МУВ будущего — это не буклет. Это уровень представления данных с защитой конфиденциальности.

Международное удостоверение водителя (МУВ) будущего не должно быть ещё одним документом, который нужно носить с собой. Это должен быть управляемый, криптографически верифицируемый способ предъявления национальных водительских привилегий через границы — онлайн и офлайн, с минимальным раскрытием данных и без превращения каждой проверки в систему слежки.

Все говорят, что будущее международного удостоверения водителя — за цифровыми технологиями. Это не неверно — но и недостаточно конкретно.

PDF-буклет на телефоне — это не будущее. QR-код с улучшенным дизайном — это не будущее. Блокчейн-токен со словом «вождение» в маркетинговых материалах — это тоже не будущее.

Настоящая проблема глубже, чем вопрос формата. Всё сводится к одному центральному вопросу: как законное право на управление транспортным средством, выданное одним органом, становится понятным, заслуживающим доверия и применимым в другом месте, для другого проверяющего, в напряжённых условиях, иногда без подключения к сети и без раскрытия большего объёма персональных данных, чем необходимо?

Именно этот вопрос так и не был полностью решён бумажным МУВ. И именно на него должна ответить система следующего поколения.

Почему бумажный МУВ решил проблему читаемости, но не доверия

Бумажный МУВ имел смысл в мире, где бумага была основным носителем информации. Он выполнял роль уровня совместимости — человекочитаемого связующего звена между одной системой выдачи прав и другой. Это было полезно и до некоторой степени остаётся таковым.

Но сложность современной трансграничной мобильности — это уже не просто вопрос читаемости. Это вопрос доверия.

Сегодня проверяющие сталкиваются с рядом более сложных вопросов:

• Могут ли они установить подлинность документа?
• Могут ли они подтвердить, что он ещё действителен?
• Могут ли они проверить только те конкретные поля, которые им действительно нужны?
• Могут ли они сделать это без обращения к выдающему органу при каждой проверке?
• Могут ли они проверить документ онлайн, лично и на обочине дороги?
• Могут ли они сделать это, не превращая поездки в глобальную систему слежки?

Именно поэтому МУВ будущего следует рассматривать не как проект цифрового буклета, а как задачу архитектуры представления данных.

Стандарты, уже указывающие на цифровой МУВ

Это уже не теория. Сообщество специалистов по стандартам уже движется в этом направлении:

• ISO/IEC 18013-1:2018 установил модель, в которой одно защищённое водительское удостоверение может служить как для внутреннего использования, так и для международно признанных целей, предвосхищая технологии машинного считывания и интеграцию биометрии, криптографии и сжатия данных.
• ISO/IEC 18013-3 охватывает контроль доступа, аутентификацию и проверку целостности.
• ISO/IEC 18013-5 определяет интерфейсы между мобильным водительским удостоверением, считывателем и инфраструктурой выдающего органа, включая использование проверяющими в других странах.
• ISO/IEC 18013-7 добавляет возможность предъявления мобильного водительского удостоверения через интернет.
• Работа ЕЭК ООН по электронным водительским удостоверениям связывает технические и требования безопасности с соответствием стандарту ISO/IEC 18013-5.

Неверный подход к цифровизации МУВ

Неверный подход — взять существующий МУВ, перевести его в цифровой формат и поместить в приложение. Это звучит эффективно, но сохраняет неверную направленность — система по-прежнему остаётся сосредоточенной на документе как физическом объекте.

Более правильный подход — рассматривать международное вождение как контролируемое представление национально выданных прав на управление транспортным средством.

Это различие важно, потому что, как только вы начинаете думать о представлении данных, вопросы проектирования становятся более точными:

• Кто выдал основное право на управление транспортным средством?
• Как владелец получает и хранит документ?
• Как проверяющий запрашивает только те данные, которые ему правомерно необходимы?
• Как распространяются и проверяются ключи эмитента?
• Как проверяется отзыв без отслеживания в реальном времени со стороны эмитента?
• Что работает в офлайн-режиме, а что по-прежнему требует бумажного резервного варианта?
• Какой проверяющий вправе видеть какие данные и почему?

Это гораздо более серьёзный подход к проектированию замены бумажного МУВ.

Уточнённое определение МУВ будущего

Предлагаем следующее определение:

МУВ будущего — это основанный на стандартах производный трансграничный документ, который представляет национально выданные водительские привилегии проверяющему лицу в контекстно-зависимой форме, под контролем владельца, с криптографической верификацией, ролевым раскрытием данных, процедурами предъявления онлайн и офлайн, а также с защитой конфиденциальности при проверке статуса.

