Publicado por David Zeuthen, Shawn Willden y René Mayrhofer, equipo de seguridad y privacidad de Android
En los Estados Unidos y otros países, la licencia de conducir no solo se usa para transmitir privilegios de conducir, sino que también se usa comúnmente para probar la identidad o los datos personales.
Presentar una licencia de conducir es sencillo, ¿verdad? Entregue la tarjeta a la persona que desee confirmar su identidad (la llamada “Fiesta segura“o”Verificador“); verifican las características de seguridad de la tarjeta plastificada (holograma, microimpresión, etc.) para asegurarse de que no sea falsificada; verifican que realmente sea su licencia, asegurándose de que se parezca a la imagen del retrato impresa en la tarjeta; y leen los datos están interesados, por lo general, en su edad, nombre legal, dirección, etc. Finalmente, el verificador debe devolver la tarjeta plástica.
La mayoría de las personas están tan familiarizadas con este proceso que no lo piensan dos veces ni consideran las implicaciones de privacidad. A continuación, analizaremos cómo la próxima nueva norma ISO 18013-5 mejorará casi todos los aspectos del proceso y qué tiene que ver con Android.
El estándar ISO 18013-5 “Solicitud de licencia de conducir móvil (mDL)” fue redactado por un grupo diverso de personas que representan a emisores de licencias de conducir (por ejemplo, gobiernos estatales en los Estados Unidos), partes dependientes (gobiernos federal y estatal, incluidas las fuerzas del orden), universidades, industria (incluido Google) y muchos más. Esta norma ISO permite la construcción de aplicaciones para la licencia de conducir móvil (mDL) que los usuarios pueden llevar en su teléfono y pueden usar en lugar de la tarjeta de plástico.
En lugar de entregar su tarjeta de plástico, abra la aplicación mDL en su teléfono y presione un botón para compartir su mDL. El Verificador (también conocido como “Relying Party”) tiene su propio dispositivo con una aplicación de lectura mDL y escanea un código QR que se muestra en su aplicación mDL o realiza un toque NFC. El código QR (o NFC touch) transmite una clave pública criptográfica efímera y una dirección de hardware a la que puede conectarse el lector mDL.
Una vez que el lector mDL obtiene la clave de cifrado, crea su propio par de claves efímeras y establece un canal inalámbrico seguro y cifrado (BLE, Wifi Aware o NFC). El lector mDL utiliza este canal seguro para solicitar datos, como su imagen de retrato o qué tipos de vehículos puede conducir, y también se puede utilizar para hacer preguntas más abstractas como “¿el propietario tiene más de 18 años?”
Básicamente, la aplicación mDL puede pedirle al usuario que apruebe qué datos publicar y puede requerir que el usuario se autentique con su huella dactilar o rostro, lo que nunca podría hacer una tarjeta de plástico pasiva.
Con esta explicación en mente, veamos cómo se compara la presentación de una solicitud de MDL con la presentación de una licencia de conducir con tarjeta de plástico:
- Su teléfono no tiene que ser entregado al verificador, a diferencia de su tarjeta de plástico. El primer paso, que requiere un contacto más cercano con el verificador para escanear el código QR o tocar el lector NFC, es seguro desde una perspectiva de privacidad de datos y no revela ninguna información de identificación al verificador. Para mayor protección, las aplicaciones mDL tendrán la capacidad de solicitar la autenticación del usuario antes de liberar datos y luego poner inmediatamente el teléfono en modo de bloqueo, para garantizar que si el verificador toma el dispositivo no puede obtener información fácilmente. De eso.
- Todos los datos están firmados criptográficamente por la autoridad emisora. (por ejemplo, el DMV que emitió el mDL) y la aplicación del verificador validan automáticamente la autenticidad de los datos transmitidos por el mDL y se niega a mostrar datos no auténticos. Esto es mucho más seguro que los hologramas y las microimpresiones que se usan en las tarjetas de plástico, donde la verificación requiere una capacitación especial que la mayoría de los verificadores (humanos) no reciben. Con la mayoría de las tarjetas de plástico, las tarjetas de identificación falsas son relativamente fáciles de crear, especialmente en un contexto internacional, lo que pone en riesgo la identidad de todos.
- La cantidad de datos presentados por el mDL se minimiza – solo se publican los datos que el usuario decide divulgar, explícitamente a través de avisos o implícitamente, por ejemplo, mediante la aprobación previa y la configuración del usuario. Esto minimiza el potencial de uso indebido de datos y aumenta la seguridad personal de los usuarios.
Por ejemplo, cualquier cantinero que verifique su mDL con el único propósito de verificar que tiene la edad suficiente para comprar una bebida solo necesita un dato único, que es si el propietario es, por ejemplo, mayor de 21 años, sí o no. En comparación con la tarjeta de plástico, esta es una gran mejora; muestra una tarjeta de plástico todas sus datos incluso si el verificador no los necesita.
Además, toda esta información está disponible a través de un código de barras 2D en la parte posterior, por lo que si usa su licencia de conducir con tarjeta de plástico para comprar cerveza, tabaco u otros artículos restringidos en una tienda, es común en algunos estados que el cajero escanee su licencia. En algunos casos, esto significa que puede recibir anuncios por correo, pero pueden vender su información de identificación al mejor postor o, en el peor de los casos, filtrar toda la base de datos.
Estas son algunas de las razones por las que creemos que mDL es una gran ventaja para los usuarios finales en términos de privacidad.
Una característica común entre las licencias de conducir con tarjeta de plástico y el mDL es la forma en que la parte que confía verifica que la persona que presenta la licencia es el titular autorizado. En ambos casos, el verificador compara manualmente la apariencia del individuo con un retrato fotográfico, ya sea impreso en plástico o transmitido electrónicamente, y la investigación ha demostrado que es difícil para las personas relacionar extraños con imágenes de retratos.
La versión inicial de ISO 18013-5 no mejorará esto, pero el comité de ISO que trabaja en el estándar ya está investigando formas de usar sensores biométricos en el dispositivo para realizar esta comparación de manera segura y protegida de la privacidad. La esperanza es que una mayor fidelidad en el proceso ayude a reducir el uso no autorizado de documentos de identidad.
A través de servicios como Keystore basado en hardware, Android ya ofrece un excelente soporte para aplicaciones sensibles a la seguridad y la privacidad y, de hecho, ya es posible implementar el estándar ISO 18013-5 en Android sin más cambios en la plataforma. Muchas organizaciones que participan en el comité ISO ya han implementado aplicaciones de Android 18013-5.
Dicho esto, con soporte específico en el sistema operativo es posible brindar mejores propiedades de seguridad y privacidad. Android 11 incluye API de credenciales de identidad a nivel de marco junto con una interfaz de capa de abstracción de hardware que los OEM de Android pueden implementar para habilitar la compatibilidad con credenciales de identidad en hardware seguro. Al utilizar la API de credenciales de identidad, la base informática de confianza de las aplicaciones mDL no incluye la aplicación e incluso el propio Android. Esto será particularmente importante para versiones futuras en las que el verificador debe confiar en el dispositivo para identificar y autenticar al usuario, por ejemplo, mediante huellas dactilares o comparación facial en el dispositivo del titular. Es probable que esta solución requiera hardware y / o software certificados, y la certificación no es práctica si la TCB incluye los cientos de millones de líneas de código en Android y el kernel de Linux.
Una ventaja de las tarjetas de plástico es que no requieren alimentación ni comunicación de red para ser útiles. Poner todas las licencias en el teléfono puede parecer un inconveniente en los casos en que la batería del dispositivo está baja o no tiene suficiente duración para arrancar. La credencial de identidad de Android HAL proporciona soporte para un modo llamado Acceso directo, donde la licencia aún está disponible a través de un toque NFC incluso cuando la batería del teléfono está demasiado baja para iniciarlo. Los fabricantes de dispositivos pueden implementar este modo, pero requerirá soporte de hardware que tardará varios años en lanzarse.
Para dispositivos sin credenciales de identidad HAL, tenemos un Android Jetpack que implementa la misma API y funciona en casi todos los dispositivos Android del mundo (API nivel 24 o posterior). Si el dispositivo tiene soporte para credenciales de identidad respaldadas por hardware, este Jetpack simplemente reenvía las llamadas a la API de la plataforma. De lo contrario, se utilizará una implementación compatible con Android Keystore. Si bien la implementación compatible con Android Keystore no proporciona el mismo nivel de seguridad y privacidad, es perfectamente adecuada tanto para los titulares de tarjetas como para los emisores en los casos en que todos los datos están firmados por el emisor. Por esta razón, Jetpack es la mejor manera de utilizar la API de credenciales de identidad. También hemos puesto a disposición aplicaciones de código abierto de muestra mDL y mDL Reader utilizando la API de credenciales de identidad.
Android ahora incluye API para administrar y presentar documentos de identidad de una manera más segura y centrada en la privacidad de lo que era posible anteriormente. Estos se pueden usar para implementar los mDL ISO 18013-5, pero las API son lo suficientemente genéricas como para ser utilizables para otros tipos de documentos electrónicos, desde la identificación de la escuela o las tarjetas del club del programa de bonificación hasta los pasaportes.
Además, el equipo de seguridad y privacidad de Android participa activamente en los comités ISO donde se escriben estos estándares y también trabaja con grupos de libertades civiles para garantizar que impacte positivamente a nuestros usuarios finales.