歐洲數字身份(EUDI)錢包會成為攻擊者的蜜罐嗎?隨著2023年的截止日期的臨近,為歐洲公民提供一個數字錢包,該錢包可以存儲身份數據,簽名文件甚至旅行和購買產品,專家們正在召集討論該項目的隱藏危險。
上週,技術標準組織GlobalPlatform在布魯塞爾舉辦了一個關於開齋節錢包計劃的安全性,由公司和組織的發言人(例如隱藏全球,,,,這就是我,安全身份聯盟(SIA),Thales,,,,NXP半導體,Enisa,Deutsche Telekom等。
NXP半導體的安全認證專家Fabien Deboyser在專門用於認證的小組中說:“這是一個非常有趣的目標,因此我們需要以適當的方式進行設計。”他補充說,必須在時間限制下實現這一目標。
EUDI計劃的創建者將不得不平衡許多方面,以創建成功的產品。根據分散的身份技術提供商的業務發展和合作夥伴關係負責人Chiara Casoni的說法,他們必須足夠簡單,對於用戶和無縫足夠無縫,因此不必為每個功能教育用戶。加塔卡。
“事物的隱私和安全方面也不重要,”參加Eudi Wallet服務提供商小組的Casoni說。
隱私意味著確保錢包,憑據和驗證服務提供商無法跟踪該錢包所做的事情,同時提供用戶透明度,以查看他們在何處共享其憑據。安全意味著要確保錢包不可能,並確保錢包持有人可以以不會為大眾採用的障礙而證明其身份。最後,還有互操作性的挑戰。
Casoni說:“這不僅在不同的技術堆棧之間,而且在跨部門之間。” “我認為我們應該盡量最大程度地減少特定扇區類型的方案的特定錢包,因為這只是創造了更孤立的體驗。”
歐盟在2021年6月通過了《歐洲數字身份2》的法規。該法規規定,二十七個成員國中的每個成員國中的每個人都必須以其他成員國認可和接受的計劃,並在2024年與其他成員國認可和接受。
隨著截止日期的臨近,錢包創建者正在解決許多挑戰, 包括實現完整的互操作性,,,,設定技術標準和認證。
SGS Brightsight業務發展總監Oscar Leurs說:“一個錢包有大量用例。” “我們在認證中看到的是,目前,對於不同的用例,我們有單獨的方案或我們可以評估的幾套單獨的標準集。我認為,這確實是將這些東西聚集在一起的最大挑戰”
從技術角度來看,錢包是硬件和軟件組件,雲應用程序的組合,也是支持錢包安全性的處理和服務。數字安全行業組織歐洲賽瑪特副總裁Alban Feraud表示,問題之一是評估每個組件的安全性。
Feraud說:“這確實是一捆,各種技術,各種項目,產品,服務和流程的混合物。”關鍵問題之一是能夠將所有可能已通過單獨評估和認證的組件和過程“粘合”在一起。 “我認為常見的標準不是金色子彈,”費拉德說。
他還存在分裂的風險:國家政府自然傾向於在認證中引入分裂,尤其是在數據保護方面,這可能會通過引入國家要求來阻礙認證過程。
最後,小組成員談到了圍繞Eudi錢包中生物識別技術的風險,用於需要最高水平的保證,以及在某些階段應引入哪些其他步驟。
“考慮到您可以注入系統中的深層假貨,提供最高水平的安全性仍然是一個挑戰,”法國Identité首席技術官Jean-KarimZinzindohoué說。 “我認為,對於[階段]的註冊,面部識別是從討論中刪除的,但是有一個問題要添加其他會增加摩擦的過程。因此,最終,問題是,我們是否可以完全遠程登機?”
