欧盟启动了“欧洲数字身份钱包计划”(EUDIW),这已成为消费者及原始设备制造商(OEM)的重大发展机遇。恩智浦半导体正积极投身于这一具有变革意义的计划实施,该计划有望重塑欧洲乃至更广泛区域内数字身份的管理与安全保障方式。
依据《电子身份识别、验证和信任服务》(eIDAS) 2.0 法规,欧洲数字身份框架 已于2024年5月正式生效,并计划于2027年全面实施。该框架被定义为"一款使用户能够在欧洲全境向公共及私营在线服务验证身份的移动应用程序",各欧盟成员国均须至少提供一个按照通用规范构建的EUDIW版本。
除安全ID功能外,EUDIW还支持用户存储和共享各类数字文档,包括护照、驾驶执照、学历证书、健康记录及旅行证件。它不仅作为数字ID和数字凭证的安全容器发挥作用,还支持合格电子签名/签章(QES)。此类数字签名具备与手写签名同等的法律效力,可实现文档及交易的快速安全身份验证。
鉴于所涉数据的高度敏感性、机密性及重要价值,EUDIW遵循严格的安全标准进行设计。eIDAS 2.0法规强制要求使用“钱包安全创建设备”(WSCD,一种经认证的组件),为敏感数据提供可信存储与隔离保护。在移动设备中,安全芯片(SE)承担这一关键职能,为加密数据存储提供防篡改环境。
通常情况下,安全芯片是专为抵御篡改和保护加密操作而设计的坚固型微控制器。与云解决方案不同,安全芯片确保身份数据在用户的设备上实现物理隔离,且访问权限完全由用户掌控。此外,安全芯片支持离线身份验证,在各种应用场景下均可提升可靠性。
安全芯片通过了Common Criteria EAL5+认证,达到最高安全评估等级(AVA_VAN.5)。该认证表明其具备抵御篡改、侧通道分析、故障注入及其他复杂攻击的先进防护能力。上述机制共同构筑了高级别的安全防护体系,充分满足eIDAS所规定的高安全等级要求。
嵌入式安全芯片(eSE)能够支持云解决方案无法满足的应用场景。基于硬件的安全机制确保即使在无网络连接或设备电量耗尽的情况下,用户仍能安全访问身份凭证并完成验证任务,从而保障隐私性与可用性不受网络状况影响。
安全芯片确保身份数据在用户的设备上实现物理隔离并获得保护,且访问权限完全由用户掌控。这种本地数据管理模式可有效保障隐私安全,赋予用户对其凭证更强的掌控力与自主权。相比之下,远程云解决方案将数据存储于用户控制范围之外,且无法提供与安全芯片相匹配的安全防护级别。
恩智浦始终处于安全身份识别与移动连接技术的前沿,为OEM提供了一个可信的平台,使其能够将NFC服务集成到智能手机、可穿戴设备和其他互联设备中。凭借在安全身份识别技术领域的深厚积淀(涵盖电子护照及国民身份证计划),恩智浦将数十年专业经验延展至数字领域。我们的eSE解决方案已在全球数以亿计的设备中部署,为移动支付、交通出行及身份验证提供了经过验证的安全性与可靠性。恩智浦的移动钱包扩展到端到端解决方案,适用于众多安全应用,例如基于NFC的支付、移动票务和eSIM,以及采用UWB技术的空间感知应用。
这极大地简化了安全嵌入式服务的开发流程,并加速了其上市进程。作为GlobalPlatform标准的重要制定者,恩智浦确保其解决方案满足严格的安全性与互操作性要求。
展望未来,恩智浦正引领后量子加密技术(PQC)的发展方向。我们将下一代加密技术直接嵌入硬件信任根。这种战略性整合使得安全启动、加密通信及加密敏捷性得以在移动设备、物联网、汽车及工业应用中全面实现,确保在日益复杂的环境中保持长期韧性。
通过在标准化、认证及安全硬件领域的持续创新,恩智浦全力支持欧盟构建可信、可互操作数字信任与身份基础设施的宏伟使命。在技术领导和实际操作方面均发挥积极作用,确保与eIDAS 2.0法规的各项要求保持高度一致。
这包括积极参与致力于保障数字服务与设备安全的国际标准组织——GlobalPlatform。该组织制定的规范决定了SE在不同应用环境中的运行方式。对于EUDIW,这些标准严格规范了安全小程序部署、离线凭证验证及远程生命周期管理等关键环节。
如需了解更多信息,请参见由恩智浦参与撰写的GlobalPlatform立场文件 ,该文件详细阐述了SE如何满足EUDIW严苛的安全要求。
Security certification expert at NXP Semiconductors, Fabien Deboyser has 15 years of experience in security certifications of critical IT security products (Passports, bank cards, HSM) at the core of financial and government systems as well as development of security laboratories.