Android R by mohl podporovat bezpečné ukládání mobilních řidičských licencí na zařízeních jako Google Pixel 2, Google Pixel 3 nebo Google Pixel 4.
Aktualizace 1 (3/6/19, 20:44 ET): Další podrobnosti o plánech společnosti Google ohledně rozhraní IdentityCredential API sdělil Shawn Willden, vedoucí týmu zabezpečení podporovaného hardwarem Android. Článek byl na konci aktualizován o tyto podrobnosti. Následuje původní článek.
Nošení peněženky se pro mě od té doby, co jsem ji začal používat, stalo menší nutností Google Pay spravovat své kreditní karty, ale stále neexistuje způsob, jak mohu někam cestovat bez řidičského průkazu. Znám pár lidí, kteří používají pouzdra na peněženky k uložení těch pár karet musí nést jejich osobu, ale čekám na den, kdy budu moci legálně jet do Walmartu jen s telefonem u sebe. Digitální řidičský průkaz nabízí oproti tradičnímu občanskému průkazu řadu výhod. Nemůžete jej ztratit, můžete jej aktualizovat na dálku, takže nemusíte stát frontu na DMV, můžete jej na dálku vymazat, pokud vám telefon ukradnou, je méně pravděpodobné, že získáte svou identitu odcizené, protože nepotřebujete nosit peněženku se snadno dostupnými informacemi, je méně pravděpodobné, že necháte telefon doma a budete mít snazší čas ho přinést žádost. Úřady v celých Spojených státech si pomalu uvědomují výhody mobilního řidičského průkazu, a proto každý rok slyšíme, že více států USA testuje jejich přijetí.
Například obyvatelé Louisiany si mohou stáhnout Envoc-rozvinutý Peněženka LA aplikace, která byla schválena orgány činnými v trestním řízení v LA pro ověření licence a ATC v LA pro transakce s alkoholem a tabákem. Ověření věku je obzvláště zajímavé, protože uživatelé mohou omezit mobilní aplikaci tak, aby zobrazovala potřebné informace pouze prodejci alkoholu nebo tabáku. Jinde společnost pro digitální zabezpečení Gemalto spolupracuje s Coloradem, Idahem, Marylandem, Washingtonem D.C. a Wyomingem na spuštění pilotních programů před uvedením jejich řešení pro digitální řidičské průkazy. Ve stejné době, Americká asociace správců motorových vozidel pracuje na standardizaci této nové formy elektronické identifikace.
Digitální řidičský průkaz má však své nevýhody. Máte velkou kontrolu nad tím, kdo uvidí váš fyzický průkaz, ale máte menší kontrolu nad tím, kdo nebo co má přístup k jeho digitalizované podobě. Svůj telefon nebo aplikaci, která stáhne vaši mobilní licenci, můžete chránit heslem nebo kódem PIN, ale vždy existuje možnost, že váš telefon a všechna jeho data budou ohrožena. Navíc se musíte ujistit, že váš telefon má dostatek šťávy, aby Android běžel, abyste mohli vytáhnout licenci. s IdentityCredential APIGoogle pracuje na vyřešení obou těchto problémů. V budoucí verzi Androidu, možná Android R, budou moci bezpečně ukládat zařízení se správným hardwarem identifikační karty, zejména digitální řidičské průkazy, a dokonce k nim přistupovat, když na to zařízení nemá dostatek energie spustit Android.
IdentityCredential API
Na první pohled se závazek předložený Shawnem Willdenem, vedoucím týmu úložiště klíčů podporovaného hardwarem Androidu, nezdá příliš zajímavý. Pokud si však prohlédnete soubory IdentityCredential a IdentityCredentialStore, najdete několik odkazů na to, jaké druhy „identifikačních údajů“ Google odkazuje. Například IdentityCredential používá protokol výměn klíčů, který „používá ISO18013-5 standard pro mobilní řidičské průkazy.“ Dále se tento protokol používá jako „základ pro pokračující práci na ISO další standardizované identifikační údaje.“ I když je nepravděpodobné, že se v dohledné době dočkáme mobilních pasů, je jasné, že toto API je určeno pro více než jen mobilní řidičské průkazy.
