Apple Cüzdan’daki kimlikler
iOS 15.4 veya daha yenisine sahip iPhone 8 veya daha yenisinde ve watchOS 8.4 veya daha yenisine sahip Apple Watch Series 4 veya daha yenisinde katılımcı ABD eyaletlerindeki kullanıcılar, kimlik kartlarını veya ehliyetlerini Apple Cüzdan’a ekleyebilir ve kartı katılımcı konumlarda sorunsuz ve güvenli bir şekilde göstermek için iPhone’larına veya Apple Watch’larına dokunabilir.
iOS 18.5 veya daha yenisine sahip iPhone 8 veya daha yeni modellerinde, kullanıcılar iPhone’daki Apple Cüzdan’a Japonya’daki My Number Card’ı ekleyebilirler; iOS 26.1 veya daha yenisi ve watchOS 26.1 veya daha yenisi ile geçerli bir pasaportu olan kullanıcılar iPhone’daki ya da Apple Watch’taki Apple Cüzdan’da Dijital Kimlik yaratabilirler.
Apple Cüzdan’daki kimlikler, kullanıcının kimliğini korumaya ve kişisel bilgilerini güvende tutmaya yardımcı olmak için kullanıcının aygıtının donanımında ve yazılımında yerleşik olan güvenlik özelliklerini kullanır.
Ehliyeti veya kimliği Apple Cüzdan’a ekleme
iPhone’da kullanıcılar, ehliyetlerini veya kimliklerini eklemeye başlamak için Apple Cüzdan’da ekranın en üstündeki Ekle düğmesine (+) dokunabilirler. Kullanıcıların ayarlama zamanında eşlenmiş bir Apple Watch’u varsa, ehliyetlerini veya kimliklerini Apple Watch’taki Apple Cüzdan’a da eklemeleri istenir.
Kullanıcılardan öncelikle iPhone’larını kullanarak fiziksel ehliyetlerinin veya kimlik kartlarının önünü ve arkasını taramaları istenir. iPhone, sağlanan görüntülerin yetkiyi veren eyalet tarafından kabul edilebilir olduğundan emin olmak için görüntülerin kalitesini ve türünü değerlendirir. Bu kimlik kartı görüntüleri, aygıtta yetkiyi veren eyaletin anahtarına şifrelenir ve ardından yetkiyi veren eyalete gönderilir.
Kimlik kartını Apple Cüzdan’a ekleyen kişinin kartın sahibi ile aynı kişi olduğundan emin olmak için kullanıcıdan bir Live Photo veya selfie çekmesi istenir. Bazı durumlarda, kullanıcıdan bir dizi yüz veya kafa hareketini tamamlaması da istenebilir. Bu hareketler, bir kişinin Apple Cüzdan’a başka birinin kimliğini eklerken fotoğraf, video veya maske kullanma riskini azaltmak için kullanıcının aygıtı ve Apple tarafından değerlendirilir. Bu hareketlerin analizinden çıkan sonuçlar yetkiyi veren eyalete gönderilir, ancak hareketlerin videosu gönderilmez.
Kullanıcının selfie’sini yetkiyi veren eyalete göndermeden önce Apple sunucuları ve kullanıcının aygıtı, selfie’nin yüz ve kafa hareketleri dizisini gerçekleştiren kişiyle benzerliğini karşılaştırır. Karşılaştırmayı tamamladıktan sonra aygıt selfie’yi şifreler ve onu kimlik için dosyalanmış görüntüyle karşılaştıran yetkiyi veren eyalete gönderir.
Son olarak, kullanıcılardan bir Face ID veya Touch ID kimlik doğrulaması gerçekleştirmeleri istenir. Yalnızca kimliği bu iPhone’a ekleyen kişinin kimliği kullanabileceğinden emin olmak için kullanıcının aygıtı bu tek eşlenmiş Face ID veya Touch ID biyometriğini kimliğe bağlar; diğer kayıtlı biyometrik bilgileri, kimliğin gösterimini yetkilendirmek için kullanılamaz. Bu kesinlikle aygıtta gerçekleşir ve yetkiyi veren eyalete gönderilmez.
