Google arbeitet an der sicheren Speicherung digitaler Führerscheine in Android

Android R könnte die sichere Speicherung mobiler Führerscheine auf Geräten wie Google Pixel 2, Google Pixel 3 oder Google Pixel 4 unterstützen.

Update 1 (06.03.19 um 20:44 Uhr ET): Weitere Details zu Googles Plänen für die IdentityCredential API wurden von Shawn Willden, Leiter des Android-Hardware-gestützten Sicherheitsteams, mitgeteilt. Der Artikel wurde am Ende mit diesen Details aktualisiert. Der Originalartikel folgt.

Seit ich es nutze, ist das Mitführen einer Brieftasche für mich weniger notwendig geworden Google Pay Ich muss meine Kreditkarten verwalten, aber ohne meinen Führerschein kann ich immer noch nirgendwohin reisen. Ich kenne ein paar Leute, die Brieftaschenetuis verwenden, um die wenigen Karten aufzubewahren, die sie haben muss Machen Sie weiter, aber ich warte auf den Tag, an dem ich legal nur mit meinem Telefon zu Walmart fahren kann. Ein digitaler Führerschein bietet gegenüber dem herkömmlichen Personalausweis mehrere Vorteile. Sie können es nicht verlieren, Sie können es aus der Ferne aktualisieren, sodass Sie nicht beim DMV anstehen müssen, Sie können es aus der Ferne löschen, wenn Ihr Telefon gestohlen wird, und die Wahrscheinlichkeit, dass Sie an Ihre Identität gelangen, ist geringer gestohlen werden, da Sie keine Brieftasche mit leicht zugänglichen Informationen bei sich haben müssen, die Wahrscheinlichkeit geringer ist, dass Sie Ihr Telefon zu Hause lassen, und es einfacher ist, es zur Hand zu haben Anfrage. Behörden in den USA erkennen langsam die Vorteile eines mobilen Führerscheins, weshalb wir hören, dass jedes Jahr mehr US-Bundesstaaten die Einführung testen.

Beispielsweise können Einwohner von Louisiana das herunterladen Gesandter-entwickelt LA-Geldbörse App, die von den Strafverfolgungsbehörden von LA zur Lizenzüberprüfung zugelassen wurde und LAs ATC für Alkohol- und Tabaktransaktionen. Die Altersüberprüfung ist besonders interessant, da Benutzer die mobile App so einschränken können, dass sie einem Alkohol- oder Tabakverkäufer nur die erforderlichen Informationen anzeigt. Anderswo: Unternehmen für digitale Sicherheit Gemalto arbeitet mit Colorado, Idaho, Maryland, Washington D.C. und Wyoming zusammen, um vor der Einführung ihrer digitalen Führerscheinlösung Pilotprogramme durchzuführen. Gleichzeitig ist die Amerikanischer Verband der Kraftfahrzeugverwalter arbeitet an der Standardisierung dieser neuen Form der elektronischen Identifizierung.

Ein Beispielbild eines digitalen Führerscheins, auf den über die LA Wallet-App zugegriffen wird. Quelle: Envoc

Allerdings gibt es auch Nachteile beim digitalen Führerschein. Sie haben viel Kontrolle darüber, wer Ihren Ausweis sehen darf, aber Sie haben weniger Kontrolle darüber, wer oder Was hat Zugriff auf seine digitalisierte Form. Sie können Ihr Telefon oder die App, die Ihre Mobilfunklizenz abruft, mit einem Passwort oder einer PIN schützen, es besteht jedoch immer die Möglichkeit, dass Ihr Telefon und alle seine Daten gefährdet werden. Außerdem müssen Sie sicherstellen, dass Ihr Telefon über genügend Saft verfügt, um Android am Laufen zu halten, damit Sie die Lizenz abrufen können. Mit dem IdentityCredential-APIGoogle arbeitet daran, diese beiden Probleme zu lösen. In einer zukünftigen Version von Android, vielleicht Android R, werden Geräte mit der richtigen Hardware in der Lage sein, sicher zu speichern B. Ausweise, insbesondere digitale Führerscheine, und greifen Sie sogar darauf zu, wenn das Gerät nicht über genügend Strom verfügt Booten Sie Android.

IdentityCredential-API

Auf den ersten Blick scheint der von Shawn Willden, Leiter des hardwaregestützten Keystore-Teams von Android, eingereichte Commit nicht sehr interessant zu sein. Wenn Sie sich jedoch die Dateien „IdentityCredential“ und „IdentityCredentialStore“ ansehen, finden Sie mehrere Hinweise darauf, auf welche Arten von „Identitätsanmeldeinformationen“ sich Google bezieht. IdentityCredential verwendet beispielsweise ein Protokoll für den Schlüsselaustausch, das „von der“ verwendet wird ISO18013-5 Standard für mobile Führerscheine.“ Darüber hinaus dient dieses Protokoll als „Grundlage für die laufende ISO-Arbeit an.“ andere standardisierte Identitätsnachweise„Obwohl es unwahrscheinlich ist, dass wir bald mobile Reisepässe sehen werden, ist klar, dass diese API nicht nur für mobile Führerscheine gedacht ist.

