Стэк за будучым МДД: Чаму патрэбна шматузроўневая архітэктура стандартаў для замены паперовага дазволу

Ніводны адзіны стандарт не заменіць паперовы Міжнародны дазвол на кіраванне (МДД). Сапраўдным наступнікам з’яўляецца набор стандартаў, якія працуюць разам — і разуменне гэтага набору з’яўляецца ключом да разумення таго, куды сапраўды рухаюцца трансгранічныя лічбавыя пасведчанні кіроўцы.

Чаму ніводны адзіны стандарт не заменіць паперовы МДД

Большасць дыскусій аб будучым МДД пачынаецца з няправільнага пытання: які стандарт заменіць паперовы дазвол? Такая пастаноўка мяркуе, што адна спецыфікацыя можа выканаць усю работу. Гэта немагчыма.

Праца NIST па mDL (мабільным водзіцельскім пасведчанні) прама адзначае, што новыя стандарты лічбавых уліковых дадзеных з’яўляюцца ў асобных праблемных галінах. Сама сям’я ISO 18013 ужо падзелена на некалькі частак, якія ахопліваюць фізічны дызайн, бяспеку, мабільную прэзентацыю і інтэрнэт-пашырэнні. Такім чынам, будучы трансгранічны пасведчання кіроўцы — гэта не адна спецыфікацыя, а скаардынаваны набор спецыфікацый, кожная з якіх вырашае асобную задачу.

Стэк будучага МДД у двух словах

Вось восем узроўняў, якія разам вызначаюць, як выглядае будучы МДД:

Узровень 0 — Фізічная і інфармацыйная аснова: ISO/IEC 18013-1
Узровень 1 — Бяспека ўліковых дадзеных: ISO/IEC 18013-3
Узровень 2 — Лакальная (асабістая) прэзентацыя: ISO/IEC 18013-5
Узровень 3 — Аддаленая / інтэрнэт-прэзентацыя: ISO/IEC 18013-7
Узровень 4 — Семантыка ўліковых дадзеных: W3C Verifiable Credentials Data Model 2.0
Узровень 5 — Пратакол выдачы: OpenID4VCI
Узровень 6 — Пратакол запыту і прэзентацыі: OpenID4VP
Узровень 7 — Размеркаванне даверу і аўтарызацыя верыфікатара: Рэестры даверу (мадэль VICAL ад AAMVA, мадэль давераных бакоў на аснове сертыфікатаў EUDI)

Кожны ўзровень заснаваны на бягучых стандартах або актыўнай дакументацыі экасістэмы. У раздзелах ніжэй тлумачыцца, што робіць кожны ўзровень — і, не менш важна, чаго ён не робіць.

Узровень 0 — ISO/IEC 18013-1: Фізічная і семантычная аснова

Частка 1 мае большае значэнне, чым большасць людзей усведамляе, паколькі яна тычыцца не толькі дызайну карты.

ISO/IEC 18013-1 вызначае фізічныя характарыстыкі і базавы набор дадзеных водзіцельскага пасведчання, адпаведнага стандарту ISO, ствараючы агульную аснову для міжнароднага выкарыстання і ўзаемнага прызнання. Ён пабудаваны вакол абароненай карты фармату ID-1 у спалучэнні з кніжачкай для міжнароднага выкарыстання, замяняючы старэйшую мадэль паперовага МДД. ISO таксама адзначае, што ў многіх выпадках адна карта можа замяніць неабходнасць у двух асобных дакументах.

Практычны вынік просты: будучы МДД не можа пачынацца з узроўню кашалька. Калі базавая структура дакумента, мадэль дадзеных і макет не стандартызаваны спачатку, кожны лічбавы ўзровень вышэй становіцца латкай сумяшчальнасці над фрагментаванымі нацыянальнымі фарматамі. Частка 1 — гэта фундамент, ад якога залежыць астатняя частка стэка.

Узровень 1 — ISO/IEC 18013-3: Бяспека ўліковых дадзеных

Частка 3 — гэта там, дзе ўліковыя даныя пераходзяць ад статусу даных у дакуменце да статусу аб’екта бяспекі. ISO апісвае 18013-3 як частку, якая вызначае механізмы для:

Кантролю доступу да машынаачытальных дадзеных
Аўтэнтыфікацыі дакумента
Праверкі цэласнасці

Аднак ISO таксама прама заяўляе, што Частка 3 не вырашае пытанняў прыватнасці, звязаных з наступным выкарыстаннем дадзеных — і гэтая мяжа важная.

Кароткі вывад: 18013-3 забяспечвае бяспеку ўліковых дадзеных, але не поўнае кіраванне экасістэмай. Яна дапамагае адказаць на пытанні: Ці быў гэты ўліковы запіс выданы заяўленым органам? Ці былі зменены дадзеныя? Яна не дае поўнага адказу на пытанні: Ці ўвогуле павінен гэты верыфікатар запытваць гэтае поле? Ці дапусцімы гэты запыт у дадзеным кантэксце?

Гэта таксама актыўны ўзровень, а не завершаны прадукт. ISO пералічвае папраўку 2022 года для пратакола PACE, папраўку 2023 года для абнаўленняў пасіўнай аўтэнтыфікацыі і новы праект 18013-3, які зараз распрацоўваецца.

Узровень 2 — ISO/IEC 18013-5: Асабістая мабільная прэзентацыя

Калі Частка 1 вызначае дакумент, а Частка 3 яго абараняе, Частка 5 ператварае пасведчанне ў мабільны ўліковы запіс.

ISO ўказвае, што 18013-5 ахоплівае інтэрфейс паміж mDL і счытвальнікам, а таксама паміж счытвальнікам і інфраструктурай органа выдачы. Яна таксама дазваляе трэцім бакам — уключаючы органы і верыфікатары ў іншых краінах — :

Атрымліваць дадзеныя mDL машынным спосабам
Звязваць гэтыя дадзеныя з трымальнікам
Аўтэнтыфікаваць іх паходжанне
Праверыць іх цэласнасць

Тое, чаго 18013-5 не ахоплівае, таксама вельмі важна. ISO прама пералічвае элементы, якія выходзяць за рамкі, уключаючы тое, як атрымліваецца згода трымальніка на абмен дадзенымі, і патрабаванні да захоўвання дадзеных mDL і прыватных ключоў. Частка 5 — гэта не поўны прадукт кашалька, не поўная мадэль згоды карыстальніка і не поўная сістэма кіравання. Гэта ўзровень транспарту і верыфікацыі для мабільнай прэзентацыі.

Кіраўніцтва па рэалізацыі AAMVA дадаткова ўдакладняе гэта, адрозніваючы дзве мадэлі атрымання:

Атрыманне з прылады, дзе дадзеныя лічацца непасрэдна з прылады трымальніка.
Атрыманне з сервера, якое можа дазволіць органу выдачы назіраць за тым, калі выкарыстоўваецца mDL, якімі дадзенымі дзяляцца, і нават ацэньваць фізічнае месцазнаходжанне праз аналіз IP.

Другі пункт — гэта не прычына адхіляць стандарт, а прычына дакладна вызначыць, якую мадэль атрымання павінен выкарыстоўваць будучы МДД па змаўчанні. AAMVA таксама патрабуе, каб кашалёк даваў трымальніку поўны кантроль над тым, якімі элементамі дадзеных дзяліцца, што значна лепш адпавядае будучаму МДД, чым старая мадэль «паказаць увесь дакумент».

Узровень 3 — ISO/IEC 18013-7: Інтэрнэт-прэзентацыя

Частка 5 вырашае праблему асабістага прадстаўлення. Частка 7 распаўсюджвае гэту мадэль на аддаленае выкарыстанне.

ISO апісвае 18013-7:2025 як пашырэнне 18013-5 з інтэрнэт-прэзентацыяй mDL да счытвальніка. Інтэрнэт — гэта не другарадная разважанне ў гэтай архітэктуры; гэта відавочная частка стандарту.

Кіраўніцтва ЕС па мабільных водзіцельскіх пасведчаннях ужо разглядае інтэрнэт-прэзентацыю як практычную, а не тэарэтычную, апісваючы такія сцэнары, як:

Рэгістрацыя ў пунктах арэнды аўтамабіляў, дзе карыстальнікі дзеляцца сваім mDL асабіста або аддалена загадзя
Дарожныя праверкі паліцыяй
Агульны профіль выкарыстання mDL, заснаваны на ISO/IEC 18013-5 і 18013-7

Тым не менш, бягучыя рэкамендацыі AAMVA сумленна прызнаюць абмежаванні: выкарыстанне mDL праз інтэрнэт вельмі жадана, але некаторыя дапаможныя стандарты яшчэ сталеюць. Існуюць рэальныя прабелы ў бягучай інтэграцыі кашалька з браўзерам, і без спісу давераных счытвальнікаў бок mdoc можа не мець надзейнага спосабу пацвердзіць пэўныя ўласцівасці бяспекі. Аддаленая прэзентацыя рэальная — і яшчэ развіваецца.

