Google はデジタル運転免許証を Android に安全に保存することに取り組んでいます

Android R は、Google Pixel 2、Google Pixel 3、Google Pixel 4 などのデバイスでのモバイル運転免許証の安全な保存をサポートする可能性があります。

アップデート 1 (2019 年 3 月 6 日 @ 8:44 PM (東部標準時間)): IdentityCredential API に関する Google の計画の詳細は、Android ハードウェア支援セキュリティ チーム リーダーの Shawn Willden によって共有されています。 記事は更新され、最後にこれらの詳細が記載されています。 元の記事は次のとおりです。

これを使い始めてから財布を持ち歩く必要がなくなりました Google Pay クレジットカードを管理するためですが、それでも運転免許証なしではどこへでも旅行することはできません。 私は何枚かのカードを入れるためにウォレットケースを使用している人を何人か知っています。 しなければならない 彼らの身柄を引き継いでください、しかし私は携帯電話だけを持ってウォルマートまで合法的に運転できる日を待っています。 デジタル運転免許証には、従来の ID カードに比べてさまざまな利点があります。 紛失することはなく、リモートで更新できるため、DMV の行列に並ぶ必要がなく、携帯電話が盗まれた場合でもリモートでデータを消去できるため、個人情報が漏洩する可能性が低くなります。 簡単にアクセスできる情報を入れた財布を持ち歩く必要がなくなり、携帯電話を家に置き忘れる可能性が減り、外出時に持ち出すのも簡単になるため、盗難に遭うことはありません。 リクエスト。 全米の当局はモバイル運転免許証の利点を徐々に認識しており、それが、米国のより多くの州が毎年モバイル運転免許証の導入をテストしていると聞いている理由です。

たとえば、ルイジアナ州の居住者は、 エンヴォック-発展した LAウォレット LA の法執行機関によってライセンス認証が承認されているアプリ LAのATC 酒類やタバコの取引に。 年齢認証は、ユーザーがモバイル アプリを制限して、アルコールやタバコの販売者に必要な情報のみを表示できるようにすることができるため、特に興味深いものです。 他の場所では、デジタル セキュリティ会社 ジェムアルト はコロラド、アイダホ、メリーランド、ワシントン D.C.、ワイオミングと提携して、デジタル運転免許証ソリューションを展開する前にパイロット プログラムを実行しています。 同時に、

米国自動車管理者協会 は、この新しい形式の電子身分証明書の標準化に取り組んでいます。

LA ウォレット アプリを通じてアクセスしたデジタル運転免許証のサンプル画像。 出典: エンヴォック

ただし、デジタル運転免許証には欠点もあります。 誰が自分の物理的な ID を閲覧できるかについてはかなり制御できますが、誰に、またはどのように表示されるかについてはあまり制御できません。 デジタル化されたフォームにアクセスできます。 携帯電話やモバイル ライセンスを取得するアプリをパスワードまたは PIN で保護できますが、携帯電話とそのすべてのデータが危険にさらされる可能性が常にあります。 さらに、ライセンスを取得するには、Android を実行し続けるのに十分な電力が携帯電話にあることを確認する必要があります。 とともに IdentityCredential API, Googleはこの両方の問題の解決に取り組んでいます。 Android の将来のバージョン (おそらく Android R) では、適切なハードウェアを備えたデバイスで安全にデータを保存できるようになります。 身分証明書、特にデジタル運転免許証、さらにデバイスに十分な電力がない場合でもそれらにアクセスできます。 Androidを起動します。

IdentityCredential API

Android のハードウェア支援キーストア チームのリーダーである Shawn Willden によって提出されたこのコミットは、一見したところ、あまり興味深いものではないようです。 ただし、IdentityCredential ファイルと IdentityCredentialStore ファイルを表示すると、Google がどのような種類の「ID 認証情報」を参照しているかについて複数の言及があることがわかります。 たとえば、IdentityCredential は、「によって使用される鍵交換のプロトコル」を使用します。 ISO18013-5 さらに、このプロトコルは「現在進行中の ISO 作業の基礎」として使用されています。 その他の標準化された ID 認証情報」 モバイルパスポートがすぐに登場する可能性は低いですが、この API がモバイル運転免許証以上のものを目的としているのは明らかです。

Google は、IdentityCredential API でサポートされる署名キーの種類について詳しく説明しています。 データ認証には、静的認証と動的認証の 2 種類があります。 静的認証には発行機関によって作成されたキーが含まれますが、動的認証にはデバイスのセキュリティ ハードウェア ( タイタンM 動的認証の利点は、攻撃者が安全なハードウェアを侵害して認証情報を別のデバイスにコピーすることが困難になることです。 さらに、動的認証により、特定の資格情報とユーザーのデータをリンクすることが困難になります。

Android アプリは、NFC 経由でワイヤレス接続を開始するようにユーザーに要求することで、リーダーに IdentityCredential を提示できます。 アプリでは、ダイアログやパスワード保護の形式でユーザーの許可を要求することで、これらのトランザクションを保護することが推奨されます。

デバイスにサポートされているハードウェアが搭載されている場合は、Android を実行し続けるのに十分な電力がない場合でも、「ダイレクト アクセス」モードを使用して IdentityCredential を提示できるようになります。 これは、デバイスに個別の安全なハードウェアがあり、そのハードウェアを操作して NFC 経由で資格情報を共有するのに十分な電力がある場合にのみ可能です。 Google Pixel 2 や Google Pixel 3 などのデバイスは、どちらのデバイスも対象となるはずです。 耐タンパー性セキュリティモジュール メイン SoC とは別のものです。

デバイスに個別のセキュア CPU が搭載されていない場合でも、直接アクセスのサポートがなくても、IdentityCredential API をサポートできます。 資格情報ストアがソフトウェアのみに実装されている場合、カーネルへの攻撃によって侵害される可能性があります。 資格情報ストアが TEE に実装されている場合、CPU に対するサイドチャネル攻撃によって侵害される可能性があります。 メルトダウンとスペクター. 資格情報ストアがメインと同じパッケージに組み込まれた別の CPU に実装されている場合 CPU、物理的なハードウェア攻撃には耐性がありますが、メインにも電力を供給しないと電力を供給できません CPU。

ドキュメントの機密性によって、これらの ID 資格情報ストアの実装が 1 つ以上サポートされるかどうかが決まります。 開発者は、アイデンティティ資格情報ストア実装のセキュリティ証明を確認できます。 ID 資格情報ストアの実装は、認定されていない場合や、評価保証レベルが 4 以上である場合があります。 EAL は、潜在的な攻撃に対して実装がどの程度安全であるかをアプリ開発者に伝えます。

前に述べたように、Google はこの API をあらゆる標準化されたドキュメント タイプに使用することを意図していますが、例として ISO 18013 モバイル運転免許証を挙げています。 ドキュメントの種類は、セキュリティ ハードウェアが万が一の場合に資格情報の種類を認識するために必要です。 ダイレクト アクセス モードをサポートし、アプリがリーダーがどのような種類のドキュメントであるかを認識できるようにする必要があります。 要求している。

この新しい API に関してこれまでに得られている情報は以上です。 最初の Android Q Developer Preview のリリースが非常に近づいているため、Android Q でモバイル運転免許証を安全に保存するためのサポートが表示される可能性は低いと思います。 ただし、この API は 2020 年の Android R ロールアウトまでに準備が整う可能性があります。 Google Pixel 2、Google Pixel 3、および次期 Google Pixel 4 は、必要な個別のセキュア CPU を備えているため、Android R の直接アクセス モードでこの API をサポートする必要があります。 Google がこの API を使用して何をしようとしているかについてさらに詳しい情報が判明したらお知らせします。


更新 1: IdentityCredential API の詳細

IdentityCredential API コミットの作成者である Shawn Willden は、コメント セクションで API に関する追加の詳細を共有しました。 彼はユーザーからのいくつかのコメントに答えました。以下にそれを転載します。

ユーザー Munnimi は次のように述べています。

「そして、警察があなたの携帯電話を取り上げてパトカーに行くと、携帯電話の内容を確認することができます。」

ウィルデン氏はこう答えた。

「それは私が特に不可能にしようと取り組んでいることです。 その目的は、警察官があなたの電話を有効に受け取れないようにフローを構築することです。 そのアイデアは、警察官の携帯電話で NFC タップを実行し、指紋/パスワードでロックを解除すると、Bluetooth/Wifi 経由でデータが転送されている間、携帯電話がロックダウン モードになるというものです。 ロックダウン モードとは、指紋認証ではロックが解除されず、パスワードが必要になることを意味します。 これは特に、自己負罪に対する修正第 5 条の保護の発動を強制するためのものであるが、一部の裁判所はこれは適用されないと判断している。 警察が生体認証によるロック解除を強制するのは防ぐが、パスワードの入力を強制するのは全員が同意する(少なくとも アメリカ)。

それは願望であり、約束ではないことに注意してください。 ID アプリ開発者にフローを強制できる方法は限られています。 API を使用しないことを選択してください。 しかし、私たちにできることは、彼らがプライバシーに配慮した適切な行動をより簡単に行えるようにすることです。 もの。"

ユーザー RobboW は次のように述べています。

「これはオーストラリアでは役に立たない。 運転中は、物理的な正式な運転免許証を携帯する必要があります。 デジタルコピーはまさに個人情報の盗難の危険にさらされています。」

ウィルデン氏はこう答えた。

「オーストラリアは ISO 18013-5 委員会に積極的に参加しており、モバイル運転免許証のサポートに非常に関心を持っています。 個人情報の盗難に関しては、それに対する多くの保護機能が組み込まれています。 記事ではその一部について言及しています。」

ユーザー solitarios.lupus は次のように述べています。

「このサイトが何をしているのかを考えると、これがうまく機能せず、法執行機関にとってセキュリティ上の大きな問題であることはここにいる誰もが知っていると思います。 簡単に偽造、偽造、操作できるからです。」

ウィルデン氏はこう答えた。

「データはすべてデジタル署名されているため、完全な偽造はほぼ不可能です。 資格情報を偽造するには、デジタル署名を偽造する必要があり、それには関連する署名を完全に破る必要があります。 暗号化 (TLS やその他ほとんどすべてのものを破る)、または発行局の署名を盗む キー。 ある DL からいくつかの署名済みデータ要素 (例: 21 歳以上であることを示す生年月日) を取得し、別の DL から一部を取得することによる変更も可能です。 署名は文書全体をカバーし、すべての要素を結び付けるため、(実際の写真など)は不可能になります。」

ユーザーマークは次のように述べています。

「コピーが身分証明書として有効ではなかったのなら、なぜ電話を使用していることが違いを生むのでしょうか? たとえ Google がセキュリティを確保すると約束したとしても、偽のアプリケーションの表示をどうやって阻止できるのでしょうか?

それでも、たとえそれに対する答えがなかったとしても、この記事で述べた理由から、それは良いことだと私は考えています。 パスポート用に使いたいと思っています。必ずしも旅行用ではなく、身分証明書が必要なその他の機会に使いたいです(私は運転しないので、パスポートが唯一の身分証明書です)。

もちろん、場合によってはパブに行くだけでもパスポートのスキャンが必要になるような、英国が「ペーパープリーズ」社会になっていないことを私は望んでいます...」

ウィルデン氏はこう答えた。

「デジタル署名により安全になります。 偽のアプリケーションを作成することはできますが、正しく署名されたデータを生成することはできません。

ところで、パスポートもこの作業の範囲に大きく含まれます。 運転免許証が出発点ですが、プロトコルとインフラストラクチャは、特にパスポートを含む幅広い ID 資格情報をサポートするように慎重に設計されています。 もちろん、このアプローチを採用するようICAOを説得する必要がありますが、その可能性は非常に高いと思います。」


XDA 認定開発者のおかげで ルカ020400 ヒントのために!