Android R bi lahko podpiral varno shranjevanje mobilnih vozniških dovoljenj v napravah, kot so Google Pixel 2, Google Pixel 3 ali Google Pixel 4.
Posodobitev 1 (6.3.19 ob 20:44 ET): Več podrobnosti o Googlovih načrtih za IdentityCredential API je delil Shawn Willden, vodja varnostne skupine za strojno opremo Android. Članek je bil posodobljen s temi podrobnostmi na koncu. Izvirni članek sledi.
Nošenje denarnice mi je postalo manj nujno, odkar jo uporabljam Google Pay upravljati s svojimi kreditnimi karticami, vendar še vedno ne morem nikamor potovati brez vozniškega dovoljenja. Poznam nekaj ljudi, ki uporabljajo etuije za denarnice, da imajo nekaj kartic, ki jih imajo mora nadaljujem z njihovo osebo, vendar čakam na dan, ko se bom lahko zakonito odpeljal v Walmart samo s telefonom pri sebi. Digitalno vozniško dovoljenje ponuja številne prednosti pred tradicionalno osebno izkaznico. Ne morete ga izgubiti, lahko ga posodobite na daljavo, da vam ni treba stati v vrsti pri DMV, lahko ga izbrišete na daljavo, če vam ukradejo telefon, manj verjetno je, da boste pridobili svojo identiteto ukraden, saj vam ni treba nositi denarnice z lahko dostopnimi informacijami, manj verjetno je, da boste telefon pustili doma, poleg tega ga boste lažje prinesli prošnja. Oblasti po vsej ZDA počasi prepoznavajo prednosti mobilnega vozniškega dovoljenja, zato slišimo, da vse več ameriških zveznih držav vsako leto testira njihovo sprejetje.
Prebivalci Louisiane lahko na primer prenesejo Envoc-razvito LA denarnica aplikacijo, ki so jo odobrili organi kazenskega pregona LA za preverjanje licence in ATC LA za promet z alkoholom in tobakom. Preverjanje starosti je še posebej zanimivo, saj lahko uporabniki mobilno aplikacijo omejijo tako, da prodajalcu alkohola ali tobaka prikaže samo potrebne podatke. Drugje, podjetje za digitalno varnost Gemalto sodeluje s Koloradom, Idahom, Marylandom, Washingtonom D.C. in Wyomingom, da izvede pilotne programe, preden uvede svojo rešitev za digitalno vozniško dovoljenje. Hkrati je Ameriško združenje skrbnikov motornih vozil si prizadeva za standardizacijo te nove oblike elektronske identifikacije.
Vendar pa ima digitalno vozniško dovoljenje tudi slabosti. Imate velik nadzor nad tem, kdo lahko vidi vašo fizično izkaznico, vendar imate manj nadzora nad tem, kdo oz kaj ima dostop do svoje digitalizirane oblike. Svoj telefon ali aplikacijo, ki potegne vašo mobilno licenco, lahko zaščitite z geslom ali kodo PIN, vendar vedno obstaja možnost, da bi vaš telefon in vsi njegovi podatki bili ogroženi. Poleg tega morate zagotoviti, da ima vaš telefon dovolj zmogljivosti za delovanje Androida, da lahko pridobite licenco. z IdentityCredential API, si Google prizadeva rešiti obe težavi. V prihodnji različici Androida, morda Androidu R, bodo naprave z ustrezno strojno opremo lahko varno shranjevale identifikacijskih izkaznic, zlasti digitalnih vozniških dovoljenj, in do njih celo dostopati, ko naprava nima dovolj moči za zagon Androida.
IdentityCredential API
Na prvi pogled se zaveza, ki jo je predložil Shawn Willden, vodja Androidove ekipe za shranjevanje ključev s strojno opremo, ne zdi zelo zanimiva. Če pa si ogledate datoteki IdentityCredential in IdentityCredentialStore, boste našli več sklicevanj na to, na katere vrste "poverilnic identitete" se Google sklicuje. IdentityCredential na primer uporablja protokol za izmenjavo ključev, ki ga "uporablja ISO18013-5 standard za mobilna vozniška dovoljenja." Poleg tega se ta protokol uporablja kot "osnova za tekoče delo ISO na druge standardizirane poverilnice identitete." Čeprav je malo verjetno, da bomo kmalu videli mobilne potne liste, je jasno, da je ta API namenjen več kot le mobilnim vozniškim dovoljenjem.
