INTERNATIONAL DRIVING AUTHORITY
Logi sisse
Taotle
  1. Koduleht
    2.  / 
  2. Blogi
    3.  / 
  3. Kodukõne-kontroll puudub: miks tulevane digitaalne rahvusvaheline juhiluba ei tohi iga kasutuse korral väljaandjale helistada
Suggested languages
EN inglise keel AF afrikaani keel AM amhari keel AR araabia keel AZ aserbaidžaani keel BE valgevene keel BG bulgaaria keel BN bengali keel BS bosnia keel CS tšehhi keel DA taani keel DE saksa keel EL kreeka keel ES hispaania keel
ET eesti keel
FA pärsia keel FI soome keel FIL Filipino FR prantsuse keel GA iiri keel HE heebrea keel HI hindi keel HR horvaatia keel HU ungari keel ID indoneesia keel IT itaalia keel JA jaapani keel KA gruusia keel KK kasahhi keel KM khmeeri keel KO korea keel KY kirgiisi keel LO lao keel LT leedu keel LV läti keel MK makedoonia keel MN mongoolia keel MS malai keel MY birma keel NE nepali keel NL hollandi keel NO norra keel PA pandžabi keel PL poola keel PS puštu keel PT portugali keel RO rumeenia keel RU vene keel SI singali keel SK slovaki keel SL sloveenia keel SQ albaania keel SR serbia keel SW suahiili keel TA tamili keel TG tadžiki keel TH tai keel TK türkmeeni keel TR türgi keel UK ukraina keel UR urdu keel VI vietnami keel ZH hiina keel

Blog languages
CA katalaani keel HY armeenia keel IS islandi keel JV jaava keel MT malta keel SV rootsi keel UZ usbeki keel
Kodukõne-kontroll puudub: miks tulevane digitaalne rahvusvaheline juhiluba ei tohi iga kasutuse korral väljaandjale helistada

Kodukõne-kontroll puudub: miks tulevane digitaalne rahvusvaheline juhiluba ei tohi iga kasutuse korral väljaandjale helistada

Tühistamine on tulevase digitaalse rahvusvahelise juhiloa (RJL) kõige keerulisem probleem. Lihtsaim lahendus on ühtlasi kõige ohtlikum: teha väljaandjast osaleja igal üksikul esitamisel. Kaasaegne piiriülene sõiduluba peaks sellest otseteed vaikimisi keelduma.

Peaaegu iga digitaalse identiteedi ettepanek sisaldab sama rahustavat lauset:

„Mandaati saab koheselt kontrollida.”

Mõnikord kirjeldab see lause tõelist edasiminekut. Mõnikord kirjeldab see jälgimist sõbralikuma kasutajaliidesega.

Tänapäeval avaldatud standardid teevad juba selgeks, et kontrollija ei pea iga kord, kui mandaati näidatakse, väljaandjaga ühendust võtma:

  • NIST-i praegune mDL-i arhitektuur sätestab, et kontrollija saab autentsuse ja terviklikkuse valideerida väljaandja allkirja ja avalike võtmete abil — ilma otsese kontaktita väljaandjaga.
  • AAMVA kinnitab, et ISO/IEC 18013-5 nõuab tuge seadme kaudu hankimiseks ja lubab serveri kaudu hankimist üksnes valikuliselt.
  • AAMVA hoiatab samuti, et serveri kaudu hankimisel osaleb väljaandja asutus reaalajas igal kasutuskorral — mis tähendab, et ta suudab tehniliselt logida, millal mandaati kasutati, milliseid andmeid jagati, ja järeldada isegi asukohta IP-analüüsi kaudu.

See ei ole väike joonealune märkus. See on piiriüleste sõidulubade järgmise põlvkonna keskne kujundusprobleem.

Ohtlik otsetee: nelja küsimuse kokkusurumine ühte võrgupäringupäringupäringusse

Halb arhitektuur ühendab neli väga erinevat küsimust üheks elavaks kõneks väljaandjale:

  1. Kas mandaat on autentne?
  2. Kas seda esitav isik on õigustatud valdaja?
  3. Kas mandaat ise on veel kehtiv?
  4. Kas aluseks olev riiklik sõiduõigus on veel jõus?

Halvasti kujundatud süsteem vastab kõigile neljale, helistades reaalajas kodubaasi. Hästi kujundatud süsteem eraldab need — kuna tegemist ei ole sama probleemiga ja neil ei tohiks olla ühist mehhanismi.

Autentsust tuleb kontrollida lokaalselt, mitte üle võrgu

Mandaat võib olla krüptograafiliselt ehtne ilma, et väljaandja tehingut kunagi jälgiks.

  • NIST-i mDL-i usaldusmudel ütleb, et autentsus ja terviklikkus valideeritakse väljaandja allkirja ja avalike võtmete põhjal — otsest kontakti väljaandjaga ei nõuta.
  • AAMVA digitaalne usaldusteenus on loodud just selleks, et anda kontrollijatele juurdepääs kehtivatele väljaandja avalikele võtmetele ilma tehingupõhiste tagasihelistamisteta.

Kujunduspõhimõte 1: Ärge kasutage elava ühenduvuse abil probleemi lahendamiseks, mida allkirjad juba lahendavad.

Kui kontrollija omab usaldusväärseid väljaandja võtmeid ja saab standarditele vastava esituse, on autentsuse kontrollimine lokaalne krüptograafiline toiming, mitte võrgusõltuvus.

Valdaja sidumine tuleb tõendada lokaalselt, mitte raporteerida globaalselt

Teine küsimus — kas see on õigustatud valdaja? — omab samuti võrguvälist vastust.

Praegune EUDI arhitektuur nõuab seadme sidumist PID-ide ja ISO/IEC 18013-5 atesteeringute jaoks. Kontrollija palub rahakotil allkirjastada värske väljakutse, kasutades privaatvõtit, mis vastab mandaati sisseehitatud avalikule võtmele:

  • ISO/IEC 18013-5 puhul nimetatakse seda mdoc-autentimiseks.
  • SD-JWT VC puhul nimetatakse seda võtme sidumiseks.

Mõlemal juhul tõendatakse valdust lokaalselt ja krüptograafiliselt. Ühtegi isikuandmete välja ei pea kunagi väljaandjani jõudma.

Kujunduspõhimõte 2: Tõendage valdust lokaalselt. Ärge tõendage identiteeti globaalselt.

Tulevane RJL peaks ammendama seadme sidumise, lokaalse valdaja autentimise ja kontrollija väljakutse-vastuse mehhanismi enne, kui ta kaalub ühtegi väljaandja poolset mehhanismi.

Mandaadi staatus ja sõiduõiguse staatus on kaks erinevat asja

Paljud digitaalse identiteedi kujundused hägustuvad selles eristuses ja seal lähevad nad valesti.

W3C Bitstring Status List spetsifikatsioon teeb selle selgeks: tõendatavale mandaadile lisatud staatusteave kehtib tõendatava mandaadi enda kohta — mitte tingimata aluseks oleva reaalmaailma õiguse kohta. Digitaalne mandaat võib olla tühistatud, kuna selle allkirjastamismehhanismi ohustati, samas kui aluseks olev sõiduõigus jääb täiesti kehtivaks.

Tulevane RJL vajab seetõttu kahte erinevat staatuse kihti:

  • Mandaadi staatuse kiht — digitaalse mandaadi või esituskanali jaoks.
  • Sõiduõiguse kiht — aluseks oleva riikliku sõiduõiguse jaoks.

Mõnikord muutuvad need koos. Sageli ei muutu. Süsteem, mis neid segamini ajab, reageerib üle, avaldab rohkem andmeid kui vajalik, või teeb mõlemat.

