Гарантии доверия к цифровым кошелькам: системы ЕС, США и Австралии

Мир стремительно переходит к цифровым удостоверениям личности, и цифровые кошельки становятся основным способом управления учетными данными. Но насколько надежны эти кошельки? Их ценность полностью зависит от надежности лежащих в их основе систем обеспечения доверия. В этой статье мы подробно рассмотрим ландшафты обеспечения доверия к цифровым удостоверениям и аутентификации трех ведущих мировых держав: Европейского союза с eIDAS 2.0, Соединенных Штатов с NIST SP 800-63 и Австралии с ее системой TDIF/AGDIS.

Мы изучим основные принципы, которые на удивление схожи по всему миру, такие как уровни доверия, основанные на оценке рисков, и критически важная роль биометрии в привязке цифрового удостоверения к реальному человеку. Однако мы также раскроем существенные различия в их архитектуре и регулировании. Мы проанализируем гранулярную, гибкую модель США, единый, совместимый подход ЕС и гибридную систему Австралии.

Центральная тема, которую мы исследуем, — это противоречие между безопасностью, ориентированной на устройство, и удобством для пользователя, основанным на учетной записи. В частности, мы рассмотрим, как крупные игроки, такие как Apple и Google, добавляют облачные учетные записи поверх учетных данных, привязанных к устройству. Мы также подробно опишем практические шаги по регистрации учетных данных, объяснив, почему «налог на повторную регистрацию» — необходимость подтверждать свою личность для каждого нового устройства — является преднамеренной мерой безопасности, а не недостатком.

Наконец, мы подробнее рассмотрим уникальные аспекты Европейского кошелька цифровой идентификации (EUDI) и возможности квалифицированных электронных подписей (QES) в ЕС, которые имеют ту же юридическую силу, что и собственноручная подпись. Прочитав эту статью, вы получите полное представление о сложной и развивающейся сфере глобальных цифровых удостоверений, а также о стратегических выборах, стоящих перед разработчиками, правительствами и пользователями.

В цифровом мире личность — это не бинарное понятие «известен или неизвестен», а спектр уверенности. Уровень доверия (Level of Assurance, LoA) количественно определяет эту уверенность, представляя степень убежденности в том, что лицо, заявляющее о своей личности, действительно является «истинным» владельцем этой личности. Эта мера является основой цифрового доверия, лежащей в основе каждой безопасной транзакции и взаимодействия. Более высокий LoA означает более строгий процесс верификации личности и аутентификации, что, в свою очередь, снижает риск мошенничества с личными данными, несанкционированного доступа и других видов злоупотреблений.

Однако достижение более высокого уровня доверия сопряжено с издержками. Необходимые процессы, такие как личная верификация или использование специализированного оборудования, могут повлечь за собой значительные расходы и неудобства как для пользователя (владельца личности), так и для поставщика услуг (доверяющей стороны). Это неотъемлемое трение может создавать барьеры для доступа, потенциально приводя к исключению людей, у которых нет необходимых документов, технических средств или возможности проходить сложные процедуры. Следовательно, выбор подходящего LoA — это не просто техническое решение, а критически важное упражнение по управлению рисками, направленное на достижение тонкого баланса между безопасностью, удобством использования и потенциалом для исключения.

Этот баланс определяется потенциальными последствиями ошибки аутентификации. Для действий с низким риском, таких как создание учетной записи на общедоступном форуме или изменение почтового адреса, более низкий LoA может быть вполне приемлемым. Последствия ошибки минимальны. И наоборот, для транзакций с высоким риском, таких как доступ к конфиденциальным финансовым или медицинским записям, инициирование крупных денежных переводов или подписание юридически обязывающих договоров, требуется гораздо более высокий LoA для смягчения серьезного потенциального вреда.

Таким образом, выбор системы обеспечения доверия и требуемых уровней выходит за рамки технической реализации и становится инструментом экономической и социальной политики. Система, устанавливающая слишком высокую планку доверия, может создать неприступную крепость, которая будет безопасной, но недоступной для значительной части населения, тем самым подавляя цифровую адаптацию и экономическое участие. И наоборот, система со слишком низкими стандартами способствует массовому мошенничеству, что подрывает доверие потребителей и бизнеса, в конечном итоге нанося ущерб цифровой экономике, которую она призвана поддерживать. Это фундаментальное противоречие определяет различные подходы, применяемые ведущими мировыми экономиками, формируя их цифровые экосистемы в соответствии с их уникальными регуляторными философиями и общественными приоритетами.

Исторически уровень доверия был монолитной концепцией. Новым шагом в области цифровой идентификации стала деконструкция этой концепции Национальным институтом стандартов и технологий США (NIST) в его специальной публикации 800-63, редакция 3. Эта редакция разделила LoA на три отдельных, ортогональных компонента, что позволило более точно и гранулярно управлять рисками: Уровень подтверждения личности (IAL), Уровень доверия к аутентификатору (AAL) и Уровень доверия к федерации (FAL).

Это разделение задач является фундаментальным архитектурным отличием от более унифицированной модели, используемой в Европейском союзе. Модель NIST позволяет поставщику услуг отделить риск регистрации от риска доступа. Например, правительственное учреждение может потребовать очень надежного, личного подтверждения личности (IAL3) для выдачи цифрового удостоверения для доступа к конфиденциальным записям. Однако для последующего рутинного доступа к этим записям может потребоваться только многофакторная аутентификация средней надежности (AAL2). Эта гибкость позволяет более тонко применять средства контроля безопасности, адаптированные к конкретным действиям в рамках услуги.

В отличие от этого, система eIDAS ЕС использует единый LoA (низкий, существенный, высокий), который охватывает как аспекты регистрации, так и аутентификации. При сопоставлении двух систем общий уровень доверия сервиса определяется его самым слабым звеном. Например, система, разработанная с наивысшим уровнем подтверждения личности (IAL3) и федерации (FAL3), но использующая только умеренный уровень аутентификации (AAL2), будет классифицирована как эквивалент LoA «Существенный» по eIDAS, а не «Высокий». Это различие имеет глубокие последствия для разработчиков и архитекторов, создающих глобальные системы, поскольку заставляет выбирать между проектированием для максимальной гранулярности (NIST) с последующим сопоставлением с более простой моделью ЕС или поддержанием отдельных логических потоков для соответствия уникальной архитектурной философии каждого региона. Модель США отдает приоритет гибкости управления рисками для доверяющей стороны, в то время как модель ЕС — простоте и четкой совместимости для трансграничного признания.

