STARPTAUTISKĀ AUTOVADĪŠANAS IESTĀDE
Pierakstīties
Pieteikties
  1. Sākumlapa
    2.  / 
  2. Emuārs
    3.  / 
  3. Bez "mājas zvana" verifikācijas: kāpēc nākotnes digitālajam starptautiskajam autovadītāja apliecības dokumentam nevajadzētu katru reizi sazināties ar izsniedzēju
Suggested languages
EN angļu AF afrikāņu AM amharu AR arābu AZ azerbaidžāņu BE baltkrievu BG bulgāru BN bengāļu BS bosniešu CS čehu DA dāņu DE vācu EL grieķu ES spāņu ET igauņu FA persiešu FI somu FIL Filipino FR franču GA īru HE ebreju HI hindi HR horvātu HU ungāru ID indonēziešu IT itāļu JA japāņu KA gruzīnu KK kazahu KM khmeru KO korejiešu KY kirgīzu LO lao LT lietuviešu
LV latviešu
MK maķedoniešu MN mongoļu MS malajiešu MY birmiešu NE nepāliešu NL holandiešu NO norvēģu PA pundžabu PL poļu PS puštu PT portugāļu RO rumāņu RU krievu SI sinhalu SK slovāku SL slovēņu SQ albāņu SR serbu SW svahili TA tamilu TG tadžiku TH taju TK turkmēņu TR turku UK ukraiņu UR urdu VI vjetnamiešu ZH ķīniešu

Blog languages
CA katalāņu HY armēņu IS islandiešu JV javiešu MT maltiešu SV zviedru UZ uzbeku
Bez "mājas zvana" verifikācijas: kāpēc nākotnes digitālajam starptautiskajam autovadītāja apliecības dokumentam nevajadzētu katru reizi sazināties ar izsniedzēju

Bez "mājas zvana" verifikācijas: kāpēc nākotnes digitālajam starptautiskajam autovadītāja apliecības dokumentam nevajadzētu katru reizi sazināties ar izsniedzēju

Atsaukšana ir visgrūtākā problēma jebkurā nākotnes digitālajā Starptautiskajā Autovadītāja Atļaujā (SAA). Vienkāršākais veids, kā to atrisināt, ir arī visbīstamākais: padarīt izsniedzēju par dalībnieku katrā atsevišķā prezentācijā. Modernai pārrobežu braukšanas akreditācijas datu sistēmai šis saīsinājums pēc noklusējuma ir jānoraida.

Gandrīz katrā digitālās identitātes priekšlikumā ir viens un tas pats nomierinošais teikums:

“Akreditācijas datus var verificēt uzreiz.”

Dažreiz šis teikums apraksta īstus sasniegumus. Dažreiz tas apraksta novērošanu ar draudzīgāku lietotāja saskarni.

Jau publicētie standarti skaidri norāda, ka verifikatoram nav nepieciešams katru reizi, kad tiek uzrādīti akreditācijas dati, sazināties ar izsniedzēju:

  • NIST pašreizējā mDL arhitektūra paredz, ka verifikators var apstiprināt autentiskumu un integritāti, uzticoties izsniedzēja parakstam un publiskajām atslēgām, bez tiešas sazināšanās ar izsniedzēju.
  • AAMVA apstiprina, ka ISO/IEC 18013-5 pieprasa atbalstu ierīces izguvei un tikai izvēles kārtā atļauj servera izgūšanu.
  • AAMVA arī brīdina, ka servera izgūšanas gadījumā izdevējiestāde ir iesaistīta reāllaikā katras lietošanas reizē — kas nozīmē, ka tā tehniski var reģistrēt, kad akreditācijas dati tiek izmantoti, kādi dati tiek kopīgoti, un pat secināt atrašanās vietu no IP analīzes.

Tas nav mazsvarīgs zemsvītras piezīmē minēts fakts. Tas ir centrālais dizaina jautājums nākamās paaudzes pārrobežu braukšanas akreditācijas datiem.

Bīstamais saīsinājums: četru jautājumu apvienošana vienā tīkla izsaukumā

Sliktas arhitektūras apvieno četrus ļoti atšķirīgus jautājumus vienā tiešsaistes izsaukumā izsniedzējam:

  1. Vai šie akreditācijas dati ir autentiski?
  2. Vai persona, kas tos uzrāda, ir tiesīgais turētājs?
  3. Vai paši akreditācijas dati joprojām ir derīgi?
  4. Vai valsts braukšanas tiesības joprojām ir spēkā?

Nepareizi izstrādāta sistēma atbild uz visiem četriem jautājumiem, reāllaikā “zvanot mājās”. Labi izstrādāta sistēma tos atdala — jo tie nav viens un tas pats problēmas veids un tiem nevajadzētu izmantot vienu un to pašu mehānismu.

Autentiskums jāverificē lokāli, nevis tīklā

Akreditācijas dati var būt kriptogrāfiski autentiski, izsniedzējam nekad neuzraugot darījumu.

  • NIST mDL uzticamības modelis norāda, ka autentiskums un integritāte tiek validēti no izsniedzēja paraksta un publiskajām atslēgām — tiešs izsniedzēja kontakts nav nepieciešams.
  • AAMVA Digitālais uzticamības dienests pastāv tieši tāpēc, lai nodrošinātu verifikatoriem piekļuvi derīgām izsniedzēja publiskajām atslēgām bez atsaukšanās uz katru darījumu.

Dizaina princips Nr. 1: Neizmantojiet tiešsaistes savienojamību problēmas risināšanai, ko paraksti jau atrisina.

Ja verifikatoram ir uzticamas izsniedzēja atslēgas un tas saņem standartiem atbilstošu prezentāciju, autentiskums ir lokāla kriptogrāfiska pārbaude, nevis tīkla atkarība.

Turētāja saistīšana jāpierāda lokāli, nevis jāziņo globāli

Otrajam jautājumam — vai šis ir tiesīgais turētājs? — arī ir atbilde bez tīkla.

Pašreizējā EUDI arhitektūra pieprasa ierīces saistīšanu PID un ISO/IEC 18013-5 apliecinājumiem. Verifikators lūdz maku parakstīt jaunu izaicinājumu, izmantojot privāto atslēgu, kas atbilst akreditācijas datos iestrādātajai publiskajai atslēgai:

  • ISO/IEC 18013-5 to sauc par mdoc autentifikāciju.
  • SD-JWT VC to sauc par atslēgas saistīšanu.

Abos gadījumos valdījums tiek pierādīts lokāli un kriptogrāfiski. Izsniedzējam nekad nav jāsaņem nekādi personas dati.

Dizaina princips Nr. 2: Pierādiet valdījumu lokāli. Nepierādiet identitāti globāli.

Nākotnes SAA pirms jebkāda izsniedzēja puses mehānisma izskatīšanas ir jāizsmeļ ierīces saistīšana, lokālā turētāja autentifikācija un verifikatora izaicinājuma-atbildes procedūra.

Akreditācijas datu statuss un braukšanas tiesību statuss ir divas dažādas lietas

Daudzi digitālās identitātes dizaini sajaucina šo atšķirību, un tieši tur tie kļūdās.

W3C Bitstring statusa saraksta specifikācija to skaidri norāda: apliecinājumam piesaistītā statusa informācija attiecas uz pašu apliecināmo akreditācijas dokumentu — ne obligāti uz pamatā esošajām reālās pasaules tiesībām. Digitālie akreditācijas dati var tikt atsaukti, jo to parakstīšanas mehānisms tika kompromitēts, kamēr pamatā esošās braukšanas tiesības paliek pilnīgi derīgas.

Tāpēc nākotnes SAA ir nepieciešami divi atsevišķi statusa līmeņi:

  • Akreditācijas datu statusa līmenis — digitālajiem akreditācijas datiem vai prezentācijas kanālam pašam par sevi.
  • Braukšanas tiesību līmenis — pamatā esošajām valsts tiesībām vadīt transportlīdzekli.

Dažreiz tie mainās vienlaicīgi. Bieži vien — nē. Sistēma, kas tos sajauc, reaģēs pārspīlēti, atklās vairāk datu, nekā nepieciešams, vai abus.

