Tag: wolność

Opublikowane w

Podwójne standardy

Przy okazji wchodzącej w wielu zakątkach Internetu weryfikacji wieku i protestów z nią związanych, zauważyłem występowanie podwójnych standardów. Chodzi o to, że w świecie fizycznym raczej nikt nie ma problemu z tym, że wiek jest weryfikowany i istnieją ograniczenia wiekowe, a pewne rzeczy dostępne są tylko dla osób pełnoletnich.

Chodzi o możliwość zakupu alkoholu, wyrobów tytoniowych, ostatnio do towarów dostępnych tylko dla pełnoletnich zostały dodane energetyki. Podobnie jest z głosowaniem – czynne prawo wyborcze przysługuje od ukończenia 18 lat. Bierne – jeszcze później.

Tymczasem podnoszony jest argument, że tak nie można, bo prywatność, bo anonimowość, bo wolność. Zastanawiam się jednak, czy anonimowość – czy też: przyzwolenie na nią – mieliśmy do tej pory. Czy możliwość względnej anonimowości pojawiła się dopiero wraz z pojawieniem się Internetu. Przecież idąc do sklepu czy lokalu wyborczego nie jesteśmy anonimowi. Widać, kto kupuje (nawet niekoniecznie towary dostępne od 18 roku życia). W lokalu wyborczym sprawdzana jest tożsamość (i pośrednio wiek) osoby głosującej.

Co więcej, zakaz utrudniania (nawet nie: uniemożliwiania) identyfikacji osoby występuje – już teraz – także w miejscach, gdzie w przypadku uczestnictwa nie ma wymogu ukończenia określonego wieku. Na przykład ustawa o bezpieczeństwie imprez masowych mówi:

Art. 57a. Kto w miejscu i w czasie trwania masowej imprezy sportowej używa
elementu odzieży lub przedmiotu w celu uniemożliwienia lub istotnego utrudnienia rozpoznania osoby, podlega karze ograniczenia wolności albo grzywny nie niższej niż 2000 zł.

Czyli nie można anonimowo kibicować drużynie sportowej. I jakoś nikt nie robi o to afery, prawda?

Podobnie jest z rejestracją kart SIM. Obowiązek rejestracji mamy od około dekady. Jest to ograniczenie anonimowego dostępu do komunikacji telefonicznej, internetu oraz SMSów. Oraz niejawny wymóg weryfikacji wieku. Osoba poniżej 18 roku życia może zarejestrować kartę SIM, o ile ukończyła 13 lat i posiada dowód osobisty. Ten uprawniający do rejestracji karty SIM można mieć po ukończeniu 13 roku życia ale… za zgodą rodziców.

Realny, odczuwalny wpływ w przypadku kart SIM? Dla przytłaczającej większości obywateli żaden. Anegdotycznie, słyszałem, że po wprowadzeniu obowiązku rejestracji kart SIM, osoba zarządzająca w branży budowlanej przestała dostawać telefony z pogróżkami w weekendy od niekoniecznie trzeźwych expracowników.

Dyskusja nt. weryfikacji wieku online mogłaby być znacznie bardziej konstruktywna, gdybyśmy przestali stosować podwójne standardy…

Opublikowane w

Wrażenia z P.I.W.O. 2025

Zgodnie z informacjami ze strony, samo P.I.W.O. miało 7 lat przerwy. Dla mnie ta przerwa była dłuższa, bo jeśli wierzyć notkom, ostatnio byłem na tej imprezie trzynaście lat temu. I pewnie tak było, choć nie pamiętam czemu. Kolizja terminów jakaś? Zapewne tak.

Jednak w tym roku dotarłem. I od razu powiem, że nie żałuję. Trochę się pozmieniało w stosunku do tego, co zapamiętałem z poprzednich edycji, muszę przyznać. Jakby większa impreza się zrobiła. Przede wszystkim, były dwie równoległe ścieżki. Czyli z rozmachem, bo z tego co pamiętam kiedyś była tylko jedna ścieżka. Sporo przyjezdnych, nie tylko ludzie z Poznania – czyli znowu, większa impreza. Podobno było niemal dwustu uczestników i choć nie mam danych z poprzednich edycji, to też wydaje mi się, że więcej. Sale, choć duże i dwie, nie sprawiały wrażenia pustych.

Organizacyjnie dobrze, mimo zmiany miejscówki w ostatniej chwili. Dobra strona z agendą. Lekkie problemy ze sprzętem (raczej dotyczyły streamingu), trochę za bardzo dmuchająca klima w jednej sali[1], lekki poślizg na początku, ale – poza tym – OK. No właśnie, był streaming na żywo, więc jeśli ktoś nie mógł dotrzeć, to mógł oglądać. Kolejna zmiana – kiedyś tego nie było. Było też LAN party, ale zupełnie odpuściłem.

Wykłady o bardzo różnej tematyce. Nie miałem oczekiwań w stosunku do tematów i raczej chodziłem na te „dalsze” tematycznie, żeby posłuchać o czymś nowym. Trochę nowego softu i rozwiązań poznałem. Liczę, że będą nagrania, pewnie będę musiał nadrobić. Duże wrażenie zrobiły na mnie lightning talks – niesamowita dawka energii, duże zaangażowanie.

Z obserwacji wysokopoziomowych: mało było o systemach operacyjnych, więcej o sofcie. Rust zyskuje popularność. Tematy raczej zaawansowane/geekowe/niszowe.

Był quiz, tym razem aż 4 błędy na 30 pytań, więc bez nagrody.

Po jednym z wykładów ciekawa – choć IMHO niezbyt optymistyczna – rozmowa o tym, jak kiedyś zamknięte oprogramowanie, prawa autorskie, patenty, planowane postarzanie, a w końcu model subskrybcyjny na wszystko służą do zwiększania zysku korporacji, kosztem ograniczania praw ludzi. Pewnie temat na dłuższą notkę, która nigdy nie powstanie.

Fun i ciekawostki: pierwsze zdanie ze sceny to „przepraszam za Windowsa” i faktycznie jeden z komputerów na których były prezentacje działał pod kontrolą Windows. Tegoroczne P.I.W.O. można było od biedy pomylić ze zlotem użytkowników Mastodona – już w drodze widziałem, że na wydarzeniu meldują się kolejne osoby. Była więc okazja do dewirtualizacji, choć nie ze wszystkimi udało się zbić piątkę. Może za rok? Bo mam nadzieję, że będzie, super impreza.

[1] Początkowo myślałem, że niefortunnie siadłem, ale później słyszałem, że ktoś narzekał, że zimno w sali. Nie wiem czy organizatorzy mieli w ogóle wpływ na to.

Opublikowane w

Potwierdź mój wiek, anonimowo

Pojawiło się zagadnienie weryfikacji wieku przyjaznego dla prywatności czyli anonimowej weryfikacji wieku. Czyli mamy serwis X, który chce potwierdzić, że użytkownik ma 18 lat, ale jednocześnie ma otrzymać możliwie mało danych na temat tego użytkownika. Idealnie: tylko wiek.

Rysiek zaproponował rozwiązanie, które zaintrygowało mnie na tyle, że postanowiłem przeanalizować, czy to ma szansę działać. Wyszło mi, że nie. W tym wpisie skupiam się wyłącznie na proponowanym opisie algorytmu, czyli punktach i akapicie w którym jest zawarty.

Podsumowując założenia, ma tam być tak, że jest serwis X, użytkownik U, oraz serwis potwierdzania identyfikacji EID. X ma nie wiedzieć, kim jest U (dane osobowe). EID jak najbardziej zna dane osobowe użytkownika U, ma potwierdzić wiek, ale ma nie wiedzieć, że potwierdzenie jest na potrzeby serwisu X.

Problemy, które tu widzę, są dwa. Pierwszy jest taki, że użytkownik U w pełni kontroluje komunikację pomiędzy X a EID. Najpierw wysyła dane (które może dowolnie ustalić przed wysłaniem), potem otrzymuje odpowiedź, którą przekazuje. Czyli mamy do czynienia z man in the middle. Nie byłoby tu wielkiego problemu, gdyby EID wiedziało, że rozmawia z X – wystarczyłoby wtedy użyć odpowiednich kluczy prywatnych i publicznych. Ale jest to sprzeczne z założeniami.

Drugi problem jest poważniejszy. Serwis X nie wie, jakiego użytkownika weryfikuje. W tej sytuacji dowolny „dowód osobisty” może posłużyć do weryfikacji użytkownika.

Przekładając to na bardziej tradycyjne okoliczności: osoba w kominiarce przychodzi kupić alkohol i w ramach weryfikacji wieku pokazuje na ekranie telefonu zdjęcie dowodu osobistego. Czy sprzedawca jest w stanie zweryfikować wiek osoby na tej podstawie? Wg mnie – nie bardzo. Zdjęcie na ekranie to tutaj odpowiednik MITM (nie wiemy nawet, czy dowód jest autentyczny). Natomiast kominiarka (ukrycie tożsamości, anonimowość) uniemożliwia sprawdzenie, czy dowód należy do danej osoby.

Czyli dokładanie kolejnych warstw, algorytmów, systemów, stron w komunikacji nie zwiększa nam tu pewności anonimowej weryfikacji wieku. Nie w stosunku do wybrania przez użytkownika na stronie opcji „potwierdzam, że mam 18 lat”.

Być może po prostu mamy problem z akceptacją faktu, że weryfikacja wieku nigdy nie była anonimowa? Bo sprzedawca w sklepie z alkoholem nie tylko sprawdza[1], czy osoba posiada dowód osobisty. Sprawdza też, czy jest on autentyczny. I czy należy do tej osoby. OK, do tego ostatniego nie potrzebuje tu kompletu danych z dowodu, wystarczy zdjęcie. Ale do pozostałych danych ma dostęp w trakcie sprawdzania autentyczności.

Na Mastodonie trwa dyskusja, pewnie warto zapoznać się z całością, a komentować czy sugerować działające rozwiązania można równie dobrze tam.

[1] A przynajmniej powinien to robić.