總覽

數位憑證是可透過加密編譯方式驗證的文件,可用於驗證身分、授權或提供使用者經過驗證的資訊。這些文件 (例如行動駕照 (mDL)、數位護照和身分證) 會安全地儲存在數位錢包中。

線上接受身分證件

Google 正在建構開放、安全、私密且符合標準的數位錢包生態系統。整合 W3C 數位憑證 API 後,信賴方 (應用程式和網站) 就能順暢地向使用者 Google 錢包或任何其他相容的數位錢包要求可驗證的身分和年齡證明,同時盡可能保護隱私。

Google 錢包中身分證件的用途

  • 年齡驗證:要求驗證年齡,才能購買設有年齡限制的商品或進入設有年齡限制的場所。
  • 身分驗證:要求提供姓名和地址,以驗證個人身分,確保符合法律規定或防範詐欺。
  • 駕駛資格:驗證某人是否具備駕駛能力 (例如租車時)。

整合 Google 錢包的好處

整合 Digital Credentials API 可帶來策略價值,讓您在多個裝置和瀏覽器上,以零成本順暢地驗證線上身分屬性。

  • 免付費:透過單一 API 即可要求及擷取 Google 錢包 (和其他相容錢包) 的憑證,無需支付任何費用。
  • 可互通且標準化:以全球開放標準為基礎,包括 W3C 數位憑證、OpenID4VP 和 ISO 18013-5/7。確保與全球身分識別生態系統相容,並符合歐盟的 eIDAS 2.0 架構。
  • 跨瀏覽器和跨裝置:統一機制,可在網頁和 Android 裝置上順暢運作。支援多錢包共存,讓使用者自由選擇,並促進互通性。
  • 可驗證的受信任信號:不再只依據自行聲明的資訊。接收政府核發或信任私人核發機構以加密簽署的身分和年齡屬性。
  • 流暢的使用者體驗:Google 錢包已在 200 多個國家/地區的 30 億部 Android 裝置上推出。使用者可以在應用程式或網頁中,以原生方式出示憑證,過程輕鬆順暢。

以隱私權為優先考量和零知識證明 (ZKP)

依賴直接分享資料的數位身分識別系統,通常會要求使用者過度分享個人資訊。為解決這個問題,Google 錢包除了支援現有的 ISO 18013-7 mdoc 外,也支援零知識證明 (ZKP)

ZKP 是一種加密方法,可讓使用者證明某項陳述 (例如「我年滿 18 歲」),但不會揭露實際的基礎資料 (例如確切的出生日期)。

  • 選擇性揭露:只要求用途所需的最低屬性。
  • 無法連結:交易會與裝置綁定,ZKP 可確保發行者、信賴方或 Google 無法識別或追蹤憑證。
  • 不追蹤伺服器:Google 不會在伺服器上儲存憑證相關資料,所有資料都會安全地儲存在使用者裝置的本機,並放在受信任的容器中。
  • 使用者同意聲明:應用程式無法在未經使用者同意的情況下查詢錢包。為保護隱私,這項 API 必須由使用者叫用,且分享資料前須先通過使用者驗證 (生物特徵辨識、PIN 碼或解鎖圖案)。

使用者體驗

無論使用者是為了觀看受限內容而驗證年齡,還是為了完成新手上路程序而分享身分,流程都經過簡化,可減少阻礙。

1. 標準應用程式內 / 網站流程

使用者點按「使用數位身分證驗證」按鈕時,憑證管理工具 (Android 版) 或瀏覽器會將要求與符合資格的憑證進行比對。

系統提示使用者在應用程式或網站中驗證年齡 使用者會看到可用的合格憑證 使用者在 Google 錢包中看到確認頁面 使用者驗證身分,確認要共用 傳送至應用程式或網站的資料
系統提示使用者在應用程式或網站中驗證年齡 使用者會看到可用的合格憑證 使用者在 Google 錢包中看到確認頁面 使用者驗證身分,確認要共用 傳送至應用程式或網站的資料
重要附註
  1. 應用程式或網站可彈性建立 API 的進入點。如步驟 1 所示,我們建議顯示「使用數位身分證件驗證」等一般按鈕,因為我們預期日後可透過 API 提供 Google 錢包以外的選項。
  2. 步驟 2 中的選取器畫面是由 Android 算繪。系統會根據各個 Google 錢包提供的註冊邏輯,以及憑證管理服務傳送的要求,判斷是否符合資格。
  3. 步驟 3 由 Google 錢包提供。Google 錢包會在這個畫面顯示開發人員提供的名稱、標誌和隱私權政策。

2. 跨裝置流程

使用者可以透過裝置向其他裝置出示憑證 (例如向電腦網路瀏覽器出示身分證件)。

系統提示使用者在電腦版網站上驗證年齡 使用者會看到 QR code,可使用行動裝置繼續簡報 使用者透過手機出示憑證 使用者驗證完成並分享資料
系統提示使用者在電腦版網站上驗證年齡 使用者會看到 QR code,可使用行動裝置繼續簡報 使用者透過手機出示憑證 使用者驗證完成

3. 沒有可用的數位身分證件流程

如果使用者沒有憑證或未安裝 Google 錢包應用程式,系統會引導他們順利建立憑證。如果使用者未安裝應用程式,系統會將他們導向 Play 商店。如果使用者已安裝應用程式,但沒有 ID,系統會顯示半螢幕 UI,讓他們不必離開您的應用程式即可建立 ID。

新增數位身分證件流程
系統提示使用者在應用程式或網站中驗證年齡 使用者可選擇要新增數位身分證件的錢包 使用者前往 Google 錢包新增數位身分證件
系統提示使用者在應用程式或網站中驗證年齡 使用者可選擇要新增數位身分證件的錢包 使用者前往 Google 錢包新增數位身分證件
沒有可用的數位身分證件

如果使用者選取「使用數位身分證件驗證」,但 RP 未要求提供身分證件,或使用者沒有符合資格的身分證件,系統就會顯示這則錯誤訊息。

系統提示使用者在應用程式或網站中驗證年齡 如果使用者沒有數位身分證件,系統會顯示錯誤訊息
系統提示使用者在應用程式或網站中驗證年齡 如果使用者沒有數位身分證件,系統會顯示錯誤訊息

後續步驟

準備好接受數位身分證件了嗎?請參閱整合指南,瞭解技術規定、OpenID4VP 請求格式,以及如何驗證回應。

接受現場 (離線) 身分證件

Google 錢包中的身分證件採用國際ISO 18013-5 行動駕照標準。也就是說:

  • 身分證件上的所有資料都經過加密簽章,可安全無縫地驗證
  • 只要輕觸 NFC 或掃描 QR code,即可順暢出示 ID,資料會透過 BLE 傳輸。
  • 使用者可以先查看要求提供的資料,再決定是否分享,而且只需要分享與交易相關的元素,不必提供完整身分證件。
  • 使用者必須先在裝置上完成驗證,才能分享內容
  • 只要裝置接受 Google 錢包中的身分證件,就能接受實作這項標準的其他應用程式或錢包中的身分證件

如要查看 Google 錢包中的身分證件實際使用情形,請觀看這部影片,瞭解身分證件的顯示方式: