- Ví ID kỹ thuật số của châu Âu dự kiến sẽ được dùng để truy cập dịch vụ công và xác minh độ tuổi trực tuyến, nhưng cấu trúc của chúng lại giao việc kiểm tra bảo mật cho các nền tảng tư nhân như Google Play Integrity API và Apple Managed Device Attestation
- Play Integrity xác minh liệu ứng dụng có đang chạy trên thiết bị Android được chứng nhận chính hãng hay không, đồng thời lấy việc dùng Android được Google cấp phép và cài đặt Play Store làm tiêu chí, qua đó làm gia tăng sự phụ thuộc vào hệ sinh thái Google
- Các nhà phát triển ví ở Hà Lan và Ý đã triển khai Play Integrity, khiến người dùng hệ điều hành de-Googled như e/OS và GrapheneOS có thể bị loại khỏi dịch vụ công
- Architecture Reference Framework của EU không bắt buộc dùng chứng thực của Google nhưng có khuyến nghị, trong khi Ý diễn giải điều này gần như là nghĩa vụ còn Thụy Sĩ thì loại bỏ vì lo ngại về bảo vệ dữ liệu, chủ quyền dữ liệu và quyền tự do lựa chọn
- Nếu ví ID là hạ tầng công, thì thay vì dựa vào chứng thực của Google và Apple, cần bắt buộc các cơ chế chứng thực dựa trên phần cứng mở
Cấu trúc ví ID kỹ thuật số dựa vào các dịch vụ chứng thực tư nhân
- Các chính phủ châu Âu đang triển khai ví ID kỹ thuật số để công dân có thể truy cập dịch vụ và xác minh độ tuổi trên mạng
- Các ví này phụ thuộc vào những dịch vụ bảo mật như Google Play Integrity API và Apple Managed Device Attestation
- Những dịch vụ bảo mật này được gọi là chứng thực từ xa (remote attestation), dùng để xác minh rằng ứng dụng ví đang chạy trên phần cứng chưa bị can thiệp
- Khi đưa dịch vụ bảo mật của doanh nghiệp tư nhân vào hạ tầng công, xã hội châu Âu sẽ trở nên phụ thuộc vào các công ty như Google và Apple, và cấu trúc này có thể nghiêng về lợi ích của các doanh nghiệp đó
Sự kiểm soát lấy Google làm trung tâm do Play Integrity API tạo ra
- Google Play Integrity API là phần mềm do Google cung cấp miễn phí để nhà phát triển xác minh tính toàn vẹn của môi trường chạy ứng dụng
- Qua đó, nhà phát triển có thể kiểm tra liệu ứng dụng có đang chạy trên một “genuine certified Android device” hay không
- giảm lạm dụng bởi bot
- ngăn gian lận đối với ứng dụng ngân hàng
- ngăn gian lận trong ứng dụng trò chơi
- Vấn đề là API này cũng kiểm tra liệu thiết bị có đang chạy Android được Google cấp phép hay không, và coi các lựa chọn thay thế không được cấp phép là rủi ro bảo mật tiềm tàng
- Khi đánh giá việc ứng dụng có bị sửa đổi hay không, Google Play Store cũng trở thành tiêu chí
- kiểm tra xem ứng dụng có bị chỉnh sửa hay không
- kiểm tra xem ứng dụng có được cài qua Play Store hay không
- Kết quả là Play Integrity loại trừ các hệ điều hành không có giấy phép Google, đồng thời tạo ra cấu trúc thúc đẩy cài Play Store và đăng nhập tài khoản Google
- Thiết kế này xung đột với Digital Markets Act (DMA)
- Một phương án thay thế cởi mở hơn là Hardware Attestation API của Android, cung cấp xác minh bảo mật dựa trên phần cứng mà không ép buộc các chính sách hệ sinh thái của Google
Cách các triển khai của chính phủ củng cố cấu trúc độc quyền
- EU thường tuyên bố mục tiêu phá vỡ thế độc quyền của Big Tech, nhưng một số quốc gia thành viên lại đang tạo ra nguy cơ củng cố hệ sinh thái Google bằng cách đưa Google Play Integrity API vào kiến trúc ví ID kỹ thuật số
- Các nhà phát triển ví ở Hà Lan và Ý đã triển khai Play Integrity
- Theo cách này, người dùng hệ điều hành de-Googled như e/OS và GrapheneOS có thể bị loại khỏi quyền truy cập dịch vụ ví
- Khi chính phủ đưa dịch vụ bảo mật của Google vào ví, các cơ quan công quyền sẽ trở thành bên thực thi chính sách nền tảng của doanh nghiệp tư nhân
- Điều này tạo ra căng thẳng với mục tiêu của châu Âu là xây dựng hạ tầng công kỹ thuật số dựa trên các giá trị công như tính mở, tính bao trùm và chủ quyền công nghệ
- Quy định về ví ID của EU lấy khả năng tương tác làm mục tiêu cốt lõi, nhưng người dùng muốn dùng hệ điều hành không cài sẵn phần mềm Google, trình theo dõi của Google hay LLM tích hợp sẽ bị đặt vào tình huống phải chấp nhận phần mềm Google để dùng ví
Ví ID không phải là ứng dụng thông thường mà là hạ tầng công
- Ví ID là công cụ cốt lõi dùng để truy cập tài liệu chính phủ và quản lý đăng nhập vào dịch vụ công
- Vì vậy, đây là một thành phần quan trọng của hạ tầng công kỹ thuật số phải được cung cấp cho mọi người mà không phụ thuộc vào Google và Apple
- Các hệ điều hành de-Googled thay thế sẽ giảm mạnh sức hấp dẫn nếu không thể dùng các ứng dụng thiết yếu như ví định danh cho việc đăng nhập dịch vụ chính phủ
- Nghiên cứu của dự án Mobifree do EU hỗ trợ của Waag cũng củng cố vấn đề này
- trong 2 năm qua, dự án đã khảo sát hệ sinh thái phần mềm di động de-Googled mang lại giá trị gì cho nhiều nhóm người dùng cuối khác nhau
- trong số 120 người thử nghiệm, nhiều người xem khả năng tương thích với các ứng dụng dịch vụ thiết yếu như ứng dụng thanh toán và ứng dụng xác minh danh tính của chính phủ là điều kiện chính để chuyển sang hệ điều hành de-Googled
- Khi tối ưu khả năng tương tác, các nhà phát triển phía chính phủ cần cân nhắc sâu hơn tới cấp độ stack
- Play Integrity API xung đột với DMA, nên cũng mâu thuẫn với mục tiêu của ví ID là tăng cường chủ quyền châu Âu
Các cách tiếp cận chứng thực khác nhau giữa các quốc gia
- EU cung cấp Architecture Reference Framework, một khung kỹ thuật tổng quát cho kiến trúc ví
- Khung này không yêu cầu các chính phủ châu Âu phải dùng chứng thực của Google, nhưng có khuyến nghị
- Chính khuyến nghị này làm cho cách tiếp cận giữa các nước trở nên khác nhau
- một số nước không dùng chứng thực của Google
- một số nước triển khai theo cách cưỡng ép các chính sách hệ sinh thái của Google
- Ý diễn giải khuyến nghị dùng Play Integrity API gần như là nghĩa vụ bắt buộc
- Thụy Sĩ dựa vào cơ chế chứng thực của Android và loại Play Integrity do lo ngại về bảo vệ dữ liệu, chủ quyền dữ liệu và quyền tự do lựa chọn
- Hà Lan và Ý đang dùng Play Integrity vô điều kiện, đồng thời diễn giải rất nghiêm ngặt khuyến nghị sử dụng phần mềm chứng thực của Google và Apple
- Nếu châu Âu thực sự nghiêm túc theo đuổi quyền tự chủ số, thì Architecture Reference Framework cần loại bỏ hoàn toàn chứng thực của Google và Apple, đồng thời bắt buộc các cơ chế chứng thực dựa trên phần cứng mở
- Trường hợp Thụy Sĩ cho thấy việc dùng Google Play Integrity là không chính đáng và vẫn có thể có các giải pháp khác
Trách nhiệm giải trình công và các hướng phản hồi
- Vì ví kỹ thuật số là hạ tầng công, quá trình thiết kế cần có sự tham gia của công chúng và trách nhiệm giải trình
- Công dân và nhà phát triển đang nêu quan ngại trong các kho lưu trữ theo từng quốc gia
- trình theo dõi phát triển ví công khai của Đức: gitlab.opencode.de
- diễn đàn thảo luận công khai của Thụy Sĩ: github.com/orgs/swiyu-admin-ch
- Đây là các kênh chính đáng để nêu vấn đề, nhưng phạm vi tiếp cận của chúng bị giới hạn trong nhóm độc giả kỹ thuật tương đối hẹp
- Người dùng các hệ điều hành de-Googled thay thế có thể yêu cầu các nhà phát triển ứng dụng EUDI Wallet ở từng quốc gia phải độc lập với chứng thực của Google và Apple
- với ví của Hà Lan, có thể dùng trang liên hệ trên website EDI của Bộ Ngoại giao
- Công dân quan ngại có thể yêu cầu đại diện dân cử tách ví ID khỏi Google và Apple
- Các nhà báo có thể theo dõi tiến trình chính trị và thiết kế
- có thể xem các cập nhật phát triển và kho lưu trữ tại trang EUDI Wallet trên developer.overheid.nl
- có thể xem các cuộc họp và thông tin liên hệ trên website EDI của Bộ Ngoại giao Hà Lan
1 bình luận
Các ý kiến trên Hacker News
Bản triển khai tham chiếu ví của EU từng yêu cầu nghiêm ngặt Google Play services
https://github.com/eu-digital-identity-wallet/eudi-app-andro...
Vì vậy, ứng dụng IO của Ý https://github.com/pagopa/io-app cũng liên tục từ chối yêu cầu hỗ trợ GrapheneOS cho ví, tài liệu và tính năng xác minh độ tuổi, đồng thời yêu cầu Google
Có vẻ sẽ không có gì thay đổi cho đến khi các vụ kiện bắt đầu; hy vọng chỉ còn ở sự hợp tác Motorola/GrapheneOS và các tổ chức người tiêu dùng có thể khởi kiện về hành vi phản cạnh tranh
Cần lên tiếng trên mọi kênh có thể đối với các ứng dụng yêu cầu Play services. Sau này khi kiện tụng bắt đầu, những ghi nhận này sẽ giúp cho thấy sự ủng hộ của người dùng
Họ buộc mỗi công dân phải trả vài trăm euro cho những công ty đó, rồi các công ty ấy lại vận động chống lại quyền của chính công dân
Khi có vấn đề, công dân không nhận được bất kỳ hỗ trợ nào, và còn phải ký những hợp đồng cực kỳ bất cân xứng, trong đó công ty gần như không chịu trách nhiệm nhưng lại có quyền rất rộng để theo dõi đối phương theo cách hết sức rợn người
Như vậy mọi người mới có thể dùng hệ điều hành mình muốn trên phần cứng mình muốn
EU đã dự liệu rõ ràng rủi ro khi phụ thuộc hoàn toàn vào iOS và Android, và thiết kế khung EUDI Wallet để có thể hỗ trợ cả các hình thức vật lý khác
Ví dụ như thẻ thông minh kiểu thẻ căn cước quốc gia hiện nay, token phần cứng độc lập và khóa USB
Điều cần phản đối là chứng thực phần cứng, vốn về bản chất là thù địch với người dùng. Việc cho phép một bản phân phối Android phổ biến không có nhiều ý nghĩa trong bức tranh lớn
Ngay cả khi dựa vào API chứng thực phần cứng của Android thay vì Play Integrity, theo tiêu chuẩn của tôi thì đó vẫn là một cuộc tấn công vào quyền tự chủ số
Các tính năng bảo mật dựa vào chứng thực từ xa đối với toàn bộ nền tảng của người dùng cuối cùng trao cho chính phủ quyền quyết định hệ điều hành nào được chấp nhận, nên đó là sự lạm quyền của nhà nước
Việc quyền lực này bị lạm dụng để gây sức ép buộc các nhà phát triển hệ điều hành cài backdoor cho cơ quan tình báo chỉ là vấn đề thời gian, và bảo mọi người mang hai chiếc smartphone không phải là giải pháp
Xác minh độ tuổi số ẩn danh dựa trên ZKP phù hợp hoặc chữ ký mù không cần một hệ điều hành đa dụng; chỉ cần vài phép toán mật mã nguyên thủy và một tập khóa gắn với thiết bị là đủ
Không quá đáng nếu EU phát triển một token phần cứng chuyên dụng chỉ có các chức năng này và cung cấp miễn phí cho mọi công dân như một lựa chọn thay thế ứng dụng. Điều đó cũng bảo đảm quyền tự do không bị hạn chế nghiêm trọng khi truy cập dịch vụ số nếu không sở hữu smartphone
Tuy nhiên không được hạn chế khả năng chạy phần mềm tùy chỉnh trên điện thoại, và đặc biệt không được yêu cầu mọi người phải dùng điện thoại có chữ ký của Google/Apple
Ngay cả khi cài GrapheneOS lên Pixel, ứng dụng ngân hàng và chính phủ vẫn phải hoạt động; tôi tin có thể vừa bắt buộc bảo mật phần cứng vừa làm được điều này
Từ phía khách hàng, lợi thế tiềm năng là họ có thể tin rằng khóa của mình an toàn trong thiết bị, nhưng như vậy là lệch khỏi trọng tâm
Điều thực sự cần là một đặc tả mã nguồn mở định nghĩa giao thức chuẩn. Thiết bị chỉ cần biết yêu cầu đến từ một nguồn đáng tin cậy, chẳng hạn một yêu cầu được ký bằng khóa của chính phủ, rồi ký yêu cầu đó bằng khóa mà API chính phủ biết là đại diện cho người dùng
Tôi hình dung trong cổng thông tin chính phủ có thể thêm nhiều khóa công khai theo từng thiết bị, đồng thời chia sẻ khóa công khai của chính phủ dùng để xác minh yêu cầu. Dịch vụ cần xác minh danh tính sẽ yêu cầu khóa công khai của người dùng, nhận token thách thức từ API chính phủ rồi chuyển cho người dùng
Người dùng kiểm tra xem thách thức đó có được ký bằng khóa mà họ tin cậy hay không, ký rồi trả lại cho ứng dụng; ứng dụng gửi nó tới API chính phủ và chỉ được cấp quyền truy cập một phần thông tin được yêu cầu. Nếu ứng dụng chỉ cần tuổi, nó chỉ nhận thông tin đó
Triển khai trên điện thoại có thể muốn dùng chứng thực phần cứng để bảo vệ khóa, nhưng không có lý do gì phải bắt buộc. Một hệ thống khóa công khai được thiết kế tốt là đủ, và khi cần thì phải có thể dễ dàng hủy khóa rồi thêm khóa mới
Một hệ thống ID số của châu Âu mà lại phụ thuộc hoàn toàn vào hai công ty Mỹ
Chẳng phải mới đây thôi mọi người còn nói chủ quyền số của châu Âu là vấn đề cấp bách sao? Hay đó chỉ là mấy lời sáo rỗng để làm màu?
Nhưng trong nhiều trường hợp, không có phương án thay thế tự thân của châu Âu để có thể ủng hộ. Không có một công ty EU nào có thể thay thế dù chỉ một phần đáng kể của stack phần mềm mà Google và Apple cung cấp
Nếu môi trường pháp lý không thay đổi, có lẽ sau này cũng sẽ không có
Chỉ vì có thể có ai đó đang ở trên máy bay; thực tế thì người đó không hề ở đó, và “tội” thực chất duy nhất của anh ta chỉ là vạch trần những hành vi phi pháp về cơ bản là vi hiến của Mỹ, khiến Mỹ bẽ mặt
Các công tố viên Thụy Điển cũng vậy. Chỉ bằng một cú điện thoại, Mỹ đã nhận được một phát ngôn chính thức — không phải truy tố — nhưng đủ để tối hôm đó tiêu đề khắp thế giới đặt “Assange” cạnh “rape”
Các nước châu Âu nói chung đang hành xử như chó cưng của Mỹ, thật sự rất buồn. Vậy mà tổng thống Mỹ vẫn đâm sau lưng bằng cách đe dọa xâm lược và sáp nhập, hoặc hoàn toàn phớt lờ các nghĩa vụ cơ bản với thành viên NATO
Tôi không hiểu vì sao châu Âu cứ tiếp tục bị cuốn vào trò chơi ngu ngốc của Mỹ. Như đã thấy lặp đi lặp lại, thái độ như vậy không được đáp lại theo cùng cách
Nó đang hoạt động đúng như chủ ý. EU muốn buộc mọi người dùng các thiết bị và hệ điều hành có thể bị kiểm soát hoàn toàn
Nếu không tuân theo các quy định mới và vô lý, ứng dụng có thể bị cấm
Quy định tạo ra độc quyền. Ngay cả khi đó là quy định nhằm giảm sự kiểm soát của các tập đoàn lớn, các công ty nhỏ thường không kham nổi nên mất thị phần
Đây là nội dung thực sự được dạy trong các trường kinh doanh như một chiến lược lợi thế cạnh tranh. Bề ngoài, các công ty vận động chính phủ ban hành những luật có vẻ gây hại cho chính họ, nhưng thực tế là họ nâng chi phí triển khai lên để tạo một sân chơi nghiêng và giành lấy thị phần
Không phải mọi quy định đều phá vỡ độc quyền, nhưng quy định cũng là công cụ duy nhất có thể phá vỡ độc quyền
Người ta biết rằng mọi thị trường “tự do” đều có xu hướng đi tới độc quyền vì quy luật 1%. Thị trường tự do hoàn hảo chỉ tồn tại trong trừu tượng chứ không có trong thực tế, nên để bảo đảm một thị trường tự do thực sự thì cần có quy định
Trong một số trường hợp, thị trường tự do là lời giải sai và cần một độc quyền được quản lý; tôi cho rằng lĩnh vực định danh chính là như vậy. Vì định danh là thứ duy nhất đối với từng cá nhân
Về lý thuyết, mỗi cá nhân chỉ nên có một định danh, và trừ những trường hợp cực kỳ ngoại lệ, được ghi chép đầy đủ, định danh đó không thay đổi
Nhà nước phải có cách tốt để cung cấp định danh; nếu một nước nhỏ thiếu nguồn lực thì nước lớn nên cung cấp cho tất cả. Điều này làm giảm sự không tương thích giữa các quốc gia và loại bỏ lợi ích tư nhân
Nhà nước phải có độc quyền duy nhất trong việc chứng minh định danh của ai đó. Vì đây là chủ thể duy nhất không chịu ảnh hưởng của điều kiện thị trường
Các nước đi trước trong chủ đề này thực tế đang vận hành như vậy. Nếu từng quốc gia không thể đi tới một giải pháp chung thì tập thể phải làm
Ở đây, tập thể đã thất bại. Vì họ không bắt buộc một giải pháp cấp châu Âu mà lại khuyến nghị các giải pháp tư nhân
Khu vực tư nhân có mục tiêu theo đuổi lợi nhuận, nên không được chỉ đạo định danh được chứng minh bằng gì và như thế nào. Nhà nước phải đánh giá giải pháp, nhưng việc vận hành và triển khai phải là phần việc của nhà nước
Có nhiều lĩnh vực mà giải pháp thị trường là tốt, nhưng đây không phải một trong số đó
Ví dụ MMTIS (thông tin hành khách đa phương thức) nêu rõ mục tiêu là đổi mới và người chơi mới. Cũng còn những ví dụ tương tự khác
Chi phí của quy định đang nói tới cũng quan trọng. Để tòa nhà không sập, thức ăn không độc, thuốc không trở thành trò roulette Nga về dược lý, quy định là tuyệt đối cần thiết trong rất nhiều lĩnh vực
Vì vậy mục tiêu nên là tối ưu hóa hiệu quả so với chi phí của quy định
Nhưng nó khác với tuyên bố bao quát rằng “quy định tạo ra độc quyền”
Nếu Google chặn ai đó, người đó có vĩnh viễn mất quyền truy cập vào mọi dịch vụ cần ID số không?
Trước đây từng có một YouTuber bảo khán giả livestream “bỏ phiếu” bằng cách nhập emoji, rồi nhiều tài khoản Google của khán giả bị chặn vì spam[1]
Google cũng nổi tiếng là không mặn mà hỗ trợ người dùng, nên khó trông đợi cơ chế cứu xét từng cá nhân
Ransomware mới cũng đã thấy trước rồi. “Nếu không trả tiền, tôi sẽ gửi spam từ Gmail của bạn để khiến bạn mất ID số”
[1] https://www.engadget.com/2019-11-10-youtube-reinstates-banne...
Một giải pháp tương đối đơn giản, cởi mở hơn nhiều và an toàn hơn cho việc này là dùng thẻ căn cước vật lý của EU làm nguồn chứng thực, và với các thao tác quan trọng như chữ ký giá trị cao, đăng nhập trên thiết bị mới, hoặc đăng nhập sau nhiều lần xác thực thất bại, yêu cầu người dùng chạm thẻ vào điện thoại
Khi đó “vấn đề” phần cứng mở và hệ điều hành mở ở phía thiết bị sẽ biến mất hoàn toàn. Vì không còn cần phần cứng đáng tin cậy hay chữ ký hệ điều hành nữa
Có thể lập luận rằng điều này tạo khả năng tấn công trung gian trên điện thoại. Vì thẻ không có màn hình hay bàn phím PIN, nên không thể biết mình đang ký cái gì, hay đang cung cấp PIN cho ai
Nhưng liệu việc giảm thiểu rủi ro này có đáng để chấp nhận mọi lo ngại phụ thuộc đi kèm với chứng thực bằng điện thoại hay không thì còn đáng nghi
Hiện nay mọi thẻ căn cước EU đều đã bắt buộc có xác thực mật mã mạnh, nhưng theo tiêu chuẩn giấy tờ định danh sinh trắc học của ICAO, nó chỉ có thể dùng cho xác minh danh tính trực tiếp và không dùng được cho chứng minh định danh từ xa. Nó gần đến mức bực mình với thứ cần thiết, nhưng lại không phải chức năng thực sự cần
Ở Đức, đã có phán quyết của tòa rằng Đường sắt Đức (DB) phải cung cấp vé offline có thể mua mà không cần máy tính hay smartphone để không phân biệt đối xử với người cao tuổi
Tôi nghĩ nếu EUDI Wallet yêu cầu Google/Apple thì rất có khả năng cũng sẽ có phán quyết tương tự
Vì vậy, chừng nào EUDI còn là lựa chọn thay thế tùy chọn cho những người muốn dùng dịch vụ online, tôi nghi ngờ sẽ có phán quyết tương tự
Mọi người đang phụ thuộc vào Play Store hoặc App Store, và DB cũng không cung cấp ứng dụng để tải trực tiếp
EU lẽ ra nên bắt buộc một hệ thống xác thực cho người dùng, trong đó dùng chuỗi ngẫu nhiên làm yếu tố xác thực duy nhất cho mọi thứ
Gần giống API token trong phần mềm doanh nghiệp hiện đại, nhưng là dạng dành cho người bình thường dùng chứ không phải nhà phát triển ứng dụng
Và với các ứng dụng có độ nhạy cảm cao thì bổ sung token phần cứng là được
Passkey lẽ ra đã có thể đóng vai trò đó, nhưng đã nhanh chóng bị ngành công nghiệp làm biến chất
Bạn sẽ hỗ trợ thế nào nếu mỗi ngày có 50.000 người làm mất chuỗi ngẫu nhiên? Và còn 50.000 người khác dán chuỗi đó vào bất kỳ website nào thì sao? Châu Âu có 1 tỷ người
Tiêu chí chung là như sau
Nếu tôi không thể sử dụng một dịch vụ hay sản phẩm kỹ thuật số nào đó bằng cách chạy mã do chính tôi hoàn toàn tự viết, hoặc do một người tôi chọn viết, trên một máy tính do chính tôi hoàn toàn tự tạo, hoặc do một người tôi chọn tạo, thì điều đó hoàn toàn không thể chấp nhận được.