डिजिटल ड्राइवर लाइसेंस: क्या वे हमारे भरोसे के लिए पर्याप्त सुरक्षित हैं?

सुरक्षा विशेषज्ञों के अनुसार, खरीद और अन्य गतिविधियों पर नज़र रखने के लिए एक नई प्रणाली बनाने के बजाय राज्यों को डिज़ाइन दृष्टिकोण द्वारा गोपनीयता का उपयोग करना चाहिए।

mobile-drivers-license-full.jpg

2016 में, थेल्स ग्रुप की एक सहायक कंपनी, गेमाल्टो को डिजिटल ड्राइवर के लाइसेंस का परीक्षण करने के लिए चार राज्यों में पायलट परियोजनाओं को निधि देने के लिए एक संघीय अनुदान प्राप्त हुआ। यह मॉकअप पायलट प्रोजेक्ट का है।

छवि: थेल्स समूह

जब कोई बारटेंडर आपकी आईडी की जांच करता है, तो वह आपके घर का पता या आपकी ऊंचाई और वजन रिकॉर्ड नहीं करता है। उसे केवल यह जानने की जरूरत है कि क्या वह कानूनी रूप से आपको ड्रिंक परोस सकती है या नहीं। डिजिटल ड्राइविंग लाइसेंस गोपनीयता और सुरक्षा विशेषज्ञों के अनुसार, उसी तरह काम करना चाहिए।

डिजिटल पहचान प्लेटफार्मों को यथासंभव अधिक से अधिक जानकारी को स्कैन करने और संग्रहीत करने पर व्यक्तिगत गोपनीयता और डेटा न्यूनतमकरण को प्राथमिकता देनी चाहिए। इसका मतलब है कि लेन-देन को पूरा करने के लिए आवश्यक डेटा के आधार पर जानकारी तक पहुंच सीमित करना।

कई राज्य डिजिटल ड्राइविंग लाइसेंस के साथ आगे बढ़ रहे हैं। एरिज़ोना और जॉर्जिया के ड्राइवर जल्द ही iPhones और Apple Watches का उपयोग कर सकेंगे डिजिटल लाइसेंस या आईडी कार्ड के रूप में। केंटकी, मैरीलैंड, ओक्लाहोमा, आयोवा, यूटा और कनेक्टिकट में रहने वाले लोग इस संक्रमण के लिए कतार में हैं।

यहां डिजिटल पहचान प्रणाली बनाने का तरीका बताया गया है जो डिजाइन द्वारा गोपनीयता की रक्षा करती है और किसी व्यक्ति के गोपनीयता के अधिकार के साथ सूचना विनिमय की आवश्यकता को संतुलित करती है।

एक सुरक्षित प्रणाली का निर्माण

वर्ल्ड वाइड टेक्नोलॉजी के मुख्य प्रौद्योगिकी सलाहकार जॉन इवांस के अनुसार, राज्यों को डिजिटल ड्राइविंग लाइसेंस को लागू करने के लिए ब्लॉकचेन तकनीक से सबक लेना चाहिए। इन प्लेटफार्मों को इन सुरक्षा प्रोटोकॉल के साथ बनाया जाना चाहिए:

  • कूटलिपि
  • वितरित डेटा
  • बहु-कारक प्रमाणीकरण

इवांस ने कहा कि यह बहुस्तरीय रक्षा हमलावरों के लिए इस डेटा तक पहुंच प्राप्त करना कठिन बना देगी।

“अगर किसी व्यक्ति को आपकी जानकारी के एक टुकड़े तक पहुंच मिलती है, तो वे बाकी सभी को एक साथ नहीं रख सकते क्योंकि यह वितरित किया जाता है,” उन्होंने कहा।

ट्रेंड माइक्रो में क्लाउड सिक्योरिटी के उपाध्यक्ष आरोन अंसारी ने सहमति व्यक्त की कि ब्लॉकचेन मोबाइल ड्राइवर के लाइसेंस के लिए एक व्यक्ति को विशिष्ट रूप से आईडी देने के लिए उपयुक्त है।