Rahakoti ohustamine peaks levima läbi staatuse — mitte käivitama kontrollija tagasihelistamisi

Tulevane RJL vajab ka selget vastust sellele, mis juhtub, kui rahakott on ohustatud.

EUDI arhitektuur pakub selle:

  • Rahakoti pakkuja väljastab rahakoti üksuse atesteeringuid, mis sisaldavad tühistamisteavet.
  • Rahakoti terviklikkust kontrollitakse aja jooksul; kui rahakott pole enam turvaline, tühistatakse selle atesteering.
  • PID-i pakkujad peavad regulaarselt kontrollima, kas rahakott on tühistatud. Kui on, tühistavad nad PID-i.
  • PID-i staatust kontrollides kontrollib tuginev osapool kaudselt ka rahakoti staatust.

See on kihistumine, mida tulevane RJL peaks kasutusele võtma. Ärge paluge igal kontrollijal iseseisvalt rahakoti pakkujat kontrollida. Laske rahakoti ohustamisel levida olemasoleva mandaadi staatuse konveieri kaudu ning laske kontrollijatel kasutada seda ühte privaatsust säilitavat kanalit.

Kolm toimivat tühistamismustrit (tagasihelistamisi pole vaja)

EUDI nõuab, et pakkujad kasutaksid ühte kolmest tühistamismeetodist:

  • Lühiajalised atesteeringud — kehtivad 24 tundi või vähem, mistõttu tühistamine muutub ebavajalikuks.
  • Atesteeringu staatuse nimekiri — avaldatud nimekiri, mida kontrollijad saavad kasutada.
  • Atesteeringu tühistamise nimekiri — tühistatud mandaatide selge nimekiri.

Üle 24 tunni kehtivate atesteeringute puhul nõuab EUDI tühistamisteabe lisamine, mis sisaldab:

  • URL-i, kust tuginevad osapooled saavad staatuse nimekirja alla laadida.
  • Identifikaatorit, mis paikne mandaadi selles nimekirjas.

Kui usaldusväärne tühistamisteave puudub — näiteks kui tuginev osapool on võrguühenduseta — suunab EUDI tugineva osapoole tegema riskianalüüsi enne mandaadi vastuvõtmist või tagasilükkamist.

Järeldus: tühistamine ei ole üks mehhanism ega kindlasti mitte kohustuslike väljaandja tagasihelistamiste õigustus.

Vaikimisi lühiajaline, pikaajaline ainult seal, kus vajalik

Üks tõhusamaid privaatsusmeetmeid kogu pinnas on ühtlasi ka lihtsaim: hoidke esitatav lühiajaline.

  • EUDI ütleb, et 24 tundi või vähem kehtivad atesteeringud ei vaja tühistamistaristu — need aeguvad enne, kui tühistamine oleks asjakohane.
  • W3C ütleb, et tõendatavad esitused on tavaliselt lühiajalised ega ole mõeldud pikaajalise säilitamise jaoks.
  • NIST hoiatab selgesõnaliselt korduvalt kasutatavate identifikaatorite korduva edastamise eest igapäevaseks kasutamiseks. Igapäevane autentimine peaks tuginema selleks otstarbeks loodud tehnoloogiatele, nagu pääsvõtmed, mitte identiteedirikka mandaadi korduvatele esitustele.
  • NIST valis ka lokaalse seadme autentimise serveri poolse biomeetrilise sobitamise asemel just seetõttu, et lokaalne autentimine säilitab privaatsuse ja on operatiivselt tõhusam.

Kujunduspõhimõte 3: Põhimandaadil võib olla keskmise pikkusega kehtivusaeg, kuid esitus ise peaks olema lühiajaline, kontrollija-spetsiifiline ja mittekasutatav uuesti.

Staatuse nimekirjad on õige vaikemehhanism

Kui kõike ei saa lühiajaliseks muuta, vajate staatuse infrastruktuuri — ja staatuse nimekiri on õige vaikimisi valik.

