Стек за будущим МВУ: почему для замены бумажного разрешения необходима многоуровневая архитектура стандартов

Ни один стандарт не заменит бумажное Международное водительское удостоверение (МВУ). Его истинным преемником станет стек стандартов, работающих совместно, — и понимание этого стека является ключом к пониманию того, куда в действительности движутся цифровые водительские удостоверения для трансграничного использования.

Почему ни один стандарт не заменит бумажное МВУ

Большинство дискуссий о будущем МВУ начинаются с неправильного вопроса: какой именно стандарт заменит бумажное разрешение? Такая постановка предполагает, что одна спецификация способна выполнить всю работу. Это невозможно.

В рамках работы NIST над мобильными водительскими удостоверениями (mDL) прямо отмечается, что новые стандарты цифровых учётных данных формируются в отдельных проблемных областях. Семейство стандартов ISO 18013 уже разделено на несколько частей, охватывающих физический дизайн, безопасность, мобильное предъявление и интернет-расширения. Таким образом, будущее трансграничное водительское удостоверение — это не одна спецификация, а скоординированный стек спецификаций, каждая из которых решает отдельную задачу.

Стек будущего МВУ: общий обзор

Вот восемь уровней, которые в совокупности определяют, каким будет МВУ будущего:

Уровень 0 — Физический и данных базис: ISO/IEC 18013-1
Уровень 1 — Безопасность учётных данных: ISO/IEC 18013-3
Уровень 2 — Предъявление в непосредственной близости (очное): ISO/IEC 18013-5
Уровень 3 — Дистанционное / интернет-предъявление: ISO/IEC 18013-7
Уровень 4 — Семантика учётных данных: W3C Verifiable Credentials Data Model 2.0
Уровень 5 — Протокол выдачи: OpenID4VCI
Уровень 6 — Протокол запроса и предъявления: OpenID4VP
Уровень 7 — Распределение доверия и авторизация верификаторов: Реестры доверия (модель VICAL от AAMVA, модель доверия проверяющих сторон на основе сертификатов EUDI)

Каждый уровень основан на действующих стандартах или активной документации экосистемы. В разделах ниже объясняется, что делает каждый уровень — и, не менее важно, чего он не делает.

Уровень 0 — ISO/IEC 18013-1: физическая и семантическая основа

Часть 1 имеет большее значение, чем большинство людей осознаёт, поскольку она касается не только дизайна карты.

ISO/IEC 18013-1 определяет физические характеристики и базовый набор данных водительского удостоверения, соответствующего стандарту ISO, создавая общую основу для международного использования и взаимного признания. Стандарт строится вокруг защищённой карты формата ID-1 в сочетании с буклетом для международного применения, заменяя устаревшую модель бумажного МВУ. ISO также отмечает, что во многих случаях одна карта может заменить два отдельных документа.

Практический вывод прост: будущее МВУ не может начинаться на уровне кошелька. Если базовая структура документа, модель данных и его компоновка не стандартизированы заранее, каждый цифровой уровень выше превращается в латку совместимости поверх разрозненных национальных форматов. Часть 1 — это фундамент, на котором держится весь остальной стек.

Уровень 1 — ISO/IEC 18013-3: безопасность учётных данных

Часть 3 — это место, где учётные данные переходят от статуса данных на документе к статусу объекта безопасности. ISO описывает 18013-3 как часть, определяющую механизмы для:

Контроля доступа к машиночитаемым данным
Аутентификации документа
Проверки целостности

Вместе с тем ISO прямо указывает, что Часть 3 не затрагивает вопросы конфиденциальности, связанные с последующим использованием данных, — и эта граница имеет принципиальное значение.

Иными словами, 18013-3 обеспечивает безопасность учётных данных, но не управление всей экосистемой. Она помогает ответить на вопросы: Были ли эти учётные данные выданы заявленным органом? Были ли данные изменены? Она не даёт исчерпывающего ответа на вопросы: Вправе ли этот верификатор вообще запрашивать данное поле? Допустим ли этот запрос в данном контексте?

Это также активно развивающийся уровень, а не завершённый продукт. ISO перечисляет поправку 2022 года к протоколу PACE, поправку 2023 года к обновлениям пассивной аутентификации, а также новый проект стандарта 18013-3, находящийся в разработке.

