اعتبار: N. Hanacek/NIST
برخی از مسافران اکنون می توانند بدون درآوردن کیف پول خود از امنیت فرودگاه عبور کنند.
این به این دلیل است که تعداد انگشت شماری از ایالت ها و پورتوریکو اکنون پیشنهاد می دهند گواهینامه های رانندگی سیار (mDL) که در بسیاری از فرودگاه ها به گونه ای پذیرفته می شوند که گویی کارت شناسایی فیزیکی شما هستند. در حالی که این کارتها نسبتاً جدید و محدود هستند، کارشناسان میگویند این کارتها آیندهای در نحوه شناسایی آنلاین خود خواهند بود.
Take Measure از مهندس امنیت بیل فیشر، که تلاشهای mDL را در NIST مدیریت میکند، پرسید. مرکز ملی تعالی امنیت سایبری، توضیح دهید که این مجوزها چیست و چگونه از آنها استفاده می شود.
بنابراین، اجازه دهید با اصول اولیه شروع کنیم. گواهینامه رانندگی سیار چیست؟
به طور خلاصه، گواهینامه رانندگی سیار یک نمایش دیجیتالی از گواهینامه رانندگی فیزیکی شما است. این شامل همان اطلاعاتی است که گواهینامه رانندگی فیزیکی شما دارد – نام، آدرس، تاریخ تولد و سایر جزئیات.
مزیت گواهینامه رانندگی سیار چیست؟
خوب، فراتر از امکانات بالقوه ذخیره شدن گواهینامه رانندگی در تلفن، mDL ها دارای چندین ویژگی هستند که به آنها نسبت به شناسه های فیزیکی برتری می دهد. اول، شما توانایی ارائه آنها را به صورت آنلاین خواهید داشت. اگر تا به حال از شما خواسته شود که از شناسه فیزیکی خود برای تراکنش های آنلاین، مانند هنگام راه اندازی حساب بانکی، عکس بگیرید، این روند بسیار دردناک است. من در نهایت از جلو و پشت مجوز خود عکس میگیرم و سپس آنها را برای خودم ایمیل میکنم تا عکس را در وبسایتی که با آن کار میکنم آپلود کنم.

اعتبار:
N. Hanacek/NIST
در عوض، mDL ها به شما این امکان را می دهند که گواهینامه رانندگی خود را مستقیماً از کیف پول دیجیتال روی تلفن خود از طریق سیستم عامل تلفن همراه خود مانند iOS یا Android یا به صورت بی سیم به یک وب سایت روی دسکتاپ یا لپ تاپ ارائه دهید.
دومین مزیت اصلی و دلیل اینکه NCCoE بر روی پذیرش mDL کار می کند، ویژگی های امنیتی mDL ها است. آنها از رمزنگاری کلید عمومی استفاده می کنند، همان رمزگذاری که ما برای اتصال ایمن مرورگرهای خود به سرورهای وب به آن تکیه می کنیم. مجوزهای تلفن همراه رمزگذاری کلید عمومی را در زیر پوشش اجرا می کنند. این امنیت اضافی است که کاربر متوجه آن نمی شود. این یک کیفیت مهم برای کمک به محدود کردن کلاهبرداری بالقوه و دفاع در برابر تصاویر جعلی تولید شده توسط هوش مصنوعی، معروف به دیپفیک است.
اگر من همان سناریویی را در نظر بگیرم که در آن از شخصی خواسته میشود از گواهینامه خود برای تراکنشهای آنلاین عکس بگیرد، برای وبسایتها دشوار است که تشخیص دهند آیا این تصویر واقعی از گواهینامه رانندگی معتبر است یا خیر. تقلبی های فیزیکی و دیپ فیک ارزان و فراوان هستند. علاوه بر این، وب سایت نمی تواند بداند چه کسی مجوز را در اختیار دارد. ممکن است شما باشید، اما ممکن است همسر، فرزندتان یا شاید کسی باشد که مجوز را در خیابان پیدا کرده است.
mDL شما راه حل ایمن تری است و اغلب با احراز هویت بیومتریک، با استفاده از صورت یا اثر انگشت روی تلفن شما محافظت می شود. این به ما اطمینان بیشتری می دهد که بیل مجوز خود را ارائه می دهد و نه همسر بیل یا یک مهاجم.
چرا بانکداری یکی از رایج ترین موارد استفاده از گواهینامه رانندگی سیار در روزهای اولیه است؟
مؤسسات مالی اولین موارد استفاده ما در این پروژه هستند. یکی از دلایل اصلی این است که بانک ها الزامات قانونی برای شناخت مشتریان خود دارند. به همین دلیل است که بانک ها هنگام افتتاح حساب، شما را از طریق شناسایی شناسایی می کنند. اگر شخصاً به شعبه بانک بروم و بگویم “میخواهم حساب باز کنم”، آنها اقدامات مختلفی را انجام میدهند تا ثابت کنند من همانی هستم که میگویم هستم. دلیل آن این است که آنها یک الزام قانونی برای بررسی مشتریان خود دارند. آنها می خواهند مطمئن شوند که من یک دزد هویت نیستم که تظاهر به بیل فیشر کنم.
همین الزامات برای معاملات آنلاین اعمال می شود. بانک ها قبل از اینکه بتوانند خدمات مالی را در وب سایت خود به شما ارائه دهند، باید بتوانند هویت شما را تأیید کنند. در حال حاضر، بانک ها ممکن است از پرسش های مبتنی بر دانش استفاده کنند. مواردی مانند: آیا در سال 2016 ماشین خریدید؟ آیا در سال 2020 وام مسکن افتتاح کردید؟ ما برای چندین دهه می دانیم که این یک راه ایده آل برای تأیید هویت نیست زیرا این اطلاعات را می توان به صورت عمومی پیدا کرد.
بانکها همچنین احتمالاً از نوعی بیومتریک استفاده میکنند که در آن از شما میخواهند از گواهینامه یا پاسپورت خود عکس بگیرید و سپس از صورت خود اسکن کنید تا آنها را مطابقت دهید. اما همانطور که اشاره کردم، این سیستم ها توسط هوش مصنوعی و دیپ فیک مورد حمله قرار می گیرند.
دلیل دوم این است که موسسات مالی یک هدف اصلی امنیت سایبری هستند. در سال 2021، بیش از 200 میلیارد دلار خسارت ناشی از کلاهبرداری هویتی وجود داشت، و فرض بر این است که این تعداد از آن زمان افزایش یافته است. این سیستمها همیشه هدف بودهاند، بنابراین گواهینامه رانندگی سیار ابزار دیگری در کیت ابزار برای انجام تأیید هویت برای محافظت از بانکها و مصرفکنندگان است.
بنابراین، گواهینامه رانندگی سیار واقعا چگونه کار می کند؟
بیایید با مورد استفاده حضوری شروع کنیم. اگر شخصاً در بانک بودید و نیاز به ارائه گواهینامه رانندگی تلفن همراه خود داشتید، مانند استفاده از خدماتی مانند Google Pay، Apple Pay یا Samsung Pay عمل می کرد. مجوز تلفن همراه خود را بالا می آورید و در ترمینال روی تلفن ضربه می زنید. تلفن شما برای باز کردن قفل mDL، که به صورت بی سیم به ترمینال ارائه می شود، احراز هویت شما را تأیید می کند.
اگر با استفاده از مرورگر تلفن همراه یا برنامه بانکی خود در حال بانکداری با تلفن خود هستید، سیستم عامل تلفن همراه شما می تواند به شما اجازه دهد mDL خود را از یک کیف پول دیجیتال در همان دستگاه به آن خدمات ارائه دهید. اگر میخواهید mDL خود را به یک وبسایت روی دسکتاپ یا لپتاپ نشان دهید، میتوانید یک کد QR را اسکن کنید و mDL را به صورت بیسیم از کیف پول دیجیتال خود در تلفن خود ارائه دهید.
در هر صورت، بانک میتواند به روش رمزنگاری تأیید کند که شما یک مجوز معتبر ارائه میدهید.
بانک میتواند این کار را با استفاده از رمزنگاری کلید عمومی که قبلاً ذکر کردم، انجام دهد، که دارای حفاظتهای امنیتی قوی است. روش کار رمزگذاری کلید عمومی به این صورت است که کلید عمومی عمومی و کلید خصوصی خصوصی است. کلید عمومی می تواند به هر جایی برود و توسط هر کسی استفاده شود. کلید خصوصی در سخت افزار ذخیره می شود و به گونه ای محافظت می شود که فقط مالک می تواند آن را داشته باشد. این واقعیت که کلید خصوصی نمی تواند توسط شخص دیگری شبیه سازی شود یا به دست آید، چیزی است که به سیستم ویژگی های امنیتی آن را می دهد.
گواهینامه رانندگی سیار علاوه بر بانکداری چه کاربرد دیگری دارد؟
در حال حاضر، فقط در مورد 15 ایالت (به علاوه پورتوریکو) به آنها پیشنهاد دهید.
بزرگترین مورد استفاده در حال حاضر امنیت فرودگاه است. در اکثر فرودگاههای بزرگ سراسر کشور، میتوانید از مجوز تلفن همراه خود برای شناسایی خود در اداره امنیت حمل و نقل (TSA) و عبور از امنیت استفاده کنید. اگر آنها mDL ها را بپذیرند، معمولاً نماد Wi-Fi را می بینید که در آن می توانید روی تلفن خود ضربه بزنید و mDL خود را به جای کارت فیزیکی ارائه دهید.

اعتبار:
تصاویر کسب و کار میمون / Shutterstock
البته هنوز باید کارت شناسایی فیزیکی خود را همراه داشته باشید. اما به خصوص هنگام سفر، اگر کیف پول فیزیکی و شناسه خود را گم کنید یا فراموش کنید، داشتن این افزونگی می تواند خوب باشد. در عصر امروز، زمانی که همه ما به تلفن های خود متصل هستیم، احتمال اینکه گوشی خود را فراموش کنید بسیار کم است.
اما در آینده، من فکر می کنم این موارد استفاده حضوری در مقایسه با موارد آنلاین کم رنگ خواهند شد. آمازون قبلاً گفته است که قصد دارد از آنها برای حساب های تأیید شده استفاده کند و بسیاری از سازمان ها ارزش استفاده از آنها را برای کمک به بهبود امنیت حساب می دانند.
برخی از چالشهایی که باید برای رسیدن به پذیرش گستردهتر انجام شود، چیست؟
این یک اکوسیستم در حال تکامل است و ما در حال انجام چالشهای زیادی هستیم. یکی از چالشهای اصلی این است که سازمانهای استاندارد مختلفی مانند کنسرسیوم وب جهانی، بنیاد OpenID و سازمان بینالمللی استاندارد درگیر در mDLها هستند.
علاوه بر این، ما رویکرد ملی برای شناسایی نداریم. ایالت ها و سرزمین ها شناسنامه صادر می کنند. بنابراین، در حالی که ما این را ارائه می کنیم، دولت های ایالتی و منطقه ای را تشویق می کنیم که این فناوری را به گونه ای اتخاذ کنند که از استانداردها پیروی کند و از امنیت و حریم خصوصی محافظت کند. همچنین نگرانیهای مربوط به حریم خصوصی و امنیت در سطح فردی وجود دارد. وقتی همه در طول زندگیشان کارت فیزیکی داشته باشند، داشتن شناسه روی گوشی خود احساس راحتی نمیکنند.
و البته تامین مالی نیز یک مسئله است. دولت ها و سرزمین ها خودشان بودجه این تلاش ها را تامین می کنند. بنابراین، برخی از ایالت ها پذیرنده اولیه بوده اند، در حالی که برخی دیگر منتظر قانون یا پول اضافی هستند.
نقش NIST در گواهینامه رانندگی سیار چیست؟
این یک فضای واقعاً مهم برای NIST است زیرا شامل امنیت، همکاری و استانداردهایی است که همه حوزههایی هستند که ما در آنها فعالیت میکنیم.
مانند تقریباً همه چیز در NIST، ما به عنوان گردهمایی اینجا هستیم. ذینفعان زیادی در این فرآیند دخیل هستند – سیاستگذاران، قانونگذاران، جامعه فناوری و بسیاری دیگر. ما با پنج بانک از 10 بانک بزرگ کار می کنیم. ما همچنین با اپل، گوگل، ارائه دهندگان کیف پول موبایل کوچکتر و وزارت امنیت داخلی و بسیاری دیگر کار می کنیم. وظیفه ما این است که آن ذینفعان را گرد هم بیاوریم و به سمت راه حل هایی سوق دهیم که ملاحظات امنیتی و حریم خصوصی و همچنین نیازهای کسب و کار در دنیای واقعی را برآورده کنند. ما می خواهیم مطمئن شویم که سهام همه در این فرآیند در نظر گرفته می شود.
قطعه دیگر استانداردها است. بسیاری از سازمان های استاندارد درگیر این فناوری هستند. بنابراین، ما با این گروهها کار میکنیم تا مطمئن شویم که این استانداردها به خوبی با هم کار میکنند و درسهای آموختهشده را در حین توسعه استانداردها ارائه میکنیم.
تجربه شما از استفاده از گواهینامه رانندگی تلفن همراه خود چیست؟
من در کلرادو مستقر هستم، یکی از اولین ایالت هایی که mDL ها را ارائه کرد. من بارها از آن هنگام پرواز در داخل و خارج از دنور استفاده کرده ام. من همچنین عادت دارم از مؤسسات بپرسم که آیا mDL ها را قبول می کنند هر زمان که از من خواسته شود شناسه فیزیکی خود را ارائه دهم.
هنوز مکان های زیادی وجود ندارد که mDL ها را قبول کند، اما کلرادو یک ایالت بسیار پیشرفته در زمینه فناوری است. بنابراین مدتی است که گواهینامه رانندگی دیجیتالی داریم. تفاوت در این است که گواهینامه رانندگی دیجیتال بیشتر شبیه تصویری با وضوح بالا از گواهینامه شما است، بدون اینکه تمام تأییدیه های رمزنگاری شده گواهینامه رانندگی تلفن همراه داشته باشد. بنابراین، در حالی که بسیاری از مکانها به افرادی عادت دارند که گواهینامه رانندگی خود را از طریق تلفن خود ارائه دهند، ما در نقطهای نیستیم که کسبوکارها توانایی تأیید mDLها را داشته باشند.
آینده گواهینامه های رانندگی سیار و تلاش های NIST در این زمینه را چه می بینید؟
اروپا با آن بسیار سریع حرکت می کند کیف پول هویت دیجیتال اتحادیه اروپا و پشتیبانی از شناسه های ملی با پشتوانه رمزنگاری. ما همچنین شاهد شروع پذیرش TSA هستیم نسخه دیجیتال پاسپورت از ارائه دهندگان کیف پول همانطور که هوش مصنوعی و دیپفیک پیچیدهتر میشوند، فکر میکنم کسبوکارهای بیشتری را شاهد خواهیم بود که به mDLها به عنوان ابزار امنیتی ارزشمند نگاه میکنند. با افزایش تعداد کسب و کارهایی که mDL ها را می پذیرند، افراد بیشتری تمایل به استفاده از آنها خواهند داشت.
هدف ما در کوتاه مدت اجتماعی کردن این فناوری با مؤسساتی است که باید هویت افراد را تأیید کنند و مردم را بیشتر از در دسترس بودن این فناوری آگاه کنیم. ما میخواهیم مردم را تشویق کنیم که mDLها را امتحان کنند و به آنها عادت کنند، زیرا در سالهای آینده بخش رایجتری از زندگی دیجیتالی ما خواهند بود.
Source link