Google geht genauer auf die Arten von Signaturschlüsseln ein, die von der IdentityCredential-API unterstützt werden. Es gibt zwei Arten der Datenauthentifizierung: statisch und dynamisch. Die statische Authentifizierung umfasst Schlüssel, die von einer ausstellenden Behörde erstellt wurden, während die dynamische Authentifizierung Schlüssel umfasst, die von der Sicherheitshardware des Geräts erstellt wurden (z. B Titan M im Pixel 3 und Pixel 3 XL.) Der Vorteil der dynamischen Authentifizierung besteht darin, dass es für einen Angreifer schwieriger ist, die sichere Hardware zu kompromittieren, um die Anmeldeinformationen auf ein anderes Gerät zu kopieren. Darüber hinaus erschwert die dynamische Authentifizierung die Verknüpfung bestimmter Anmeldeinformationen mit den Daten eines Benutzers.

Eine Android-App kann einem Lesegerät ein IdentityCredential präsentieren, indem sie den Benutzer auffordert, eine drahtlose Verbindung über NFC herzustellen. Es wird empfohlen, dass Apps diese Transaktionen schützen, indem sie die Benutzererlaubnis in Form eines Dialogs und/oder eines Passwortschutzes anfordern.

Wenn ein Gerät über die unterstützte Hardware verfügt, ist der Modus „Direktzugriff“ verfügbar, der die Präsentation eines IdentityCredential ermöglicht, auch wenn nicht genügend Strom vorhanden ist, um Android am Laufen zu halten. Dies ist nur möglich, wenn das Gerät über diskrete sichere Hardware und genügend Leistung verfügt, um diese Hardware zu betreiben und die Anmeldeinformationen über NFC weiterzugeben. Geräte wie Google Pixel 2 und Google Pixel 3 sollten qualifiziert sein, da dies bei beiden Geräten der Fall ist manipulationssichere Sicherheitsmodule die vom Haupt-SoC getrennt sind.

Wenn das Gerät nicht über eine separate sichere CPU verfügt, kann es dennoch die IdentityCredential-API unterstützen, allerdings ohne direkte Zugriffsunterstützung. Wenn der Anmeldeinformationsspeicher nur in Software implementiert ist, kann er durch einen Angriff auf den Kernel kompromittiert werden. Wenn der Anmeldeinformationsspeicher im TEE implementiert ist, kann er durch Seitenkanalangriffe auf die CPU gefährdet werden, z Meltdown und Spectre. Wenn der Anmeldeinformationsspeicher in einer separaten CPU implementiert ist, die im selben Paket wie der Hauptprozessor eingebettet ist Die CPU ist resistent gegen physische Hardware-Angriffe, kann jedoch nicht mit Strom versorgt werden, ohne auch die Hauptplatine mit Strom zu versorgen CPU.

Die Vertraulichkeit des Dokuments bestimmt, ob eine oder mehrere dieser Implementierungen des Identitätsanmeldeinformationsspeichers unterstützt werden. Entwickler können die Sicherheitszertifizierung der Implementierung des Identitätsanmeldeinformationsspeichers überprüfen. Implementierungen des Identitätsnachweisspeichers können nicht zertifiziert sein oder eine Bewertungssicherungsstufe von 4 oder höher aufweisen. Der EAL teilt App-Entwicklern mit, wie sicher die Implementierung vor potenziellen Angriffen ist.

Wie ich bereits erwähnt habe, beabsichtigt Google, diese API für jeden standardisierten Dokumenttyp zu verwenden, führt jedoch als Beispiel mobile Führerscheine nach ISO 18013 auf. Der Dokumenttyp ist erforderlich, damit die Sicherheitshardware weiß, um welche Art von Berechtigungsnachweis es sich handelt Der Direktzugriffsmodus sollte unterstützt werden und es Apps ermöglichen, zu erkennen, um welche Art von Dokument es sich bei einem Leser handelt anfordern.

Das sind alle Informationen, die wir bisher über diese neue API haben. Da wir so kurz vor der Veröffentlichung der ersten Android Q Developer Preview stehen, halte ich es nicht für wahrscheinlich, dass wir in Android Q Unterstützung für die sichere Speicherung mobiler Führerscheine sehen werden. Diese API könnte jedoch bis zur Einführung von Android R im Jahr 2020 fertig sein. Google Pixel 2, Google Pixel 3 und das kommende Google Pixel 4 sollten diese API mit Direktzugriffsmodus in Android R unterstützen, da sie über die erforderliche diskrete sichere CPU verfügen. Wir informieren Sie, wenn wir weitere Informationen darüber erhalten, was Google mit dieser API vorhat.


