- यूरोप के डिजिटल ID वॉलेट सार्वजनिक सेवाओं तक पहुंच और ऑनलाइन आयु सत्यापन के लिए इस्तेमाल किए जाने वाले हैं, लेकिन उनकी सुरक्षा जांच Google Play Integrity API और Apple Managed Device Attestation जैसे निजी प्लेटफ़ॉर्मों को सौंपी गई है
- Play Integrity यह जांचता है कि ऐप प्रमाणित Android डिवाइस पर चल रहा है या नहीं, और Google-licensed Android तथा Play Store इंस्टॉलेशन को आधार मानकर Google इकोसिस्टम पर निर्भरता बढ़ाता है
- नीदरलैंड और इटली के वॉलेट डेवलपर Play Integrity लागू कर रहे हैं, जिससे e/OS और GrapheneOS जैसे de-Googled operating systems उपयोगकर्ताओं को सार्वजनिक सेवाओं से बाहर किया जा सकता है
- EU का Architecture Reference Framework Google attestation को अनिवार्य नहीं करता, लेकिन उसकी सिफारिश करता है; इटली ने इसे लगभग अनिवार्य की तरह समझा, जबकि स्विट्ज़रलैंड ने data protection, data sovereignty और freedom of choice की चिंताओं के कारण इसे बाहर रखा
- अगर ID वॉलेट सार्वजनिक अवसंरचना हैं, तो उन्हें Google·Apple attestation पर निर्भर होने के बजाय open hardware आधारित attestation mechanisms को अनिवार्य करना चाहिए
डिजिटल ID वॉलेट का निजी attestation सेवाओं पर निर्भर ढांचा
- यूरोपीय सरकारें डिजिटल ID वॉलेट ला रही हैं ताकि नागरिक सेवाओं तक पहुंच सकें और ऑनलाइन अपनी उम्र सत्यापित कर सकें
- ये वॉलेट Google Play Integrity API और Apple Managed Device Attestation जैसी सुरक्षा सेवाओं पर निर्भर हैं
- ऐसी सुरक्षा सेवाओं को remote attestation कहा जाता है, और इनका उपयोग यह जांचने के लिए होता है कि वॉलेट ऐप बिना छेड़छाड़ वाले हार्डवेयर पर चल रहा है या नहीं
- जब सार्वजनिक अवसंरचना में निजी कंपनियों की सुरक्षा सेवाएं शामिल की जाती हैं, तो यूरोपीय समाज Google और Apple जैसी निजी कंपनियों पर निर्भर हो जाता है, और यह ढांचा उन कंपनियों के हितों के पक्ष में जा सकता है
Play Integrity API से बनता Google-केंद्रित नियंत्रण
- Google Play Integrity API वह सॉफ़्टवेयर है जिसे Google डेवलपर्स को ऐप रनटाइम environment की integrity जांचने के लिए मुफ्त में देता है
- डेवलपर्स इसके जरिए यह जांच सकते हैं कि ऐप “genuine certified Android device” पर चल रहा है या नहीं
- bot दुरुपयोग कम करने में
- banking ऐप fraud रोकने में
- gaming ऐप cheating रोकने में इसका उपयोग हो सकता है
- समस्या यह है कि यह API यह भी जांचता है कि डिवाइस Google-licensed Android चला रहा है या नहीं, और बिना license वाले विकल्पों को संभावित सुरक्षा जोखिम मानता है
- ऐप में छेड़छाड़ हुई है या नहीं, यह तय करने में भी Google Play Store को आधार बनाया जाता है
- यह जांचता है कि ऐप संशोधित हुआ है या नहीं
- यह जांचता है कि ऐप Play Store के जरिए इंस्टॉल हुआ है या नहीं
- नतीजतन, Play Integrity ऐसा ढांचा बनाता है जो बिना Google license वाले operating systems को बाहर करता है और Play Store इंस्टॉलेशन तथा Google account login को बढ़ावा देता है
- यह डिज़ाइन Digital Markets Act(DMA) से टकराता है
- एक अधिक खुला विकल्प Android का Hardware Attestation API है, जो Google इकोसिस्टम की नीतियां लागू किए बिना hardware-based सुरक्षा सत्यापन देता है
सरकारी implementation किस तरह monopoly ढांचे को मजबूत करता है