Ko se poglobimo, Google podrobneje predstavi vrste podpisnih ključev, ki jih podpira IdentityCredential API. Obstajata dve vrsti preverjanja pristnosti podatkov: statično in dinamično. Statična avtentikacija vključuje ključe, ki jih ustvari organ izdajatelj, medtem ko dinamična avtentikacija vključuje ključe, ki jih ustvari varnostna strojna oprema naprave (kot je Titan M v Pixel 3 in Pixel 3 XL.) Prednost dinamičnega preverjanja pristnosti je, da napadalec težje ogrozi varno strojno opremo za kopiranje poverilnice v drugo napravo. Poleg tega je zaradi dinamične avtentikacije težje povezati določeno poverilnico z uporabnikovimi podatki.
Aplikacija za Android lahko bralcu predstavi IdentityCredential tako, da od uporabnika zahteva, da sproži brezžično povezavo prek NFC. Priporočljivo je, da aplikacije varujejo te transakcije tako, da zahtevajo dovoljenje uporabnika v obliki pogovornega okna in/ali zaščite z geslom.
Če ima naprava podprto strojno opremo, bo na voljo način »neposrednega dostopa«, ki omogoča predstavitev poverilnice IdentityCredential, tudi če ni dovolj energije za delovanje Androida. To je mogoče le, če ima naprava ločeno varno strojno opremo in dovolj moči za delovanje te strojne opreme za skupno rabo poverilnice prek NFC. Naprave, kot sta Google Pixel 2 in Google Pixel 3, bi morale izpolnjevati pogoje, saj imata obe napravi varnostni moduli, odporni proti posegom ki so ločeni od glavnega SoC.
Če naprava nima ločenega varnega CPE-ja, lahko še vedno podpira API IdentityCredential, čeprav brez podpore za neposredni dostop. Če je shramba poverilnic implementirana samo v programski opremi, jo lahko ogrozi napad na jedro. Če je shramba poverilnic implementirana v TEE, jo lahko ogrozijo stranski kanalski napadi na CPE, kot je npr. Meltdown in Spectre. Če je shramba poverilnic implementirana v ločeni CPE, vdelan v isti paket kot glavni CPE, je odporen na napade fizične strojne opreme, vendar ga ni mogoče napajati brez napajanja glavnega procesor.
Občutljivost dokumenta bo določila, ali bo podprta ena ali več teh implementacij shrambe poverilnic identitete. Razvijalci lahko preverijo varnostno potrdilo implementacije shrambe poverilnic identitete. Implementacije shrambe poverilnic identitete so lahko necertificirane ali pa imajo raven zagotavljanja ocenjevanja 4 ali več. EAL razvijalcem aplikacij pove, kako varna je izvedba pred morebitnimi napadi.
Kot sem že omenil, Google namerava ta API uporabljati za vse standardizirane vrste dokumentov, čeprav kot primer navajajo mobilna vozniška dovoljenja ISO 18013. Vrsta dokumenta je potrebna, da varnostna strojna oprema ve, za katero vrsto poverilnice gre mora biti podprt način neposrednega dostopa in omogočiti aplikacijam, da vedo, kakšna vrsta dokumenta je bralnik zahtevajoč.
To so vse informacije, ki jih imamo do zdaj o tem novem API-ju. Ker smo tako blizu izdaji prvega predogleda za razvijalce za Android Q, mislim, da ni verjetno, da bomo v Androidu Q videli podporo za varno shranjevanje vozniških dovoljenj za mobilne naprave. Vendar bi lahko bil ta API pripravljen do uvedbe Androida R leta 2020. Google Pixel 2, Google Pixel 3 in prihajajoči Google Pixel 4 bi morali podpirati ta API z načinom neposrednega dostopa v sistemu Android R, zahvaljujoč potrebnemu ločenemu varnemu CPU. Obvestili vas bomo, če bomo izvedeli več informacij o tem, kaj namerava Google narediti s tem API-jem.
Posodobitev 1: Več podrobnosti o API-ju IdentityCredential
Shawn Willden, avtor obveznosti API-ja IdentityCredential, je v razdelkih za komentarje delil dodatne podrobnosti o API-ju. Odgovoril je na nekaj komentarjev uporabnikov, ki jih bomo ponovili spodaj:
Uporabnik Munnimi je izjavil:
"In ko policija vzame vaš telefon in gre do policijskega avtomobila, lahko preveri, kaj je v telefonu."
