การเพิกถอนสิทธิ์คือปัญหาที่ยากที่สุดในระบบใบอนุญาตขับรถระหว่างประเทศดิจิทัล (IDP) ในอนาคต วิธีแก้ปัญหาที่ง่ายที่สุดนั้นก็เป็นวิธีที่อันตรายที่สุดเช่นกัน นั่นคือการให้ผู้ออกเอกสารเข้ามามีส่วนร่วมในทุกครั้งที่มีการนำเสนอข้อมูล ระบบหนังสือรับรองการขับรถข้ามพรมแดนที่ทันสมัยควรปฏิเสธทางลัดนี้ตั้งแต่ต้น
ข้อเสนอด้านอัตลักษณ์ดิจิทัลแทบทุกฉบับมีประโยคที่ฟังดูน่าเชื่อถือเหมือนกัน:
“หนังสือรับรองสามารถยืนยันได้ทันที”
บางครั้งประโยคนั้นสะท้อนถึงความก้าวหน้าที่แท้จริง บางครั้งก็เป็นเพียงการสอดแนมที่มีส่วนต่อประสานผู้ใช้งานที่เป็นมิตรกว่าเดิมเท่านั้น
มาตรฐานที่เผยแพร่ในปัจจุบันระบุชัดเจนอยู่แล้วว่า ผู้ตรวจสอบ ไม่ จำเป็นต้องติดต่อผู้ออกเอกสารทุกครั้งที่มีการแสดงหนังสือรับรอง:
- สถาปัตยกรรม mDL ของ NIST ในปัจจุบัน ระบุว่าผู้ตรวจสอบสามารถยืนยันความถูกต้องและความสมบูรณ์ได้โดยอาศัยลายเซ็นและกุญแจสาธารณะของผู้ออกเอกสาร โดยไม่ต้องติดต่อผู้ออกเอกสารโดยตรง
- AAMVA ยืนยันว่า ISO/IEC 18013-5 กำหนดให้รองรับ การดึงข้อมูลจากอุปกรณ์ และอนุญาตให้ใช้การดึงข้อมูลจากเซิร์ฟเวอร์เฉพาะในกรณี ที่เลือกใช้เท่านั้น
- AAMVA ยังเตือนด้วยว่า ภายใต้การดึงข้อมูลจากเซิร์ฟเวอร์ หน่วยงานผู้ออกเอกสารจะเข้ามามีส่วนร่วมแบบเรียลไทม์ทุกครั้งที่ใช้งาน ซึ่งหมายความว่าสามารถบันทึกได้ทางเทคนิคว่ามีการใช้หนังสือรับรองเมื่อใด ข้อมูลใดถูกแบ่งปัน และแม้แต่การอนุมานตำแหน่งจากการวิเคราะห์ IP
นี่ไม่ใช่เชิงอรรถที่ไม่สำคัญ แต่เป็นคำถามเชิงการออกแบบหลักสำหรับระบบหนังสือรับรองการขับรถข้ามพรมแดนรุ่นต่อไป
ทางลัดที่อันตราย: การรวมสี่คำถามไว้ในการเรียกเครือข่ายเดียว
สถาปัตยกรรมที่ออกแบบไม่ดีจะรวมคำถามที่แตกต่างกันสี่ข้อไว้ในการเรียกสดเดียวถึงผู้ออกเอกสาร:
- หนังสือรับรองนี้ ถูกต้องแท้จริง หรือไม่?
- บุคคลที่นำเสนอนั้นเป็น ผู้ถือที่ชอบด้วยกฎหมาย หรือไม่?
- หนังสือรับรองนั้นเอง ยังคงมีผลบังคับใช้อยู่หรือไม่?
- สิทธิ์การขับรถของประเทศต้นทาง ยังคงมีผลบังคับใช้อยู่หรือไม่?
