European Digital ID Wallets and the Dependency on Google and Apple

歐洲數位身分證錢包與對 Google 和 Apple 的依賴

歐盟推動數位身分證錢包會造成對 Google 和 Apple 的系統性依賴。透過依賴專有硬體證明（proprietary hardware attestation）和應用程式商店生態系統，歐盟面臨削弱其數位主權目標，並為偏好開源作業系統或不持有智慧型手機的使用者建立障礙的風險。

依賴專有證明服務

歐洲數位身分證錢包的實施通常依賴專有安全框架，特別是 Google Play Services 和 Play Integrity API，以驗證裝置的完整性。這造成了技術瓶頸，即一家美國公司必須在歐洲公民能夠存取政府服務之前，先為其裝置的有效性進行擔保。

使用注重隱私的作業系統（例如 GrapheneOS）的使用者回報，官方錢包應用程式——包括義大利的 IO app——拒絕支援這些平台，因為它們需要 Google Play Services。這種依賴有效地排除了因安全或隱私原因而選擇退出 Google 生態系統的使用者。

與數位主權的衝突

依賴非歐洲的私人企業來管理國家身分基礎設施，與歐盟宣稱的數位主權目標產生了根本性的矛盾。批評者認為，這種架構使得歐盟在其身分系統的核心功能上，必須依賴兩家美國公司。

"A European digital ID system that is entirely dependent on 2 US companies. Wasn't there some talk about the pressing need for European digital sovereignty recently?"

此外，有人認為，這種對遠端證明（remote attestation）的依賴，賦予了政府決定哪些作業系統是可接受的權力，這可能導致未來對作業系統開發者施加壓力，要求其為情報機構實施後門。

存取障礙與數位包容性

要求使用智慧型手機應用程式進行數位身分驗證，會造成顯著的存取性差距。人們擔心，強制性的應用程式身分證會歧視對長者或那些無法負擔或選擇不持有智慧型手機的人。

在德國，已有法律先例，要求鐵路公司（DB）必須提供離線票務服務，以避免歧視不持有智慧型手機的人。如果 EUDI wallet 保持嚴格綁定於智慧型手機生態系統，預期將會面臨類似的法律挑戰。

建議的技術替代方案

技術專家和隱私倡議者建議了幾種替代於目前專有依賴型模型的方案：

• Hardware Tokens: 開發由政府核發的專用硬體權杖（hardware tokens），提供加密原語（cryptographic primitives）和裝置綁定金鑰，而不需要通用的作業系統。
• Local-First Open Standards: 轉向採用以本地優先（local-first）的開源標準（例如重建的 OpenID4VP），在這種模式下，政府核發的憑證會由使用者載入到任何支援的用戶端應用程式（官方、開源或專有）中，並使用開放協議來選擇性地分享數據。
• Web-Based IDs: 實施基於 Web 的身分驗證解決方案，以減少對 Google 和 Apple 限制性的「安全」服務的依賴。
• Zero-Knowledge Proofs (ZKP): 利用 ZKP 方案或盲簽名（blind signatures）進行匿名年齡驗證和數據分享，這將消除對通用作業系統進行身分驗證的需求。

規管對市場壟斷的影響

人們存在更廣泛的擔憂，即旨在遏制大科技公司（Big Tech）權力的規管，往往會無意中強化了壟斷。複雜規管的高昂實施成本可能會造成不公平的競爭環境，使得較小的開源參與者無法負擔合規成本，導致只有擁有資源的巨頭們能維持市場份額。