Уровень доверия — это не абстрактный технический рейтинг; это основной «привратник», который определяет, что пользователю разрешено делать в цифровом мире. LoA, присвоенный цифровому удостоверению или требуемый услугой, напрямую определяет объем транзакций, конфиденциальность данных, к которым можно получить доступ, и юридическую силу выполняемых действий.

На самом низком уровне спектра личность с низким уровнем доверия — обычно самозаявленная без верификации — предоставляет доступ к услугам с низким риском. Это включает в себя такие действия, как участие в онлайн-форумах, создание базовой учетной записи электронной почты или доступ к общедоступным веб-сайтам, где последствия получения доступа самозванцем незначительны.

По мере повышения уровня доверия до «Существенного» пользователь получает доступ к гораздо более широкому и конфиденциальному спектру услуг. Этот уровень обычно требует, чтобы личность пользователя была проверена по официальным документам, и предписывает использование многофакторной аутентификации (MFA). Следовательно, это стандарт для многих распространенных и важных цифровых взаимодействий. Примеры услуг, доступных при LoA «Существенный»:

• Доступ к онлайн-порталам правительства для подачи налоговых деклараций или проверки пособий.
• Проведение онлайн-банковских операций.
• Доступ к личным медицинским записям или информации о страховании.
• Взаимодействие с поставщиками коммунальных услуг или телекоммуникационными компаниями.

Самый высокий уровень доверия, «Высокий», зарезервирован для самых критических и рискованных транзакций, где последствия сбоя аутентификации могут быть серьезными, приводя к значительным финансовым потерям, юридической ответственности или вреду для отдельных лиц или общественных интересов. Достижение этого уровня требует самых строгих методов подтверждения личности, часто включающих личную или контролируемую удаленную верификацию, а также использование аппаратных, защищенных от взлома аутентификаторов. Услуги, требующие LoA «Высокий», включают:

• Электронное подписание юридически обязывающих документов с той же силой, что и собственноручная подпись, например, договоров о недвижимости или крупных кредитных соглашений.
• Доступ к особо конфиденциальным правительственным или корпоративным данным.
• Выполнение дорогостоящих финансовых транзакций или крупных денежных переводов.
• Авторизация электронных рецептов на контролируемые вещества.
• Выдача самих основополагающих документов, удостоверяющих личность, таких как паспорт.

Система цифровой идентификации, поддерживающая несколько уровней доверия, позволяет создавать гибкую и соответствующую рискам архитектуру, давая пользователям возможность повышать свой уровень доверия по мере необходимости для различных транзакций. Удостоверение личности, полученное с LoA «Высокий», с согласия пользователя может использоваться для доступа к услугам, требующим «Существенного» или «Низкого» уровня доверия, но не наоборот. Эта иерархия гарантирует, что установленный уровень доверия всегда соответствует уровню риска.

По мере того как страны развивают свои цифровые инфраструктуры, они кодифицируют доверие через различные системы обеспечения. Хотя они часто имеют общие корни в международных стандартах, таких как ISO 29115, конкретные реализации в Европейском союзе, Соединенных Штатах и Австралии демонстрируют различные приоритеты в отношении совместимости, гибкости и безопасности.

Подход Европейского союза к цифровой идентификации основан на Регламенте eIDAS (электронная идентификация, аутентификация и доверительные услуги), который направлен на создание предсказуемой и совместимой правовой среды для электронных транзакций во всех государствах-членах. Обновленная система eIDAS 2.0 расширяет это видение, предписывая создание Кошелька цифровой идентификации ЕС (EUDI), личного цифрового кошелька для каждого гражданина, резидента и бизнеса.

В основе eIDAS лежат три уровня доверия (LoA): низкий, существенный и высокий. Эти уровни обеспечивают единую меру уверенности в электронном удостоверении личности (eID), охватывая весь жизненный цикл от регистрации до аутентификации. Этот единый подход предназначен для упрощения взаимного признания; удостоверение eID, заявленное одним государством-членом на определенном уровне LoA, должно быть признано всеми другими государствами-членами для услуг, требующих того же или более низкого LoA. Уровни определяются следующим образом:

Хотя eIDAS определяет уровни, он не предписывает конкретные технологии, позволяя государствам-членам разрабатывать свои собственные национальные схемы eID, отражающие их местный контекст, такие как датский MitID (который поддерживает все три LoA) или бельгийский itsme® (который работает на уровне LoA Высокий).

Система Соединенных Штатов, определенная в специальной публикации NIST 800-63-3, использует более гранулярный и компонентный подход к обеспечению доверия. Вместо единого, унифицированного LoA, она разделяет процесс на три отдельных уровня доверия: к личности (IAL), к аутентификатору (AAL) и к федерации (FAL). Эта модель предоставляет федеральным агентствам и другим организациям гибкий инструментарий для проведения оценки рисков цифровой идентификации (DIRA) и точной настройки средств контроля безопасности в соответствии с рисками конкретных транзакций.

Уровни подтверждения личности (IAL):

Уровни доверия к аутентификатору (AAL):

Эта гранулярная модель позволяет организации комбинировать уровни по мере необходимости. Например, система может требовать однократного подтверждения личности на уровне IAL2 при регистрации, а затем позволять пользователям выбирать между AAL1 (только пароль) для действий с низким риском и AAL2 (MFA) для действий с более высоким риском в одном и том же приложении.

Подход Австралии, исторически регулируемый Trusted Digital Identity Framework (TDIF) и теперь развивающийся в Australian Government Digital ID System (AGDIS) в соответствии с Законом о цифровой идентификации 2024 года, представляет собой гибридную модель, имеющую общие черты как с системами ЕС, так и США. TDIF разделяет концепции подтверждения личности и надежности аутентификации, подобно разделению IAL/AAL в NIST, но использует свою собственную терминологию.

