欧洲数字身份(EUDI)钱包会成为攻击者的蜜罐吗?随着2023年的截止日期的临近,为欧洲公民提供一个数字钱包,该钱包可以存储身份数据,签名文件甚至旅行和购买产品,专家们正在召集讨论该项目的隐藏危险。
上周,技术标准组织GlobalPlatform在布鲁塞尔举办了一个关于开斋节钱包计划的安全性,由公司和组织的发言人(例如隐藏全球,,,,这就是我,安全身份联盟(SIA),Thales,,,,NXP半导体,Enisa,Deutsche Telekom等。
NXP半导体的安全认证专家Fabien Deboyser在专门用于认证的小组中说:“这是一个非常有趣的目标,因此我们需要以适当的方式进行设计。”他补充说,必须在时间限制下实现这一目标。
EUDI计划的创建者将不得不平衡许多方面,以创建成功的产品。根据分散的身份技术提供商的业务发展和合作伙伴关系负责人Chiara Casoni的说法,他们必须足够简单,对于用户和无缝足够无缝,因此不必为每个功能教育用户。加塔卡。
“事物的隐私和安全方面也不重要,”参加Eudi Wallet服务提供商小组的Casoni说。
隐私意味着确保钱包,凭据和验证服务提供商无法跟踪该钱包所做的事情,同时提供用户透明度,以查看他们在何处共享其凭据。安全意味着要确保钱包不可能,并确保钱包持有人可以以不会为大众采用的障碍而证明其身份。最后,还有互操作性的挑战。
Casoni说:“这不仅在不同的技术堆栈之间,而且在跨部门之间。” “我认为我们应该尽量最大程度地减少特定扇区类型的方案的特定钱包,因为这只是创造了更孤立的体验。”
欧盟在2021年6月通过了《欧洲数字身份2》的法规。该法规规定,二十七个成员国中的每个成员国中的每个人都必须以其他成员国认可和接受的计划,并在2024年与其他成员国认可和接受。
随着截止日期的临近,钱包创建者正在解决许多挑战, 包括实现完整的互操作性,,,,设定技术标准和认证。
SGS Brightsight业务发展总监Oscar Leurs说:“一个钱包有大量用例。” “我们在认证中看到的是,目前,对于不同的用例,我们有单独的方案或我们可以评估的几套单独的标准集。我认为,这确实是将这些东西聚集在一起的最大挑战”
从技术角度来看,钱包是硬件和软件组件,云应用程序的组合,也是支持钱包安全性的处理和服务。数字安全行业组织欧洲赛玛特副总裁Alban Feraud表示,问题之一是评估每个组件的安全性。
Feraud说:“这确实是一捆,各种技术,各种项目,产品,服务和流程的混合物。”关键问题之一是能够将所有可能已通过单独评估和认证的组件和过程“粘合”在一起。 “我认为常见的标准不是金色子弹,”费拉德说。
他还存在分裂的风险:国家政府自然倾向于在认证中引入分裂,尤其是在数据保护方面,这可能会通过引入国家要求来阻碍认证过程。
最后,小组成员谈到了围绕Eudi钱包中生物识别技术的风险,用于需要最高水平的保证,以及在某些阶段应引入哪些其他步骤。
“考虑到您可以注入系统中的深层假货,提供最高水平的安全性仍然是一个挑战,”法国Identité首席技术官Jean-KarimZinzindohoué说。 “我认为,对于[阶段]的注册,面部识别是从讨论中删除的,但是有一个问题要添加其他会增加摩擦的过程。因此,最终,问题是,我们是否可以完全远程登机?”