“अगर एक डुप्लिकेट आईडी दिखाई देती है, लेकिन ब्लॉकचेन मेल नहीं खाता है, तो हमें तुरंत पता चल जाएगा कि आपकी आईडी नकली है,” उन्होंने कहा।

देख: मोबाइल वॉलेट और वाणिज्य का भविष्य

इवांस पांच साल के लिए मैरीलैंड राज्य के लिए CISO थे और उन्होंने राज्य को एक डिजिटल ड्राइवर के लाइसेंस के लिए संक्रमण शुरू करने में मदद की। उनकी टीम ने देखा एस्टोनिया ने एक समान प्रणाली कैसे लागू की. उस देश का डिजिटल आईडी सिस्टम था अपने शुरुआती दिनों में हैक किया गया.

इवांस ने कहा कि राज्यों को इसका उपयोग करना चाहिए कम से कम विशेषाधिकार का सिद्धांत इन डिजिटल सिस्टम का निर्माण करते समय। डिजिटल लाइसेंस की जांच करने वाले व्यक्ति को लेनदेन पूरा करने के लिए केवल पर्याप्त जानकारी मिलनी चाहिए और कुछ नहीं।

डिजिटल आईडी की जांच करने वाले स्कैनर्स को केवल उस सूचना तक पहुंचने के लिए प्रोग्राम किया जा सकता है जिसकी किसी विशेष संगठन को जरूरत है। बार में स्कैनर व्यक्ति की उम्र के आधार पर हरे या लाल रंग में चमक सकता है। खाता खोलने के लिए प्रमाणीकरण आवश्यकताओं को पूरा करने के लिए बैंक में एक स्कैनर के पास अधिक जानकारी तक पहुंच होगी।

इवांस इस संक्रमण को व्यक्तिगत रूप से पहचान योग्य जानकारी तक पहुंच पर नियंत्रण रखने के तरीके के रूप में देखते हैं।

“आदर्श रूप से आपको डिजिटल ड्राइवर का लाइसेंस खोलने की भी आवश्यकता नहीं है, आप इसे स्कैन करते हैं और केवल प्रासंगिक टुकड़े ही स्कैनर पर दिखाई देते हैं,” उन्होंने कहा। “आदर्श रूप से आप उन्हें अब की तुलना में कम जानकारी दे रहे होंगे।

एक नई ट्रैकिंग प्रणाली के निर्माण का जोखिम

अंसारी सहमत हैं कि कम से कम विशेषाधिकार और डेटा न्यूनीकरण मार्गदर्शक सिद्धांत होने चाहिए, लेकिन वह आशावादी नहीं हैं कि वे प्राथमिकताएं जीत जाएंगी।

“मैं नहीं देखता कि जो कुछ हो रहा है, वास्तव में मैं इसके ठीक विपरीत देखता हूं,” उन्होंने कहा। “ऐसा अधिक से अधिक लगता है कि एक राज्य और संघीय पीओवी से अधिक पहुंच है।”

एसीएलयू डिजिटल लाइसेंस के दुरुपयोग की संभावना के लिए एक महत्वपूर्ण जोखिम देखता है:

“इससे यह खतरा पैदा होता है कि निगमों और विशेष सरकारी नौकरशाहों का एक अपेक्षाकृत छोटा कैडर अपने स्वयं के आर्थिक और प्रशासनिक उद्देश्यों के लिए एक नया बुनियादी ढांचा तैयार करेगा, भले ही इसके बड़े निहितार्थ हों। इससे यह खतरा पैदा होता है कि लागत का कोई संतुलित मूल्यांकन नहीं होगा और इस तरह की प्रणाली के लाभ और हम उन प्रणालियों को अपनाएंगे जो पहचान, सुरक्षा और सुविधा की जरूरतों और सरकार और कॉर्पोरेट निगरानी और रेजिमेंट के लिए अमेरिकियों की अच्छी तरह से स्थापित घृणा के बीच सही संतुलन नहीं बनाते हैं।”

अपनी “पहचान संकट” रिपोर्ट में, संगठन अनुशंसा करता है कि जारीकर्ता को किसी व्यक्ति के लेन-देन की निगरानी से रोकने के लिए डिजिटल आईडी को डिज़ाइन किया जाए।