Уровни подтверждения личности (IP):

TDIF определяет серию возрастающих уровней IP на основе количества и качества проверенных документов, удостоверяющих личность, и метода привязки пользователя к личности.

Уровни учетных данных (CL):

TDIF определяет надежность учетных данных аутентификации, используемых для постоянного доступа.

Эта гибридная структура позволяет австралийским службам указывать как требуемую надежность идентификации (уровень IP), так и необходимую надежность аутентификации (уровень CL) для доступа, обеспечивая основанную на риске систему, схожую по принципу с NIST.

Несмотря на различия в терминологии и архитектурных философиях, во всех системах ЕС, США и Австралии прослеживается четкая трехступенчатая иерархия рисков. Сопоставив их требования, мы можем составить общий обзор.

Этот сравнительный анализ выявляет мощную общую тенденцию: глобальное сближение в сторону биометрической привязки как окончательного якоря доверия для высоконадежной идентификации. Хотя системы используют разный язык — «обязательный сбор биометрических данных» на уровне IAL3 в NIST, «задача привязки» для IP2+ и выше в Австралии и планируемое использование детекции живости для достижения LoA «Высокий» в кошельке EUDI — принцип идентичен. Во всех трех крупных западных экосистемах наивысший уровень цифрового доверия больше не устанавливается простой проверкой документов или секретных вопросов. Он достигается путем привязки живого, присутствующего человека к его авторитетным, выданным государством документам с помощью биометрической верификации. Эта проверка «живой человек — документ», обычно представляющая собой сканирование лица, сопоставленное с фотографией в паспорте или водительском удостоверении, стала де-факто международным стандартом для высоконадежного подтверждения цифровой личности. Это имеет последствия для технологического стека любого поставщика идентификационных данных, превращая сертифицированную детекцию живости и высокоточное биометрическое сопоставление из дополнительных функций в основные, неотъемлемые компоненты любой платформы, стремящейся работать на самых высоких уровнях экономики цифрового доверия.

Следующая таблица представляет прямой сравнительный анализ, переводя требования каждой системы в общую структуру.

Великобритания, которая когда-то подпадала под действие режима eIDAS ЕС, пошла своим путем, создав систему обеспечения доверия, которая по-прежнему отражает лучшие международные практики. Руководство по надлежащей практике 45 (GPG45) Великобритании определяет строгий процесс подтверждения личности, который приводит к одному из четырех уровней уверенности в верификации личности: Низкий, Средний, Высокий или Очень высокий. Этот подход тесно связан со знакомыми многоуровневыми моделями LoA; действительно, GPG45 прямо ссылается на свое соответствие eIDAS, NIST 800-63, ISO/IEC 29115 и Панканадской системе доверия Канады. На практике GPG45 использует балльную оценку проверок (подлинность документа, история активности, биометрическое сопоставление и т. д.) для определения уровня уверенности в профиле личности пользователя. На этой основе правительство Великобритании внедряет новую Систему доверия к цифровой идентификации и атрибутам (в настоящее время в бета-версии), которая установит правила сертификации для поставщиков идентификационных данных и доверяющих сторон. Ключевой целью британской системы доверия является международная совместимость — обеспечение того, чтобы британские цифровые удостоверения пользовались доверием за рубежом и наоборот — при соблюдении собственных принципов конфиденциальности и безопасности страны. Это отражает более широкую стратегию сохранения соответствия мировым стандартам, даже когда Великобритания развивает свою собственную экосистему цифровой идентификации после выхода из ЕС.

Подход Канады, возглавляемый Советом по цифровой идентификации и аутентификации Канады (DIACC) через Панканадскую систему доверия (PCTF), также принял основные принципы многоуровневого обеспечения доверия и совместимости. Исторически Канада использовала четырехуровневую модель обеспечения доверия (уровни с 1 по 4), сопоставимую со схемами NIST и ISO 29115, при этом большинство федеральных электронных государственных услуг требовали входа с «высоким» уровнем доверия (примерно эквивалентным уровню 3). Однако канадские заинтересованные стороны признали, что единый, составной LoA может скрывать важные различия в способах верификации личности. Например, совершенно разные методы подтверждения — скажем, удаленная верификация на основе знаний по сравнению с личной проверкой документов — могут удовлетворять одному и тому же традиционному LoA, скрывая различные уровни риска. В настоящее время в Канаде существует широкий консенсус в том, что обеспечение доверия должно быть более гранулярным и ориентированным на конкретные возможности. PCTF развивается в сторону модернизированной, основанной на риске модели, которая разделяет обеспечение доверия при подтверждении личности и обеспечение доверия к аутентификатору (учетным данным), повторяя различие IAL/AAL, впервые предложенное NIST. Эта эволюция влечет за собой комплексную систему доверия и программу аккредитации: поставщики идентификационных данных, эмитенты учетных данных и аудиторы сертифицируются по общим критериям, чтобы цифровая личность, проверенная в одной провинции или секторе, могла быть с уверенностью принята в другой. Результатом является конвергентный подход, при котором Великобритания и Канада — каждая через свои собственные механизмы — укрепляют одни и те же глобальные нормы: высоконадежная цифровая идентификация, основанная на сильном первоначальном подтверждении (часто с использованием биометрии), постоянной многофакторной аутентификации и строгих стандартах конфиденциальности и контроля со стороны пользователя. Обе страны являются примером того, как различные юрисдикции могут внедрять инновации в реализации, оставаясь при этом в соответствии с международной структурой доверия, которая лежит в основе трансграничных цифровых транзакций.

Хотя системы обеспечения доверия создают теоретическую основу для доверия, их практическое применение в цифровых кошельках определяет реальную безопасность и удобство использования системы. Это включает в себя два критических этапа: обеспечение доступа к самому кошельку и первоначальный, высокорискованный процесс регистрации доверенных цифровых учетных данных.

Цифровой кошелек — это безопасный контейнер для самых конфиденциальных учетных данных человека. Защита этого контейнера имеет первостепенное значение. Безопасность кошелька — это многоуровневая конструкция, начинающаяся с физической безопасности устройства и простирающаяся до криптографических протоколов, которые управляют его использованием.

