Apple की ‘notarisation’ व्यवस्था – डेवलपरों और उपयोगकर्ताओं की software freedom को रोकने वाली संरचना

 (fsfe.org)
1 पॉइंट द्वारा GN⁺ 2025-11-10 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • EU Digital Markets Act (DMA) जहां बड़ी tech कंपनियों के बाज़ार प्रभुत्व को कम करने और device neutrality सुनिश्चित करने की कोशिश करता है, वहीं Apple की app ‘notarisation’ प्रक्रिया इस लक्ष्य के सीधे विपरीत है
  • सभी iOS apps को Apple के servers से होकर inspection, approval, और cryptographic re-signing से गुजरना पड़ता है, और यह Apple को app installation और distribution पर पूरी तरह नियंत्रण देने वाली gatekeeping संरचना की तरह काम करता है
  • third-party app store चलाने के लिए 10 लाख euro की letter of credit या लगातार 2 वर्षों तक 10 लाख से अधिक installations का रिकॉर्ड मांगा जाता है, जिससे non-profit, startup, और individual developers की entry लगभग असंभव हो जाती है
  • ऐसी notarisation व्यवस्था free software के verification और redistribution rights का उल्लंघन करती है और competition तथा interoperability को कमजोर करती है
  • civil society groups ने European Commission से sanctions और वैकल्पिक decentralised software curation model अपनाने की मांग की है, जिसे DMA के transparency और user choice लक्ष्यों को लागू करने के लिए एक अहम कार्य बताया गया है

EU Digital Markets Act (DMA) और Apple की प्रतिक्रिया

  • DMA का लक्ष्य digital market में structural power को फिर से संतुलित करना है, और इसका एक मुख्य सिद्धांत device neutrality है, जो उपयोगकर्ताओं के अपने device पर कौन-सा software चलाना है यह तय करने के अधिकार की गारंटी देता है
  • यह कानून iOS जैसे बंद ecosystem को खोलकर free software alternatives की अनुमति देने का अवसर देता है
  • Apple ने इसका विरोध करते हुए regulators के खिलाफ मुकदमे दायर किए और sideloading पर रोक, alternative app stores को ब्लॉक करना, और interoperability सीमित करना जैसे कदमों से free software को बाहर रखा

civil society groups की शिकायत

  • ARTICLE 19 और GFF(Gesellschaft für Freiheitsrechte) ने 22 अक्टूबर 2025 को Apple द्वारा DMA का पालन न करने के आधार पर European Commission में औपचारिक शिकायत दर्ज की
  • शिकायत में निम्न तीन कार्रवाइयों को DMA का उल्लंघन बताया गया
    • third-party software की स्वतंत्र installation (sideloading) पर रोक
    • third-party app stores के वास्तविक संचालन को अवरुद्ध करना
    • iOS·iPadOS features के साथ मुफ्त interoperability उपलब्ध न कराना

Apple की ‘notarisation’ प्रक्रिया

  • किसी भी app को install करने से पहले उसे Apple के servers पर submit करके scan, approval, और cryptographic re-signing से गुजरना होता है
  • यह प्रक्रिया App Store के बाहर वितरित apps पर भी समान रूप से लागू होती है, जिससे Apple सभी app installations को नियंत्रित करता है
  • नतीजतन security review के नाम पर एक केंद्रीकृत censorship संरचना बनती है, जिसमें developers और users Apple ecosystem पर निर्भर हो जाते हैं

third-party app stores पर अत्यधिक शर्तें

  • Apple third-party app store की अनुमति देने के लिए निम्न में से एक शर्त रखता है
    1. A-rating या उससे ऊपर के financial institution की 10 लाख euro की letter of credit जमा करना
    2. कम-से-कम 2 साल तक developer program membership के साथ EU में सालाना 10 लाख से अधिक installations का रिकॉर्ड होना
  • ये शर्तें non-profit organizations, SMEs, startups, और individual developers के लिए अनुचित हैं और market entry को रोकती हैं
  • जहां macOS में sideloading की अनुमति है, वहीं iOS·iPadOS में वही स्वतंत्रता रोकी जाती है, जिससे मोबाइल devices पर ही एकाधिकार नियंत्रण बना रहता है

free software पर प्रभाव

  • notarisation प्रक्रिया paid developer account लेना, सीमित legal conditions स्वीकार करना, और बंद review process में भाग लेना अनिवार्य करती है
  • approved binaries को DRM के साथ re-sign किया जाता है, इसलिए उपयोगकर्ता source code और executable के मेल की पुष्टि या स्वतंत्र redistribution नहीं कर सकते
  • इससे उपयोगकर्ताओं के verification rights और developers की autonomy प्रभावित होती है, और alternative app store operators भी Apple की मंजूरी के बिना apps वितरित नहीं कर सकते

