What is a mobile driver license (mDL)?

An mDL is the digital equivalent of a plastic driver's license, issued by your state DMV (or national authority) and stored in a wallet app on your phone. It is governed by ISO/IEC 18013-5, an international standard that specifies how attributes are signed, transferred, and verified. US states including Arizona, Colorado, Maryland, Georgia, Iowa, Mississippi, Ohio, Utah, Virginia, and a growing list are issuing mDLs; California has it in production; the EU is rolling out its own variant under EUDI Wallet (eIDAS 2.0).

What's encoded in the QR?

Under ISO/IEC 18013-5 section 8.2, the QR carries a CBOR-encoded DeviceEngagement structure. That structure declares the wallet's ephemeral public key (eDeviceKey), the cipher suite used (currently P-256 / ECDH-ES), and the list of transfer methods the wallet supports (NFC, Bluetooth LE, Wi-Fi Aware). It does NOT carry the actual license attributes (name, DOB, license number, photo). Those are sent over the chosen transfer channel AFTER the verifier requests specific attributes and the holder approves.

How is this different from the PDF417 barcode on the back of a plastic license?

Completely different. The PDF417 barcode on plastic AAMVA cards encodes every attribute on the card in plaintext, name, address, DOB, license number, restrictions, donor status, and any scanner can read all of it. An mDL QR is just a handshake. The verifier has to ASK for specific attributes (e.g. 'over 21? yes/no') and the holder has to APPROVE the release on their phone. The wallet can answer 'over 21 = yes' without disclosing the actual date of birth, that's called selective disclosure.

What does selective disclosure mean in practice?

A bartender scanning your mDL needs to know one thing: are you of legal drinking age? With a plastic license, you hand over the card and they see your full address, DOB, and license number. With an mDL the bartender's verifier app requests only the age_over_21 attribute. Your phone shows you that request, you approve, and a signed boolean is transferred. Nothing else. ISO/IEC 18013-5 supports a long list of such derived attributes (age_over_18, age_over_21, age_over_65), plus full attributes when actually needed (a car rental probably needs full name and license number; a bouncer doesn't).

What's a hostile verifier and how do I spot one?

A hostile verifier is a verifier app that asks for more attributes than the transaction needs, e.g. a bar asking for full address, license number, and photo when it only needs age_over_21. This is a real risk because verifier apps are not centrally regulated; anyone can build one. The mDL standard requires the wallet to display the full list of requested attributes before the holder approves, so the defense is reading that list. If the bar wants your home address to pour a beer, decline. ISO/IEC 18013-5 also supports verifier authentication (the verifier signs its request with a certificate from a trust list), so a scrupulous wallet warns when the verifier isn't on a known trust list. The list of recognized verifiers is jurisdiction-specific and still maturing.

Standarder · Mobilt kørekort (mDL)

Mobilt kørekort QR-koder: ISO/IEC 18013-5

Når en bartender, TSA-betjent eller bilудlejnings-ekspedient scanner QR-koden i din kørekort-app, er den QR-kode ikke kørekortet. Det er et håndtryk. De faktiske attributter overføres først, efter deres verifikator beder om specifikke felter, og du godkender udleveringen på din telefon. Gjort rigtigt afslører et mDL langt mindre end et plastikkort. Gjort forkert (fjendtlig verifikator, total godkendelse) afslører det samme eller mere. Her er, hvordan du kan skelne.

Undersøg en mDL QR-kode → Alle standarder →

Hvad er standarden

ISO/IEC 18013-5:2021, Personlig identifikation, ISO-kompatibelt kørekort, Del 5: Mobilt kørekort (mDL) applikation. Den internationale standard, der specificerer, hvordan digitale kørekort udstedes, opbevares, overføres til en verifikator og verificeres offline. QR-kodens overflade (den del, de fleste mennesker ser) er afsnit 8.2 "Enhedshentning, QR-kodekoblingsmodul". En ledsagestandard, ISO/IEC 18013-7, dækker online-hentning (verifikatoren forespørger udstederen direkte med indehaverens samtykke).

Anvendelsen er godt i gang: et dusin amerikanske stater har produktions- eller pilot-mDL'er i Apple Wallet og Google Wallet; Californiens mDL er i fuld tilgængelighed; TSA accepterer mDL'er ved sikkerhedskontrollen på de fleste større amerikanske lufthavne; EU indfører sin variant i EUDI Wallet under eIDAS 2.0 (forordning trådte i kraft sidst i 2024, punge forfalder 2026-2027). Standarden er også grundlaget for ISO/IEC 23220 (generelt mobil-legitimationsramme, der dækker mere end bare kørekort).

Hvad der faktisk er inde i QR-koden

mDL QR-koden koder en DeviceEngagement CBOR-struktur. CBOR (Concise Binary Object Representation, RFC 8949) er et kompakt binært alternativ til JSON. Den afkodede struktur ser omtrent sådan ud:

{
  0: "1.0",                         // version
  1: [1, 2, [eDeviceKey bytes]],    // security: cipher suite 1, EC P-256 key
  2: [                              // device retrieval methods
    [1, 1, {...NFC options...}],
    [2, 1, {...BLE options...}],
    [3, 1, {...Wi-Fi Aware options...}]
  ],
  3: {...optional server retrieval...}
}

Nøglefelter, afkodet:

Version

Altid "1.0" for nuværende installationer. Fremtidige revisioner kan ændre dette.

Kryptografipakke

Aktuelt altid 1: ECDH-nøgleaftale på P-256, AES-GCM sessionsenkryptering. Cipher suite 2 er reserveret til brainpoolP320r1 (EU-brugssager).

eDeviceKey

En efemer EC offentlig nøgle genereret per session af pungen. Bruges af verifikatoren til at oprette en krypteret session. Slettet efter transaktionen. Vores scanner viser dig længden af dette felt, men afspejler aldrig nøglebytesne – de er efemere og kun meningsfulde for den igangværende verifikatorsession.

Overførselsmetoder

Pungen fortæller verifikatoren, hvilke kanaler den er villig til at bruge til den faktiske attributoverførsel: NFC (tap), Bluetooth LE eller Wi-Fi Aware (peer-to-peer Wi-Fi uden adgangspunkt). De fleste mDL'er tilbyder BLE og NFC; Wi-Fi Aware er platformbegrænset.

Server-hentning (valgfri)

Hvis til stede understøtter pungen 18013-7-tilstanden: verifikatoren kan anmode om attributter fra udstederens online-API i stedet for direkte fra pungen. QR-koden inkluderer udstederens URL. Vores scanner udtrækker dette og viser dig, hvilken myndighed der ville modtage forespørgslen.

Hvad adskiller dette fra AAMVA PDF417 på plastikkortet?

Det er en anden kategori af legitimation. AAMVA PDF417-stregkoden på bagsiden af et amerikansk plastikkort indeholder alle kortets attributter i klartekst – navn, adresse, fødselsdato, kørekortnummer, højde, vægt, øjenfarve, begrænsninger, organdonor-flag. Enhver scanner kan læse alt. Kortet er en "alt eller intet"-legitimation: du overgiver det enten og afslører alt, eller også gør du det ikke.

Et mDL vender det om. QR-koden indeholder ingen attributter – kun et håndtryk. Verifikatoren skal bede om specifikke attributter (given_name, family_name, birth_date, age_over_21, portrait, document_number, driving_privileges osv.), pungen viser dig anmodningen, og kun de attributter, du godkender, overføres. Overførslen er også kryptografisk underskrevet af udstedermyndigheden (din statens DMV), så verifikatoren kan bekræfte, at attributterne er ægte uden at ringe hjem – offline-verifikation virker.

Det er grunden til, at de, der bekymrer sig om privatlivets fred, foretrækker mDL'er, selv om standarden er mere kompleks: den muliggør videregivelse afpasset transaktionen. En dørmand behøver ikke din adresse; en TSA-betjent behøver ikke din organdonor-status; en 7-Eleven-ekspedient behøver ikke dit kørekortnummer.

Selektiv videregivelse: den egentlige pointe

mDL-standarden definerer et sæt afledte attributter, der lader verifikatoren stille et ja/nej-spørgsmål i stedet for at få en råværdi. De vigtigste:

age_over_18, age_over_21, age_over_65 – til aldersgatedede køb uden at afsløre fødselsdato.
resident_state – til spørgsmålet "er du statsborger?" uden at afsløre adresse.
driving_privileges – licens-klasse og begrænsninger; til biludlejning.

En veldesignet verifikatorapp til en bar beder kun om age_over_21. Pungen viser "Bar XYZ ønsker at vide, om du er over 21." Du trykker Godkend, og en enkelt underskrevet boolsk ("sandt") sendes tilbage. Barens app verificerer signaturen mod din statens offentliggjorte mDL-tillidsrod. Færdig. Ingen fødselsdato, intet navn, intet kørekortnummer, intet foto. Sammenlignet med at overlevere plastikkortet er dette en massiv privatlivsforbedring.

Fjendtlige verifikatorer: den nye trusselmodel

Trusselmodellen for plastikkortet var enkel: mist det, få det kopieret, få det kigget over skulderen. mDL-trusselmodellen er anderledes. Formatet er stærkt; kryptografien er solid; risikoen skifter til verifikatorappen på den anden side af transaktionen.

Hvem som helst kan bygge en verifikatorapp. Der er ingen central licensmyndighed. Så en bar kan køre en standardverifikator konfigureret til at bede om fuld fødselsdato, fuldt navn og foto, selv om den kun har brug for age_over_21. En bilудlejnings-ekspedient kan bede om alt "til sagsakten". En butiksekspedient kan bede om adressen. Intet af dette er teknisk forbudt ifølge standarden – standarden siger blot, at pungen skal vise indehaveren, hvad der anmodes om, og kræve eksplicit godkendelse.

Forsvaret ligger altså på indehaverens side: læs anmodningsprompten. Hvis verifikatoren beder om mere, end transaktionen kræver, afvis. Visse punge advarer, når verifikatoren ikke er på en kendt tillidsiste; ISO/IEC 18013-5 understøtter verifikatorautentificering via certifikater, men tillidslisteinfrastrukturen modnes stadig (per-stats lister i USA; EU-tillidsiste under eIDAS 2.0).

Værd at vide: verifikatoren ser din eDeviceKey, cipher suiten og hvilke overførselsmetoder du understøtter – det er alt. De får ikke attributter fra QR-koden alene. Så at scanne en QR-kode fra et klistermærke eller en andens skærm og gå derfra giver en angriber intet nyttigt. Attributterne rejser kun inden i den krypterede session efter håndtrykket.

Hvad vores scanner viser dig

Slip en mDL DeviceEngagement QR-kode (billede, indsæt eller kamera) ind i vores scanner. Resultatet viser:

Standard – ISO/IEC 18013-5 §8.2 DeviceEngagement (CBOR).
Version – normalt 1.0.
Cipher suite – den navngivne cipher suite (P-256 / brainpool / osv.).
Overførselsmetoder – hvilke kanaler pungen tilbyder (NFC, BLE, Wi-Fi Aware).
Server-hentningsvært – hvis pungen tilbyder 18013-7-tilstand, hvilken udsteder-URL der ville håndtere attributanmodninger.
eDeviceKey-længde – bekræfter at nøglen er til stede og velformet, uden at gentage bytesne.

Vi afkoder IKKE nogen attributter – der er ingen attributter i QR-koden, af design. De faktiske licensdata ville rejse krypteret via den valgte overførselsmetode til en rigtig verifikator.

Afkodning sker i din browser; kun de strukturelle metadata sendes til vores server til sikkerhedsklassificering.

Inden du godkender en verifikatorsanmodning

Læs anmodningsprompten. Din pung er ifølge standarden forpligtet til at vise dig den fulde liste over anmodede attributter. Læs den.
Matcher anmodningen transaktionen? En bartender, der beder om den fulde fødselsdato i stedet for age_over_21 = afvis eller spørg hvorfor. En bilудlejnings-ekspedient, der beder om organdonor-status = afvis.
Er verifikatoren på en tillidsiste? Visse punge viser et flueben for kendte verifikatorer (udstedte certifikater fra din statens DMV-tillidsrod). Ukendte verifikatorer bør give dig anledning til eftertanke.
Online-hentning (18013-7) er mere kraftfuld og mere invasiv. Hvis pungen spørger, om du vil lade verificereren forespørge din statens DMV direkte, opretter det et revisionsspor hos DMV. Fint til visse transaktioner (TSA, officielle ID-checks), unødvendigt til andre (køb af øl).
Du kan altid sige nej. Hele pointen med selektiv videregivelse er, at du styrer, hvad der forlader din telefon. Hvis en verifikator ikke vil acceptere en reduceret videregivelse, kan du falde tilbage til plastikkortet eller gå fra transaktionen.

Relateret

AAMVA kørekort PDF417 – plastikkortet stregkode, dette format erstatter.
FIDO2 adgangsnøgle QR – endnu en krydsenheds-håndtryk-QR.
QR-svindel at holde øje med i 2026
Alle QR-standarder vi tjekker
Fuld dækning

Undersøg en mDL DeviceEngagement QR-kode

Slip QR-koden (billede, indsæt eller kamera). Resultatet viser version, cipher suite, overførselsmetoder og eventuel valgfri server-hentnings-URL. Ingen attributter – de rejser kun inden i den krypterede post-handshake-session til en rigtig verifikator.

Åbn scanner →