Google sedang bekerja menyimpan SIM Digital di Android dengan aman

Pembaruan 1 (3/6/19 @ 8:44 PM ET) : Rincian lebih lanjut tentang rencana Google untuk API IdentityCredential telah dibagikan oleh Shawn Willden, pemimpin tim keamanan yang didukung perangkat keras Android. Artikel ini telah diperbarui dengan rincian ini di bagian akhir. Artikel asli berikut.

Membawa dompet menjadi kurang penting bagi saya sejak saya mulai menggunakan Google Pay untuk mengelola kartu kredit saya, tetapi masih tidak ada cara saya bisa bepergian ke mana pun tanpa SIM. Saya tahu beberapa orang yang menggunakan kasing dompet untuk memegang beberapa kartu yang harus mereka bawa pada orang mereka, tetapi saya menunggu hari ketika saya dapat secara legal pergi ke Walmart hanya dengan telepon saya. Lisensi pengemudi digital menawarkan banyak keunggulan dibandingkan kartu ID tradisional. Anda tidak dapat kehilangan itu, Anda dapat memperbaruinya dari jarak jauh sehingga Anda tidak harus mengantri di DMV, Anda dapat menghapusnya dari jarak jauh jika ponsel Anda dicuri, Anda cenderung tidak akan mencuri identitas Anda karena Anda tidak Anda perlu membawa dompet dengan informasi yang mudah diakses, Anda cenderung tidak meninggalkan telepon di rumah, dan Anda akan lebih mudah membawanya sesuai permintaan. Pihak berwenang di seluruh AS perlahan-lahan mengakui manfaat dari SIM, itulah sebabnya kami mendengar lebih banyak negara bagian AS menguji adopsi mereka setiap tahun.

Misalnya, penduduk Louisiana dapat mengunduh aplikasi LA Wallet yang dikembangkan Envoc yang telah disetujui oleh penegak hukum LA untuk verifikasi lisensi dan ATC LA untuk transaksi alkohol dan tembakau. Verifikasi usia sangat menarik karena pengguna dapat membatasi aplikasi seluler hanya untuk menampilkan informasi yang diperlukan untuk vendor alkohol atau tembakau. Di tempat lain, perusahaan keamanan digital Gemalto bermitra dengan Colorado, Idaho, Maryland, Washington DC, dan Wyoming untuk menjalankan program percontohan sebelum meluncurkan solusi SIM digital mereka. Pada saat yang sama, Asosiasi Administrator Kendaraan Bermotor Amerika sedang berupaya untuk menstandarkan bentuk identifikasi elektronik baru ini.

Contoh gambar SIM digital yang diakses melalui aplikasi LA Wallet. Sumber: Envoc

Namun, ada kelemahan pada SIM digital. Anda memiliki banyak kendali atas siapa yang dapat melihat ID fisik Anda, tetapi Anda kurang memiliki kendali atas siapa atau apa yang memiliki akses ke formulir digitalnya. Anda dapat kata sandi atau PIN melindungi ponsel Anda atau aplikasi yang menarik lisensi seluler Anda, tetapi selalu ada kemungkinan bahwa ponsel Anda dan semua datanya dapat dikompromikan. Plus, Anda harus memastikan ponsel Anda memiliki cukup jus untuk menjaga Android tetap berjalan sehingga Anda dapat menarik lisensi. Dengan API IdentityCredential, Google sedang bekerja untuk menyelesaikan kedua masalah ini. Dalam versi Android masa depan, mungkin Android R, perangkat dengan perangkat keras yang tepat akan dapat menyimpan kartu pengenal dengan aman, terutama lisensi driver digital, dan bahkan mengaksesnya ketika perangkat tidak memiliki cukup kekuatan untuk mem-boot Android.

API IdentityCredential

Sekilas, komit yang diajukan oleh Shawn Willden, Ketua Tim Keystore yang didukung Perangkat Keras Android, tampaknya tidak terlalu menarik. Namun, jika Anda melihat file IdentityCredential dan IdentityCredentialStore, Anda akan menemukan banyak referensi untuk jenis "kredensial identitas" apa yang dirujuk oleh Google. Misalnya, IdentityCredential menggunakan protokol pertukaran kunci yang "digunakan oleh standar ISO18013-5 untuk lisensi mengemudi seluler". Lebih lanjut, protokol ini digunakan sebagai "dasar untuk pekerjaan ISO yang sedang berjalan pada kredensial identitas standar lainnya." kita akan melihat paspor seluler dalam waktu dekat, jelas bahwa API ini ditujukan untuk lebih dari sekadar lisensi mengemudi seluler.

Menggali lebih dalam, Google menguraikan jenis-jenis kunci penandatanganan yang didukung oleh IdentityCredential API. Ada dua jenis otentikasi data: statis dan dinamis. Otentikasi statis melibatkan kunci yang dibuat oleh otoritas penerbit, sedangkan otentikasi dinamis melibatkan kunci yang dibuat oleh perangkat keras keamanan perangkat (seperti Titan M di Pixel 3 dan Pixel 3 XL.) Manfaat otentikasi dinamis adalah lebih sulit bagi penyerang untuk melakukan kompromi perangkat keras yang aman untuk menyalin kredensial ke perangkat lain. Selain itu, otentikasi dinamis mempersulit untuk menautkan kredensial tertentu dengan data pengguna.

Aplikasi Android dapat menghadirkan IdentityCredential kepada pembaca dengan meminta pengguna untuk memulai koneksi nirkabel melalui NFC. Aplikasi disarankan untuk menjaga transaksi ini dengan meminta izin pengguna dalam bentuk dialog dan / atau perlindungan kata sandi.

Jika suatu perangkat memiliki perangkat keras yang didukung, mode "akses langsung" akan tersedia untuk memungkinkan IdentityCredential disajikan walaupun tidak ada daya yang cukup untuk menjaga Android tetap berjalan. Ini hanya dimungkinkan bila perangkat memiliki perangkat keras yang terpisah dan daya yang cukup untuk mengoperasikan perangkat itu untuk membagikan kredensial melalui NFC. Perangkat seperti Google Pixel 2 dan Google Pixel 3 harus memenuhi syarat karena kedua perangkat memiliki modul keamanan tahan-rusak yang terpisah dari SoC utama.

Jika perangkat tidak memiliki CPU aman yang terpisah, ia masih dapat mendukung API IdentityCredential meskipun tanpa dukungan akses langsung. Jika toko kredensial hanya diimplementasikan dalam perangkat lunak, itu dapat dikompromikan oleh serangan pada kernel. Jika toko kredensial diimplementasikan di TEE, itu dapat dikompromikan oleh serangan sisi-saluran pada CPU seperti Meltdown dan Specter. Jika toko kredensial diimplementasikan dalam CPU terpisah tertanam dalam paket yang sama dengan CPU utama, itu tahan terhadap serangan perangkat keras fisik tetapi tidak dapat diaktifkan tanpa juga menyalakan CPU utama.

Sensitivitas dokumen akan menentukan apakah satu atau lebih implementasi toko kredensial identitas ini akan didukung. Pengembang dapat memeriksa sertifikasi keamanan implementasi toko kredensial identitas. Implementasi toko kredensial identitas dapat tidak bersertifikat atau memiliki Tingkat Jaminan Evaluasi 4 atau lebih besar. EAL memberi tahu pengembang aplikasi seberapa aman penerapannya terhadap potensi serangan.

Seperti yang saya sebutkan sebelumnya, Google bermaksud agar API ini digunakan untuk semua jenis dokumen standar, meskipun mereka mencantumkan lisensi mengemudi seluler ISO 18013 sebagai contoh. Jenis dokumen diperlukan sehingga perangkat keras keamanan tahu jenis kredensial apa itu jika mode akses langsung harus didukung, dan untuk memungkinkan aplikasi mengetahui jenis dokumen apa yang diminta oleh pembaca.

Itu semua informasi yang kami miliki sejauh ini tentang API baru ini. Karena kita sudah sangat dekat dengan rilis Pratinjau Pengembang Q Android pertama, saya tidak berpikir kemungkinan kita akan melihat dukungan untuk menyimpan dengan aman lisensi pengemudi seluler di Android Q. Namun, API ini bisa siap pada saat Android R diluncurkan pada tahun 2020. Google Pixel 2, Google Pixel 3, dan Google Pixel 4 yang akan datang harus mendukung API ini dengan mode akses langsung di Android R, berkat adanya CPU aman terpisah yang diperlukan. Kami akan memberi tahu Anda jika kami mempelajari lebih banyak informasi tentang apa yang akan dilakukan Google dengan API ini.


Pembaruan 1: Rincian lebih lanjut tentang API IdentityCredential

Shawn Willden, penulis berkomitmen API IdentityCredential, berbagi rincian tambahan tentang API di bagian komentar. Dia menjawab beberapa komentar dari pengguna, yang akan kami reproduksi di bawah ini:

Pengguna Munnimi menyatakan:

"Dan ketika polisi mengambil telepon Anda dan pergi ke mobil polisi, mereka dapat memeriksa apa yang ada di telepon."