Нягледзячы на гэтыя агаворкі, 18013-7 — гэта першы сур’ёзны адказ на праблему, якую паперовы МДД так і не спрабаваў вырашыць: аддаленае прадстаўленне правоў на кіраванне да таго, як чалавек дасягне стойкі або кантрольна-прапускнога пункта.

Узровень 4 — Мадэль дадзеных W3C VC 2.0: Семантычны ўзровень

Мадэль дадзеных W3C для верыфікаваных уліковых дадзеных 2.0 — гэта не стандарт водзіцельскіх пасведчанняў — і менавіта таму яна важная.

Рэкамендацыя вызначае пашыральную мадэль дадзеных для верыфікаваных уліковых дадзеных, тлумачыць, як яны могуць быць абаронены ад змяненняў, і апісвае экасістэму ў тэрмінах трох асноўных роляў: выдавецтваў, трымальнікаў і верыфікатараў. Водзіцельскае пасведчанне з’яўляецца адным з яе асноўных прыкладаў.

Для будучага МДД VC 2.0 забяспечвае агульны слоўнік для патрабаванняў, прэзентацый і верыфікаваных рэестраў дадзеных. W3C прама ўказвае, што такія рэестры могуць прымаць некалькі форм, уключаючы:

Давераныя базы дадзеных
Дзяржаўныя базы дадзеных ідэнтыфікацыі
Дэцэнтралізаваныя базы дадзеных
Размеркаваныя рэестры

Гэта разбурае ілжывую дваістасць паміж падыходам толькі на аснове блокчэйна і цалкам уласнасным. Мадэль дадзеных шырэй за абодва.

VC 2.0 таксама дакладна апісвае выбарачнае раскрыццё. W3C адзначае, што водзіцельскае пасведчанне можа ўтрымліваць больш дадзеных, чым патрабуецца для пэўнага выпадку выкарыстання, і рэкамендуе альбо раздзяліць інфармацыю на меншыя часткі, альбо выкарыстоўваць механізмы, якія дазваляюць выбарачнае раскрыццё. Для будучага МДД гэта не дадатковая зручнасць у сферы прыватнасці — гэта розніца паміж сучасным уліковым запісам і лічбавай копіяй пластыкавай карты.

Аднак VC 2.0 — гэта не поўная замена ISO 18013. W3C указвае, што мадэль дадзеных не патрабуе традыцыйнай мадэлі даверу на аснове ланцужка сертыфікацыйных органаў. На практыцы VC 2.0 з’яўляецца моцным семантычным узроўнем, але відавочныя ўзроўні размеркавання даверу і кіравання верыфікатарамі ўсё роўна павінны быць зверху.

Узровень 5 — OpenID4VCI: Пратакол выдачы

Будучаму МДД патрэбен стандартны спосаб перамяшчэння ўліковых дадзеных ад выдавецтва ў кашалёк. Гэта роля OpenID для выдачы верыфікаваных уліковых дадзеных (OpenID4VCI) 1.0.

Спецыфікацыя вызначае API, абаронены OAuth, для выдачы верыфікаваных уліковых дадзеных, і яна наўмысна не залежыць ад фармату. Сярод фарматаў уліковых дадзеных, якія яна падтрымлівае:

ISO mdoc
SD-JWT VC
Уліковыя даныя W3C VCDM

Яна таксама падтрымлівае прывязку трымальніка і наступныя прэзентацыі без далейшага ўдзелу выдавецтва. OpenID4VCI 1.0 быў зацверджаны як фінальная спецыфікацыя ў верасні 2025 года.

Гэта робіць OpenID4VCI стратэгічна важным для будучай экасістэмы МДД. Замест таго каб ствараць спецыяльныя канвееры выдавецтва-кашалёк для кожнай юрысдыкцыі або пастаўшчыка кашалька, экасістэма можа вызначыць кіраваны профіль выдачы на аснове стандартнай структуры выдачы — пры гэтым выбіраючы, ці будзе атрыманы ўліковы запіс закадзіраваны як mdoc, VC або іншы падтрымліваемы фармат. Гэтая гнуткасць — адзін з найбольш моцных аргументаў у карысць захавання модульнасці будучага стэка МДД.

