Android R kunne understøtte sikker opbevaring af mobile kørekort på enheder som Google Pixel 2, Google Pixel 3 eller Google Pixel 4.
Opdatering 1 (3/6/19 @ 20:44 ET): Flere detaljer om Googles planer for IdentityCredential API er blevet delt af Shawn Willden, leder af Android hardware-understøttet sikkerhedsteam. Artiklen er blevet opdateret med disse detaljer i slutningen. Den originale artikel følger.
At bære en pung er blevet mindre nødvendig for mig, siden jeg begyndte at bruge Google Pay at administrere mine kreditkort, men der er stadig ingen måde, jeg kan rejse nogen steder uden mit kørekort. Jeg kender nogle få mennesker, der bruger tegnebøger til at holde de få kort, de har skal fortsætte med deres person, men jeg venter på den dag, hvor jeg lovligt kan køre til Walmart med kun min telefon på mig. Et digitalt kørekort giver flere fordele i forhold til det traditionelle ID-kort. Du kan ikke miste den, du kan opdatere den eksternt, så du ikke behøver at stå i kø ved DMV, du kan fjernslette den, hvis din telefon bliver stjålet, du er mindre tilbøjelig til at få din identitet stjålet, da du ikke behøver at bære en pung med let tilgængelig information, er der mindre sandsynlighed for, at du efterlader din telefon hjemme, og du vil have lettere ved at tage den op på anmodning. Myndigheder i hele USA erkender langsomt fordelene ved et mobilt kørekort, og det er derfor, vi hører flere amerikanske stater teste deres vedtagelse hvert år.
For eksempel kan beboere i Louisiana downloade Envoc-udviklede sig LA tegnebog app, som er blevet godkendt af LAs retshåndhævelse til licensbekræftelse og LA's ATC for alkohol- og tobakshandler. Aldersbekræftelse er særligt interessant, da brugere kan begrænse mobilappen til kun at vise nødvendige oplysninger til en leverandør af alkohol eller tobak. Andetsteds digitalt sikkerhedsfirma Gemalto samarbejder med Colorado, Idaho, Maryland, Washington D.C. og Wyoming for at køre pilotprogrammer, før de udruller deres digitale kørekortløsning. Samtidig er American Association of Motor Vehicle Administrators arbejder på at standardisere denne nye form for elektronisk identifikation.
Der er dog ulemper ved det digitale kørekort. Du har meget kontrol over, hvem der skal se dit fysiske ID, men du har mindre kontrol over, hvem eller hvad har adgang til sin digitaliserede formular. Du kan kodeords- eller PIN-beskytte din telefon eller den app, der henter din mobillicens, men der er altid en chance for, at din telefon og alle dens data kan blive kompromitteret. Derudover skal du sørge for, at din telefon har nok juice til at holde Android kørende, så du kan trække licensen op. Med IdentityCredential API, arbejder Google på at løse begge disse problemer. I en fremtidig version af Android, måske Android R, vil enheder med den rigtige hardware kunne opbevares sikkert id-kort, især digitale kørekort, og endda få adgang til dem, når enheden ikke har nok strøm til at boot Android.
IdentityCredential API
Ved første øjekast virker tilsagnet, indsendt af Shawn Willden, leder af Androids hardware-støttede Keystore Team, ikke særlig interessant. Men hvis du ser IdentityCredential- og IdentityCredentialStore-filerne, vil du finde flere referencer til, hvilke slags "identitetsoplysninger" Google henviser til. For eksempel bruger IdentityCredential en protokol for nøgleudvekslinger, der "bruges af ISO18013-5 standard for mobile kørekort." Endvidere bruges denne protokol som "grundlag for det løbende ISO-arbejde med andre standardiserede identitetsoplysninger." Selvom det er usandsynligt, at vi snart vil se mobilpas, er det klart, at denne API er beregnet til mere end blot mobile kørekort.
Når vi graver dybere, uddyber Google de typer signeringsnøgler, der understøttes af IdentityCredential API. Der er to slags datagodkendelse: statisk og dynamisk. Statisk godkendelse involverer nøgler oprettet af en udstedende myndighed, hvorimod dynamisk godkendelse involverer nøgler, der er oprettet af enhedens sikkerhedshardware (som f.eks. Titan M i Pixel 3 og Pixel 3 XL.) Fordelen ved dynamisk godkendelse er, at det er sværere for en angriber at kompromittere den sikre hardware for at kopiere legitimationsoplysningerne til en anden enhed. Ydermere gør dynamisk godkendelse det sværere at forbinde en bestemt legitimationsoplysninger med en brugers data.
En Android-app kan præsentere en IdentityCredential for en læser ved at bede brugeren om at starte en trådløs forbindelse via NFC. Apps anbefales til at beskytte disse transaktioner ved at anmode om brugertilladelse i form af en dialogboks og/eller adgangskodebeskyttelse.
Hvis en enhed har den understøttede hardware, vil tilstanden "direkte adgang" være tilgængelig for at tillade, at en IdentityCredential præsenteres, selvom der ikke er nok strøm til at holde Android kørende. Dette er kun muligt, når enheden har diskret sikker hardware og nok strøm til at betjene den hardware til at dele legitimationsoplysningerne over NFC. Enheder som Google Pixel 2 og Google Pixel 3 bør kvalificere sig, da begge enheder har manipulationssikre sikkerhedsmoduler der er adskilt fra den primære SoC.
Hvis enheden ikke har en diskret sikker CPU, kan den stadig understøtte IdentityCredential API omend uden direkte adgangsunderstøttelse. Hvis legitimationslageret kun er implementeret i software, kan det blive kompromitteret af et angreb på kernen. Hvis legitimationslageret er implementeret i TEE'en, kan det blive kompromitteret af sidekanalangreb på CPU'en som f.eks. Nedsmeltning og Spectre. Hvis legitimationslageret er implementeret i en separat CPU, der er indlejret i den samme pakke som den primære CPU, den er modstandsdygtig over for fysiske hardwareangreb, men kan ikke drives uden også at forsyne hovedstrømforsyningen CPU.
Følsomheden af dokumentet vil afgøre, om en eller flere af disse implementeringer af identitetslegitimationslager vil blive understøttet. Udviklere kan kontrollere sikkerhedscertificeringen af implementeringen af identitetslegitimationslageret. Implementeringer af identitetslegitimationsbutikker kan være ucertificerede eller have et Evaluation Assurance Level på 4 eller højere. EAL fortæller appudviklere, hvor sikker implementeringen er mod potentielle angreb.
Som jeg nævnte før, har Google til hensigt, at denne API skal bruges til enhver standardiseret dokumenttype, selvom de angiver ISO 18013 mobile kørekort som et eksempel. Dokumenttypen er nødvendig, så sikkerhedshardwaren ved, hvilken type legitimationsoplysninger det er i tilfælde af direkte adgangstilstand bør understøttes, og for at tillade apps at vide, hvilken type dokument en læser er anmodende.
Det er alle de oplysninger, vi indtil videre har om denne nye API. Da vi er så tæt på udgivelsen af den første Android Q Developer Preview, tror jeg ikke, det er sandsynligt, at vi vil se support til sikker opbevaring af mobile kørekort i Android Q. Denne API kan dog være klar, når Android R lanceres i 2020. Google Pixel 2, Google Pixel 3 og kommende Google Pixel 4 skulle understøtte denne API med direkte adgangstilstand i Android R, takket være den nødvendige diskrete sikre CPU. Vi giver dig besked, hvis vi får flere oplysninger om, hvad Google agter at gøre med denne API.
Opdatering 1: Flere detaljer om IdentityCredential API
Shawn Willden, forfatteren af IdentityCredential API commit, delte yderligere detaljer om API'et i kommentarsektionerne. Han besvarede et par kommentarer fra brugere, som vi vil gengive nedenfor:
Bruger Munnimi udtalte:
"Og når politiet tager din telefon og går hen til politibilen, kan de tjekke, hvad der er i telefonen."