ระบบที่ออกแบบไม่ดีจะตอบทั้งสี่ข้อโดยการโทรกลับบ้านแบบเรียลไทม์ ส่วนระบบที่ออกแบบดีจะแยกคำถามเหล่านี้ออกจากกัน เพราะมันไม่ใช่ปัญหาเดียวกันและไม่ควรใช้กลไกเดียวกัน
ความถูกต้องแท้จริงควรยืนยันในเครื่องท้องถิ่น ไม่ใช่ผ่านเครือข่าย
หนังสือรับรองสามารถถูกต้องตามการเข้ารหัสได้โดยไม่ต้องให้ผู้ออกเอกสารสังเกตการณ์ธุรกรรมเลย
- แบบจำลองความเชื่อถือ mDL ของ NIST ระบุว่าความถูกต้องและความสมบูรณ์ได้รับการตรวจสอบจากลายเซ็นและกุญแจสาธารณะของผู้ออกเอกสาร โดยไม่ต้องมีการติดต่อผู้ออกเอกสารสดเลย
- Digital Trust Service ของ AAMVA มีอยู่เพื่อให้ผู้ตรวจสอบเข้าถึงกุญแจสาธารณะของผู้ออกเอกสารที่ถูกต้องโดยเฉพาะ โดยไม่ต้องมีการเรียกกลับต่อธุรกรรม
หลักการออกแบบที่ 1: อย่าใช้การเชื่อมต่อสดเพื่อแก้ปัญหาที่ลายเซ็นแก้ได้อยู่แล้ว
หากผู้ตรวจสอบถือกุญแจของผู้ออกเอกสารที่เชื่อถือได้และได้รับการนำเสนอที่สอดคล้องกับมาตรฐาน ความถูกต้องแท้จริงก็เป็นเพียงการตรวจสอบการเข้ารหัสในเครื่องท้องถิ่น ไม่ใช่การพึ่งพาเครือข่าย
การพิสูจน์ตัวตนผู้ถือควรดำเนินการในเครื่องท้องถิ่น ไม่ใช่รายงานไปทั่วโลก
คำถามที่สอง — นี่คือผู้ถือที่ชอบด้วยกฎหมายหรือไม่? — ก็มีคำตอบที่ไม่ต้องใช้เครือข่ายเช่นกัน
สถาปัตยกรรม EUDI ในปัจจุบันกำหนดให้มีการผูกอุปกรณ์สำหรับ PID และการรับรอง ISO/IEC 18013-5 ผู้ตรวจสอบจะขอให้กระเป๋าเงินลงนามในความท้าทายใหม่โดยใช้กุญแจส่วนตัวที่สอดคล้องกับกุญแจสาธารณะที่ฝังอยู่ในหนังสือรับรอง:
- ใน ISO/IEC 18013-5 เรียกว่า mdoc authentication
- ใน SD-JWT VC เรียกว่า key binding
ในทั้งสองกรณี การครอบครองได้รับการพิสูจน์ในเครื่องท้องถิ่นและด้วยวิธีการเข้ารหัส ข้อมูลส่วนบุคคลไม่จำเป็นต้องถึงผู้ออกเอกสารเลย
หลักการออกแบบที่ 2: พิสูจน์การครอบครองในเครื่องท้องถิ่น อย่าพิสูจน์ตัวตนไปทั่วโลก
IDP ในอนาคตควรใช้การผูกอุปกรณ์ การพิสูจน์ตัวตนผู้ถือในเครื่องท้องถิ่น และการตอบสนองความท้าทายของผู้ตรวจสอบให้หมดก่อน ก่อน ที่จะพิจารณากลไกฝั่งผู้ออกเอกสารใดๆ
สถานะหนังสือรับรองและสถานะสิทธิ์การขับรถเป็นคนละเรื่องกัน
การออกแบบอัตลักษณ์ดิจิทัลหลายฉบับมักเบลอความแตกต่างนี้ และนั่นคือจุดที่ผิดพลาด
