數位身分證件與憑證常見問題

問：新合作夥伴如何逐步完成新手上路程序，成為驗證機構 (RP)？

答：請參閱「在線上接受 Google 錢包中的身分證件」一文的步驟。

問：RP 新手上路程序通常需要多久時間？

答：通常需要 3 到 5 個工作天。

問：提交依賴方 (RP) 申請後，如何追蹤申請狀態？

答：如果 5 天後仍未收到回覆，請透過 wallet-identity-rp-support@google.com 聯絡支援團隊。

問：我們可以在哪裡找到 RP 上手表單和官方開發人員說明文件？

A：

• 新手指引表單： Google 錢包身分識別信賴合作夥伴聯絡表單
• 開發人員說明文件： 數位身分總覽

問：我們提供的資訊 (例如產品名稱和標誌) 會如何用於產品體驗？

答：產品名稱和標誌會顯示在使用者同意畫面上，協助使用者識別要求提供數位身分證件的信賴方。網址和政策連結也可能會顯示在產品體驗中。

問：如果我們只打算使用沙箱環境進行開發和測試，是否需要簽署服務條款？

答：不需要，接受《服務條款》並非測試的必要步驟。

問：哪裡可以找到參考實作項目、程式碼範例或試用版應用程式，協助我們開始使用？

A：

• GitHub 存放區： 身分識別參考實作。
• 測試網站： verifier.multipaz.org

問：什麼是驗證機構註冊管理機構？運作方式為何？

答：驗證者註冊機構會做為憑證授權單位，負責導入下游用戶端 (End RP)。End RP 不會直接與 Google 錢包互動。

問：驗證機構註冊機構及其下游客戶的具體新手上路程序為何？

答：請參閱「驗證者註冊機構指南」中的步驟。

問：這與直接整合 RP 有何不同？

答：驗證者註冊機構會為客戶管理信任關係，並代表客戶處理與 Google 錢包的整合事宜，而直接 RP 則會自行管理與 Google 的設定。

問：在驗證者註冊機構中，誰會列入 Google 設定的允許清單：驗證者註冊機構、最終 RP，還是兩者都會？

答：Google 會將驗證者註冊機構的根 CA 憑證加入允許清單。驗證者註冊機構接著會為每個下游 End RP 發放新的葉子憑證。

問：資料如何在終端 RP、驗證者註冊機構和 Google 錢包之間流動？

答：驗證者註冊機構會將 API 要求傳送至 Google 錢包，以供 End RP 使用。Google 錢包會將加密的憑證資料傳回給驗證者註冊機構，該機構會處理資料，並將最終信號傳送給 End RP。

問：如果是白標解決方案，是否需要在使用者同意聲明流程中顯示驗證機構註冊機構的名稱，還是只要顯示最終 RP 的名稱即可？

答：不可以。驗證者註冊機構可以選擇不顯示詳細資料。

問：根 CA 和 RP 憑證允許哪些金鑰類型和曲線？

答：憑證應使用 P-256 / ECDSA 產生。

問：我們可以在根 CA 和 RP 分葉憑證之間使用中繼簽署者憑證嗎？

答：可以。您可以安全地儲存長期有效的根憑證 (例如在 HSM 中)，以便不時簽署作業用中繼憑證。這些中繼憑證隨後可用於簽署 RP 終端分葉憑證，以便在發生違規事件時更輕鬆地輪換憑證，且不會影響根憑證。

問：憑證的必要生命週期為何？

答：根 CA 憑證的有效期限為 10 年，完全可以接受。一般來說，End-RP 葉片憑證應每隔約 1 年更新一次，確保發生問題時可以有效輪替。

問：我們是否需要為每個個別的 RP 客戶管理個別的葉子憑證？

答：可以。在初始發布期間，聚合器必須為每個下游 RP 管理個別憑證。這項功能可啟用每個 RP 的顯示設定，並準確追蹤濫用情形。雖然這會增加大規模的作業負擔，但我們打算在初步推出後，重新評估可能的替代方案 (例如使用 RP 中繼資料雜湊)。

問：合作夥伴可以同時擁有數個有效認證嗎？

答：可以。每個 RP 或匯總工具的設定支援任意數量的有效憑證，這對以不同商家名稱營運的合作夥伴來說相當實用。

問：辨別名稱 (主體) 的格式應為何？

答：每個合作夥伴的識別名稱必須是全域不重複的名稱。這是 Google 用來監控合作夥伴傳入要求及確保生態系統信任的靜態 ID。

問：網域繫結的運作方式為何？是否需要在憑證中嵌入來源？

答：網域不一定要直接嵌入憑證本身。而是透過 API 呼叫中的預期來源參數執行網域驗證。此外，多個網域可以順暢地與單一憑證建立關聯。對於未簽署的要求，系統會使用網域或應用程式套件名稱和指紋執行繫結。

問：如果是白標體驗，是否可以從驗證使用者介面中省略匯總器詳細資料？

答：可以。驗證器中繼資料完全可以不包含匯總器資訊 (例如名稱、標誌、網址和隱私權政策)。這項功能可讓您提供完全不含品牌資訊的解決方案，只向使用者顯示 RP 詳細資料。

問：我們需要提供哪些資訊，才能在沙箱環境中開始測試？

答：從技術角度來看，您只需要提供 Sandbox 根憑證。沙箱的設計是為了完全模擬正式環境。

問：與直接 RP 相比，驗證機構註冊服務供應商 (彙整器) 的新手上路程序有何不同？

答：集結網站的程序稍有不同。執行特定的驗證機構註冊服務條款後，申請程序會分成兩部分：首先填寫主要表單，確立您驗證機構註冊人的身分，接著為您加入的每個 RP 填寫簡化表單。每次提交 RP 時，通常都需要提供整合的錄影畫面，審查程序一般需要 2 到 3 個工作天。

問：如果客戶打算擔任中介機構，或將驗證服務轉售給其他實體，我們是否可以協助他們完成註冊程序？

答：否。Google 目前的模式和偏好是直接與驗證機構註冊管理機構 (彙整機構) 及其直接終端 RP 合作，而非支援巢狀經銷商或中介模式。

問：要求使用的基礎通訊協定為何？支援哪些版本？

答：主要通訊協定是 OpenID for Verifiable Presentations (OpenID4VP) 1.0 版。

問：Google 支援哪些 ISO 18013-7 附錄 (例如附錄 B、C、D) 的 mDL 呈現方式？

答：Google 支援附錄 D (目前為草案) [使用 DC API 的 OpenID4VP]。

問：如何正確建構 API 要求，在單一使用者呈現畫面中要求多項憑證？

答：兩種憑證類型都應在同一個 JSON 要求中，透過單一 dcql 查詢物件要求。

問：API 是否允許要求一般憑證，而不列出所有可能的憑證類型？

答：不行。

問：API 如何處理年齡驗證？我們可以要求確切的出生日期，還是只能要求「超過 X 歲」信號？

答：系統支援這兩種格式。您可以要求 birth_date、age_in_years 或隱私權保護「超過 X」信號。零知識證明 (ZKP) 也可用於 true/false 信號。

問：我們的 PKI 基礎架構有哪些要求？

答：RP 需要 PKI 才能簽署要求。驗證者註冊機構會做為自己的 CA。

問：我們可以使用現有的憑證，還是需要取得 Google 簽署的新憑證？

答：RP 需要由 Google 或驗證機構註冊商簽署的新憑證。對於驗證者註冊機構，只要按照說明文件中的「建立信任關係」步驟操作，Google 就會信任您的根憑證。