Узровень 6 — OpenID4VP: Пратакол запыту і прэзентацыі

Калі OpenID4VCI перамяшчае ўліковы запіс у кашалёк, OpenID для верыфікаваных прэзентацый (OpenID4VP) вяртае яго назад кантраляваным чынам.

Спецыфікацыя вызначае механізм запыту і прадстаўлення ўліковых дадзеных. Яе базавы варыянт выкарыстоўвае паведамленні HTTPS і перанакіраванні, але таксама падтрымлівае выкарыстанне праз W3C Digital Credentials API замест патокаў перанакіравання. OpenID4VP 1.0 дасягнуў статусу фінальнай спецыфікацыі ў ліпені 2025 года.

Гэта важна, таму што яно дае будучаму стэку МДД вэб-натуральны ўзровень прэзентацыі, які вэб-сайты, прыкладанні і анлайн-верыфікатары могуць рэалізоўваць напрамую. Некалькі нядаўніх падзей умацоўваюць гэта:

У жніўні 2025 года Фонд OpenID аб’явіў аб фармальным аналізе бяспекі OpenID4VP, які выкарыстоўваецца праз Digital Credentials API, і ніякіх новых уразлівасцяў у верыфікаванай мадэлі пратакола выяўлена не было.
Бягучы праект NIST па mDL будуе сваю мадэль пагроз вакол запыту і прадстаўлення mDL праз OpenID4VP па W3C Digital Credentials API, з FIDO CTAP, які выкарыстоўваецца для ўстанаўлення блізкасці і супраціўлення фішынгу ў адпаведных патоках.

Вэб-бок стэка і бок mDL збліжаюцца. OpenID4VP не варта разглядаць як канкурэнта ISO 18013-7 — гэта вэб-пратакольны ўзровень, які робіць інтэрнэт-прэзентацыю практычнай у рэальных асяроддзях браўзера, кашалька і верыфікатара.

Узровень 7 — Рэестры даверу: Дзе стэк становіцца экасістэмай

Гэта ўзровень, які многія дыскусіі прапускаюць — і ўзровень, які вызначае, ці будзе ўся сістэма сапраўды працаваць.

Верыфікатар не можа зрабіць шмат з падпісаным уліковым запісам, калі не ведае трох рэчаў:

Якія выдавецтвы з’яўляюцца законнымі
Якія публічныя ключы актуальныя
Ці аўтарызаваны сам запытваючы бок

З боку выдавецтва, Служба лічбавага даверу AAMVA прапануе канкрэтны адказ. Яна забяспечвае адзіны, бяспечны, надзейны спосаб атрымання залежнымі бакамі публічных ключоў органаў выдачы, распаўсюджаных праз Спіс сертыфікатаў верыфікаваных выдавецтваў (VICAL). Рэкамендацыі AAMVA апісваюць ролю пастаўшчыка VICAL у практычных тэрмінах: збіраць публічныя ключы ад законных органаў выдачы, праверыць, што гэтыя органы бяспечна кіруюць сваімі ключамі, аб’ядноўваць ключы ў адзін VICAL і дастаўляць яго верыфікатарам.

З боку верыфікатара, Еўропа падыходзіць да праблемы даверу з іншага боку. У Архітэктуры і даведачнай структуры EUDI залежныя бакі рэгіструюцца, атрымліваюць сертыфікаты доступу і выкарыстоўваюць гэтыя сертыфікаты для аўтэнтыфікацыі ў прыкладаннях кашалька пры запыце атрыбутаў. Затым кашалёк правярае ланцужок сертыфікатаў, правярае статус адкліку, прадстаўляе запыт карыстальніку і перадае толькі зацверджаныя атрыбуты.

Мадэль VC W3C таксама ўносіць уклад тут, разглядаючы верыфікаваныя рэестры дадзеных як асобную роль экасістэмы. Як адзначалася раней, гэтыя рэестры могуць быць давернымі базамі дадзеных, дзяржаўнымі базамі дадзеных ідэнтыфікацыі, дэцэнтралізаванымі базамі дадзеных або размеркаванымі рэестрамі. Будучы рэестр даверу МДД не абавязкова павінен быць пабудаваны на блокчэйне. Ён павінен кіравацца, паддавацца аўдыту і быць машынаачытальным.

Калі ISO 18013 вызначае, як выглядае і перамяшчаецца ўліковы запіс, рэестры даверу вырашаюць, ці варта каму-небудзь яму верыць.