DMA से टकराव

  • DMA स्पष्ट करता है कि gatekeepers को third-party app stores की installation की अनुमति देनी चाहिए और अनावश्यक technical restrictions नहीं लगानी चाहिए
  • लेकिन Apple की notarisation हर app को अपनी approval प्रक्रिया के अधीन करके DMA द्वारा निषिद्ध dependency structure को मजबूत करती है
  • इसके कारण competition में कमी, independent developers का हतोत्साहन, और non-profit projects का बहिष्कार होता है

decentralised software curation का विकल्प

  • civil society groups ने European Commission से sanctions लगाने और वैकल्पिक संरचना तैयार करने की मांग की है
  • decentralised curation पहले से ही F-Droid जैसे repositories में परखा हुआ मॉडल है, जो security और free software के सह-अस्तित्व को साबित करता है
    • इसमें भरोसा किसी एक कंपनी पर नहीं, बल्कि transparent verification pipeline, reproducible builds, और community audit के जरिए वितरित होता है
    • उपयोगकर्ता सीधे तय कर सकते हैं कि वे किस पर भरोसा करेंगे, और curators जनता के प्रति जवाबदेह संरचना में काम करते हैं
  • यह मॉडल interoperability, transparency, और user choice को लागू करता है, और corporate secrecy की जगह विविधता तथा verifiable integrity के आधार पर security सुनिश्चित करता है