Это определение намеренно ограничено. Оно не:

• превращает МУВ будущего в самостоятельное право на вождение;
• делает его универсальным хранилищем идентификационных данных;
• требует постоянного подключения к эмитенту при каждой транзакции;
• предполагает, что стойка проката, сотрудник полиции и страховщик должны видеть одни и те же поля;
• требует блокчейна как основы системы.

Это взвешенный ответ на проблему доверия.

Семь компонентов работоспособного МУВ будущего

Без маркетинговых формулировок работоспособный МУВ будущего нуждается в семи компонентах:

1. Авторитетный национальный источник истины. Законное право на управление транспортным средством исходит от внутреннего органа по выдаче прав. Международный уровень никогда не должен создавать права — только представлять их.
2. Эмитент. Доверенный государственный орган или строго управляемый уполномоченный эмитент, действующий от его имени, выдаёт цифровой документ, отражающий текущую водительскую привилегию.
3. Кошелёк владельца. Водителю необходим защищённый кошелёк, который хранит документ, защищает закрытые ключи, аутентифицирует владельца и предъявляет документ проверяющим.
4. Проверяющий или считыватель. Это может быть полицейское устройство, считыватель на стойке проката, онлайн-система или другой уполномоченный проверяющий.
5. Реестр доверия. Проверяющим необходим надёжный способ получения открытых ключей и метаданных доверия законных эмитентов.
6. Уровень статуса. Должен существовать защищающий конфиденциальность способ выражения приостановки, отзыва, истечения срока действия или изменения статуса.
7. Физический резервный вариант. Разряженные батареи, плохое подключение, повреждённые устройства, консервативные юрисдикции и переходные политические условия — это нормальная реальность, а не исключительные случаи.

Ролевое раскрытие данных: один документ, разные аудитории

Одна из главных ошибок проектирования в системах идентификации — предположение, что один документ означает одно раскрытие данных. Это прямая противоположность хорошего проектирования.

Сотрудник полиции на обочине дороги не имеет тех же законных потребностей, что и стойка проката. Стойка проката — не то же самое, что работодатель. Работодатель — не то же самое, что система онлайн-предварительной проверки.

МУВ будущего должен поддерживать различные наборы раскрываемых данных для разных категорий проверяющих:

• Остановка на дороге: личность, фотография, категории и разрешения, ограничения, статус действительности. По умолчанию — ничего более.
• Стойка проката: личность, фотография, категории вождения, даты выдачи и истечения срока, возможно, сведения о возрасте — но не все поля документа.
• Онлайн-предварительная проверка: подтверждение личности, подтверждение соответствующего права на вождение, подтверждение текущей действительности, возможно, подтверждение, связанное с бронированием.
• Работодатель или корпоративное соответствие: отдельный рабочий процесс с явным согласием, не совпадающий с профилем раскрытия данных при проверке в поездке.

Стандарты уже поддерживают эту модель. В текущем проекте NIST по мобильным водительским удостоверениям описываются запросы, позволяющие проверяющим указывать, какие атрибуты они запрашивают. Руководящие принципы реализации AAMVA требуют, чтобы приложение чётко показывало, какие данные были запрошены, и предоставляло владельцу полный контроль над тем, какие элементы данных передаются.

МУВ будущего не должен быть цифровой картой. Он должен быть инструментом контролируемого раскрытия данных.

Мгновенная верификация не должна становиться мгновенной слежкой

Именно здесь многие проекты в области цифровой идентификации допускают ошибку. Они описывают «верификацию в реальном времени», как будто это автоматически означает прогресс. Это не так.

Проверяющему нужно своевременное доверие. Но эмитенту не нужно знать каждое место и каждый момент, когда владелец предъявляет документ. Это различие принципиально важно.

Архитектурная и справочная база ЕС чётко указывает на это. Экземпляры доверяющих сторон не должны запрашивать соответствующий список статусов при каждом предъявлении документа. Вместо этого:

• Обновлённые списки должны загружаться отдельно, в моменты и из мест, не связанных с конкретным предъявлением документа пользователем.
• Позиции в списках статусов должны быть рандомизированы с достаточным количеством записей для обеспечения коллективной конфиденциальности.
• Запросы к спискам не должны становиться сигналами отслеживания для конкретных владельцев.

В текущем проекте NIST по мобильным водительским удостоверениям описывается проверка со стороны верификатора на основе подписей эмитента и открытых ключей без необходимости напрямую связываться с эмитентом. Руководство AAMVA запрещает получение данных с сервера в своих руководящих принципах реализации и ориентируется на получение с устройства и распределение открытых ключей через службу доверия.

МУВ будущего должен поддерживать мгновенную верификацию — без создания глобальной записи о том, где и когда водитель подтвердил свою личность.

Распределение доверия: управление в машиночитаемой форме

Многие обсуждают кошельки и криптографию. Гораздо меньше — инфраструктуру, которая реально обеспечивает доверие. Но именно инфраструктура имеет решающее значение.

Проверяющий может доверять документу только в том случае, если он может надёжно обнаружить и подтвердить открытые ключи эмитента и связанные метаданные. Экосистеме МУВ будущего необходим машиночитаемый, управляемый ответ на вопросы типа:

• Какие эмитенты являются законными?
• Какие открытые ключи актуальны?
• Какие эмитенты уполномочены для каких юрисдикций?
• Какие категории проверяющих зарегистрированы или аккредитованы?
• Что происходит, когда эмитент меняет ключи или политику?

Служба цифрового доверия AAMVA — один конкретный пример: единый, безопасный, устойчивый способ для доверяющих сторон получать открытые ключи выдающих органов, предоставляемый через верифицированный список центров сертификации эмитентов. Руководство ЕС по мобильным водительским удостоверениям описывает уведомление государствами-членами Комиссии об уполномоченных эмитентах mDL, публикацию этого списка Комиссией в целях верификации и регистрацию доверяющих сторон в рамках системы доверия кошельков.

Именно это направление необходимо МУВ будущего — не система, где все сканируют QR-код и доверяют результату без проверки, а система, в которой доверие распределено, версионировано и может быть проверено машиной.

Онлайн и на обочине дороги: единая унифицированная система

Серьёзный МУВ будущего не может разделиться на отдельные системы: одну для проверок на дороге, другую для аренды автомобилей, третью для удалённой регистрации, четвёртую для верификации личности, пятую для верификации права на вождение. Именно такая фрагментация и является тем, от чего уже страдают пользователи.

Технические стандарты уже существуют, чтобы этого избежать:

• ISO/IEC 18013-5 определяет интерфейсы для предъявления мобильного водительского удостоверения лично.
• ISO/IEC 18013-7 расширяет это на предъявление через интернет.
• Руководство ЕС по мобильным водительским удостоверениям включает аренду автомобилей и проверки на дороге в качестве сценариев верификации, а также описывает удалённый обмен данными и проверки по близости с использованием потоков, инициируемых QR-кодом, Bluetooth, Wi-Fi Aware и NFC.

Система будущего должна обрабатывать как онлайн-, так и очные сценарии, поскольку поездки включают и то, и другое. Мобильность включает и то, и другое. Доверие требует и того, и другого.

Уровень веб-нативных протоколов теперь зрелый

На протяжении многих лет одной из причин расплывчатости дискуссий об идентификации было то, что протокольный уровень оставался неполным. Сейчас это в значительно меньшей степени справедливо:

• OpenID для выпуска верифицируемых учётных данных 1.0 определяет защищённый OAuth API для выпуска учётных данных, явно поддерживающий множество форматов, включая ISO mdoc, SD-JWT VC и учётные данные W3C VCDM.
• OpenID для верифицируемых презентаций 1.0 определяет механизм для запроса и получения верификаторами презентаций учётных данных.
• Модель данных верифицируемых учётных данных W3C 2.0 формализует трёхсторонную экосистему эмитентов, владельцев и верификаторов.

Это меняет дискуссию. МУВ будущего больше не нужно представлять как единое правительственное приложение с процессами, разработанными с нуля. Его можно спроектировать как управляемый профиль учётных данных поверх более широкой совместимой экосистемы.

Это не устраняет необходимости в публичном управлении. Это устраняет отговорку об отсутствии современного протокольного стека для разработки.

Почему блокчейн не обязателен, а признание — необходимо

МУВ будущего не нуждается в блокчейне как основе. Это не означает, что технология распределённых реестров бесполезна — она может быть ценной в отдельных ролях прозрачности или реестров — но её не следует рассматривать как центральный элемент системы водительских удостоверений.

Модель данных W3C VC 2.0 прямо указывает, что реестры верифицируемых данных могут принимать различные формы: доверенные базы данных, децентрализованные базы данных, государственные базы данных идентификации или распределённые реестры. DID Core столь же явно указывает, что многие, но не все, методы DID используют распределённые реестры. Стандарты не навязывают архитектуру с приоритетом блокчейна.

Это правильная позиция, потому что самая сложная часть МУВ будущего — не технология. Самое сложное — это:

• Правовое признание
• Управление эмитентами
• Развёртывание считывателей
• Аккредитация верификаторов
• Операции со списками доверия
• Логика отзыва
• Трансграничное согласование политик

AAMVA создала службу доверия. Руководство ЕС включает публикацию эмитентов и регистрацию доверяющих сторон. Проекты ЕЭК ООН связывают электронные разрешения с ISO/IEC 18013-5. Настоящая проблема — не отсутствие криптографии, а проблема управляемой совместимости.