Уровень 2 — ISO/IEC 18013-5: очное мобильное предъявление

Если Часть 1 определяет документ, а Часть 3 обеспечивает его защиту, то Часть 5 превращает удостоверение в мобильный учётный документ.

ISO указывает, что 18013-5 охватывает интерфейс между mDL и считывателем, а также между считывателем и инфраструктурой выдающего органа. Стандарт также позволяет третьим сторонам — включая органы власти и верификаторов из других стран — выполнять следующее:

Получать данные mDL машинным способом
Связывать эти данные с владельцем
Аутентифицировать их происхождение
Проверять их целостность

Не менее важно то, что не охватывает 18013-5. ISO прямо перечисляет элементы, выходящие за рамки стандарта, в том числе порядок получения согласия владельца на передачу данных, а также требования к хранению данных mDL и закрытых ключей. Часть 5 — это не полноценный продукт-кошелёк, не полноценная модель согласия пользователя и не полноценная система управления. Это транспортный и верификационный уровень для мобильного предъявления.

Руководство по реализации AAMVA уточняет это, разграничивая две модели получения данных:

Получение с устройства, при котором данные считываются непосредственно с устройства владельца.
Получение с сервера, которое может позволить выдающему органу отслеживать факт использования mDL, какие данные передаются, и даже приблизительно определять физическое местоположение посредством анализа IP-адресов.

Второй пункт — это не повод отвергать стандарт, а повод чётко определить, какую модель получения данных будущее МВУ должно использовать по умолчанию. AAMVA также требует, чтобы кошелёк предоставлял владельцу полный контроль над тем, какие элементы данных передаются, что гораздо лучше соответствует будущему МВУ, чем устаревшая модель «показать весь документ».

Уровень 3 — ISO/IEC 18013-7: интернет-предъявление

Часть 5 решает проблему очного предъявления. Часть 7 распространяет эту модель на дистанционное использование.

ISO описывает 18013-7:2025 как расширение 18013-5 для интернет-предъявления mDL считывателю. Интернет — не второстепенный аспект этой архитектуры; он является явной частью стандарта.

Руководство ЕС по мобильным водительским удостоверениям уже рассматривает интернет-предъявление как практическое, а не теоретическое, описывая такие сценарии, как:

Оформление аренды автомобиля, при котором пользователи предъявляют своё mDL очно или дистанционно заблаговременно
Проверки на дороге сотрудниками полиции
Общий профиль использования mDL, основанный на ISO/IEC 18013-5 и 18013-7

Вместе с тем текущее руководство AAMVA честно указывает на ограничения: использование mDL через интернет крайне желательно, однако некоторые вспомогательные стандарты всё ещё находятся в стадии разработки. Существуют реальные пробелы в интеграции кошелька с браузером, и без списка доверенных считывателей сторона mdoc может не иметь надёжного способа подтвердить определённые свойства безопасности. Дистанционное предъявление — реальность, которая продолжает развиваться.

Даже с учётом этих оговорок, 18013-7 — первый серьёзный ответ на проблему, которую бумажное МВУ никогда даже не пыталось решить: дистанционное предъявление права на управление транспортным средством до того, как человек прибудет к стойке или контрольному пункту.

Уровень 4 — W3C VC Data Model 2.0: семантический уровень

W3C Verifiable Credentials Data Model 2.0 — это не стандарт водительского удостоверения, и именно поэтому он важен.

Рекомендация определяет расширяемую модель данных для верифицируемых учётных данных, объясняет, как они могут быть защищены от изменений, и описывает экосистему в терминах трёх ключевых ролей: эмитентов, владельцев и верификаторов. Водительское удостоверение приводится как один из основных примеров.

Для будущего МВУ VC 2.0 предоставляет общий словарь для утверждений, презентаций и реестров верифицируемых данных. W3C прямо указывает, что такие реестры могут принимать несколько форм, в том числе:

Доверенные базы данных
Государственные базы данных идентификационных сведений
Децентрализованные базы данных
Распределённые реестры

Это разрушает ложную дихотомию между подходом, основанным исключительно на блокчейне, и полностью проприетарным подходом. Модель данных шире любого из них.

VC 2.0 также чётко определяет избирательное раскрытие. W3C отмечает, что водительское удостоверение может содержать больше данных, чем требуется для конкретного сценария использования, и рекомендует либо разбивать информацию на более мелкие части, либо использовать механизмы, обеспечивающие избирательное раскрытие. Для будущего МВУ это не факультативная функция защиты конфиденциальности — это разница между современным учётным документом и цифровой копией пластиковой карты.