Первый и самый основной уровень защиты — это собственный механизм контроля доступа устройства, такой как PIN-код, пароль или биометрическое сканирование (например, Face ID, сканирование отпечатка пальца). Это предотвращает немедленный доступ к кошельку злоумышленника, получившего физический доступ к разблокированному устройству. Однако одного этого уровня недостаточно для операций с высоким уровнем доверия.

Поэтому для доступа к приложению кошелька и, что более важно, для авторизации предъявления учетных данных требуется второй, независимый уровень аутентификации. Лучшие практики и новые нормативные акты, такие как система кошелька EUDI, предписывают сильную многофакторную аутентификацию (MFA) для доступа к функциям кошелька. Обычно это включает в себя комбинацию как минимум двух из следующих факторов:

• То, что вы знаете: PIN-код или пароль, специфичный для кошелька.
• То, что у вас есть: само физическое устройство, содержащее криптографические ключи.
• То, чем вы являетесь: биометрическая верификация, такая как отпечаток пальца или сканирование лица, выполняемая во время транзакции.

Помимо аутентификации пользователя, базовая технология кошелька должна быть надежной. Основные практики безопасности включают:

• Использование защищенного элемента (Secure Element, SE) или доверенной среды выполнения (Trusted Execution Environment, TEE): Критически важные криптографические ключи должны храниться в аппаратно защищенной, защищенной от взлома части устройства, отдельно от основной операционной системы. Это предотвращает извлечение приватных ключей вредоносным ПО.
• Сквозное шифрование: Все данные, как в состоянии покоя в кошельке, так и при передаче во время предъявления, должны быть криптографически зашифрованы для предотвращения перехвата и несанкционированного доступа.
• Надежное резервное копирование и восстановление: Поскольку учетные данные могут храниться локально, необходим безопасный механизм восстановления на случай утери, кражи или повреждения устройства. Это может быть достигнуто с помощью зашифрованных облачных резервных копий или, что более распространено в децентрализованных системах, с помощью фразы восстановления или «seed»-фразы, которую хранит пользователь и которая может восстановить кошелек на новом устройстве.

Соблюдение принципа «нулевого доверия» также жизненно важно; кошелек никогда не должен неявно доверять любому запросу, а должен проверять каждое взаимодействие. Сочетая сильную аутентификацию пользователя с усиленной технической архитектурой, цифровой кошелек может служить действительно надежным хранителем цифровой личности пользователя.

Процесс выпуска высоконадежных учетных данных с персональными идентификационными данными (PID) или мобильного водительского удостоверения (mDL) в кошелек является практическим воплощением события подтверждения личности уровня IAL2 или выше. Этот путь является самым критическим шагом в жизненном цикле учетных данных, поскольку он закладывает фундаментальное доверие, на котором будут основываться все будущие транзакции. Существует два основных метода такой высоконадежной регистрации: оптический процесс, основанный на камере устройства, и криптографический процесс, использующий технологию Near Field Communication (NFC).

Это наиболее распространенный метод для документов, не имеющих чипа NFC, или когда NFC не используется. Хотя конкретные шаги могут незначительно отличаться в разных юрисдикциях и у разных поставщиков кошельков, основной процесс удивительно последователен и включает в себя последовательность действий по верификации и привязке:

Весь этот процесс разработан для соответствия требованиям высокой уверенности таких систем, как NIST IAL2 или eIDAS LoA Существенный/Высокий. Проверка на присутствие живого человека, в частности, является обязательным компонентом для предотвращения наиболее распространенных форм мошенничества с личными данными при удаленной оптической регистрации.

Для современных электронных документов, удостоверяющих личность (eID), таких как национальные ID-карты (например, немецкий Personalausweis), возможен более безопасный криптографический процесс регистрации с использованием NFC. Этот метод считывает данные непосредственно со встроенного в документ чипа, обеспечивая превосходную безопасность по сравнению с оптическим сканированием.

Типичный процесс регистрации с помощью NFC выглядит следующим образом:

1. Инициация: Пользователь запускает процесс в приложении кошелька, и ему предлагается использовать свой электронный ID.
2. Разблокировка чипа: Для доступа к чипу его необходимо сначала разблокировать. Это делается путем ввода номера доступа к карте (Card Access Number, CAN) — 6-значного номера, напечатанного на документе — для установления безопасного соединения по протоколу, известному как Password Authenticated Connection Establishment (PACE).
3. Считывание данных по NFC: Пользователь прикладывает свой документ к считывателю NFC на своем смартфоне. Приложение безопасно считывает данные с чипа, которые включают личные данные и фотографию высокого разрешения, сертифицированную государством.
4. Криптографическая верификация: Приложение выполняет критически важные проверки безопасности в фоновом режиме. Пассивная аутентификация проверяет цифровую подпись выдающего органа на данных, гарантируя, что они не были подделаны. Активная аутентификация отправляет вызов чипу, чтобы подтвердить, что он подлинный, а не клон.
5. Верификация владельца (привязка): Даже с криптографически защищенным документом система должна убедиться, что человек, держащий его, является истинным владельцем. Это можно сделать двумя способами:
   • Детекция живости и биометрическое сопоставление: Пользователь проходит проверку на присутствие живого человека (как в оптическом процессе), и его лицо биометрически сопоставляется с высококачественной, доверенной фотографией, считанной с чипа.
   • Ввод PIN-кода eID: Для наивысшего уровня доверия, как в случае с немецким eID, пользователю предлагается ввести свой личный 6-значный PIN-код. Это доказывает «владение и знание» (у пользователя есть карта и он знает PIN-код), создавая привязку уровня LoA «Высокий» без обязательной необходимости проверки на присутствие живого человека на этом конкретном шаге.
6. Выпуск и предоставление: После успешной верификации личности до высокого уровня доверия эмитент криптографически подписывает цифровое удостоверение и предоставляет его в кошелек пользователя.

