहरण के लिए कोई अपना national ID number बताए बिना भी driving eligibility साबित कर सकता है. लेकिन मुझे लगता है कि जैसे ही ऐसी infrastructure आ गई, सरकारें cost saving, child protection, या anti-terror जैसे कारणों से तरह-तरह की नई obligations जोड़ना शुरू कर देंगी. अंततः यह ख़तरा है कि mandatory verification और ज़्यादा businesses तक फैल जाएगी. प्रोजेक्ट लिंक

  • मुझे लगता है “EU age verification app not planning desktop support” शीर्षक थोड़ा भ्रम पैदा करता है. इससे ऐसा लगता है जैसे desktop पर age verification संभव ही नहीं है. जबकि वास्तव में कई तरह के solutions हो सकते हैं. यह app तो उनमें से सिर्फ़ एक ‘example’ है. इसलिए “EU age verification example app not planning desktop support” ज़्यादा सही शीर्षक होगा. implementation से मैं सहमत नहीं हूँ, लेकिन आलोचना सटीक होनी चाहिए

  • यह conspiracy theory जैसा लग सकता है, लेकिन मुझे लगता है कि Google sideloading को ख़त्म करना इसी कारण चाहता है. मोबाइल ही अभी वह platform है जहाँ forced software installation और remote attestation को व्यावहारिक रूप से लागू किया जा सकता है. अगर sideloading रुक गया, तो आगे Google (या iOS में Apple) सभी app stores/browsers पर government-certified APIs लागू करना अनिवार्य कर सकता है

    • Google ऐसे verification laws का स्वागत इसलिए करता है क्योंकि वे उसके business model से मेल खाते हैं. ads बेचने के लिए यह अहम है कि users असली लोग हों, इसलिए verification महत्वपूर्ण है. X जैसी दूसरी social media companies के लिए भी incentive कुछ ऐसा ही है

  • “ऐसी policies की वजह से private तौर पर web browse करना चाहने वाले लोगों के लिए पूरा web ही बेकार जगह बन जाता है” — यह कोई accident नहीं, बल्कि उनकी ‘मंशा’ है. UK और Germany में social media posts के कारण हुई गिरफ़्तारियों को देखिए

  • यह policy बेतुकी और समझ से परे लगती है

    • असल में यह पूरी तरह समझ आने वाली policy है. इसका उद्देश्य Linux जैसे freedom-oriented operating systems के users को नापसंद करना और उन्हें second-class citizens की तरह ट्रीट करना है. संबंधित मामला देखें

    • यह इस पर निर्भर करता है कि आप किससे पूछते हैं. Google developer verification या iOS के sideloading barriers के ज़रिए यह नियंत्रित करना चाहता है कि users क्या इस्तेमाल करें. desktop में आज़ादी बहुत ज़्यादा है, इसलिए ऐसी policies desktop use को हतोत्साहित करती हैं और बंद ecosystems पर निर्भरता बढ़ाती हैं