МЕЃУНАРОДЕН ВОЗАЧКИ ОРГАН
Најавете се
Пријавете се
  1. Почетна страница
    2.  / 
  2. Блог
    3.  / 
  3. Верификација без повик до издавачот: Зошто идната дигитална МВД не смее да контактира со издавачот при секоја употреба
Suggested languages
EN англиски AF африканс AM амхарски AR арапски AZ азербејџански BE белоруски BG бугарски BN бенгалски BS босански CS чешки DA дански DE германски EL грчки ES шпански ET естонски FA персиски FI фински FIL Filipino FR француски GA ирски HE хебрејски HI хинди HR хрватски HU унгарски ID индонезиски IT италијански JA јапонски KA грузиски KK казахстански KM кмерски KO корејски KY киргистански LO лаоски LT литвански LV латвиски
MK македонски
MN монголски MS малајски MY бурмански NE непалски NL холандски NO норвешки PA пенџапски PL полски PS паштунски PT португалски RO романски RU руски SI синхалски SK словачки SL словенечки SQ албански SR српски SW свахили TA тамилски TG таџикистански TH тајландски TK туркменистански TR турски UK украински UR урду VI виетнамски ZH кинески

Blog languages
CA каталонски HY ерменски IS исландски JV јавански MT малтешки SV шведски UZ узбекистански
Верификација без повик до издавачот: Зошто идната дигитална МВД не смее да контактира со издавачот при секоја употреба

Верификација без повик до издавачот: Зошто идната дигитална МВД не смее да контактира со издавачот при секоја употреба

Отповикувањето е најтешкиот проблем во секоја идна дигитална Меѓународна возачка дозвола (МВД). Наједноставниот начин да се реши е и најопасниот: да се вклучи издавачот во секоја единечна презентација. Современиот прекугранична возачки акредитив треба стандардно да го одбие ова кратење.

Речиси секој предлог за дигитален идентитет содржи иста смирувачка реченица:

„Акредитивот може да се верификува веднаш.”

Понекогаш таа реченица опишува вистински напредок. Понекогаш опишува надзор со попријателски кориснички интерфејс.

Денешните објавени стандарди јасно покажуваат дека верификаторот не треба да контактира со издавачот секогаш кога се прикажува акредитив:

  • Тековната mDL архитектура на NIST наведува дека верификаторот може да ја потврди автентичноста и интегритетот преку доверба во потписот и јавните клучеви на издавачот — без директен контакт со издавачот.
  • AAMVA потврдува дека ISO/IEC 18013-5 бара поддршка за преземање преку уред и само опционално дозволува преземање преку сервер.
  • AAMVA исто така предупредува дека при преземање преку сервер, органот за издавање е вклучен во реално време при секоја употреба — што значи дека технички може да евидентира кога е употребен акредитивот, кои податоци се споделени, па дури и да заклучи за локацијата преку IP анализа.

Тоа не е мала белешка. Тоа е централното прашање за дизајн на следната генерација прекугранични возачки акредитиви.

Опасното кратење: Обединување на четири прашања во еден мрежен повик

Лошите архитектури обединуваат четири сосема различни прашања во еден жив повик до издавачот:

  1. Дали овој акредитив е автентичен?
  2. Дали лицето кое го презентира е законскиот носител?
  3. Дали самиот акредитив сè уште важи?
  4. Дали основното национално право на управување со возило сè уште е на сила?

Лошо дизајниран систем одговара на сите четири со повик во реално време. Добро дизајниран систем ги разделува — бидејќи тие не се ист проблем и не треба да споделуваат механизам.

Автентичноста треба да се верификува локално, а не преку мрежа

Акредитивот може да биде криптографски автентичен без издавачот да ја набљудува трансакцијата.

  • Моделот на доверба на NIST за mDL вели дека автентичноста и интегритетот се потврдуваат преку потписот и јавните клучеви на издавачот — без потреба за жив контакт со издавачот.
  • Услугата за дигитална доверба на AAMVA постои токму за да им обезбеди на верификаторите пристап до важечки јавни клучеви на издавачот без повратни повици по трансакција.

Принцип за дизајн 1: Не користете жива конективност за решавање на проблем кој потписите веќе го решаваат.

Ако верификаторот поседува доверливи клучеви на издавачот и добие презентација во согласност со стандардите, автентичноста е локална криптографска проверка, а не мрежна зависност.

Поврзаноста со носителот треба да се докаже локално, а не да се пријавува глобално

Второто прашање — дали ова е законскиот носител? — исто така има одговор без мрежа.

Тековната EUDI архитектура налага поврзување со уред за PID и ISO/IEC 18013-5 потврди. Верификаторот бара од паричникот да потпише свеж предизвик користејќи го приватниот клуч кој одговара на јавниот клуч вграден во акредитивот:

  • Во ISO/IEC 18013-5 ова се нарекува mdoc автентикација.
  • Во SD-JWT VC тоа се нарекува поврзување на клучот.