आगे की चुनौती

  • DMA को प्रभावी बनाने के लिए regulators को notarisation को ‘security feature’ नहीं बल्कि ‘control mechanism’ के रूप में समझना होगा
  • Apple की security की अवधारणा transparency, competition, और user autonomy को कमजोर करती है, और software freedom को बाधित करती है
  • European Commission को वास्तविक openness और installation, sharing, तथा verification के स्वतंत्र अधिकार सुनिश्चित करने होंगे, तभी DMA का उद्देश्य पूरा होगा
  • इसे सिर्फ तकनीकी मुद्दा नहीं, बल्कि freedom का प्रश्न बताया गया है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-11-10
Hacker News राय
  • मैंने कई टूल्स की binary distribution बंद कर दी है
    हर साल 100 डॉलर देना भी पसंद नहीं था, और बिना signature के उसे चलाने का तरीका बार-बार समझाते-समझाते भी थक गया था
    इसलिए लोगों के संदर्भ के लिए मैंने यह लेख डाल दिया
    • source code जारी कर देना ही शायद ज्यादा आसान है, और यूज़र्स के लिए भी फायदेमंद होगा
    • संदर्भ के लिए, सबमिट किया गया लेख iOS notarization के बारे में है, और macOS notarization से इसका लगभग कोई संबंध नहीं है
      iOS वाला हिस्सा असल में app review का ही एक छोटा रूप है
      संबंधित दस्तावेज़: Apple Developer दस्तावेज़
  • Windows में भी हालात ऐसे ही हैं
    डेवलपर्स को code signing करना पड़ता है, और मेरे अनुभव में यह और भी असुविधाजनक था
    USB token इस्तेमाल करना पड़ता था, इसलिए CI/CD environment में यह लगभग असंभव था
    हमारी कंपनी mac mini पर Windows VM चलाकर signing token लगाकर रखती थी, और उसी से macOS और Windows binaries sign करती थी
    आदर्श समाधान यह होगा कि OS स्तर पर third-party certificate integration को आसान बनाया जाए
    यूज़र जोखिम समझते हुए भी भरोसेमंद तरीके से self-sign कर सकें, इसकी अनुमति होनी चाहिए
    • मुझे भी ऐसा ही अनुभव हुआ था
      Linux में Windows binaries sign करने के लिए osslsigncode इस्तेमाल किया जा सकता है
      अंत में हमने Digicert Keylocker इस्तेमाल किया
      उसे CLI टूल के साथ इस तरह सेट किया कि Linux से अपने-आप sign हो जाए
    • unsigned प्रोग्राम चलाने पर Windows में UAC विंडो पीले रंग की दिखती है, लेकिन उसे चलाना फिर भी संभव है
      macOS में दिक्कत यह है कि इस तरह आसानी से चलाया नहीं जा सकता
    • USB token की जगह Azure Key Vault जैसे HSM का इस्तेमाल करके Azure signtool से sign भी किया जा सकता है
    • संदर्भ के लिए, notarization code signing से अलग है
      sign करने के बाद Apple server पर upload करके approval लेने का एक अतिरिक्त चरण है
      security के लिहाज़ से बड़ा फायदा नहीं है, लेकिन प्रक्रिया और जटिल हो गई है
    • CI environment में Azure Trusted Signing आज़माने की सलाह दूँगा
      पहले Windows signing एक बुरा सपना था, लेकिन अब यह महीने के लगभग 10 डॉलर में काफी आसान हो गया है
  • लेख में उद्धृत वाक्य भ्रामक हो सकता है
    Apple का notarization पूरी तरह का app review नहीं है
    आधिकारिक दस्तावेज़ के अनुसार, यह एक ऐसी प्रक्रिया है जिसमें automated system malware और signing issues की जाँच करता है
    Apple शायद DMA (Digital Markets Act) की धारा 6.7 के आधार पर यह दावा करेगा कि notarization की मांग की अनुमति है
    असली सवाल यह है कि क्या यह कदम ‘strictly necessary and proportionate’ है
    व्यक्तिगत रूप से मुझे लगता है कि ‘strictly necessary’ की अवधारणा defense in depth रणनीति से टकराती है
    अदालत इसे कैसे देखती है, यह देखना होगा
    • सबमिट किया गया लेख iOS notarization के बारे में है, और यह macOS notarization से पूरी तरह अलग है
      Apple ने एक ही शब्द का इस्तेमाल करके भ्रम पैदा किया, यह अफसोस की बात है
  • यह इस बात पर एक व्यंग्य है कि Apple ऐसा smartphone बनाता है जिसमें केवल उसके द्वारा approved apps ही चल सकते हैं, और वह इसके लिए डेवलपर्स से शुल्क भी लेता है
    तुलना में यह भी कहा गया है कि Nintendo भी ऐसा console बनाता है जिसमें केवल उसके द्वारा approved games ही चलते हैं
    इसमें यह भी बताया गया है कि iOS App Store की 70% आय games से आती है
  • मैं बहुत पहले ही Apple ecosystem से बाहर निकल गया था
    अब और डेवलपर्स को भी उसकी हकीकत समझते देखना अच्छा लगता है
    • मैंने भी वही फैसला लिया था
      iOS/macOS development छोड़ना मेरे करियर का सबसे अच्छा career decision था
  • उम्मीद है कि FSFE Google के खिलाफ भी ऐसा ही मुकदमा दायर करे, ताकि Play Store के बाहर apps install करना चाहने वाले डेवलपर्स के लिए अनिवार्य registration रोकी जा सके
    अगर ऐसा कोई प्रयास हो, तो मैं उसे donation देकर समर्थन करना चाहूँगा
  • पहले Electron desktop app के साथ बहुत परेशानी हुई थी
    notarization और signing integration पूरी तरह बिखरा हुआ था, इसलिए पहली submission में कई दिन लग जाते थे, और GitHub Actions CI/CD setup भी बहुत जटिल था
    अगर इसमें नई notarization policy भी जोड़ दी जाए, तो आखिर में यही लगता है कि Apple आखिर Apple ही है
  • लगता है कि 2027 के अंत में EU Cybersecurity Resiliency Act लागू होने पर ऐसी notarization प्रक्रिया और महत्वपूर्ण हो जाएगी
  • मैं iOS यूज़र के तौर पर ऐसी policy को पसंद करता हूँ
    क्योंकि इससे दादी को scam apps से बचाया जा सकता है
    पहले जब वे Android फोन इस्तेमाल करती थीं, तो किसी ने उन्हें फोन पर बहला-फुसलाकर नकली banking app install करवा दिया था और उनका पैसा चला गया था
    यह परफेक्ट तो नहीं है, लेकिन क्लब के entry fee या gated community की तरह कम-से-कम एक security barrier का काम करता है
    • लेकिन App Store में भी subscription scam apps भरे पड़े हैं
      व्यवहार में यह विज्ञापन जितना असरदार नहीं है
  • आखिरकार Windows में भी certificate cost देनी पड़ती है, इसलिए स्थिति मिलती-जुलती ही है