Будучы МДД — гэта стэк, а не адна спецыфікацыя

Як працуе транзакцыя будучага МДД ад пачатку да канца

Вось стэк у дзеянні, разбіты на чатыры ключавыя моманты жыццёвага цыкла ўліковых дадзеных.

1. Выдача. Нацыянальны орган — або строга кіраваны ўпаўнаважаны выдавецтва — правярае базавы запіс пасведчання і выдае ўліковы запіс у кашалёк трымальніка. OpenID4VCI з’яўляецца найбольш практычным узроўнем выдачы, даступным сёння, таму што ён ужо падтрымлівае фарматы ISO mdoc, SD-JWT VC і W3C VCDM. Сама ISO 18013-5 пакідае збор згоды і захаванне прыватных ключоў за рамкамі, і менавіта таму кіраванне выдачай і кашальком павінна выконвацца вышэй за базавы транспартны ўзровень ISO.

2. Асабістае прадстаўленне. На дарожнай праверцы або стойцы арэнды кашалёк прадстаўляе ўліковы запіс з дапамогай патоку блізкасці на аснове 18013-5. Счытвальнік правярае паходжанне і цэласнасць з дапамогай ключоў выдавецтва, атрыманых з рэестра даверу — замест таго каб прымаць рашэнні аб даверы самастойна. Трымальнік зацвярджае толькі тыя палі, якія патрабуюцца для дадзенай сітуацыі.

3. Аддаленае прадстаўленне. Для папярэдніх праверак арэнды або іншых анлайн-працэсаў верыфікатар запытвае мінімальны набор атрыбутаў праз інтэрнэт-здольны паток з выкарыстаннем 18013-7 і/або OpenID4VP. Кашалёк паказвае, якія атрыбуты запытваюцца, трымальнік зацвярджае, і верыфікатар атрымлівае структураваную прэзентацыю замест скана або загрузкі PDF. Бягучая архітэктура NIST, пабудаваная вакол OpenID4VP плюс Digital Credentials API, дэманструе, што гэта зараз практычны інжынерны шлях.

4. Давер і аўтарызацыя верыфікатара. Кашалёк не давярае слепа кожнаму запытваючаму. Сталая экасістэма аўтэнтыфікуе залежны бок, правярае ланцужкі сертыфікатаў, правярае статус адкліку і дае карыстальніку бачнасць таго, хто і якія дадзеныя запытвае. Мадэль EUDI асабліва моцная тут, разглядаючы рэгістрацыю верыфікатараў і сертыфікаты доступу як неад’емныя часткі сістэмы, а не дадатковыя надбудовы.

Гэты поўны паток — менавіта таму будучы МДД павінен быць стэкам. Ніводны асобны ўзровень не можа яго забяспечыць. Не ISO адзін. Не VC адзін. Не OpenID адзін. І тым больш не PDF, прыкладзены да формы.

Чаго яшчэ не хапае ў будучым стэку МДД

Найбольш цяжкая праблема, якая засталася, — гэта ўжо не стварэнне новай крыптаграфіі, а дасягненне кіраванай узаемасумяшчальнасці.

Разгледзім, дзе зараз знаходзіцца экасістэма:

NIST апісаў бягучы ландшафт стандартаў як развіваецца ў асобных галінах.
AAMVA пабудаваў рэгіянальную службу даверу для Паўночнай Амерыкі.
Еўропа будуе давер залежных бакоў на аснове сертыфікатаў у сваёй архітэктуры кашалька.
OpenID завяршыў спецыфікацыі выдачы і прэзентацыі і пашырае інфраструктуру адпаведнасці.

Гэта ўсё яшчэ адказы, спецыфічныя для пэўных экасістэм. Аднаго глабальнага трансгранічнага ўзроўню даверу для пасведчанняў кіроўцы пакуль не існуе. Астатняя работа заключаецца ў вызначэнні:

Якія часткі стэка з’яўляюцца абавязковымі
Якія фарматы ўліковых дадзеных прымальныя
Як размяркоўваецца давер выдавецтва і верыфікатара
Як правяраецца адпаведнасць
Як кіруецца трансгранічнае прызнанне без парушэння прыватнасці

Заключэнне: Будучы МДД — гэта стэк, а не дакумент

Будучы МДД не з’явіцца таму, што адна арганізацыя па стандартызацыі напіша адзін дакумент. Ён узнікне, калі кагерэнтны стэк будзе вызначаны, кіраваны і прыняты ва ўсіх юрысдыкцыях. Гэты стэк ужо мае ідэнтыфікаваныя ўзроўні: