到2023年底,歐洲國家已承諾向其公民提供歐洲數字身份錢包(EUDI),這是您手機的TAP上可用的申請,承諾將存儲和共享識別數據,授予訪問和簽名文件等。但是專家警告說,數字ID項目還將面臨安全挑戰 - 從惡意軟件和漏洞到黑客。
數百萬個身份不僅將用於訪問數字服務,還將用於數字旅行證書,駕駛執照,大學文憑以及潛在的個人信息,例如銀行和醫療記錄。儘管身份盜用和數據洩漏可能會影響用戶,但另一個後果可能是對服務提供商的信任喪失。
當前版本的EUDI的主要風險是發行和管理身份的責任,並確保可以與第三方共享,Guillaume忘記了,隱性,位於丹麥的數字安全解決方案提供商。
“目前,我看到實際上很少有人能夠承擔這一責任的人。”忘記說,他補充說,責任可能落在大型政府組織上。 “如果您要管理潛在的數百萬最終用戶的身份,並且這已經受到損害,那麼一家小公司很容易倒閉。”
忘記解釋說,Eudi錢包有四個利益相關者群體,第一個是用戶,這是解決方案的核心。第二個利益相關者是可信賴的身份和值得信賴的數字資產的來源。第三個是歐洲數字身份錢包本身或ID錢包計劃的運營商的發行人。後者將依靠歐盟委員會提供的框架。最後一個集團是依靠通過EUID錢包共享的憑證或證明的依賴各方,即公共和私人公司,以授予對產品或服務的訪問權限。
“許多機構在管理為數百萬用戶服務的後端管理方面都有很強的工作,並且他們有某些程序來減輕風險,”忘記說。 “但是,當您圍繞基於移動應用程序管理大規模計劃的審計框架,除非是銀行業,否則我不知道有任何其他領域以這種敏感性發出應用程序的行業。”
Eudi錢包周圍的威脅,eidas2旨在向所有歐盟公民提供數字身份的法規已由歐盟網絡安全局(ENISA)等辦公室進行了研究。儘管截止日期正在臨近,但挑戰仍然存在, 包括實現完整的互操作性和設定技術標準。
在最近的一個報告,行業組Digitaleurope強調了諸如預防欺詐,用戶可訪問性和實施時間範圍之類的問題。
該小組在報告中指出:“我們擔心時間和程序壓力可能導致未成熟的產品通過大規模項目將未足夠的時間推向市場。這將損害對重要的EU基礎設施的安全和健康競爭。”
但是,忘記筆記,如果Eudi的目標是廣泛採用並以歐洲政府的計劃作為較高的使用率,那麼它將需要從技術的實時部署中學到的教訓。花費太長時間來啟動項目的公司可能會發現自己被大型技術領域所克服。
“如果您過去看過成功的方案,他們就不會從第一天開始就從數百萬用戶開始,”忘記說。 “他們開始,成長和適應,並建立在功能上。”
EUDI錢包將必須離線工作並存儲敏感數據,例如個人身份文檔,加密密鑰和移動平台上的其他私人信息,以使其暴露於損失,硬件故障,惡意軟件,黑客和小偷。
根據Cryptomathic的白皮書“ EUDI:為高風險資產實施最佳實踐安全性”,該錢包將面臨兩種類型的攻擊:第一個是反對移動應用程序本身的攻擊,包括逆向工程工具,利用設備內存,更改用戶界面或創建類似的應用程序來使用戶混淆。另一種類型針對API和通信渠道。此類攻擊將集中在Eudi錢包與錢包生態系統中的參與者之間的界面上,主要是公開個人數據。
如果沒有移動安全性,EUDI將無法在潛在攻擊方面保持領先地位,該公司提供自己的安全解決方案。新移動應用程序通常每三到六個月出現一次,因為它們會根據新的OS版本,新設置,潛在攻擊和加密庫庫進行更新。
“如果您配備一個靜態框架,例如用於智能卡或後端技術的靜態框架,您會說,每18個月都會說,那麼您一定會失敗或受到攻擊,而這將無法減輕,”忘記說。
因此,如果Eudi有潛力,將需要一個靈活的,不斷更新的框架輕鬆航空旅行,在線購買和企業對企業互動要實現。
