TARPTAUTINĖ VAIRAVIMO INSTITUCIJA
Prisijungti
Taikyti
  1. Pagrindinis puslapis
    2.  / 
  2. Blogas
    3.  / 
  3. Patikrinimas be skambučio namo: Kodėl ateities skaitmeninis TVM neturi susisiekti su išdavėju kiekvieno naudojimo metu
Suggested languages
EN anglų AF afrikanų AM amharų AR arabų AZ azerbaidžaniečių BE baltarusių BG bulgarų BN bengalų BS bosnių CS čekų DA danų DE vokiečių EL graikų ES ispanų ET estų FA persų FI suomių FIL filipiniečių FR prancūzų GA airių HE hebrajų HI hindi HR kroatų HU vengrų ID indoneziečių IT italų JA japonų KA gruzinų KK kazachų KM khmerų KO korėjiečių KY kirgizų LO laosiečių
LT lietuvių
LV latvių MK makedonų MN mongolų MS malajiečių MY birmiečių NE nepaliečių NL olandų NO norvegų PA pandžabų PL lenkų PS puštūnų PT portugalų RO rumunų RU rusų SI sinhalų SK slovakų SL slovėnų SQ albanų SR serbų SW suahilių TA tamilų TG tadžikų TH tajų TK turkmėnų TR turkų UK ukrainiečių UR urdu VI vietnamiečių ZH kinų

Blog languages
CA katalonų HY armėnų IS islandų JV javiečių MT maltiečių SV švedų UZ uzbekų
Patikrinimas be skambučio namo: Kodėl ateities skaitmeninis TVM neturi susisiekti su išdavėju kiekvieno naudojimo metu

Patikrinimas be skambučio namo: Kodėl ateities skaitmeninis TVM neturi susisiekti su išdavėju kiekvieno naudojimo metu

Atšaukimas yra sunkiausia problema bet kuriame ateities skaitmeniniame Tarptautiniame Vairuotojo Pažymėjime (TVM). Lengviausias šios problemos sprendimo būdas kartu yra ir pavojingiausias: padaryti išdavėją kiekvienos atskirtos pateikties dalyviu. Moderni tarpvalstybinio vairavimo kredencialas turėtų pagal numatytuosius nustatymus atsisakyti šio trumpinio.

Beveik kiekviename skaitmeninės tapatybės pasiūlyme yra tas pats raminantis sakinys:

„Kredencialą galima patikrinti akimirksniu.”

Kartais šis sakinys apibūdina tikrą pažangą. Kartais jis apibūdina stebėjimą su draugiškesne vartotojo sąsaja.

Šiandien paskelbti standartai jau aiškiai nurodo, kad tikrintojas neprivalo susisiekti su išdavėju kiekvieną kartą, kai pateikiamas kredencialas:

  • Dabartinė NIST mDL architektūra teigia, kad tikrintojas gali patvirtinti autentiškumą ir vientisumą pasitikėdamas išdavėjo parašu ir viešaisiais raktais – be jokio tiesioginio ryšio su išdavėju.
  • AAMVA patvirtina, kad ISO/IEC 18013-5 reikalauja palaikyti įrenginio gavimą ir tik neprivaloma tvarka leidžia serverio gavimą.
  • AAMVA taip pat įspėja, kad serverio gavimo atveju išduodančioji institucija dalyvauja realiuoju laiku kiekvieno naudojimo metu – tai reiškia, kad ji techniškai gali registruoti, kada kredencialas naudojamas, kokie duomenys yra dalijami, ir net nustatyti vietą pagal IP analizę.

Tai ne smulki išnaša. Tai pagrindinis projektavimo klausimas naujos kartos tarpvalstybinių vairavimo kredencialų atžvilgiu.

Pavojingas trumpinys: keturių klausimų sujungimas į vieną tinklo kreipinį

Bloga architektūra sujungia keturis visiškai skirtingus klausimus į vieną tiesioginį kreipinį į išdavėją:

  1. Ar šis kredencialas yra autentiškas?
  2. Ar jį pateikiantis asmuo yra teisėtas turėtojas?
  3. Ar pats kredencialas vis dar galioja?
  4. Ar pagrindinė nacionalinė teisė vairuoti vis dar galioja?