Update 1: Weitere Details zur IdentityCredential-API

Shawn Willden, der Autor des IdentityCredential API-Commits, teilte in den Kommentaren zusätzliche Details zur API mit. Er beantwortete einige Kommentare von Benutzern, die wir im Folgenden wiedergeben:

Benutzer Munnimi erklärte:

„Und wenn die Polizei Ihr Telefon nimmt und zum Polizeiauto geht, können sie überprüfen, was sich im Telefon befindet.“

Herr Willden antwortete:

„Das ist etwas, woran ich gezielt arbeite, um es unmöglich zu machen. Ziel ist es, den Ablauf so zu strukturieren, dass der Beamte Ihr Telefon nicht sinnvoll mitnehmen kann. Die Idee besteht darin, dass Sie mit dem Telefon des Beamten auf NFC tippen, es dann mit Fingerabdruck/Passwort entsperren und dann in den Sperrmodus wechseln, während die Daten über Bluetooth/WLAN übertragen werden. Der Sperrmodus bedeutet, dass die Authentifizierung per Fingerabdruck das Gerät nicht entsperren kann, sondern ein Passwort erforderlich ist. Dies dient insbesondere dazu, die Berufung auf den Schutz vor Selbstbelastung durch den fünften Verfassungszusatz zu erzwingen, was nach Ansicht einiger Gerichte nicht der Fall ist Verhindern Sie, dass die Polizei Sie zum Entsperren mit biometrischen Daten zwingt, aber alle sind sich einig. Verhindert, dass sie Sie dazu zwingt, Ihr Passwort anzugeben (zumindest in die USA).

Beachten Sie, dass dies ein Wunsch und keine Verpflichtung ist. Die Möglichkeiten, wie wir den Entwicklern von Identitäts-Apps den Fluss aufzwingen können, sind begrenzt, denn wenn wir zu weit gehen, können sie es tun Entscheiden Sie sich einfach dafür, unsere APIs nicht zu verwenden. Aber was wir tun können, ist, es ihnen leichter zu machen, die richtigen, datenschutzrelevanten Maßnahmen zu ergreifen. Ding."

Benutzer RobboW erklärte:

„Das ist in Australien nutzlos. Wir sind verpflichtet, während der Fahrt unseren physischen, offiziellen Führerschein bei uns zu haben. Eine digitale Kopie ist geradezu reif für Identitätsdiebstahl.“

Herr Willden antwortete:

„Australien ist ein aktiver Teilnehmer im ISO 18013-5-Komitee und sehr daran interessiert, mobile Führerscheine zu unterstützen. Gegen Identitätsdiebstahl sind zahlreiche Schutzmaßnahmen eingebaut. Der Artikel erwähnt einige davon.“

Benutzer solitarios.lupus erklärte:

„Wenn man bedenkt, was diese Website tut, weiß jeder hier, dass dies nicht funktionieren wird und ein großes Sicherheitsrisiko für die Strafverfolgung darstellt.“ Zu leicht zu fälschen, zu fälschen und zu manipulieren.“

Herr Willden antwortete:

„Eine völlige Fälschung wird so gut wie unmöglich sein, da alle Daten digital signiert sind. Das Fälschen eines Ausweises würde das Fälschen der digitalen Signatur erfordern, was entweder einen radikalen Bruch des Relevanten erfordert Kryptographie (die TLS und so ziemlich alles andere kaputt machen würde) oder sonst die Signatur der ausstellenden Behörde stehlen Schlüssel. Sogar eine Änderung, indem einige signierte Datenelemente von einem DL übernommen werden (z. B. ein Geburtsdatum, aus dem hervorgeht, dass Sie über 21 Jahre alt sind) und einige von einem anderen (z. B. Ihr echtes Foto) ist nicht möglich, da die Unterzeichnung das gesamte Dokument abdeckt und alle Elemente miteinander verbindet.

Benutzermarke angegeben:

„Wenn eine Fotokopie nie als Ausweisdokument gültig war, warum macht es dann einen Unterschied, wenn man telefoniert?“ Selbst wenn Google verspricht, es sicher zu machen, wie verhindert das, dass jemandem eine gefälschte Anwendung angezeigt wird?

Auch wenn es darauf keine Antworten gibt, halte ich es dennoch aus den in diesem Artikel genannten Gründen für eine gute Sache. Ich hätte es gerne für Reisepässe – nicht unbedingt für Reisen, aber für andere Gelegenheiten, bei denen ein Ausweis benötigt wird (ich fahre nicht, daher ist mein Reisepass mein einziger Ausweis).

Natürlich wäre es mir auch lieber, wenn Großbritannien nicht zu einer „Papiere bitte“-Gesellschaft würde, in der man in manchen Fällen sogar einen Reisepass scannen lassen muss, um in eine Kneipe zu gehen …“

Herr Willden antwortete:

„Digitale Signaturen machen es sicher.“ Sie können eine gefälschte Anwendung haben, diese kann jedoch keine ordnungsgemäß signierten Daten erzeugen.

Übrigens sind auch Reisepässe für diese Arbeit von großer Bedeutung. Der Führerschein ist der Ausgangspunkt, aber die Protokolle und die Infrastruktur werden sorgfältig entwickelt, um eine breite Palette von Identitätsnachweisen, insbesondere Reisepässe, zu unterstützen. Natürlich müssen wir die ICAO davon überzeugen, diesen Ansatz zu übernehmen, aber ich halte das für sehr wahrscheinlich.“


Vielen Dank an den anerkannten XDA-Entwickler luca020400 für den Tipp!