Maka kompromitēšanai jāizplatās caur statusu — nevis jāizraisa verifikatora atsaukšanās

Nākotnes SAA ir nepieciešama arī skaidra atbilde uz to, kas notiek, kad maks tiek kompromitēts.

EUDI arhitektūra to nodrošina:

  • Maka nodrošinātājs izsniedz maka vienības apliecinājumus, kas satur atsaukšanas informāciju.
  • Maka integritāte tiek periodiski pārbaudīta; ja maks vairs nav drošs, tā apliecinājums tiek atsaukts.
  • PID sniedzējiem regulāri jāpārbauda, vai maks nav atsaukts. Ja ir — tie atsauc PID.
  • Verificējot PID statusu, paļāvīgā puse netieši verificē arī maka statusu.

Šī ir slāņu struktūra, ko nākotnes SAA ir jāpieņem. Nelūdziet katram verifikatoram neatkarīgi pārbaudīt maka nodrošinātāju. Ļaujiet maka kompromitēšanai izplatīties caur esošo akreditācijas datu statusa cauruļvadu un ļaujiet verifikatoriem izmantot šo vienoto privātumu saglabājošo kanālu.

Trīs praktiski atsaukšanas modeļi (bez atsaukšanās uz izsniedzēju)

EUDI pieprasa, lai nodrošinātāji izmantotu vienu no trim atsaukšanas metodēm:

  • Īstermiņa apliecinājumi — derīgi 24 stundas vai mazāk, tādēļ atsaukšana kļūst nevajadzīga.
  • Apliecinājumu statusa saraksts — publicēts saraksts, ko verifikatori var izmantot.
  • Apliecinājumu atsaukšanas saraksts — atsaukto akreditācijas datu eksplicīts saraksts.

Apliecinājumiem, kas derīgi ilgāk par 24 stundām, EUDI pieprasa iegult atsaukšanas informāciju, kurā ir:

  • URL, kur paļāvīgās puses var iegūt statusa sarakstu.
  • Identifikators, kas norāda akreditācijas datu atrašanās vietu šajā sarakstā.

Ja uzticama atsaukšanas informācija nav pieejama — piemēram, kad paļāvīgā puse ir bezsaistē — EUDI nosaka, ka paļāvīgajai pusei ir jāveic riska analīze pirms akreditācijas datu pieņemšanas vai noraidīšanas.

Galvenā atziņa: atsaukšana nav viens mehānisms, un noteikti ne attaisnojums obligātai atsaukšanās uz izsniedzēju.

Īstermiņa pēc noklusējuma, ilgtermiņa tikai tur, kur nepieciešams

Viens no visefektīvākajiem privātuma pasākumiem visā tehnoloģiju kopumā ir arī vienkāršākais: saglabājiet prezentēto saturu īstermiņa.

  • EUDI norāda, ka apliecinājumiem, kas derīgi 24 stundas vai mazāk, nav nepieciešama atsaukšanas infrastruktūra — tie beidzas pirms atsaukšana kļūtu nozīmīga.
  • W3C norāda, ka apliecināmās prezentācijas parasti ir īstermiņa un nav paredzētas ilgstošai glabāšanai.
  • NIST skaidri brīdina pret atkārtotu atkārtoti izmantojamu identifikatoru nosūtīšanu ikdienas lietošanā. Ikdienas autentifikācijai jāpamatojas uz tam paredzētajām tehnoloģijām, piemēram, pārejas atslēgām (passkeys), nevis uz identitātes bagātu akreditācijas datu atkārtotu prezentēšanu.
  • NIST arī izvēlējās lokālo ierīces autentifikāciju, nevis servera biometrisko atbilstīšanu, tieši tāpēc, ka lokālā autentifikācija saglabā privātumu un ir darbības ziņā efektīvāka.

Dizaina princips Nr. 3: Bāzes akreditācijas datiem var būt vidēja derīguma periods, taču pašai prezentācijai jābūt īstermiņa, verifikatoram specifiskai un neatkārtoti lietojami.

