Google arbeitet daran, die digitalen Treiberlizenzen in Android sicher zu speichern

Update 1 (06.03.19, 20:44 Uhr ET) : Weitere Informationen zu Googles Plänen für die IdentityCredential-API wurden von Shawn Willden, dem von Android-Hardware unterstützten Sicherheitsteamleiter, geteilt. Der Artikel wurde am Ende mit diesen Angaben aktualisiert. Es folgt der Originalartikel.

Das Tragen einer Brieftasche ist für mich nicht mehr so ​​wichtig, seit ich meine Kreditkarten mit Google Pay verwalte. Ohne meinen Führerschein kann ich jedoch nicht überall hin reisen. Ich kenne ein paar Leute, die Brieftaschen verwenden, um die wenigen Karten aufzubewahren, die sie bei sich tragen müssen, aber ich warte auf den Tag, an dem ich legal mit meinem Handy zu Walmart fahren kann. Ein digitaler Führerschein bietet mehrere Vorteile gegenüber dem herkömmlichen Personalausweis. Sie können es nicht verlieren, Sie können es aus der Ferne aktualisieren, damit Sie nicht an der DMV anstehen müssen. Sie können es aus der Ferne löschen, wenn Ihr Telefon gestohlen wird. Es ist weniger wahrscheinlich, dass Ihre Identität gestohlen wird, seit Sie es nicht mehr verwenden Sie müssen keine Brieftasche mit leicht zugänglichen Informationen bei sich haben, lassen Ihr Telefon seltener zu Hause und können es auf Anfrage leichter aufrufen. Die Behörden in den USA erkennen langsam die Vorteile eines mobilen Führerscheins, weshalb jedes Jahr mehr US-Bundesstaaten ihre Einführung testen.

Einwohner von Louisiana können beispielsweise die von Envoc entwickelte LA Wallet-App herunterladen, die von den Strafverfolgungsbehörden von LA für die Lizenzüberprüfung und dem ATC von LA für Alkohol- und Tabaktransaktionen genehmigt wurde. Die Altersüberprüfung ist besonders interessant, da Benutzer die mobile App so beschränken können, dass nur einem Anbieter von Alkohol oder Tabak die erforderlichen Informationen angezeigt werden. An anderer Stelle arbeitet das digitale Sicherheitsunternehmen Gemalto mit Colorado, Idaho, Maryland, Washington DC und Wyoming zusammen, um Pilotprogramme durchzuführen, bevor es seine digitale Führerscheinlösung einführt. Gleichzeitig arbeitet die American Association of Motor Vehicle Administrators daran, diese neue Form der elektronischen Identifizierung zu standardisieren.

Ein Beispielbild eines digitalen Führerscheins, auf den über die LA Wallet-App zugegriffen werden kann. Quelle: Envoc

Der digitale Führerschein hat jedoch auch Nachteile. Sie haben viel Kontrolle darüber, wer Ihre physische ID sehen darf, aber Sie haben weniger Kontrolle darüber, wer oder was Zugriff auf die digitalisierte Form hat. Sie können Ihr Telefon oder die App, über die Ihre Handylizenz abgerufen wird, mit einem Kennwort oder einer PIN schützen. Es besteht jedoch immer die Möglichkeit, dass Ihr Telefon und alle seine Daten beschädigt werden. Außerdem müssen Sie sicherstellen, dass Ihr Telefon über genügend Saft verfügt, damit Android weiterhin ausgeführt werden kann, damit Sie die Lizenz abrufen können. Mit der IdentityCredential-API arbeitet Google an der Lösung dieser beiden Probleme. In einer zukünftigen Version von Android, möglicherweise Android R, können Geräte mit der richtigen Hardware Ausweiskarten, insbesondere digitale Führerscheine, sicher speichern und auch dann darauf zugreifen, wenn das Gerät nicht über genügend Strom verfügt, um Android zu starten.

IdentityCredential API

Auf den ersten Blick scheint das von Shawn Willden, dem Leiter des Hardware-gestützten Keystore-Teams von Android, eingereichte Commit nicht sehr interessant zu sein. Wenn Sie jedoch die Dateien IdentityCredential und IdentityCredentialStore anzeigen, finden Sie mehrere Verweise darauf, auf welche Arten von "Identitätsnachweisen" sich Google bezieht. Beispielsweise verwendet IdentityCredential ein Protokoll für den Austausch von Schlüsseln, das „vom ISO-Standard 18013-5 für mobile Führerscheine verwendet wird“. Darüber hinaus wird dieses Protokoll als „Grundlage für die fortlaufende ISO-Arbeit an anderen standardisierten Identitätsnachweisen“ verwendet, obwohl dies unwahrscheinlich ist Wir werden bald mobile Pässe sehen. Es ist klar, dass diese API nicht nur für mobile Führerscheine gedacht ist.

Google geht näher auf die Arten von Signaturschlüsseln ein, die von der IdentityCredential-API unterstützt werden. Es gibt zwei Arten der Datenauthentifizierung: statische und dynamische. Die statische Authentifizierung umfasst Schlüssel, die von einer ausstellenden Behörde erstellt wurden, während die dynamische Authentifizierung Schlüssel umfasst, die von der Sicherheitshardware des Geräts erstellt wurden (z. B. der Titan M in Pixel 3 und Pixel 3 XL). Der Vorteil der dynamischen Authentifizierung besteht darin, dass es für einen Angreifer schwieriger ist, diese Authentifizierung durchzuführen Kompromittieren Sie die sichere Hardware, um den Berechtigungsnachweis auf ein anderes Gerät zu kopieren. Darüber hinaus erschwert die dynamische Authentifizierung die Verknüpfung eines bestimmten Berechtigungsnachweises mit den Daten eines Benutzers.

Eine Android-App kann einem Leser einen Identitätsnachweis präsentieren, indem der Benutzer aufgefordert wird, eine drahtlose Verbindung über NFC herzustellen. Es wird empfohlen, dass Apps diese Transaktionen schützen, indem sie die Benutzererlaubnis in Form eines Dialogs und / oder eines Kennwortschutzes anfordern.

Wenn ein Gerät über die unterstützte Hardware verfügt, steht der Direktzugriffsmodus zur Verfügung, mit dem ein IdentityCredential angezeigt werden kann, auch wenn nicht genügend Strom vorhanden ist, um Android am Laufen zu halten. Dies ist nur möglich, wenn das Gerät über diskrete sichere Hardware verfügt und über genügend Strom verfügt, um diese Hardware zu betreiben und die Anmeldeinformationen über NFC gemeinsam zu nutzen. Geräte wie Google Pixel 2 und Google Pixel 3 sollten in Frage kommen, da beide Geräte über manipulationssichere Sicherheitsmodule verfügen, die vom Haupt-SoC getrennt sind.

Wenn das Gerät nicht über eine diskrete sichere CPU verfügt, kann es die IdentityCredential-API weiterhin unterstützen, allerdings ohne direkte Zugriffsunterstützung. Wenn der Speicher für Anmeldeinformationen nur in Software implementiert ist, kann er durch einen Angriff auf den Kernel gefährdet werden. Wenn der Anmeldeinformationsspeicher im TEE implementiert ist, kann er durch Seitenkanalangriffe auf die CPU wie Meltdown und Spectre gefährdet werden. Wenn der Speicher für Anmeldeinformationen in einer separaten CPU implementiert ist, die in dasselbe Paket wie die Haupt-CPU eingebettet ist, ist er resistent gegen physische Hardwareangriffe, kann jedoch nicht ohne Stromversorgung der Haupt-CPU mit Strom versorgt werden.

Die Vertraulichkeit des Dokuments bestimmt, ob eine oder mehrere dieser Speicherimplementierungen für Identitätsanmeldeinformationen unterstützt werden. Entwickler können die Sicherheitszertifizierung der Implementierung des Identitätsanmeldeinformationsspeichers überprüfen. Speicherimplementierungen für Identitätsanmeldeinformationen können unsicher sein oder eine Bewertungssicherheitsstufe von 4 oder höher aufweisen. Die EAL teilt App-Entwicklern mit, wie sicher die Implementierung gegen potenzielle Angriffe ist.

Wie bereits erwähnt, beabsichtigt Google, diese API für alle standardisierten Dokumenttypen zu verwenden, obwohl sie als Beispiel den ISO 18013-Führerschein für Mobilgeräte aufführt. Der Dokumenttyp ist erforderlich, damit die Sicherheitshardware weiß, um welche Art von Berechtigung es sich handelt, wenn der Direktzugriffsmodus unterstützt werden soll, und damit Apps wissen können, welche Art von Dokument ein Leser anfordert.

Das sind alle Informationen, die wir bisher zu dieser neuen API haben. Da wir so kurz vor der Veröffentlichung der ersten Android Q Developer Preview stehen, werden wir wahrscheinlich keine Unterstützung für das sichere Speichern von Führerscheinen für Handys in Android Q finden. Diese API könnte jedoch zu dem Zeitpunkt verfügbar sein, an dem Android verfügbar ist R wird 2020 eingeführt. Google Pixel 2, Google Pixel 3 und das kommende Google Pixel 4 sollten diese API mit Direktzugriffsmodus in Android R unterstützen, da sie über die erforderliche diskrete sichere CPU verfügen. Wir werden Sie informieren, wenn wir weitere Informationen darüber erhalten, was Google mit dieser API vorhat.


Update 1: Weitere Details zur IdentityCredential-API

Shawn Willden, der Autor des IdentityCredential-API-Commits, gab in den Kommentaren weitere Details zum API bekannt. Er beantwortete einige Kommentare von Nutzern, die wir unten wiedergeben werden:

Benutzer Munnimi erklärte:

"Und wenn die Polizei Ihr Telefon nimmt und zum Polizeiauto fährt, können sie überprüfen, was im Telefon ist."

Herr Willden antwortete:

„Das ist etwas, woran ich gerade arbeite, um es unmöglich zu machen. Der Ablauf soll so strukturiert werden, dass der Beamte Ihr Telefon nicht sinnvoll mitnehmen kann. Die Idee ist, dass Sie den NFC-Tipp mit dem Telefon des Amtsträgers ausführen, dann mit Fingerabdruck / Passwort entsperren und dann in den Sperrmodus wechseln, während die Daten über Bluetooth / Wifi übertragen werden. Der Sperrmodus bedeutet, dass die Fingerabdruckauthentifizierung die Sperre nicht aufhebt. Es ist ein Kennwort erforderlich. Englisch: www.germnews.de/archive/dn/1996/03/22.html Dies ist speziell dazu gedacht, die Inanspruchnahme des fünften Änderungsschutzes gegen Selbstbeschuldigung zu erzwingen, der nach Ansicht einiger Gerichte die Polizei nicht daran hindert, Sie mit biometrischen Daten zu entsperren, aber alle sind sich einig, dass sie Sie nicht zur Eingabe Ihres Passworts zwingen (zumindest im Internet) UNS).

Beachten Sie, dass dies ein Anspruch und keine Verpflichtung ist. Die Möglichkeiten, wie wir Identity-App-Entwicklern den Fluss erzwingen können, sind begrenzt. Wenn wir zu weit gehen, können sie sich einfach dafür entscheiden, unsere APIs nicht zu verwenden. Was wir aber tun können, ist, es ihnen einfacher zu machen, das richtige, datenschutzrelevante Ding zu machen. “

Benutzer RobboW erklärte:

„Das ist in Australien nutzlos. Wir müssen während der Fahrt unseren physischen, amtlichen Führerschein mitführen. Eine digitale Kopie ist nur reif für Identitätsdiebstahl. “

Herr Willden antwortete:

„Australien nimmt aktiv am ISO 18013-5-Ausschuss teil und ist sehr an der Unterstützung mobiler Führerscheine interessiert. Was Identitätsdiebstahl angeht, gibt es eine Menge Schutzmaßnahmen gegen diesen Diebstahl. In dem Artikel werden einige davon erwähnt. “

User solitarios.lupus erklärte:

„Wenn man bedenkt, was auf dieser Website passiert, weiß wohl jeder, dass dies nicht funktionieren wird und ein großes Sicherheitsproblem für die Strafverfolgung darstellt. Leicht zu fälschen, zu fälschen und zu manipulieren. “

Herr Willden antwortete:

„Eine vollständige Fälschung wird so gut wie unmöglich sein, da alle Daten digital signiert sind. Das Fälschen eines Berechtigungsnachweises würde das Fälschen der digitalen Signatur erfordern, was entweder einen radikalen Bruch der relevanten Kryptographie erfordert (was TLS und so ziemlich alles andere zerstören würde) oder das Stehlen der Signaturschlüssel der ausstellenden Behörde. Selbst eine Änderung, bei der einige signierte Datenelemente von einem DL (z. B. ein Geburtsdatum, aus dem hervorgeht, dass Sie über 21 Jahre alt sind) und einige von einem anderen (z. B. Ihr echtes Foto) stammen, ist nicht möglich, da die Signierung das gesamte Dokument abdeckt und alle Elemente bindet zusammen."

Benutzermarke angegeben:

„Wenn eine Fotokopie niemals als Ausweis gültig war, warum macht es dann einen Unterschied, wenn man telefoniert? Selbst wenn Google verspricht, es sicher zu machen, wie verhindert das, dass jemand eine gefälschte Anwendung anzeigt?

Auch wenn es darauf keine Antworten gibt, halte ich es aus den in diesem Artikel genannten Gründen für eine gute Sache. Ich möchte es für Pässe - nicht unbedingt für Reisen, sondern für andere Fälle, in denen ein Personalausweis erforderlich ist (ich fahre nicht, daher ist mein Reisepass mein einziger Personalausweis).

Natürlich würde ich es auch vorziehen, wenn Großbritannien nicht zu einer Gesellschaft mit „Papieren bitte“ würde, in der in einigen Fällen ein Pass gescannt werden muss, um in eine Kneipe zu gehen… “

Herr Willden antwortete:

„Digitale Signaturen machen es sicher. Sie können eine gefälschte Anwendung haben, sie kann jedoch keine ordnungsgemäß signierten Daten produzieren.

Pässe sind auch sehr im Umfang für diese Arbeit, Übrigens. Führerscheine sind der Ausgangspunkt, aber die Protokolle und die Infrastruktur werden sorgfältig entwickelt, um eine Vielzahl von Identitätsnachweisen zu unterstützen, insbesondere Reisepässe. Natürlich müssen wir die ICAO von diesem Ansatz überzeugen, aber ich denke, das ist sehr wahrscheinlich. “


Vielen Dank an den anerkannten Entwickler luca020400 für den Tipp!