Overovanie veku v online službách bolo dlhé roky formalitou. Prevádzkovatelia vybraných služieb sa síce musia uistiť, že ich návštevníci sú plnoletí, prípadne spĺňajú iný vekový limit, pre overenie však robia len minimum.
Typicky ide o otázku, či má človek aspoň 18 rokov, prípadne žiadosť, aby vyplnil dátum alebo aspoň označil rok narodenia.
Služby nijako nepreverujú, či používateľ hovorí pravdu. Pre mladistvých je preto veľmi jednoduché dostať sa na internete napríklad k sexuálne explicitnému obsahu. Problém je rozšírený najmä medzi bezplatnými digitálnymi službami, pri ktorých nie je potrebný platobný styk.
Európska únia sa snaží túto trhovú praktiku obmedziť. Eurokomisia prišla s technickým riešením, ktoré sľubuje možnosť efektívne overovať vek bez toho, aby návštevník musel prevádzkovateľovi služby poskytnúť napríklad snímku občianskeho preukazu či pasu.
Riešenie má byť údajným kompromisom medzi potrebou vymáhať dodržiavanie vekových obmedzení a anonymitou v digitálnom priestore.
Odborníci však upozorňujú, že technologický koncept má riziká, a mohol by viesť k odhaleniu identity používateľov.
Môže to byť problém najmä v nedemokratických režimoch, a komplikácie to môže priniesť niektorým rizikovým skupinám používateľov, napríklad novinárom a whistleblowerom.
Dočítate sa:
- ako si eurokomisia predstavuje fungovanie nového systému overovania veku,
- v čom spočívajú jeho riziká pre súkromie používateľov, a čo si o nich myslí odborník,
- či existuje spôsob, ako vek overiť bez rizika straty súkromia.
Ako to funguje?
Akýmsi prostredníkom medzi používateľom a digitálnou službou sa má podľa eurokomisie stať mobilná aplikácia minipeňaženka (mini wallet).
Do aplikácie nahrá svoj doklad, napríklad občiansky preukaz, pas alebo bankový identifikátor. Nástroj overí, že používateľ je plnoletý a vygeneruje token – digitálny certifikát, že používateľ má aspoň 18 rokov, no bez ďalších informácií či konkrétneho dátumu narodenia.
Token vydá tzv. dôveryhodný poskytovateľ, ktorým má byť štát, prípadne ním poverená inštitúcia.
Keď sa používateľ pokúsi navštíviť, alebo sa zaregistrovať do vekovo obmedzenej služby, webstránka ho vyzve, aby naskenoval digitálny QR kód. Nasníma ho cez minipeňaženku, ktorá službe odovzdá token s informáciou, že návštevník spĺňa vekový limit.
Nateraz ide o overenie plnoletosti používateľov, no ten istý koncept sa dá využiť aj pre overenie nižších vekových hraníc (napríklad 13 rokov), ktoré sa používajú napríklad pre sociálne siete.
Nie je to bez rizík
„Mechanizmy na to, ako v kybernetickom priestore viete identifikovať človeka, síce existujú, ale automaticky znamenajú stratu anonymity,“ komentoval snahu Únie predseda Asociácie kybernetickej bezpečnosti Ivan Makatura.
Zdá sa, že eurokomisia si uvedomuje principiálny problém s anonymitou, a svoje technické riešenie postavené na protokole zero-knowledge proof (ZKP) označuje za používateľsky prívetivé a zachovávajúce súkromie.
Práve o ochrane súkromia v praxi však majú odborníci pochybnosti.
„Aby mohla byť zriadená funkčná sieť dôveryhodných vydavateľov tokenov, bude potrebné mať v každom tokene uvedenú ‚cestu‘ k poskytovateľovi,“ vysvetľuje Makatura.
„Ak by taký spôsob zaručenia dôveryhodnosti vydavateľa nejestvoval, bolo by relatívne jednoduché podhodiť token - ergo ‚vyrobiť‘ si falošnú identitu.“
Problém je v tom, že aj informáciu o poskytovateľovi môžu hackeri zneužiť pri snahe zistiť konkrétneho používateľa.
„Každý vydavateľ tokenu – z dôvodu nutnosti zaručenia dôveryhodnosti vydaných tokenov a tiež pre prípadné dôkazné konania – bude musieť držať log o vydaných tokenoch,“ dopĺňa odborník.
Metadáta (čas, miesto, odtlačok zariadenia, autorita, ktorá vydala token) môžu pri opakovanom používaní umožniť profilovanie alebo koreláciu naprieč službami, a tak stotožnenie koncového používateľa.
Centrálne databázy identít sú lákavým cieľom pre hackerov. Príkladom je aj Slovensko a útok na katastrálny úrad zo začiatku tohto roka.
Niektorých používateľov Telegramu vydierajú. Hlásiť to majú priamo ruskému šéfovi Čítajte Obetujú časť súkromia?
Okrem nedostatkov konceptu treba počítať aj s tým, že hackeri môžu útočiť aj cez vedľajšie kanály či chyby pri implementácii riešenia. Snaha zaručiť anonymitu pri práci s informáciami vychádzajúcimi z osobných údajov zostáva neľahkou výzvou.
Selektívne zdieľanie identity prostredníctvom tokenov vydávaných dôveryhodnými autoritami je podľa odborníka krok vpred, ale nie je zárukou anonymizácie.
„Odvážne tvrdenia o plnej anonymite identity typu ‚privacy-preserving‘ sú a zostanú iba politickým marketingom,“ hodnotí Makatura, hoci základnú myšlienku návrhu považuje za istý posun dopredu.
Riešenie môže priniesť ďalší vývoj, prípadne úplne iný prístup k problematike v budúcnosti.
Keďže súčasný systém overovania veku nefunguje, je však možné, že používatelia budú nútení ku "kompromisu". Otázkou sú možné riziká straty súkromia – či už pôjde o riešenie eurokomisie alebo úplne iné.
