Minusta on jotenkin niin hauskaa, kuinka suuret mittaluokat yksi syntymäaikakenttä käyttöjärjestelmän core-tiedostoissa nostaa kierroksia. Kun kukaan ei pakota käyttämään kyseistä kenttää, ja jos pakottaisikin, niin kukaan ei käske laittamaan siihen oikeaa syntymäaikaa. Sen arvo on ihan sama, kuin kaikkien niiden nettipalveluidenkin arvo on, mitkä sitä kyselevät.

Minä olen valehdellut niihin aina, joskus pelkän päivämäärän, joskus koko rimpsun. Esim Steamissa olen tainnut aina käyttää milloin mitäkin satunnaista arvoa. Tämä ei ole ikinä johtanut mihinkään. Käytännössä kun kyse on vain ”vaatimuksenmukaisuudesta”, eli kun käyttäjä on kertonut olevansa täysi-ikäinen, niin tekijää ei voi enää syyttää lain rikkomisesta. Ja se on that’s fine.

Mitä taas tulee ”vahvaan” iän todentamiseen, mikä kulkee tuossa taustalla. Jos vaihtoehdot siinä on:
1) Lähetä passikuvia (tmv.) tunnistautumis palveluihin.
2) Valtiollinen sovellus jonka koodilla kaikkiin palveluihin tunnistaudutaan ”anonyymisti”.
3) Käyttöjärjestelmässä oleva tunniste joka oikeasti toimii anonyymisti (käyttäjä on/ei täysi-ikäinen).

Niin kyllä minä valitsisin näistä tuon vaihtoehto 3:n. Koska se on näistä kolmesta ehdottomasti tietoturvallisin. Käytännössä tuo arvo (oikein tehtynä) ei luovuta ulos mitään muuta kuin tiedon, saako käyttäjä käyttää palvelua, eli yksinkertaistettuna:
Palvelu: Meillä on sisältö rajattu vain yli 18 vuotiaille.
Laite: käyttäjä on yli 18-vuotias.
Palvelu: Tervetuloa!

Verrattuna:
Palvelu: Meidän sisältö on rajattu vain yli 18 vuotiaille.
Laite: Käyttäjä on eurooppalainen.
Palvelu: Ok, EU-ID, luo minulle tunnistuskoodi
EU-ID: tunnistuskoodi on EBOS18mb96X tai Qr-koodi.
Palvelu: Tässä tunnistuskoodi käyttäjälle.
Laite: Tässä on tunnistuskoodi ja Qr. Käytä sovellusta.
Käyttäjä: kaivaa kännykän ottaa Qr-koodista kuvan.
Kännykkä: Hei EU-ID mulla on koodi EBOS18mb96X ja käyttäjä Matti Meikäläinen, ikää 37 vuotta.
EU-ID: Asia selvä, kerron palvelulle Eliitti-Some että käyttäjä Matti saa käyttää palvelua.
Palvelu: Käyttäjä Matti saa käyttää palvelua.
Laite: saat käyttää palvelua.

(En edes tee pahinta vaihtoehtoa, eli noiden passien jne kuvien syöttöä erilaisille nettilomakkeille. Tämä on se, mitä nykyään tehdään jo EUn ulkopuolella, ja jota itsekkin joutuu tekemään, jos vaikka Applen tuen kanssa pitää toimia, esim. Yritystilin omistajan vaihdos. Tämä siis koskee kaikkia muita maailman ihmisiä, paitsi eurooppalaisia, kunhan tuo EU-ID tulee käyttöön.)

Käytännössä tuossa ns. Hienossa EU-ID ajatuksessa on todella, todella monta porrasta, jossa on rikollisilla mahdollista ryöstää tunnukset. Asiaa ei yhtään helpota, että samalla tunnisteella voi varmasti tehdä ostoksia, tilata palveluita, rekisteröidä pankkitilejä, jne. Eli käytännössä sopivasti väärennetyllä viattomalla ikätarkistuksella koko EU-ID tunnus voidaan kaapata ja käyttää kyberrikoksien toteutukseen.

Tämän vuoksi olen Facebookin kanssa samaa mieltä (mutta eri syystä). Eli pääsääntöisesti, kun kirjaudutaan verkkopalveluihin/tunnistetaan ikä niihin. Niin sen pitäisi tapahtua käyttöjärjestelmän toimesta. Tällöin tuo erillinen vahva henkilön tunnistus (EU-ID, pankkitunnukset, jne.) jää tilanteisiin, kun pitää vahva tunnistautuminen tehdä. Käyttöjärjestelmään sitten tuolla EU-ID:llä se tunnistus asennuksen/käyttöönoton yhteydessä ja esim vanhemmille oikeus iättää alaikäiset lapset käyttäjinä. Eli molemmille on tarve, mutta niiden käyttöä kannattaa suunnitella oikeasti turvalliseksi, eli mahdollisimman vähän liikkuvia osia ja liikkuvaa tietoa.

Tämä kun oikeasti on kaikista anonyymein tapa tehdä se. Siksi minua oikeasti vähän yllättää, että just tietosuojaihmiset on eniten vastakarvaan tämän kanssa. Eritoten, kun avoimen lähdekoodin alustoilla (linux ja systemd) tuon anonymiteetin toteutuminen on helpompi varmentaa, kuin jollain suljetulla sovelluskokonaisuudella (kansalliset toteutukset EU-IDstä). Näiden kansallisten turvallisuudesta saatiin ihan vasta viimeksi esimerkki Ruotsin hallinnosta (ja sitä ylläpitäneen CGI:n koodihallinnasta).

Mutta ehkä tämä on nyt sitä, että syöksy kaninkoloon on kova ja metsää ei nähdä puilta. Koska ehdotus tulee Facebookilta, se ei voi olla hyvä, ei vain voi olla. Tosiasiassa, tämä on ehkä ensimmäinen järkevä ehdotus mitä niiltä on koskaan tullut.

Ps. Oli se ratkaisu mikä vain, niin kiertokeinot sille kuitenkin syntyy. Esim. Varmasti tuon systemd leiman muuttamiseksi on työkalut ja varmasti jossain on jo kehitteillä työkalu, joka arpoo sen randomiksi arvoksi aina, kun sitä kysytään.

#tietoturva #tietosuoja #EUid #ikäraja #systemd #ageverification #cybersecurity (translate from finnish to your language, if you wish to understand).