Mr. Willden svarede:
"Det er noget, jeg specifikt arbejder på at umuliggøre. Hensigten er at strukturere flowet, så betjenten ikke med fordel kan tage din telefon. Ideen er, at du laver NFC-tap med betjentens telefon, låser derefter op med fingeraftryk/adgangskode, så går din telefon i låsetilstand, mens dataene overføres via bluetooth/Wifi. Låsetilstand betyder, at fingeraftryksgodkendelse ikke låser den op, en adgangskode er påkrævet. Dette er specifikt for at fremtvinge påberåbelse af den femte ændringsbeskyttelse mod selvinkriminering, som nogle domstole har fundet ikke forhindre politiet i at tvinge dig til at låse op med biometri, men alle er enige om at forhindre dem i at tvinge dig til at give din adgangskode (i hvert fald i USA).
Bemærk, at det er en forhåbning, ikke en forpligtelse. Måderne, hvorpå vi kan tvinge strømmen på identitetsapp-udviklere, er begrænsede, for hvis vi går for langt, kan de det bare vælg ikke at bruge vores API'er. Men det, vi kan gøre, er at gøre det lettere for dem at gøre det rigtige, privatlivsfølsomme, ting."
Bruger RobboW udtalte:
"Dette er ubrugeligt i Australien. Vi skal have vores fysiske, officielle kørekort med, mens vi kører. En digital kopi er bare moden til identitetstyveri."
Mr. Willden svarede:
"Australien er en aktiv deltager i ISO 18013-5-udvalget og meget interesseret i at støtte mobile kørekort. Hvad angår identitetstyveri, er der masser af beskyttelse mod, at det bliver indbygget. Artiklen nævner nogle af dem."
Bruger solitarios.lupus udtalte:
"I betragtning af, hvad dette websted gør, tror jeg, at alle her ved, at dette ikke vil fungere og er et stort sikkerhedsproblem for retshåndhævelse. Let at forfalske, forfalske og manipulere."
Mr. Willden svarede:
"Retint forfalskning vil være næsten umuligt, fordi alle data er digitalt signeret. Forfalskning af en legitimation ville kræve forfalskning af den digitale signatur, hvilket enten kræver et radikalt brud af det relevante kryptografi (som ville bryde TLS og stort set alt andet) eller på anden måde stjæle den udstedende myndigheds underskrift nøgler. Selv ændring, ved at tage nogle signerede dataelementer fra en DL (f.eks. en fødselsdato, der viser, at du er over 21) og nogle fra en anden (f.eks. dit rigtige billede) vil være umuligt, fordi underskriften dækker hele dokumentet og binder alle elementerne sammen."
Brugermærke sagde:
"Hvis en fotokopi aldrig var gyldig til ID, hvorfor gør det så en forskel at være i telefon? Selvom Google lover at gøre det sikkert, hvordan forhindrer det nogen i at vise en falsk applikation?
Alligevel, selvom der ikke er svar på det, synes jeg stadig, at det er en god ting af de grunde, der er angivet i denne artikel. Jeg vil gerne have det til pas - ikke til at rejse nødvendigvis, men andre lejligheder, hvor der er behov for ID (jeg kører ikke, så mit pas er mit eneste ID).
Selvfølgelig ville jeg også foretrække det, hvis Storbritannien ikke var ved at blive til et "papers please"-samfund, hvor du skal have et pas scannet, selv bare for at gå på en pub i nogle tilfælde..."
Mr. Willden svarede:
"Digitale signaturer vil gøre det sikkert. Du kan have en falsk applikation, men den kan ikke producere korrekt signerede data.
Pas er også meget i omfang til dette arbejde, BTW. Kørekort er udgangspunktet, men protokollerne og infrastrukturen er omhyggeligt designet til at understøtte en bred vifte af identitetsoplysninger, specielt inklusive pas. Selvfølgelig bliver vi nødt til at overbevise ICAO om at vedtage tilgangen, men jeg tror, det er meget sandsynligt."
Tak til XDA Recognized Developer luca020400 for tippet!