แอปยืนยันอายุของ EU เตรียมบล็อกระบบ Android ที่ไม่ผ่านการรับรองจาก Google ทั้งหมด

 (reddit.com)
3 คะแนน โดย GN⁺ 2025-07-28 | 5 ความคิดเห็น | แชร์ทาง WhatsApp
  • EU กำลังพัฒนา แอปยืนยันอายุที่เน้นการคุ้มครองความเป็นส่วนตัว ในรูปแบบโอเพนซอร์ส และมีแผนให้แต่ละประเทศสมาชิก ปรับแต่งแล้วนำไปใช้
  • แอปมีแผนใช้ ฟีเจอร์ Remote Attestation (การรับรองระยะไกล) เพื่อตรวจสอบว่าแอปกำลังทำงานอยู่ใน สภาพแวดล้อมที่ถูกต้องและเชื่อถือได้ หรือไม่
  • ผูกกับ Android OS ที่ Google ให้ไลเซนส์, ติดตั้งจาก Play Store และ ผ่านการตรวจสอบความปลอดภัยของอุปกรณ์ ทำให้ เชื่อมโยงกับระบบนิเวศของ Google อย่างแน่นแฟ้น
  • แม้แต่ คัสตอม Android ที่มีความปลอดภัยสูงอย่าง GrapheneOS ก็ใช้งานไม่ได้หากไม่ได้รับการรับรองอย่างเป็นทางการจาก Google และด้วยการใช้ Play Integrity API จึงมี ข้อจำกัดที่เข้มงวดกว่า Android Attestation ทั่วไป
  • สุดท้ายแล้ว แม้จะคอมไพล์เองก็ใช้งานไม่ได้หากไม่ได้แจกจ่ายผ่าน Play Store ทำให้แม้จะเป็นโอเพนซอร์ส แต่ก็เกิดปัญหา การพึ่งพาบริการของ Google ในทางปฏิบัติ และ การกีดกัน OS ทางเลือก

ภาพรวมของแอปยืนยันอายุของ EU

  • EU กำลังพัฒนา แอปสำหรับยืนยันอายุ ที่เน้นความเป็นส่วนตัว และผลักดันให้มีการนำไปใช้แบบปรับให้เหมาะกับแต่ละประเทศสมาชิก
  • ซอร์สโค้ดเปิดเผยเป็น โอเพนซอร์ส (https://github.com/eu-digital-identity-wallet/av-app-android-wallet-ui)

การรับรองระยะไกลและนโยบายความปลอดภัย

  • มีแผนเพิ่มฟังก์ชัน Remote Attestation (การรับรองระยะไกล) ให้กับแอป
    • เซิร์ฟเวอร์จะตรวจสอบว่าแอปทำงานอยู่บน OS ของแท้และสภาพแวดล้อมที่เชื่อถือได้ หรือไม่
    • เกณฑ์ Android ที่ถือว่า "Genuine":
      • ต้องเป็น OS ที่ได้รับไลเซนส์จาก Google
      • ต้องติดตั้งแอปจาก Play Store (ต้องมีบัญชี Google)
        • ต้อง ผ่านการตรวจสอบความปลอดภัยของอุปกรณ์
  • วิธีตรวจสอบนี้พึ่งพา Google Play Integrity API
    • ใช้ข้อจำกัดที่เข้มงวดกว่ามาตรฐาน Attestation ของ AOSP (Android แบบมาตรฐาน) อย่างมาก
    • โดยมากจะไม่สามารถผ่านได้บน คัสตอม OS เช่น GrapheneOS, LineageOS

ข้อจำกัดของคัสตอม OS และการคอมไพล์เอง

  • OS ที่ไม่เป็นทางการหรือ แอปที่คอมไพล์เอง จะไม่สามารถผ่านการรับรองระยะไกลได้
    • แอปที่ไม่ได้ลงทะเบียนใน Play Store จะยืนยันตัวตนกับบริการไม่ผ่าน
    • ในทางปฏิบัติจึง ต้องพึ่งพาบัญชีและบริการของ Google
  • แม้จะเป็น โอเพนซอร์ส แต่กลับเกิดปัญหาที่แม้แต่ OS ที่ให้อิสระผู้ใช้และความปลอดภัยสูงกว่าก็ยังถูก กีดกันออกไป

ผลกระทบและข้อถกเถียง

  • ในหมู่พลเมือง EU และชุมชนนักพัฒนา มีการตั้งคำถามเรื่อง การเพิ่มการพึ่งพา Google, การกีดกัน OS ทางเลือก และข้อจำกัดของโอเพนซอร์ส
  • แม้มีเจตนาเพื่อความปลอดภัยและการคุ้มครองความเป็นส่วนตัว แต่ก็ทำให้เกิดความกังวลมากขึ้นเกี่ยวกับ การลดทอนทางเลือกของผู้ใช้ และ การพึ่งพาระบบนิเวศเฉพาะราย

บทความที่เกี่ยวข้อง

5 ความคิดเห็น

 
crawler 2025-07-30

......แล้วจะใช้ Android ไปทำไมล่ะ?
 
ng0301 2025-07-30

แถบนั้นก็มีแต่คนเยอะเหมือนกัน แต่สิ่งที่ทำไม่ว่าจะที่นี่หรือที่นั่นก็พอๆ กัน 555
 
null468 2025-07-29

ยังไม่ค่อยเข้าใจว่า การยืนยันอายุจะใช้งานควบคู่กับการคุ้มครองข้อมูลส่วนบุคคลได้อย่างไร..

ในวินาทีที่ทำการยืนยัน อย่างน้อยก็แทบไม่ต่างจากการทิ้งลายเซ็นของตัวเองไว้ที่นั่นสักครั้งไม่ใช่หรือ?

ถ้าจะคุ้มครองข้อมูลส่วนบุคคลจริง ๆ ก็ควรต้องใช้งานแบบไม่ระบุตัวตนได้สิ
 
unsure4000 2025-07-28

ขณะเดียวกัน Pass:
 
GN⁺ 2025-07-28
ความคิดเห็นจาก Hacker News

  • สำหรับ Android คำว่า "ของแท้" หมายถึงระบบปฏิบัติการที่ได้รับไลเซนส์จาก Google, แอปที่ดาวน์โหลดจาก Play Store (ต้องใช้บัญชี Google) และอุปกรณ์ที่ผ่านการตรวจสอบความปลอดภัยของเครื่อง
    แม้จะยอมรับได้ว่าการตรวจสอบแบบนี้มีคุณค่าในแง่การยืนยันความปลอดภัยของอุปกรณ์ แต่ในขณะเดียวกันก็ทำให้แอปผูกติดกับบริการของ Google อย่างมาก
    การตรวจสอบความปลอดภัยลักษณะนี้ไม่สามารถผ่านได้บน Android OS แบบไม่เป็นทางการ จึงถูกชี้ว่าเป็นปัญหาในโครงการกระเป๋าอัตลักษณ์ดิจิทัลของยุโรป
    ประเด็น GitHub ที่เกี่ยวข้อง
    ฉันอยากคัดค้านแผนแบบนี้อย่างหนัก
    หากกระบวนการยืนยันอายุเพิ่มการพึ่งพา Big Tech ของสหรัฐ ก็เท่ากับยุโรปยกอธิปไตยทาง IT ให้สหรัฐมากขึ้น ซึ่งไม่พึงประสงค์อย่างยิ่ง
    จากสถานการณ์ทางการเมืองล่าสุด ฉันคิดว่าความเสี่ยงนี้ใหญ่และไม่พึงประสงค์เพียงใดนั้นชัดเจนอยู่แล้วจนแทบไม่ต้องอธิบาย
    แม้แต่ฉันซึ่งเป็นผู้ได้รับผลโดยตรงก็ยังรู้สึกว่าความกังวลนี้สมเหตุสมผล
    ในอีกความเห็นหนึ่งของประเด็น GitHub เดียวกัน ก็มีการพูดถึงว่าการบังคับใช้บริการของ Google อาจละเมิดความเป็นอิสระทางกฎหมายและกฎหมายความเป็นส่วนตัวของบางประเทศสมาชิก EU

    • "การตรวจสอบความปลอดภัยของอุปกรณ์" เป็นองค์ประกอบที่น่ากลัวที่สุดสำหรับฉัน
      ในทางปฏิบัติมันหมายถึง "ฮาร์ดแวร์และซอฟต์แวร์ที่ได้รับการอนุมัติอย่างเป็นทางการ" และเป็นทางลัดสู่โลกดิสโทเปียที่ Stallman เคยเตือนใน "Right to Read"
      ฉันมองว่าเป็นเรื่องประชดอย่างมากที่ EU พึ่งพา Big Tech ของสหรัฐเพื่อเสริมสร้างอำนาจนิยมดิจิทัลให้ตัวเอง
      แนวคิดเรื่องเสรีภาพแบบอเมริกันดั้งเดิม (เสรีภาพแบบหัวขบถ) ดูเหมือนจะไม่ได้รับความนิยมมากนักใน EU หรือสหราชอาณาจักร

    • ไม่จำเป็นต้องเป็นเพราะบริบททางการเมือง นโยบายแบบนี้ก็น่ากังวลโดยพื้นฐานอยู่แล้ว
      การสอดแนมข้อมูลโดยรัฐอันตรายกว่าเสมอ และการใช้ OS ที่ไม่ใช่ของท้องถิ่นอาจดีกว่าในแง่ความเป็นส่วนตัวด้วยซ้ำ
      เพียงแต่ต้องระวังเมื่อรันโค้ดแบบ proprietary

    • อยากชี้ให้เห็นว่าแม้หลายคนจะกังวลกับสภาพแวดล้อมทางการเมืองของสหรัฐ แต่สถานการณ์ในอังกฤษก็ใช่ว่าจะวางใจได้ โดยยกบทความที่กล่าวถึงหน่วยงานตำรวจบางแห่งในอังกฤษที่เฝ้าติดตามผู้วิจารณ์ผู้อพยพทางออนไลน์

  • สหภาพยุโรปพูดเรื่องนวัตกรรมทุกครั้งพร้อมบอกว่าจะลดการพึ่งพาบริษัทอเมริกัน แต่ในความเป็นจริงมักเปลี่ยนคำพูดบ่อย แล้วสุดท้ายก็เงียบหายไปตามกาลเวลา เป็นวงจรเดิมซ้ำๆ
    แต่ละประเทศในยุโรปอาจแข็งแกร่งในตัวเอง ทว่าบางครั้งสหภาพยุโรปก็ดูเหมือนมีแต่เสียงดังแต่ไม่ค่อยเกิดผลจริง

    • ในเชิงโครงสร้าง สหภาพยุโรปไม่ใช่รัฐเดียว แต่เป็นองค์กรเหนือชาติทางเศรษฐกิจ
      ฝรั่งเศส/เยอรมนีมักเน้นย้ำเรื่องอธิปไตยเชิงยุทธศาสตร์ แต่โปแลนด์/เช็ก/สามรัฐบอลติกกลับไม่ค่อยเป็นมิตรกับแนวทางนี้
      มันเป็นปัญหาแบบเดียวกับการถกเถียงเรื่อง self-hosting เมื่อไม่นานนี้ คือจำเป็นต้องหาสมดุลระหว่างอิสระกับประสิทธิภาพ

    • ชาวยุโรป 95% ก็ใช้ OS ของสหรัฐอยู่แล้ว จะให้รออีก 20 ปีจนกว่า EurOS จะถูกปล่อยออกมาเพื่อใช้ยืนยันอายุก็คงไม่ได้

    • เหตุผลหลักที่ EU ยังแกว่งไปมาด้านนโยบายก็เพราะเบื้องหลังจริงๆ คือผลประโยชน์อุตสาหกรรมของแต่ละประเทศอย่างฝรั่งเศส เยอรมนี ไอร์แลนด์ เช็ก ฯลฯ ที่ขัดกัน
      การตะโกนเรื่อง "เทคโนโลยีของเราเองใน EU" แทบจะมาจากผู้กำหนดนโยบาย/บริษัทฝรั่งเศสเท่านั้น ส่วนเยอรมนี เนเธอร์แลนด์ และยุโรปตะวันออกไม่ได้เป็นแบบนั้น
      ผลประโยชน์ของแต่ละประเทศสำคัญกว่า EU และการลงทุนโดยตรงจาก Big Tech สหรัฐก็มีขนาดใหญ่มากในเศรษฐกิจของหลายประเทศสมาชิกอยู่แล้ว
      ในยุค 1980~90 ผู้ผลิตรถยนต์ญี่ปุ่นและเกาหลีก็เคยเลือกความร่วมมือโดยปรับผลประโยชน์ให้สอดคล้องกับตลาดสหรัฐมาก่อน

    • EU เหมือนเป็น "ชิวาวาที่เห่าเสียงดังแต่ไม่เกิดผล"
      กฎหมายเชิงอำนาจนิยมผ่านได้ แต่เมื่อนักการเมืองระดับชาติบอกว่าช่วยไม่ได้ พวกเขาก็ยังเก็บผลประโยชน์จากการควบคุมอินเทอร์เน็ตไว้
      ส่วนประชาชนทั่วไปแทบไม่ได้อะไร

  • สงครามเพื่อเสรีภาพบนอินเทอร์เน็ตกำลังเร่งตัวขึ้น
    หากไม่มีการต่อต้านอย่างเป็นรูปธรรมต่อกฎหมายแบบดิสโทเปีย การไหลเวียนของข้อมูลอย่างเสรีจะค่อยๆ กลายเป็นเพียงข้อยกเว้น
    นี่ไม่ใช่ความเป็นไปได้ในอนาคต แต่เป็นความจริงที่กำลังเกิดขึ้นทั่วโลกในขณะนี้

    • เพื่อนคนหนึ่งบอกว่าเขาไม่สามารถดูโพสต์บน X (อดีต Twitter) ที่เกี่ยวกับการประท้วงในประเทศของตนได้อีกแล้ว
      โพสต์แบบนี้ถูกจัดเป็นเนื้อหา "สำหรับผู้ใหญ่" และตอนนี้จะดูไม่ได้หากไม่มีการยืนยันตัวตนด้วยบัตรประชาชน
      ทั้งที่จริงมันเป็นวิดีโอการประท้วง ไม่ใช่สื่อลามก
      พูดจริงๆ คือเรื่องแบบนี้เกิดขึ้นแล้วในวันนี้

    • มันมักเริ่มจากคำว่า "เราต้องคิดถึงเด็กๆ" เสมอ แต่สิ่งนั้นเป็นเพียงจุดเริ่มต้น
      ยุคทอง ยุคป่าเถื่อนของอินเทอร์เน็ตได้ผ่านไปแล้ว
      ต่อจากนี้แม้แต่เรื่องการรักษาความเป็นส่วนตัวและเสรีภาพในการแสดงออกจะยังปกป้องไว้ได้หรือไม่ก็ยังไม่แน่นอน

  • ถ้าอยากรู้ว่าระบบนี้คืออะไร ลองดูเอกสารทางเทคนิคอย่างเป็นทางการ และภาพ user flow
    แก่นของขั้นตอนใช้งานคือการยืนยันแบบปกป้องความเป็นส่วนตัวว่า "อายุเกิน 18 ปี"
    วิธีนี้มีเป้าหมายเพื่อป้องกันไม่ให้ผู้เยาว์เข้าถึงสื่อลามก แต่สำหรับคนที่มีความรู้เทคนิคบ้าง มันแทบไม่ใช่อุปสรรค
    เช่น ถ้ารู้นิดหน่อยก็ใช้ VPN หรือ torrent เพื่อหลบเลี่ยงได้สบาย
    เว้นแต่ว่าแม้แต่ BitTorrent ก็ต้องยืนยันอายุด้วย ซึ่งในทางปฏิบัติคงบังคับได้ยาก

    • เอาจริงแล้วทุกวันนี้แค่ใช้เบราว์เซอร์ (เช่น Opera GX) กับ VPN ก็หลบได้ง่ายเป็นส่วนใหญ่
      มันเป็นวิธีที่พบได้ทั่วไปถึงขั้นเห็นในโฆษณา YouTube บ่อยๆ จนอาจไม่ถึงกับถือว่าเป็นเรื่องของคน "tech-savvy" ด้วยซ้ำ

    • ฉันมองว่าโซเชียลมีเดียเป็นปัญหาใหญ่กว่าสื่อลามกเสียอีก
      บางทีปิดแพลตฟอร์มโซเชียลทั้งหมดแล้วคงไว้แค่สื่อลามกอาจยังดีกว่า
      แน่นอนว่าการเห็นอะไรแบบนั้นตั้งแต่เด็กอาจก่อปัญหาได้ แต่เมื่อดูจากอัตราการเกิดที่ต่ำทั่วโลกแล้ว ก็ชวนให้คิดว่าผู้คนแทบไม่อยากมีลูกกันอยู่แล้ว จนไม่รู้จะกังวลไปทำไมอีก
      ช่วงนี้ฉันคงมองโลกในแง่ร้ายเกินไป

    • ฉันมองว่าทางออกที่รากฐานจริงๆ คือทำให้ผู้เยาว์อยู่ห่างจากอินเทอร์เน็ตไปเลย
      ถ้านักเรียนอายุต่ำกว่า 18 ปีอยู่บนออนไลน์โดยไม่มีการกำกับดูแลจากผู้ใหญ่ที่เหมาะสม ก็แปลว่าสังคมทั้งหมดทำหน้าที่ล้มเหลวไปแล้ว
      แม้เรือจะออกจากฝั่งไปแล้วเพราะงานโรงเรียนจำนวนมากย้ายไปอยู่บนออนไลน์ แต่สักวันหนึ่งก็ควรลองเริ่มกันใหม่จากศูนย์
      สิ่งที่อันตรายพอๆ กับสื่อลามกก็คือคนอื่น และการเสพติดทุกรูปแบบ
      ถ้าไม่แก้ปัญหาที่ต้นตอแล้วไปเปลี่ยนแค่ระบบ ตัวปัญหาสาระสำคัญก็ไม่เปลี่ยน
      แก้ไขเพิ่มเติม: ฉันไม่ชอบตั้งแต่การทำให้อินเทอร์เน็ตกลายเป็นสิ่งจำเป็นสำหรับงานโรงเรียนแล้ว
      การจะอนุญาตให้เด็กใช้อินเทอร์เน็ตหรือไม่ควรเป็นอำนาจของผู้ปกครอง และฉันคัดค้านทั้งการยืนยันอายุทางเทคนิคและนโยบายบล็อกเนื้อหาแบบครอบจักรวาล
      พ่อแม่ควรชี้นำลูกอย่างมีสติปัญญา

  • ฉันอยากถามเพื่อนๆ ใน EU
    ทำไมถึงยอมให้ Big Tech สหรัฐอย่าง Google ครอบงำ?
    ฉันคิดว่ายุโรปมีศักยภาพพอจะทำเองได้
    ทำได้โดยไม่ต้องพึ่ง Google สิ่งสำคัญคือแผนที่ชัดเจนและเจตจำนงในการลงมือทำ

    • Big Tech สหรัฐเพียงแค่เสนอทางออกที่ "ฟรี" EU ก็รับกันง่ายๆ แล้วสุดท้ายก็ยอมตามทุกเงื่อนไข
      จากนั้นก็ทำท่าตกใจภายหลังราวกับเป็นเรื่องเหนือความคาดหมาย ซึ่งเกิดซ้ำแล้วซ้ำอีก

    • สาเหตุมาจากการขาดแคลนทุนและความกลัวต่ออนาคต
      เมื่อ Google เสนอจะลงทุนหลายร้อยล้านยูโรเพื่อสร้างดาต้าเซ็นเตอร์ เหตุผลเรื่องงานและการกระตุ้นเศรษฐกิจท้องถิ่นก็จะถูกหยิบขึ้นมา
      ถ้าความสัมพันธ์กับ Google ดี โครงการลักษณะนี้ก็จะเกิดขึ้นต่อเนื่อง แต่ถ้าปฏิเสธ Big Tech ก็อาจย้ายเงินลงทุนไปที่อื่น
      ช่วงนี้แม้เสียงเรียกร้องให้สร้างเทคโนโลยีสัญชาติยุโรปเองจะดังขึ้นเรื่อยๆ แต่ก็ยากมากที่จะดึงเงินลงทุนมาสู้กับความได้เปรียบด้านราคาของ Big Tech
      การให้รัฐลงทุนโดยตรงก็ไม่ค่อยเป็นที่นิยม และในมุมบริษัทเอกชนเอง หากไม่มีสัญญาความต้องการที่แน่นอนก็ไม่มีแรงจูงใจมากพอจะลงทุน
      สุดท้าย Big Tech ระดับโลกทำได้ทั้งเร็วและถูกที่สุด และหากวันหนึ่งซัพพลายเชนขาดสะบั้น ความเสี่ยงก็จะแผ่ไปทั่วยุโรป
      ถ้า EU กีดกัน Big Tech สหรัฐออกทั้งหมด ก็อาจกระตุ้นให้เกิดสงครามการค้าตอบโต้จากสหรัฐได้ด้วย

    • ฉันไม่เห็นด้วยกับคำกล่าวที่ว่า "EU มีศักยภาพพอจะจัดการเองได้"
      ซอฟต์แวร์จาก EU ที่ฉันเคยใช้จริงส่วนใหญ่คุณภาพต่ำ และแม้แต่ตัวที่พอใช้ได้ สุดท้ายก็มักถูกบริษัทอเมริกันซื้อกิจการอยู่ดี

    • สุดท้ายแล้วสิ่งสำคัญก็คือ "เงิน"
      วิธีการระดมและใช้เงินภายในยุโรปนั้นต่างจากสหรัฐ

    • การเมืองลงท้ายก็เป็นสิ่งที่คอร์รัปชันได้ง่ายอยู่ดี

  • ก่อนหน้านี้ก็เคยมีกรณีที่รัฐบาลแบนอุปกรณ์ Android ที่ไม่เป็นทางการของ Google มาแล้ว
    สามารถอ่านสรุปการบล็อกบน GrapheneOS

  • นี่กำลังกลายเป็นความจริงแบบเกมที่ไม่มีผู้ชนะมากขึ้นเรื่อยๆ ในทางเทคนิค
    ฉันใช้ GrapheneOS ทุกวันและพอใจมากจนรู้สึกว่ามันควรเป็นค่าพื้นฐานเสียด้วยซ้ำ
    มีอยู่แอปหนึ่งที่ใช้ข้อจำกัดคล้ายกันจนรันไม่ได้เลย ฉันจึงต้องมีเครื่อง Android แบบสต็อกแยกไว้อีกเครื่องสำหรับแอปนั้นโดยเฉพาะ
    แม้จะไม่สะดวก แต่ก็รู้สึกว่าคุ้มค่า
    ถึงอย่างนั้นก็ยังดีที่กระแสแบบนี้ยังไม่ได้แพร่รอบตัวฉันอย่างรวดเร็ว แต่ฉันก็ไม่ชอบทิศทางของมัน

    • ทางเลือกเดียวที่จะชนะในสถานการณ์นี้ได้คือไม่เล่นเกมนี้ตั้งแต่แรก
      สมาร์ตโฟนยังจำเป็นก็จริง แต่การทำคอมพิวติ้งในชีวิตประจำวันควรทำบนคอมพิวเตอร์แยกต่างหาก

    • นี่ไม่ใช่ปัญหาทางเทคนิค แต่เป็นปัญหาด้านกฎระเบียบ
      EU ต้องการควบคุมอินเทอร์เน็ตมากขึ้น และตอนนี้ใช้ข้ออ้างว่า "เพื่อเด็กๆ" แต่ต่อไปอาจลามไปถึงการบังคับใช้ชื่อจริง การตรวจแชต ฯลฯ
      กลุ่มที่ผลักดันกฎแบบนี้ต้องถูกหยุดให้ได้

  • แม้ขั้นตอนการใช้งานแบบใหม่นี้จะไม่สะดวกในตัวมันเองอยู่แล้ว แต่สิ่งที่น่ารำคาญยิ่งกว่าคือการที่บริษัทเอกชนไม่ว่าจะจากสหรัฐหรือจีนเป็นผู้ถือบัตรผ่านเข้าอินเทอร์เน็ต
    ใครกันที่อยากได้อินเทอร์เน็ตแบบนี้?

    • สุดท้ายแล้วคนที่อยากได้อินเทอร์เน็ตแบบนี้ก็คือพวกคนรวยที่หวาดกลัวและเหล่าข้าราชการ

  • ต่อให้ไม่พูดถึงประเด็นเชิงอุดมการณ์ ฉันก็อยากถามว่าวิธีนี้จำเป็นจริงในเชิงเทคนิคหรือไม่
    ตัวอย่างเช่น ถ้าไม่มีการยืนยันแบบนี้ ก็อาจแก้ซอร์สโค้ดหรือไบนารีแล้วโกหกได้ตลอดว่า "ฉันอายุเกิน 18"
    ถ้าอย่างนั้นก็อยากรู้ว่ามีวิธีทางเทคนิคที่ชัดเจนในการป้องกันเรื่องนี้โดยไม่ต้องผ่าน Google หรือไม่

    • ใช่
      กระบวนการทั้งหมดนี้ตั้งอยู่บนสมมติฐานว่าใช้ EU Wallet (Project) เป็นฐาน
      EU Wallet รองรับการยืนยันแบบเลือกเฉพาะคุณลักษณะตามมาตรฐาน OpenID (oidc4vci, oidc4vp)
      ตัวอย่างเช่น สามารถเก็บคุณลักษณะที่ออกโดยรัฐบาลไว้ในกระเป๋าในรูปของลายเซ็นอิเล็กทรอนิกส์
      ปัญหาคือข้อมูลนี้อาจถูกคัดลอกหรือขายต่อได้ ทำให้ถ้าเก็บไว้เฉยๆ ก็สามารถหลบเลี่ยงการยืนยันได้
      ดังนั้นตอนออกคุณลักษณะนั้น (credential) จึงต้องผูกกับอุปกรณ์เฉพาะและยืนยันคู่กุญแจสาธารณะ/กุญแจส่วนตัว แล้วให้ RP ตรวจเพิ่มได้ว่าคำขอมาจากอุปกรณ์จริงหรือไม่
      สุดท้ายในขั้นตอนนี้จึงต้องมี "secure storage" หรือฮาร์ดแวร์อย่าง Secure Enclave
      หากเป็นสภาพแวดล้อมที่ไม่ปลอดภัยอย่างเครื่องที่รูตแล้ว หรือสามารถดึงกุญแจส่วนตัวออกมาได้ ก็จะคัดลอกข้ามอุปกรณ์ได้และเจตนารมณ์ทั้งหมดก็หมดความหมาย
      เช่น เพื่อนที่อายุเกิน 18 ปีสามารถรับการยืนยันแล้วแชร์ต่อให้คนอื่นได้

    • โดยพื้นฐานแล้วระดับความต้องการคือการล็อกอินเข้าเว็บไซต์และพิสูจน์ว่าตนมีเอกสารยืนยันตัวตนส่วนบุคคลอยู่ ซึ่งอาจต้องใช้ฮาร์ดแวร์โทเคน/ไบโอเมตริก (เช่น FIDO, passkey เป็นต้น)
      ประเด็นน่าจะอยู่ที่การแยกแยะโทเคนจริง/เสมือนและการป้องกันการจำลอง
      ตรงนี้การตรวจสอบความน่าเชื่อถือของฮาร์ดแวร์ เช่น Secure Boot อาจเข้ามาเกี่ยวข้อง

    • หากต้องการป้องกันการหลบเลี่ยงการยืนยัน สถานะการบูต OS และฮาร์ดแวร์ต้องผ่านการยืนยันภายใต้ production signing chain ที่ EU ลงทะเบียนไว้
      หากผู้ใช้ลงทะเบียน signing key ของตัวเอง หรือปรับแต่งด้วยอิมเมจ OS ที่ใช้ secure boot แต่ไม่ตรงตามสายการยืนยัน ก็จะไม่สามารถยืนยันได้
      หลักการนี้คล้ายกับบน macOS ที่หากปิดตัวเลือกด้านความปลอดภัยก็จะเข้าถึง Apple Wallet ไม่ได้
      โดยแก่นแท้แล้วไม่อาจห้ามผู้ใช้ปรับแต่งได้ตามใจ แต่ถ้าทำเช่นนั้นก็จะหลุดออกจากสายการยืนยันอย่างเป็นทางการ
      ปัญหาคือระบบนี้ถูกทำให้เป็นเชิงพาณิชย์จนตัวอย่างการใช้งานฮาร์ดแวร์-OS ในทางปฏิบัติมีแค่ Google กับ Apple
      ท้ายที่สุด EU อาจเปิดสายการยืนยันของตนให้กว้างขึ้นเสมอ โดยกำหนดให้หากมีการใช้ช่องโหว่ด้านความปลอดภัยในทางที่ผิดหรือมีการร้องเรียนเข้ามา ก็ต้องรับผิดชอบทางกฎหมาย
      ในอนาคตอาจมีกรณีอย่าง Steam Linux ที่ลงทะเบียนสายนี้กับ EU เพื่อการยืนยันความปลอดภัยอย่าง VAC เป็นต้น
      กล่าวโดยสรุปคือผู้ผลิต/แพลตฟอร์มต้องสามารถแสดงความน่าเชื่อถือต่อ EU ได้อย่างมีความรับผิดชอบ และในอนาคตก็มีความเป็นไปได้ที่จะยอมรับ OS และ chain ที่หลากหลายมากขึ้น

  • การถกเถียงยาวๆ ที่เกี่ยวข้องสามารถดูได้ที่ประเด็น GitHub นี้
    แนวทางที่ทำให้ต้องขึ้นต่อ Google แบบนี้ถูกมองว่าเป็นการบ่อนทำลายหลักการสำคัญของตลาด EU