INTERNATIONAL DRIVING AUTHORITY
Σύνδεση
Αίτηση
  1. Αρχική σελίδα
    2.  / 
  2. Blog
    3.  / 
  3. Χωρίς Επαλήθευση με Κλήση στον Εκδότη: Γιατί το Μελλοντικό Ψηφιακό ΔΑΟ δεν Πρέπει να «Τηλεφωνεί» στον Εκδότη σε Κάθε Χρήση
Suggested languages
EN Αγγλικά AF Αφρικάνικα AM Αμαρικά AR Αραβικά AZ Αζέρικα BE Λευκορωσικά BG Βουλγάρικα BN Μπενγκάλι BS Βοσνιακά CS Τσέχικα DA Δανέζικα DE Γερμανικά
EL Ελληνικά
ES Ισπανικά ET Εσθονικά FA Περσικά FI Φινλανδικά FIL Φιλιππινέζικα FR Γαλλικά GA Ιρλανδικά HE Εβραϊκά HI Χίντι HR Κροατικά HU Ουγγρικά ID Ινδονησιακά IT Ιταλικά JA Ιαπωνικά KA Γεωργιανά KK Καζακικά KM Χμερ KO Κορεάτικα KY Κιργιζικά LO Λάος LT Λιθουανικά LV Λετονικά MK Μακεδονικά MN Μογγολικά MS Μαλαισιανά MY Βιρμανικά NE Νεπαλικά NL Ολλανδικά NO Νορβηγικά PA Παντζάμπι PL Πολωνικά PS Πάστο PT Πορτογαλικά RO Ρουμανικά RU Ρωσικά SI Σινχαλά SK Σλοβακικά SL Σλοβενικά SQ Αλβανικά SR Σερβικά SW Σουαχίλι TA Ταμίλ TG Τατζικικά TH Ταϊλανδέζικα TK Τουρκμενικά TR Τούρκικα UK Ουκρανικά UR Ουρντού VI Βιετναμέζικα ZH Κινέζικα

Blog languages
CA Καταλανικά HY Αρμένικα IS Ισλανδικά JV Τζαβανέζικα MT Μαλτέζικα SV Σουηδικά UZ Ουζμπεκιστανικά
Χωρίς Επαλήθευση με Κλήση στον Εκδότη: Γιατί το Μελλοντικό Ψηφιακό ΔΑΟ δεν Πρέπει να «Τηλεφωνεί» στον Εκδότη σε Κάθε Χρήση

Χωρίς Επαλήθευση με Κλήση στον Εκδότη: Γιατί το Μελλοντικό Ψηφιακό ΔΑΟ δεν Πρέπει να «Τηλεφωνεί» στον Εκδότη σε Κάθε Χρήση

Η ανάκληση είναι το δυσκολότερο πρόβλημα σε κάθε μελλοντικό ψηφιακό Διεθνές Δίπλωμα Οδήγησης (ΔΑΟ). Ο πιο εύκολος τρόπος για να το λύσει κανείς είναι και ο πιο επικίνδυνος: να καθιστά τον εκδότη συμμετέχοντα σε κάθε μεμονωμένη παρουσίαση. Ένα σύγχρονο διασυνοριακό διαπιστευτήριο οδήγησης πρέπει να αρνείται αυτή τη συντόμευση εξ ορισμού.

Σχεδόν κάθε πρόταση ψηφιακής ταυτότητας περιέχει την ίδια καθησυχαστική φράση:

«Το διαπιστευτήριο μπορεί να επαληθευτεί άμεσα.»

Μερικές φορές αυτή η φράση περιγράφει πραγματική πρόοδο. Μερικές φορές περιγράφει παρακολούθηση με πιο φιλική διεπαφή χρήστη.

