Appleウォレットでの本人確認書類のセキュリティ
以下の機能は、Appleウォレットで使用する本人確認書類のセキュリティを向上させることができます。
識別情報データの整合性と偽造防止
Appleウォレットの本人確認書類では、発行機関が提供した署名を使用して、ISO/IEC 18013-5に準拠したリーダーによるAppleウォレットのユーザの本人確認書類の検証を許可します。さらに、ウォレットの本人確認書類にあるすべてのデータ要素は、個別に偽造から保護されています。これによって、リーダーがAppleウォレット内の本人確認書類に存在するデータ要素の特定のサブセットを要求し、Appleウォレット内の本人確認書類がその同じサブセットを返すことができます。こうしたことの結果、要求されたデータを共有し、ユーザのプライバシーを最大化できます。
デバイスのバインディング
Appleウォレット認証の本人確認書類は、デバイス署名を使用して、本人確認書類の複製や識別情報提示のリプレイから保護します。Appleウォレットが本人確認書類認証の秘密鍵をiPhoneデバイスのSecure Elementに保存することで、本人確認書類は州の発行機関が本人確認書類を作成したのと同じデバイスにバインドされます。
インフォームドコンセント
Appleウォレットの本人確認書類は、ISO/IEC 18013-5規格で定められたプロトコルを使用して、リーダーを識別するために認証を使用する場合があります。提示中、Appleウォレットに信頼された固有の証明書がリーダーにある場合は、やりとりしている相手が意図した相手である保証をユーザに与えるためにアイコンが表示されます。
無線リンク上のユーザデータの機密性
セッションの暗号化によって、Appleウォレット内の本人確認書類とリーダーの間で交換されるすべての個人を特定できる情報(PII)が暗号化されることが保証されます。暗号化はアプリケーションレイヤーで実行されます。そのため、セッション暗号化のセキュリティは、送信レイヤー(NFC、Bluetooth、Wi-Fiなど)で提供されるセキュリティには依存しません。
Appleウォレットの本人確認書類は、ユーザの情報を非公開に保つのに役立つ
Appleウォレットの本人確認書類は、ISO/IEC 18013-5に示された「デバイス検索」プロセスに従っています。デバイス検索によって提示中にサーバを呼び出す必要がなくなり、ユーザがAppleおよび発行機関の追跡から保護されます。
識別情報データの整合性と偽造防止に記載されているように、モバイルセキュリティオブジェクト(MSO)には発行元が提供する署名などの要素が含まれ、リーダーが本人確認書類を確認できるようになっています。これらの静的な要素が追跡される可能性を減らし、提示される本人確認書類の依拠当事者間でのトラッキングを防ぐため、デバイスはAppleウォレットの本人確認書類ごとに、複数の本人確認書類認証キーを管理しています。本人確認書類の発行元は、本人確認書類を発行または更新する際に、本人確認書類の認証鍵ごとに一意なMSOペイロードを生成します。これがユーザのデバイスに送信され、暗号化されて保存されます。提示の際、デバイスは本人確認書類認証鍵とそれに関連付けられたMSOをランダムに選択し、トランザクションに使用します。これは、ユーザが本人確認書類以外の情報(age_over_18といった年齢要素など)を提示する場合に有効です。これにより、複数の当事者が確実に要素を照合したり、特定のユーザを識別したりする可能性を減らすことができます。同じ依拠当事者に提示する場合、本質的にリンク可能な情報が提示される内容に含まれる場合などは、負荷を減らすために鍵が再利用される場合もあります。発行元が早期ローテーション対応をオプトインしている場合、すべての本人確認書類認証鍵が少なくとも一度使用されると、デバイスは一連の新しい鍵を生成して更新されたペイロードを要求するプロセスを開始します。
ID確認のセキュリティ
iOS 17以降を搭載したiPhoneでは、米国の企業や組織は、外部ハードウェアを必要とせずに、iPhoneを使用してシームレスで安全に、対面でISO 18013-5またはISO 23220-1準拠のモバイルIDを読み取ることができます。ID確認は、確認のユースケースに応じて2つの異なる方法で使用できます:
ID確認の表示のみ: これにより、iOSユーザインターフェイスを使用して、視覚的な確認のみが必要なユースケースで「名前」、「年齢」、「身分証明写真」、および「N歳以上」のデータを表示できるようになります。また、どのようなスクリーンショット機能や画面収録機能によっても表示された情報が取得されないように設計されています。このサービスは、提示者が特定される可能性のある個人を特定できる情報(PII)の収集を許可しません。
ID確認データ転送: これにより、法的な確認要件を満たすために、アプリで誕生日や住所などの追加のデータ要素を要求できるようになります。ID確認データ転送APIへのアクセスはエンタイトルメントで管理され、アプリはデータの利用方法に関する要件に準拠する必要があります。例えば、アプリは、本人データを要求するために法的な要件を示す必要があります。また、要求した本人データの処理、保存、またはその他の使用について詳細に規定したプライバシーポリシーを維持することも要求されます。
モバイルIDの読み取り
ID確認は、ISO/IEC 18013-5規格で定められたプロトコルに従います。ID確認APIを使用するアプリがモバイルIDを読み取るよう要求すると、iOSによって制御されるシートが表示され、モバイルIDの持ち主にデバイスをリーダーに近づけるよう求めます。その最初のNFCの関与(ISO/IEC 18013-5規格によって定義されているように、QRコードを使用して、NFCの代わりにBluetoothハンドオーバープロセスを開始できます)により、両方のデバイス間に安全なBluetooth Low Energy(BLE)接続が確立されます。その時点で、モバイルIDの持ち主は、要求されている情報を自分のデバイスで確認することができます。モバイルIDの持ち主が同意すると、要求された本人データが読み取り側デバイスに転送されます。ID確認データ転送APIを使用するアプリは処理のために応答データを受信し、ID確認の表示のみAPIを使用するアプリは、iOSによって直接表示されるデータを表示します。
ISO/IEC 18013-5規格は、セキュリティリスクを検知、抑止、軽減する複数のセキュリティメカニズムを規定しています。その中でID確認は、発行機関の署名とデバイス署名の検証の両方を実行します。さらに、ID確認は、ISO/IEC 18013-5規格で定められたプロトコルを使用したリーダー認証に対応しています。アプリは、リーダーの証明書を使用してIDの持ち主がやりとりしている相手が意図した相手であるという保証を与えるために、アイコンと名前を表示することを選択できます。
発行機関とデバイスの検証
偽造からの保護として、ID確認は、モバイルIDの信頼できる発行機関によるモバイルセキュリティオブジェクトの署名を検証します。ID確認データ転送は、必要に応じて、iOSではなくアプリで独自の署名の検証を実施できるようにするAPIも提供します。企業や組織にモバイルIDがデバイス間でコピーされていないという保証を与えるため、ID確認はセッションデータで署名を検証します。
リーダー認証
提示の時点で、ID確認リーダーのリクエストが、Appleルート認証局(CA)までチェーンするリーダー認証証明書に関連付けられた秘密鍵によって署名されます。これには、企業がデータを保存する予定の場合に持ち主に示す、関連のx509のカスタム機能拡張が含まれています。アプリケーションでIDの持ち主に名前とアイコンが表示されるようにしたい場合、アプリ管理者は、Apple Business Registerを使用して登録し、正確なブランディング情報を提供する必要があります。送信した情報が正常に検証されると、トランザクションの時点でリーダー認証証明書が、リーダー認証証明書を介したApple Registerからのエンティティに関する情報をIDの持ち主に提供します。