Система кошелька EUDI прямо признает важность регистрации на основе NFC для достижения LoA «Высокий», рассматривая ее как краеугольный камень как для первоначальной настройки, так и для восстановления учетной записи. Этот криптографический метод принципиально более безопасен, чем оптический, поскольку он напрямую проверяет цифровую подлинность документа, а не полагается на визуальный осмотр отсканированного изображения.

Опыт регистрации для пользователя может значительно отличаться в зависимости от того, добавляет ли он учетные данные в нативный кошелек, интегрированный в операционную систему его устройства (например, Apple Wallet, Google Wallet), или в отдельное стороннее приложение, предоставленное эмитентом или другой организацией. Выбор между этими моделями представляет собой компромисс для эмитентов и пользователей: интегрированное удобство и широкий охват нативных платформ против полного контроля и индивидуального опыта специального приложения. Следующая таблица представляет пошаговое сравнение этих двух процессов регистрации, предлагая важное руководство для любой организации, планирующей выпускать или проверять цифровые учетные данные.

Это может привести к фрагментированной экосистеме, где пользователю может потребоваться установить и управлять несколькими различными приложениями-кошельками, если ему нужны учетные данные от разных штатов или эмитентов (например, одно приложение для mDL из Луизианы и другое для mDL из Калифорнии).

Практическая реализация кошельков цифровой идентификации основывается на технических стандартах и архитектурных фреймворках. В этом разделе представлен подробный анализ двух наиболее значимых столпов в современном ландшафте идентификации: стандарта ISO/IEC 18013-5 для мобильных водительских удостоверений и архитектуры будущего кошелька цифровой идентификации ЕС.

ISO/IEC 18013-5 — это международный стандарт, который определяет интерфейс для хранения, предъявления и верификации мобильного водительского удостоверения (mDL) и других подобных учетных данных. Он разработан для обеспечения безопасности, конфиденциальности и, что наиболее важно, совместимости, позволяя mDL, выданному в одной юрисдикции, быть считанным и доверенным в другой.

Критически важный вопрос в архитектуре кошелька заключается в том, привязаны ли цифровые учетные данные к устройству пользователя или к его учетной записи. Стандарт ISO 18013-5 в своей архитектуре безопасности является фундаментально ориентированным на устройство. Его основная цель — предотвратить клонирование учетных данных и гарантировать, что предъявление происходит с подлинного устройства, на которое были выданы учетные данные. Это достигается за счет сильной привязки к устройству, при которой приватные ключи учетных данных хранятся в безопасном, защищенном от взлома аппаратном компоненте мобильного устройства, таком как Secure Element (SE) или Trusted Execution Environment (TEE). Во время предъявления устройство выполняет криптографическую операцию с этим ключом, доказывая, что оно является подлинным держателем учетных данных. Стандарт прямо требует, чтобы учетные данные хранились либо на исходном мобильном устройстве, либо на сервере, управляемом выдающим органом, что усиливает эту ориентированную на устройство модель.

Однако стандарт не запрещает явным образом использование учетной записи пользователя в качестве уровня для управления и оркестрации. Это привело к появлению гибридной модели, особенно в реализациях нативных кошельков от Apple и Google. В этой модели криптографический якорь безопасности остается физическим устройством, но ориентированная на пользователя облачная учетная запись (например, Apple ID или Google Account) служит якорем управления жизненным циклом. Этот слой учетной записи может облегчать удобные для пользователя функции, такие как перенос учетных данных на новое доверенное устройство поблизости в случае Apple.

Стандарт ISO 18013-5 в основном фокусируется на модели данных и интерфейсе для предъявления учетных данных, а не на специфике первоначального процесса регистрации. Однако, чтобы mDL считался высоконадежным (например, соответствующим NIST IAL2 или eIDAS LoA «Высокий»), процесс регистрации должен быть надежным. На практике каждая крупная реализация высоконадежного mDL требует проверки на присутствие живого человека во время первоначальной регистрации. Этот шаг необходим для привязки живого пользователя к его физическому документу, удостоверяющему личность, и предотвращения атак с предъявлением.

Более сложный вопрос возникает, когда пользователь приобретает новое устройство. Требуется ли проверка на присутствие живого человека каждый раз, когда mDL предоставляется на новый телефон? Для регистрации на основе оптики ответ — подавляющее да. Самая безопасная практика — рассматривать предоставление на новое устройство как полную повторную регистрацию. Это не недостаток системы, а преднамеренный выбор в пользу безопасности. Поскольку модель безопасности ориентирована на устройство, с криптографическими ключами, привязанными к конкретному оборудованию, простое копирование учетных данных невозможно или небезопасно. Необходимо установить новую привязку между пользователем и новым оборудованием.

Однако эта повторная регистрация не всегда требует проверки на присутствие живого человека. Если у пользователя есть высоконадежный документ, удостоверяющий личность, с чипом NFC и кошелек, который его поддерживает, он может выполнить криптографическую повторную регистрацию, считав чип и доказав владение (например, с помощью PIN-кода), как описано в разделе 4.2.2. Это обеспечивает столь же сильную, если не более сильную, привязку к новому устройству.

Реализации подтверждают эту позицию. Credence ID, поставщик технологий в этой области, прямо заявляет, что повторная регистрация обязательна по соображениям безопасности всякий раз, когда пользователь меняет телефон, поскольку процесс использует ключи, специфичные для устройства, и данные не подлежат передаче. Аналогично, процесс добавления mDL в Google Wallet на новом телефоне Android требует от пользователя подачи совершенно нового запроса в DMV.

Apple предлагает более упрощенный процесс «переноса», но это слой удобства, построенный поверх основных принципов безопасности. Перенос зависит от доверенного состояния учетной записи Apple пользователя и безопасного процесса настройки нового iPhone, которые выступают в качестве прокси для полного повторного подтверждения личности. Пользователю все равно требуется аутентифицироваться и подтвердить перенос, фактически повторно авторизуя привязку к новому оборудованию.

Эта необходимость восстанавливать биометрическую связь на каждом новом устройстве создает определенные неудобства для пользователя, которые можно рассматривать как «налог на повторную регистрацию» для поддержания высокой безопасности. Хотя это и неудобно, это прямое следствие модели безопасности, которая справедливо отдает приоритет предотвращению клонирования учетных данных над бесшовной синхронизацией высоконадежных документов, удостоверяющих личность.