Однако VC 2.0 не является полноценной заменой ISO 18013. W3C указывает, что модель данных не требует традиционной цепочки доверия на основе центров сертификации. На практике VC 2.0 — это мощный семантический уровень, но явные уровни распределения доверия и управления верификаторами всё равно должны располагаться выше.

Уровень 5 — OpenID4VCI: протокол выдачи

Будущему МВУ нужен стандартный способ передачи учётных данных от эмитента в кошелёк. Именно эту роль выполняет OpenID for Verifiable Credential Issuance (OpenID4VCI) 1.0.

Спецификация определяет защищённый OAuth API для выдачи верифицируемых учётных данных и намеренно не зависит от формата. Среди поддерживаемых форматов учётных данных:

ISO mdoc
SD-JWT VC
W3C VCDM credentials

Протокол также поддерживает привязку к владельцу и последующие презентации без участия эмитента. OpenID4VCI 1.0 был утверждён в качестве окончательной спецификации в сентябре 2025 года.

Это делает OpenID4VCI стратегически важным для экосистемы будущего МВУ. Вместо создания специализированных конвейеров от эмитента к кошельку для каждой юрисдикции или провайдера кошельков, экосистема может определить управляемый профиль выдачи поверх стандартного фреймворка — при этом сохраняя возможность выбора кодирования результирующих учётных данных в формате mdoc, VC или другом поддерживаемом формате. Эта гибкость является одним из наиболее весомых аргументов в пользу модульности стека будущего МВУ.

Уровень 6 — OpenID4VP: протокол запроса и предъявления

Если OpenID4VCI перемещает учётные данные в кошелёк, то OpenID for Verifiable Presentations (OpenID4VP) контролируемым образом извлекает их обратно.

Спецификация определяет механизм запроса и предъявления учётных данных. В базовой реализации используются HTTPS-сообщения и перенаправления, однако поддерживается также использование через W3C Digital Credentials API вместо потоков с перенаправлением. OpenID4VP 1.0 получил статус окончательной спецификации в июле 2025 года.

Это важно, поскольку даёт стеку будущего МВУ нативный для веба уровень предъявления, который могут напрямую реализовывать веб-сайты, приложения и онлайн-верификаторы. Ряд недавних разработок подтверждает это:

В августе 2025 года OpenID Foundation объявил о проведении официального анализа безопасности OpenID4VP при использовании поверх Digital Credentials API; в верифицированной модели протокола новых уязвимостей выявлено не было.
Текущий проект NIST по mDL строит свою модель угроз вокруг запроса и предъявления mDL через OpenID4VP поверх W3C Digital Credentials API, причём FIDO CTAP используется для обеспечения близости и защиты от фишинга в соответствующих потоках.

Веб-сторона стека и сторона mDL сближаются. OpenID4VP не следует воспринимать как конкурента ISO 18013-7 — это уровень веб-протокола, который делает интернет-предъявление практически реализуемым в реальных средах браузеров, кошельков и верификаторов.

Уровень 7 — Реестры доверия: место, где стек становится экосистемой

Именно этот уровень большинство дискуссий обходят стороной — и именно он определяет, будет ли вся система работать на практике.

Верификатор не может ничего поделать с подписанными учётными данными, не зная трёх вещей:

Какие эмитенты являются легитимными
Какие открытые ключи актуальны
Авторизована ли сама запрашивающая сторона

На стороне эмитента конкретный ответ предлагает сервис цифрового доверия AAMVA. Он обеспечивает единый, защищённый и отказоустойчивый способ получения проверяющими сторонами открытых ключей выдающих органов, распространяемых через Verified Issuer Certificate Authority List (VICAL). Руководство AAMVA описывает роль провайдера VICAL в практических терминах: собирать открытые ключи от легитимных выдающих органов, проверять, что эти органы надёжно управляют своими ключами, объединять ключи в единый VICAL и передавать его верификаторам.

На стороне верификатора Европа подходит к проблеме доверия с другой стороны. В Архитектурно-справочном фреймворке EUDI проверяющие стороны проходят регистрацию, получают сертификаты доступа и используют их для аутентификации в приложениях-кошельках при запросе атрибутов. Кошелёк затем проверяет цепочку сертификатов, проверяет статус отзыва, представляет запрос пользователю и передаёт только одобренные атрибуты.