問：網頁和 Android 應用程式的建議整合策略為何？

答：整個要求應在伺服器端產生。在 Android 上使用 Credman API，在網路上使用 Digital Credentials (DC) API。

問：開發人員可以使用哪些偵錯、記錄和可觀測性工具？

答：合作夥伴可以使用 wallet-identity-rp-support@google.com 支援別名。我們不會提供任何特定的記錄或可觀測性工具。

問：各國家/地區支援哪些數位 ID、核發機構和憑證？

答：如要查看支援的地區，請參閱「支援的簽發機構和憑證」。

問：你們預計何時支援新國家/地區的憑證？

答：我們正積極新增支援的區域，請查看支援的發卡機構頁面，瞭解最新資訊。

問：發行機構更新憑證時，使用者會收到通知嗎？

答：會，系統會通知使用者，並自動套用更新。

問：Google 會在伺服器上儲存哪些憑證資料 (如有)，尤其是在 GDPR 的脈絡下？

答：Google 不會在伺服器上儲存憑證相關資料，而是安全地儲存在使用者的裝置上。

問：如何取得沙箱環境的存取權，測試完整的端對端流程？

答：沙箱會在「沙箱模式」中開啟。

問：如果合作夥伴不在正式發布的區域，要如何加入許可清單進行測試？

答：將測試錢包的 Gmail ID 電子郵件傳送至 wallet-identity-rp-support@google.com。

問：如何啟用測試網站或應用程式以供展示，讓任何擁有正式版憑證的人都能展示？

答：合作夥伴必須完成標準 RP 上線程序，包括沙箱影片展示。

問：如果使用者啟動驗證流程時沒有數位身分證件或 Google 錢包應用程式，會有什麼使用體驗？

答：如果使用者未安裝應用程式，系統會將他們導向 Play 商店。如果沒有 ID，可以使用半螢幕 UI 在流程中建立 ID。

問：我們是否能以程式輔助方式偵測使用者錢包中是否有數位身分證件，再向他們顯示驗證選項？

答：否，為保護隱私權，API 必須由使用者叫用。

問：我們是否可以要求使用者先透過生物辨識解鎖裝置，再出示憑證？

答：根據預設，系統會要求使用者進行驗證 (生物辨識、PIN 碼或解鎖圖案)，且無法停用這項功能。

問：是否可以自訂使用者同意畫面中要求的屬性順序？

答：不會，Google 錢包會依字母順序重新排序。

問：我們的用途是將使用者資料重新分享給第三方。這是否符合《服務條款》規定？

答：是，可能適用相關限制，詳情請參閱服務條款。

問：為符合法規遵循要求，我們需要數位身分解決方案的安全性、可靠性和無障礙功能相關文件，請問有哪些文件可供參考？

答：合作夥伴可以參考 Trail of Bits 安全性審查。

問：零知識證明有哪些功能可保護隱私權，同時驗證年齡？

答：零知識證明 (ZKP) 是一種密碼編譯方法，可讓個人 (證明者) 向驗證者證明自己擁有特定身分資訊或符合特定條件 (例如年滿 18 歲、持有有效憑證)，但不會揭露實際的基礎資料。

問：如何處理不同版本的 ZK 電路？

答：RP 必須實作 ZK 驗證器服務，才能要求取得最新可用的電路。

問：如何跨多部裝置 (例如手機和穿戴式裝置) 共用及管理憑證？

答：憑證會佈建至單一裝置，無法共用。

問：如果護照遭撤銷，Google 會如何處理身分憑證撤銷事宜？

答：使用者可以從 Google 帳戶設定中刪除憑證，也可以回報遺失裝置來撤銷憑證。

問：mDL 撤銷程序如何進行？這是即時資訊嗎？

答：這項程序可由使用者觸發，或由發卡機構 (車輛管理局) 啟動。如果裝置已連上網路，系統會即時更新；否則，短期安全物件 (MSO) 會過期。

問：RP 的金鑰輪替政策為何？

答：建議每年輪替一次。

問：Digital Credentials API 支援的最低 Android 版本為何？

答：Android 9 以上版本 (API 級別 28)。

問：支援 Digital Credentials API 的最低 Chrome 版本為何？

答：Chrome 128 以上版本。

問：哪些瀏覽器支援 Digital Credentials API？

答：如要瞭解瀏覽器支援詳情，請前往：https://digitalcredentials.dev/ecosystem-support

問：新國家/地區推出後，哪些使用者可以新增 ID？

答：存取權取決於使用者在 Play 商店中的國家/地區設定。

問：數位憑證 API 是否適用於 iOS？

答：可以。API 可搭配 Safari 等支援的瀏覽器使用。但 Apple 不支援 OpenID4VP。