W3C Bitstring Status List v1.0 kirjeldab privaatsust säilitavat, ruumiefektiivset ja kõrge jõudlusega mehhanismi staatuse andmete, näiteks peatamise või tühistamise avaldamiseks. Peamised omadused on:

  • Iga väljaandja haldab nimekirja oma väljastatud mandaatide kohta.
  • Formaat tihendub hästi, kuna enamik mandaate jääb tühistamata.
  • Vaikimisi nimekirja suurus on 131 072 kirjet, mis W3C sõnul tagab keskmises olukorras piisava rühmaprivaatsuse.
  • Suuremaid nimekirju saab kasutada seal, kus on vaja tugevamat rühmaprivaatsust.
Uuendage usaldust väljaspool ribaala, mitte inimese kaupa

See nihutab küsimuse:

„Kas ma saan praegu selle kasutaja kohta väljaandjalt küsida?”

selleks:

„Kas mul on juba piisavalt värske privaatsust säilitav staatuse nimekiri, et otsustada lokaalselt?”

See on palju parem küsimus — nii tehniliselt kui ka poliitiliselt.

„Kodukõne puudumine” on allalaadimismuster, mitte loosung

Kõige tähtsam reegel EUDI privaatsusjuhistes on menetluslik, mitte filosoofiline.

Tuginevad osapooled ei tohi iga kord, kui mandaati esitatakse, staatuse nimekirja pärida. Selle asemel peavad nad:

  • Laadima iga nimekirja uue versiooni alla ühekordselt.
  • Tegema seda ajal ja asukohast, mis ei ole seotud ühegi kasutaja esitusega.
  • Jagama nimekirja sisemiselt tugineva osapoole organisatsioonis.
  • Hankima nimekirja ilma tugineva osapoole autentimiseta.

See on kodukõnevaba kontrollimise operatiivne tuum: uuendage staatust eraldi kasutaja esitustest — mitte kunagi isiku kaupa, mitte kunagi tehingu kaupa.

See üksik kujundusotsus takistab väljaandjat või staatuse pakkujat teada saamast, milline kontrollija millist mandaati mis hetkel kontrollis.

Rühmaprivaatsus: nõue, mille enamik kujundusi unustab

Paljud süsteemid kiidavad selektiivset avalikustamist esituse sees, ignoreerides vaikselt staatuse päringute privaatsust. See on märkimisväärne lünk.

EUDI privaatsusnõuded määravad, et:

  • Staatuse nimekirjades olevad indeksid peavad olema juhuslikult määratud, et indeks ise ei muutuks kunagi jälgimissignaaliks.
  • Iga nimekiri peab katma piisavalt suure arvu mandaate, et tagada rühmapirsaatus.
  • Kui nimekiri oleks muidu liiga väike, peaksid pakkujad lisama kasutamata kirjeid, et varjata tegelikku mandaatide arvu.

Tulevane RJL ei saa väita, et on privaatsust säilitav, tuginedes üksnes selektiivsele avalikustamisele. Kui tühistamismehhanism lekitab esitussündmuse, on privaatsuse kujundus puudulik.

Võrguühenduseta töö ei ole erijuhtum — see on põhinõue

Iga reisisüsteem, mis eeldab täiuslikku ühenduvust, on halvasti kujundatud.

  • AAMVA kinnitab, et seadme kaudu hankimine töötab ilma välise ühenduvuseta nii valdaja seadme kui ka lugeja jaoks ning et ISO/IEC 18013-5 nõuab mDL-ide toetust seadme kaudu hankimiseks.
  • EUDI aktsepteerib, et tuginevad osapooled võivad olla võrguühenduseta ja neil puudub vahemällu salvestatud staatuse nimekiri; sel juhul soovitab see enne otsustamist teha riskianalüüsi.

Aktsepteerige seda kompromissi varakult:

Teil ei saa olla korraga täiuslikku võrguühenduseta tööd ja täiuslikku reaalajas värskust.

Iga arhitektuur, mis lubab mõlemat ilma kompromissita, on kas ebatäpne või tutvustab vaikselt jälgimist uuesti. Õige vastus on muuta värskus poliitika sisendiks, mitte universaalseks võrgusõltuvuseks.

Logid on koht, kus privaatsus vaikselt ebaõnnestub

Isegi suurepärase staatuse arhitektuuri võib hooletul logimisel õõnestada.

  • EUDI nõuab, et tuginevate osapoolte instantsid loobuksid unikaalsetest elementidest ja ajatemplites niipea, kui neid enam ei vajata, ning keelab nende edastamise.
  • AAMVA keelab sidusrühmadel mDL-i valdajate või mDL-i kasutuse jälgimise, välja arvatud seadusega nõutud juhtudel, nõuab väljaandva asutuse staatiliste või pikaajaliste metaandmete jagamise minimeerimist ning piirab tegevuslogi juurdepääsu valdajale.
  • AAMVA nõuab samuti, et seadmes kustutamine eemaldaks logiteabe ja metaandmed, mis võiksid paljastada kasutusajaloo — ja et see kustutamine oleks võimalik võrguühenduseta.

See on protokolli käitumine, mitte haldustöö. Tulevane RJL peab käsitlema pikaajalisi identifikaatoreid, ajatempleid ja logisid potentsiaalsete jälgimisvahendite jaoks, kui ei ole selgesõnaliselt tõestatud vastupidist.

Konkreetne kodukõnevaba arhitektuur tulevase RJL jaoks

Põhimõtteid kokku võttes on siin see, mida süsteem peaks tegelikult tegema:

  1. Väljastage seadmega seotud põhimandaat. Siduge mandaat rahakoti turvalises keskkonnas kaitstud võtmetega — kohustuslik EUDI all PID-ide ja ISO/IEC 18013-5 atesteeringute jaoks.
  2. Pärige ainult vajalikku, värske väljakutsega. OpenID4VP tehingus võimaldab DCQL-päring rahakotil näidata valdajale, milliseid atribuute taotletakse, ja kontrollija väljastab korduvesituste vältimiseks väljakutse (vastavalt NIST-i praegusele mDL-i arhitektuurile).
  3. Genereerige lühiajaline esitus, mitte korduvkasutatav identifikaator. Iga esitus peaks olema spetsiifiline kontrollija, päringu ja hetke jaoks.
  4. Kontrollige autentsust lokaalselt. Valideerige väljaandja allkirjad ja avalikud võtmed võrguühenduseta; AAMVA usaldusteenus on loodud just selleks.
  5. Kontrollige staatust vahemällu salvestatud, eraldi uuendatud nimekirjadest. Kui mandaadid on liiga pikaajalised, et tühistamist vahele jätta, kasutage lokaalselt vahemällu salvestatud staatuse nimekirju, mida uuendatakse kasutaja esitustest sõltumatu ajakava alusel.
  6. Rakendage riskipoliitikat, kui värskus pole saadaval. Muutke võrguühenduseta otsused selgesõnaliseks kontrollija poliitikaks, mitte struktureerimata äraarvamiseks.
  7. Kustutage jälgimisandmed agressiivselt. Loobuge tehinguspetsiifilistest elementidest ja ajatemplitest, kui neid enam ei vajata; ärge säilitage logisid, mis võiksid liikumisajaloo rekonstrueerida.

See on see, milline näeb välja tõsine kodukõnevaba arhitektuur — kihistunud, privaatsust säilitav, krüptograafiliselt lokaalne ja operatiivselt aus võrguühenduseta reaalsuse suhtes.

Kolm mustrit, mis tuleks kujundusega keelata

Küps tulevane RJL-i ökosüsteem peaks käsitlema neid arhitektuursete tõrgetena, mitte optimeerimisvalikutena:

  • Kohustuslikud väljaandja tagasihelistamised igal esitusel. AAMVA enda privaatsusjuhend selgitab, miks see on kahjulik.
  • Sõiduloa kasutamine tavalise sisselogimisena. NIST hoiatab selgesõnaliselt identiteeti kandvate mandaatide korduvate esituste eest igapäevaseks autentimiseks.
  • Identifikaatorite, ajatemplite ja logide säilitamine, mis võivad esitusajaloo rekonstrueerida. Nii EUDI kui ka AAMVA nõuavad vastupidist.

Põhiargument ühes lauses

Kohene kontrollimine ei tohi muutuda loaks väljaandja poolseks jälgimiseks.

Tulevane RJL peaks suutma:

  • Tõendada autentsust lokaalselt.
  • Tõendada valdust lokaalselt.
  • Kontrollida värskust privaatselt.
  • Taluda võrguühenduseta reaalsust.
  • Toimida sujuvalt, kui täielik teave puudub.

Ükski neist ei tee süsteemi nõrgemaks. See muudab selle suuremahuliseks kasutuselevõtuks vääriliseks.

Niipea kui sõiduluba muutub vahendiks, mis salvestab, kes mida, kus ja millal näitas, lakkab see olemast paberi turvalisem versioon. Sellest saab vaatlusinfrastruktuur.

Just selleks muutumisest peaks tulevane RJL keelduma.

Korduma kippuvad küsimused

Mis on „kodukõne-kontroll”?
See on mis tahes kujundus, milles kontrollija võtab ühendust väljaandjaga reaalajas mandaadi valideerimiseks. Kuigi see lahendab autentsuse ja tühistamise korraga, lubab see ka väljaandjal jälgida iga esitussündmust.

Kas ISO/IEC 18013-5 nõuab veebipõhist kontakti väljaandjaga?
Ei. AAMVA kinnitab, et ISO/IEC 18013-5 nõuab seadme kaudu hankimise toetust ja lubab serveri kaudu hankimist üksnes valikuliselt.

Kuidas saab tühistamine toimida ilma väljaandjaga ühendust võtmata?
Lühiajaliste mandaatide, atesteeringu staatuse nimekirjade või atesteeringu tühistamise nimekirjade kaudu — ideaalis nii, et tuginev osapool laadib staatuse andmed alla kasutaja esitustest eraldi.

Miks on „rühmapirsaatus” staatuse nimekirjade puhul oluline?
Kui staatuse nimekiri on liiga väike või selle indeksid on ettearvatavad, võib staatuse päring paljastada, millist konkreetset mandaati just esitati. Juhuslikud indeksid ja suured nimekirjad hoiavad selle ära.

Kas võrguühenduseta kontrollimine on tõesti praktiline?
Jah — ja standardiorganisatsioonid, sealhulgas AAMVA ja EUDI, nõuavad seda selgesõnaliselt. Kompromiss seisneb selles, et täiuslik reaalajas värskus on kokkusobimatu täiusliku võrguühenduseta tööga, mistõttu värskus peab muutuma poliitikaotsuseks, mitte kõvaks sõltuvuseks.

Taotle
Palun sisesta oma e-post allolevasse välja ja kliki "Tellimuse"
Tühista
august 31, 2025 Parimad külastuskohad Bruneis Parimad külastuskohad Bruneis juuni 03, 2019 Teed Montenegros: Autojuhtimise juhend ja "Polako" filosoofia Teed Montenegros: Autojuhtimise juhend ja "Polako" filosoofia mai 13, 2019 Autoklaksonid: tüübid, eeskirjad ja õige klaksoni valimine Autoklaksonid: tüübid, eeskirjad ja õige klaksoni valimine
Tellige ja hankige täielikud juhised rahvusvahelise juhiloa hankimise ja kasutamise kohta, samuti nõuandeid välismaal asuvatele autojuhtidele