Будучы МДК — гэта не брашура. Гэта ўзровень прэзентацыі з захаваннем прыватнасці.

Міжнародны дазвол на кіраванне (МДК) будучыні не павінен быць яшчэ адным дакументам, які трэба насіць з сабой. Гэта павінен быць кіраваны, крыптаграфічна верыфікуемы спосаб прадстаўлення нацыянальных правоў кіравання аўтамабілем за мяжой — у інтэрнэце і без яго, з мінімальным раскрыццём дадзеных і без ператварэння кожнай верыфікацыі ў сачэнне.

Усе кажуць, што будучыня міжнароднага дазволу на кіраванне — лічбавая. Гэта не хлусня — але і недастаткова дакладна.

PDF-брашура на тэлефоне — гэта не будучыня. Больш прывабны QR-код — гэта не будучыня. Блокчэйн-токен са словам «кіраванне» ў рэкламных матэрыялах — гэта таксама не будучыня.

Сапраўдная праблема глыбейшая за фармат. Яна зводзіцца да аднаго цэнтральнага пытання: як законнае права кіравання аўтамабілем, выдадзенае адным органам, становіцца зразумелым, вартым даверу і прыдатным да выкарыстання ў іншым месцы, іншым верыфікатарам, у стрэсавых умовах, часам без сеткі і без раскрыцця большай асабістай інфармацыі, чым неабходна?

Гэта пытанне, на якое папяровы МДК так і не даў поўнага адказу. І гэта пытанне, на якое павінна адказаць сістэма наступнага пакалення.

Чаму папяровы МДК вырашыў праблему чытальнасці, але не даверу

Папяровы МДК меў сэнс у свеце, дзе папера была асноўным носьбітам. Ён выконваў ролю ўзроўню сумяшчальнасці — чытэльнай для чалавека сувязі паміж адной сістэмай ліцэнзіравання і іншай. Гэта было карысна і ў нейкай ступені застаецца такім і сёння.

Але цяжкая частка сучаснай трансгранічнай мабільнасці — гэта ўжо не толькі чытальнасць. Гэта давер.

Сучасныя верыфікатары сутыкаюцца з шэрагам больш складаных пытанняў:

• Ці могуць яны вызначыць, сапраўдны дакумент ці не?
• Ці могуць яны пацвердзіць, што ён яшчэ дзейсны?
• Ці могуць яны праверыць толькі тыя канкрэтныя палі, якія ім сапраўды патрэбны?
• Ці могуць яны зрабіць гэта без звароту да органа-выдаўца кожны раз?
• Ці могуць яны верыфікаваць дакумент у інтэрнэце, асабіста і на дарозе?
• Ці могуць яны зрабіць гэта, не ператвараючы падарожжа ў глабальную сістэму сачэння?

Таму будучы МДК не варта разглядаць як праект лічбавай брашуры. Яго варта разглядаць як праблему архітэктуры прэзентацыі.

Стандарты, якія ўжо ўказваюць на лічбавы МДК

Гэта ўжо не тэорыя. Супольнасць па стандартызацыі ўжо рухаецца ў гэтым кірунку:

• ISO/IEC 18013-1:2018 усталяваў мадэль, у якой адзіная абаронена ліцэнзія можа выкарыстоўвацца як для ўнутраных, так і для міжнародна прызнаных мэт, прадбачачы машынназчытвальныя тэхналогіі і інтэграцыю біяметрыкі, крыптаграфіі і сцісцення дадзеных.
• ISO/IEC 18013-3 ахоплівае кіраванне доступам, аўтэнтыфікацыю і праверку цэласнасці.
• ISO/IEC 18013-5 вызначае інтэрфейсы паміж мабільным пасведчаннем кіроўцы, счытвальнікам і інфраструктурай органа-выдаўцы, уключаючы выкарыстанне верыфікатарамі з іншых краін.
• ISO/IEC 18013-7 дадае прэзентацыю мабільнага пасведчання кіроўцы праз інтэрнэт.
• Праца ЕЭК ААН па электронных дазволах на кіраванне звязвае тэхнічныя і патрабаванні бяспекі з адпаведнасцю стандарту ISO/IEC 18013-5.

Няправільны падыход да лічбавізацыі МДК

Няправільны падыход — узяць бягучы МДК, перавесці яго ў лічбавы фармат і змясціць у дадатак. Гэта гучыць эфектыўна, але захоўвае няправільны фокус — сістэма застаецца арыентаванай на дакумент як фізічны аб’ект.

Лепшы падыход — разглядаць міжнароднае кіраванне аўтамабілем як кіраваную прэзентацыю нацыянальна выдадзеных правоў кіравання.

Гэты зрух важны, таму што як толькі вы думаеце аб прэзентацыі, пытанні дызайну становяцца больш дакладнымі:

• Хто выдаў асноватворнае права кіравання?
• Як уладальнік атрымлівае і захоўвае дакумент?
• Як верыфікатар запытвае толькі тыя дадзеныя, якія яму законна патрэбны?
• Як размяркоўваюцца і верыфікуюцца ключы выдаўца?
• Як праверяецца адкліканне без адсочвання ў рэжыме рэальнага часу з боку выдаўца?
• Што працуе аўтаномна, а дзе папера яшчэ патрэбна ў якасці рэзервовага варыянту?
• Якому верыфікатару дазволена бачыць якія дадзеныя і чаму?

Гэта значна больш сур’ёзны спосаб распрацаваць замену папяровага МДК.

Лепшае вызначэнне будучага МДК

Вось прапанаванае вызначэнне:

Будучы МДК — гэта заснаваны на стандартах вытворны трансгранічны дакумент, які прадстаўляе нацыянальна выдадзеныя правы кіравання верыфікатару адпаведным кантэксту чынам, пад кантролем уладальніка, з крыптаграфічнай верыфікацыяй, раскрыццём на аснове роляў, патокамі прэзентацыі ў рэжыме анлайн і аўтаномна, а таксама праверкай статусу з захаваннем прыватнасці.

Гэта вызначэнне наўмысна вузкае. Яно не:

• Робіць будучы МДК самастойным правам кіравання
• Ператварае яго ва ўніверсальнае сховішча даных аб асобе
• Патрабуе жывога злучэння з выдаўцом для кожнай транзакцыі
• Мяркуе, што стойка арэнды аўтамабіляў, паліцэйскі і страхавальнік павінны бачыць адны і тыя ж палі
• Патрабуе блокчэйна як асновы сістэмы

Гэта дысцыплінаваны адказ на праблему даверу.

Сем кампанентаў жыццяздольнага будучага МДК

Пазбаўленыя маркетынгавай мовы, жыццяздольны будучы МДК патрабуе сямі кампанентаў:

1. Аўтарытэтная нацыянальная крыніца ісціны. Законнае права кіравання аўтамабілем паходзіць ад унутранага органа ліцэнзіравання. Міжнародны ўзровень ніколі не павінен ствараць правы кіравання — толькі прадстаўляць іх.
2. Выдавец. Давераны дзяржаўны орган або строга кіраваны ўпаўнаважаны выдавец, які дзейнічае ад яго імя, выдае лічбавы дакумент, які адлюстроўвае бягучае права кіравання.
3. Кашалёк уладальніка. Кіроўцу патрэбен бяспечны кашалёк, які захоўвае дакумент, абараняе прыватныя ключы, аўтэнтыфікуе ўладальніка і прадстаўляе дакумент верыфікатарам.
4. Верыфікатар або счытвальнік. Гэта можа быць паліцэйскі прыбор, счытвальнік стойкі арэнды, анлайн-сістэма або іншы ўпаўнаважаны верыфікатар.
5. Рэестр даверу. Верыфікатарам патрэбен надзейны спосаб атрымання адкрытых ключоў і метададзеных даверу законных выдаўцоў.
6. Узровень статусу. Павінен існаваць спосаб, які захоўвае прыватнасць, каб адлюстраваць прыпыненне, адкліканне, заканчэнне тэрміну або змяненне статусу.
7. Фізічная рэзервовая копія. Разраджаныя батарэі, дрэннае злучэнне, пашкоджаныя прылады, кансерватыўныя юрысдыкцыі і пераходныя палітычныя асяроддзі — гэта звычайная рэчаіснасць, а не крайнія выпадкі.

Раскрыццё на аснове роляў: адзін дакумент, розная аўдыторыя

Адна з найбольшых памылак у сістэмах ідэнтыфікацыі — меркаванне, што адзін дакумент азначае адно раскрыццё. Гэта супрацьлеглае добраму дызайну.

Паліцэйскі на дарозе не мае тых жа законных патрэб, што і стойка арэнды аўтамабіляў. Стойка арэнды аўтамабіляў не мае тых жа патрэб, што і працадаўца. Працадаўца не мае тых жа патрэб, што і анлайн-сістэма папярэдняй праверкі.

Будучы МДК павінен падтрымліваць розныя наборы раскрыцця для розных катэгорый верыфікатараў:

• Спыненне на дарозе: Асоба, фота, катэгорыі і правы, абмежаванні, статус дзейснасці. Па змаўчанні нічога больш.
• Стойка арэнды аўтамабіляў: Асоба, фота, катэгорыі кіравання, даты выдачы і заканчэння, магчыма, інфармацыя аб узросце — але не кожнае поле ў дакуменце.
• Анлайн-папярэдняя праверка: Пацверджанне асобы, пацверджанне адпаведных правоў кіравання, пацверджанне бягучай дзейснасці, магчыма, пацверджанне, звязанае з браніраваннем.
• Працадаўца або адпаведнасць патрабаванням флоту: Асобны, яўна даданы рабочы працэс, а не той жа профіль раскрыцця, што і пры верыфікацыі падарожжа.

Стандарты ўжо падтрымліваюць гэту мадэль. Бягучы праект NIST для mDL апісвае запыты, якія дазваляюць верыфікатарам паказваць, якія атрыбуты яны запытваюць. Рэкамендацыі па рэалізацыі AAMVA патрабуюць, каб дадатак выразна паказваў, якія дадзеныя былі запытаны, і даваў уладальніку поўны кантроль над тым, якімі элементамі дадзеных дзяліцца.

Будучы МДК не павінен быць лічбавай картай. Ён павінен быць інструментам кіраванага раскрыцця.

Імгненная верыфікацыя не павінна ператварацца ў імгненнае сачэнне

Менавіта тут многія праекты лічбавай ідэнтыфікацыі робяць памылку. Яны апісваюць «верыфікацыю ў рэжыме рэальнага часу», быццам гэта аўтаматычна азначае прагрэс. Гэта не так.

Верыфікатару патрэбен своечасовы давер. Але выдаўцу не трэба ведаць кожнае месца і кожны момант, калі ўладальнік прадстаўляе дакумент. Гэтае адрозненне вельмі важнае.

Архітэктурная і рэферэнтная структура ЕС выразна паказвае гэта. Экземпляры давераных бакоў не павінны запытваць адпаведны спіс статусаў кожны раз, калі прадстаўляецца дакумент. Замест гэтага:

• Абноўленыя спісы варта спампоўваць асобна, у часы і з месцаў, не звязаных з канкрэтнай прэзентацыяй карыстальніка.
• Пазіцыі ў спісах статусаў павінны быць выпадковымі, з дастатковай колькасцю запісаў для забеспячэння калектыўнай прыватнасці.
• Запыты спісаў не павінны ператвараліся ў сігналы адсочвання для канкрэтных уладальнікаў.

Бягучы праект NIST для mDL апісвае праверку верыфікатарам на аснове подпісаў выдаўца і адкрытых ключоў без неабходнасці непасрэднага кантакту з выдаўцом. Рэкамендацыі AAMVA забараняюць атрыманне дадзеных з сервера ў сваіх рэкамендацыях па рэалізацыі і цэнтруюцца на атрыманні дадзеных з прылады і размеркаванні адкрытых ключоў на аснове службы даверу.

Будучы МДК павінен падтрымліваць імгненную верыфікацыю — не ствараючы глабальнага запісу таго, дзе і калі кіроўца пацвердзіў сваю асобу.

Размеркаванне даверу: кіраванне ў машынназчытальнай форме

Многія людзі абмяркоўваюць кашалькі і крыптаграфію. Значна менш людзей абмяркоўваюць інфраструктуру, якая сапраўды забяспечвае давер — але менавіта інфраструктура мае значэнне.

Верыфікатар можа давяраць дакументу толькі ў тым выпадку, калі ён можа надзейна выявіць адкрытыя ключы выдаўца і звязаныя метададзеныя і давяраць ім. Экасістэме будучага МДК патрэбен машынназчытальны, кіраваны адказ на такія пытанні, як:

• Якія выдаўцы з’яўляюцца законнымі?
• Якія адкрытыя ключы актуальныя?
• Якія выдаўцы ўпаўнаважаны для якіх юрысдыкцый?
• Якія катэгорыі верыфікатараў зарэгістраваны або акрэдытаваны?
• Што адбываецца, калі выдавец мяняе ключы або палітыку?

Служба лічбавага даверу AAMVA — гэта адзін канкрэтны прыклад: адзіны, бяспечны, устойлівы спосаб для давераных бакоў атрымаць адкрытыя ключы органаў-выдаўцоў, дастаўляемы праз верыфікаваны спіс цэнтраў сертыфікацыі выдаўцоў. Кіраўніцтва ЕС па mDL апісвае, як дзяржавы-члены паведамляюць Камісіі аб упаўнаважаных выдаўцах mDL, Камісія публікуе гэты спіс для мэт верыфікацыі, а рэгістрацыя давераных бакоў адбываецца ў рамках структуры даверу кашалькоў.

Вось кірунак, які патрэбен будучаму МДК — не сістэма, дзе ўсе скануюць QR-код і давяраюць выніку без праверкі, а такая, дзе давер размеркаваны, версіяніраваны і верыфікуемы машынай.

Анлайн і дарожны кантроль павінны сумесна выкарыстоўваць адну аб’яднаную сістэму

Сур’ёзны будучы МДК не можа падзяліцца на асобныя сістэмы: адну для дарожных праверак, адну для арэнды аўтамабіляў, адну для аддаленага анбордынгу, адну для верыфікацыі асобы і яшчэ адну для верыфікацыі правоў кіравання. Менавіта такая фрагментацыя ўжо прычыняе нязручнасці карыстальнікам.

Тэхнічныя стандарты зараз існуюць, каб пазбегнуць гэтага:

• ISO/IEC 18013-5 вызначае інтэрфейсы для прэзентацыі мабільнага пасведчання кіроўцы асабіста.
• ISO/IEC 18013-7 пашырае гэта да прэзентацыі праз інтэрнэт.
• Кіраўніцтва ЕС па мабільным пасведчанні кіроўцы прыводзіць арэнду аўтамабіляў і дарожныя праверкі як сцэнарыі верыфікацыі і апісвае як аддаленае абагульванне, так і праверкі ў непасрэднай блізкасці з выкарыстаннем патокаў, ініцыяваных QR-кодам, Bluetooth, Wi-Fi Aware і NFC.

Будучая сістэма павінна спраўляцца як з анлайн-, так і з асабістымі сцэнарыямі, таму што падарожжа ўключае абодва. Мабільнасць уключае абодва. Давер патрабуе абодвух.

Пратакольны ўзровень для вэба зараз сталы

На працягу многіх гадоў адной з прычын нядакладнасці абмеркаванняў па ідэнтыфікацыі было тое, што пратакольны ўзровень быў яшчэ няпоўным. Зараз гэта значна менш актуальна:

• OpenID for Verifiable Credential Issuance 1.0 вызначае абаронены OAuth API для выдачы дакументаў, які яўна падтрымлівае некалькі фарматаў дакументаў, у тым ліку ISO mdoc, SD-JWT VC і дакументы W3C VCDM.
• OpenID for Verifiable Presentations 1.0 вызначае механізм для верыфікатараў для запыту і атрымання прэзентацый дакументаў.
• Мадэль дадзеных верыфікуемых дакументаў W3C 2.0 фармалізуе трохбаковую экасістэму выдаўцоў, уладальнікаў і верыфікатараў.

Гэта мяняе дыскусію. Будучы МДК больш не трэба ўяўляць як адзіны дзяржаўны дадатак з нестандартнымі працэсамі. Яго можна распрацаваць як кіраваны профіль дакумента паверх больш шырокай сумяшчальнай экасістэмы.

Гэта не ліквідуе патрэбу ў дзяржаўным кіраванні. Гэта ліквідуе адмазку аб адсутнасці сучаснага пратакольнага стэка для пабудовы.

Чаму блокчэйн не з’яўляецца абавязковым — але прызнанне з’яўляецца

Будучы МДК не патрабуе блокчэйна ў якасці фундаменту. Гэта не азначае, што тэхналогія размеркаваных рэестраў бескарысная — яна можа быць каштоўнай у пэўных ролях празрыстасці або рэестру — але яе не варта разглядаць як цэнтр сістэмы кіраўніцкіх правоў.

Мадэль дадзеных W3C VC 2.0 выразна ўказвае, што рэестры верыфікуемых дадзеных могуць прымаць розныя формы: давераныя базы дадзеных, дэцэнтралізаваныя базы дадзеных, дзяржаўныя базы дадзеных аб асобах або размеркаваныя рэестры. DID Core гэтак жа выразна паказвае, што многія, але не ўсе, метады DID выкарыстоўваюць размеркаваныя рэестры. Стандарты не прымушаюць да архітэктуры з блокчэйнам у аснове.

Гэта правільная пазіцыя, таму што самая цяжкая частка будучага МДК — не тэхналогія. Самая цяжкая частка — гэта:

• Прававое прызнанне
• Кіраванне выдаўцамі
• Разгортванне счытвальнікаў
• Акрэдытацыя верыфікатараў
• Аперацыі спісаў даверу
• Логіка адкліканняў
• Узгадненне трансгранічнай палітыкі

AAMVA пабудавала службу даверу. Кіраўніцтва ЕС уключае публікацыю выдаўцоў і рэгістрацыю давераных бакоў. Праекты ЕЭК ААН звязваюць электронныя дазволы з ISO/IEC 18013-5. Сапраўдная праблема — не адсутнасць крыптаграфіі, а праблема кіраванай сумяшчальнасці.

Рэалістычны паток будучага МДК на практыцы

Будучы МДК на практыцы павінен быць простым. Вось як ён працуе ў трох распаўсюджаных сцэнарыях:

1. Выдача або абнаўленне

Нацыянальны орган верыфікуе запіс аб базавай ліцэнзіі і выдае дакумент у кашалёк уладальніка. Кашалёк надзейна захоўвае яго, абараняе ключы, аўтэнтыфікуе ўладальніка і можа пазней абнавіць статус або атрымаць абноўленыя атэстацыі праз кіраваны паток выдачы. OpenID4VCI забяспечвае жыццяздольны ўзровень выдачы, заснаваны на вэбе, а рэкамендацыі AAMVA патрабуюць шыфравання ў спакоі, бяспечнага захоўвання ключоў і аўтэнтыфікацыі ўладальніка пры доступе або перадачы дадзеных.

2. Аддаленая папярэдняя праверка пры арэндзе аўтамабіля

Платформа арэнды адпраўляе аўтэнтыфікаваны запыт на мінімальны набор правоў кіравання. Кашалёк паказвае запыт уладальніку, які яго пацвярджае. Верыфікатар атрымлівае прэзентацыю праз паток з магчымасцю інтэрнэт-злучэння, правярае подпіс выдаўца і матэрыял ключа, правярае лакальна даступную інфармацыю аб даверы і статусе і папярэдне зацвярджае браніраванне. Кіраўніцтва ЕС па mDL ужо апісвае аддаленае абагульванне пры арэндзе аўтамабіляў; праект NIST апісвае запыты атрыбутаў, кіраваныя запытамі; OpenID4VP і ISO/IEC 18013-7 забяспечваюць агульны кірунак прэзентацыі для патокаў у інтэрнэце.

3. Спыненне на дарозе

Супрацоўнік запытвае набор раскрыцця для дарогі. Уладальнік прадстаўляе яго праз паток бліжняй сувязі. Счытвальнік лакальна правярае дакумент, правярае правы кіравання і дзейснасць і бачыць не больш, чым неабходна. Выдавец па змаўчанні не кантактуецца. Кіраўніцтва ЕС апісвае дарожную верыфікацыю з выкарыстаннем QR-кода, Bluetooth, Wi-Fi Aware і NFC, а ISO/IEC 18013-5 і рэкамендацыі AAMVA цэнтруюцца на бліжняй сувязі і атрыманні дадзеных з прылады, а не на кантакце з выдаўцом у рэжыме рэальнага часу.

Вось правільны карыстальніцкі досвед: хуткі, верыфікуемы, мінімальна навязлівы і просты.

Чым будучы МДК не з’яўляецца

Для ясності, будучы МДК — гэта не:

• Самастойнае пасведчанне кіроўцы
• Фотаздымак карткі
• Універсальная калекцыя ідэнтыфікацыйных дадзеных
• Кіраваны верыфікатарам канал сачэння
• Папера ў лічбавым фармаце
• Сістэма даверу, залежная ад блокчэйна

Гэта старанна кіраваны ўзровень прэзентацыі паверх нацыянальна выдадзеных правоў кіравання. Гэта менш эфектна — і значна больш верагодна, што будзе працаваць.

Чаму шлях міграцыі важны гэтак жа, як і архітэктура

Лепшая архітэктура бескарысная, калі шлях міграцыі не з’яўляецца рэалістычным. Урады не замяняць кожны папяровы рабочы паток за адну ноч — і не павінны.

Рэалістычны шлях выглядае так:

1. Этап 1: Захаваць папяровы дакумент. Дадаць бяспечны лічбавы кампаньён.
2. Этап 2: Стандартызаваць спісы даверу выдаўцоў і катэгорыі верыфікатараў.
3. Этап 3: Падтрымліваць як бліжнюю, так і аддаленую прэзентацыю.
4. Этап 4: Перавесці звычайныя праверкі і арэнду на патокі з перавагай лічбавых тэхналогій.
5. Этап 5: Звесці папяровую брашуру да статусу рэзервовай копіі, а не асноўнага статусу.

Гэты шлях адпавядае напрамку, у якім ужо рухаюцца стандарты і афіцыйныя работы па экасістэме: логіка аднаго дакумента ISO, інфраструктура службы даверу AAMVA, варыянты выкарыстання mDL на аснове кашалькоў EUDI і рух ЕЭК ААН да мадэляў электронных дазволаў, узгодненых з ISO/IEC 18013-5.

Асноўны аргумент у адным сказе

Вось аргумент у сціслым выглядзе: Будучы МДК — гэта не лічбавая брашура. Гэта кіраваны адказ на трансгранічную праблему даверу.

Не больш прывабная версія старога дакумента — а лепшая сістэма. Сістэма, у якой:

• Законнае права па-ранейшаму паходзіць ад нацыянальнага органа
• Уладальнік кантралюе прэзентацыю
• Верыфікатар атрымлівае толькі тое, што яму неабходна
• Давер можна праверыць без сачэння па змаўчанні
• Аддаленае і асабістае выкарыстанне выкарыстоўвае адну архітэктуру
• Папера застаецца толькі там, дзе яна яшчэ мае практычную каштоўнасць

Вось стандарт, да якога трэба імкнуцца.

Як толькі вы ўспрымаеце праблему такім чынам, цікавае пытанне ўжо не ў тым, ці павінен МДК стаць лічбавым. Цікавае пытанне звучыць так: хто гатовы распрацаваць трансгранічны ўзровень ідэнтыфікацыі кіроўцы дастаткова сур’ёзна, каб замяніць папяру, не ўзнавіўшы яе слабыя бакі — і не дадаўшы новых?

Нічога з гэтага не з’яўляецца меркаваннем. Бягучая праца NIST над mDL апісвае кашалёк пад кіраваннем карыстальніка, верыфікатар, які правярае сапраўднасць без неабходнасці непасрэднага кантакту з выдаўцом, і экасістэму дакументаў, пабудаваную вакол выдаўцоў, кашалькоў і верыфікатараў. Служба лічбавага даверу AAMVA ўжо існуе для размеркавання адкрытых ключоў органаў-выдаўцоў. Кіраўніцтва ЕС па мабільным пасведчанні кіроўцы апісвае спісы ўпаўнаважаных выдаўцоў і рэгістрацыю давераных бакоў у рамках больш шырокай структуры даверу.