What is a mobile driver license (mDL)?

An mDL is the digital equivalent of a plastic driver's license, issued by your state DMV (or national authority) and stored in a wallet app on your phone. It is governed by ISO/IEC 18013-5, an international standard that specifies how attributes are signed, transferred, and verified. US states including Arizona, Colorado, Maryland, Georgia, Iowa, Mississippi, Ohio, Utah, Virginia, and a growing list are issuing mDLs; California has it in production; the EU is rolling out its own variant under EUDI Wallet (eIDAS 2.0).

What's encoded in the QR?

Under ISO/IEC 18013-5 section 8.2, the QR carries a CBOR-encoded DeviceEngagement structure. That structure declares the wallet's ephemeral public key (eDeviceKey), the cipher suite used (currently P-256 / ECDH-ES), and the list of transfer methods the wallet supports (NFC, Bluetooth LE, Wi-Fi Aware). It does NOT carry the actual license attributes (name, DOB, license number, photo). Those are sent over the chosen transfer channel AFTER the verifier requests specific attributes and the holder approves.

How is this different from the PDF417 barcode on the back of a plastic license?

Completely different. The PDF417 barcode on plastic AAMVA cards encodes every attribute on the card in plaintext, name, address, DOB, license number, restrictions, donor status, and any scanner can read all of it. An mDL QR is just a handshake. The verifier has to ASK for specific attributes (e.g. 'over 21? yes/no') and the holder has to APPROVE the release on their phone. The wallet can answer 'over 21 = yes' without disclosing the actual date of birth, that's called selective disclosure.

What does selective disclosure mean in practice?

A bartender scanning your mDL needs to know one thing: are you of legal drinking age? With a plastic license, you hand over the card and they see your full address, DOB, and license number. With an mDL the bartender's verifier app requests only the age_over_21 attribute. Your phone shows you that request, you approve, and a signed boolean is transferred. Nothing else. ISO/IEC 18013-5 supports a long list of such derived attributes (age_over_18, age_over_21, age_over_65), plus full attributes when actually needed (a car rental probably needs full name and license number; a bouncer doesn't).

What's a hostile verifier and how do I spot one?

A hostile verifier is a verifier app that asks for more attributes than the transaction needs, e.g. a bar asking for full address, license number, and photo when it only needs age_over_21. This is a real risk because verifier apps are not centrally regulated; anyone can build one. The mDL standard requires the wallet to display the full list of requested attributes before the holder approves, so the defense is reading that list. If the bar wants your home address to pour a beer, decline. ISO/IEC 18013-5 also supports verifier authentication (the verifier signs its request with a certificate from a trust list), so a scrupulous wallet warns when the verifier isn't on a known trust list. The list of recognized verifiers is jurisdiction-specific and still maturing.

Standardy · Mobilní řidičský průkaz (mDL)

QR kódy mobilních řidičských průkazů: ISO/IEC 18013-5

Když barman, pracovník TSA nebo pracovník půjčovny aut naskenuje QR kód z aplikace průkazu vašeho telefonu, nevidí vaše data. Vidí handshake. Tato stránka vysvětluje protokol, co je v QR kódu zakódováno a jak selektivní zveřejnění skutečně funguje.

Zkontrolovat QR kód mDL → Všechny standardy →

Co je standardem

ISO/IEC 18013-5:2021, Osobní identifikace, Řidičský průkaz v souladu s ISO. Vypracovaný pracovní skupinou ISO TC204 (Inteligentní dopravní systémy) za účasti AAMVA, orgánů vydávajících průkazy v Evropě, USA a Asii a výrobců mobilních peněženek (Apple, Google, Samsung).

Přijetí je v plném proudu: tucet amerických států má produkční nebo pilotní vydávání mDL (AZ, CO, GA, HI, IA, KY, MD, MO, OH, UT, VA, WA). Podpora Apple Wallet a Google Wallet je dostupná v produkci. Přijetí TSA pro vstupenky na lety probíhá.

Co je skutečně uvnitř QR kódu

QR kód mDL kóduje strukturu DeviceEngagement CBOR. CBOR (Concise Binary Object Representation) je binární formát podobný JSONu, zvolený pro jeho kompaktnost. Struktura DeviceEngagement říká verifikátoru: "Tady je způsob, jak navázat zabezpečený kanál k mé peněžence."

{
  0: "1.0",                         // version
  1: [1, 2, [eDeviceKey bytes]],    // security: cipher suite 1, EC P-256 key
  2: [                              // device retrieval methods
    [1, 1, {...NFC options...}],
    [2, 1, {...BLE options...}],
    [3, 1, {...Wi-Fi Aware options...}]
  ],
  3: {...optional server retrieval...}
}

Klíčová pole, dekódovaná:

Verze

Pro aktuální nasazení vždy "1.0". Budoucí revize mohou toto číslo zvýšit.

Šifrovací sada

Aktuálně vždy 1: ECDH klíčová dohoda na P-256, AES-GCM šifrování relace. Budoucí revize mohou přidat brainpool P-256 nebo P-384 pro jurisdikce vyžadující tyto křivky.

eDeviceKey

Efemérní veřejný klíč EC generovaný pro každou relaci peněženkou. Ověřitel ho použije k navázání šifrované relace. Po transakci se zneplatní. Náš skener zobrazuje délku tohoto pole, ale nikdy nezrcadlí samotné bajty klíče – jsou efemérní a mají smysl jen pro právě probíhající relaci ověřovatele.

Metody přenosu

Peněženka říká verifikátoru, které kanály je ochotna použít pro skutečný přenos dat atributů: BLE (Bluetooth), NFC nebo WiFi Aware. QR kód sám o sobě žádná data atributů nepřenáší.

Načítání ze serveru (volitelné)

Pokud je přítomno, peněženka podporuje režim 18013-7: verifikátor může požádat o atributy přes HTTPS místo BLE/NFC. Tato část nese základní URL peněženkového serveru.

Jak se liší od AAMVA PDF417 na plastové kartě?

Jde o jinou kategorii přihlašovacích údajů. Plastový průkaz PDF417 vašeho státu kóduje úplné atributy přímo do čárového kódu — jméno, adresu, datum narození, číslo průkazu, fotografii — vše najednou. Kdokoli, kdo naskenuje tento čárový kód, přečte vše.

mDL to obrací. QR kód neobsahuje žádné atributy, pouze handshake. Ověřovatel musí požádat o konkrétní atributy (given_name, family_name, birth_date, age_over_21, portrait, document_number, driving_privileges atd.), peněženka vám žádost zobrazí a přeneseny jsou pouze atributy, které schválíte. Přenos je navíc kryptograficky podepsán vydávajícím orgánem (vaším státním DMV), takže ověřovatel může potvrdit pravost atributů bez volání domů – ověření funguje offline.

Proto lidé, kteří dbají na soukromí, dávají přednost mDL, i když je standard mladší a přijetí je nerovnoměrné.

Selektivní zveřejnění: skutečný smysl

Standard mDL definuje sadu odvozených atributů, které umožňují peněžence odpovídat na konkrétní otázky, aniž by odhalila příslušné pole nezpracovaných dat. Jsou to:

age_over_18, age_over_21, age_over_65, pro ověření věku bez odhalení skutečného data narození.
resident_state, pro otázku "Jste rezidentem tohoto státu?" bez odhalení celé adresy.
driving_privileges, třída oprávnění, omezení; pro zapůjčení vozidla bez odhalení adresy bydliště.

Dobře navržená verifikátorská aplikace pro bar žádá pouze age_over_21. Peněženka odpoví booleovskou hodnotou. Verifikátor nikdy nevidí vaše datum narození, fotografii ani číslo průkazu.

Nepřátelští verifikátoři: nový model hrozby

Model hrozeb plastové karty byl jednoduchý: ztratíte ji, zkopírují ji, přečtou ji přes rameno. Model hrozeb mDL je jiný. Formát je silný, kryptografie je spolehlivá; riziko se přesouvá na aplikaci ověřovatele na druhé straně transakce.

Aplikaci ověřovatele může vytvořit kdokoli. Neexistuje žádný centrální licenční úřad. Bar tedy může provozovat hotový ověřovatel nakonfigurovaný tak, aby žádal o úplné datum narození, celé jméno a fotografii, přestože potřebuje pouze age_over_21. Pracovník půjčovny aut může žádat o vše „pro spis“. Prodavač může žádat o adresu. Nic z toho standard technicky nezakazuje – standard jen říká, že peněženka musí držiteli ukázat, co je požadováno, a vyžadovat výslovný souhlas.

Obranou je proto na straně držitele: přečtěte si výzvu k žádosti. Pokud žádost neodpovídá transakci, odmítněte.

Je také dobré vědět: verifikátor vidí váš eDeviceKey, šifrovací sadu a metody přenosu z QR kódu ještě předtím, než schválíte jakoukoli žádost. To je nevyhnutelné na úrovni protokolu — handshake musí proběhnout. Samotný QR kód atributy nenese.

Co náš skener zobrazuje

Vložte QR kód DeviceEngagement mDL (obrázek, vložit nebo kamera) do našeho skeneru. Verdikt zobrazí:

Standard, ISO/IEC 18013-5 §8.2 DeviceEngagement (CBOR).
Verze, obvykle 1.0.
Šifrovací sada, pojmenovaná šifrovací sada (P-256 / brainpool / atd.).
Metody přenosu, které kanály peněženka nabízí (NFC, BLE, WiFi Aware).
Hostitel načítání ze serveru, pokud peněženka nabízí režim 18013-7, ze kterého serveru.
Délka eDeviceKey, potvrzuje přítomnost a správnou tvorbu klíče, aniž by vystavoval bajty klíče.

NEDEKÓDUJEME žádné atributy — v QR kódu žádné atributy záměrně nejsou. Celá výměna atributů probíhá přes šifrovaný BLE/NFC/WiFi kanál poté, co bylo navázáno DeviceEngagement.

Dekódování probíhá ve vašem prohlížeči; na náš server se dostane pouze strukturální metadata. Atributy nejsou nikdy přenášeny, protože QR kód žádné neobsahuje.

Před schválením žádosti verifikátora

Přečtěte si výzvu k žádosti. Vaše peněženka je standardem povinna zobrazit všechna požadovaná pole a vyžádat si váš souhlas. Pokud výzva říká "sdílet jméno, datum narození, fotografii", verifikátor žádá o vaši fotografii.
Odpovídá žádost transakci? Barman žádá o úplné datum narození místo age_over_21 = odmítněte nebo se zeptejte proč. Pracovník půjčovny aut žádá o status dárce orgánů = odmítněte.
Je verifikátor na seznamu důvěryhodných? Některé peněženky zobrazují zaškrtnutí pro verifikátory registrované u státního orgánu vydávajícího průkazy. Absence zaškrtnutí neznamená, že je verifikátor podvodný, ale je to stojí za povšimnutí.
Online načítání (18013-7) je výkonnější a invazivnější. Verifikátor může zaznamenat relaci, provést korelaci s jinými požadavky a uchovávat data déle. V prostředích s vysokou důvěrou (TSA, hranice) to může být nezbytné. U nízkorizikových transakcí (věk v baru) dávejte přednost offline BLE/NFC.
Vždy můžete odmítnout. Celý smysl selektivního zveřejnění je, že ho kontrolujete. Verifikátor bez oprávnění nemůže atributy vynutit. Pokud obchodník trvá na více, než bylo dohodnuto, požádejte nadřízeného nebo podejte stížnost.

Viz také

Řidičský průkaz AAMVA PDF417, plastová karta předcházející mDL, která kóduje úplné atributy přímo do čárového kódu.
FIDO2 QR kód passkey, další protokol s QR kódem pro přenos mezi zařízeními se selektivním zveřejněním.
Podvody s QR kódy, na které si dát pozor v roce 2026
Všechny standardy QR, které kontrolujeme
Úplný seznam pokrytí

Zkontrolovat QR kód DeviceEngagement mDL

Vložte QR kód (obrázek, vložit nebo kamera). Verdikt zobrazí verzi, šifrovací sadu, metody přenosu, přítomnost eDeviceKey a přítomnost nebo nepřítomnost načítání ze serveru.

Otevřít skener →