Модель VC от W3C также вносит свой вклад, рассматривая реестры верифицируемых данных как самостоятельную роль в экосистеме. Как отмечалось ранее, эти реестры могут представлять собой доверенные базы данных, государственные базы данных идентификационных сведений, децентрализованные базы данных или распределённые реестры. Реестр доверия для будущего МВУ не обязательно должен быть построен на блокчейне. Он должен быть управляемым, поддающимся аудиту и машиночитаемым.

Если ISO 18013 определяет, как выглядят и передаются учётные данные, то реестры доверия решают, следует ли им доверять.

Будущее МВУ — это стек, а не единая спецификация

Как работает будущая транзакция МВУ от начала до конца

Вот стек в действии, разбитый на четыре ключевых момента жизненного цикла учётных данных.

1. Выдача. Национальный орган — или строго контролируемый уполномоченный эмитент — проверяет базовую запись о водительском удостоверении и выдаёт учётные данные в кошелёк владельца. OpenID4VCI — наиболее практичный уровень выдачи, доступный сегодня, поскольку он уже поддерживает форматы ISO mdoc, SD-JWT VC и W3C VCDM. Сам ISO 18013-5 оставляет за рамками стандарта сбор согласия и хранение закрытых ключей — именно поэтому выдача и управление кошельком должны работать выше базового транспортного уровня ISO.

2. Очное предъявление. На дорожном посту или у стойки проката кошелёк предъявляет учётные данные через поток на основе близости, базирующийся на 18013-5. Считыватель проверяет происхождение и целостность, используя ключи эмитента, полученные из реестра доверия, — не принимая решения о доверии самостоятельно. Владелец одобряет только те поля, которые необходимы для данной конкретной ситуации.

3. Дистанционное предъявление. Для предварительных проверок при аренде или иных онлайн-процессов верификатор запрашивает минимальный набор атрибутов через интернет-совместимый поток с использованием 18013-7 и/или OpenID4VP. Кошелёк отображает запрашиваемые атрибуты, владелец даёт согласие, а верификатор получает структурированную презентацию вместо скана или загрузки PDF-файла. Текущая архитектура NIST, построенная на основе OpenID4VP и Digital Credentials API, демонстрирует, что это уже практически реализуемый технический путь.

4. Доверие и авторизация верификатора. Кошелёк не доверяет каждому запрашивающему вслепую. В зрелой экосистеме проверяющая сторона аутентифицируется, цепочки сертификатов проверяются, статус отзыва контролируется, а пользователю обеспечивается видимость того, кто и какие данные запрашивает. Модель EUDI особенно сильна в этом отношении: регистрация верификатора и сертификаты доступа рассматриваются как обязательные части системы, а не необязательные дополнения.

Именно этот полный процесс объясняет, почему будущее МВУ должно быть стеком. Ни один уровень не способен обеспечить его самостоятельно. Ни ISO в одиночку. Ни VC в одиночку. Ни OpenID в одиночку. И уж тем более не PDF-файл, прикреплённый к форме.

Чего всё ещё не хватает в стеке будущего МВУ

Наиболее сложная нерешённая проблема заключается уже не в создании новой криптографии — а в достижении управляемой совместимости.

Рассмотрим текущее состояние экосистемы:

NIST охарактеризовал текущий ландшафт стандартов как развивающийся в отдельных областях.
AAMVA создала региональный сервис доверия для Северной Америки.
Европа встраивает доверие проверяющих сторон на основе сертификатов в архитектуру своего кошелька.
OpenID завершил разработку спецификаций выдачи и предъявления и расширяет инфраструктуру проверки соответствия.

Это по-прежнему ответы, специфичные для отдельных экосистем. Единого глобального трансграничного уровня доверия для водительских удостоверений пока не существует. Предстоит определить:

Какие части стека являются обязательными
Какие форматы учётных данных допустимы
Как распределяется доверие к эмитентам и верификаторам
Как тестируется соответствие
Как осуществляется трансграничное признание без ущерба для конфиденциальности

Заключение: будущее МВУ — это стек, а не документ

Будущее МВУ появится не потому, что одна организация по стандартизации напишет один документ. Оно возникнет тогда, когда согласованный стек будет определён, управляем и принят во всех юрисдикциях. У этого стека уже есть идентифицируемые уровни: