В Android 13 для хранения электронных водительских прав потребуется аппаратная поддержка

Февраль 16, 2022 - 20:15
Февраль 16, 2022 - 20:43
 0  103
В Android 13 для хранения электронных водительских прав потребуется аппаратная поддержка

В Android 11 Google предоставила возможность добавлять на устройства мобильные водительские права (mDL). Данной возможностью воспользовались власти по меньшей мере 30-ти штатов США (но очевидно, что не России). Мобильные водительские права имеют множество преимуществ по сравнению с физическими карточками, поскольку их не нужно носить с собой, они позволяют контролировать, какую информацию вы передаете и каким образом, и легко проверяются органами власти.

Чтобы поддержать разработку мобильных приложений, направленных на соответствие международным стандартам информационной безопасности ISO, в Android 11 компания Google представила API Identity Credential. Он предоставляет интерфейс для безопасного хранения идентификационных документов пользователя и может быть реализован как с аппаратной поддержкой, так и без нее. Библиотека Android Jetpack может реализовать Identity Credential API на Android 7.0 или более новых версиях, а если устройство не имеет аппаратной поддержки, то вместо нее будет использоваться реализация Android Keystore-backed.

По словам Google, реализация Android Keystore-backed "вполне подходит как для владельцев, так и для организаций (эмитентов), выпускающих мобильные водительские права в случаях, когда все данные подписаны эмитентом". Однако реализация на базе хранилища ключей "не обеспечивает такой же уровень безопасности и конфиденциальности", как реализация на базе аппаратного обеспечения, поэтому производителям устройств рекомендуется реализовать именно аппаратную поддержку.

Включение аппаратной поддержки Identity Credential API требует реализации уровня аппаратной абстракции (Hardware Abstraction Layer - HAL). Реализация IC HAL позволяет хранить идентификационные документы внутри "защищенного аппаратного обеспечения" устройства. В документе определения совместимости (CDD) определены требования к "защищенному оборудованию", которое на большинстве устройств удовлетворяется Доверенной Средой Исполнения (Trusted Execution Environment - TEE). IC HAL реализована лишь в нескольких устройствах Android, хоть и реализация TEE присутствует на каждом устройстве, благодаря требованиям CDD, в Android 13 появятся новые требования.

Согласно недавнему изменению кода, обнаруженном Мишаалом Рахманом на Esper Blog, чипсеты, выходящие с Android 13, должны поддерживать Identity Credential HAL . Поддержка будет осуществляться с помощью нового теста в Vendor Test Suite (VTS) — автоматизированном наборе тестов, который проверяет, соответствует ли устройство производителя требованиям Google. VTS - это один из многих тестов, которые Google требует от производителей устройств для получения права установки Google Mobile Services (GMS) на свои устройства. Однако из-за программы Google Requirements Freeze (GRF) Google не может обязать устройства, обновляемые до Android 13, поддерживать IC HAL, поэтому требование ограничено новыми чипсетами, запускаемыми с Android 13. Таким образом, требования к программному обеспечению поставщика (Vendor Software Requirements - VSR) для Android 13, скорее всего, освободят устройства, обновляемые до Android 13, от необходимости внедрения IC HAL.

С другой стороны, реализация IC Direct Access HAL, не будет обязательной ни для производителя устройства, ни для поставщика чипсета. Этот HAL обеспечивает поддержку прямого доступа к защищенному оборудованию устройства через NFC, что позволяет получить учетные данные, даже если устройство не имеет достаточного заряда батареи для включения ОС Android. Однако это возможно только в том случае, если у защищенного оборудования имеется процессор и устройство хранения данных, которые отделены от основного обработчика приложений. Очень немногие устройства отвечают этим критериям, поэтому для появления на рынке устройств с поддержкой IC Direct Access HAL могут потребоваться годы.

Список устройств, которые в настоящее время поддерживают Identity Credential HAL, включает только устройства Pixel. Устройств, поддерживающих Identity Credential Direct Access HAL, пока нет.
Источник: Esper Blog

Google настаивает на том, чтобы органы выдачи мобильных водительских прав при разработке приложений использовали API Identity Credential. При увеличении количества устройств с аппаратной поддержкой IC API, Google будет легче убедить органы, выдающие права, разрабатывать свои приложения с использованием этого API. 

В будущем ожидается, что цифровые документы, отличные от мобильных водительских прав, будут храниться и извлекаться через IC API. Это связано с тем, что API IC был разработан как универсальный инструмент, поэтому другие типы документов, такие как регистрация автотранспорта или паспорт прививок, технически уже поддерживаются. Эталонные приложения Google с открытым исходным кодом являются отличным примером использования IC API для хранения и получения нескольких типов документов.

Источник: Esper Blog

Наиль Садыков Один из основателей проекта и главный редактор.