Apple 钱包中证件的安全性
以下功能协助提升在 Apple 钱包中使用证件的安全性。
身份数据完整性和防伪性
Apple 钱包中的证件使用由发证机构提供的签名,使任何符合 ISO/IEC 18013-5 要求的读卡器均可验证 Apple 钱包中的用户证件。此外,“钱包”中证件的所有数据元素均单独受防伪保护。这使证件读卡器可请求 Apple 钱包中证件上存在的一部分特定数据元素,并使 Apple 钱包中的证件可用对应相同部分作出响应,因而只会共享所请求的数据并最大限度地保护用户隐私。
设备绑定
Apple 钱包中的证件认证使用设备签名来防止克隆证件和重放证件出示。Apple 钱包将证件认证私钥储存在 iPhone 设备的安全元件中,这样证件会绑定到州发证机构创建证件时所针对的同一设备。
知情同意
Apple 钱包中的证件可能使用认证来识别使用 ISO/IEC 18013-5 标准中所定义协议的读卡器。出示证件期间,如果读卡器自己有被 Apple 钱包信任的证书,则会显示一个图标,向用户保证其正在与目标方交互。
通过无线电线路传输的用户数据保密性
会话加密有助于确保在 Apple 钱包中的证件和证件读卡器之间交换的所有个人可识别信息 (PII) 都已加密。加密过程由应用层执行。因此会话加密的安全性不依赖于传输层(例如 NFC、蓝牙和无线局域网)提供的安全性。
Apple 钱包中的证件有助于保护用户信息隐私
Apple 钱包中的证件遵守 ISO/IEC 18013-5 中所概述的“设备检索”流程。设备检索消除了在出示期间调用服务器的需要,因而保护用户不受 Apple 和发证机构的跟踪。
证件校验器安全性
在 iOS 17 或更高版本中,美国商户和组织可使用 iPhone 无缝、安全地当面读取符合 ISO 18013-5 标准的移动证件,而无需借助外部硬件。证件校验器有两种不同的使用方式,具体取决于验证使用情况:
证件校验器仅显示:对于仅需目视确认的使用情况,这可实现使用 iOS 用户界面显示“姓名”、“年龄”、“证件照片”和“超过 N 岁”数据。此服务不允许收集可追溯到出示者的个人可识别信息 (PII)。
证件校验器数据传输:这可让 App 请求更多数据元素,例如出生日期和地址,从而满足法律验证要求。访问证件校验器数据传输 API 通过授权进行管理,且 App 必须遵守与数据使用方式相关的要求。例如,App 必须展示法律要求才能请求身份数据。同时 App 还需要维护隐私政策,详述其对所请求身份数据的处理、储存或其他用途。
读取移动证件
证件校验器遵循 ISO/IEC 18013-5 标准中定义的协议。当使用证件校验器 API 的 App 请求读取移动证件时,一张由 iOS 控制的表单会显示,并提示移动证件持有者将设备靠近证件读卡器。这样的首次 NFC 接触(根据 ISO/IEC 18013-5 标准所定义,可使用二维码而非 NFC 发起蓝牙交接过程)在两台设备间建立了安全的低功耗蓝牙 (BLE) 连接。此时,移动证件持有者可在其设备上检查正被请求的信息。移动证件持有者同意后,所请求的身份数据会传输到读取设备。使用证件校验器数据传输 API 的 App 会收到响应数据以进行处理,而使用证件校验器仅显示 API 的 App 会看到由 iOS 直接显示的数据。
ISO/IEC 18013-5 标准提供了多种安全保护机制,可检测、防止和降低安全风险。在这些机制中,证件校验器会同时验证发证机构签名和设备签名。此外,证件校验器支持使用 ISO/IEC 18013-5 标准中定义的协议来认证读卡器。App 可以选择显示图标和名称,确保证件持有者正在与使用读卡器证书的目标方交互。
发证机构和设备验证
为防止伪造,证件校验器会验证移动证件受信任发证机构的移动安全对象签名。证件校验器数据传输还会提供 API,可根据需要让 App 自身而非 iOS 执行签名验证。为向商户或组织保证移动证件未从一台设备拷贝到另一台设备,证件校验器会验证会话数据的签名。
读卡器认证
出示证件时,与读卡器认证证书关联的私钥会对证件校验器读卡器请求进行签名。该证书的签发方为 Apple 根证书颁发机构 (CA),其中包含相关 x509 自定义扩展,可向持有者表示商户是否打算储存该数据。如果应用程序想要向证件持有者显示名称和图标,App 管理员需要通过 Apple Business Register 注册并提供准确的品牌信息。提交的信息经成功验证后,在交易时,读卡器认证证书会向证件持有者提供与 Apple Register 中实体相关的信息。