أمن الهويات في Apple Wallet
تساعد الميزات التالية على زيادة مستويات الأمن عند استخدام الهويات في Apple Wallet.
سلامة بيانات الهوية ومكافحة تزييفها
تستخدم الهويات في Apple Wallet التوقيع المقدم من جهة الإصدار للسماح لأي قارئ متوافق مع معيار ISO/IEC 18013-5 بالتحقق من هوية المستخدم في Apple Wallet. بالإضافة إلى ذلك، يتم حماية جميع عناصر بيانات الهوية في Wallet بشكل فردي من الاحتيال. يتيح ذلك لقارئ الهوية طلب مجموعة فرعية محددة من عناصر البيانات الموجودة على الهوية في Apple Wallet، وبالنسبة إلى الهوية في Apple Wallet يتيح لها الرد بالمجموعة الفرعية ذاتها، ومن ثم مشاركة البيانات المطلوبة فقط وزيادة خصوصية المستخدم.
ربط الجهاز
تستخدم الهويات في مصادقة Apple Wallet توقيع جهاز للحماية من استنساخ الهوية وإعادة تشغيل عرض هوية. تخزن Apple Wallet المفتاح الخاص لمصادقة الهوية في Secure Element لجهاز iPhone، وثمن ثمَّ تكون الهوية مرتبطة بالجهاز نفسه الذي أنشأت جهة الإصدار الخاصة بالولاية الهوية له.
الموافقة المستنيرة
قد تستخدم الهويات في Apple Wallet المصادقة لتحديد هوية القارئ باستخدام البروتوكول المحدد في معيار ISO/IEC 18013-5. وخلال العرض، إذا كان للقارئ شهادة خاصة به موثوقة بواسطة Apple Wallet، تظهر للمستخدمين أيقونة للتأكيد لهم أنهم يتعاملون مع الجهة المطلوبة.
سرية بيانات المستخدم عبر الارتباطات اللاسلكية
يساعد تشفير الجلسة على ضمان أن جميع معلومات التعريف الشخصية (PII) متبادلة بين الهوية في Apple Wallet وأن قارئ الهوية مشفر. يتم إجراء التشفير بواسطة طبقة التطبيق. لذلك لا يعتمد أمن تشفير الجلسة على الأمن الذي توفره طبقة النقل (على سبيل المثال، NFC و Bluetooth و Wi-Fi).
تساعد الهويات في Apple Wallet على الحفاظ على خصوصية معلومات المستخدمين
تلتزم الهويات في Apple Wallet بعملية "استرداد الجهاز" الموضحة في معيار ISO/IEC 18013-5. يغني استرداد الجهاز عن الحاجة إلى إجراء مكالمات الخادم أثناء العرض، ومن ثم حماية المستخدمين من تعقب Apple وجهة الإصدار.
أمن مدقق الهوية
في iOS 17 أو أحدث، يمكن للشركات والمؤسسات الأمريكية استخدام iPhone لقراءة هويات الأجهزة المحمولة المتوافقة مع معيار ISO 18013-5 مباشرةً بسلاسة وأمان دون الحاجة إلى أجهزة خارجية. يمكن استخدام مدقق الهوية بطريقتين مختلفتين، حسب حالة استخدام التحقق من الصحة:
شاشة مدقق الهوية فقط: يسمح ذلك باستخدام واجهة مستخدم iOS لعرض بيانات الاسم والعمر وصورة الهوية والعمر فوق "رقم" لحالات الاستخدام التي تتطلب تأكيدًا مرئيًا فقط. لا تسمح هذه الخدمة بجمع المعلومات التي تدل على الهوية الشخصية (PII) التي يمكن إعادة ربطها بالجهة المقدمة.
نقل بيانات مدقق الهوية: تسمح هذه الميزة للتطبيقات بطلب عناصر بيانات إضافية، مثل تاريخ الميلاد والعنوان، للتوافق مع متطلبات التحقق القانوني. يُدار حق الوصول إلى واجهة برمجة تطبيقات نقل بيانات مدقق الهوية من خلال الاستحقاقات، ويجب أن تتوافق التطبيقات مع المتطلبات المرتبطة بكيفية استخدام البيانات. على سبيل المثال، يجب أن تقدِّم التطبيقات متطلبًا قانونيًا لطلب بيانات الهوية. يُطلب من التطبيقات أيضًا الحفاظ على سياسة الخصوصية التي توضح تفاصيل المعالجة أو التخزين أو الاستخدام الآخر لبيانات الهوية المطلوبة.