Yetkiyi veren eyalet, dijital kimliği ayarlamak için gereken bilgileri alacaktır. Buna kullanıcı kimliğinin ön ve arka görüntülerini, PDF417 barkodundan okunan veri ve kullanıcının kimlik doğrulama işleminin bir parçası olarak çektiği selfie de dahildir. Yetkiyi veren eyalet aynı zamanda, dolandırıcılığı önlemek için kullanılan tek basamaklı bir değer alır; bu değer, kullanıcının aygıt kullanma örüntülerini, ayarlar verilerini ve kişisel Apple Hesabı hakkındaki bilgileri baz alır. Bundan sonra, Apple Cüzdan’a eklenen kimliği onaylamada veya reddetmede son karar yetkiyi veren eyaletindir.
Yetkiyi veren eyalet, kimliği veya ehliyeti Apple Cüzdan’a ekleme yetkisini verdikten sonra, iPhone’daki Secure Element’te kullanıcının kimliğini belirli bir aygıta bağlayan bir anahtar çifti oluşturulur. Apple Cüzdan’a ekleniyorsa, Apple Watch tarafında Secure Element’te bir anahtar çifti oluşturulur.
Kimlik iPhone’a geldikten sonra, Apple Cüzdan’daki kullanıcı kimliğinde yansıtılan bilgiler, Secure Enclave tarafından korunan şifreli bir biçimde saklanır.
My Number Card’ı Apple Cüzdan’a ekleme
iPhone’da, kullanıcılar My Number Card’larını Mynaportal uygulaması yoluyla Apple Cüzdan’a ekleyebilirler. Apple Cüzdan’daki My Number Card, hem mobil kimlik belgesini hem de tek bir kimlik kartı içindeki Japonya Genel Anahtar Altyapısı (JPKI) işlevini destekler. Ayarlama işlemi, yalnızca meşru kart sahibinin kimliğini ekleyip sunabilmesini sağlamak için Apple ve kartı veren tarafından uygulanan güvenlik önlemlerini içerir.
Mynaportal uygulamasında kullanıcıların fiziksel My Number Card’ı ile ilişkili 4 basamaklı PIN’i ve alfasayısal parolayı girmeleri gerekir. Bu kimlik bilgileri kartın kimliğini doğrulamak için gereklidir ve uygulamanın kartı verenin kartı ekleyen kişinin meşru erişime sahip olduğunu doğrulayan temassız bütünleşik devreden (IC) verileri okumasına olanak tanır. Bu arada, kullanıcılardan Apple Cüzdan’daki My Number Card’ın JPKI uygulama yedekli işlevi ile kullanılmak üzere bir PIN ve parola girmeleri de istenir. Bu değerler kullanıcının aygıtından asla ayrılmaz ve kullanıcının fiziksel kartına yönelik PIN’den ve paroladan bağımsızdır.
Not: PIN veya parolada çok fazla yanlış deneme fiziksel kartı bloke eder ve kilidi açılana kadar kullanılmasını ya da Apple Cüzdan’a eklenmesini engeller.
Apple Cüzdan’a My Number Card’ı ekleyen kişinin gerçek kart sahibi olduğundan emin olmak için kullanıcılardan selfie çekmeleri ve canlılık denetimi gerçekleştirmeleri istenir. Fiziksel kart bilgileriyle birlikte selfie ve canlılık verileri, bir kişinin başka bir kişinin kimliğini Apple Cüzdan’a ekleme riskini azaltmak için kartı veren tarafından değerlendirilir.
Kullanıcılar Apple Cüzdan’da My Number Card’da tek bir biyometrik bilgi bağlamak için Face ID veya Touch ID ile kimlik doğrulama gerçekleştirir. Bu, yalnızca kartı iPhone’a ekleyen kişinin onu sunabilmesini sağlamaya yardımcı olur; diğer kayıtlı biyometrik bilgiler kimlik sunmayı yetkilendirmek ya da JPKI kullanıcı kimliği doğrulama işlemlerini gerçekleştirmek için kullanılamaz.
Kartı veren yetkili, tüm gönderilen kanıtları doğrular ve Apple Cüzdan’da My Number Card’ı ekleme yetkisi verip vermeyeceğine karar verir. Yetkilendirilirse mobil kimlik belgesini yaratıp dijital olarak imzalayarak izinsiz kullanım veya sahteciliğe karşı korur. Secure Element’te iPhone tarafından oluşturulan bir anahtar çifti, kullanıcının Apple Cüzdan’daki My Number Card’ı o belirli aygıta bağlar ve başkası tarafından kopyalanamamasını ve kullanılamamasını sağlar.
Kullanıcının dijital imzalama ve kullanıcı kimliği belirleme sertifikalarını, ilişkili özel anahtarları, PIN ve parolayı koruyan JPKI uygulaması, Secure Element içinde sağlanır. Bu, PIN veya parola karşılaştırma işlemlerine ek olarak dijital imzalamaya yönelik şifreleme işlemlerinin donanım korumalı ortamın sınırları içinde gerçekleştirilmesini ve özel anahtarların Secure Element’in dışında asla kullanılamamasını sağlar.
My Number Card iPhone’a geldikten sonra, Apple Cüzdan’daki kullanıcı kimliğinde yansıtılan kimlik bilgileri ve JPKI uygulama verileri, sırasıyla Secure Enclave veya Secure Element tarafından korunan şifreli bir biçimde saklanır. Kartı veren, kullanıcıların bir aygıta yalnızca bir My Number Card ekleyebilmesini ve her bir benzersiz kimliğin yalnızca bir aygıta eklenebilmesini sağlayarak dolandırıcılığa karşı ek koruma sunar.
Dijital Kimliği Apple Cüzdan’a ekleme
iPhone’da kullanıcılar, dijital kimliklerini yaratmaya başlamak için Apple Cüzdan’da ekranın en üstündeki Ekle düğmesine (+) dokunabilirler. Kullanıcıların ayarlama zamanında eşlenmiş bir Apple Watch’ı varsa, dijital kimliklerini Apple Watch’taki Apple Cüzdan’a da eklemeleri istenir.
Kullanıcılardan öncelikle iPhone’larını kullanarak fiziksel pasaport fotoğrafı sayfasının makine tarafından okunabilir kısmını taramaları istenir. Veriler pasaportun desteklenen bir bölgeden geldiğini, süresinin dolmadığını ve uygun olduğunu gösteriyorsa iPhone kullanıcıya NFC kullanarak pasaport yongasını okuma konusunda rehberlik eder. İlgili makine tarafından okunabilir alanlar, ICAO 9303 tarafından belirtilen protokollere uyarınca yonga ile bir oturum ayarlamak için kullanılır. Yongadan okunan veriler, Belge Güvenlik Nesnesi ile birlikte belge sahibinin adı ve portresi gibi veri öğeleri içerir. Verilerin özgünlüğünü doğrulamak için Apple sunucuları; veri grubu özetleri, veren hükümetin imzası ve Pasif Kimlik Doğrulama kullanılarak Belge İmzalayıcı Sertifikası da dahil olmak üzere Belge Güvenlik Nesnesi’ni doğrular. Belge İmzalayıcı Sertifikası, özgünlüğü sağlamak ve iptal edilmediğini doğrulamak için karşılık gelen İmzalayan Ülke Sertifika Yetkilisi Sertifikası’na karşı doğrulanır.