Европейский кошелек цифровой идентификации (EUDI) является центральным элементом регламента eIDAS 2.0. Он задуман как безопасное, контролируемое пользователем приложение, которое будет предоставляться каждым государством-членом ЕС, позволяя гражданам хранить и передавать персональные идентификационные данные (PID) и другие электронные подтверждения атрибутов (EAA), такие как водительское удостоверение, диплом университета или рецепт.

Ключевой архитектурный вопрос для кошелька EUDI заключается в том, как он будет обрабатывать использование на нескольких устройствах. Текущая Архитектура и референтная платформа (ARF) и связанные с ней анализы предполагают, что кошелек EUDI не будет функционировать как типичный облачный сервис, который бесшовно синхронизирует свое состояние на нескольких устройствах. Вместо этого архитектура указывает на модель, в которой у пользователя есть один основной, привязанный к устройству кошелек, который действует как его корень доверия.

Регламент предписывает, что каждое государство-член должно предоставить своим гражданам как минимум один кошелек. Основным архитектурным компонентом является Wallet Unit, который находится на личном мобильном устройстве пользователя и полагается на локальное или удаленное защищенное криптографическое устройство кошелька (WSCD) для своей безопасности. Этот дизайн по своей сути привязывает самые высокие функции безопасности кошелька к контексту конкретного устройства. Хотя ARF явно описывает потоки для использования на разных устройствах — например, использование смартфона для сканирования QR-кода для аутентификации сессии на ноутбуке — это модель взаимодействия, а не синхронизации. Настоящая синхронизация состояния кошелька, включая его приватные ключи и учетные данные, на нескольких устройствах технически сложна и создает значительные проблемы безопасности, которые могут противоречить принципу eIDAS о «единоличном контроле» со стороны пользователя.

Текущие анализы фреймворка приходят к выводу, что большинство реализаций кошелька EUDI разрабатываются для использования на одном устройстве. Это приводит к нескольким выводам о ландшафте нескольких устройств:

• Один основной кошелек: У гражданина, скорее всего, будет один основной кошелек EUDI, выданный его государством-членом и привязанный к его основному личному устройству.
• Несколько независимых кошельков: Гражданин с двойным гражданством может иметь несколько кошельков EUDI (например, один из Германии и один из Франции), но это будут отдельные, независимые и несинхронизированные экземпляры.
• Отдельные бизнес-кошельки: Непрактичность использования личного, одноустройственного кошелька в профессиональных целях привела к разработке концепции Европейского бизнес-кошелька (EUBW), отдельной инфраструктуры кошелька для управления организационными ролями и учетными данными.

Этот архитектурный подход позиционирует кошелек EUDI не столько как «синхронизированный облачный кошелек», сколько как «цифровой хаб идентификации». Основное мобильное устройство пользователя будет служить его личным корнем доверия для высоконадежных цифровых взаимодействий. Другие устройства будут взаимодействовать с этим хабом, а не быть равными ему. Это имеет важные последствия для удобства использования: пользователям понадобится их основное устройство для выполнения критически важных операций. Это также подчеркивает критическую важность надежных и удобных механизмов резервного копирования и восстановления, поскольку потеря основного устройства может сделать цифровую личность недоступной до завершения полной повторной регистрации.

Экосистема кошелька EUDI строится на подробной Архитектуре и референтной платформе (ARF), которая направлена на создание федеративной, но полностью совместимой системы по всему ЕС. ARF основана на четырех ключевых принципах проектирования: ориентированность на пользователя, совместимость, безопасность по умолчанию и конфиденциальность по умолчанию.

Архитектура определяет четкий набор ролей и взаимодействий:

Совместимость является краеугольным камнем этой экосистемы, гарантируя, что кошелек, выданный в одном государстве-члене, может быть использован для доступа к услуге в любом другом. Это достигается за счет обязательного принятия общих технических стандартов. Для удаленных (онлайн) взаимодействий ARF предписывает использование протоколов OpenID for Verifiable Presentations (OpenID4VP) и OpenID for Verifiable Credentials Issuance (OpenID4VCI). Для взаимодействий на близком расстоянии (лично) фреймворк требует соответствия стандарту ISO/IEC 18013-5.

Доверие в этой обширной, децентрализованной сети устанавливается и поддерживается через систему доверенных списков. Каждое государство-член будет вести списки сертифицированных поставщиков кошельков, поставщиков PID и других квалифицированных поставщиков доверительных услуг. Эти национальные списки объединяются в центральный список доверенных списков ЕС, создавая проверяемую «основу доверия», которая позволяет любому участнику экосистемы криптографически проверять легитимность любого другого участника.

В то время как аутентификация подтверждает личность для доступа к услуге, цифровая подпись служит другой, более глубокой цели: она фиксирует юридическое намерение человека согласиться с содержанием документа или набора данных. В рамках системы eIDAS Европейского союза высшей и наиболее юридически значимой формой этого является квалифицированная электронная подпись (QES).

Регламент eIDAS устанавливает четкую иерархию электронных подписей, каждая из которых основывается на предыдущей.

Наиболее значимым последствием QES является ее юридическая сила. Согласно статье 25 Регламента eIDAS, квалифицированная электронная подпись должна иметь юридическую силу, эквивалентную собственноручной подписи. Это мощная юридическая презумпция, которая признается единообразно во всех 27 государствах-членах ЕС.

Это означает, что документу, подписанному с помощью QES, не может быть отказано в юридической силе или допустимости в качестве доказательства в судебных разбирательствах только на том основании, что он находится в электронной форме. Хотя национальные законы по-прежнему определяют, какие типы договоров требуют письменной формы, для любой транзакции, где достаточно собственноручной подписи, QES является ее юридическим эквивалентом. Это делает QES золотым стандартом для транзакций, связанных с высокой стоимостью, значительным юридическим риском или законодательными требованиями к письменной подписи, таких как:

• Договоры купли-продажи недвижимости.
• Крупные кредитные и заемные соглашения.
• Нотариально заверенные документы и официальные судебные документы.
• Трудовые договоры и корпоративные резолюции.