Při hlubším zkoumání Google rozvádí typy podpisových klíčů podporovaných rozhraním IdentityCredential API. Existují dva druhy ověřování dat: statické a dynamické. Statické ověřování zahrnuje klíče vytvořené vydávajícím úřadem, zatímco dynamické ověřování zahrnuje klíče vytvořené bezpečnostním hardwarem zařízení (např. Titan M v Pixel 3 a Pixel 3 XL.) Výhodou dynamické autentizace je, že pro útočníka je obtížnější ohrozit zabezpečený hardware a zkopírovat přihlašovací údaje do jiného zařízení. Dynamická autentizace navíc ztěžuje propojení konkrétního pověření s daty uživatele.
Aplikace pro Android může čtečce předložit IdentityCredential tak, že požádá uživatele, aby zahájil bezdrátové připojení prostřednictvím NFC. Aplikacím se doporučuje, aby tyto transakce střežily žádostí o povolení uživatele ve formě dialogu a/nebo ochrany heslem.
Pokud má zařízení podporovaný hardware, bude k dispozici režim „přímého přístupu“, který umožní předložení přihlašovacích údajů IdentityCredential, i když není dostatek energie k udržení Androidu v chodu. To je možné pouze v případě, že má zařízení diskrétní zabezpečený hardware a dostatek energie pro provoz tohoto hardwaru pro sdílení pověření přes NFC. Zařízení jako Google Pixel 2 a Google Pixel 3 by se měla kvalifikovat, protože obě zařízení mají bezpečnostní moduly odolné proti neoprávněné manipulaci které jsou oddělené od hlavního SoC.
Pokud zařízení nemá samostatný zabezpečený CPU, může stále podporovat rozhraní IdentityCredential API, i když bez podpory přímého přístupu. Pokud je úložiště pověření implementováno pouze softwarově, může být kompromitováno útokem na jádro. Pokud je úložiště pověření implementováno v TEE, může být kompromitováno útoky postranního kanálu na CPU, jako je např. Meltdown a Spectre. Pokud je úložiště pověření implementováno v samostatném CPU zabudovaném ve stejném balíčku jako hlavní CPU, je odolný vůči fyzickým hardwarovým útokům, ale nelze jej napájet bez napájení hlavního PROCESOR.
Citlivost dokumentu určí, zda bude podporována jedna nebo více těchto implementací úložiště pověření identity. Vývojáři mohou zkontrolovat bezpečnostní certifikaci implementace úložiště pověření identity. Implementace úložiště pověření identity mohou být necertifikované nebo mít úroveň zabezpečení hodnocení 4 nebo vyšší. EAL říká vývojářům aplikací, jak je implementace bezpečná proti potenciálním útokům.
Jak jsem již zmínil, Google má v úmyslu použít toto API pro jakýkoli typ standardizovaného dokumentu, i když jako příklad uvádí mobilní řidičské průkazy ISO 18013. Typ dokumentu je nezbytný, aby bezpečnostní hardware věděl, o jaký typ pověření se jedná měl by být podporován režim přímého přístupu a umožnit aplikacím vědět, jaký typ dokumentu je čtenář žádající.
To jsou všechny informace, které o tomto novém API zatím máme. Vzhledem k tomu, že jsme tak blízko vydání prvního Android Q Developer Preview, nemyslím si, že je pravděpodobné, že se dočkáme podpory pro bezpečné ukládání mobilních řidičských licencí v Androidu Q. Toto API by však mohlo být připraveno v době, kdy bude Android R uveden na trh v roce 2020. Google Pixel 2, Google Pixel 3 a chystaný Google Pixel 4 by měly podporovat toto API s režimem přímého přístupu v Android R, díky potřebnému diskrétnímu zabezpečenému CPU. Dáme vám vědět, pokud se dozvíme další informace o tom, co Google zamýšlí s tímto API udělat.
Aktualizace 1: Další podrobnosti o rozhraní IdentityCredential API
Shawn Willden, autor potvrzení IdentityCredential API, sdílel další podrobnosti o API v sekcích komentářů. Odpověděl na několik komentářů uživatelů, které budeme reprodukovat níže:
Uživatel Munnimi uvedl:
"A když vám policie vezme telefon a přijede k policejnímu autu, může zkontrolovat, co je v telefonu."
Pan Willden odpověděl:
„To je něco, na čem konkrétně pracuji, abych to znemožnil. Záměrem je strukturovat tok tak, aby důstojník nemohl užitečně vzít váš telefon. Myšlenka je taková, že klepnete na NFC telefonem důstojníka, poté odemknete otiskem prstu/heslem, poté váš telefon přejde do režimu uzamčení, zatímco se data přenášejí přes bluetooth/Wifi. Režim uzamčení znamená, že autentizace otiskem prstu jej neodemkne, je vyžadováno heslo. Jedná se konkrétně o vynucení uplatnění pátého dodatku ochrany proti sebeobviňování, což některé soudy shledaly nikoli zabránit policii, aby vás nutila odemykat pomocí biometrických údajů, ale všichni souhlasí, že jim brání v tom, aby vás nutila zadat vaše heslo (alespoň v Spojené státy).
Všimněte si, že je to aspirace, nikoli závazek. Způsoby, kterými můžeme vývojářům aplikací identity vnutit tok, jsou omezené, protože pokud zajdeme příliš daleko, mohou stačí se rozhodnout nepoužívat naše API. Ale co můžeme udělat, je usnadnit jim dělat to správné, citlivé na soukromí, věc."
Uživatel RobboW uvedl:
„V Austrálii je to k ničemu. Při řízení jsme povinni mít u sebe náš fyzický, oficiální řidičský průkaz. Digitální kopie je právě zralá na krádež identity.“
Pan Willden odpověděl:
„Austrálie je aktivním členem výboru ISO 18013-5 a má velký zájem o podporu mobilních řidičských průkazů. Pokud jde o krádež identity, existuje mnoho ochran proti této vestavěné. Článek zmiňuje některé z nich."
Uživatel solitarios.lupus uvedl:
"Když vezmeme v úvahu, co tato stránka dělá, myslím, že každý tady ví, že to nebude fungovat a je to obrovský bezpečnostní problém pro vymáhání práva. Snadno padělané, padělané a manipulovatelné.“
Pan Willden odpověděl:
„Naprosté padělání bude téměř nemožné, protože všechna data jsou digitálně podepsána. Padělání pověření by vyžadovalo padělání digitálního podpisu, což buď vyžaduje radikální porušení příslušného kryptografie (což by prolomilo TLS a v podstatě všechno ostatní) nebo krádež podpisu vydávajícího orgánu klíče. Dokonce i změny tím, že některé podepsané datové prvky z jednoho DL (např. datum narození ukazující, že je vám více než 21) a některé z jiného (např. vaše skutečná fotografie) nebude možné, protože podpis pokrývá celý dokument a spojuje všechny prvky dohromady.“
Uživatelská značka uvedena:
„Pokud fotokopie nikdy neplatila pro průkaz totožnosti, proč je na tom být na telefonu rozdíl? I když Google slíbí, že to zajistí, jak to zabrání tomu, aby někdo zobrazoval falešnou aplikaci?
Přesto, i když na to neexistují odpovědi, stále si myslím, že je to dobrá věc z důvodů uvedených v tomto článku. Chtěl bych to pro pasy - ne pro cestování nutně, ale pro jiné příležitosti, kde je potřeba ID (neřídím, takže můj pas je můj jediný průkaz).
Samozřejmě bych byl také radši, kdyby se Spojené království neměnilo ve společnost „papíry prosím“, kde potřebujete naskenovat pas, i když v některých případech stačí jít do hospody...“
Pan Willden odpověděl:
„Digitální podpisy zajistí bezpečnost. Můžete mít falešnou aplikaci, ale ta nemůže produkovat správně podepsaná data.
Pasy jsou také velmi důležité pro tuto práci, BTW. Výchozím bodem jsou řidičské licence, ale protokoly a infrastruktura jsou pečlivě navrženy tak, aby podporovaly širokou škálu identifikačních údajů, konkrétně včetně pasů. Samozřejmě budeme muset přesvědčit ICAO, aby přijala tento přístup, ale myslím si, že je to velmi pravděpodobné."
Díky XDA Recognized Developer luca020400 za tip!