Во двата случаи, поседувањето се докажува локално и криптографски. Никакви лични податоци не треба да стигнат до издавачот.

Принцип за дизајн 2: Докажете поседување локално. Не докажувајте идентитет глобално.

Идната МВД треба да го исцрпи поврзувањето со уред, локалната автентикација на носителот и одговорот на предизвик од верификаторот пред да разгледа какви и да е механизми на страната на издавачот.

Статусот на акредитивот и статусот на правото на управување се две различни работи

Многу дизајни за дигитален идентитет ја замаглуваат оваа разлика, и токму тука погрешуваат.

Спецификацијата на W3C Bitstring Status List јасно го укажува: информациите за статус прикачени на проверлив акредитив се однесуваат на самиот проверлив акредитив — не нужно на основното право во реалниот свет. Дигиталниот акредитив може да биде отповикан поради компромитиран механизам за потпишување, додека основното право на управување со возило останува целосно важечко.

Затоа идната МВД треба да има два различни слоја на статус:

  • Слој за статус на акредитивот — за самиот дигитален акредитив или каналот за презентација.
  • Слој за право на управување — за основното национално право за управување со возило.

Понекогаш тие се менуваат заедно. Често не. Систем кој ги меша ќе реагира претерано, ќе изложи повеќе податоци од потребното, или и двете.

Компромитирањето на паричникот треба да се пренесе преку статусот — не да предизвика повратни повици кон верификаторот

Идната МВД исто така треба да има јасен одговор за тоа што се случува кога паричникот е компромитиран.

Архитектурата EUDI обезбедува еден:

  • Давателот на паричник издава Потврди за единица на паричник кои содржат информации за отповикување.
  • Интегритетот на паричникот периодично се проверува; ако паричникот повеќе не е безбеден, неговата потврда се отповикува.
  • Давателите на PID мора редовно да проверуваат дали паричникот бил отповикан. Ако е, тие го отповикуваат PID.
  • Со верификација на статусот на PID, потпирачката страна имплицитно го верификува статусот на паричникот.

Ова е слоевитоста која идната МВД треба да ја усвои. Не барајте секој верификатор независно да го проверува давателот на паричник. Нека компромитирањето на паричникот се пренесе преку постоечкиот процес на статус на акредитиви, и нека верификаторите го консултираат тој единечен канал кој ја зачувува приватноста.

Три применливи шаблони за отповикување (без потреба од повратни повици)

EUDI бара од давателите да користат еден од три методи за отповикување:

  • Краткотрајни потврди — важечки 24 часа или помалку, со што отповикувањето станува непотребно.
  • Листа на статуси на потврди — објавена листа која верификаторите можат да ја консултираат.
  • Листа на отповикани потврди — експлицитна листа на отповикани акредитиви.

За потврди важечки подолго од 24 часа, EUDI бара вградување информации за отповикување кои вклучуваат:

  • URL адреса каде потпирачките страни можат да ја превземат листата на статуси.
  • Идентификатор кој го лоцира акредитивот во таа листа.

Ако сигурни информации за отповикување не се достапни — на пример, кога потпирачката страна е офлајн — EUDI ја насочува потпирачката страна да изврши анализа на ризик пред прифаќање или одбивање на акредитивот.

Заклучок: отповикувањето не е единствен механизам, и секако не е оправдување за задолжителни повратни повици до издавачот.

Краткотрајни стандардно, долготрајни само каде е потребно

Една од најефикасните мерки за приватност во целиот систем е и наједноставната: задржете ги презентираните содржини краткотрајни.

  • EUDI вели дека потврдите важечки 24 часа или помалку не бараат инфраструктура за отповикување — тие истекуваат пред отповикувањето да биде релевантно.
  • W3C вели дека проверливите презентации обично се краткотрајни и не се дизајнирани за долгорочно складирање.
  • NIST експлицитно предупредува против повторена трансмисија на идентификатори за повторна употреба за секојдневни активности. Секојдневната автентикација треба да се потпира на технологии изградени за таа цел, како пасклучеви, а не на повторена презентација на акредитив богат со идентитет.
  • NIST исто така избра локална автентикација на уред наместо биометриско споредување на страна на серверот, токму затоа што локалната автентикација ја зачувува приватноста и е оперативно поефикасна.

Принцип за дизајн 3: Основниот акредитив може да има среден период на важност, но самата презентација треба да биде краткотрајна, специфична за верификаторот и неповторлива.

Листите на статуси се правиот стандарден механизам

Кога не можете да направите сè краткотрајно, потребна ви е инфраструктура за статус — а листата на статуси е правиот стандарден избор.

Bitstring Status List v1.0 на W3C опишува механизам за зачувување на приватноста, просторно ефикасен и со висока изведба, за објавување на податоци за статус, како суспензија или отповикување. Клучни карактеристики вклучуваат:

  • Секој издавач управува со листа за акредитивите кои ги издал.
  • Форматот добро се компримира, бидејќи повеќето акредитиви останат неотповикани.
  • Стандардната големина на листата е 131.072 записи, за кои W3C вели дека обезбедуваат соодветна групна приватност во просечен случај.
  • Поголеми листи можат да се користат каде е потребна посилна групна приватност.
Освежувај ја довербата надвор од каналот, не по лице

Ова го поместува прашањето од:

„Можам ли да го прашам издавачот за овој корисник во моментов?”

кон:

„Дали веќе имам доволно ажурирана листа на статуси која ја зачувува приватноста за да одлучам локално?”

Тоа е многу подобро прашање — и технички и политички.

„Без повик до издавачот” е шаблон за преземање, а не слоган

Најважното правило во насоките за приватност на EUDI е процедурално, а не филозофско.

Потпирачките страни не смеат да ја бараат листата на статуси секогаш кога се презентира акредитив. Наместо тоа, тие мора:

  • Да ја преземат секоја нова верзија на листата еднаш.
  • Да го сторат тоа во време и од локација кои не се поврзани со никоја кориснична презентација.
  • Да ја дистрибуираат листата внатрешно во рамките на организацијата на потпирачката страна.
  • Да ја превземат листата без автентикација на потпирачката страна.

Тоа е оперативното јадро на верификацијата без повик до издавачот: освежувајте го статусот одделно од корисничките презентации — никогаш по лице, никогаш по трансакција.

Овој единствен избор во дизајнот спречува издавачот или давателот на статуси да дознае кој верификатор проверил кој акредитив во кој момент.

Групна приватност: Барањето кое повеќето дизајни го заборавааат

Многу системи трубат за селективно откривање во самата презентација, а потоа тивко ја игнорираат приватноста на барањата за статус. Тоа е значителна празнина.

Барањата за приватност на EUDI одредуваат дека:

  • Индексите во листите на статуси мора да бидат случајно доделени, за самиот индекс никогаш да не стане сигнал за следење.
  • Секоја листа мора да опфаќа доволно голем број акредитиви за да обезбеди групна приватност.
  • Ако листата би инаку би е премала, давателите треба да додадат неискористени записи за да го прикријат вистинскиот број акредитиви.

Идната МВД не може да тврди дека ја зачувува приватноста само врз основа на селективното откривање. Ако механизмот за отповикување го открива настанот на презентација, дизајнот на приватноста е нецелосен.

Офлајн работењето не е рубен случај — тоа е основно барање

Секој систем за патување кој претпоставува совршена конективност е лошо дизајниран.

  • AAMVA потврдува дека преземањето преку уред работи без надворешна конективност и за уредот на носителот и за читачот, и дека ISO/IEC 18013-5 бара mDL-овите да поддржуваат преземање преку уред.
  • EUDI прифаќа дека потпирачките страни можат да бидат офлајн и да немаат кеширана листа на статуси, во кој случај препорачува анализа на ризик пред одлучување.

Прифатете го овој компромис навреме:

Не можете да имате совршено офлајн работење и совршена свежина во реално време истовремено.

Секоја архитектура која ветува и двете без компромис или е непрецизна или тивко повторно воведува надзор. Правиот одговор е да се направи свежината влез во политиката, а не универзална мрежна зависност.

Логовите се местото каде приватноста тивко пропаѓа

Дури и одлична архитектура за статус може да биде поткопана со небрежно логирање.

  • EUDI бара инстанците на потпирачките страни да ги отфрлат уникатните елементи и временски ознаки штом повеќе не се потребни, и им забранува нивно проследување.
  • AAMVA им забранува на засегнатите страни да ги следат носителите на mDL или употребата на mDL освен кога тоа е барано со закон, бара органите за издавање да го минимизираат споделувањето на статични или долгоживеачки метаподатоци, и го ограничува пристапот до дневниците на активности само за носителот.
  • AAMVA исто така бара бришењето на уредот да ги отстрани информациите во дневникот и метаподатоците кои можат да ја откријат историјата на употреба — и дека тоа бришење мора да биде можно офлајн.

Ова е однесување на протоколот, а не административно одржување. Идната МВД мора да ги третира долгоживеачките идентификатори, временските ознаки и логовите како потенцијални алатки за следење, освен ако експлицитно не е докажано поинаку.