Использование QES обеспечивает неотказуемость, что означает, что подписывающее лицо не может отрицать свое участие в подписанном соглашении, что является критически важной особенностью в юридических спорах. Это трансграничное юридическое признание является фундаментальным столпом Единого цифрового рынка ЕС, позволяя предприятиям и гражданам участвовать в безопасных и удобных электронных транзакциях без административного бремени и затрат, связанных с бумажными процессами.

Создание подписи с юридической силой QES включает в себя строгий, регулируемый процесс, который обеспечивает высочайший уровень подтверждения личности и безопасности. Обязательны два основных компонента:

1. Квалифицированный сертификат для электронных подписей: Это цифровой сертификат, который привязывает данные для проверки подписи (открытый ключ) к конкретному, именованному лицу. Этот сертификат может быть выдан только квалифицированным поставщиком доверительных услуг (QTSP). QTSP — это организация, которая прошла строгий аудит и процесс сертификации национальным надзорным органом и внесена в Доверенный список ЕС. Перед выдачей квалифицированного сертификата QTSP должен проверить личность заявителя до высокого уровня доверия, часто с помощью личных или эквивалентных удаленных процедур идентификации.
2. Квалифицированное устройство для создания подписи (QSCD): Сама электронная подпись должна быть создана с использованием QSCD. Это настроенное аппаратное или программное обеспечение, которое было сертифицировано как соответствующее строгим требованиям безопасности eIDAS. Основная функция QSCD — безопасно генерировать подпись и защищать приватный ключ подписывающего лица, гарантируя, что он всегда остается под его единоличным контролем. Примерами QSCD являются сертифицированные аппаратные модули безопасности (HSM), смарт-карты или безопасные службы удаленной подписи, управляемые QTSP.

Кошелек EUDI специально разработан для интеграции этой функциональности, либо будучи сертифицированным как QSCD сам по себе, либо безопасно взаимодействуя с удаленной службой QSCD, предоставляемой QTSP. Эта интеграция демократизирует доступ к QES, позволяя любому европейскому гражданину с полностью настроенным кошельком EUDI создавать юридически обязывающие цифровые подписи всего за несколько нажатий, что является значительным шагом к полностью цифровизированной, безбумажной администрации и экономике.

Глобальный ландшафт цифровой идентификации сходится вокруг ключевых принципов, таких как биометрическое доверие и безопасность, ориентированная на устройство. Навигация по этой развивающейся местности требует стратегических действий от всех участников. Следующие рекомендации предлагаются для того, чтобы помочь ключевым заинтересованным сторонам сбалансировать безопасность, удобство использования и совместимость.

• Анализируйте целевые уровни доверия: Перед разработкой точно определите уровень доверия, которого должен достичь ваш кошелек или сервис. Если учетные данные будут использоваться для регулируемых процессов, таких как KYC или верификации с высокими ставками, убедитесь, что меры подтверждения личности и аутентификации достаточно надежны, чтобы с самого начала соответствовать этим конкретным юридическим и нормативным требованиям.
• Приоритезируйте внедрение кошелька: Самый безопасный кошелек бесполезен, если его никто не использует. Разрабатывайте простые процессы регистрации с низким уровнем трения, которые поощряют пользователей устанавливать и настраивать свои кошельки. Создание дополнительных услуг поверх экосистемы кошелька возможно только при наличии критической массы внедрения среди целевой аудитории.
• Применяйте гибкую архитектуру: Проектируйте платформы идентификации и аутентификации с внутренней архитектурой, которая может соответствовать как гранулярным (в стиле NIST), так и унифицированным (в стиле eIDAS) моделям доверия. Это обеспечивает возможность обслуживания глобальных рынков без необходимости создания совершенно отдельных продуктовых стеков.
• Инвестируйте в ключевые технологии доверия: Сертифицированная детекция живости и высокоточное биометрическое сопоставление больше не являются дополнительными функциями; это основные компоненты для любого предложения по высоконадежной идентификации. Инвестиции в технологии, соответствующие стандартам, таким как ISO/IEC 30107-3 для обнаружения атак с предъявлением, имеют решающее значение.
• Проектируйте с учетом «налога на повторную регистрацию»: Признайте, что повторная регистрация на новом устройстве — это функция безопасности, а не ошибка. Разрабатывайте четкие, удобные и высокозащищенные процессы регистрации и повторной регистрации, которые минимизируют трение, сохраняя при этом целостность процесса биометрической привязки.
• Обеспечивайте безопасность всего жизненного цикла: Сосредоточьтесь не только на регистрации, но и на безопасных механизмах резервного копирования и восстановления. По мере того как кошелек EUDI и другие модели, ориентированные на устройство, становятся преобладающими, удобные, но безопасные процессы восстановления (например, на основе seed-фраз или протоколов, управляемых эмитентом) станут ключевым отличием.
• Внедряйте пошаговое повышение уровня доверия с совместимыми резервными вариантами: При интеграции верификации личности на основе кошелька (например, для KYC) используйте новые стандарты, такие как API цифровых учетных данных, где это возможно. Однако для обеспечения широкой совместимости с платформами и кошельками, которые еще не поддерживают API, внедряйте надежные резервные механизмы, такие как потоки на основе QR-кода или глубоких ссылок (например, с использованием OpenID4VP). Это обеспечивает последовательный пользовательский опыт и более широкий охват.
• Защищайте учетные записи с помощью Passkeys: Для сторонних кошельков, которые используют онлайн-аккаунты для управления метаданными пользователей или учетными данными, эти аккаунты становятся критически важной границей безопасности. Они должны быть защищены самыми надежными, устойчивыми к фишингу методами аутентификации, такими как Passkeys (FIDO2). Это предотвращает атаки на захват учетных записей, которые могут скомпрометировать данные пользователя или способствовать мошенническим действиям по повторной регистрации.