ข้อกำหนด Bitstring Status List ของ W3C ชี้ประเด็นนี้ชัดเจน: ข้อมูลสถานะที่แนบมากับหนังสือรับรองที่ตรวจสอบได้ใช้กับ หนังสือรับรองที่ตรวจสอบได้นั้นเอง เท่านั้น ไม่จำเป็นต้องใช้กับสิทธิ์ในโลกจริงที่อยู่เบื้องหลัง หนังสือรับรองดิจิทัลอาจถูกเพิกถอนเพราะกลไกการลงนามถูกบุกรุก ในขณะที่สิทธิ์การขับรถเบื้องหลังยังคงมีผลบังคับใช้อย่างสมบูรณ์
IDP ในอนาคตจึงต้องการ ชั้นสถานะที่แตกต่างกันสองชั้น:
- ชั้นสถานะหนังสือรับรอง — สำหรับหนังสือรับรองดิจิทัลหรือช่องทางการนำเสนอ
- ชั้นสิทธิ์การขับรถ — สำหรับสิทธิ์ขับขี่ของประเทศต้นทางเบื้องหลัง
บางครั้งสองสิ่งนี้เปลี่ยนแปลงพร้อมกัน แต่บ่อยครั้งก็ไม่เป็นเช่นนั้น ระบบที่สับสนระหว่างสองสิ่งนี้จะตอบสนองเกินเหตุ เปิดเผยข้อมูลมากกว่าที่จำเป็น หรือทั้งสองอย่าง
การบุกรุกกระเป๋าเงินควรส่งผลผ่านชั้นสถานะ ไม่ใช่กระตุ้นให้ผู้ตรวจสอบเรียกกลับ
IDP ในอนาคตยังต้องการคำตอบที่ชัดเจนสำหรับสิ่งที่เกิดขึ้นเมื่อกระเป๋าเงินถูกบุกรุก
สถาปัตยกรรม EUDI มีคำตอบหนึ่ง:
- ผู้ให้บริการกระเป๋าเงินออก Wallet Unit Attestations ที่มีข้อมูลการเพิกถอน
- ความสมบูรณ์ของกระเป๋าเงินได้รับการตรวจสอบซ้ำตามเวลา หากกระเป๋าเงินไม่ปลอดภัยอีกต่อไป การรับรองของกระเป๋าเงินจะถูกเพิกถอน
- ผู้ให้บริการ PID ต้องตรวจสอบเป็นประจำว่ากระเป๋าเงินถูกเพิกถอนหรือไม่ หากใช่ พวกเขาจะเพิกถอน PID
- โดยการตรวจสอบสถานะ PID ฝ่ายที่พึ่งพาจะ โดยปริยาย ตรวจสอบสถานะกระเป๋าเงินด้วย
นี่คือการจัดชั้นที่ IDP ในอนาคตควรนำมาใช้ อย่า ให้ผู้ตรวจสอบทุกรายตรวจสอบผู้ให้บริการกระเป๋าเงินอย่างอิสระ ให้การบุกรุกกระเป๋าเงินส่งผลผ่านไปป์ไลน์สถานะหนังสือรับรองที่มีอยู่ และให้ผู้ตรวจสอบปรึกษาช่องทางเดียวที่รักษาความเป็นส่วนตัวนั้น
รูปแบบการเพิกถอนที่ใช้งานได้จริงสามรูปแบบ (ไม่ต้องมีการเรียกกลับ)
EUDI กำหนดให้ผู้ให้บริการใช้วิธีการเพิกถอนหนึ่งในสาม:
- การรับรองอายุสั้น — มีผลใช้งาน 24 ชั่วโมงหรือน้อยกว่า ทำให้การเพิกถอนไม่จำเป็น
- Attestation Status List — รายการที่เผยแพร่ซึ่งผู้ตรวจสอบสามารถปรึกษาได้
- Attestation Revocation List — รายการที่ชัดเจนของหนังสือรับรองที่ถูกเพิกถอน
สำหรับการรับรองที่มีผลนานกว่า 24 ชั่วโมง EUDI กำหนดให้ฝังข้อมูลการเพิกถอนที่ประกอบด้วย:
- URL ที่ฝ่ายที่พึ่งพาสามารถดึงรายการสถานะได้
- ตัวระบุที่ค้นหาหนังสือรับรองภายในรายการนั้น