Τα σήμερα δημοσιευμένα πρότυπα ήδη διευκρινίζουν ότι ένας επαληθευτής δεν χρειάζεται να επικοινωνεί με τον εκδότη κάθε φορά που εμφανίζεται ένα διαπιστευτήριο:

  • Η τρέχουσα αρχιτεκτονική mDL του NIST αναφέρει ότι ένας επαληθευτής μπορεί να επικυρώσει την αυθεντικότητα και την ακεραιότητα εμπιστευόμενος την υπογραφή και τα δημόσια κλειδιά του εκδότη, χωρίς οποιαδήποτε άμεση επαφή με τον εκδότη.
  • Η AAMVA επιβεβαιώνει ότι το ISO/IEC 18013-5 απαιτεί υποστήριξη για ανάκτηση από συσκευή και μόνο προαιρετικά επιτρέπει ανάκτηση από διακομιστή.
  • Η AAMVA επίσης προειδοποιεί ότι υπό ανάκτηση από διακομιστή, η αρχή έκδοσης εμπλέκεται σε πραγματικό χρόνο σε κάθε χρήση — πράγμα που σημαίνει ότι μπορεί τεχνικά να καταγράφει πότε χρησιμοποιείται το διαπιστευτήριο, ποια δεδομένα κοινοποιούνται, ακόμη και να συμπεράνει τοποθεσία από ανάλυση διεύθυνσης IP.

Αυτό δεν είναι μια ασήμαντη υποσημείωση. Είναι το κεντρικό ζήτημα σχεδιασμού για την επόμενη γενιά διασυνοριακών διαπιστευτηρίων οδήγησης.

Η Επικίνδυνη Συντόμευση: Η Συγχώνευση Τεσσάρων Ερωτημάτων σε Ένα Μόνο Κλήση Δικτύου

Οι κακές αρχιτεκτονικές συνδυάζουν τέσσερα πολύ διαφορετικά ερωτήματα σε μία και μόνο απευθείας κλήση στον εκδότη:

  1. Είναι αυτό το διαπιστευτήριο αυθεντικό;
  2. Είναι το άτομο που το παρουσιάζει ο νόμιμος κάτοχος;
  3. Είναι το ίδιο το διαπιστευτήριο ακόμα σε ισχύ;
  4. Είναι το υποκείμενο εθνικό δικαίωμα οδήγησης ακόμα σε ισχύ;

Ένα κακοσχεδιασμένο σύστημα απαντά και στα τέσσερα τηλεφωνώντας στη βάση σε πραγματικό χρόνο. Ένα καλά σχεδιασμένο σύστημα τα διαχωρίζει — επειδή δεν αποτελούν το ίδιο πρόβλημα και δεν πρέπει να μοιράζονται τον ίδιο μηχανισμό.

Η Αυθεντικότητα Πρέπει να Επαληθεύεται Τοπικά, Όχι Μέσω Δικτύου

Ένα διαπιστευτήριο μπορεί να είναι κρυπτογραφικά γνήσιο χωρίς ο εκδότης να παρατηρεί ποτέ τη συναλλαγή.

  • Το μοντέλο εμπιστοσύνης mDL του NIST αναφέρει ότι η αυθεντικότητα και η ακεραιότητα επικυρώνονται από την υπογραφή και τα δημόσια κλειδιά του εκδότη — δεν απαιτείται ζωντανή επαφή με τον εκδότη.
  • Η Υπηρεσία Ψηφιακής Εμπιστοσύνης της AAMVA υπάρχει ακριβώς για να παρέχει στους επαληθευτές πρόσβαση σε έγκυρα δημόσια κλειδιά εκδοτών χωρίς επανακλήσεις ανά συναλλαγή.

Αρχή Σχεδιασμού 1: Μη χρησιμοποιείτε ζωντανή συνδεσιμότητα για να λύσετε ένα πρόβλημα που οι υπογραφές ήδη επιλύουν.

Εάν ένας επαληθευτής διαθέτει αξιόπιστα κλειδιά εκδότη και λαμβάνει μια παρουσίαση συμβατή με τα πρότυπα, η αυθεντικότητα αποτελεί τοπικό κρυπτογραφικό έλεγχο, όχι εξάρτηση από το δίκτυο.

Η Δέσμευση Κατόχου Πρέπει να Αποδεικνύεται Τοπικά, Όχι να Αναφέρεται Καθολικά

Το δεύτερο ερώτημα — είναι αυτός ο νόμιμος κάτοχος; — έχει επίσης μια απάντηση χωρίς δίκτυο.

Η τρέχουσα αρχιτεκτονική EUDI επιβάλλει δέσμευση συσκευής για PIDs και βεβαιώσεις ISO/IEC 18013-5. Ο επαληθευτής ζητά από το πορτοφόλι να υπογράψει μια νέα πρόκληση χρησιμοποιώντας το ιδιωτικό κλειδί που αντιστοιχεί στο δημόσιο κλειδί που είναι ενσωματωμένο στο διαπιστευτήριο:

  • Στο ISO/IEC 18013-5 αυτό ονομάζεται έλεγχος ταυτότητας mdoc.
  • Στο SD-JWT VC ονομάζεται δέσμευση κλειδιού.

Και στις δύο περιπτώσεις, η κατοχή αποδεικνύεται τοπικά και κρυπτογραφικά. Κανένα προσωπικό δεδομένο δεν χρειάζεται ποτέ να φτάσει στον εκδότη.

Αρχή Σχεδιασμού 2: Αποδείξτε την κατοχή τοπικά. Μην αποδεικνύετε την ταυτότητα καθολικά.

Ένα μελλοντικό ΔΑΟ πρέπει να εξαντλεί τη δέσμευση συσκευής, τον τοπικό έλεγχο ταυτότητας κατόχου και την ανταπόκριση-πρόκληση μεταξύ επαληθευτή πριν εξετάσει οποιονδήποτε μηχανισμό από την πλευρά του εκδότη.

Η Κατάσταση Διαπιστευτηρίου και η Κατάσταση Δικαιώματος Οδήγησης Είναι Δύο Διαφορετικά Πράγματα

Πολλοί σχεδιασμοί ψηφιακής ταυτότητας θολώνουν αυτή τη διάκριση, και εκεί συνήθως πηγαίνουν στραβά.

Η προδιαγραφή Bitstring Status List του W3C το διευκρινίζει ξεκάθαρα: οι πληροφορίες κατάστασης που συνδέονται με ένα επαληθεύσιμο διαπιστευτήριο αφορούν το ίδιο το επαληθεύσιμο διαπιστευτήριο — και όχι κατ’ ανάγκη το υποκείμενο δικαίωμα στον πραγματικό κόσμο. Ένα ψηφιακό διαπιστευτήριο μπορεί να ανακληθεί επειδή ο μηχανισμός υπογραφής του παραβιάστηκε, ενώ το υποκείμενο δικαίωμα οδήγησης παραμένει πλήρως έγκυρο.

Ένα μελλοντικό ΔΑΟ χρειάζεται επομένως δύο διακριτά επίπεδα κατάστασης:

  • Επίπεδο κατάστασης διαπιστευτηρίου — για το ίδιο το ψηφιακό διαπιστευτήριο ή το κανάλι παρουσίασης.
  • Επίπεδο δικαιώματος οδήγησης — για το υποκείμενο εθνικό δικαίωμα οδήγησης.

Μερικές φορές αυτά αλλάζουν μαζί. Συχνά δεν αλλάζουν. Ένα σύστημα που τα συγχέει θα αντιδρά υπερβολικά, θα εκθέτει περισσότερα δεδομένα από ό,τι χρειάζεται, ή και τα δύο.

Η Παραβίαση Πορτοφολιού Πρέπει να Διαχέεται Μέσω Κατάστασης — Όχι να Ενεργοποιεί Επανακλήσεις Επαληθευτή

Ένα μελλοντικό ΔΑΟ χρειάζεται επίσης μια σαφή απάντηση στο τι συμβαίνει όταν παραβιάζεται ένα πορτοφόλι.

Η αρχιτεκτονική EUDI παρέχει μία:

  • Ο πάροχος πορτοφολιού εκδίδει Βεβαιώσεις Μονάδας Πορτοφολιού που περιέχουν πληροφορίες ανάκλησης.
  • Η ακεραιότητα του πορτοφολιού επαληθεύεται εκ νέου με την πάροδο του χρόνου· εάν ένα πορτοφόλι δεν είναι πλέον ασφαλές, η βεβαίωσή του ανακαλείται.
  • Οι πάροχοι PID πρέπει να ελέγχουν τακτικά αν το πορτοφόλι έχει ανακληθεί. Εάν ναι, ανακαλούν το PID.
  • Επαληθεύοντας την κατάσταση PID, το εξαρτημένο μέρος επαληθεύει σιωπηρά και την κατάσταση του πορτοφολιού.

Αυτή είναι η στρωματοποίηση που πρέπει να υιοθετήσει ένα μελλοντικό ΔΑΟ. Μην ζητάτε από κάθε επαληθευτή να ελέγχει ανεξάρτητα τον πάροχο πορτοφολιού. Αφήστε την παραβίαση πορτοφολιού να διαδίδεται μέσω της υπάρχουσας διαδικασίας κατάστασης διαπιστευτηρίου και αφήστε τους επαληθευτές να συμβουλεύονται αυτό το ενιαίο κανάλι που διαφυλάσσει την ιδιωτικότητα.