Mr. Willden menjawab:

“Itu adalah sesuatu yang secara khusus aku usahakan untuk membuatnya menjadi tidak mungkin. Tujuannya adalah untuk menyusun alur sehingga petugas tidak dapat mengambil telepon Anda dengan berguna. Idenya adalah bahwa Anda melakukan keran NFC dengan telepon petugas, lalu membuka kunci dengan sidik jari / kata sandi, kemudian ponsel Anda masuk ke mode penguncian sementara data ditransfer melalui bluetooth / Wifi. Mode penguncian berarti bahwa otentikasi sidik jari tidak akan membukanya, kata sandi diperlukan. Ini secara khusus untuk memaksa permohonan perlindungan amandemen kelima terhadap tuduhan diri sendiri, yang menurut beberapa pengadilan tidak mencegah polisi memaksa Anda membuka kunci dengan biometrik, tetapi semua orang setuju mencegah mereka memaksa Anda memberikan kata sandi (setidaknya di KAMI).

Perhatikan bahwa itu adalah aspirasi, bukan komitmen. Cara-cara di mana kita dapat memaksa aliran pada pengembang aplikasi identitas terbatas, karena jika kita melangkah terlalu jauh mereka hanya dapat memilih untuk tidak menggunakan API kami. Tapi yang bisa kita lakukan adalah membuatnya lebih mudah untuk melakukan hal yang benar, sensitif privasi, hal. ”

Pengguna RobboW menyatakan:

“Ini tidak berguna di Australia. Kita diharuskan memiliki SIM fisik kami yang resmi saat mengemudi. Salinan digital sudah matang untuk pencurian identitas. ”

Mr. Willden menjawab:

“Australia adalah peserta aktif dalam komite ISO 18013-5, dan sangat tertarik mendukung lisensi mengemudi seluler. Adapun pencurian identitas, ada banyak perlindungan terhadap yang sedang dibangun. Artikel itu menyebutkan beberapa dari mereka. "

Pengguna solitarios.lupus menyatakan:

“Mempertimbangkan apa yang dilakukan situs ini, saya pikir semua orang di sini tahu ini tidak akan berhasil dan merupakan masalah keamanan besar bagi penegakan hukum. Untuk dengan mudah dipalsukan, dipalsukan dan dimanipulasi. "

Mr. Willden menjawab:

“Pemalsuan langsung akan menjadi sangat mustahil, karena semua data ditandatangani secara digital. Memalsukan kredensial akan membutuhkan penempaan tanda tangan digital yang baik membutuhkan pemutusan radikal dari kriptografi yang relevan (yang akan memecah TLS dan hampir semua yang lain) atau mencuri kunci penandatanganan otoritas penerbit. Bahkan perubahan, dengan mengambil beberapa elemen data yang ditandatangani dari satu DL (misalnya tanggal lahir menunjukkan Anda lebih dari 21) dan beberapa dari yang lain (misalnya foto asli Anda) tidak akan mungkin, karena penandatanganan mencakup seluruh dokumen, mengikat semua elemen bersama."

Tanda pengguna menyatakan:

“Jika fotokopi tidak pernah berlaku untuk ID, mengapa menggunakan telepon membuat perbedaan? Sekalipun Google berjanji untuk membuatnya aman, bagaimana hal itu menghentikan seseorang yang memunculkan aplikasi palsu?

Namun, bahkan jika tidak ada jawaban untuk itu, saya masih berpikir itu adalah hal yang baik karena alasan yang diberikan dalam artikel ini. Saya menginginkannya untuk paspor - bukan untuk bepergian, tetapi kesempatan lain di mana ID diperlukan (saya tidak mengemudi, jadi paspor saya adalah satu-satunya ID saya).

Tentu saja, saya juga lebih suka jika Inggris tidak berubah menjadi masyarakat "makalah", di mana Anda perlu memiliki paspor dipindai bahkan hanya untuk pergi ke pub dalam beberapa kasus ... "

Mr. Willden menjawab:

“Tanda tangan digital akan membuatnya aman. Anda dapat memiliki aplikasi palsu, tetapi tidak dapat menghasilkan data yang ditandatangani dengan benar.

Paspor juga sangat banyak ruang lingkup untuk pekerjaan ini, BTW. Izin mengemudi adalah titik awal, tetapi protokol dan infrastruktur sedang dirancang dengan cermat untuk mendukung berbagai kredensial identitas, khususnya termasuk paspor. Tentu saja, kita perlu meyakinkan ICAO untuk mengadopsi pendekatan itu, tapi saya pikir itu sangat mungkin. ”


Terima kasih kepada Pengembang yang Diakui luca020400 untuk tipnya!