หากข้อมูลการเพิกถอนที่เชื่อถือได้ไม่พร้อมใช้งาน เช่น เมื่อฝ่ายที่พึ่งพาออฟไลน์ EUDI จะสั่งให้ฝ่ายที่พึ่งพาทำ การวิเคราะห์ความเสี่ยง ก่อนยอมรับหรือปฏิเสธหนังสือรับรอง
บทสรุป: การเพิกถอนไม่ใช่กลไกเดียว และแน่นอนไม่ใช่เหตุผลสำหรับการเรียกกลับผู้ออกเอกสารที่บังคับ
อายุสั้นเป็นค่าเริ่มต้น อายุยาวเฉพาะเมื่อจำเป็น
หนึ่งในมาตรการความเป็นส่วนตัวที่มีประสิทธิภาพที่สุดในทั้งระบบก็เป็นสิ่งที่ง่ายที่สุดเช่นกัน: รักษาสิ่งที่นำเสนอให้มีอายุสั้น
- EUDI ระบุว่าการรับรองที่มีผลใช้งาน 24 ชั่วโมงหรือน้อยกว่าไม่ต้องการโครงสร้างพื้นฐานการเพิกถอน เพราะมันหมดอายุก่อนที่การเพิกถอนจะมีความสำคัญ
- W3C ระบุว่าการนำเสนอที่ตรวจสอบได้มักเป็นแบบอายุสั้นและไม่ได้ออกแบบมาเพื่อการจัดเก็บระยะยาว
- NIST เตือนอย่างชัดเจนว่าไม่ควรส่งตัวระบุที่นำกลับมาใช้ซ้ำได้ซ้ำๆ สำหรับการใช้งานประจำวัน การพิสูจน์ตัวตนในชีวิตประจำวันควรอาศัยเทคโนโลยีที่สร้างมาเพื่อจุดประสงค์นั้น เช่น passkeys ไม่ใช่การนำเสนอหนังสือรับรองที่มีข้อมูลตัวตนซ้ำๆ
- NIST ยังเลือกการพิสูจน์ตัวตนในอุปกรณ์ท้องถิ่นแทนการจับคู่ไบโอเมตริกซ์ฝั่งเซิร์ฟเวอร์โดยเฉพาะ เพราะการพิสูจน์ตัวตนในเครื่องท้องถิ่นรักษาความเป็นส่วนตัวและมีประสิทธิภาพในการปฏิบัติงานมากกว่า
หลักการออกแบบที่ 3: หนังสือรับรองหลักอาจมีระยะเวลาความถูกต้องปานกลาง แต่การนำเสนอนั้นเองควรมีอายุสั้น เฉพาะสำหรับผู้ตรวจสอบ และไม่สามารถนำกลับมาใช้ซ้ำได้
รายการสถานะคือกลไกเริ่มต้นที่ถูกต้อง
เมื่อทำให้ทุกอย่างมีอายุสั้นไม่ได้ คุณต้องการโครงสร้างพื้นฐานสถานะ และรายการสถานะคือค่าเริ่มต้นที่ถูกต้อง
Bitstring Status List v1.0 ของ W3C อธิบายกลไกที่รักษาความเป็นส่วนตัว ประหยัดพื้นที่ และมีประสิทธิภาพสูงสำหรับการเผยแพร่ข้อมูลสถานะ เช่น การระงับหรือการเพิกถอน คุณสมบัติหลัก ได้แก่:
- ผู้ออกเอกสารแต่ละรายจัดการรายการสำหรับหนังสือรับรองที่ตนออก
- รูปแบบบีบอัดได้ดี เนื่องจากหนังสือรับรองส่วนใหญ่ยังไม่ถูกเพิกถอน
- ขนาดรายการเริ่มต้นคือ 131,072 รายการ ซึ่ง W3C ระบุว่าให้ความเป็นส่วนตัวของกลุ่มที่เพียงพอในกรณีเฉลี่ย
- สามารถใช้รายการที่ใหญ่กว่าได้ในกรณีที่ต้องการความเป็นส่วนตัวของกลุ่มที่แข็งแกร่งกว่า
สิ่งนี้เปลี่ยนคำถามจาก:
“ฉันสามารถถามผู้ออกเอกสารเกี่ยวกับผู้ใช้รายนี้ตอนนี้ได้ไหม?”