G. Willden je odgovoril:
"To je nekaj, kar si posebej prizadevam onemogočiti. Namen je strukturirati tok tako, da policist ne more koristno vzeti vašega telefona. Ideja je, da s policistovim telefonom pritisnete NFC, nato odklenete s prstnim odtisom/geslom, nato pa telefon preide v način zaklepanja, medtem ko se podatki prenašajo prek bluetooth/Wifi. Način zaklepanja pomeni, da ga preverjanje pristnosti s prstnim odtisom ne bo odklenilo, potrebno je geslo. To je namenjeno zlasti sklicevanju na zaščito pred samoobtožbo iz petega amandmaja, za katero so nekatera sodišča ugotovila, da ne preprečuje policiji, da bi vas prisilila k odklepanju z biometričnimi podatki, vendar se vsi strinjajo, da jim preprečuje, da bi vas prisilili, da daste geslo (vsaj v ZDA).
Upoštevajte, da je to želja, ne zaveza. Načini, na katere lahko vsilimo tok razvijalcem aplikacij za identiteto, so omejeni, ker če gremo predaleč, lahko preprosto se odločite, da ne boste uporabljali naših API-jev. Lahko pa jim olajšamo pravilno, glede zasebnosti stvar."
Uporabnik RobboW je izjavil:
"V Avstraliji je to neuporabno. Med vožnjo moramo imeti pri sebi uradno fizično vozniško dovoljenje. Digitalna kopija je ravno primerna za krajo identitete."
G. Willden je odgovoril:
»Avstralija aktivno sodeluje v odboru ISO 18013-5 in se zelo zanima za podporo mobilnim vozniškim dovoljenjem. Kar zadeva krajo identitete, je pred tem vgrajenih veliko zaščit. Članek omenja nekatere izmed njih.«
Uporabnik solitarios.lupus je izjavil:
"Glede na to, kaj to spletno mesto počne, mislim, da vsi tukaj vedo, da to ne bo delovalo in je velika varnostna težava za organe pregona. Za enostavno ponarejanje, ponarejanje in manipulacijo."
G. Willden je odgovoril:
»Odkrito ponarejanje bo skoraj nemogoče, saj so vsi podatki digitalno podpisani. Ponarejanje poverilnice bi zahtevalo ponarejanje digitalnega podpisa, ki bodisi zahteva radikalen prelom ustreznega kriptografijo (ki bi zlomila TLS in skoraj vse drugo) ali pa krajo podpisa organa izdaje ključi. Celo sprememba, tako da vzamete nekatere podpisane podatkovne elemente iz ene DL (npr. rojstni datum, ki kaže, da ste starejši od 21 let) in nekatere iz druge (npr. vaša prava fotografija) bo nemogoče, saj podpis pokriva celoten dokument in povezuje vse elemente."
Uporabniška oznaka je izjavila:
"Če fotokopija ni bila nikoli veljavna za osebni dokument, zakaj je telefoniranje pomembno? Tudi če Google obljubi, da bo zagotovil varnost, kako to prepreči, da bi nekdo prikazal lažno aplikacijo?
Kljub temu, čeprav na to ni odgovorov, še vedno menim, da je to dobra stvar zaradi razlogov, navedenih v tem članku. Rad bi ga za potne liste – ne nujno za potovanja, ampak ob drugih priložnostih, ko je potrebna osebna izkaznica (ne vozim, zato je potni list moja edina osebna izkaznica).
Seveda bi mi bilo tudi ljubše, če se Združeno kraljestvo ne bi spreminjalo v družbo "papirjev, prosim", kjer je treba v nekaterih primerih skenirati potni list tudi samo za obisk puba ..."
G. Willden je odgovoril:
»Z digitalnimi podpisi bo to varno. Lahko imate lažno aplikacijo, vendar ne more ustvariti pravilno podpisanih podatkov.
Tudi potni listi so zelo primerni za to delo, BTW. Vozniška dovoljenja so izhodišče, vendar so protokoli in infrastruktura skrbno zasnovani za podporo širokega nabora poverilnic o identiteti, zlasti potnih listov. Seveda bomo morali prepričati ICAO, da sprejme pristop, vendar menim, da je to zelo verjetno."
Zahvaljujoč priznanemu razvijalcu XDA luca020400 za napitnino!