रैपिड 7 के मुख्य डेटा वैज्ञानिक बॉब रुडिस ने कहा कि डिजिटल ड्राइवर लाइसेंस जारी करने वाले राज्य विधानसभाओं ने अन्य जांच उद्देश्यों के लिए अनलॉक किए गए उपकरणों का उपयोग करने से कानून प्रवर्तन को प्रतिबंधित करने के लिए पर्याप्त सुरक्षा नहीं जोड़ा है।

“यह उन कम-नैतिक राज्यों में नागरिकों के लिए एक वास्तविक गोपनीयता गड़बड़ी हो सकती है,” उन्होंने कहा। “उम्मीद है कि Apple और Google वॉलेट केवल mDL को अनलॉक करने की अनुमति देंगे, न कि पूरे फोन को।”

देख: पहचान पासवर्ड की जगह ले रही है: सॉफ्टवेयर डेवलपर्स और आईटी पेशेवरों को क्या जानने की जरूरत है

ट्रेंड माइक्रो के अंसारी को उम्मीद है कि डिजिटल ड्राइवर लाइसेंस के लिए कुछ सुरक्षा मानक फोन बनाने वाली कंपनियों से आएंगे। उन्होंने कहा कि डिजिटल ड्राइविंग लाइसेंस हासिल करने की एक कुंजी वॉलेट और वॉलेट के भुगतान घटकों को पूरी तरह से अलग करना होगा।

“ऐप्स ऐप्पल के माध्यम से एक्सेस का अनुरोध कर सकते हैं लेकिन वे सीधे वॉलेट तक नहीं पहुंच सकते हैं,” उन्होंने कहा। “वहां पूर्ण अलगाव होना चाहिए जहां कोर ओएस को छोड़कर कुछ भी पहुंच नहीं है जो जानकारी को सुरक्षित तरीके से पारित करने में सक्षम होना चाहिए।”

ट्रैकिंग के अवसर को सीमित करना

डिजिटल आईडी के आसपास एक और गोपनीयता चुनौती किसी व्यक्ति की गतिविधियों और गतिविधियों को इस तरह से ट्रैक करने की क्षमता है जो वर्तमान में संभव नहीं है। सोंटीक में डेटा ब्रीच सॉल्यूशंस के वरिष्ठ उपाध्यक्ष अल पास्कुअल ने कहा कि इसका मतलब है कि कम से कम विशेषाधिकार के सिद्धांत के साथ डेटा न्यूनतमकरण को प्राथमिकता देना।

उन्होंने कहा, “इस जानकारी को एक्सेस करने वाले सभी लोगों द्वारा संग्रहीत या बनाए रखने की आवश्यकता नहीं है, केवल वित्तीय संस्थानों जैसे नियामकों को ऐसा करने के लिए अनिवार्य है।”

देख: मोबाइल चालक का लाइसेंस भौतिक कार्ड को डिजिटल पहचान से बदल देगा

उन्होंने कहा कि तकनीकी कंपनियां डिजिटल पहचान प्रबंधन प्लेटफॉर्म बेचकर पैसा कमा रही हैं और सरकारी एजेंसियां ​​संचालन को सुव्यवस्थित करने और पैसे बचाने की कोशिश कर रही हैं, नागरिकों को डिजिटल पहचान बहस में गोपनीयता की वकालत करनी होगी।

“हम डिज़ाइन द्वारा गोपनीयता चाहते हैं, जिसका अर्थ है कि तकनीक जो दूसरों को यह जानने से रोकती है कि हम कहाँ हैं और हमने क्या खरीदा है,” उन्होंने कहा। “डिज़ाइन द्वारा गोपनीयता स्वाभाविक रूप से अस्पष्ट है कि उस लाइसेंस का उपयोग कैसे किया जा रहा है और यह अब तक का मानक होना चाहिए।”

पास्कुअल कुछ बाजार ताकतों को भी देखता है जो कंपनियों को उपभोक्ता डेटा की सुरक्षा के लिए प्रोत्साहित करती हैं, जिसका अर्थ है कि डेटा न्यूनीकरण व्यवहार में सिद्धांत की तुलना में अधिक काम करता है।

“जुर्माना अक्सर पर्याप्त या महत्वपूर्ण नहीं होता है जो वास्तव में उस तरह के व्यवहार परिवर्तन को चलाने के लिए होता है जिसकी हम अपेक्षा करते हैं,” उन्होंने कहा।

मोबाइल चालक के लाइसेंस के सुरक्षा जोखिम

जैसे-जैसे राज्य डिजिटल पहचान प्लेटफार्मों को लागू करने के लिए आगे बढ़ते हैं, बुरे अभिनेता मानक सोशल इंजीनियरिंग और अन्य आम हमले के तरीकों का उपयोग करते हुए डेटा चोरी करने के नए अवसरों की तलाश करेंगे। रैपिड 7 के रुडिस इन संभावित एमडीएल खतरे के परिदृश्यों को देखता है:

  • एमडीएल जारीकर्ता अवसंरचना को इंटरनेट से जोड़ने के कारण हमलावरों के लिए एक बढ़ा हुआ सतह क्षेत्र
  • वॉलेट ऐप में संभावित बग और कमजोरियां
  • लेन-देन के दौरान सूचना का अतिरेक

सूचना की अधिकता के मुद्दे का एक उदाहरण पाठक ऐप है जो किसी दिए गए लेन-देन के लिए आवश्यकता से अधिक जानकारी का अनुरोध करता है, जैसे कि शराब की दुकान रीडर ऐप केवल एक आवश्यक फ़ील्ड के बजाय एमडीएल से सभी फ़ील्ड का अनुरोध कर सकता है।

“मैं इसे एक बहुत ही वास्तविक समस्या के रूप में देखता हूं, क्योंकि उपयोगकर्ता केवल एक दिए गए लेन-देन को प्राप्त करना चाहते हैं और बहुत अधिक संभावना है कि वे ‘ओके’ को उतनी ही गति से टैप करें जितना कि वे कुकी सहमति संवादों को पहले समीक्षा किए बिना खारिज कर देते हैं,” उन्होंने कहा।

रुडिस ने कहा कि प्रमाण पत्र कोई रामबाण नहीं हैं और सत्यापित जारीकर्ता प्रमाणपत्र प्राधिकरण सूची में शामिल संस्थाओं को भी अखंडता के मुद्दों का सामना करना पड़ेगा, और वह दुष्ट संस्थाएं इसे उस सूची में शामिल कर लेंगी।

“खराब ढंग से लागू एन्क्रिप्शन-इन-ट्रांसमिशन योजनाएं भी व्यक्ति-इन-द-बीच हमलों के अधीन हो सकती हैं,” उन्होंने कहा। “रैंसमवेयर ऑपरेटर सेवा हमलों से इनकार करके बैक-एंड जारीकर्ता और सत्यापनकर्ता बुनियादी ढांचे के ऑपरेटरों को पकड़ सकते हैं, जिससे लाखों नागरिकों को वास्तविक जीवन में हमले बंद होने तक देरी हो सकती है।”

इन संभावित सुरक्षा जोखिमों के बावजूद, रुडिस एमडीएल को समग्र रूप से सार्थक मानता है और कहा कि मोबाइल चालक लाइसेंस मानक पर कई वर्षों से काम किया गया है और कई राज्यों ने एमडीएल वॉलेट और रीडर ऐप के अपने संस्करण पहले ही लागू कर दिए हैं।

ये सिस्टम के अनुरूप हैं आईएसओ/आईईसी एफडीआईएस 18013-5:2021 मानक, जिसमें एन्क्रिप्शन ऑन-डिवाइस, एन्क्रिप्शन इन-ट्रांजिट, एमडीएल डेटा अनलॉक करने के लिए प्रमाणीकरण और मोबाइल डिवाइस और सर्वर के लिए कॉन्फ़िगरेशन नियम शामिल हैं।

और देखें

Leave a Reply

Your email address will not be published.

%d bloggers like this: