Verificação de idade na UE: qual é o problema? (nenhum)

 (blog.vrypan.net)
1 pontos por GN⁺ 10 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • A verificação de idade online da UE não adota como padrão upload de documento ou escaneamento facial e, em vez disso, usa uma estrutura que prova apenas o fato necessário, então muitas críticas erram o ponto central
  • Em vez de o site receber nome, data de nascimento e número de documento, a unidade básica é uma prova de idade assinada que verifica apenas o cumprimento de um limiar como age >= required_age
  • Se a mesma credencial for apresentada repetidamente em vários sites, o histórico de visitas pode ser correlacionado, por isso são necessários métodos como divulgação seletiva ou provas de conhecimento zero para reduzir essa correlação
  • O EU Age Verification Blueprint usa Proof of Age attestations, relying parties, attestation providers, age-verification apps e trust lists, integrando-se à estrutura da European Digital Identity Wallet
  • A proteção de dados pessoais não é garantida só pelo design; é preciso evitar falhas de implementação como reutilização de identificadores estáveis, chamadas em tempo real ao emissor, logs centralizados, telemetria da carteira, fingerprinting e implementações fechadas

O centro do debate sobre restrição etária

  • No debate sobre verificação de idade online, há uma posição que, independentemente da implementação técnica, não aceita a própria restrição etária
  • Nessa visão, mesmo um design voltado à privacidade dificilmente seria uma solução suficiente
  • Crianças e adolescentes de 9, 10 e 14 anos não estão preparados para lidar sozinhos com riscos como manipulação, loops de vício, conteúdo sexual, mecânicas de aposta, grooming, assédio e radicalização algorítmica
  • Pais podem impor limites fortes a filhos pequenos, mas na adolescência também é necessário haver espaço para agir com independência, tomar decisões e conversar com outras pessoas
  • A sociedade já aplica restrições por idade para dirigir, beber, apostar e entrar em certos locais, e o mesmo princípio pode valer para algumas áreas da internet
  • A questão mais difícil não é a legitimidade da restrição etária, mas como aplicá-la sem transformar a internet em um posto de checagem de identidade

O risco de vigilância criado pelo jeito errado de fazer

  • Quando a verificação de idade online é implementada com escaneamento de documento, upload de passaporte, selfie ou escaneamento facial, o risco à privacidade aumenta
  • Não deveria ser necessário entregar nome, data de nascimento, número de documento, rosto, endereço ou passaporte para provar maioridade em sites pornôs, sites de aposta, lojas online de bebidas alcoólicas ou fóruns religiosos
  • O modelo de login via terceiro confiável também cria outro problema
    • Se bancos, Google, Apple, operadoras móveis ou serviços governamentais de identidade fizerem a autenticação, o usuário não precisa entregar documentos ao site
    • Em compensação, o provedor de identidade passa a saber quais sites com restrição etária o usuário visita
  • Em um modelo, o site sabe quem é o usuário; no outro, o provedor de identidade sabe por onde ele passou, então ambos são arriscados

Uma unidade básica melhor: prova de idade assinada

  • Um design melhor começa por provar apenas o fato que precisa ser provado
  • O site não precisa saber o nome do usuário, sua data de nascimento, número de documento, nem se ele tem 19, 37 ou 74 anos
  • A única informação necessária é se a seguinte condição foi satisfeita
age >= required_age
  • A analogia offline seria receber um cartão oficial que diz apenas “maior de 18” e apresentá-lo na entrada de um local com restrição etária
    • A idade é verificada em um órgão governamental usando passaporte ou documento nacional
    • O cartão emitido mostra apenas um fato, como “18 anos ou mais”
    • O operador do local verifica apenas a autenticidade do cartão e não pode saber nome, data de nascimento ou número de documento
  • No formato digital, a mesma estrutura é implementada com criptografia
    • Um emissor autorizado verifica a idade uma única vez
    • Depois disso, emite uma credencial assinada
{
  "claim": "age_over_18",
  "value": true,
  "issuer": "Trusted Age Attestation Provider",
  "valid_until": "2027-12-31"
}

signature = Sign(issuer_private_key, attestation)
Verify(issuer_public_key, attestation, signature)
  • A propriedade importante é que o site não precisa entrar em contato com o emissor a cada vez
    • O site só verifica se a prova foi assinada por um emissor confiável e se ainda é válida
    • O emissor não sabe onde o usuário usou a prova nem se ela foi de fato usada

A estrutura da abordagem da UE

  • O núcleo do EU Age Verification Blueprint é uma arquitetura baseada em Proof of Age attestation
  • O sistema é composto por relying parties, attestation providers, age-verification apps e trust lists
  • Essa abordagem está alinhada com a arquitetura da European Digital Identity Wallet
  • O usuário pode provar que tem acima de uma certa idade sem revelar sua idade exata nem sua identidade
  • Documentos relacionados
    • EU Age Verification Solution: sistema alinhado ao Digital Services Act, eIDAS 2.0 e ao European Digital Identity Wallet Architecture and Reference Framework, usando formatos de prova, protocolos e vínculos de modelo de confiança para interoperabilidade
    • Commission age-verification blueprint: para conteúdo adulto restrito, o usuário pode provar que tem mais de 18 anos sem divulgar outros dados pessoais; a solução é baseada em tecnologia open source e foi projetada para interoperar no futuro com a European Digital Identity Wallet
    • EU-wide age verification common approach: o usuário pode provar que tem acima de uma idade específica, como 15, 18 ou 65 anos, sem revelar a idade exata nem a identidade

Divulgação seletiva e provas de conhecimento zero

  • A prova assinada é melhor do que enviar um documento para cada site, mas se a mesma credencial for apresentada a vários sites, pode surgir correlação entre visitas
  • Mesmo sem nome, vários sites podem vincular o fato de que o mesmo adulto anônimo visitou o site A, o site B e o site C
  • Uma abordagem mais forte usa divulgação seletiva ou provas de conhecimento zero
  • Em vez de mostrar a prova base como está, a carteira prova as seguintes afirmações
    • possui uma Proof of Age attestation válida assinada por um emissor confiável
    • essa prova satisfaz age >= 18
  • A documentação técnica da UE trata da geração de provas zkSNARK a partir de uma Proof of Age attestation
    • o app codifica a prova como entrada privada de um circuito
    • usa entradas públicas como a chave pública do attestation provider
    • gera uma zkSNARK proof verificável
  • Nesse modelo, em vez de dizer “aqui está meu documento”, “aqui está minha data de nascimento” ou “aqui está minha credencial de idade assinada”, a pessoa apresenta “uma prova criptográfica de que possui uma credencial válida que comprova que tem 18 anos ou mais”
  • Documentos relacionados
    • EU ZKP technical annex: gera uma zkSNARK proof codificando a Proof of Age attestation como entrada privada e expondo apenas entradas públicas de verificação, como a chave pública do attestation provider
    • Verifier developer guide: a attestation mdoc padrão é uma prova assinada de que o usuário cumpre um limiar etário, e a ZKP é um formato aprimorado de prova que oferece proteção de privacidade mais forte e ausência de identificadores correlacionáveis

Condições de implementação que quebram a privacidade

  • Mesmo uma arquitetura orientada à privacidade pode não cumprir o que promete se for mal implementada
  • As condições abaixo podem quebrar as garantias de privacidade da abordagem europeia
    • identificadores estáveis reutilizados entre sites
    • arquitetura que contata o emissor em toda verificação de idade
    • logs centralizados de eventos de verificação
    • telemetria da carteira que registra qual relying party solicitou a prova
    • comportamento de sites que exigem mais atributos do que o necessário
    • segurança fraca da carteira
    • UX ruim que induz o usuário a compartilhar informação em excesso
    • fingerprinting de navegador ou dispositivo que vincula provas anônimas entre si
    • confirmação de revogação que revela onde a credencial foi usada
    • implementações nacionais fechadas e não auditadas
  • O foco do debate sobre privacidade não deveria ser rejeitar automaticamente o sistema de verificação de idade em si, mas incluir as verificações necessárias para garantir que a implementação real preserve essa estrutura

Leituras relacionadas

1 comentários

 
GN⁺ 10 시간 전
Opiniões no Lobste.rs

  • Há um ponto no texto com o qual concordo totalmente: se você é contra a verificação de idade por princípio, nenhuma solução vai ser satisfatória. Acho isso correto

    • Supondo que ela seja implementada de uma forma totalmente preservadora de privacidade, qual você acha que é o argumento mais forte contra a verificação de idade?
    • Sou contra a ausência de verificação de idade por princípio, mas isso não significa que eu ache toda solução boa
      Ainda assim, este modelo da UE me parece aceitável. Gostaria que se tornasse obrigatório o quanto antes, mas também reconheço que talvez isso não aconteça por razões práticas

  • O post do blog se apoia em espaços online que causam danos às pessoas, como manipulação, loops de vício, mecanismos de jogo, grooming, assédio e radicalização algorítmica, e o próprio texto reconhece que essas coisas também são prejudiciais a adultos
    Então não entendo por que seria melhor usar a idade como indicador substituto de possível dano para excluir adolescentes de alguns espaços controláveis, afastá-los de comunidades e recursos e, especialmente, tirar de grupos vulneráveis como adolescentes queer espaços importantes ou empurrá-los para espaços fora de controle, em vez de proibir diretamente por lei as práticas nocivas e ajudar todo mundo
    Um blog que começa com uma falsa dicotomia logo depois de chamar as críticas de “ignorantes ou deliberadamente enganosas” é realmente ótimo

    • Se forem introduzidos bloqueios no nível do ISP, verificação de idade para VPNs etc., esses espaços fora de controle em geral devem desaparecer
      O mais irritante na discussão sobre verificação de idade é que quase ninguém fala da causa raiz. O problema são as empresas dos tecnofeudalistas que viciam crianças e adultos em estímulos contínuos de dopamina
      Em vez de introduzir verificação de idade, acho que deveríamos tornar ilegais os feeds algorítmicos otimizados para vício, como YouTube Shorts, TikTok e Facebook. Eles fazem mal tanto a crianças quanto a adultos e rasgam o tecido da democracia ao tornar mainstream mentiras, desinformação, incentivo à polarização etc.
      Não deveríamos mais permitir que alguém ganhe bilhões destruindo a sociedade
    • Não dá para proibir tudo que pode ser prejudicial. Socialmente, em geral aceitamos que adultos devem poder fazer suas próprias escolhas
      Pegando jogos de azar ou álcool como exemplo, na Noruega o governo pode tentar desestimular atividades nocivas cobrando mais impostos e tornando-as inconvenientes, mas ao mesmo tempo financia serviços que ajudam pessoas em dificuldade. Se tivesse proibido completamente, isso teria gerado reação contrária e migrado para mercados ilegais
      Por isso, mesmo que alguns adultos sejam prejudicados, tendemos a deixar adultos escolherem por si mesmos. Já no caso das crianças, a percepção geral é que elas ainda não estão plenamente desenvolvidas e precisam ser protegidas de escolhas prejudiciais a si mesmas. Conforme ficam mais velhas, permitimos mais decisões e aceitamos até certo ponto pequenos danos
      É por isso que, no mundo real, crianças não podem comprar álcool nem raspadinhas
      Acho que algumas partes do mundo online deveriam ser mais bem reguladas, inclusive para adultos. Mas algumas áreas podem precisar ser proibidas para crianças, embora fosse absurdo proibi-las para adultos
    • A expressão “ignorantes ou deliberadamente enganosas” se refere aos casos em que se diz ou se sugere que a verificação de idade será feita apresentando um documento de identidade, como nos requisitos atuais de KYC
      Há pouquíssimos textos explicando as tecnologias usadas em cada caso, e as soluções da UE, do Reino Unido e de estados dos EUA são tecnicamente bem diferentes

  • Que tal responsabilizar as plataformas online pelos danos que causam às pessoas? Que tal responsabilizá-las por ódio, misoginia e radicalização?
    Se as plataformas não hospedassem todo tipo de conteúdo e parassem de otimizar para engajamento ou indignação a fim de maximizar cliques e participação em anúncios, talvez a internet não fosse tão prejudicial às pessoas — não só às crianças, mas a todos

    • Plataformas online têm cláusulas de isenção de responsabilidade como a Seção 230 da Lei de Decência nas Comunicações dos EUA. Há regimes semelhantes em outros lugares, e essa cláusula serviu de modelo para muitos deles
      É preciso repensar o que se enquadra como esse tipo de plataforma. A lógica original era que elas apenas forneciam conteúdo gerado por usuários e, portanto, não seriam responsáveis desde que removessem material nocivo ao receber uma denúncia
      Mas isso ainda vale quando o algoritmo do feed decide o que mostrar? Acho que essas decisões editoriais, sejam tomadas por pessoas ou por algoritmos, também deveriam trazer responsabilidade editorial
    • Acho que deveriam ser responsabilizadas. Mas aqui parece que as pessoas estão pensando só em plataformas de redes sociais
      Também existem serviços e plataformas online que não são ilegais, mas não são adequados para crianças. Por exemplo, sites de apostas ou conteúdo impróprio para uma criança de 9 anos. Como pai ou mãe, há muitos casos em que é preciso dizer “isso ainda não é para você”, e nos últimos 10 anos esses casos têm migrado cada vez mais para o online
    • Ainda assim, seria preciso fazer os EUA entrarem nisso, e isso parece pouco provável. Se você tentar bloquear os danos vindos dos EUA, pode receber ameaças de tarifas ou até sofrer algo como um sequestro
      Não quer dizer que não valha a pena tentar, mas problemas complexos assim precisam ser atacados por várias frentes ao mesmo tempo

  • O motivo de eu ser contra, por princípio, a ideia de que “verificação de idade não deve existir” é justamente acreditar que não pode haver uma solução técnica adequada
    Além disso, muitos danos da internet miram não só crianças, mas todo mundo, e isso transfere ainda mais para o consumidor o peso da regulação de conteúdo
    A verificação baseada em certificados só é ótima partindo da premissa de que todo mundo tem documentação, sempre consegue acessá-la, possui um dispositivo “suficientemente seguro” para processar essa prova, acessa sites reconhecidos como autorizados a usar essa prova e recebeu educação suficiente para entender se a solicitação desse documento é legítima
    Qualquer solução técnica que normalizarmos será explorada por empresas de tecnologia e golpistas. Isso já aconteceu antes, e eles não pagaram um preço real por isso. Lobistas também vão explorá-la para estreitar o escopo de serviços e dispositivos “aceitáveis”

  • Aplicar uma camada de criptografia não torna isso seguro. Toda proposta do tipo “pensem nas crianças” acaba levando em conta até a “criança que roubou o documento dos pais”, e no fim faz os sites registrarem fotos
    A formulação pode ser algo como “usamos reconhecimento de imagem para confirmar o titular”, e talvez não diga nada sobre registro. Mas, no momento em que houver um processo alegando que a verificação não foi feita corretamente ou que a validação foi falha, esses registros passam a ser necessários
    Existem medidas que podem ser tomadas, mas esse não é o ponto central. A censura funciona de duas maneiras. Uma é fazer os sites identificarem os usuários, tornando-os rastreáveis; a outra é tornar a própria operação dos sites cara e arriscada demais
    Basta ver homofóbicos usando o argumento lixo de “proteger as crianças”
    Exigir documento torna difícil ou impossível para crianças acessarem conteúdo que não as trate como criminosas doentes. Agora, para operar um site, é preciso arcar com custos de segurança para armazenar com segurança informações de registro usadas para se defender, além dos custos de processos por não censurar o suficiente
    Qualquer argumento matemático que não consiga lidar com a etapa de “provar que o documento apresentado realmente pertence àquele usuário” está pulando a etapa mais importante de todo o processo

  • Se eu tiver mais de 18 anos, posso pegar esse ID e assinar livremente qualquer solicitação que eu quiser? Se sim, esse método preserva a privacidade, mas não é eficaz

    • Em uma visão macro, só a energia de ativação de “precisar incomodar seu irmão ou sua irmã mais velha para criar uma conta no TikTok” já parece suficiente para reduzir o uso de forma significativa. Se isso basta para justificar os outros efeitos negativos, provavelmente não
    • Textos assim parecem querer esquecer que a parte difícil não é conectar um número a uma pessoa, mas verificar, no momento em que esse número é apresentado pela primeira vez, se aquela é de fato a pessoa representada por esse ID
    • É possível. Mas, para dificultar, vão aparecer com atestação remota e outras tecnologias de DRM. Aí implementações alternativas de carteira serão impossíveis, e também não vai dar para rodar em plataformas minoritárias
      Na prática, surge uma obrigação legal de aceitar os termos do Google e da Apple e de ter um smartphone desse oligopólio para poder usar redes sociais. No futuro, esse sistema será expandido para outros serviços em que for considerado útil, como pornografia, videogames online e aluguel de filmes
      Se você for bloqueado pelo Google, acabou. Se usar Linux, também acabou
    • Na última proposta europeia que verifiquei, a ideia era receber de uma só vez um pacote de assinaturas de uma instituição confiável, como uma agência de cidadãos
      Pelo que me lembro, a concepção era permitir que não fosse estritamente necessária uma carteira confiável em um OS aprovado; em tese, também seria possível mostrar seu documento em uma agência dos correios, como no PostIdent, e receber assinaturas armazenadas em um arquivo criptografado
      Por exemplo, você receberia 1000 assinaturas, e cada uma valeria apenas uma vez. Se precisasse de mais, bastaria obter um novo pacote. Cada assinatura preservaria a privacidade

  • Crianças são boas em conseguir o que querem. Se pedirem um número suficiente de vezes, alguém vai fazer por elas

    • Algumas podem conseguir, mas isso não significa que, por exemplo, devamos vender álcool diretamente para todas as crianças
      Pessoalmente, não acho que todas as crianças sejam igualmente motivadas, tenham os mesmos objetivos ou consigam se esforçar da mesma forma por metas de longo prazo

  • Em princípio, não discordo muito do post do blog, e também concordo que seria bom ter um sistema de verificação de idade com preservação de privacidade. Só sou muito, muito cético de que isso será implementado corretamente no mundo real
    O próprio autor colocou gentilmente no fim do texto uma lista de problemas de implementação que prejudicariam a privacidade. Se a verificação de idade se tornar obrigatória por lei, me preocupa muito que alguns ou todos esses problemas sejam aceitos em nome da rapidez e da proteção dos adolescentes
    Se você acha que um sistema ruim de verificação de idade é pior do que não ter verificação nenhuma — e eu também acho —, penso que é politicamente mais viável se opor ao conceito desde o início do que tentar fazer passar uma linha tão sutil

  • “Crianças de 9, 10 ou 14 anos não estão prontas para circular sem qualquer restrição pela internet aberta”
    Não devemos tirar das gerações futuras as melhores partes da infância e adolescência que fizeram muitos de nós chegar até aqui
    Desde 1993, quando eu tinha 12 anos, eu circulava sem restrições por uma BBS local conectada a outras BBSs por uma rede parecida com a FIDOnet; desde 1995, quando eu tinha 14, usei a internet aberta sem restrições. Se minha mãe tivesse comprado antes um PC com modem, talvez eu tivesse começado nas BBSs ainda mais cedo
    Então vamos eliminar loops de vício, mecanismos de aposta e radicalização algorítmica para todos, e deixar as partes boas da internet abertas sem restrições para todo mundo. Assim, as gerações futuras poderão ter algo melhor do que nós tivemos

    • Você quer dizer criar uma internet para crianças? Nesse caso, apoio

  • Só com provas de conhecimento zero, não há motivo para eu não conseguir provar que todas as pessoas da UE têm 39 anos. Para mitigar isso, na prática seriam necessárias prova de identidade e prova de dispositivo, e a ladeira escorregadia está embutida na própria tecnologia
    Esse formato de arquitetura faz sentido para confirmação de pagamentos ou assinatura de documentos legais, porque tenho um forte interesse em não permitir que qualquer terceiro pague com o meu dinheiro ou assine contratos em meu nome
    Mas, em prova de idade, não perco nada se eu provar no lugar de outra pessoa