Конкретна архитектура без повик до издавачот за идната МВД

Обединувајќи ги принципите, еве што системот всушност треба да прави:

  1. Издајте основен акредитив поврзан со уред. Поврзете го акредитивот со клучеви заштитени во безбедната средина на паричникот — задолжително под EUDI за PID и ISO/IEC 18013-5 потврди.
  2. Побарајте само она што е потребно, со свеж предизвик. Во OpenID4VP трансакција, DCQL прашање му овозможува на паричникот да му покаже на носителот кои атрибути се бараат, а верификаторот издава предизвик за спречување на повторување (согласно тековната mDL архитектура на NIST).
  3. Генерирајте краткотрајна презентација, а не идентификатор за повторна употреба. Секоја презентација треба да биде специфична за верификаторот, барањето и моментот.
  4. Верификувајте автентичност локално. Потврдете ги потписите и јавните клучеви на издавачот офлајн; услугата за доверба на AAMVA е изградена токму за ова.
  5. Проверете го статусот од кеширани, посебно освежувани листи. Каде акредитивите се предолготрајни за да се прескокне отповикувањето, користете локално кеширани листи на статуси освежени по распоред неповрзан со корисничките презентации.
  6. Применете политика за ризик кога свежината не е достапна. Направете офлајн одлуките експлицитна политика на верификатор, а не неструктурирано погодување.
  7. Агресивно бришете податоци за следење. Отфрлете уникатни елементи на трансакцијата и временски ознаки кога повеќе не се потребни; не задржувајте логови кои можат да ја реконструираат историјата на движење.

Ова е тоа како изгледа сериозна архитектура без повик до издавачот — слоевита, зачувувачка на приватноста, криптографски локална и оперативно искрена за офлајн реалноста.

Три шаблони кои треба да бидат забранети по дизајн

Зрелиот иден екосистем на МВД треба да ги третира овие како архитектонски неуспеси, а не избори за оптимизација:

  • Задолжителни повратни повици до издавачот при секоја презентација. Сопствените насоки за приватност на AAMVA објаснуваат зошто ова е штетно.
  • Употреба на возачкиот акредитив како рутинска најава. NIST експлицитно предупредува против повторено презентирање акредитиви богати со идентитет за секојдневна автентикација.
  • Задржување идентификатори, временски ознаки и логови кои можат да ја реконструираат историјата на презентација. И EUDI и AAMVA бараат спротивното.

Основниот аргумент во една реченица

Моменталната верификација не смее да стане дозвола за надзор на страна на издавачот.

Идната МВД треба да биде способна да:

  • Докаже автентичност локално.
  • Докаже поседување локално.
  • Провери свежина приватно.
  • Толерира офлајн реалност.
  • Функционира без проблеми кога совршените информации не се достапни.

Ништо од ова не го прави системот послаб. Тоа го прави вреден за распоредување во голем обем.

Во моментот кога возачкиот акредитив станува алатка за снимање кој покажал што, каде и кога, тој престанува да биде побезбедна верзија на хартија. Станува инфраструктура за набљудување.

Тоа е токму она во што идната МВД треба да одбие да стане.

Често поставувани прашања

Што е „верификација со повик до издавачот”?
Тоа е секој дизајн во кој верификаторот контактира со издавачот во реално време за потврда на акредитив. Иако истовремено ги решава автентичноста и отповикувањето, исто така му дозволува на издавачот да набљудува секој настан на презентација.

Дали ISO/IEC 18013-5 бара онлајн контакт со издавачот?
Не. AAMVA потврдува дека ISO/IEC 18013-5 бара поддршка за преземање преку уред и само опционално дозволува преземање преку сервер.

Како може отповикувањето да функционира без контакт со издавачот?
Преку краткотрајни акредитиви, листи на статуси на потврди или листи на отповикани потврди — идеално со потпирачката страна која ги презема податоците за статус одделно од корисничките презентации.

Зошто е „групната приватност” важна за листите на статуси?
Ако листата на статуси е премала или нејзините индекси се предвидливи, барањето за статус може да открие кој конкретен акредитив штотуку бил презентиран. Случајните индекси и големите листи го спречуваат ова.

Дали офлајн верификацијата е навистина практична?
Да — и стандардните тела вклучувајќи AAMVA и EUDI експлицитно ја бараат. Компромисот е дека совршената свежина во реално време е неспоива со совршеното офлајн работење, па свежината мора да стане политичка одлука, а не тврда зависност.

Пријавете се
Ве молиме напишете ја Вашата е-пошта во полето подолу и кликнете на „Претплатете се"
Откажете
мај 20, 2019 Автомобилски телевизори: Водич за системи за забава во возилото Автомобилски телевизори: Водич за системи за забава во возилото септември 19, 2025 Најдобри места за посета во Фиџи Најдобри места за посета во Фиџи мај 27, 2023 Програма за дигитално резидентство на Палау Програма за дигитално резидентство на Палау
Претплатете се и добијте целосни упатства за добивање и користење на меѓународна возачка дозвола, како и совети за возачи во странство