ไปเป็น:
“ฉันมีรายการสถานะที่รักษาความเป็นส่วนตัวและใหม่เพียงพอที่จะตัดสินใจในเครื่องท้องถิ่นแล้วหรือยัง?”
นั่นเป็นคำถามที่ดีกว่ามาก ทั้งในแง่เทคนิคและการเมือง
“ไม่มีการเรียกกลับบ้าน” คือรูปแบบการดาวน์โหลด ไม่ใช่แค่สโลแกน
กฎที่สำคัญที่สุดในแนวทางความเป็นส่วนตัวของ EUDI เป็นเรื่องของขั้นตอนปฏิบัติ ไม่ใช่หลักปรัชญา
ฝ่ายที่พึ่งพา ต้องไม่ ขอรายการสถานะทุกครั้งที่มีการนำเสนอหนังสือรับรอง แต่ต้อง:
- ดาวน์โหลดเวอร์ชันใหม่แต่ละเวอร์ชันของรายการ เพียงครั้งเดียว
- ดำเนินการ ในเวลาและจากสถานที่ที่ไม่เกี่ยวข้อง กับการนำเสนอของผู้ใช้ใดๆ
- แจกจ่ายรายการ ภายใน องค์กรฝ่ายที่พึ่งพา
- ดึงรายการ โดยไม่ต้องพิสูจน์ตัวตน ฝ่ายที่พึ่งพา
นี่คือแก่นกลางการปฏิบัติงานของการยืนยันแบบ no-call-home: รีเฟรชสถานะแยกจากการนำเสนอของผู้ใช้ ไม่ใช่ต่อบุคคล ไม่ใช่ต่อธุรกรรม
การเลือกออกแบบเพียงอย่างเดียวนี้ป้องกันไม่ให้ผู้ออกเอกสารหรือผู้ให้บริการสถานะรู้ว่าผู้ตรวจสอบรายใดตรวจสอบหนังสือรับรองใดในช่วงเวลาใด
ความเป็นส่วนตัวของกลุ่ม: ข้อกำหนดที่การออกแบบส่วนใหญ่ลืม
ระบบหลายระบบเน้นการเปิดเผยเลือกสรรภายในการนำเสนอนั้นเอง แล้วก็เงียบๆ ละเลยความเป็นส่วนตัวของการค้นหาสถานะ นั่นเป็นช่องว่างที่สำคัญ
ข้อกำหนดความเป็นส่วนตัวของ EUDI ระบุว่า:
- ดัชนีในรายการสถานะต้อง กำหนดแบบสุ่ม เพื่อให้ดัชนีนั้นเองไม่กลายเป็นสัญญาณการติดตาม
- รายการแต่ละรายการต้องครอบคลุมหนังสือรับรองจำนวน มากเพียงพอ เพื่อให้มั่นใจว่ามีความเป็นส่วนตัวของกลุ่ม
- หากรายการมีขนาดเล็กเกินไป ผู้ให้บริการควร เพิ่มรายการที่ไม่ได้ใช้ เพื่อซ่อนจำนวนหนังสือรับรองจริง
IDP ในอนาคตไม่สามารถอ้างว่ารักษาความเป็นส่วนตัวได้โดยอาศัยการเปิดเผยเลือกสรรเพียงอย่างเดียว หากกลไกการเพิกถอนรั่วไหลเหตุการณ์การนำเสนอ การออกแบบความเป็นส่วนตัวก็ยังไม่สมบูรณ์
การทำงานออฟไลน์ไม่ใช่กรณีพิเศษ แต่เป็นข้อกำหนดหลัก
ระบบการเดินทางใดที่สมมติว่ามีการเชื่อมต่อที่สมบูรณ์แบบตลอดเวลา ถือว่าออกแบบไม่ดี