Dijital kimliği Apple Cüzdan’da yaratan kişinin pasaportun sahibi ile aynı kişi olduğundan emin olmak için kullanıcıdan bir selfie çekmesi ve canlılık denetimi tamamlaması istenir. Aygıt, gerekli adımları başarıyla tamamlaması için kullanıcıyı yönlendirir; bu adımlar yüz ve kafa hareketleri dizisi içerebilir. Sonuçtaki selfie fotoğraf ve canlılık videosu Apple sunucuları tarafından değerlendirme amacıyla aygıtta şifrelenir ve yüklenir. Selfie fotoğraf, canlılık denetimini gerçekleştiren kişinin benzerliği ve pasaport yongasından alınan doğrulanmış portre ile karşılaştırılır.
Kullanıcıların biyometriği kimlik kartına bağlamak için Face ID veya Touch ID ile kimlik doğrulama gerçekleştirmesi de gerekir. Bu mekanizma Apple Cüzdan’daki tüm kimlikler tarafından desteklenir ve yalnızca kimliği ekleyen kişinin onu sunabilmesini sağlamaya yardımcı olur.
Apple, pasaport yongasından okunan veriler, kimlik doğrulama işlemi sırasında toplanan selfie ve canlılık videosu ve güven değerlendirme puanı da dahil olmak üzere toplanan kanıtları dijital kimliğin Apple Cüzdan’a eklenmesini onaylamak veya reddetmek için karar vermek üzere değerlendirir. Dolandırıcılığı önlemek için kullanılan güven değerlendirme puanı; kullanıcının aygıt kullanma örüntülerini, ayarlar verilerini ve kişisel Apple Hesabı hakkındaki bilgileri baz alır.
Onaylanırsa Apple, doğrulanan pasaport verilerinden türetilen bir dijital kimlik yaratır ve imzalar. Anahtar çifti, kullanıcı kimliğini bu belirli aygıta bağlayan iPhone’daki Secure Element’te oluşturulur. Kullanıcı kimliği Apple Cüzdan’a eklerse, Apple Watch’taki Secure Element’te bir anahtar çifti oluşturulur. Sona erme tarihi ve diğer kimlik verileri ortak olmasına rağmen, Apple Cüzdan’daki dijital kimlik onu yaratmak için kullanılan pasaporttan bağımsızdır. Bu, kullanıcının aygıtlarından dijital kimliği silmesi ve fiziksel pasaportunun iptal edildiği veya yeniden verildiği durumlarda yeni bir tane eklemek için adımları takip etmesi gerektiği anlamına gelir.
Dijital kimlik yaratıldıktan sonra şifrelenir ve aygıta gönderilir. Aygıt onu aldıktan sonra Apple Cüzdan’da kullanıcının dijital kimliğine yansıtılan bilgiler aygıta özgü bir anahtarla yeniden şifrelenir ve Secure Enclave tarafından saklanır ve korunur.
Apple Cüzdan’daki kimliği kimlik okuyucuyla kullanma
Apple Cüzdan’daki kimliklerini kullanmak üzere, iPhone bilgileri kimlik okuyucuya sunmadan önce kullanıcıların Apple Cüzdan’daki kimlikle ilişkilendirilmiş Face ID veya Touch ID aygıtı ile kimlik doğrulamaları gerekir.
Apple Watch’ta Apple Cüzdan’daki kimliklerini kullanmak üzere, kullanıcıların Apple Watch’larını her taktıklarında ilişkili Face ID görünüşünü veya Touch ID parmak izini kullanarak iPhone’larının kilidini açmaları gerekir. Daha sonra, Apple Watch’larını yeniden çıkarana kadar kimlik doğrulama gerekmeden Apple Cüzdan’daki kimliklerini kullanabilirler. Bu özellik, Apple aygıtlarının kilidini otomatik olarak açma bölümünde ayrıntıları yer alan temel Otomatik Kilit Açma özelliklerinden yararlanır.
Kullanıcılar iPhone’larını veya Apple Watch’larını kimlik okuyucunun yakınına tuttuklarında aygıtta hangi belirli bilginin, kim tarafından istendiğini ve saklama niyetleri olup olmadığını görüntüleyen bir istek görürler. iPhone’da ilişkili Face ID’yi veya Touch ID’yi yetkilendirdikten ya da Apple Watch’ta yan düğmeye iki kez bastıktan sonra, istenen kimlik bilgileri aygıttan verilir.
Önemli: Kullanıcıların kimliklerini göstermek için aygıtı göstermeleri ya da vermeleri gerekmez.
Face ID’yi veya Touch ID’yi etkinleştirmek yerine kullanıcıların Sesle Denetim, Anahtarla Denetim veya AssistiveTouch gibi bir erişilebilirlik özelliği varsa, bilgilerine erişmek ve onları göstermek için parolalarını kullanabilirler.
Kimlik verilerinin kimlik okuyucuya aktarımı, güvenlik risklerini saptayabilen, engelleyebilen ve hafifletebilen, kullanılabilir birden çok güvenlik mekanizması için sağlanan ISO/IEC 18013-5 standardını izler. Bunlar; veri bütünlüğü ve sahtecilikten koruma, aygıt bağlama, bilgilendirilmiş onay ve radyo bağlantıları üzerinden kullanıcı verileri gizliliğinden oluşur.
Sunu geçmişi aygıtta saklanır ve Apple Cüzdan’da kullanıcılar tarafından görüntülenebilir ve silinebilir (Apple Watch’taki kimlikler için eşlenen iPhone’daki Watch uygulamasında). Her sunu kaydı istenen alanları, sununun coğrafi konumunu ve işletmenin verileri saklamaya amaçlayıp amaçlamadığı bilgisini içerir. Kimliği doğrulanmış okuyucular için işletmenin adı ve simgesi de dahildir.
Apple Cüzdan’daki kimliği iOS uygulamalarıyla kullanma
Kullanıcılar, Apple Cüzdan’daki kimlik bilgilerini iOS uygulamalarıyla da paylaşabilirler. Kullanıcı, uygulamanın içinde kimliğini paylaştığında Apple Cüzdan, uygulama geliştiricisinde kayıtlı bir şifreleme sertifikasını alıp doğrular. Bu sertifika, kullanıcının paylaşmayı kabul ettiği bilgileri şifrelemek için kullanılır.
Sunu sayfası, hangi belirli bilgilerin hangi uygulama tarafından istendiğini ve uygulamanın bu bilgileri saklayıp saklamayacağını, ne kadar süreyle saklayacağını ve isteme nedenini görüntüler. İlişkili Face ID veya Touch ID ile yetkilendirdikten sonra istenen bilgiler HPKE kullanılarak Apple Cüzdan tarafından şifrelenir ve hiçbir zaman Apple’ın kullanımına sunulmaz. Apple Cüzdan, kimlik doğrulama anahtarının iptal edilmediğini ve kimliğin hâlâ geçerli olduğunu doğrulamak için Apple sunucularını düzenli olarak sorgular. Yakın zamanda hiçbir denetleme yapılmadıysa, kullanıcı kimliğini bir uygulama ile paylaşırken denetleme gerçekleşebilir.
Sunu geçmişi aygıtta saklanır ve Apple Cüzdan’da görüntüleyip silebilmeleri için kullanıcılara sunulur. Her bir sunu kaydı uygulamayı, nedeni, istenen alanları ve verileri saklayıp saklamayacağını ve ne süreyle saklayacağını içerir.
Apple Cüzdan’daki kimliği web sitelerinde kullanma
Kullanıcılar, Apple Cüzdan’daki kimlik bilgilerini web siteleriyle paylaşabilirler. Katılımcı web siteleri, mobil belge sağlayıcılarından kimlik bilgilerini istemek için W3C Dijital Kimlik Bilgileri API’sini kullanır. Apple Cüzdan’da kimlik bilgilerinin kabul edilmesini desteklemek için belge türü ve veri öğelerinin yanı sıra istek bir yeniden göndermeyi önleme değeri, yanıt şifreleme için şifreleme bilgileri ve isteğin kimliğini doğrulamak için aygıta yönelik bir imza içermelidir. Web sitesinin sunucusu istek için bir şifreleme anahtarı çifti oluşturur ve yanıt şifre çözümü için özel anahtarı güvende tutmaktan sorumludur. Apple Cüzdan, isteğin kimliğini doğrulamak için web sitesi sahibinin Apple’dan edindiği bir imzalama sertifikasından yararlanarak (ISO/IEC 18013-5 ve ISO/IEC 18013-7 Ek C tarafından tanımlanan şekilde) okuyucu kimlik doğrulama mekanizmasını kullanır. İsteğin geçerli bir kaynaktan geldiğinden emin olmak için istekte bulunan web sitesinde alan doğrulama da gerçekleştirir.
Sunu sayfası, hangi belirli bilgilerin hangi web sitesi tarafından istendiğini ve web sitesinin bu bilgileri saklayıp saklamayacağını ve isteme nedenini görüntüler. Kullanıcı istenen kimlik bilgilerinin sunumunu yetkilendirdikten sonra Apple Cüzdan tarafından doğrudan web sitesininn sunucusunda HPKE kullanılarak şifrelenir ve hiçbir zaman Apple’ın ya da tarayıcının kullanımına sunulmaz. Apple Cüzdan, kimlik doğrulama anahtarının iptal edilmediğini ve kimliğin hâlâ geçerli olduğunu doğrulamak için Apple sunucularını düzenli olarak sorgular. Yakın zamanda hiçbir denetleme yapılmadıysa, kullanıcı kimliğini bir web sitesi ile paylaşırken denetleme gerçekleşebilir.
Şifreli yanıtı aldıktan sonra web sitesinin sunucusu kimlik verilerinin özgünlüğünü doğrulamalıdır. Bu, belge imzalayıcı sertifikayı doğrulayarak, sertifika verenden şifreleme imzasını doğrulayarak ve istenen veri öğeleri üzerinden özetleri denetleyerek sertifika veren kimlik doğrulamasını gerçekleştirmeyi içerir. Ek olarak, mobil belge kimlik doğrulamasının verildiği belirli aygıttaki belgenin yetkisiz çoğaltılmasını önleyerek gerçekleştirilmesi gerekir.
Kullanıcıların iPhone’daki Apple Cüzdan’da kimliğini web’de kimliğini doğrulamak isteyebileceği diğer aygıtlarda sunmasına izin vermek için hem Apple aygıtları arasında handoff hem de platformlar arası gösterim desteklenir.
Apple aygıtları arasında handoff, iPhone’daki Apple Cüzdan’da bir kimlik kullanarak bir iPad veya Mac üzerinde bir web sitesine kimlik gösterimine izin verir. Bu durumda sistem:
iPhone’un aynı kişisel Apple Hesabı ile ilişkili olduğunu doğrular.
İşlevselliği destekler.
İstekle uyumludur.
Böylece aygıtlar arasında güvenli bir bağlantı kurulur ve iPhone’da kullanıcının iPhone’daki isteği görüntülemesine ve yetkilendirmesine iizn veren bir bildirim görünür. Platformlar arası destek, kullanıcıların Apple Cüzdan’daki kimliği diğer standartlara uyumlu aygıtlara ve tarayıcılara sunmasına da izin verir. Bu, aygıtlar arasındaki istek ve yanıt verileri aktarımı için iletişim kanalının bütünlüğünü ve gizliliğini korumak amacıyla FIDO CTAP’den yararlanır.
Hem Apple aygıtları arasında handoff hem de platformlar arası destek sayesinde yukarıda açıklanan aynı güvenlik özellikleri istek doğrulama, yanıt verilerini şifreleme, kimlik verilerini doğrulama ve aygıt kimliğini doğrulama amacıyla var olur.
Sunu geçmişi aygıtta saklanır ve Apple Cüzdan’da görüntüleyip silebilmeleri için kullanıcılara sunulur. Her bir sunu kaydı web sitesini, nedeni, istenen alanları ve verileri saklayıp saklamayacağını içerir.