• Проводите тщательную оценку рисков: Не применяйте универсальный подход к обеспечению доверия. Используйте системы оценки рисков, такие как процесс DIRA в США, для определения соответствующего IAL и AAL, требуемых для каждой конкретной услуги или транзакции. Чрезмерная защита взаимодействий с низким риском создает ненужное трение, в то время как недостаточная защита взаимодействий с высоким риском способствует мошенничеству.
• Защищайте учетные записи с помощью Passkeys: После использования цифрового кошелька для высоконадежной верификации личности (повышения уровня доверия) учетная запись пользователя получает подтвержденный статус личности. Крайне важно защитить эту ценную учетную запись от фишинга. Требуйте или настоятельно поощряйте использование Passkeys для последующих входов, поскольку они обеспечивают устойчивую к фишингу MFA и гарантируют, что верифицированная учетная запись не будет скомпрометирована более слабыми методами аутентификации.
• Готовьтесь к миру множества кошельков: Будущее не за одним кошельком, а за многими. Предприятия и государственные учреждения должны инвестировать в технологии верификации и инфраструктуру, которые являются совместимыми и основанными на стандартах. Это означает поддержку протоколов, таких как OpenID4VP и ISO 18013-5, для обеспечения возможности принимать учетные данные из широкого спектра кошельков, включая кошелек EUDI, нативные кошельки ОС и другие сторонние решения.
• Следите за стандартами привязки к устройству для сценариев с высоким уровнем доверия: Для моделей риска, которые зависят от идентификации конкретного физического устройства (особенно с синхронизированными Passkeys), внимательно следите за развитием стандартов WebAuthn для сигналов доверия привязки к устройству. Хотя ранние предложения были прекращены, разрабатываются новые решения, которые позволят доверяющим сторонам различать доверенное устройство и новое синхронизированное, что обеспечит более гранулярную оценку риска без ущерба для удобства пользователя.
• Доверяйте криптографии, а не экрану: Обучайте сотрудников и проектируйте процессы так, чтобы они полагались на криптографическую верификацию с помощью совместимого считывателя, а не на визуальный осмотр учетных данных на экране телефона пользователя. Визуальный осмотр очень уязвим для подделки и мошенничества.

• Способствуйте международному сотрудничеству: Продолжайте поддерживать и участвовать в международных органах по стандартизации (таких как ISO и W3C), чтобы уменьшить фрагментацию и способствовать созданию общего языка для цифрового доверия. Гармонизация определений и требований, где это возможно, снизит барьеры для торговли и инноваций.
• Решайте проблему нескольких устройств: Признайте значительные проблемы удобства использования и безопасности, связанные с управлением несколькими устройствами. Поощряйте разработку стандартов и фреймворков для безопасного, ориентированного на пользователя восстановления и синхронизации учетных данных, которые не нарушают принцип «единоличного контроля».
• Балансируйте конфиденциальность и безопасность: Поскольку биометрические данные становятся краеугольным камнем высоконадежной идентификации, убедитесь, что правовые и нормативные рамки обеспечивают надежную защиту конфиденциальности этой чувствительной информации в соответствии с такими принципами, как GDPR.

Применяя эти стратегии, заинтересованные стороны могут не только ориентироваться в сложностях текущей среды, но и активно способствовать созданию более безопасной, совместимой и ориентированной на пользователя экосистемы цифровой идентификации будущего.

Будущее цифровой идентификации — это парадигма «машина-машине», где безопасные аппаратные элементы на устройствах подписывают криптографические вызовы для подтверждения личности пользователя. Этот переход от запоминаемых человеком секретов к доверию, основанному на аппаратном обеспечении, является фундаментальным для устранения целых классов атак, особенно фишинга.

Corbado специализируется на этом переходе. Мы помогаем компаниям, от поставщиков кошельков до регулируемых доверяющих сторон, ускорить их путь к действительно беспарольному будущему. Наша платформа разработана для того, чтобы:

• Стимулировать внедрение Passkeys с помощью интеллекта: Просто предложить Passkeys недостаточно; пользовательский опыт должен быть бесшовным, чтобы стимулировать внедрение. Passkey Intelligence, основной компонент нашего решения, — это умный логический слой, который оптимизирует потоки аутентификации. Он анализирует контекст пользователя — устройство, браузер и историю — чтобы предотвратить распространенные тупики, такие как запутанные циклы с QR-кодами или запросы Passkeys на неправильном устройстве. Интеллектуально направляя пользователей по наиболее успешному пути, он значительно увеличивает показатели создания и использования Passkeys, гарантируя, что ценные, верифицированные учетные записи защищены методом аутентификации, который является одновременно безопасным и беспроблемным.
• Облегчать идентификацию и восстановление: Решение Corbado поддерживает надежные процессы восстановления и идентификации учетных записей через нативные интеграции и плагины для существующих поставщиков услуг по верификации личности (IDV).
• Верифицировать цифровые учетные данные: Заглядывая в будущее, наша платформа создана для нативной поддержки верификации цифровых учетных данных с использованием новых стандартов, таких как API цифровых учетных данных, что позволяет вам соответствовать самым высоким уровням доверия, требуемым в регулируемых средах.

Независимо от того, являетесь ли вы поставщиком кошелька, стремящимся предложить безопасную аутентификацию, или доверяющей стороной, которой необходимо доверять предъявляемым вам учетным данным, Corbado предоставляет фундаментальную инфраструктуру для построения на основе современных, устойчивых к фишингу стандартов идентификации.

Наше путешествие по системам цифровой идентификации ЕС, США и Австралии выявляет четкий глобальный консенсус по основным принципам доверия. Все основные западные системы используют многоуровневый, основанный на риске подход и приняли биометрическую верификацию — проверку «живой человек — документ» — в качестве золотого стандарта для высоконадежной идентификации. Однако пути к достижению этого доверия расходятся. Модель США предлагает гранулярную гибкость, в то время как система eIDAS ЕС отстаивает единую совместимость, а система Австралии находится между этими двумя философиями. В конечном счете, успех цифровых кошельков зависит от сети доверия между пользователями, доверяющими сторонами и правительствами. Рассмотренные нами системы являются чертежами для этой новой эры. Задача сейчас состоит в том, чтобы строить на их основе, создавая экосистему идентификации, которая будет не только безопасной и совместимой, но и по-настоящему расширяющей возможности каждого человека.