Реалистичная схема работы МУВ будущего на практике

МУВ будущего должен быть прост на практике. Вот как он работает в трёх распространённых сценариях:

1. Выдача или обновление

Национальный орган проверяет основную запись о водительском удостоверении и выдаёт документ в кошелёк владельца. Кошелёк безопасно хранит его, защищает ключи и может впоследствии обновлять статус или получать обновлённые подтверждения через управляемый процесс выдачи. OpenID4VCI предоставляет жизнеспособный веб-нативный уровень выдачи, тогда как руководство AAMVA требует шифрования в состоянии покоя, защищённого хранения ключей и аутентификации владельца при доступе к данным или их передаче.

2. Удалённая предварительная проверка при аренде автомобиля

Платформа проката отправляет аутентифицированный запрос на минимальный набор данных о праве на вождение. Кошелёк показывает запрос владельцу, который его одобряет. Верификатор получает презентацию по интернет-совместимому потоку, проверяет подпись эмитента и ключевой материал, проверяет локально доступную информацию о доверии и статусе и предварительно одобряет бронирование. Руководство ЕС по mDL уже описывает удалённый обмен данными при аренде автомобиля; проект NIST описывает запросы атрибутов, управляемые запросами; OpenID4VP и ISO/IEC 18013-7 определяют основное направление для интернет-потоков презентации.

3. Остановка на дороге

Сотрудник запрашивает набор данных для дорожного раскрытия. Владелец предъявляет документ через поток по близости. Считыватель проверяет документ локально, проверяет права на вождение и действительность и не видит ничего лишнего. По умолчанию с эмитентом не связываются. Руководство ЕС описывает дорожную верификацию с помощью QR-кода, Bluetooth, Wi-Fi Aware и NFC, тогда как ISO/IEC 18013-5 и руководство AAMVA ориентированы на близость и получение с устройства, а не на связь с эмитентом в реальном времени.

Это правильный пользовательский опыт: быстрый, верифицируемый, минимально инвазивный и простой.

Чем МУВ будущего не является

Для ясности: МУВ будущего — это не:

• самостоятельное водительское удостоверение;
• изображение карточки;
• универсальная коллекция идентификационных данных;
• канал слежки, управляемый верификатором;
• бумага в цифровом формате;
• система доверия, зависящая от блокчейна.

Это тщательно управляемый уровень представления данных поверх национально выданных водительских привилегий. Это менее драматично — и значительно более осуществимо.

Почему путь миграции так же важен, как и архитектура

Лучшая архитектура бесполезна, если путь миграции нереалистичен. Правительства не заменят все бумажные рабочие процессы в одночасье — и не должны.

Реалистичный путь выглядит следующим образом:

1. Фаза 1: Сохранить бумагу. Добавить защищённый цифровой аналог.
2. Фаза 2: Стандартизировать списки доверия эмитентов и категории верификаторов.
3. Фаза 3: Поддержать предъявление как по близости, так и удалённо.
4. Фаза 4: Перевести рутинные проверки и аренду на цифровые потоки в первую очередь.
5. Фаза 5: Перевести бумажный буклет из основного статуса в резервный.

Этот путь соответствует тому, куда уже движутся стандарты и официальная работа экосистемы: логика единого документа ISO, инфраструктура службы доверия AAMVA, варианты использования mDL на основе кошельков EUDI и движение ЕЭК ООН к моделям электронных разрешений, согласованных с ISO/IEC 18013-5.

Главный аргумент в одном предложении

Вот суть аргумента: МУВ будущего — это не цифровой буклет. Это управляемый ответ на проблему трансграничного доверия.

Не более красивая версия старого документа — лучшая система. Система, в которой:

• законное право по-прежнему исходит от национального органа;
• владелец контролирует представление данных;
• верификатор получает только то, что ему нужно;
• доверие можно проверить без слежки по умолчанию;
• удалённое и очное использование разделяют одну архитектуру;
• бумага сохраняется только там, где она ещё имеет практическую ценность.

Вот стандарт, к которому нужно стремиться.

Как только вы видите проблему таким образом, интересный вопрос — уже не в том, должен ли МУВ стать цифровым. Интересный вопрос звучит иначе: кто готов достаточно серьёзно подойти к разработке трансграничного уровня идентификации водителя, чтобы заменить бумагу, не воспроизводя её недостатков — и не добавляя новых?

Ничто из этого не является умозрительным. Текущая работа NIST по мобильным водительским удостоверениям описывает кошелёк, контролируемый пользователем, верификатор, который проверяет подлинность без необходимости напрямую связываться с эмитентом, и экосистему учётных данных, построенную вокруг эмитентов, кошельков и верификаторов. Служба цифрового доверия AAMVA уже существует для распределения открытых ключей выдающих органов. Руководство ЕС по мобильным водительским удостоверениям описывает авторизованные списки эмитентов и регистрацию доверяющих сторон в рамках более широкой системы доверия.