Android R mogao bi podržavati sigurno pohranjivanje mobilnih vozačkih dozvola na uređajima kao što su Google Pixel 2, Google Pixel 3 ili Google Pixel 4.
Ažuriranje 1 (6.3.2019. u 20:44 ET): Više detalja o Googleovim planovima za IdentityCredential API podijelio je Shawn Willden, voditelj sigurnosnog tima za Android hardver. Članak je ažuriran ovim detaljima na kraju. Izvorni članak slijedi.
Nošenje novčanika postalo mi je manje nužno otkako sam ga počeo koristiti Google Pay da upravljam svojim kreditnim karticama, ali još uvijek nema šanse da mogu bilo gdje putovati bez svoje vozačke dozvole. Poznajem nekoliko ljudi koji koriste futrole za novčanik da drže ono malo kartica koje imaju mora nastaviti njihovu osobu, ali čekam dan kada ću se moći legalno odvesti do Walmarta samo s telefonom na sebi. Digitalna vozačka dozvola nudi višestruke prednosti u odnosu na tradicionalnu osobnu iskaznicu. Ne možete ga izgubiti, možete ga ažurirati na daljinu tako da ne morate stajati u redu u DMV-u, možete ga obrisati na daljinu ako vam ukradu telefon, manje je vjerojatno da ćete saznati svoj identitet ukraden budući da ne morate nositi novčanik s lako dostupnim informacijama, manja je vjerojatnost da ćete telefon ostaviti kod kuće i lakše ćete ga izvući zahtjev. Vlasti diljem SAD-a polako prepoznaju prednosti mobilne vozačke dozvole, zbog čega čujemo da svake godine sve više američkih država testira njihovo prihvaćanje.
Na primjer, stanovnici Louisiane mogu preuzeti Envoc-razvijen LA novčanik aplikacija koju su odobrile službe za provođenje zakona LA-a za provjeru licence i ATC u LA-u za promet alkohola i duhana. Provjera dobi je posebno zanimljiva jer korisnici mogu ograničiti mobilnu aplikaciju da prikazuje samo potrebne informacije prodavaču alkohola ili duhana. Drugdje, tvrtka za digitalnu sigurnost Gemalto je u partnerstvu s Coloradom, Idahom, Marylandom, Washingtonom D.C. i Wyomingom kako bi pokrenuli pilot programe prije uvođenja svog rješenja za digitalnu vozačku dozvolu. U isto vrijeme, Američko udruženje administratora motornih vozila radi na standardizaciji ovog novog oblika elektroničke identifikacije.
Međutim, digitalna vozačka dozvola ima i mane. Imate veliku kontrolu nad time tko može vidjeti vašu fizičku iskaznicu, ali imate manje kontrole nad tim tko ili što ima pristup svom digitaliziranom obliku. Svoj telefon ili aplikaciju koja izvlači vašu mobilnu licencu možete zaštititi lozinkom ili PIN-om, ali uvijek postoji mogućnost da vaš telefon i svi podaci na njemu budu ugroženi. Osim toga, morate osigurati da vaš telefon ima dovoljno snage za rad Androida kako biste mogli podići licencu. s IdentityCredential API, Google radi na rješavanju oba ova problema. U budućoj verziji Androida, možda Androidu R, uređaji s pravim hardverom moći će sigurno pohranjivati identifikacijske kartice, posebice digitalne vozačke dozvole, pa čak i pristupiti im kada uređaj nema dovoljno snage za to pokretanje Androida.
IdentityCredential API
Na prvi pogled, obveza, koju je podnio Shawn Willden, voditelj Androidovog Hardware-backed Keystore tima, ne čini se baš zanimljivom. Međutim, ako pogledate datoteke IdentityCredential i IdentityCredentialStore, pronaći ćete višestruke reference na koje vrste "identitetskih vjerodajnica" Google misli. Na primjer, IdentityCredential koristi protokol razmjene ključeva koji "koristi ISO18013-5 standard za mobilne vozačke dozvole." Nadalje, ovaj se protokol koristi kao "temelj za tekući ISO rad na druge standardizirane vjerodajnice identiteta." Iako je malo vjerojatno da ćemo uskoro vidjeti mobilne putovnice, jasno je da je ovaj API namijenjen za više od samo mobilnih vozačkih dozvola.
Kopajući dublje, Google razrađuje vrste ključeva za potpisivanje koje podržava IdentityCredential API. Postoje dvije vrste provjere autentičnosti podataka: statička i dinamička. Statička provjera autentičnosti uključuje ključeve koje je izradilo tijelo koje ih izdaje, dok dinamička provjera autentičnosti uključuje ključeve koje je izradio sigurnosni hardver uređaja (kao što je Titan M u Pixelu 3 i Pixelu 3 XL.) Prednost dinamičke provjere autentičnosti je ta što je napadaču teže ugroziti sigurni hardver kako bi kopirao vjerodajnice na drugi uređaj. Nadalje, dinamička provjera autentičnosti otežava povezivanje određene vjerodajnice s podacima korisnika.
Android aplikacija može predstaviti IdentityCredential čitatelju tražeći od korisnika da pokrene bežičnu vezu putem NFC-a. Preporučuje se da aplikacije čuvaju te transakcije traženjem dopuštenja korisnika u obliku dijaloga i/ili zaštite lozinkom.
Ako uređaj ima podržani hardver, način "izravnog pristupa" bit će dostupan kako bi se omogućilo predstavljanje IdentityCredential-a čak i ako nema dovoljno energije za rad Androida. To je moguće samo ako uređaj ima diskretni sigurni hardver i dovoljno snage za rad tog hardvera za dijeljenje vjerodajnica putem NFC-a. Uređaji kao što su Google Pixel 2 i Google Pixel 3 trebali bi se kvalificirati jer oba uređaja jesu sigurnosni moduli otporni na neovlašteno korištenje koji su odvojeni od glavnog SoC-a.
Ako uređaj nema diskretni sigurni CPU, još uvijek može podržavati IdentityCredential API iako bez podrške za izravni pristup. Ako je pohrana vjerodajnica implementirana samo u softver, može biti ugrožena napadom na kernel. Ako je pohrana vjerodajnica implementirana u TEE, može biti ugrožena napadima s bočnih kanala na CPU kao što su Meltdown i Spectre. Ako je spremište vjerodajnica implementirano u zasebnom CPU-u ugrađenom u isti paket kao i glavni CPU, otporan je na napade fizičkog hardvera, ali se ne može napajati bez napajanja glavnog CPU.
Osjetljivost dokumenta će odrediti hoće li jedna ili više implementacija pohrane vjerodajnica identiteta biti podržane. Programeri mogu provjeriti sigurnosnu certifikaciju implementacije pohrane vjerodajnica identiteta. Implementacije pohrane vjerodajnica identiteta mogu biti necertificirane ili imati razinu osiguranja evaluacije 4 ili višu. EAL govori programerima aplikacija koliko je implementacija sigurna od mogućih napada.
Kao što sam već spomenuo, Google namjerava da se ovaj API koristi za bilo koju standardiziranu vrstu dokumenta, iako navodi ISO 18013 mobilne vozačke dozvole kao primjer. Vrsta dokumenta je neophodna kako bi sigurnosni hardver znao o kojoj se vrsti vjerodajnice radi trebao bi biti podržan način izravnog pristupa i omogućiti aplikacijama da znaju koja je vrsta dokumenta čitača tražeći.
To su sve informacije koje do sada imamo o ovom novom API-ju. Budući da smo tako blizu izdanju prvog Android Q Developer Preview-a, mislim da nije vjerojatno da ćemo vidjeti podršku za sigurno pohranjivanje mobilnih vozačkih dozvola u Androidu Q. Međutim, ovaj bi API mogao biti spreman do izlaska Androida R 2020. Google Pixel 2, Google Pixel 3 i nadolazeći Google Pixel 4 trebali bi podržavati ovaj API s načinom izravnog pristupa u Androidu R, zahvaljujući potrebnom diskretnom sigurnom CPU-u. Javit ćemo vam ako saznamo više informacija o tome što Google namjerava učiniti s ovim API-jem.
Ažuriranje 1: Više pojedinosti o API-ju IdentityCredential
Shawn Willden, autor obveze IdentityCredential API-ja, podijelio je dodatne pojedinosti o API-ju u odjeljcima s komentarima. Odgovorio je na nekoliko komentara korisnika koje prenosimo u nastavku:
Korisnik Munnimi je izjavio:
"A kada vam policija uzme telefon i ode do policijskog auta, mogu provjeriti što je u telefonu."
G. Willden je odgovorio:
"To je nešto na čemu posebno radim da bude nemoguće. Namjera je strukturirati tijek tako da službenik ne može korisno uzeti vaš telefon. Ideja je da dodirnete NFC službenikovim telefonom, zatim ga otključate otiskom prsta/lozinkom, a zatim vaš telefon ide u zaključani način dok se podaci prenose putem bluetootha/Wifi-ja. Način zaključavanja znači da se autentifikacija otiska prsta neće otključati, potrebna je lozinka. Ovo je konkretno radi prisiljavanja na zaštitu petog amandmana protiv samooptuživanja, za koju su neki sudovi utvrdili da ne sprječava policiju da vas prisili da otključate pomoću biometrije, ali svi se slažu da ih sprječava da vas prisili da date svoju lozinku (barem u sad).
Imajte na umu da je to težnja, a ne obveza. Načini na koje možemo prisiliti razvojne programere aplikacija za identitet ograničeni su, jer ako odemo predaleko, oni mogu samo odlučite ne koristiti naše API-je. Ali ono što mi možemo učiniti jest olakšati im da rade ispravno, osjetljivo na privatnost, stvar."
Korisnik RobboW je izjavio:
“Ovo je beskorisno u Australiji. Tijekom vožnje dužni smo imati svoju fizičku, službenu vozačku dozvolu. Digitalna kopija je upravo zrela za krađu identiteta."
G. Willden je odgovorio:
"Australija je aktivan sudionik u odboru ISO 18013-5 i vrlo je zainteresirana za podršku mobilnim vozačkim dozvolama. Što se tiče krađe identiteta, postoje mnoge zaštite protiv toga da se ugrade. U članku se spominju neki od njih."
Korisnik solitarios.lupus je izjavio:
"S obzirom na to što ova stranica radi, mislim da svi ovdje znaju da ovo neće raditi i da predstavlja veliki sigurnosni problem za provođenje zakona. Lako krivotvoriti, lažirati i manipulirati."
G. Willden je odgovorio:
"Otvoreno krivotvorenje bit će gotovo nemoguće jer su svi podaci digitalno potpisani. Krivotvorenje vjerodajnice zahtijevalo bi krivotvorenje digitalnog potpisa koji ili zahtijeva radikalni prekid relevantnog kriptografija (koja bi slomila TLS i gotovo sve ostalo) ili pak krađa potpisa tijela koje izdaje ključevi. Čak i izmjena, uzimanjem nekih potpisanih podatkovnih elemenata iz jednog DL-a (npr. datum rođenja koji pokazuje da imate više od 21) i nekih iz drugog (npr. vaša prava fotografija) bit će nemoguće, jer potpisivanje pokriva cijeli dokument, povezujući sve elemente zajedno."
Korisnička oznaka je izjavila:
"Ako fotokopija nikad nije vrijedila za osobnu iskaznicu, zašto telefoniranje čini razliku? Čak i ako Google obeća da će to učiniti sigurnim, kako to spriječiti nekoga da pokaže lažnu aplikaciju?
Ipak, čak i ako nema odgovora na to, i dalje mislim da je to dobra stvar iz razloga navedenih u ovom članku. Htio bih ga za putovnice - ne nužno za putovanja, ali u drugim prilikama kada je potrebna osobna iskaznica (ne vozim, pa mi je putovnica jedina osobna iskaznica).
Naravno, više bih volio da se Ujedinjeno Kraljevstvo ne pretvara u društvo "papiri molim", gdje morate imati skeniranu putovnicu čak i samo za odlazak u pub u nekim slučajevima..."
G. Willden je odgovorio:
"Digitalni potpisi će ga učiniti sigurnim. Možete imati lažnu aplikaciju, ali ona ne može proizvesti ispravno potpisane podatke.
Putovnice su također vrlo važne za ovaj posao, BTW. Vozačke dozvole su početna točka, ali protokoli i infrastruktura pažljivo su dizajnirani da podrže širok raspon identifikacijskih podataka, posebno uključujući putovnice. Naravno, morat ćemo uvjeriti ICAO da prihvati pristup, ali mislim da je to vrlo vjerojatno."
Zahvaljujući XDA Recognised Developer luca020400 za napojnicu!