- AAMVA ยืนยันว่า การดึงข้อมูลจากอุปกรณ์ทำงานได้โดยไม่ต้องมีการเชื่อมต่อภายนอก สำหรับทั้งอุปกรณ์ผู้ถือและเครื่องอ่าน และ ISO/IEC 18013-5 กำหนดให้ mDL รองรับการดึงข้อมูลจากอุปกรณ์
- EUDI ยอมรับว่าฝ่ายที่พึ่งพาอาจออฟไลน์และไม่มีรายการสถานะที่แคชไว้ ในกรณีนี้แนะนำให้ทำ การวิเคราะห์ความเสี่ยง ก่อนตัดสินใจ
ยอมรับการแลกเปลี่ยนนี้ตั้งแต่ต้น:
คุณไม่สามารถมีการทำงานออฟไลน์ที่สมบูรณ์แบบและความสดใหม่แบบเรียลไทม์ที่สมบูรณ์แบบในเวลาเดียวกันได้
สถาปัตยกรรมใดที่สัญญาทั้งสองอย่างโดยไม่มีการประนีประนอมนั้น ไม่ชัดเจนหรือกำลังนำการสอดแนมกลับเข้ามาอย่างเงียบๆ การตอบสนองที่ถูกต้องคือทำให้ความสดใหม่เป็น ข้อมูลนโยบาย ไม่ใช่การพึ่งพาเครือข่ายสากล
บันทึกคือจุดที่ความเป็นส่วนตัวล้มเหลวอย่างเงียบๆ
แม้แต่สถาปัตยกรรมสถานะที่ยอดเยี่ยมก็อาจถูกทำลายได้ด้วยการบันทึกที่ประมาท
- EUDI กำหนดให้อินสแตนซ์ฝ่ายที่พึ่งพาทิ้งองค์ประกอบเฉพาะและการประทับเวลาทันทีที่ไม่จำเป็นอีกต่อไป และห้ามส่งต่อ
- AAMVA ห้ามผู้มีส่วนได้ส่วนเสียติดตามผู้ถือ mDL หรือการใช้งาน mDL ยกเว้นที่กฎหมายกำหนด กำหนดให้หน่วยงานผู้ออกเอกสารลดการแบ่งปันข้อมูลเมตาแบบคงที่หรืออายุยาว และจำกัดการเข้าถึงบันทึกกิจกรรมเฉพาะผู้ถือ
- AAMVA ยังกำหนดให้การลบในอุปกรณ์ลบข้อมูลบันทึกและข้อมูลเมตาที่อาจเปิดเผยประวัติการใช้งาน และการลบนี้ต้องทำได้แบบออฟไลน์
นี่คือ พฤติกรรมของโปรโตคอล ไม่ใช่การจัดการด้านการบริหาร IDP ในอนาคตต้องถือว่าตัวระบุอายุยาว การประทับเวลา และบันทึกเป็นเครื่องมือการติดตามที่อาจเกิดขึ้น จนกว่าจะพิสูจน์ได้ชัดเจน
สถาปัตยกรรม No-Call-Home ที่เป็นรูปธรรมสำหรับ IDP ในอนาคต
นำหลักการทั้งหมดมารวมกัน นี่คือสิ่งที่ระบบควรทำจริงๆ:
- ออกหนังสือรับรองหลักที่ผูกกับอุปกรณ์ ผูกหนังสือรับรองกับกุญแจที่ได้รับการปกป้องในสภาพแวดล้อมที่ปลอดภัยของกระเป๋าเงิน ซึ่งเป็นข้อบังคับภายใต้ EUDI สำหรับ PID และการรับรอง ISO/IEC 18013-5
- ขอเฉพาะสิ่งที่จำเป็น พร้อมความท้าทายใหม่ ในธุรกรรม OpenID4VP คำสั่ง DCQL ให้กระเป๋าเงินแสดงให้ผู้ถือเห็นว่ากำลังขอคุณสมบัติใด และผู้ตรวจสอบออกความท้าทายเพื่อป้องกันการนำกลับมาเล่นซ้ำ (ตามสถาปัตยกรรม mDL ปัจจุบันของ NIST)
- สร้างการนำเสนออายุสั้น ไม่ใช่ตัวระบุที่นำกลับมาใช้ซ้ำได้ การนำเสนอแต่ละครั้งควรเฉพาะสำหรับผู้ตรวจสอบ คำขอ และช่วงเวลา
- ยืนยันความถูกต้องในเครื่องท้องถิ่น ตรวจสอบลายเซ็นผู้ออกเอกสารและกุญแจสาธารณะแบบออฟไลน์ บริการความเชื่อถือของ AAMVA สร้างขึ้นเพื่อสิ่งนี้โดยเฉพาะ
- ตรวจสอบสถานะจากรายการที่แคชไว้และรีเฟรชแยกต่างหาก ในกรณีที่หนังสือรับรองมีอายุยาวเกินไปจนข้ามการเพิกถอนไม่ได้ ให้ใช้รายการสถานะที่แคชไว้ในเครื่องท้องถิ่นและรีเฟรชตามกำหนดเวลาที่ไม่เกี่ยวข้องกับการนำเสนอของผู้ใช้
- ใช้นโยบายความเสี่ยงเมื่อไม่มีข้อมูลความสดใหม่ ทำให้การตัดสินใจออฟไลน์เป็นนโยบายผู้ตรวจสอบที่ชัดเจน ไม่ใช่การคาดเดาที่ไม่มีโครงสร้าง
- ลบข้อมูลการติดตามอย่างเข้มแข็ง ทิ้งองค์ประกอบเฉพาะธุรกรรมและการประทับเวลาเมื่อไม่จำเป็นอีกต่อไป อย่าเก็บบันทึกที่สามารถสร้างประวัติการเคลื่อนไหวขึ้นมาใหม่ได้
นี่คือลักษณะของสถาปัตยกรรม no-call-home ที่จริงจัง ซึ่งเป็นแบบหลายชั้น รักษาความเป็นส่วนตัว ดำเนินการเข้ารหัสในเครื่องท้องถิ่น และซื่อสัตย์ในการปฏิบัติงานเกี่ยวกับความเป็นจริงออฟไลน์
รูปแบบสามอย่างที่ควรถูกห้ามโดยการออกแบบ
ระบบนิเวศ IDP ในอนาคตที่พัฒนาเต็มที่ควรถือว่าสิ่งเหล่านี้เป็นความล้มเหลวทางสถาปัตยกรรม ไม่ใช่ทางเลือกการปรับแต่ง:
- การเรียกกลับผู้ออกเอกสารที่บังคับในทุกการนำเสนอ แนวทางความเป็นส่วนตัวของ AAMVA เองอธิบายว่าเหตุใดสิ่งนี้จึงเป็นอันตราย
- การใช้หนังสือรับรองการขับรถเป็นการเข้าสู่ระบบประจำวัน NIST เตือนอย่างชัดเจนว่าไม่ควรนำเสนอหนังสือรับรองที่มีข้อมูลตัวตนซ้ำๆ สำหรับการพิสูจน์ตัวตนประจำวัน
- การเก็บตัวระบุ การประทับเวลา และบันทึกที่สามารถสร้างประวัติการนำเสนอขึ้นมาใหม่ได้ ทั้ง EUDI และ AAMVA ต้องการสิ่งที่ตรงกันข้าม
ข้อโต้แย้งหลักในประโยคเดียว
การยืนยันทันทีต้องไม่กลายเป็นการอนุญาตให้สอดแนมฝั่งผู้ออกเอกสาร
IDP ในอนาคตควรสามารถ:
- พิสูจน์ ความถูกต้องแท้จริง ในเครื่องท้องถิ่น
- พิสูจน์ การครอบครอง ในเครื่องท้องถิ่น
- ตรวจสอบ ความสดใหม่ อย่างเป็นส่วนตัว
- ทนต่อ ความเป็นจริงออฟไลน์
- ทำงานได้อย่างราบรื่นเมื่อข้อมูลที่สมบูรณ์แบบไม่พร้อมใช้งาน
ไม่มีสิ่งใดเหล่านี้ทำให้ระบบอ่อนแอลง แต่ทำให้คุ้มค่าที่จะนำไปใช้ในวงกว้าง
ในทันทีที่หนังสือรับรองการขับรถกลายเป็นเครื่องมือสำหรับบันทึกว่าใครแสดงอะไร ที่ไหน และเมื่อใด มันก็ไม่ใช่กระดาษที่ปลอดภัยกว่าอีกต่อไป แต่กลายเป็นโครงสร้างพื้นฐานสำหรับการสังเกตการณ์
นั่นคือสิ่งที่ IDP ในอนาคตควรปฏิเสธที่จะเป็น
คำถามที่พบบ่อย
“การยืนยันแบบ call-home” คืออะไร?
คือการออกแบบใดก็ตามที่ผู้ตรวจสอบติดต่อผู้ออกเอกสารแบบเรียลไทม์เพื่อตรวจสอบหนังสือรับรอง แม้จะแก้ปัญหาความถูกต้องแท้จริงและการเพิกถอนพร้อมกัน แต่ก็ทำให้ผู้ออกเอกสารสังเกตเห็นเหตุการณ์การนำเสนอทุกครั้งด้วย
ISO/IEC 18013-5 กำหนดให้ต้องมีการติดต่อผู้ออกเอกสารออนไลน์หรือไม่?
ไม่ AAMVA ยืนยันว่า ISO/IEC 18013-5 กำหนดให้รองรับการดึงข้อมูลจากอุปกรณ์ และอนุญาตให้ใช้การดึงข้อมูลจากเซิร์ฟเวอร์เฉพาะในกรณีที่เลือกใช้เท่านั้น
การเพิกถอนสามารถทำงานได้อย่างไรโดยไม่ต้องติดต่อผู้ออกเอกสาร?
ผ่านหนังสือรับรองอายุสั้น รายการสถานะการรับรอง หรือรายการการเพิกถอนการรับรอง ซึ่งในอุดมคติควรให้ฝ่ายที่พึ่งพาดาวน์โหลดข้อมูลสถานะแยกจากการนำเสนอของผู้ใช้
เหตุใด “ความเป็นส่วนตัวของกลุ่ม” จึงสำคัญสำหรับรายการสถานะ?
หากรายการสถานะมีขนาดเล็กเกินไปหรือดัชนีสามารถคาดเดาได้ การขอสถานะอาจรั่วไหลว่าหนังสือรับรองใดถูกนำเสนอในทันที ดัชนีสุ่มและรายการขนาดใหญ่ป้องกันสิ่งนี้
การยืนยันออฟไลน์ใช้งานได้จริงหรือไม่?
ได้ และองค์กรมาตรฐานรวมถึง AAMVA และ EUDI กำหนดให้ต้องรองรับโดยชัดเจน การแลกเปลี่ยนคือความสดใหม่แบบเรียลไทม์ที่สมบูรณ์แบบไม่สามารถใช้ร่วมกับการทำงานออฟไลน์ที่สมบูรณ์แบบได้ ดังนั้นความสดใหม่ต้องกลายเป็นการตัดสินใจเชิงนโยบาย ไม่ใช่การพึ่งพาที่แน่วแน่
เผยแพร่แล้ว พฤษภาคม 04, 2026 • 11m ในการอ่าน