Τρία Εφαρμόσιμα Μοτίβα Ανάκλησης (Χωρίς Απαιτούμενες Επανακλήσεις)

Το EUDI απαιτεί από τους παρόχους να χρησιμοποιούν μία από τρεις μεθόδους ανάκλησης:

  • Βεβαιώσεις βραχείας διάρκειας — ισχύουν για 24 ώρες ή λιγότερο, οπότε η ανάκληση καθίσταται περιττή.
  • Λίστα Κατάστασης Βεβαίωσης — μια δημοσιευμένη λίστα που μπορούν να συμβουλεύονται οι επαληθευτές.
  • Λίστα Ανάκλησης Βεβαίωσης — μια ρητή λίστα ανακληθέντων διαπιστευτηρίων.

Για βεβαιώσεις που ισχύουν περισσότερο από 24 ώρες, το EUDI απαιτεί την ενσωμάτωση πληροφοριών ανάκλησης που περιλαμβάνουν:

  • Μια διεύθυνση URL από την οποία τα εξαρτημένα μέρη μπορούν να ανακτούν τη λίστα κατάστασης.
  • Ένα αναγνωριστικό που εντοπίζει το διαπιστευτήριο εντός αυτής της λίστας.

Εάν αξιόπιστες πληροφορίες ανάκλησης δεν είναι διαθέσιμες — για παράδειγμα, όταν το εξαρτημένο μέρος είναι εκτός σύνδεσης — το EUDI κατευθύνει το εξαρτημένο μέρος να πραγματοποιεί ανάλυση κινδύνου πριν αποδεχτεί ή απορρίψει το διαπιστευτήριο.

Το συμπέρασμα: η ανάκληση δεν είναι ένας και μόνος μηχανισμός, και σίγουρα δεν αποτελεί δικαιολογία για υποχρεωτικές επανακλήσεις στον εκδότη.

Βραχεία Διάρκεια ως Προεπιλογή, Μεγάλη Διάρκεια Μόνο Όπου Απαιτείται

Ένα από τα πιο αποτελεσματικά μέτρα προστασίας ιδιωτικότητας σε ολόκληρη την αρχιτεκτονική είναι και το πιο απλό: διατηρείτε ό,τι παρουσιάζεται βραχύβιο.

  • Το EUDI αναφέρει ότι βεβαιώσεις που ισχύουν για 24 ώρες ή λιγότερο δεν απαιτούν υποδομή ανάκλησης — λήγουν πριν η ανάκληση έχει σημασία.
  • Το W3C αναφέρει ότι τα επαληθεύσιμα στοιχεία παρουσίασης είναι συνήθως βραχύβια και δεν έχουν σχεδιαστεί για μακροπρόθεσμη αποθήκευση.
  • Το NIST προειδοποιεί ρητά κατά της επαναλαμβανόμενης μετάδοσης επαναχρησιμοποιήσιμων αναγνωριστικών για καθημερινή χρήση. Ο καθημερινός έλεγχος ταυτότητας πρέπει να βασίζεται σε τεχνολογίες που έχουν δημιουργηθεί για αυτόν τον σκοπό, όπως τα passkeys, και όχι στην επαναλαμβανόμενη παρουσίαση ενός πλούσιου σε ταυτότητα διαπιστευτηρίου.
  • Το NIST επίσης επέλεξε τοπικό έλεγχο ταυτότητας στη συσκευή έναντι βιομετρικής αντιστοίχισης από διακομιστή, ακριβώς επειδή ο τοπικός έλεγχος ταυτότητας διαφυλάσσει την ιδιωτικότητα και είναι λειτουργικά πιο αποδοτικός.

Αρχή Σχεδιασμού 3: Το βασικό διαπιστευτήριο μπορεί να έχει μεσαία περίοδο ισχύος, αλλά η ίδια η παρουσίαση πρέπει να είναι βραχύβια, ειδική για τον επαληθευτή και μη επαναχρησιμοποιήσιμη.

Οι Λίστες Κατάστασης Είναι ο Σωστός Προεπιλεγμένος Μηχανισμός

Όταν δεν μπορείτε να κάνετε τα πάντα βραχύβια, χρειάζεστε υποδομή κατάστασης — και η λίστα κατάστασης είναι η σωστή προεπιλογή.

Η Bitstring Status List v1.0 του W3C περιγράφει έναν μηχανισμό που διαφυλάσσει την ιδιωτικότητα, είναι αποδοτικός ως προς τον χώρο αποθήκευσης και υψηλής απόδοσης για τη δημοσίευση δεδομένων κατάστασης, όπως αναστολή ή ανάκληση. Βασικές ιδιότητες περιλαμβάνουν:

  • Κάθε εκδότης διαχειρίζεται μια λίστα για τα διαπιστευτήρια που έχει εκδώσει.
  • Η μορφή συμπιέζεται καλά, καθώς τα περισσότερα διαπιστευτήρια παραμένουν μη ανακληθέντα.
  • Το προεπιλεγμένο μέγεθος λίστας είναι 131.072 εγγραφές, το οποίο το W3C αναφέρει ότι παρέχει επαρκή ομαδική ιδιωτικότητα στη μέση περίπτωση.
  • Μεγαλύτερες λίστες μπορούν να χρησιμοποιηθούν όπου απαιτείται ισχυρότερη ομαδική ιδιωτικότητα.
Ανανέωση εμπιστοσύνης εκτός ζώνης, όχι ανά άτομο

Αυτό μετατοπίζει το ερώτημα από:

«Μπορώ να ρωτήσω τον εκδότη για αυτόν τον χρήστη τώρα;»

σε:

«Έχω ήδη μια αρκετά πρόσφατη λίστα κατάστασης που διαφυλάσσει την ιδιωτικότητα για να αποφασίσω τοπικά;»

Αυτό είναι ένα πολύ καλύτερο ερώτημα — τόσο τεχνικά όσο και πολιτικά.

Το «Χωρίς Κλήση στη Βάση» Είναι Μοτίβο Λήψης Δεδομένων, Όχι Σύνθημα

Ο πιο σημαντικός κανόνας στις οδηγίες ιδιωτικότητας του EUDI είναι διαδικαστικός, όχι φιλοσοφικός.

Τα εξαρτημένα μέρη δεν πρέπει να ζητούν τη λίστα κατάστασης κάθε φορά που παρουσιάζεται ένα διαπιστευτήριο. Αντιθέτως, πρέπει να:

  • Κατεβάζουν κάθε νέα έκδοση της λίστας μία φορά.
  • Το κάνουν αυτό σε χρόνο και από τοποθεσία άσχετη με οποιαδήποτε παρουσίαση χρήστη.
  • Διανέμουν τη λίστα εσωτερικά εντός του οργανισμού του εξαρτημένου μέρους.
  • Ανακτούν τη λίστα χωρίς να πιστοποιούν το εξαρτημένο μέρος.

Αυτός είναι ο λειτουργικός πυρήνας της επαλήθευσης χωρίς κλήση στη βάση: ανανεώνετε την κατάσταση χωριστά από τις παρουσιάσεις χρηστών — ποτέ ανά άτομο, ποτέ ανά συναλλαγή.

Αυτή η μεμονωμένη επιλογή σχεδιασμού εμποδίζει τον εκδότη ή τον πάροχο κατάστασης να μαθαίνει ποιος επαληθευτής έλεγξε ποιο διαπιστευτήριο σε ποια στιγμή.

Ομαδική Ιδιωτικότητα: Η Απαίτηση που Οι Περισσότεροι Σχεδιασμοί Ξεχνούν

Πολλά συστήματα διαφημίζουν την επιλεκτική αποκάλυψη εντός της ίδιας της παρουσίασης, ενώ παράλληλα αγνοούν αθόρυβα την ιδιωτικότητα των αναζητήσεων κατάστασης. Αυτό αποτελεί σημαντικό κενό.

Οι απαιτήσεις ιδιωτικότητας του EUDI ορίζουν ότι:

  • Οι δείκτες σε λίστες κατάστασης πρέπει να είναι τυχαία εκχωρημένοι, ώστε ο ίδιος ο δείκτης να μην γίνεται ποτέ σήμα παρακολούθησης.
  • Κάθε λίστα πρέπει να καλύπτει έναν επαρκώς μεγάλο αριθμό διαπιστευτηρίων για να εξασφαλίζεται ομαδική ιδιωτικότητα.
  • Εάν μια λίστα θα ήταν διαφορετικά πολύ μικρή, οι πάροχοι πρέπει να προσθέτουν αχρησιμοποίητες εγγραφές για να αποκρύψουν τον πραγματικό αριθμό διαπιστευτηρίων.