- EU अक्सर Big Tech monopoly तोड़ने का लक्ष्य बताता है, लेकिन कुछ सदस्य देश डिजिटल ID वॉलेट architecture में Google Play Integrity API जोड़कर Google इकोसिस्टम को और मजबूत करने का जोखिम पैदा कर रहे हैं
- नीदरलैंड और इटली के वॉलेट डेवलपर्स ने Play Integrity लागू किया है
- इस तरीके में e/OS और GrapheneOS जैसे de-Googled operating systems उपयोगकर्ताओं को वॉलेट सेवाओं तक पहुंच से बाहर किया जा सकता है
- जब सरकारें वॉलेट में Google की सुरक्षा सेवाएं जोड़ती हैं, तो सार्वजनिक संस्थान निजी कंपनियों की platform policies लागू करने वाले बन जाते हैं
- यह openness, inclusivity और technological sovereignty जैसे सार्वजनिक मूल्यों पर आधारित डिजिटल public infrastructure बनाने के यूरोप के लक्ष्य के साथ तनाव पैदा करता है
- EU के ID वॉलेट नियमों में interoperability एक मुख्य लक्ष्य है, लेकिन जो उपयोगकर्ता ऐसा operating system इस्तेमाल करना चाहते हैं जिसमें Google software, Google trackers या built-in LLM पहले से इंस्टॉल न हों, उन्हें वॉलेट इस्तेमाल करने के लिए Google software स्वीकार करना पड़ सकता है
ID वॉलेट सामान्य ऐप नहीं, सार्वजनिक अवसंरचना हैं
- ID वॉलेट सरकारी दस्तावेज़ों तक पहुंच और public service login प्रबंधन का एक अहम साधन हैं
- इसलिए यह ऐसी डिजिटल public infrastructure का महत्वपूर्ण हिस्सा हैं जो Google और Apple पर निर्भर हुए बिना सभी को उपलब्ध होनी चाहिए
- अगर वैकल्पिक de-Googled operating systems पर identity wallet जैसे सरकार-सेवा login के लिए जरूरी ऐप चल ही न सकें, तो उनकी अपनाने की आकर्षण-शक्ति काफी घट जाती है
- Waag के EU-समर्थित Mobifree project का शोध भी इस समस्या की पुष्टि करता है
- पिछले दो वर्षों में इसने जांचा कि de-Googled mobile software ecosystem अलग-अलग end users के लिए क्या मूल्य रखता है
- 120 testers में से कई ने payment apps और government identity verification apps जैसी अहम service apps के साथ compatibility को de-Googled operating systems पर जाने की मुख्य शर्त माना
- सरकार के डेवलपर्स को interoperability को optimize करते समय अधिक गहरे stack level तक सोचना चाहिए
- Play Integrity API DMA से टकराता है, इसलिए यह यूरोपीय sovereignty को मजबूत करने वाले ID वॉलेट के लक्ष्य से भी विरोधाभासी है
देशों के बीच अलग-अलग attestation तरीके
- EU वॉलेट architecture के लिए एक सामान्य तकनीकी framework Architecture Reference Framework प्रदान करता है
- यह framework यूरोपीय सरकारों से Google attestation का उपयोग अनिवार्य रूप से नहीं मांगता, लेकिन इसकी सिफारिश करता है
- इसी सिफारिश की वजह से देशों का दृष्टिकोण अलग-अलग हो गया है
- कुछ देश Google attestation का उपयोग नहीं करते
- कुछ देश इसे इस तरह लागू करते हैं कि Google इकोसिस्टम की नीतियां प्रभावी हो जाती हैं
- इटली ने Play Integrity API के उपयोग संबंधी सिफारिश को लगभग अनिवार्यता की तरह समझा
- स्विट्ज़रलैंड Android के attestation mechanism पर निर्भर करता है, और data protection, data sovereignty तथा freedom of choice की चिंताओं के कारण Play Integrity को बाहर रखता है
- नीदरलैंड और इटली बिना किसी शर्त के Play Integrity का उपयोग कर रहे हैं, और Google तथा Apple के attestation software के उपयोग संबंधी सिफारिश को बहुत सख्ती से समझ रहे हैं
- अगर यूरोप सचमुच digital autonomy चाहता है, तो Architecture Reference Framework से Google और Apple attestation को पूरी तरह हटाकर open hardware आधारित attestation mechanisms को अनिवार्य करना चाहिए
- स्विट्ज़रलैंड का उदाहरण दिखाता है कि Google Play Integrity का उपयोग उचित नहीं ठहराया जा सकता और दूसरे समाधान संभव हैं
सार्वजनिक जवाबदेही और प्रतिक्रिया के रास्ते
- डिजिटल वॉलेट सार्वजनिक अवसंरचना हैं, इसलिए उनके design process में public participation और जवाबदेही जरूरी है
- नागरिक और डेवलपर्स देश-स्तरीय repositories में चिंताएं उठा रहे हैं
- जर्मनी का खुला वॉलेट development tracker: gitlab.opencode.de
- स्विट्ज़रलैंड का खुला discussion forum: github.com/orgs/swiyu-admin-ch
- ये चैनल वैध आपत्ति दर्ज करने के रास्ते हैं, लेकिन इनकी पहुंच सीमित तकनीकी पाठक-वर्ग तक रह जाती है
- वैकल्पिक de-Googled operating systems के उपयोगकर्ता अपने-अपने देशों के EUDI Wallet ऐप डेवलपर्स से Google·Apple attestation से स्वतंत्रता की मांग कर सकते हैं
- नीदरलैंड वॉलेट के मामले में विदेश मंत्रालय की EDI वेबसाइट का contact page इस्तेमाल किया जा सकता है
- चिंतित नागरिक निर्वाचित प्रतिनिधियों से मांग कर सकते हैं कि ID वॉलेट को Google और Apple से स्वतंत्र बनाया जाए
- पत्रकार राजनीतिक और डिज़ाइन प्रक्रियाओं को ट्रैक कर सकते हैं
- development updates और repositories को developer.overheid.nl की EUDI Wallet page पर देखा जा सकता है
- meetings और contacts नीदरलैंड के विदेश मंत्रालय की EDI website पर देखे जा सकते हैं
1 टिप्पणियां
Hacker News की राय
EU के wallet reference implementation ने Google Play services को सख्ती से आवश्यक बनाया था
https://github.com/eu-digital-identity-wallet/eudi-app-andro...
इसलिए इटली का IO ऐप https://github.com/pagopa/io-app भी wallet, documents और age verification features में GrapheneOS support की मांगों को लगातार ठुकराता रहा और Google को अनिवार्य करता रहा
मुकदमा शुरू होने तक शायद कुछ नहीं बदलेगा, और उम्मीद सिर्फ Motorola/GrapheneOS collaboration और उन consumer groups से है जो anti-competitive conduct पर केस कर सकते हैं
Play services मांगने वाले apps के खिलाफ हर संभव channel पर आवाज उठानी चाहिए। बाद में मुकदमा शुरू होने पर ये records user support दिखाने में मदद करेंगे
यह हर नागरिक को उन companies को कुछ सौ euro चुकाने पर मजबूर करता है, और वही companies फिर नागरिकों के अधिकारों के खिलाफ campaigns चलाती हैं
समस्या होने पर नागरिक को कोई support नहीं मिलता, और उन्हें एक बेहद asymmetric contract करना पड़ता है जिसमें company की जिम्मेदारी लगभग नहीं होती, लेकिन दूसरे पक्ष को बहुत डरावने तरीके से track करने के व्यापक अधिकार होते हैं
तभी कोई भी अपने पसंदीदा hardware पर अपनी पसंद का operating system इस्तेमाल कर सकेगा
EU ने iOS और Android पर पूरी तरह निर्भर होने के जोखिम का स्पष्ट अनुमान लगाया था, और EUDI Wallet framework को इस तरह design किया कि दूसरे physical forms भी संभव हों
उदाहरण के लिए मौजूदा national ID cards जैसी smartcards, standalone hardware tokens और USB keys
जिसका विरोध होना चाहिए वह मूल रूप से user-hostile hardware attestation है। एक popular Android distribution को allow कर देना बड़े picture में खास मायने नहीं रखता
Play Integrity के बजाय Android के hardware attestation API पर निर्भर होना भी, मेरे हिसाब से, digital autonomy पर हमला है
user के पूरे platform की remote attestation पर निर्भर security feature आखिरकार सरकार को acceptable operating systems चुनने का अधिकार दे देता है, इसलिए यह government power abuse है
इस authority का इस्तेमाल operating system developers पर intelligence agencies के लिए backdoors लगाने का दबाव बनाने में होना बस समय की बात है, और लोगों से दो smartphones रखने को कहना कोई समाधान नहीं है
सही zero-knowledge proof (ZKP) method या blind signatures पर आधारित anonymous digital age verification के लिए general-purpose operating system की जरूरत नहीं होती; कुछ cryptographic primitive operations और device-bound keys का set काफी है
EU अगर सिर्फ ये functions रखने वाला dedicated hardware token develop करे और app के alternative के रूप में हर citizen को free दे, तो यह बहुत बड़ी मांग नहीं है। इससे smartphone न रखने पर भी digital services तक access बहुत सीमित न हो, ऐसी freedom भी सुनिश्चित होती है
लेकिन phone पर custom software चलाने की user की ability को restrict नहीं करना चाहिए, और खासकर सभी लोगों से Google/Apple-signed phone की मांग नहीं करनी चाहिए
Pixel पर GrapheneOS डालने के बाद भी banking और government apps चलने चाहिए, और मेरा मानना है कि hardware security enforce करते हुए भी यह संभव है
customer के लिहाज से संभावित advantage यह है कि वह भरोसा कर सकता है कि उसकी keys device के अंदर सुरक्षित हैं, लेकिन यह मुख्य बात से भटकना है
वास्तव में जरूरत एक open-source specification की है जो standard protocol define करे। device को पता हो कि request trusted source से है, जैसे government key से signed request, और वह उस request पर उस key से sign कर दे जिसे government API उसकी पहचान मानता है
मैं कल्पना करता हूं कि government portal में device-specific public keys कई जोड़ी जोड़ी जाएं, और requests verify करने के लिए government की public key भी share की जाए। identity verification मांगने वाली service user की public key request करे, government API से challenge token ले और user तक पहुंचाए
user verify करे कि challenge trusted key से signed है, फिर उस पर sign करके app को वापस दे, और app उसे government API को भेजे ताकि request की गई information के सिर्फ एक हिस्से तक access की permission मिले। अगर app को सिर्फ age चाहिए, तो उसे सिर्फ वही information मिले
phone implementation key protection के लिए hardware attestation इस्तेमाल करना चाह सकता है, लेकिन इसे अनिवार्य करने की कोई वजह नहीं है। अच्छी तरह design किया गया public-key system काफी है, और जरूरत पड़ने पर keys को आसानी से revoke करके नई keys add की जा सकनी चाहिए
यूरोपीय डिजिटल ID सिस्टम का दो अमेरिकी कंपनियों पर पूरी तरह निर्भर होना?
अभी कुछ ही समय पहले तक यूरोप की डिजिटल संप्रभुता की बात को बेहद जरूरी नहीं बताया जा रहा था? या वह बस दिखावे वाली बकवास थी?
लेकिन कई मामलों में समर्थन के लिए कोई यूरोप का अपना विकल्प मौजूद नहीं है। Google और Apple द्वारा दिए जाने वाले software stack के एक बड़े हिस्से तक को replace कर सकने वाली एक भी EU कंपनी नहीं है
जब तक regulatory environment नहीं बदलता, शायद आगे भी नहीं होगी
वजह सिर्फ यह थी कि शायद कोई व्यक्ति उसमें सवार हो; जबकि असल में वह सवार भी नहीं था, और उसका इकलौता वास्तविक “अपराध” बस अमेरिका के मूल रूप से असंवैधानिक गैरकानूनी कृत्यों का खुलासा करके अमेरिका को शर्मिंदा करना था
स्वीडन के prosecutors के साथ भी ऐसा ही था। अमेरिका ने एक फोन कॉल से indictment तो नहीं, लेकिन इतना official statement हासिल कर लिया कि उस शाम दुनिया भर की headlines में “Assange” और “rape” साथ-साथ दिखें
यूरोपीय देश आम तौर पर अमेरिका के पालतू कुत्ते की तरह बर्ताव कर रहे हैं, और यह वाकई दुखद है। फिर भी अमेरिकी राष्ट्रपति invasion और annexation की धमकी देता है या NATO सदस्य की बुनियादी जिम्मेदारियों को पूरी तरह नजरअंदाज कर पीठ में छुरा घोंपता है
समझ नहीं आता कि यूरोप अमेरिका के बेवकूफाना खेलों में लगातार क्यों फंसता रहता है। जैसा बार-बार दिखता है, ऐसे रवैये का बदला उसी तरह नहीं मिलता
यह इरादे के मुताबिक ही काम कर रहा है। EU चाहता है कि लोग पूरी तरह controllable devices और operating systems इस्तेमाल करें
नई और बेतुकी requirements न मानने पर apps ban हो सकते हैं
विनियमन monopoly बनाता है। भले ही regulation का मकसद बड़ी कंपनियों का control कम करना हो, छोटी कंपनियां आम तौर पर इसे झेल नहीं पातीं और market share गंवा देती हैं
यह business school में competitive advantage strategy के रूप में सचमुच पढ़ाया जाता है। कंपनियां ऊपर से अपने लिए नुकसानदेह लगने वाले कानून बनवाने के लिए सरकार पर lobbying करती हैं, लेकिन असल में implementation cost बढ़ाकर uneven playing field बनाती हैं और market share ले जाती हैं
हर regulation monopoly नहीं तोड़ता, लेकिन monopoly तोड़ने का इकलौता साधन भी regulation ही है
यह जाना-माना है कि हर “free” market 1% law की वजह से monopoly की ओर झुकता है। पूरी तरह free market सिर्फ abstract में है, वास्तविकता में नहीं; इसलिए वास्तविक free market सुनिश्चित करने के लिए regulation जरूरी है
कुछ मामलों में free market गलत समाधान होता है और regulated monopoly की जरूरत होती है, और पहचान का क्षेत्र मुझे ठीक वैसा ही लगता है। क्योंकि पहचान हर व्यक्ति के लिए unique होती है
किसी व्यक्ति के पास theory में केवल एक identity होनी चाहिए, और बेहद असाधारण व अच्छी तरह documented मामलों को छोड़कर वह identity बदलनी नहीं चाहिए
राज्य के पास identity उपलब्ध कराने का अच्छा तरीका होना चाहिए, और अगर छोटे देशों के पास संसाधन कम हों तो बड़े देशों को सभी के लिए उपलब्ध कराना चाहिए। इससे देशों के बीच incompatibility घटती है और निजी हित बाहर रहते हैं
किसकी identity प्रमाणित करनी है, इस पर राज्य का इकलौता monopoly होना चाहिए। क्योंकि वही ऐसा एकमात्र actor है जो market conditions से प्रभावित नहीं होता
इस विषय में आगे चल रहे देश असल में इसी तरह काम करते हैं। अगर अलग-अलग देश common solution तक नहीं पहुंच पाते, तो समूह को करना चाहिए
यहां समूह असफल रहा। क्योंकि उसने यूरोपीय स्तर का solution अनिवार्य नहीं किया, बल्कि private solutions की सिफारिश की
private sector का profit-seeking agenda होता है, इसलिए उसे यह dictate नहीं करना चाहिए कि identity किससे और कैसे साबित होगी। राज्य को solutions का मूल्यांकन करना चाहिए, लेकिन संचालन और implementation राज्य की जिम्मेदारी होनी चाहिए
कई क्षेत्रों में market solutions अच्छे होते हैं, लेकिन यह उनमें से एक नहीं है
उदाहरण के लिए MMTIS (multimodal travel passenger information) innovation और नए players को स्पष्ट रूप से target करता है। ऐसे और भी उदाहरण हैं
संबंधित regulation कितना महंगा है, यह भी महत्वपूर्ण है। इमारतें न गिरें, खाना जहरीला न हो, और दवाएं pharmacological Russian roulette न बनें, इसके लिए कई क्षेत्रों में regulation बिल्कुल जरूरी है
इसलिए लक्ष्य regulation की cost-effectiveness को optimize करना होना चाहिए
लेकिन यह “regulation monopoly बनाता है” जैसे व्यापक दावे से अलग है
अगर Google किसी को block कर दे, तो क्या वह व्यक्ति digital ID की जरूरत वाली सभी services तक access भी हमेशा के लिए खो देगा?
पहले एक YouTuber ने live broadcast में viewers से emoji डालकर “vote” करने को कहा था, जिसके बाद कई viewers के Google accounts spam के कारण block हो गए थे[1]
Google user support से बचने के लिए भी मशहूर है, इसलिए individual remedy की उम्मीद करना मुश्किल है
नया ransomware भी पहले से दिख रहा है: “पैसे दो, नहीं तो तुम्हारे Gmail से spam भेजकर तुम्हारी digital ID छिनवा दूंगा”
[1] https://www.engadget.com/2019-11-10-youtube-reinstates-banne...
इसका एक अपेक्षाकृत सरल, कहीं अधिक open और सुरक्षित solution यह है कि physical EU identity card को proof source माना जाए, और high-value signatures, नए device login, या बार-बार authentication fail होने के बाद login जैसे महत्वपूर्ण कामों के लिए user से card को phone से tap कराने की जरूरत रखी जाए
इससे device-side open hardware/operating system वाली “problem” पूरी तरह खत्म हो जाती है। क्योंकि अब भरोसेमंद hardware या operating system signature की जरूरत नहीं रहती
यह कहा जा सकता है कि phone पर man-in-the-middle attack की संभावना बनती है। card में न screen है, न PIN pad, इसलिए पता नहीं चलता कि किस चीज पर sign किया जा रहा है, या PIN किसे दिया जा रहा है
लेकिन सवाल है कि क्या इस जोखिम को कम करना phone attestation से जुड़ी सभी dependency concerns स्वीकार करने लायक है
अभी सभी EU identity cards में पहले से मजबूत cryptographic authentication अनिवार्य रूप से है, लेकिन ICAO biometric identity document standard के तहत केवल in-person identity verification के लिए इस्तेमाल हो सकता है, remote identity proofing के लिए नहीं। जो चाहिए उसके बेहद करीब है, लेकिन जरूरी function वही नहीं है
Germany में एक court ruling थी कि Deutsche Bahn (DB) को बुजुर्गों के साथ भेदभाव न हो, इसलिए computer या smartphone के बिना खरीदे जा सकने वाले offline tickets उपलब्ध कराने होंगे
अगर EUDI Wallet Google/Apple की मांग करता है, तो मुझे लगता है कि वैसा ही ruling आने की काफी संभावना है
इसलिए जब तक EUDI उन लोगों के लिए optional alternative बना रहता है जो online services इस्तेमाल करना चाहते हैं, मुझे संदेह है कि वैसा ही ruling आएगा
लोग Play Store या App Store पर निर्भर हैं, और DB भी app को direct download के रूप में उपलब्ध नहीं कराता
EU को users के लिए एक authentication system अनिवार्य करना चाहिए था जिसमें हर चीज के लिए random string ही sole authentication factor हो
यह modern enterprise software के API token जैसा ही होता, लेकिन app developers के बजाय आम लोगों के इस्तेमाल के लिए
और high-sensitivity applications के लिए hardware token से इसे supplement किया जा सकता था
passkeys वह भूमिका निभा सकती थीं, लेकिन industry ने उन्हें जल्दी ही विकृत कर दिया
हर दिन random string खो देने वाले 50,000 लोगों को कैसे support करेंगे? और उन दूसरे 50,000 लोगों का क्या जो वह string किसी भी website में paste कर देंगे? Europe में 1 billion लोग हैं
सामान्य कसौटी यह है
अगर मैं किसी डिजिटल सेवा या उत्पाद का उपयोग उस कंप्यूटर पर नहीं कर सकता जिसे मैंने पूरी तरह खुद बनाया हो या जिसे बनवाने के लिए मैं अपनी पसंद के किसी व्यक्ति को चुन सकूं, और उस पर ऐसा code नहीं चला सकता जिसे मैंने पूरी तरह खुद लिखा हो या जिसे लिखवाने के लिए मैं अपनी पसंद के किसी व्यक्ति को चुन सकूं, तो यह पूरी तरह अस्वीकार्य है