Калифорния будет тестировать цифровые водительские права. Персональные данные в опасности?
Готовы ли калифорнийцы к еще одной новой версии водительских прав?
Последний — под названием «Настоящее удостоверение личности» — прошел примерно так же хорошо, как CNN+. По состоянию на апрель менее половины водителей штата получили его, хотя калифорнийцам потребуется настоящее удостоверение личности или паспорт, чтобы сесть в самолет или войти в федеральное здание через год. Прохладная реакция может быть связана с тем фактом, что эти удостоверения личности не предлагают водителям никаких новых преимуществ, а просто еще одно обязательство, отнимающее много времени.
Теперь Департамент транспортных средств штата планирует протестировать версию, называемую мобильным водительским удостоверением или цифровым удостоверением личности — удостоверением личности, хранящимся на вашем смартфоне. И в отличие от Real ID, мобильная лицензия может дать вам больший контроль над вашей личной информацией, хотя критики говорят, что плохо спроектированная система будет угрожать вашей конфиденциальности.
Луизиана, Колорадо и Аризона уже выпустили мобильные лицензии, а Юта их тестирует. Другие страны, включая Германию и Новую Зеландию, также создают системы цифровой идентификации. Тем не менее, по словам экспертов, технология все еще находится в зачаточном состоянии, и некоторые ее ключевые элементы еще не завершены.
Вот краткое изложение того, как будут работать мобильные лицензии, преимущества, которые они могут предоставить, и потенциальные недостатки.
В чем смысл?
Эрик Йоргенсен, директор автомобильного подразделения Аризоны, сказал в недавнем интервью, что цель состоит в том, чтобы повысить безопасность, конфиденциальность и удобство. «Речь идет не о балансировании одного против другого», — сказал он. «Это попытка сделать все три из них лучше».
Однако самый простой способ понять стремление к переменам — рассмотреть проблемы с обычными водительскими правами.
Террористы 11 сентября использовали полученные обманным путем государственные удостоверения личности для посадки в захваченные ими самолеты, поставив восклицательный знак на уязвимости физических удостоверений личности. События того дня побудили федеральное правительство принять в 2005 году Закон о реальном удостоверении личности, который установил более высокие стандарты разработки и выдачи лицензий. Цель заключалась в том, чтобы предотвратить подделку карт или их получение лицами, не являющимися законными жителями.
Однако Real ID не была панацеей. Хотя водяные знаки и другие особенности дизайна было трудно скопировать, их также было трудно распознать неопытным глазом. Вам почти нужно быть экспертом по безопасности, чтобы обнаружить их, сказал Йоргенсен.
И, как и все физические идентификаторы, обычные лицензии не очень помогают, когда дело доходит до проверки вашей личности в Интернете. Они не бесполезны — посмотрите, например, как ID.me использует лицензии и камеры смартфонов для проверки личности в Интернете. Но вам нужно пройти через множество обручей в Интернете, чтобы доказать, что используемое вами удостоверение личности действительно принадлежит вам, и этот процесс по-прежнему уязвим для мошенничества.
Еще одна проблема с физическими идентификационными картами заключается в том, что они могут передавать слишком много информации. Когда этот жуткий вышибала у дверей ночного клуба требует доказательств того, что вы достаточно взрослый, чтобы войти, вы не можете просто показать ему дату рождения на ваших правах. Вы должны показать ему все это, раскрывая свое имя и адрес в процессе. Фу. (И, как отмечает Йоргенсен, ничто не мешает вышибале сфотографировать все права, показанные у двери.)
Кроме того, информация, заламинированная на постоянное физическое удостоверение личности, сама по себе не всегда точна. И ничто на карте не будет сигнализировать о том, что на ней неверная информация; единственный способ проверить детали, такие как ваше настоящее имя и адрес, — это получить доступ к базе данных DMV.
И, наконец, даже защищенное от подделки обновленное удостоверение личности не может подтвердить, что рука, держащая его, принадлежит тому, кто его получил. На карточке есть информация, которую кассир или служащий может сверить с внешним видом человека, но вряд ли это надежная система проверки.
Чем отличается мобильная лицензия?
Недостатки водительских прав являются частью более крупной проблемы, связанной с тем, как люди отвечают на вопрос «Кто вы?» Это еще более серьезная проблема в Интернете, где за последнее десятилетие резко возросло количество краж личных данных. Потребность в чем-то более безопасном, чем удостоверения личности и повсеместная комбинация логина и пароля, вдохновила многочисленные компании и межотраслевые группы, такие как Better Identity Coalition и Fast Identity Online Alliance, на продвижение более надежных способов проверки личности.
В ответ мир технологий неуклонно смещается в сторону решений, основанных на «многофакторной аутентификации». Пароль — это один из факторов, который знаете только вы. Идентификационная карта — это тоже один из факторов — то, что у вас есть. Многофакторная аутентификация — это комбинация того, что вы знаете, что у вас есть и того, кем вы являетесь, например отпечатка пальца или сканирования лица.
Это подход, используемый мобильным приложением для получения водительских прав. Он использует биометрические возможности вашего смартфона (то, чем вы являетесь), чтобы привязать ваши мобильные водительские права или удостоверение личности к вашему устройству (то, что у вас есть). Для определенных целей вам может даже потребоваться пароль (что-то, что вы знаете).
Сторонники мобильных водительских прав говорят, что система, построенная на основе технического стандарта, опубликованного в прошлом году Международной организацией по стандартизации, устраняет все недостатки физических прав. Одно предостережение заключается в том, что стандарт ISO на данный момент распространяется только на личное использование; стандарты для онлайн-использования все еще находятся в разработке.
Представьте, например, что вы пытаетесь войти в ночной клуб с жутким вышибалой:
— Вы можете решить, позволить ли ему проверить вашу мобильную лицензию — он не может сделать этого без вашего разрешения. И вам не нужно передавать вышибале свой телефон, чтобы показать свое удостоверение личности; ваше лицензионное приложение будет обмениваться информацией с его устройством по беспроводной сети.
— Вы сами решаете, какие части информации из вашей лицензии следует раскрывать, а какие следует скрывать. Кроме того, лицензионное приложение может отвечать на некоторые вопросы «да/нет», поэтому оно может показать, достаточно ли вы взрослый, чтобы войти, не сообщая вышибале дату своего рождения.
— Система устроена таким образом, что никакая информация, которую вы раскрываете, не будет храниться на устройстве вышибалы.
— Мобильную лицензию вышибале тоже проще проверить. Вместо того, чтобы тщательно проверять вашу физическую лицензию на наличие водяных знаков или других функций защиты от подделок, его устройство будет использовать криптографические методы для подтверждения подлинности вашей лицензии.
— Оставили свой телефон в баре после того, как побаловали себя? Мобильная лицензия более защищена от кражи, чем ее физический аналог, благодаря биометрическим элементам управления на вашем телефоне. Кроме того, если ваш телефон потерян, вы можете попросить DMV отозвать вашу мобильную лицензию, сделав ее неработоспособной — в отличие от отозванной физической лицензии, которая ничем не отличается от действительной.
— Но допустим, вору каким-то образом удается разблокировать ваш телефон и лицензию на мобильную связь, а затем он пытается арендовать автомобиль с лицензией, прежде чем вы ее аннулируете. Когда вор передает данные мобильной лицензии агенту за прилавком, изображение, хранящееся вместе с ним, будет передано в электронном виде на устройство агента, чтобы он или она могли сравнить его с человеком, выдающим себя за вас.
— Еще одно преимущество: когда вы меняете свой адрес, вы можете немедленно обновить свою информацию. Точно так же, если ваши водительские права будут приостановлены или аннулированы, цифровая лицензия немедленно отразит это, но она продолжит функционировать как удостоверение личности.
Два штата, первыми выпустившие мобильные лицензионные приложения — Луизиана и Колорадо — действовали до того, как стандарт ISO был завершен, что ограничило совместимость их лицензий. На данный момент приложение Колорадо принимается государственными учреждениями и полицейскими, а Луизиана сотрудничает с государственными учреждениями, винными магазинами штата и другими пользователями приложения.
Чтобы обеспечить более широкое использование мобильных лицензий, American Assn. of Motor Vehicle Administrators, торговая группа должностных лиц DMV со всей страны, выпустила руководство по выдаче мобильных водительских удостоверений, основанное на стандарте ISO. И в соответствии с законом 2020 года Министерство внутренней безопасности США работает над способами электронной проверки удостоверений личности с использованием того же стандарта.
Администрация транспортной безопасности начала поддерживать основанные на стандартах мобильные лицензии в приложении Apple Wallet. По словам Йоргенсена, в некоторых аэропортах жители Аризоны с лицензией штата на мобильную связь могут пройти проверку TSA одним касанием своего устройства.
Государственные агентства в Аризоне также начинают принимать его мобильные водительские права для проверки заявителей на другие государственные лицензии и услуги, сказал Йоргенсен, добавив, что розничные торговцы и банки также выразили интерес к тому, как они могут внедрить эту технологию. По его словам, в первый год действия программы около 320 000 жителей Аризоны загрузили мобильное лицензионное приложение, а с марта около 60 000 человек ввели свой мобильный идентификатор в кошелек Apple. (В штате более 5,3 миллиона водителей с лицензией.)
Витторио Берточчи из Okta, чьи технологии помогают предприятиям проверять личность, сказал, что после двух десятилетий работы над вопросами идентификации «вероятно, впервые я вижу, что стандарты и технологии достаточно зрелые, чтобы дать хорошую основу, хороший фундамент». для мобильного идентификатора. «И я вижу желание и инвестиции со стороны правительств», — сказал Берточчи, главный архитектор компании.
Так что же может пойти не так?
Тот факт, что существует международный стандарт, не означает, что его используют все страны. Хотя США строят вокруг стандарта, Берточчи сказал, что европейские страны придерживаются другого подхода. По его словам, такие компании, как Okta, могут предоставить способы преодоления различий, чтобы системы цифровой идентификации могли взаимодействовать, но такая договоренность не может быть общепризнанной.
Также не у всех есть смартфон или планшет. Вот почему каждая мобильная лицензия, выпущенная в США до сих пор, была дополнением к физическому идентификатору, а не его заменой.
Более того, идея перехода от физических идентификаторов к цифровым вызывает беспокойство у некоторых защитников конфиденциальности. Среди прочего, они обеспокоены тем, что компании и правительства найдут способ использовать цифровые лицензии, чтобы отслеживать ваши передвижения и узнавать что-то о вашей личной жизни.
Конечно, вы оставляете цифровой след, когда используете кредитную карту или смартфон для оплаты вещей вне дома. Зато с водительскими правами на карте и кучей наличных в кошельке можно заниматься своими делами в относительной анонимности.
Билл Ламоро, представитель автомобильного подразделения Аризоны, сказал, что люди, разрабатывающие и внедряющие мобильные лицензии, решают эти проблемы.
«Mobile ID в том виде, в каком он реализован, передается от устройства к устройству, — сказал Ламоро. Другими словами, устройство, проверяющее ваш идентификатор, не подключается к DMV, поэтому оно не может вас отследить. «Как орган, выдавший лицензию, мы не знаем, когда и где они используются, как в случае с физической, пластиковой лицензией или удостоверением личности».
Тем не менее, Алексис Хэнкок, технический директор Electronic Frontier Foundation, сказала, что стандарт цифровых лицензий включает в себя возможность для приложения оставаться на связи с выдавшим его агентством, и «на самом деле он не решает, как ограничить это». .»
Джереми Грант, координатор Better Identity Coalition, сказал, что некоторые правительственные чиновники, особенно в правоохранительных органах, хотели бы использовать цифровые лицензии для отслеживания. И последствия могут быть серьезными: представьте, сказал Грант, если бы лицензии могли сообщать, когда женщина обращалась в клинику для абортов за пределами штата.
Но такое отслеживание невозможно в правильно спроектированной системе, сказал он. Каждая мобильная лицензия будет поставляться с зашифрованной цифровой подписью штата. Когда вы делитесь информацией из своей лицензии, проверяющее устройство только проверяет, действительна ли цифровая подпись — если да, то действительны ваш идентификатор и данные на нем. «Они могут получить ответ «да/нет», и государство не узнает, что это были вы», — сказал Грант.
Кроме того, основанная на стандартах мобильная лицензия не передает уникальный идентификатор при совместном использовании своих данных. Итак, опять же, нет никаких электронных следов, чтобы связать мобильный идентификатор, используемый в ночном клубе X или пивоварне Y, с человеком, которому он принадлежал.
По словам Хэнкок, прежде чем переходить к мобильным лицензиям, правительствам необходимо решить ряд проблем, которые могут возникнуть в случае размещения на смартфонах идентификаторов, заполненных конфиденциальной личной информацией. Например, спросила она, что произойдет, если гаишник или агент TSA потребуют, чтобы вы отдали свой разблокированный телефон для проверки личности, даже если они могут получить необходимую им информацию из вашей мобильной лицензии без вас? Какие существуют меры предосторожности против незаконного обыска вашего телефона?
Некоторые защитники конфиденциальности хотят распространить хранилище идентификационных данных в Интернете, используя блокчейн или другую технологию распределенного реестра, а не централизованно хранить их в одной государственной базе данных. Каждая часть идентификационной информации человека — имя, дата рождения, адрес, фотография и т. д. — будет храниться отдельно, чтобы ее можно было проверить независимо от других. Это снизит риск массовой утечки данных, а также гарантирует, что правительство не ведет учет того, где и когда используются цифровые идентификаторы.
Децентрализованный подход, известный как поддающиеся проверке учетные данные, изучается канадской провинцией Британская Колумбия и коалицией групп по всей Канаде. Законопроект сенатора штата Боба Херцберга (D-Van Nuys), SB 1190, требует от Калифорнии к 1 января 2024 года «обеспечить отраслевые стандарты и передовой опыт» в отношении выдачи поддающихся проверке учетных данных для физических и юридических лиц.
Грант сказал, что у его группы нет позиции по техническому вопросу о том, как хранятся учетные данные, а только то, что этот механизм должен сохранять конфиденциальность и быть безопасным. Но его личное мнение, по его словам, заключается в том, что подходы блокчейна «вводят некоторые очень сложные способы управления идентификацией и конфиденциальностью, которые будут подавлять среднего потребителя», например, требуя, чтобы люди «управляли другим закрытым [криптографическим] ключом для каждой точки данных.»
Он добавил: «Вы можете сохранить конфиденциальность и избежать отслеживания с помощью технологий, которые не требуют блокчейна, которые проще внедрить, проще использовать людям и которые лучше масштабируются».
Некоторые из наиболее либертарианских сторонников подхода с проверенными учетными данными хотят полностью отстранить правительство от бизнеса идентификации. Они заставят людей сертифицировать себя, хотя и каким-то поддающимся проверке способом. По словам Гранта, трудная задача для этой группы состоит в том, чтобы убедить банки, правительственные учреждения и других лиц принять «самосуверенные» требования, а не те, которые поддерживаются DMV или другим государственным учреждением.
Что делает Калифорния?
В прошлом году законодатели штата уполномочили DMV провести пробный запуск мобильных водительских прав и удостоверений личности, предоставив департаменту год на составление графика и сметы расходов на пилотный проект. На данный момент департамент все еще ведет переговоры с несколькими поставщиками о возможных подходах, при этом дата запуска каких-либо пилотных проектов не установлена, говорится в электронном письме департамента.
Департамент отказался сообщить, как он отреагирует на опасения, высказанные защитниками конфиденциальности. Но разрешительный закон, который законодатели включили в предварительный законопроект о бюджете на 2021–2022 годы, изложил ряд обязательных мер защиты для людей, участвующих в судебном процессе, в том числе:
— Без принудительного участия. В испытание будут включены только добровольцы, число которых ограничено 0,5% водителей с лицензией штата, или около 135 000 человек.
— Ваше приложение не отслеживает и не извлекает данные. Ваша цифровая лицензия или удостоверение личности и соответствующее мобильное приложение не могут собирать или хранить какую-либо информацию, кроме той, которая необходима для выполнения их заявленных функций, «включая, помимо прочего, любую информацию, связанную с перемещением или местоположением».
— Никаких скрытых проверок лицензии. Прежде чем ваше приложение для мобильного ID ответит на любой запрос информации, вам нужно будет одобрить выпуск любого объема информации.
— Никаких необоснованных обысков. Вас нельзя заставить передать свое устройство для подтверждения вашего удостоверения личности, а также вы не даете согласия на обыск вашего устройства, если вы используете его для подтверждения своего удостоверения личности.
— Дополнительные данные не предоставлены. Информация, которую может предоставить приложение, ограничена тем, что указано в ваших физических водительских правах или удостоверении личности.
В конечном счете, успех мобильной лицензии будет зависеть от того, насколько широко она будет принята не только водителями, но и всеми, кто запрашивает ваше удостоверение личности. По словам Йоргенсена, существует небольшая проблема курицы и яйца, потому что у компаний нет особого стимула создавать приложения, поддерживающие мобильные идентификаторы, если их использует мало людей, а у штатов и их жителей не будет особого стимула для внедрения мобильных устройств. Идентификаторы, если не так много мест, которые их принимают.
Тем не менее, существует множество других факторов, вызывающих интерес к цифровым идентификаторам со стороны правительств штатов и предприятий, особенно национальных. И миллионы американцев уже ощутили, как их смартфоны можно использовать для проверки личных данных — они использовали их в течение последнего года, чтобы подтвердить свой прививочный статус.
Тем не менее, еще предстоит пройти долгий путь в отношении мобильных водительских прав, и еще предстоит ответить на основные вопросы о том, где будут храниться учетные данные, удостоверяющие личность, и как личность будет проверяться в Интернете. При нынешних темпах, по словам Гранта, мобильным идентификаторам потребуется от 10 до 15 лет, чтобы достичь критической массы.
Калифорнийцы, вероятно, получат доступ к одному задолго до этого. Но DMV является агентством, отвечающим за эту работу, так что ждать бренд придется долго.