Ένα μελλοντικό ΔΑΟ δεν μπορεί να ισχυρίζεται ότι διαφυλάσσει την ιδιωτικότητα μόνο βάσει της επιλεκτικής αποκάλυψης. Εάν ο μηχανισμός ανάκλησης διαρρέει το γεγονός της παρουσίασης, ο σχεδιασμός ιδιωτικότητας είναι ελλιπής.

Η Εκτός Σύνδεσης Λειτουργία Δεν Είναι Οριακή Περίπτωση — Είναι Βασική Απαίτηση

Οποιοδήποτε σύστημα ταξιδιωτικής χρήσης υποθέτει τέλεια συνδεσιμότητα είναι κακοσχεδιασμένο.

  • Η AAMVA επιβεβαιώνει ότι η ανάκτηση από συσκευή λειτουργεί χωρίς εξωτερική συνδεσιμότητα τόσο για τη συσκευή κατόχου όσο και για τον αναγνώστη, και ότι το ISO/IEC 18013-5 απαιτεί να υποστηρίζουν τα mDL την ανάκτηση από συσκευή.
  • Το EUDI αποδέχεται ότι τα εξαρτημένα μέρη μπορεί να είναι εκτός σύνδεσης και να μην έχουν κρυφή λίστα κατάστασης, οπότε συνιστά ανάλυση κινδύνου πριν από τη λήψη απόφασης.

Αποδεχτείτε αυτή την αντιστάθμιση νωρίς:

Δεν μπορείτε να έχετε ταυτόχρονα τέλεια εκτός σύνδεσης λειτουργία και τέλεια ανανέωση σε πραγματικό χρόνο.

Κάθε αρχιτεκτονική που υπόσχεται και τα δύο χωρίς συμβιβασμούς είναι είτε ανακριβής είτε επανεισάγει αθόρυβα την παρακολούθηση. Η σωστή αντίδραση είναι να κάνετε την ανανέωση μια πολιτική εισροή, όχι μια καθολική εξάρτηση από το δίκτυο.

Τα Αρχεία Καταγραφής Είναι το Σημείο όπου η Ιδιωτικότητα Αποτυγχάνει Σιωπηλά

Ακόμη και μια εξαιρετική αρχιτεκτονική κατάστασης μπορεί να αναιρεθεί από αμελή καταγραφή.

  • Το EUDI απαιτεί από τις παρουσίες εξαρτημένων μερών να απορρίπτουν μοναδικά στοιχεία και χρονικές σφραγίδες μόλις δεν τα χρειάζονται πλέον, και απαγορεύει την προώθησή τους.
  • Η AAMVA απαγορεύει στους εμπλεκόμενους φορείς να παρακολουθούν κατόχους mDL ή χρήση mDL εκτός αν απαιτείται από τον νόμο, απαιτεί από τις αρχές έκδοσης να ελαχιστοποιούν την κοινοποίηση στατικών ή μακρόβιων μεταδεδομένων, και περιορίζει την πρόσβαση σε αρχεία καταγραφής δραστηριότητας αποκλειστικά στον κάτοχο.
  • Η AAMVA επίσης απαιτεί ότι η διαγραφή εντός συσκευής αφαιρεί πληροφορίες αρχείου καταγραφής και μεταδεδομένα που θα μπορούσαν να αποκαλύψουν ιστορικό χρήσης — και ότι αυτή η διαγραφή είναι δυνατή εκτός σύνδεσης.

Αυτή είναι συμπεριφορά πρωτοκόλλου, όχι διοικητική τακτοποίηση. Ένα μελλοντικό ΔΑΟ πρέπει να αντιμετωπίζει τα μακρόβια αναγνωριστικά, τις χρονικές σφραγίδες και τα αρχεία καταγραφής ως δυνητικά εργαλεία παρακολούθησης, εκτός αν αποδειχθεί ρητά το αντίθετο.

Μια Συγκεκριμένη Αρχιτεκτονική Χωρίς Κλήση στη Βάση για το Μελλοντικό ΔΑΟ

Συνδυάζοντας τις αρχές, αυτό είναι που πρέπει πραγματικά να κάνει το σύστημα:

  1. Έκδοση διαπιστευτηρίου βάσης δεσμευμένου σε συσκευή. Δέσμευση του διαπιστευτηρίου σε κλειδιά που προστατεύονται στο ασφαλές περιβάλλον του πορτοφολιού — υποχρεωτικό στο EUDI για PIDs και βεβαιώσεις ISO/IEC 18013-5.
  2. Αίτηση μόνο για ό,τι χρειάζεται, με νέα πρόκληση. Σε μια συναλλαγή OpenID4VP, ένα ερώτημα DCQL επιτρέπει στο πορτοφόλι να δείχνει στον κάτοχο ποια χαρακτηριστικά ζητούνται, και ο επαληθευτής εκδίδει μια πρόκληση για την αποφυγή επανάληψης (βάσει της τρέχουσας αρχιτεκτονικής mDL του NIST).
  3. Δημιουργία βραχύβιας παρουσίασης, όχι επαναχρησιμοποιήσιμου αναγνωριστικού. Κάθε παρουσίαση πρέπει να είναι ειδική για τον επαληθευτή, το αίτημα και τη στιγμή.
  4. Τοπική επαλήθευση αυθεντικότητας. Επικύρωση υπογραφών εκδότη και δημόσιων κλειδιών εκτός σύνδεσης· η υπηρεσία εμπιστοσύνης της AAMVA έχει δημιουργηθεί ακριβώς για αυτό.
  5. Έλεγχος κατάστασης από κρυφές, ξεχωριστά ανανεωμένες λίστες. Όπου τα διαπιστευτήρια είναι πολύ μακρόβια για να παρακαμφθεί η ανάκληση, χρησιμοποιείτε τοπικά κρυφές λίστες κατάστασης που ανανεώνονται σε πρόγραμμα άσχετο με παρουσιάσεις χρηστών.
  6. Εφαρμογή πολιτικής κινδύνου όταν η ανανέωση δεν είναι διαθέσιμη. Οι αποφάσεις εκτός σύνδεσης να γίνουν ρητή πολιτική επαληθευτή, όχι αδόμητη εικασία.
  7. Επιθετική διαγραφή δεδομένων παρακολούθησης. Απόρριψη μοναδικών στοιχείων συναλλαγών και χρονικών σφραγίδων όταν δεν χρειάζονται πλέον· μη διατήρηση αρχείων καταγραφής που θα μπορούσαν να ανακατασκευάσουν ιστορικό κινήσεων.

Αυτή είναι η εμφάνιση μιας σοβαρής αρχιτεκτονικής χωρίς κλήση στη βάση — στρωματοποιημένη, που διαφυλάσσει την ιδιωτικότητα, κρυπτογραφικά τοπική και λειτουργικά ειλικρινής ως προς την εκτός σύνδεσης πραγματικότητα.

Τρία Μοτίβα που Πρέπει να Απαγορεύονται από τον Σχεδιασμό

Ένα ώριμο μελλοντικό οικοσύστημα ΔΑΟ πρέπει να αντιμετωπίζει αυτά ως αρχιτεκτονικές αποτυχίες, όχι ως επιλογές βελτιστοποίησης:

  • Υποχρεωτικές επανακλήσεις εκδότη σε κάθε παρουσίαση. Οι ίδιες οι οδηγίες ιδιωτικότητας της AAMVA εξηγούν γιατί αυτό είναι επιβλαβές.
  • Χρήση του διαπιστευτηρίου οδήγησης ως συνήθης σύνδεση. Το NIST προειδοποιεί ρητά κατά της επαναλαμβανόμενης παρουσίασης διαπιστευτηρίων που φέρουν ταυτότητα για καθημερινό έλεγχο ταυτότητας.
  • Διατήρηση αναγνωριστικών, χρονικών σφραγίδων και αρχείων καταγραφής που μπορούν να ανακατασκευάσουν ιστορικό παρουσίασης. Τόσο το EUDI όσο και η AAMVA απαιτούν το αντίθετο.

Το Κεντρικό Επιχείρημα σε Μία Πρόταση

Η άμεση επαλήθευση δεν πρέπει να γίνει άδεια για παρακολούθηση από την πλευρά του εκδότη.

Ένα μελλοντικό ΔΑΟ πρέπει να είναι σε θέση να:

  • Αποδεικνύει την αυθεντικότητα τοπικά.
  • Αποδεικνύει την κατοχή τοπικά.
  • Ελέγχει την ανανέωση ιδιωτικά.
  • Ανέχεται την εκτός σύνδεσης πραγματικότητα.
  • Λειτουργεί ομαλά όταν δεν είναι διαθέσιμες τέλειες πληροφορίες.

Τίποτα από αυτά δεν καθιστά το σύστημα αδύναμο. Το καθιστά αξιόλογο για εφαρμογή σε μεγάλη κλίμακα.

Τη στιγμή που ένα διαπιστευτήριο οδήγησης γίνεται εργαλείο για την καταγραφή του ποιος έδειξε τι, πού και πότε, παύει να είναι μια ασφαλέστερη έκδοση του χαρτιού. Γίνεται υποδομή παρατήρησης.

Αυτό ακριβώς πρέπει να αρνηθεί να γίνει το μελλοντικό ΔΑΟ.

Συχνές Ερωτήσεις

Τι είναι η «επαλήθευση με κλήση στη βάση»;
Είναι οποιοσδήποτε σχεδιασμός κατά τον οποίο ένας επαληθευτής επικοινωνεί με τον εκδότη σε πραγματικό χρόνο για να επικυρώσει ένα διαπιστευτήριο. Ενώ λύνει ταυτόχρονα την αυθεντικότητα και την ανάκληση, επιτρέπει επίσης στον εκδότη να παρατηρεί κάθε γεγονός παρουσίασης.

Απαιτεί το ISO/IEC 18013-5 επαφή με τον εκδότη διαδικτυακά;
Όχι. Η AAMVA επιβεβαιώνει ότι το ISO/IEC 18013-5 απαιτεί υποστήριξη για ανάκτηση από συσκευή και μόνο προαιρετικά επιτρέπει ανάκτηση από διακομιστή.

Πώς μπορεί η ανάκληση να λειτουργεί χωρίς επαφή με τον εκδότη;
Μέσω βραχύβιων διαπιστευτηρίων, λιστών κατάστασης βεβαίωσης ή λιστών ανάκλησης βεβαίωσης — ιδανικά με το εξαρτημένο μέρος να κατεβάζει δεδομένα κατάστασης χωριστά από τις παρουσιάσεις χρηστών.

Γιατί είναι σημαντική η «ομαδική ιδιωτικότητα» για τις λίστες κατάστασης;
Εάν μια λίστα κατάστασης είναι πολύ μικρή ή οι δείκτες της είναι προβλέψιμοι, ένα αίτημα κατάστασης μπορεί να αποκαλύψει ποιο συγκεκριμένο διαπιστευτήριο μόλις παρουσιάστηκε. Τυχαίοι δείκτες και μεγάλες λίστες αποτρέπουν αυτό.

Είναι η επαλήθευση εκτός σύνδεσης πραγματικά πρακτική;
Ναι — και οι φορείς τυποποίησης, συμπεριλαμβανομένων της AAMVA και του EUDI, την απαιτούν ρητά. Η αντιστάθμιση είναι ότι η τέλεια ανανέωση σε πραγματικό χρόνο είναι ασυμβίβαστη με την τέλεια εκτός σύνδεσης λειτουργία, επομένως η ανανέωση πρέπει να γίνει απόφαση πολιτικής, όχι σκληρή εξάρτηση.

Αίτηση
Πληκτρολογήστε το email σας στο παρακάτω πεδίο και κάντε κλικ στο "Εγγραφή"
Ακύρωση
Νοέμβριος 12, 2020 Έκθεση Αυτοκινήτου του Τόκιο Έκθεση Αυτοκινήτου του Τόκιο Δεκέμβριος 10, 2018 Μέρη να δεις στη Βουλγαρία για έναν οδηγό Μέρη να δεις στη Βουλγαρία για έναν οδηγό Δεκέμβριος 06, 2025 Οι Καλύτεροι Προορισμοί για Επίσκεψη στον Καναδά Οι Καλύτεροι Προορισμοί για Επίσκεψη στον Καναδά
Εγγραφείτε και λάβετε πλήρεις οδηγίες σχετικά με την απόκτηση και χρήση της Διεθνούς Άδειας Οδήγησης, καθώς και συμβουλές για οδηγούς στο εξωτερικό