EU-Altersverifikations-App will Android-Systeme ohne Google-Zertifizierung vollständig ausschließen

......Warum benutzt man dann überhaupt Android?

Dort drüben sind es auch nur viele Köpfe, aber was sie tun, ist hier wie dort dasselbe, haha.

Ich verstehe nicht so recht, wie Altersverifikation und Datenschutz zusammen funktionieren sollen..

In dem Moment, in dem man sich verifiziert, hinterlässt man dort doch mindestens einmal so etwas wie seine Unterschrift, oder nicht?

Wenn man Datenschutz wirklich ernst meint, müsste man es anonym nutzen können.

Übrigens Pass:

Hacker-News-Kommentare

• Bei Android bedeutet „echt“ ein von Google lizenziertes Betriebssystem, Apps aus dem Play Store heruntergeladen (Google-Konto erforderlich) und das Bestehen der Geräte-Sicherheitsprüfung.
  Ich erkenne an, dass so die Überprüfung der Gerätesicherheit einen gewissen Wert hat, aber dadurch wird die App zugleich stark von Googles eigenen Diensten abhängig.
  Solche Sicherheitsprüfungen können auf inoffiziellen Android-Betriebssystemen nicht bestanden werden, was im europäischen Projekt für digitale Identitäts-Wallets als Problem angesprochen wird.
  Zugehöriges GitHub-Issue
  Ich möchte mich entschieden gegen solche Pläne aussprechen.
  Wenn im Prozess der Altersverifikation die Abhängigkeit von US-Big-Tech steigt, gibt Europa damit noch mehr IT-Souveränität an die USA ab, was höchst unerwünscht ist.
  Angesichts der jüngsten politischen Lage halte ich es für so offensichtlich, wie groß und wie unerwünscht dieses Risiko ist, dass man es kaum noch eigens erklären muss.
  Auch ich als Betroffener empfinde diese Sorge als berechtigt.
  In einem anderen Kommentar zu dem GitHub-Issue wird ebenfalls diskutiert, dass das Erzwingen von Google-Diensten potenziell gegen die rechtliche Unabhängigkeit und Datenschutzgesetze einiger EU-Mitgliedstaaten verstoßen könnte.

  • Die „Geräte-Sicherheitsprüfung“ ist für mich persönlich das beängstigendste Element.
    Sie bedeutet praktisch „offiziell genehmigte Hardware und Software“ und ist eine Abkürzung in die Dystopie, vor der Stallman in „Right to Read“ gewarnt hat.
    Ich finde es ziemlich ironisch, dass die EU ausgerechnet auf US-Big-Tech angewiesen ist, um ihren eigenen digitalen Autoritarismus zu stärken.
    Das klassische amerikanische Freiheitsverständnis im Sinne einer rebellischen Freiheit scheint in der EU oder im Vereinigten Königreich nicht besonders populär zu sein.

  • Dafür braucht es nicht einmal ein bestimmtes politisches Umfeld; diese Politik an sich ist schon grundsätzlich besorgniserregend.
    Staatliche Ausspähung ist immer gefährlicher, und es kann aus Datenschutzsicht sogar vorteilhaft sein, ein nichtlokales Betriebssystem zu verwenden.
    Allerdings ist beim Ausführen proprietären Codes Vorsicht geboten.

  • Unter Verweis auf einen Artikel darüber, dass eine bestimmte britische Polizeiorganisation online Kritiker der Einwanderung überwacht, möchte ich anmerken: Auch wenn sich manche Menschen wegen des politischen Umfelds in den USA sorgen, gibt die Lage im Vereinigten Königreich ebenfalls keinen Anlass zur Entwarnung.

• Die Europäische Union ruft bei jeder Gelegenheit Innovation aus und spricht davon, die Abhängigkeit von US-Unternehmen zu verringern, doch in der Praxis ändert sie oft ihren Kurs und vergisst das Ganze mit der Zeit stillschweigend wieder — ein Teufelskreis, der sich wiederholt.
  Europäische Staaten sind einzeln stark, aber manchmal wirkt die Europäische Union nur laut und wenig wirksam.

  • Strukturell liegt das daran, dass die Europäische Union kein einzelner Staat ist, sondern eine wirtschaftliche supranationale Organisation.
    Frankreich/Deutschland betonen oft strategische Autonomie, aber Polen/Tschechien/die drei baltischen Staaten stehen solchen Bewegungen weniger wohlwollend gegenüber.
    Wie in der jüngsten Diskussion über Self-Hosting geht es darum, ein Gleichgewicht zwischen Autonomie und Effizienz zu finden.

  • 95 % der Europäer nutzen ohnehin bereits ein US-Betriebssystem; für die Altersverifikation kann man nicht 20 Jahre warten, bis EurOS ausgeliefert wird.

  • Ein Hauptgrund dafür, dass die EU in ihrer politischen Richtung ständig schwankt, ist, dass im Hintergrund nationale Industrieinteressen aus Frankreich, Deutschland, Irland, Tschechien und anderen Ländern aufeinanderprallen.
    Von „eigener Technologie innerhalb der EU“ sprechen fast immer nur französische politische Entscheidungsträger und Unternehmen; Deutschland, die Niederlande und Osteuropa tun das nicht.
    Nationale Einzelinteressen stehen über denen der EU, und die Auslandsdirektinvestitionen von US-Big-Tech sind für die Volkswirtschaften mehrerer Mitgliedstaaten bereits enorm.
    Auch japanische und koreanische Autohersteller in den 1980er- und 1990er-Jahren entschieden sich in ähnlicher Weise für Kooperation, indem sie ihre Interessen auf den US-Markt ausrichteten.

  • Die EU ist eine Art „wirkungsloser, kläffender Chihuahua“.
    Sie verabschiedet autoritäre Gesetze, während nationale Politiker sagen, sie könnten nichts dagegen tun, und gleichzeitig die Vorteile der Internetkontrolle mitnehmen.
    Normale Bürger profitieren davon kaum.

• Der Krieg um die Freiheit des Internets beschleunigt sich.
  Ohne echten Widerstand gegen dystopische Gesetze wird der freie Informationsfluss zunehmend zu einer Ausnahmesituation degradiert.
  Das ist keine Möglichkeit für die Zukunft, sondern eine Realität, die sich genau in diesem Moment weltweit abspielt.

  • Ein Freund sagte mir, dass er X-Posts (ehemals Twitter) über Proteste im eigenen Land nicht mehr sehen könne.
    Solche Beiträge werden als „Erwachsenen“-Inhalte eingestuft und sind nun ohne Ausweisprüfung nicht mehr sichtbar.
    Es handelt sich nicht einmal um tatsächliche Pornografie, sondern um Protestvideos.
    Im Ernst, so etwas passiert schon heute.

  • Es beginnt immer mit „Wir müssen an die Kinder denken“, aber das ist nur der Anfang.
    Das goldene Zeitalter, die wilde Ära des Internets, ist bereits vorbei.
    Ob wir Privatsphäre und Meinungsfreiheit künftig noch schützen können, ist selbst nicht mehr sicher.

• Wer wissen will, worum es genau geht, sollte die offiziellen technischen Dokumente und die Abbildung zum User Flow ansehen.
  Der zentrale Nutzungspfad lässt sich als datenschutzfreundliche Bestätigung „über 18“ zusammenfassen.
  Dieses Verfahren soll Minderjährige vom Zugriff auf Pornografie abhalten, stellt für technisch einigermaßen versierte Menschen aber kaum eine Hürde dar.
  Wer sich ein wenig auskennt, kann es zum Beispiel mit einem VPN oder über Torrent problemlos umgehen.
  Nur wenn selbst für BitTorrent eine 18+-Verifikation nötig würde, sähe die Sache anders aus, aber realistisch ist das schwer durchsetzbar.

  • Tatsächlich lässt sich das heute meist schon leicht mit einem Browser wie Opera GX und einem VPN umgehen.
    Das ist so verbreitet, dass es ständig in YouTube-Werbung auftaucht; womöglich ist das nicht einmal mehr besonders „tech-savvy“.

  • Ich halte Social Media sogar für das größere Problem als Pornografie.
    Vielleicht wäre es besser, alle sozialen Plattformen zu schließen und nur Pornografie übrig zu lassen.
    Wenn man so etwas schon in jungen Jahren sieht, kann das zwar Probleme verursachen, aber bei den weltweit sinkenden Geburtenraten könnte man auch zynisch sagen, dass ohnehin kaum noch jemand Kinder bekommen will und man sich darüber gar keine Sorgen mehr machen muss.
    Ich bin in letzter Zeit wohl zu zynisch geworden.

  • Ich glaube, die grundsätzliche Lösung wäre, Minderjährige ganz vom Internet fernzuhalten.
    Wenn Schüler unter 18 ohne angemessene Aufsicht durch Erwachsene online sind, hat die Gesellschaft als Ganze ihre Verantwortung bereits nicht erfüllt.
    Auch wenn dieses Schiff wegen der zunehmenden Verlagerung von Schulaufgaben ins Netz schon abgefahren ist, sollte man es irgendwann noch einmal von Grund auf versuchen.
    So gefährlich wie Pornografie sind am Ende andere Menschen und allerlei Formen der Sucht.
    Wenn man das Grundproblem nicht löst und nur die Regeln ändert, ändert sich am Wesentlichen nichts.
    Nachtrag der Bearbeitung: Mir gefällt schon nicht, dass das Internet für Schulaufgaben überhaupt zwingend gemacht wird.
    Es sollte das Recht der Eltern sein, zu entscheiden, ob sie ihrem Kind Internetzugang erlauben, und ich bin gegen technische Altersverifikation oder pauschale Inhaltsblockaden.
    Eltern sollten ihre Kinder klug anleiten.

• Ich möchte meine Freunde in der EU fragen:
  Warum lasst ihr euch von US-Big-Tech wie Google treiben?
  Ich denke, Europa hätte durchaus die Fähigkeiten, das selbst zu machen.
  Es geht auch ohne Google; entscheidend sind ein klarer Plan und der Wille zur Umsetzung.

  • US-Big-Tech muss nur eine „kostenlose“ Lösung vorschlagen, und die EU greift leicht zu und fügt sich am Ende allen Bedingungen.
    Später zeigt man sich dann mit Verspätung schockiert, als wäre alles völlig überraschend gekommen.

  • Ursache sind Kapitalmangel und Angst vor der Zukunft.
    Wenn Google ankündigt, Hunderte Millionen Euro zu investieren und Rechenzentren zu bauen, tauchen sofort Argumente zu Arbeitsplätzen und Belebung der regionalen Wirtschaft auf.
    Wenn die Beziehung zu Google gut ist, entstehen fortlaufend weitere Ansiedlungsprojekte; lehnt man ab, könnte Big-Tech seine Investitionen anderswohin verlagern.
    Inzwischen werden zwar auch die Stimmen lauter, die fordern, eigene europäische Technologie aufzubauen, aber gegenüber der Preiskonkurrenz von Big-Tech ist es sehr schwer, dafür Investitionen zu gewinnen.
    Staatliche Direktinvestitionen sind nicht besonders beliebt, und auch für Privatunternehmen ist der Anreiz zu investieren gering, wenn es keine gesicherten Nachfrageverträge gibt.
    Letztlich können globale Big-Tech-Konzerne es am schnellsten und günstigsten liefern, und wenn die Lieferkette einmal unterbrochen wird, breitet sich dieses Risiko über ganz Europa aus.
    Wenn die EU US-Big-Tech komplett ausschließen würde, könnte das zudem einen Vergeltungs-Handelskrieg mit den USA auslösen.

  • Ich stimme der Behauptung nicht zu, dass „die EU die Fähigkeit hat, das selbst zu lösen“.
    Die meiste in der EU entwickelte Software, die ich tatsächlich benutzt habe, war qualitativ schwach, und selbst die bessere davon wurde am Ende von US-Unternehmen übernommen.

  • Am Ende geht es um „Geld“.
    Innerhalb Europas wird dieses Geld nur anders gebündelt und eingesetzt als in den USA.

  • Politik ist letztlich anfällig für Korruption.

• Es gab bereits früher Fälle, in denen Regierungen inoffizielle Android-Geräte ohne Google blockiert haben.
  Auf GrapheneOS kann man eine Zusammenstellung zu den Sperren lesen.

• Die Realität entwickelt sich zunehmend zu einem technisch ungewinnbaren Spiel.
  Ich nutze GrapheneOS täglich und bin so zufrieden damit, dass es eigentlich der Standard sein sollte.
  Eine App setzt eine ähnliche Beschränkung um und lässt sich deshalb gar nicht starten; für genau diese eine App nutze ich zusätzlich ein Gerät mit Stock Android.
  Das ist unbequem, aber ich finde, es lohnt sich.
  Trotzdem bin ich froh, dass sich dieser Trend in meinem Umfeld nicht rasant ausbreitet, auch wenn mir die Entwicklung an sich nicht gefällt.

  • Die einzige Möglichkeit, in dieser Situation zu gewinnen, besteht darin, das Spiel gar nicht erst mitzuspielen.
    Ein Smartphone braucht man zwar, aber für das alltägliche Computing ist ein separater Computer die bessere Antwort.

  • Das ist in Wahrheit kein technisches, sondern ein regulatorisches Problem.
    Die EU will das Internet stärker kontrollieren, und im Moment geschieht das unter dem Vorwand „zum Schutz der Kinder“, könnte aber bald zu Klarnamenpflicht, Chat-Kontrolle und Ähnlichem führen.
    Die Kräfte, die solche Regulierung vorantreiben, müssen unbedingt gestoppt werden.

• Der neu eingeführte Nutzungspfad ist schon an sich unbequem, aber noch störender ist, dass private Unternehmen — ob aus den USA oder aus China — die Eintrittskarte zum Internet in der Hand halten.
  Wer will so ein Internet überhaupt?

  • So ein Internet wollen letztlich nur verängstigte Reiche und Bürokraten.

• Unabhängig von ideologischen Fragen möchte ich wissen, ob dieser Ansatz technisch überhaupt wirklich nötig ist.
  Wenn man diese Verifikation nicht macht, könnte man doch einfach den Source Code oder das Binary ändern und immer behaupten: „Ich bin über 18.“
  Mich würde daher interessieren, ob es einen klaren technischen Weg gibt, das ohne Google zu verhindern.

  • Ja.
    Dieser gesamte Ablauf setzt eigentlich voraus, dass er auf dem EU Wallet (Project) basiert.
    Das EU Wallet basiert auf den OpenID-Standards (oidc4vci, oidc4vp) und unterstützt selektive Verifikation einzelner Attribute.
    So können etwa von einer Regierung ausgestellte Attribute in Form elektronischer Signaturen in einer Wallet gespeichert werden.
    Das Problem ist, dass sich diese Informationen kopieren oder weiterverkaufen lassen; bloßes Speichern reicht daher aus, um die Verifikation zu umgehen.
    Darum wird bei der Ausstellung eines Attributs (Credential) ein bestimmtes Gerät gebunden, indem ein Public-/Private-Key-Paar bescheinigt wird, und darauf aufbauend prüft der RP zusätzlich, ob die Anfrage tatsächlich von diesem Gerät kommt.
    An diesem Punkt wird letztlich ein „sicherer Speicher“, also Hardware wie eine Secure Enclave, erforderlich.
    Wenn die Umgebung nicht geschützt ist — etwa bei einem gerooteten Telefon — oder wenn sich der Private Key überhaupt extrahieren lässt, ist geräteübergreifendes Kopieren möglich, und der Zweck wird hinfällig.
    Zum Beispiel könnte ein volljähriger Freund die Verifikation durchführen und sie anschließend teilen.

  • Im Grunde braucht man etwas auf dem Niveau: sich auf einer Website anmelden und nachweisen, dass man einen persönlichen Identitätsausweis besitzt; dabei könnten Hardware-Token oder biometrische Authentifizierung (z. B. FIDO, Passkeys usw.) verlangt werden.
    Das Problem scheint darin zu liegen, echte und virtuelle Token zu unterscheiden und Simulationen zu verhindern.
    Dabei könnten Prüfungen der Hardware-Vertrauenswürdigkeit wie Secure Boot eine Rolle spielen.

  • Um die Umgehung der Verifikation zu verhindern, müssten Boot-Vorgang, Betriebssystem und Hardware in einem von der EU registrierten Production-Signing-Chain-Zustand attestiert sein.
    Wenn ein Nutzer seinen eigenen Signierschlüssel registriert oder das Betriebssystem-Image für Secure Boot angepasst hat, stimmt die Boot-Verifikation nicht mehr und eine Attestierung ist nicht möglich.
    Das ähnelt dem Prinzip unter macOS, bei dem Apple Wallet unzugänglich wird, wenn Sicherheitsoptionen deaktiviert sind.
    Im Kern kann man Nutzer nicht daran hindern, nach Belieben anzupassen, aber in diesem Fall fallen sie aus der offiziellen Attestierungskette heraus.
    Das Problem ist, dass dieses System kommerzialisiert wurde und es für die Anwendung auf Hardware und Betriebssystemen praktisch nur Google und Apple gibt.
    Letztlich müsste die EU ihre eigene Attestierungskette dauerhaft weit genug öffnen und zugleich rechtliche Verantwortung festlegen, falls Sicherheitslücken ausgenutzt werden oder Meldungen eingehen.
    Künftig könnte etwa Steam Linux diese Kette für Sicherheitsattestierungen wie VAC bei der EU registrieren.
    Entscheidend ist, dass Hersteller und Plattformen Verantwortungsbewusstsein zeigen und der EU ihre Vertrauenswürdigkeit darlegen können; in Zukunft besteht möglicherweise auch die Chance, vielfältigere Betriebssysteme und Ketten zuzulassen.

• Eine längere zugehörige Diskussion ist hier im GitHub-Issue zu finden.
  Ich denke, dass ein an Google gebundener Ansatz die Grundprinzipien des EU-Markts beschädigt.