Android R võib toetada mobiilsete juhilubade turvalist salvestamist sellistes seadmetes nagu Google Pixel 2, Google Pixel 3 või Google Pixel 4.
Värskendus 1 (06.03.19 kell 20:44 ET): Rohkem üksikasju Google'i plaanide kohta IdentityCredential API-ga on jaganud Shawn Willden, Androidi riistvaratoega turvameeskonna juht. Artiklit on nende üksikasjadega lõpus värskendatud. Algne artikkel järgneb.
Rahakoti kaasaskandmine on muutunud minu jaoks vähem vajalikuks alates selle kasutamise alustamisest Google Pay oma krediitkaarte hallata, aga ikka ei saa ma kuidagi ilma juhiloata kuhugi reisida. Ma tean mõnda inimest, kes kasutavad rahakotikarpe, et hoida neid väheseid kaarte peab nad jätkavad oma isikut, kuid ma ootan päeva, mil saan seaduslikult Walmarti sõita, telefon käes. Digitaalne juhiluba pakub traditsioonilise ID-kaardi ees mitmeid eeliseid. Te ei saa seda kaotada, saate seda kaugjuhtimisega värskendada, nii et te ei peaks DMV-s järjekorras seisma, saate selle kaugjuhtimisega kustutada, kui teie telefon varastatakse, on väiksem tõenäosus, et saate oma identiteeti varastatud, kuna teil pole vaja hõlpsasti juurdepääsetava teabega rahakotti kaasas kanda, on vähem tõenäoline, et te jätate telefoni koju ja teil on seda lihtsam üles tuua nõuda. Ametivõimud kogu USA-s hakkavad aeglaselt mõistma mobiilse juhiloa eeliseid, mistõttu kuuleme, kuidas üha rohkem USA osariike katsetab igal aastal nende kasutuselevõttu.
Näiteks saavad Louisiana elanikud alla laadida Envoc- arenenud LA rahakott rakendus, mille LA õiguskaitseasutused on litsentsi kontrollimiseks heaks kiitnud ja LA ATC alkoholi ja tubakaga seotud tehingute eest. Vanuse kontrollimine on eriti huvitav, kuna kasutajad saavad piirata mobiilirakendust nii, et see kuvab ainult vajalikku teavet alkoholi- või tubakamüüjale. Mujal digiturvafirma Gemalto teeb koostööd Colorado, Idaho, Marylandi, Washington D.C. ja Wyomingiga, et käivitada pilootprogramme enne nende digitaalse juhilubade lahenduse kasutuselevõttu. Samal ajal, Ameerika mootorsõidukite administraatorite assotsiatsioon töötab selle uue elektroonilise identifitseerimise vormi standardimise nimel.
Digitaalsel juhiloal on siiski ka varjukülgi. Teil on suur kontroll selle üle, kes teie füüsilist ID-d näevad, kuid vähem kontrolli selle üle, kes või mida on juurdepääs selle digiteeritud kujule. Saate oma telefoni või mobiililitsentsi hankivat rakendust parooli või PIN-koodiga kaitsta, kuid alati on võimalus, et teie telefon ja kõik selle andmed võivad ohtu sattuda. Lisaks peate veenduma, et teie telefonis on Androidi töös hoidmiseks piisavalt mahla, et saaksite litsentsi välja tõmmata. Koos IdentityCredential API, Google töötab mõlema probleemi lahendamise nimel. Androidi tulevases versioonis, võib-olla Android R-is, saavad õige riistvaraga seadmed turvaliselt salvestada isikutunnistused, eriti digitaalsed juhiload, ja isegi juurdepääsu neile, kui seadmel pole selleks piisavalt voolu Androidi käivitamine.
IdentityCredential API
Esmapilgul ei tundu Androidi riistvaratoega võtmehoidja meeskonna juhi Shawn Willdeni esitatud kohustus eriti huvitav. Kui aga vaatate faile IdentityCredential ja IdentityCredentialStore, leiate mitmeid viiteid selle kohta, millistele "identiteedimandaatidele" Google viitab. Näiteks kasutab IdentityCredential võtmevahetuse protokolli, mida "kasutab ISO18013-5 Mobiilsete juhilubade standard." Lisaks kasutatakse seda protokolli käimasoleva ISO-töö aluseks muud standardiseeritud identiteedimandaadidKuigi on ebatõenäoline, et me niipea mobiilipasse näeme, on selge, et see API on mõeldud rohkem kui lihtsalt mobiilsete juhilubade jaoks.
Põhjalikumalt uurides täpsustab Google IdentityCredential API toetatud allkirjastamisvõtmete tüüpe. Andmete autentimist on kahte tüüpi: staatiline ja dünaamiline. Staatiline autentimine hõlmab võtmeid, mille on loonud väljastanud asutus, samas kui dünaamiline autentimine hõlmab võtmeid, mille on loonud seadme turvariistvara (nt Titan M mudelites Pixel 3 ja Pixel 3 XL.) Dünaamilise autentimise eeliseks on see, et ründajal on raskem rikkuda turvalist riistvara, et kopeerida mandaat teise seadmesse. Lisaks raskendab dünaamiline autentimine konkreetse mandaadi sidumist kasutaja andmetega.
Androidi rakendus võib esitada lugejale IdentityCredential'i, paludes kasutajal luua juhtmevaba ühenduse NFC kaudu. Rakendustel soovitatakse neid tehinguid kaitsta, küsides kasutajalt luba dialoogi ja/või paroolikaitse vormis.
Kui seadmel on toetatud riistvara, on otsejuurdepääsu režiim saadaval, et võimaldada IdentityCredentiali esitamist isegi siis, kui Androidi tööshoidmiseks pole piisavalt energiat. See on võimalik ainult siis, kui seadmel on diskreetne turvaline riistvara ja piisavalt võimsust selle riistvara kasutamiseks ja NFC kaudu mandaadi jagamiseks. Sellised seadmed nagu Google Pixel 2 ja Google Pixel 3 peaksid kvalifitseeruma, kuna mõlemad seadmed on võltsimiskindlad turvamoodulid mis on peamisest SoC-st eraldi.
Kui seadmel pole diskreetset turvalist protsessorit, võib see siiski toetada IdentityCredential API-d, kuigi ilma otsese juurdepääsuta. Kui mandaadisalv on rakendatud ainult tarkvaras, võib tuumale suunatud rünnak seda ohustada. Kui mandaadisalv on TEE-s juurutatud, võivad seda ohustada külgkanalite rünnakud protsessori vastu, näiteks Meltdown ja Spectre. Kui mandaadisalv on juurutatud eraldi CPU-s, mis on manustatud põhipaketiga samasse paketti CPU, see on vastupidav füüsilistele riistvararünnakutele, kuid seda ei saa toita ilma ka põhitoideta PROTSESSOR.
Dokumendi tundlikkus määrab, kas üht või mitut nendest identiteedimandaatide salvestamise rakendustest toetatakse. Arendajad saavad kontrollida identiteedimandaatide poe juurutamise turvasertifikaati. Identiteedi mandaatide poe juurutused võivad olla sertifitseerimata või nende hindamiskindluse tase on 4 või kõrgem. EAL annab rakenduste arendajatele teada, kui turvaline on rakendamine võimalike rünnakute eest.
Nagu ma varem mainisin, kavatseb Google seda API-d kasutada mis tahes standardse dokumenditüübi jaoks, kuigi nad loetlevad näiteks ISO 18013 mobiilsed juhiload. Dokumendi tüüp on vajalik, et turvariistvara teaks, mis tüüpi mandaadiga tegu on Otsese juurdepääsu režiimi tuleks toetada ja võimaldada rakendustel teada, mis tüüpi dokument lugeja on taotledes.
See on kogu teave, mis meil selle uue API kohta seni on. Kuna oleme esimese Android Q arendaja eelvaate väljaandmisele nii lähedal, ei pea ma tõenäoliseks, et näeme Android Q-s mobiili juhilubade turvalise salvestamise tuge. See API võib aga valmis olla selleks ajaks, kui Android R 2020. aastal välja tuleb. Google Pixel 2, Google Pixel 3 ja tulevane Google Pixel 4 peaksid toetama seda API-t Android R-i otsejuurdepääsu režiimiga, kuna neil on vajalik diskreetne turvaline protsessor. Anname teile teada, kui saame rohkem teavet selle kohta, mida Google selle API-ga teha kavatseb.
Värskendus 1: lisateavet IdentityCredential API kohta
Shawn Willden, IdentityCredential API kohustuse autor, jagas kommentaaride jaotistes API kohta täiendavaid üksikasju. Ta vastas mõnele kasutajate kommentaarile, mida me allpool esitame:
Kasutaja Munnimi märkis:
"Ja kui politsei võtab teie telefoni ja läheb politseiauto juurde, saavad nad kontrollida, mis telefonis on."