قراءة هوية الأجهزة المحمولة
يلتزم مدقق الهوية باتباع البروتوكول المُحدَّد في معيار ISO/IEC 18013-5. عندما يطلب تطبيق يستخدم واجهة برمجة تطبيقات مدقق الهوية قراءة هوية الأجهزة المحمولة، تُعرض صفحة - يتحكم فيها iOS - وتطلب من حامل هوية الأجهزة المحمولة تثبيت جهازه بالقرب من قارئ الهوية. تؤدي هذه المشاركة الأولية بتقنية الاتصال قريب المدى (كما هو محدد في معيار ISO/IEC 18013-5، يمكن استخدام رمز QR لبدء عملية تسليم Bluetooth بدلًا من الاتصال قريب المدى) إلى إنشاء اتصال آمن عبر تقنية Bluetooth® منخفض الطاقة (BLE) بين كلا الجهازين. في هذه المرحلة، يمكن لحامل هوية الأجهزة المحمولة مراجعة المعلومات المطلوبة على أجهزته. بعد موافقة حامل هوية الأجهزة المحمولة، تُنقَل بيانات الهوية المطلوبة إلى جهاز القراءة. تتلقى التطبيقات التي تستخدم واجهة برمجة تطبيقات نقل بيانات مدقق الهوية بيانات الاستجابة للمعالجة، بينما تطّلع التطبيقات التي تستخدم واجهة برمجة تطبيقات شاشة مدقق الهوية فقط على البيانات المعروضة باستخدام iOS مباشرةً.
يوفر معيار ISO/IEC 18013-5 آليات أمنية متعددة لاكتشاف المخاطر الأمنية والتصدي لها والتخفيف من حدتها. ومن بين هذه الآليات، يجري مدقق الهوية عملية التحقق من صحة توقيع كل من جهة الإصدار والجهاز. وبالإضافة إلى ذلك، يدعم مدقق الهوية مصادقة القارئ باتباع البروتوكول المُحدَّد في معيار ISO/IEC 18013-5. يمكن أن تختار التطبيقات عرض أيقونة واسم للتأكد من أن حامل الهوية يتعامل مع الطرف المقصود باستخدام شهادة القارئ.
التحقق من صحة جهة الإصدار والجهاز
للحماية من عمليات التزييف، يجري مدقق الهوية عملية التحقق من صحة توقيع عنصر أمن الأجهزة المحمولة من قبل جهة الإصدار الموثوقة لهوية الأجهزة المحمولة. يوفر نقل بيانات مدقق الهوية أيضًا واجهة برمجة التطبيقات التي تمكِّن التطبيقات من إجراء التحقق من صحة توقيعها، بدلًا من iOS، عند الحاجة. لتقديم ضمان للشركة أو المؤسسة بعدم نسخ هوية الأجهزة المحمولة من جهاز إلى آخر، يجري مدقق الهوية التحقق من صحة التوقيع عبر بيانات الجلسة.
مصادقة القارئ
في وقت التقديم، يتم توقيع طلب قارئ مدقق الهوية باستخدام المفتاح الخاص المرتبط بشهادة مصادقة القارئ الذي يُوثَّق بالجهة الموثوقة Apple Root (CA)، والذي يحتوي على ملحقات x509 المخصصة ذات الصلة للتوضيح للحامل ما إذا كانت الشركة تنوي تخزين البيانات أم لا. إذا كان أحد التطبيقات يهدف إلى عرض الاسم والأيقونة لحامل الهوية، يجب على مسؤول التطبيق التسجيل باستخدام Apple Business Register وتقديم معلومات دقيقة عن العلامة التجارية. بعد نجاح التحقق من المعلومات المقدمة، في وقت المعاملة، تزود شهادة مصادقة القارئ حامل الهوية بالمعلومات حول الكيان من Apple Register عبر شهادة مصادقة القارئ.