Prastai suprojektuota sistema atsako į visus keturis klausimus realiuoju laiku susisiekdama su išdavėju. Gerai suprojektuota sistema juos atskiria – nes tai nėra ta pati problema ir jie neturėtų turėti bendro mechanizmo.

Autentiškumas turėtų būti tikrinamas vietiškai, o ne per tinklą

Kredencialas gali būti kriptografiškai autentiškas, o išdavėjas niekada nestebės sandorio.

  • NIST mDL pasitikėjimo modelis teigia, kad autentiškumas ir vientisumas patvirtinami pagal išdavėjo parašą ir viešuosius raktus – nereikia jokio tiesioginio ryšio su išdavėju.
  • AAMVA skaitmeninių pasitikėjimo paslaugų tarnyba egzistuoja būtent tam, kad tikrintojai galėtų gauti tinkamus išdavėjų viešuosius raktus be atskirų transakcijų grįžtamųjų kreipinių.

Projektavimo principas Nr. 1: Nenaudokite tiesioginės prieigos tinkle problemai spręsti, kurią jau išsprendžia parašai.

Jei tikrintojas turi patikimus išdavėjo raktus ir gauna standartams atitinkančią pateiktį, autentiškumas yra vietinis kriptografinis patikrinimas, o ne tinklo priklausomybė.

Turėtojo susiejimas turėtų būti įrodytas vietiškai, o ne praneštas globaliai

Antrasis klausimas – ar tai teisėtas turėtojas? – taip pat turi atsakymą be tinklo.

Dabartinė EUDI architektūra įpareigoja naudoti įrenginio susiejimą PID ir ISO/IEC 18013-5 atestacijoms. Tikrintojas prašo piniginės pasirašyti naują iššūkį naudojant privatųjį raktą, atitinkantį kredenciale įterptąjį viešąjį raktą:

  • ISO/IEC 18013-5 tai vadinama mdoc autentifikavimu.
  • SD-JWT VC tai vadinama rakto susiejimu.

Abiem atvejais valdymas įrodomas vietiškai ir kriptografiškai. Jokie asmens duomenys niekada neprivalo pasiekti išdavėjo.

Projektavimo principas Nr. 2: Įrodykite valdymą vietiškai. Neįrodinėkite tapatybės globaliai.

Ateities TVM turėtų išnaudoti įrenginio susiejimą, vietinį turėtojo autentifikavimą ir tikrintojo iššūkio-atsako mechanizmą prieš svarstant bet kokį išdavėjo pusės mechanizmą.

Kredencialo būsena ir vairavimo teisės būsena yra du skirtingi dalykai

Daugelis skaitmeninės tapatybės projektų šią skirtį nušliaužia, ir čia jie klysta.

W3C Bitstring Status List specifikacija aiškiai išdėsto: prie patikrinamo kredencialo pridėta būsenos informacija taikoma pačiam patikimamam kredencialui – ne būtinai pagrindiniam realaus pasaulio įgaliojimui. Skaitmeninis kredencialas gali būti atšauktas dėl to, kad jo pasirašymo mechanizmas buvo pažeistas, o pagrindinė teisė vairuoti lieka visiškai galiojanti.

Todėl ateities TVM reikalingi du atskiri būsenos lygiai:

  • Kredencialo būsenos lygis – skirtas pačiam skaitmeniniam kredencialui arba pateikties kanalui.
  • Vairavimo teisės lygis – skirtas pagrindiniam nacionaliniam vairavimo įgaliojimui.

Kartais jie keičiasi kartu. Dažnai – ne. Sistema, kuri juos supainioja, perreaguos, atskleids daugiau duomenų nei būtina, arba ir viena, ir kita.

Piniginės kompromitavimas turėtų pasireikšti per būsenos mechanizmą, o ne sukelti tikrintojų grįžtamuosius kreipimus

Ateities TVM taip pat reikalingas aiškus atsakymas į tai, kas atsitinka, kai piniginė yra kompromituota.

EUDI architektūra jį pateikia:

  • Piniginės teikėjas išduoda piniginės bloko atestacijas, kuriose yra atšaukimo informacija.
  • Piniginės vientisumas laikui bėgant yra tikrinamas iš naujo; jei piniginė nebėra saugi, jos atestacija atšaukiama.
  • PID teikėjai privalo reguliariai tikrinti, ar piniginė nebuvo atšaukta. Jei taip – jie atšaukia PID.
  • Tikrindama PID būseną, pasikliaujančioji šalis netiesiogiai tikrina piniginės būseną.

Tai yra sluoksninis požiūris, kurį turėtų priimti ateities TVM. Neprašykite kiekvieno tikrintojo savarankiškai tikrinti piniginės teikėjo. Leiskite piniginės kompromitavimui sklistis per esamą kredencialų būsenos grandinę ir leiskite tikrintojams naudotis tuo vienu privatumą saugančiu kanalu.

Trys veikiantys atšaukimo modeliai (be grįžtamųjų kreipinių)

EUDI reikalauja, kad teikėjai naudotų vieną iš trijų atšaukimo metodų:

  • Trumpalaikės atestacijos – galiojančios 24 valandas ar mažiau, todėl atšaukimas tampa nereikalingas.
  • Atestacijos būsenos sąrašas – paskelbtas sąrašas, kurį tikrintojai gali naudoti.
  • Atestacijos atšaukimo sąrašas – aiškus atšauktų kredencialų sąrašas.

Atestacijoms, galiojančioms ilgiau nei 24 valandas, EUDI reikalauja įterpti atšaukimo informaciją, apimančią:

  • URL, iš kurio pasikliaujančiosios šalys gali gauti būsenos sąrašą.
  • Identifikatorių, nurodantį kredencialą tame sąraše.

Jei patikima atšaukimo informacija yra nepasiekiama – pavyzdžiui, kai pasikliaujančioji šalis yra neprisijungusi – EUDI nurodo pasikliaujančiajai šaliai atlikti rizikos analizę prieš priimant arba atmetant kredencialą.

Išvada: atšaukimas nėra vienas mechanizmas ir tikrai nėra pateisinimas privalomiems išdavėjų grįžtamiesiems kreipiniams.

Trumpalaikis pagal numatytuosius nustatymus, ilgalaikis – tik kur būtina

Viena iš efektyviausių privatumo priemonių visoje sistemoje yra ir paprasčiausia: pateikimą laikykite trumpalaikiu.

  • EUDI teigia, kad atestacijoms, galiojančioms 24 valandas ar mažiau, nereikia atšaukimo infrastruktūros – jos baigia galioti dar prieš tai, kai atšaukimas taptų svarbus.
  • W3C teigia, kad patikrinamos pateiktys paprastai yra trumpalaikės ir neskirtos ilgalaikiam saugojimui.
  • NIST aiškiai įspėja prieš pakartotinį daugkartinio naudojimo identifikatorių perdavimą kasdieniam naudojimui. Kasdieniam autentifikavimui turėtų būti naudojamos tam tikslui sukurtos technologijos, pavyzdžiui slaptaraktiai, o ne pakartotinis tapatybę turinčio kredencialo pateikimas.
  • NIST taip pat pasirinko vietinį įrenginio autentifikavimą, o ne serverio pusės biometrinį atitikimą, būtent todėl, kad vietinis autentifikavimas apsaugo privatumą ir yra operatyviai efektyvesnis.

Projektavimo principas Nr. 3: Pagrindinis kredencialas gali turėti vidutinį galiojimo laikotarpį, tačiau pati pateiktis turėtų būti trumpalaikė, specifinė tikrintojui ir nenaudojama pakartotinai.

Būsenos sąrašai yra tinkamas numatytasis mechanizmas

Kai negalite visko padaryti trumpalaikio, reikalinga būsenos infrastruktūra – ir būsenos sąrašas yra tinkamas numatytasis pasirinkimas.

W3C Bitstring Status List v1.0 aprašo privatumą saugantį, erdviškai efektyvų, našų mechanizmą būsenos duomenų, pavyzdžiui, sustabdymo ar atšaukimo, skelbimui. Pagrindinės savybės:

  • Kiekvienas išdavėjas tvarko savo išduotų kredencialų sąrašą.
  • Formatas gerai susispaudžia, nes dauguma kredencialų lieka neatšaukti.
  • Numatytasis sąrašo dydis yra 131 072 įrašai, o W3C teigia, kad tai vidutiniškai užtikrina pakankamą grupės privatumą.
  • Ten, kur reikalingas stipresnis grupės privatumas, galima naudoti didesnius sąrašus.
Atnaujinkite pasitikėjimą nepriklausomai, o ne kiekvienam asmeniui atskirai

Tai pakeičia klausimą iš:

„Ar galiu dabar paklausti išdavėjo apie šį naudotoją?”

į:

„Ar jau turiu pakankamai naują privatumą saugantį būsenos sąrašą, kad galėčiau priimti sprendimą vietiškai?”

Tai daug geresnis klausimas – tiek techniniu, tiek politiniu požiūriu.

„Be skambučio namo” yra atsisiuntimo modelis, o ne šūkis

Svarbiausia taisyklė EUDI privatumo gairėse yra procedūrinė, o ne filosofinė.

Pasikliaujančiosios šalys neturi kiekvieno kredencialo pateikimo metu kreiptis dėl būsenos sąrašo. Vietoje to, jos privalo:

  • Atsisiųsti kiekvieną naują sąrašo versiją vieną kartą.
  • Tai daryti laiku ir iš vietos, nesusijusios su jokiu naudotojo pateikimu.
  • Platinti sąrašą viduje pasikliaujančiosios šalies organizacijoje.
  • Gauti sąrašą neautentifikuojant pasikliaujančiosios šalies.

Tai yra operatyvinis patikrinimo be grįžtamojo kreipinio pagrindas: atnaujinkite būseną atskirai nuo naudotojų pateikčių – niekada per asmenį, niekada per transakciją.

Šis vienas projektavimo sprendimas neleidžia išdavėjui ar būsenos teikėjui sužinoti, kuris tikrintojas tikrino kurį kredencialą ir kurią akimirką.

Grupės privatumas: reikalavimas, kurį dauguma projektų pamiršta

Daugelis sistemų skelbia apie selektyvų atskleidimą pačioje pateiktyje, o paskui tyliai ignoruoja būsenos užklausų privatumą. Tai reikšminga spraga.

EUDI privatumo reikalavimai nurodo, kad:

  • Būsenos sąrašuose esantys indeksai turi būti atsitiktinai priskirti, kad pats indeksas niekada netaptų sekimo signalu.
  • Kiekvienas sąrašas turi apimti pakankamai didelį kredencialų skaičių, siekiant užtikrinti grupės privatumą.
  • Jei sąrašas kitaip būtų per mažas, teikėjai turėtų pridėti nenaudojamų įrašų, siekiant nuslėpti tikrąjį kredencialų skaičių.

Ateities TVM negali tvirtinti esantis privatumą saugančiu vien remiantis selektyviu atskleidimu. Jei atšaukimo mechanizmas atskleidžia pateikties įvykį, privatumo projektas yra neišbaigtas.

Darbas neprisijungus nėra kraštutinis atvejis – tai pagrindinis reikalavimas

Bet kuri kelionių sistema, kuri remiasi prielaida apie tobulą ryšį, yra prastai suprojektuota.

  • AAMVA patvirtina, kad įrenginio gavimas veikia be išorinio ryšio tiek turėtojo įrenginiui, tiek skaitytuvui, ir kad ISO/IEC 18013-5 reikalauja, jog mDL palaikytų įrenginio gavimą.
  • EUDI pripažįsta, kad pasikliaujančiosios šalys gali būti neprisijungusios ir neturėti talpyklinėje atmintyje saugomo būsenos sąrašo; tokiu atveju rekomenduojama atlikti rizikos analizę prieš priimant sprendimą.

Priimkite šį kompromisą anksti:

Jūs negalite vienu metu turėti tobulo darbo neprisijungus ir tobulo realiojo laiko naujumo.

Bet kuri architektūra, žadanti abu be kompromiso, yra arba netiksli, arba tyliai iš naujo įdiegia stebėjimą. Teisingas atsakas yra padaryti naujumą politikos įvestimi, o ne visuotine tinklo priklausomybe.

Žurnalai yra ta vieta, kur privatumas tyliai žlunga

Net ir puiki būsenos architektūra gali būti sugriaunama neatsargiu registravimu.

  • EUDI reikalauja, kad pasikliaujančiosios šalies egzemplioriai atmestų unikalius elementus ir laiko žymes, kai tik jie nebereikalingi, ir draudžia juos perduoti toliau.
  • AAMVA draudžia suinteresuotosioms šalims sekti mDL turėtojus ar mDL naudojimą, išskyrus atvejus, kai to reikalauja įstatymas, reikalauja, kad išduodančiosios institucijos sumažintų statinių ar ilgalaikių metaduomenų dalijimąsi, ir apriboja prieigą prie veiklos žurnalų – tik turėtojui.
  • AAMVA taip pat reikalauja, kad trynimas įrenginyje pašalintų žurnalų informaciją ir metaduomenis, galinčius atskleisti naudojimo istoriją, – ir kad šis trynimas būtų galimas neprisijungus.

Tai yra protokolo elgesys, o ne administracinė tvarkymosi priemonė. Ateities TVM privalo laikyti ilgalaikius identifikatorius, laiko žymes ir žurnalus potencialiais sekimo įrankiais, nebent aiškiai įrodyta priešingai.

Konkreti patikrinimo be grįžtamojo kreipinio architektūra ateities TVM

Sudėjus principus kartu, čia pateikta tai, ką sistema iš tikrųjų turėtų daryti:

  1. Išduokite prie įrenginio susietą pagrindinį kredencialą. Susiekite kredencialą su raktais, apsaugotais piniginės saugioje aplinkoje – privaloma pagal EUDI PID ir ISO/IEC 18013-5 atestacijoms.
  2. Prašykite tik to, kas reikalinga, su nauju iššūkiu. OpenID4VP transakcijoje DCQL užklausa leidžia piniginei parodyti turėtojui, kokie atributai yra prašomi, o tikrintojas pateikia iššūkį, kad išvengtų pakartojimo (pagal dabartinę NIST mDL architektūrą).
  3. Sukurkite trumpalaikę pateiktį, o ne daugkartinį identifikatorių. Kiekviena pateiktis turėtų būti specifinė tikrintojui, užklausai ir akimirkai.
  4. Patikrinkite autentiškumą vietiškai. Patvirtinkite išdavėjo parašus ir viešuosius raktus neprisijungę; AAMVA pasitikėjimo tarnyba yra sukurta būtent tam.
  5. Tikrinkite būseną pagal talpykloje saugomus, atskirai atnaujinamus sąrašus. Kai kredencialai yra per ilgalaikiai, kad būtų galima praleisti atšaukimą, naudokite vietiškai talpykloje saugomus būsenos sąrašus, atnaujinamus pagal grafiką, nesusijusį su naudotojų pateiktimis.
  6. Taikykite rizikos politiką, kai naujumas yra nepasiekiamas. Padarykite neprisijungus priimamus sprendimus aiškia tikrintojo politika, o ne nestruktūrizuotu spėliojimu.
  7. Agresyviai ištrinkite sekimo duomenis. Atmeskite transakcijai unikalius elementus ir laiko žymes, kai jie nebereikalingi; nelaikykite žurnalų, galinčių atkurti judėjimo istoriją.

Taip atrodo rimta patikrinimo be grįžtamojo kreipinio architektūra – sluoksninė, privatumą sauganti, kriptografiškai vietinė ir operatyviai sąžininga neprisijungimo realybės atžvilgiu.

Trys modeliai, kurie turėtų būti draudžiami pagal projektą

Brandus ateities TVM ekosistemas turėtų laikyti juos architektūros klaidomis, o ne optimizavimo pasirinkimais:

  • Privalomi išdavėjų grįžtamieji kreipiniai kiekvieną pateiktį. AAMVA pati savo privatumo gairėse aiškina, kodėl tai yra žalinga.
  • Vairavimo kredencialo naudojimas kaip įprastas prisijungimas. NIST aiškiai įspėja prieš pakartotinį tapatybę turinčių kredencialų pateikimą kasdieniam autentifikavimui.
  • Identifikatorių, laiko žymių ir žurnalų, galinčių atkurti pateikčių istoriją, saugojimas. Tiek EUDI, tiek AAMVA reikalauja priešingo.

Pagrindinis argumentas viename sakinyje

Momentinis patikrinimas neturi tapti leidimas išdavėjo pusės stebėjimui.

Ateities TVM turėtų sugebėti:

  • Įrodyti autentiškumą vietiškai.
  • Įrodyti valdymą vietiškai.
  • Tikrinti naujumą privačiai.
  • Toleruoti neprisijungimo realybę.
  • Veikti sklandžiai, kai tobula informacija yra nepasiekiama.

Niekas iš to nesudaro sistemos silpnesnės. Tai daro ją vertą diegimo dideliu mastu.

Tą akimirką, kai vairavimo kredencialas tampa įrankiu registruoti, kas ką parodė, kur ir kada, jis nustoja būti saugesne popieriaus versija. Jis tampa stebėjimo infrastruktūra.

Tai yra būtent tai, kuo ateities TVM turėtų atsisakyti tapti.

Dažniausiai užduodami klausimai

Kas yra „patikrinimas su skambučiu namo”?
Tai bet koks projektas, kuriame tikrintojas realiuoju laiku susisiekia su išdavėju, kad patvirtintų kredencialą. Nors tai vienu metu išsprendžia autentiškumo ir atšaukimo klausimus, tai taip pat leidžia išdavėjui stebėti kiekvieną pateikties įvykį.

Ar ISO/IEC 18013-5 reikalauja prisijungimo prie išdavėjo?
Ne. AAMVA patvirtina, kad ISO/IEC 18013-5 reikalauja palaikyti įrenginio gavimą ir tik neprivaloma tvarka leidžia serverio gavimą.

Kaip atšaukimas gali veikti nesusisiekiant su išdavėju?
Per trumpalaikius kredencialus, atestacijos būsenos sąrašus arba atestacijos atšaukimo sąrašus – geriausia, kai pasikliaujančioji šalis atsisiunčia būsenos duomenis atskirai nuo naudotojų pateikčių.

Kodėl „grupės privatumas” svarbus būsenos sąrašams?
Jei būsenos sąrašas yra per mažas arba jo indeksai yra nuspėjami, būsenos užklausa gali atskleisti, kuris konkretus kredencialas ką tik buvo pateiktas. Atsitiktiniai indeksai ir dideli sąrašai tai neleidžia.

Ar patikrinimas neprisijungus yra tikrai praktiškas?
Taip – ir standartus kuriantys organai, įskaitant AAMVA ir EUDI, aiškiai to reikalauja. Kompromisas yra toks: tobulas realiojo laiko naujumas yra nesuderinamas su tobulu darbu neprisijungus, todėl naujumas turi tapti politikos sprendimu, o ne griežta priklausomybe.

Taikyti
Įveskite savo el. pašto adresą žemiau esančiame laukelyje ir spustelėkite „Prenumeruoti"
Atšaukti
Lapkritis 19, 2025 „Suzuki Vision e-Sky“: 2024 m. Japonijos mobilumo parodoje pristatyta elektrinių Kei automobilių ateitis „Suzuki Vision e-Sky“: 2024 m. Japonijos mobilumo parodoje pristatyta elektrinių Kei automobilių ateitis Rugpjūtis 18, 2025 Geriausi lankyti vietų Kambodžoje Geriausi lankyti vietų Kambodžoje Sausis 04, 2026 Geriausi lankytini vietovės Benine Geriausi lankytini vietovės Benine
Prenumeruokite ir gaukite išsamias instrukcijas apie tarptautinio vairuotojo pažymėjimo gavimą ir naudojimą, taip pat patarimus vairuotojams užsienyje