Ứng dụng xác minh độ tuổi của EU thúc đẩy chặn toàn bộ hệ thống Android chưa được Google chứng nhận

......Vậy thì tại sao lại dùng Android?

Bên đó cũng chỉ đông người thôi chứ làm việc thì ở đâu cũng như nhau cả haha

Tôi không hiểu làm sao xác minh độ tuổi và bảo vệ quyền riêng tư có thể đi cùng nhau được..

Ngay khoảnh khắc thực hiện xác minh thì chẳng phải ít nhất một lần tôi cũng đã để lại chữ ký của mình ở đó rồi sao?

Nếu thật sự muốn bảo vệ quyền riêng tư thì phải có thể dùng ẩn danh chứ

Trong khi đó, Pass:

Ý kiến trên Hacker News

• Với Android, “chính hãng” có nghĩa là hệ điều hành được Google cấp phép, ứng dụng tải từ Play Store (cần tài khoản Google), và thiết bị vượt qua kiểm tra bảo mật
  Tôi thừa nhận việc xác minh bảo mật thiết bị theo cách này có giá trị nhất định, nhưng đổi lại ứng dụng bị phụ thuộc rất mạnh vào các dịch vụ riêng của Google
  Các kiểm tra bảo mật như vậy không thể vượt qua trên các bản Android không chính thức, nên điều này đang bị nêu là vấn đề trong dự án ví danh tính số của châu Âu
  Vấn đề GitHub liên quan
  Tôi thực sự muốn phản đối quyết liệt kế hoạch này
  Nếu tăng mức độ phụ thuộc vào Big Tech Mỹ trong quy trình xác minh độ tuổi, thì châu Âu sẽ nhượng thêm chủ quyền CNTT cho Mỹ, điều đó là cực kỳ không mong muốn
  Xét tình hình chính trị gần đây, tôi nghĩ mức độ nguy hiểm và tính không mong muốn của rủi ro này đã quá hiển nhiên, không cần phải giải thích thêm
  Là người có liên quan trực tiếp, tôi cũng cảm thấy mối lo này là hợp lý
  Một bình luận khác trong issue GitHub đó cũng bàn về khả năng việc ép dùng dịch vụ Google có thể vi phạm tính độc lập pháp lý và các luật về quyền riêng tư ở một số quốc gia thành viên EU

  • “Kiểm tra bảo mật thiết bị” theo tôi là yếu tố đáng sợ nhất
    Thực chất nó có nghĩa là “phần cứng và phần mềm được phê duyệt chính thức”, và đó là con đường tắt dẫn tới thế giới phản địa đàng mà Stallman đã cảnh báo trong "Right to Read"
    Tôi thấy khá mỉa mai khi EU lại dựa vào Big Tech Mỹ để tự củng cố chủ nghĩa độc tài số của chính mình
    Có vẻ khái niệm tự do kiểu Mỹ cổ điển (tự do nổi loạn) không được ưa chuộng đến vậy ở EU hay Anh

  • Không nhất thiết phải vì bối cảnh chính trị, bản thân chính sách này về gốc rễ đã rất đáng lo
    Sự do thám thông tin của nhà nước luôn nguy hiểm hơn, và đôi khi dùng hệ điều hành không phải bản địa còn có thể có lợi hơn về quyền riêng tư
    Tuy nhiên, vẫn cần cẩn trọng khi chạy mã độc quyền

  • Tôi muốn chỉ ra rằng dù nhiều người lo về môi trường chính trị ở Mỹ, tình hình tại Anh cũng không hề khiến người ta yên tâm, khi có bài báo nói về một số tổ chức cảnh sát ở Anh giám sát những người chỉ trích vấn đề nhập cư trên mạng

• Liên minh châu Âu lúc nào cũng hô hào đổi mới để giảm phụ thuộc vào doanh nghiệp Mỹ, nhưng trên thực tế lại thường xuyên đổi giọng, rồi sau một thời gian thì lặng lẽ quên luôn, cứ lặp lại vòng luẩn quẩn đó
  Các nước châu Âu riêng lẻ thì mạnh, nhưng đôi khi tôi có cảm giác EU chỉ ồn ào mà không hiệu quả

  • Về mặt cấu trúc, EU không phải một quốc gia đơn nhất mà là một tổ chức siêu quốc gia về kinh tế
    Pháp/Đức thường nhấn mạnh quyền tự chủ chiến lược, nhưng Ba Lan/Séc/các nước Baltic lại kém thiện cảm hơn với hướng đi này
    Giống như các cuộc tranh luận gần đây về tự host, đây là vấn đề phải tìm điểm cân bằng giữa tự chủ và hiệu quả

  • 95% người châu Âu đã dùng hệ điều hành Mỹ rồi, không thể bắt họ chờ 20 năm đến lúc EurOS được phát hành chỉ để xác minh độ tuổi

  • Lý do chính khiến định hướng chính sách của EU cứ dao động là vì đằng sau đó thực ra có xung đột lợi ích công nghiệp giữa các nước như Pháp, Đức, Ireland, Séc...
    Việc hô hào “công nghệ tự chủ trong EU” gần như lúc nào cũng chỉ đến từ các nhà hoạch định chính sách/doanh nghiệp Pháp, còn Đức, Hà Lan và Đông Âu thì không như vậy
    Lợi ích quốc gia riêng lẻ vẫn được ưu tiên hơn EU, và đầu tư trực tiếp nước ngoài từ Big Tech Mỹ hiện đã cực kỳ lớn trong nền kinh tế của nhiều nước thành viên
    Đã từng có tiền lệ trong thập niên 1980–90 khi các hãng xe Nhật, Hàn cũng chọn hợp tác bằng cách điều chỉnh lợi ích theo thị trường Mỹ

  • EU giống như một kiểu “chihuahua ồn ào nhưng vô hại”
    Họ thông qua các đạo luật mang tính độc đoán, còn chính trị gia cấp quốc gia thì nói rằng không còn cách nào khác, nhưng vẫn tranh thủ hưởng lợi từ việc kiểm soát Internet
    Rốt cuộc người dân bình thường hầu như chẳng được lợi gì

• Cuộc chiến vì tự do Internet đang tăng tốc
  Nếu không có sự phản kháng thực chất đối với các dự luật phản địa đàng, dòng chảy tự do thông tin sẽ dần bị đẩy thành ngoại lệ
  Đây không phải khả năng của tương lai, mà là thực tế đang diễn ra trên toàn thế giới ngay lúc này

  • Một người bạn nói rằng giờ họ không thể xem các bài đăng trên X (trước đây là Twitter) về biểu tình ở nước mình
    Những bài đăng đó bị phân loại là nội dung “người lớn”, nên giờ không thể xem nếu không xác minh bằng giấy tờ tùy thân
    Đó còn không phải nội dung khiêu dâm thực sự, mà là video biểu tình
    Thật sự là, chuyện này đã và đang xảy ra ngay hôm nay

  • Lúc nào cũng bắt đầu bằng câu “phải nghĩ cho trẻ em”, nhưng đó chỉ là khởi đầu
    Thời hoàng kim, thời kỳ hoang dã của Internet đã qua rồi
    Từ nay trở đi, ngay cả việc có thể bảo vệ quyền riêng tư và tự do biểu đạt hay không cũng còn chưa chắc chắn

• Nếu muốn biết cụ thể, hãy xem tài liệu kỹ thuật chính thức và hình minh họa luồng người dùng
  Luồng sử dụng cốt lõi có thể tóm tắt là xác nhận “trên 18 tuổi” theo cách bảo vệ quyền riêng tư
  Cách này nhằm ngăn trẻ vị thành niên truy cập nội dung khiêu dâm, nhưng với người có chút hiểu biết kỹ thuật thì khó mà trở thành rào cản thực sự
  Ví dụ chỉ cần biết chút ít là có thể dùng VPN hoặc torrent để lách qua
  Trừ khi BitTorrent cũng bắt buộc xác minh 18+, còn không thì trên thực tế rất khó ngăn chặn

  • Thực ra giờ chỉ cần trình duyệt như Opera GX và VPN là phần lớn có thể vượt qua dễ dàng
    Đây là cách phổ biến đến mức xuất hiện đầy trong quảng cáo YouTube, nên có khi còn chẳng thể gọi là mức “rành công nghệ” nữa

  • Tôi cho rằng mạng xã hội còn là vấn đề lớn hơn cả nội dung khiêu dâm
    Có khi đóng hết các nền tảng mạng xã hội và chỉ để lại nội dung khiêu dâm còn tốt hơn
    Dĩ nhiên xem những thứ đó từ nhỏ có thể gây vấn đề, nhưng nhìn tỷ lệ sinh đang thấp trên toàn thế giới, đôi lúc tôi lại nghĩ mọi người vốn cũng chẳng còn mặn mà chuyện sinh con, nên giờ thậm chí cũng chẳng còn gì để lo
    Có lẽ dạo này tôi trở nên quá hoài nghi

  • Tôi nghĩ giải pháp gốc rễ là giữ trẻ vị thành niên tránh xa Internet ngay từ đầu
    Nếu học sinh dưới 18 tuổi hiện diện trực tuyến mà không có sự giám sát đúng nghĩa của người lớn, thì toàn xã hội đã thất bại trong trách nhiệm của mình
    Dù con thuyền này đã rời bến vì bài tập ở trường ngày càng xoay quanh môi trường trực tuyến, một ngày nào đó vẫn nên thử quay lại từ đầu
    Thứ nguy hiểm như nội dung khiêu dâm rốt cuộc vẫn là những con người khác, và các loại nghiện ngập
    Nếu không giải quyết vấn đề gốc mà chỉ thay đổi thể chế thì bản chất cũng không đổi
    Chỉnh sửa bổ sung: tôi vốn cũng không thích việc bài tập ở trường mặc định bắt buộc phải dùng Internet
    Việc có cho trẻ dùng Internet hay không phải là quyền của cha mẹ, và tôi phản đối xác minh độ tuổi bằng kỹ thuật hay các chính sách chặn nội dung trên diện rộng
    Cha mẹ cần hướng dẫn con cái một cách khôn ngoan

• Tôi muốn hỏi những người bạn ở EU
  Tại sao lại để mình bị Big Tech Mỹ như Google thao túng?
  Tôi nghĩ châu Âu hoàn toàn có đủ năng lực để tự làm
  Làm mà không cần Google vẫn được, điều quan trọng là một kế hoạch rõ ràng và ý chí thực thi

  • Big Tech Mỹ chỉ cần đưa ra giải pháp “miễn phí” là EU cũng dễ dàng chấp nhận, rồi cuối cùng lại thuận theo mọi điều kiện
    Đến sau đó lại lặp lại cảnh muộn màng bàng hoàng như thể đó là điều hiển nhiên

  • Nguyên nhân là thiếu vốn và nỗi sợ về tương lai
    Khi Google nói sẽ đầu tư hàng trăm triệu euro để xây trung tâm dữ liệu, lập luận về việc làm và kích thích kinh tế địa phương sẽ xuất hiện
    Nếu quan hệ với Google tốt thì những dự án thu hút như thế sẽ tiếp tục đến, còn nếu từ chối thì Big Tech có thể chuyển đầu tư sang nơi khác
    Dù gần đây tiếng nói kêu gọi tự xây công nghệ châu Âu ngày càng lớn, việc thu hút đầu tư để cạnh tranh được với mức giá của Big Tech là cực kỳ khó
    Đầu tư trực tiếp từ nhà nước thì không được ưa chuộng, còn với doanh nghiệp tư nhân cũng thiếu động lực đầu tư nếu không có hợp đồng nhu cầu chắc chắn
    Rốt cuộc Big Tech toàn cầu vẫn là bên làm nhanh nhất và rẻ nhất, còn nếu chuỗi cung ứng bị gián đoạn thì rủi ro đó sẽ lan ra toàn châu Âu
    Nếu EU loại trừ hoàn toàn Big Tech Mỹ, điều đó còn có thể châm ngòi cho một cuộc chiến thương mại trả đũa từ phía Mỹ

  • Tôi không đồng ý với luận điểm rằng “EU có đủ năng lực để tự giải quyết”
    Phần lớn phần mềm do EU sản xuất mà tôi từng dùng đều có chất lượng thấp, và ngay cả những phần mềm tạm ổn rồi cũng rốt cuộc bị doanh nghiệp Mỹ thâu tóm

  • Cuối cùng điều quan trọng vẫn là “tiền”
    Trong nội bộ châu Âu, cách gom và sử dụng số tiền đó khác với Mỹ

  • Chính trị thì cuối cùng rất dễ bị tha hóa

• Trước đây cũng đã có tiền lệ chính phủ cấm các thiết bị Android không chính thức của Google
  Trên GrapheneOS có thể đọc tổng hợp về các trường hợp chặn

• Thực tế này đang ngày càng trở thành một trò chơi kỹ thuật mà không ai thắng
  Tôi dùng GrapheneOS hằng ngày và thấy nó tốt đến mức đáng lẽ phải là mặc định
  Có một ứng dụng áp dụng hạn chế tương tự nên không thể chạy được, và tôi phải dùng thêm một thiết bị Android gốc chỉ dành riêng cho ứng dụng đó
  Dù bất tiện, tôi vẫn thấy như vậy là xứng đáng
  Tuy vậy, tôi cũng mừng vì xu hướng này chưa lan quá nhanh quanh mình, nhưng bản thân xu hướng đó thì tôi không thích chút nào

  • Lựa chọn duy nhất để thắng trong tình huống này là đừng chơi trò chơi đó nữa
    Điện thoại thông minh thì vẫn cần, nhưng việc tính toán hằng ngày nên làm trên một máy tính riêng biệt

  • Đây không phải vấn đề kỹ thuật mà thực chất là vấn đề quy định
    EU muốn kiểm soát Internet nhiều hơn, và hiện tại cái cớ là “vì trẻ em”, nhưng sớm muộn có thể dẫn tới chế độ tên thật, quét nội dung chat, v.v.
    Những lực lượng thúc đẩy kiểu quy định này nhất định phải bị ngăn chặn

• Bản thân luồng sử dụng mới đã bất tiện, nhưng việc doanh nghiệp tư nhân, dù là Mỹ hay Trung Quốc, nắm vé vào cửa Internet còn khiến tôi khó chịu hơn
  Ai lại muốn một Internet như thế này chứ?

  • Rốt cuộc những người muốn kiểu Internet này chính là giới giàu có sợ hãi và tầng lớp quan liêu

• Bỏ qua vấn đề ý thức hệ, tôi muốn hỏi liệu cách này có thực sự cần thiết về mặt kỹ thuật không
  Ví dụ, nếu không làm xác minh kiểu này thì chỉ cần sửa mã nguồn hay binary là có thể luôn khai “tôi trên 18 tuổi”
  Nếu vậy, tôi muốn biết có phương pháp kỹ thuật rõ ràng nào để ngăn điều này mà không cần đi qua Google hay không

  • Đúng vậy
    Toàn bộ luồng này thực ra dựa trên giả định nền tảng là EU Wallet (Project)
    EU Wallet dựa trên các tiêu chuẩn OpenID (oidc4vci, oidc4vp) và hỗ trợ xác minh chọn lọc theo từng thuộc tính
    Ví dụ, các thuộc tính do chính phủ cấp có thể được lưu vào ví dưới dạng chữ ký điện tử
    Vấn đề là thông tin đó có thể bị sao chép hoặc trao đổi lại, nên chỉ lưu trữ đơn thuần thì vẫn có thể bị lách xác minh
    Vì vậy khi phát hành thuộc tính (credential), hệ thống sẽ ràng buộc nó với một thiết bị cụ thể bằng cách xác thực cặp khóa công khai/riêng tư, rồi từ đó RP sẽ kiểm tra thêm xem yêu cầu có thực sự đến từ thiết bị đó hay không
    Cuối cùng ở bước này sẽ cần một “kho lưu trữ an toàn”, tức phần cứng kiểu Secure Enclave
    Nếu là môi trường không được bảo vệ như máy đã root, hoặc thậm chí có thể trích xuất private key, thì việc sao chép giữa các thiết bị là hoàn toàn khả thi và mục đích của hệ thống sẽ trở nên vô nghĩa
    Ví dụ một người bạn trên 18 tuổi có thể xác minh rồi chia sẻ lại cho người khác

  • Về thực chất, mức cần thiết gần như chỉ là đăng nhập vào website và chứng minh mình có giấy tờ tùy thân cá nhân, nhưng ở đây có thể còn đòi hỏi hardware token/xác thực sinh trắc học (ví dụ: FIDO, passkey, v.v.)
    Có vẻ vấn đề nằm ở chỗ phân biệt token thật/ảo và ngăn việc mô phỏng
    Ở đây những cơ chế như Secure Boot để xác minh độ tin cậy phần cứng có thể sẽ tham gia

  • Để ngăn việc lách xác minh, trạng thái khởi động, OS và phần cứng phải được chứng thực bằng chuỗi chữ ký production đã đăng ký với EU
    Nếu người dùng tự đăng ký signing key riêng hoặc tùy biến bằng image OS secure boot của riêng mình thì xác minh khởi động sẽ không khớp và sẽ không thể xác thực
    Điều này tương tự nguyên lý trên macOS, nơi nếu tắt các tùy chọn bảo mật thì không thể truy cập Apple Wallet
    Về bản chất không thể ngăn người dùng tự do tùy biến hoàn toàn, nhưng khi đó họ sẽ bị loại khỏi chuỗi xác thực chính thức
    Vấn đề là hiện tại chỉ có Google và Apple là đã thương mại hóa hệ thống này và có các trường hợp áp dụng phần cứng-OS tương ứng
    Rốt cuộc EU sẽ phải luôn giữ chuỗi xác thực riêng của mình mở đủ rộng, đồng thời nếu có lỗ hổng bảo mật bị khai thác hoặc có báo cáo vi phạm thì các bên liên quan sẽ phải chịu trách nhiệm pháp lý
    Trong tương lai, Steam Linux chẳng hạn cũng có thể đăng ký chuỗi này với EU để phục vụ chứng thực bảo mật như VAC
    Cuối cùng nhà sản xuất/nền tảng phải có ý thức trách nhiệm và có thể thuyết phục EU về độ tin cậy của mình, và trong tương lai vẫn có khả năng nhiều OS và chuỗi xác thực đa dạng hơn sẽ được chấp nhận

• Có thể xem cuộc thảo luận dài liên quan tại issue GitHub này
  Tôi cho rằng cách làm phụ thuộc vào Google như vậy làm tổn hại đến các nguyên tắc cốt lõi của thị trường EU