Statusa saraksti ir pareizais noklusējuma mehānisms

Ja nav iespējams visu padarīt īstermiņa, ir nepieciešama statusa infrastruktūra — un statusa saraksts ir pareizais noklusējums.

W3C Bitstring statusa saraksts v1.0 apraksta privātumu saglabājošu, telpas ziņā efektīvu, augstas veiktspējas mehānismu statusa datu, piemēram, apturēšanas vai atsaukšanas, publicēšanai. Galvenās īpašības:

  • Katrs izsniedzējs pārvalda sarakstu izsniegto akreditācijas datu vajadzībām.
  • Formāts labi saspiežas, jo lielākā daļa akreditācijas datu netiek atsaukta.
  • Noklusējuma saraksta izmērs ir 131 072 ieraksti, kas pēc W3C datiem vidēji nodrošina pietiekamu grupu privātumu.
  • Lielākus sarakstus var izmantot, kur nepieciešams stiprāks grupu privātums.
Atjauniniet uzticamību ārpus joslas, nevis uz personu

Tas pārvirza jautājumu no:

“Vai es varu jautāt izsniedzējam par šo lietotāju tieši tagad?”

uz:

“Vai man jau ir pietiekami aktuāls privātumu saglabājošs statusa saraksts, lai pieņemtu lēmumu lokāli?”

Tas ir daudz labāks jautājums — gan tehniski, gan politiski.

“Bez mājas zvana” ir lejupielādes modelis, nevis sauklis

Svarīgākais noteikums EUDI privātuma vadlīnijās ir procedurāls, nevis filozofisks.

Paļāvīgajām pusēm nedrīkst pieprasīt statusa sarakstu katru reizi, kad tiek uzrādīti akreditācijas dati. Tā vietā tām ir:

  • Lejupielādēt katru saraksta jauno versiju vienu reizi.
  • Darīt to laikā un no atrašanās vietas, kas nav saistīta ar lietotāja prezentāciju.
  • Izplatīt sarakstu iekšēji paļāvīgās puses organizācijā.
  • Iegūt sarakstu bez paļāvīgās puses autentifikācijas.

Tas ir verifikācijas bez mājas zvana darbības kodols: atjauniniet statusu atsevišķi no lietotāja prezentācijām — nekad uz personu, nekad uz darījumu.

Šī viena dizaina izvēle novērš izsniedzēja vai statusa nodrošinātāja iespēju uzzināt, kurš verifikators pārbaudīja kurus akreditācijas datus un kurā brīdī.

Grupu privātums: prasība, ko lielākā daļa dizainu aizmirst

Daudzas sistēmas slavina selektīvu izpaušanu pašā prezentācijā, bet klusi ignorē statusa uzmeklēšanas privātumu. Tas ir nozīmīgs trūkums.

EUDI privātuma prasības nosaka, ka:

  • Statusa sarakstos indeksiem jābūt nejaušā kārtā piešķirtiem, lai pats indekss nekad nekļūtu par izsekošanas signālu.
  • Katram sarakstam jāaptver pietiekami liels skaits akreditācijas datu, lai nodrošinātu grupu privātumu.
  • Ja saraksts citādi būtu pārāk mazs, nodrošinātājiem ir jāpievieno neizmantotie ieraksti, lai slēptu faktisko akreditācijas datu skaitu.

Nākotnes SAA nevar apgalvot, ka saglabā privātumu, pamatojoties tikai uz selektīvu izpaušanu. Ja atsaukšanas mehānisms atklāj prezentācijas notikumu, privātuma dizains ir nepilnīgs.

Bezsaistes darbība nav maznozīmīgs gadījums — tā ir pamatprasība

Jebkura ceļošanas sistēma, kas pieņem ideālu savienojamību, ir slikti izstrādāta.

  • AAMVA apstiprina, ka ierīces izguves darbība neprasa ārēju savienojamību gan turētāja ierīcei, gan lasītājam, un ka ISO/IEC 18013-5 pieprasa mDL atbalstīt ierīces izgūšanu.
  • EUDI pieņem, ka paļāvīgās puses var būt bezsaistē un tām var nebūt kešotā statusa saraksta; šādā gadījumā tā iesaka veikt riska analīzi pirms lēmuma pieņemšanas.

Pieņemiet šo kompromisu agri:

Ideāla bezsaistes darbība un ideāla reāllaika aktualitāte vienlaicīgi nav iespējama.

Jebkura arhitektūra, kas apsola abus bez kompromisiem, ir vai nu neprecīza, vai arī klusi atjauno novērošanas iespējas. Pareizā atbilde ir padarīt aktualitāti par politikas ievaddatu, nevis par universālu tīkla atkarību.

Žurnāli ir vieta, kur privātums klusi izgāžas

Pat lieliskas statusa arhitektūras var iznīcināt neuzmanīga žurnālēšana.

  • EUDI pieprasa, lai paļāvīgās puses instances iznīcinātu unikālos elementus un laikspiedolus, tiklīdz tie vairs nav vajadzīgi, un aizliedz to pārsūtīšanu.
  • AAMVA aizliedz ieinteresētajām pusēm izsekot mDL turētājus vai mDL lietošanu, izņemot gadījumus, kad to prasa likums, pieprasa izdevējiestādēm samazināt statisko vai ilgtermiņa metadatu kopīgošanu un ierobežo darbību žurnālu piekļuvi tikai turētājam.
  • AAMVA arī pieprasa, lai dzēšana ierīcē likvidētu žurnāla informāciju un metadatus, kas varētu atklāt lietošanas vēsturi, un ka šī dzēšana ir jānodrošina bezsaistē.

Tas ir protokola uzvedība, nevis administratīvās kārtošanas jautājums. Nākotnes SAA ir jāuztver ilgtermiņa identifikatori, laikspiedoli un žurnāli kā potenciāli izsekošanas rīki, ja vien nav skaidri pierādīts pretējais.

Konkrēta “bez mājas zvana” arhitektūra nākotnes SAA

Apkopojot principus, lūk, kas sistēmai faktiski jādara:

  1. Izsniegt ierīcei piesaistītus bāzes akreditācijas datus. Saistiet akreditācijas datus ar maka drošajā vidē aizsargātajām atslēgām — obligāti saskaņā ar EUDI PID un ISO/IEC 18013-5 apliecinājumiem.
  2. Pieprasīt tikai nepieciešamo ar svaigu izaicinājumu. OpenID4VP darījumā DCQL vaicājums ļauj makam parādīt turētājam, kuri atribūti tiek pieprasīti, un verifikators izsniedz izaicinājumu, lai novērstu atkārtošanos (saskaņā ar NIST pašreizējo mDL arhitektūru).
  3. Ģenerēt īstermiņa prezentāciju, nevis atkārtoti izmantojamu identifikatoru. Katrai prezentācijai jābūt specifiskai verifikatoram, pieprasījumam un brīdim.
  4. Verificēt autentiskumu lokāli. Validēt izsniedzēja parakstus un publiskās atslēgas bezsaistē; AAMVA uzticamības dienests ir paredzēts tieši šim nolūkam.
  5. Pārbaudīt statusu no kešotiem, atsevišķi atjauninātiem sarakstiem. Ja akreditācijas dati ir pārāk ilgtermiņa, lai izlaistu atsaukšanu, izmantojiet lokāli kešotus statusa sarakstus, kas tiek atjaunināti pēc grafika, kas nav saistīts ar lietotāja prezentācijām.
  6. Piemērot riska politiku, kad aktualitāte nav pieejama. Padariet bezsaistes lēmumus par eksplicītu verifikatora politiku, nevis nestrukturētiem minējumiem.
  7. Agresīvi dzēsiet izsekošanas datus. Iznīciniet darījumam unikālos elementus un laikspiedolus, kad tie vairs nav vajadzīgi; nesaglabājiet žurnālus, kas varētu rekonstruēt kustību vēsturi.

Tāda izskatās nopietna “bez mājas zvana” arhitektūra — slāņaina, privātumu saglabājoša, kriptogrāfiski lokāla un darbības ziņā godīga attiecībā uz bezsaistes realitāti.

Trīs modeļi, kuriem pēc dizaina jābūt aizliegtiem

Nobriedušai nākotnes SAA ekosistēmai šie ir jāuzskata par arhitektūras kļūmēm, nevis optimizācijas izvēlēm:

  • Obligātas atsaukšanās uz izsniedzēju katrā prezentācijā. AAMVA paša privātuma vadlīnijas izskaidro, kāpēc tas ir kaitīgi.
  • Braukšanas akreditācijas datu izmantošana kā ikdienas pieteikšanās rīka. NIST skaidri brīdina pret identitāti nesošu akreditācijas datu atkārtotu prezentēšanu ikdienas autentifikācijai.
  • Identifikatoru, laikspiedolu un žurnālu saglabāšana, kas var rekonstruēt prezentāciju vēsturi. Gan EUDI, gan AAMVA pieprasa pretējo.

Galvenais arguments vienā teikumā

Tūlītēja verifikācija nedrīkst kļūt par atļauju izsniedzēja puses novērošanai.

Nākotnes SAA ir jābūt spējīgam:

  • Pierādīt autentiskumu lokāli.
  • Pierādīt valdījumu lokāli.
  • Pārbaudīt aktualitāti privāti.
  • Tolerēt bezsaistes realitāti.
  • Funkcionēt pareizi, kad pilnīga informācija nav pieejama.

Nekas no tā nesadara sistēmu vājāku. Tas padara to vērtu izvietošanai plašā mērogā.

Brīdī, kad braukšanas akreditācijas dati kļūst par rīku, kas reģistrē, kurš ko uzrādīja, kur un kad, tie pārstāj būt drošāka papīra versija. Tie kļūst par novērošanas infrastruktūru.

Tieši tas ir tas, par ko nākotnes SAA atteikties kļūt.

Biežāk uzdotie jautājumi

Kas ir “mājas zvana” verifikācija?
Tas ir jebkurš dizains, kurā verifikators reāllaikā sazinās ar izsniedzēju, lai validētu akreditācijas datus. Lai gan tas vienlaicīgi atrisina autentiskumu un atsaukšanu, tas arī ļauj izsniedzējam novērot katru prezentācijas notikumu.

Vai ISO/IEC 18013-5 pieprasa tiešsaistes kontaktu ar izsniedzēju?
Nē. AAMVA apstiprina, ka ISO/IEC 18013-5 pieprasa atbalstu ierīces izguvei un tikai izvēles kārtā atļauj servera izgūšanu.

Kā atsaukšana var darboties, nesazinoties ar izsniedzēju?
Izmantojot īstermiņa akreditācijas datus, apliecinājumu statusa sarakstus vai apliecinājumu atsaukšanas sarakstus — ideālā gadījumā ar paļāvīgo pusi, kas lejupielādē statusa datus atsevišķi no lietotāja prezentācijām.

Kāpēc “grupu privātums” ir svarīgs statusa sarakstiem?
Ja statusa saraksts ir pārāk mazs vai tā indeksi ir paredzami, statusa pieprasījums var atklāt, kuri konkrētie akreditācijas dati tikko tika uzrādīti. Nejaušie indeksi un lieli saraksti novērš to.

Vai bezsaistes verifikācija tiešām ir praktiska?
Jā — un standartu organizācijas, tostarp AAMVA un EUDI, to skaidri pieprasa. Kompromiss ir tāds, ka ideāla reāllaika aktualitāte nav savienojama ar ideālu bezsaistes darbību, tāpēc aktualitātei jākļūst par politikas lēmumu, nevis par stingru atkarību.

Pieteikties
Lūdzu, ierakstiet savu e-pastu zemāk esošajā laukā un noklikšķiniet uz "Abonēt"
Atcelt
marts 03, 2024 10 interesanti fakti par Grieķiju 10 interesanti fakti par Grieķiju oktobris 09, 2017 Suņa dēvēšana automašīnā Suņa dēvēšana automašīnā decembris 23, 2023 10 Interesanti Fakti par Sudānu 10 Interesanti Fakti par Sudānu
Abonējiet un saņemiet pilnīgus norādījumus par starptautiskās vadītāja apliecības iegūšanu un lietošanu, kā arī padomus autovadītājiem ārzemēs