谷歌正致力于将eID载入Android

谷歌正致力于将电子身份证引入到Android系统中，该公司还确认所有新的Android Q设备都需要对用户数据进行加密。

5月10日，据外媒报道，谷歌宣布，它正致力于将电子身份证件(ID)带入Android。另外，该公司还确认所有新的Android Q设备都需要对用户数据进行加密。

目前，电子钱包应用程序可以放入机票，会员卡和信用卡，但它们仍然无法支持有效身份证明的应用。电子钱包应用程序一直想要开发数字驾照、护照等电子ID功能(在美国，驾照与身份证一样可作为有效的个人身份证件)。谷歌正在寻求添加电子ID功能，以便开发人员开发可用作ID的移动应用程序。同时谷歌希望确保该项目遵循加密实践以及合法程序。

Android平台安全主管Rene Mayrhofer说：“我们将为Android设备提供应用程序编程接口(API)和硬件抽象层(HAL)的参考实现，以确保该平台为类似的安全和隐私应用提供构建模块”。谷歌希望在Android中构建一个Identity Credential API。身份凭证将附带凭据存储，该凭据存储支持应用程序配置其属性并测量其透明度*。

一、移动驾照ISO标准已入Android Q平台

Mayrhofer指出：“移动驾照(mDL)ISO标准尚未完全锁定，我们已将API放入Android Q平台。这是全球所有电子身份证计划中最先进的标准之一。据我所知，ISO的讨论正在进行，未来的护照讨论可能会等待驾照标准讨论完成之后进自行。这正是我们希望确保我们放入Android框架的API能够实现所有驾照需求的原因。”

有关驾照标准的讨论有三年了，谷歌正在为此标准做出贡献。但是Android团队不再愿意等下去了。Mayrhofe说：“相反，很快我们将推出另一个Jetpack兼容性库，应用程序开发人员可以使用它来为各个车管局编写应用程序。”

Mayrhofer说：“它必须是一个库，但我们预计，API将在框架本身的未来版本的Android版本中保持不变。然后，凭证存储将成为系统服务，即在所有应用程序之间共享的系统守护程序，并且可以通过新的HAL直接与OEM特定的安全硬件进行交互。他们还没有与官方的Android Q合并，但是每个人都可以看到HAL规范在未来的API下降中可能会是什么样子。”

二、电量不足也可让Android访问身份证件

谷歌的最终目标是让Android安全地存储包括护照在内的身份证件，即使设备没有足够的电时也可以访问。

据报道，此前在美国一些地方开始试点推行数字驾照，不过数字驾照可能存在一些缺点。例如用户必须确保他们的手机有足够的电量来保持Android系统运行，以便他们可以提取数字驾照。

借助IdentityCredential API，Google正致力于解决这个问题。在Android的未来版本中，具有合适硬件的设备将能够安全地存储护照、驾照等身份证明，甚至在设备没有足够的电力来启动Android时访问它们。

Mayrhofer感叹说：“很难知道ISO的标准什么时候可以完全落地，但是，只要它确实，或者是在确定之前，我们就可以将支持合并到框架中。我们已经向OEM寻求直接代工的支持，这就是兼容性库无法做到的。我们需要依赖那里的HAL来改进硬件。这样一来，即使手机电池电量太低无法为主CPU供电，用户依然可以使用电子ID。只需点击NFC键，你仍然可以访问个人身份证明，因为它将存储在一个直接连接的安全元素上。”

谷歌可能会首先在Pixel设备启动此功能，然后说服其他Android制造商发挥作用。让用户在Android设备上使用身份证明可能还要几年时间。

三、Android Q引入全新加密

据报道，谷歌已经在Android Q Beta 3引入了生物识别和网络流量加密，不过，谷歌在Android Q中引入了全新的安全技术，能够让任意Android设备无需硬件辅助实现加密。

用户的Android设备上的用户数据可能已加密。事实上，自Android Marshmallow以来，谷歌已要求设备制造商将存储加密设为默认选项。但高级加密标准(AES)性能较差(50 MiB/s及以下)的设备并没有此项操作。

今年2月，谷歌推出了一种新的加密技术Adiantum，旨在保护存储在低端智能手机和其他处理能力不足设备上的数据。当时，该公司暗示将更新兼容性定义文档(CDD)，要求所有新的Android设备，即Android Q手机、平板电脑、电视和汽车都要加密。今天，该公司已经实现了这项要求。

结语

谷歌正致力于在Android中安全地存储数字驾照，谷歌希望在Android中构建一个Identity Credential API，它旨在提供既方便又安全的服务。

数字化已经成为我们生活的趋势，但“数据泄露”已经成为当下网络时代的一个无法抹去的注脚。无论是巨头如谷歌还是寻常百姓都开始日益重视个人隐私信息的保护。eID将继续拓展技术与产业及应用场景的深度融合，为老百姓的安全便捷，为个人信息保护、为维护数据权益、为数据的开放流通提供基础支撑。

注：证书透明度Certificate Transparency是谷歌力推的一项拟在确保证书系统安全的透明审查技术，只有支持CT技术签发的EV SSL证书，谷歌浏览器才会显示绿色单位名称，否则chrome浏览器不显示绿色单位名称。

证书透明度是Google为了减少恶意颁发未经授权证书的一种新规范，CA创建了一个被称为”pre-certificate”并将其发送到通过谷歌认证的Log Server(日志服务器)，日志服务器给预签证返回一个”已签证书时间戳”(Signed Certificate Timestamp)给CA，称为STC数据，此数据被嵌入到正式签发的证书中或通过TLS模式提供部署到Web服务器中。简单的说：就是为合法签发的证书做了一个白名单，谷歌浏览器在验证证书时同时也会去查看这个证书是不是在白名单里面。如果不在的话，是不会显示绿色单位名称的，也不会显示证书透明度信息。