Mr Willden vastas:
"See on midagi, mille nimel ma töötan konkreetselt, et muuta see võimatuks. Eesmärk on voog struktureerida nii, et ametnik ei saaks teie telefoni kasulikult kätte võtta. Idee seisneb selles, et teete NFC-puudutuse ametniku telefoniga, seejärel avate lukust sõrmejälje/parooliga, seejärel läheb telefon lukustusrežiimi, samal ajal kui andmeid edastatakse Bluetoothi/Wifi kaudu. Lukustusrežiim tähendab, et sõrmejäljega autentimine seda ei ava, vaja on parooli. See on spetsiaalselt selleks, et sundida kasutama viienda muudatuse kaitset enesesüüdistamise vastu, mida mõned kohtud on leidnud, et see ei kehti takistab politseil sundida teid biomeetria abil avama, kuid kõik nõustuvad, takistab neil sundida teid parooli andma (vähemalt USA).
Pange tähele, et see on püüdlus, mitte kohustus. Võimalused, kuidas saame identiteedirakenduste arendajatele voogu sundida, on piiratud, sest kui läheme liiga kaugele, saavad nad seda teha lihtsalt otsustage mitte kasutada meie API-sid. Aga mida me saame teha, on muuta neil õigete, privaatsustundlike toimingute tegemise lihtsamaks, asi."
Kasutaja RobboW ütles:
"See on Austraalias kasutu. Meil on kohustuslik, et sõidu ajal oleks kaasas füüsiline, ametlik juhiluba. Digitaalne koopia on just identiteedivarguse jaoks küps."
Mr Willden vastas:
"Austraalia on aktiivne osaleja ISO 18013-5 komitees ja on väga huvitatud mobiilsete juhilubade toetamisest. Mis puudutab identiteedivargust, siis selle sisseehitamise vastu on palju kaitsevahendeid. Artiklis mainitakse mõnda neist."
Kasutaja solitarios.lupus märkis:
"Arvestades, mida see sait teeb, arvan, et kõik siin teavad, et see ei tööta ja see on õiguskaitse jaoks tohutu turvaprobleem. Kergesti võltsitud, võltsitud ja manipuleeritav."
Mr Willden vastas:
„Otsevõltsimine on aga võimatu, sest kõik andmed on digitaalselt allkirjastatud. Mandaadi võltsimine nõuaks digiallkirja võltsimist, mis nõuab vastava radikaalset katkestamist krüptograafia (mis rikuks TLS-i ja peaaegu kõike muud) või muul viisil väljaandva asutuse allkirja varastamine võtmed. Isegi muutmine, võttes mõned allkirjastatud andmeelemendid ühest DL-ist (nt sünnikuupäev, mis näitab, et olete vanem kui 21) ja mõned teisest (nt teie pärisfoto) on võimatu, sest allkirjastamine katab kogu dokumendi, sidudes kõik elemendid kokku."
Kasutaja märgis märgitud:
"Kui fotokoopia ei kehtinud kunagi isikutunnistuse jaoks, siis miks on telefonis olemine vahet? Isegi kui Google lubab selle turvaliseks muuta, kuidas see takistab kedagi võltsrakendust näitamast?
Isegi kui sellele vastuseid pole, arvan ma siiski, et see on selles artiklis toodud põhjustel hea. Sooviksin seda passi jaoks - mitte tingimata reisimiseks, vaid muudel juhtudel, kui on vaja isikut tõendavat dokumenti (ma ei sõida autoga, seega on mu pass minu ainus ID).
Muidugi eelistaksin ka seda, kui Ühendkuningriik ei muutuks "pabereid palun" ühiskonnaks, kus mõnel juhul on vaja passi skaneerida isegi pubisse minekuks..."
Mr Willden vastas:
"Digiallkirjad muudavad selle turvaliseks. Teil võib olla võltsrakendus, kuid see ei suuda toota korralikult allkirjastatud andmeid.
Ka passid on selle töö jaoks väga sobivad, BTW. Lähtepunktiks on juhiload, kuid protokollid ja infrastruktuur on hoolikalt kavandatud, et toetada mitmesuguseid identiteedimandaate, sealhulgas passe. Muidugi peame veenma ICAO-d seda lähenemisviisi omaks võtma, kuid ma arvan, et see on väga tõenäoline.
Tänu XDA tunnustatud arendajale luca020400 jootraha eest!