What is a mobile driver license (mDL)?

An mDL is the digital equivalent of a plastic driver's license, issued by your state DMV (or national authority) and stored in a wallet app on your phone. It is governed by ISO/IEC 18013-5, an international standard that specifies how attributes are signed, transferred, and verified. US states including Arizona, Colorado, Maryland, Georgia, Iowa, Mississippi, Ohio, Utah, Virginia, and a growing list are issuing mDLs; California has it in production; the EU is rolling out its own variant under EUDI Wallet (eIDAS 2.0).

What's encoded in the QR?

Under ISO/IEC 18013-5 section 8.2, the QR carries a CBOR-encoded DeviceEngagement structure. That structure declares the wallet's ephemeral public key (eDeviceKey), the cipher suite used (currently P-256 / ECDH-ES), and the list of transfer methods the wallet supports (NFC, Bluetooth LE, Wi-Fi Aware). It does NOT carry the actual license attributes (name, DOB, license number, photo). Those are sent over the chosen transfer channel AFTER the verifier requests specific attributes and the holder approves.

How is this different from the PDF417 barcode on the back of a plastic license?

Completely different. The PDF417 barcode on plastic AAMVA cards encodes every attribute on the card in plaintext, name, address, DOB, license number, restrictions, donor status, and any scanner can read all of it. An mDL QR is just a handshake. The verifier has to ASK for specific attributes (e.g. 'over 21? yes/no') and the holder has to APPROVE the release on their phone. The wallet can answer 'over 21 = yes' without disclosing the actual date of birth, that's called selective disclosure.

What does selective disclosure mean in practice?

A bartender scanning your mDL needs to know one thing: are you of legal drinking age? With a plastic license, you hand over the card and they see your full address, DOB, and license number. With an mDL the bartender's verifier app requests only the age_over_21 attribute. Your phone shows you that request, you approve, and a signed boolean is transferred. Nothing else. ISO/IEC 18013-5 supports a long list of such derived attributes (age_over_18, age_over_21, age_over_65), plus full attributes when actually needed (a car rental probably needs full name and license number; a bouncer doesn't).

What's a hostile verifier and how do I spot one?

A hostile verifier is a verifier app that asks for more attributes than the transaction needs, e.g. a bar asking for full address, license number, and photo when it only needs age_over_21. This is a real risk because verifier apps are not centrally regulated; anyone can build one. The mDL standard requires the wallet to display the full list of requested attributes before the holder approves, so the defense is reading that list. If the bar wants your home address to pour a beer, decline. ISO/IEC 18013-5 also supports verifier authentication (the verifier signs its request with a certificate from a trust list), so a scrupulous wallet warns when the verifier isn't on a known trust list. The list of recognized verifiers is jurisdiction-specific and still maturing.

Standar · Surat Izin Mengemudi digital (mDL)

QR code SIM digital: ISO/IEC 18013-5

Ketika bartender, petugas TSA, atau petugas penyewaan mobil memindai QR di aplikasi SIM ponsel Anda, QR itu bukan SIM-nya. Itu adalah jabat tangan. Atribut sebenarnya hanya berpindah setelah verifier mereka meminta kolom tertentu dan Anda menyetujui pelepasannya di ponsel Anda. Jika dilakukan dengan benar, mDL jauh lebih sedikit membocorkan informasi daripada kartu plastik. Jika dilakukan dengan salah (verifier yang tidak jujur, persetujuan menyeluruh), bocornya sama banyak atau lebih buruk. Inilah cara membedakannya.

Periksa QR mDL → Semua standar →

Apa standarnya

ISO/IEC 18013-5:2021, Identifikasi pribadi, SIM sesuai ISO, Bagian 5: Aplikasi SIM digital (mDL). Standar internasional yang menetapkan cara SIM digital diterbitkan, disimpan, ditransfer ke verifier, dan diverifikasi secara offline. Permukaan QR code (bagian yang paling banyak dilihat orang) ada di bagian 8.2 "Pengambilan perangkat, keterlibatan QR code". Standar pendamping, ISO/IEC 18013-7, mencakup pengambilan online (verifier bertanya langsung ke penerbit dengan persetujuan pemegang).

Adopsi sudah berlangsung pesat: selusin negara bagian AS memiliki mDL produksi atau pilot di Apple Wallet dan Google Wallet; mDL California sudah tersedia umum; TSA menerima mDL di pemeriksaan keamanan di sebagian besar bandara utama AS; UE sedang menggulirkan variannya ke dalam EUDI Wallet di bawah eIDAS 2.0 (regulasi berlaku akhir 2024, dompet diperkirakan 2026-2027). Standar ini juga menjadi dasar ISO/IEC 23220 (kerangka kredensial mobile umum, mencakup hal di luar SIM).

Apa yang sebenarnya ada di dalam QR

QR mDL mengkodekan struktur CBOR DeviceEngagement. CBOR (Concise Binary Object Representation, RFC 8949) adalah alternatif biner ringkas untuk JSON. Struktur yang didekode kira-kira terlihat seperti:

{
  0: "1.0",                         // version
  1: [1, 2, [eDeviceKey bytes]],    // security: cipher suite 1, EC P-256 key
  2: [                              // device retrieval methods
    [1, 1, {...NFC options...}],
    [2, 1, {...BLE options...}],
    [3, 1, {...Wi-Fi Aware options...}]
  ],
  3: {...optional server retrieval...}
}

Kolom utama, setelah didekode:

Versi

Selalu "1.0" untuk deployment saat ini. Revisi mendatang mungkin akan diubah.

Suite sandi

Saat ini selalu 1: perjanjian kunci ECDH pada P-256, enkripsi sesi AES-GCM. Suite sandi 2 dicadangkan untuk brainpoolP320r1 (kasus penggunaan UE).

eDeviceKey

Kunci publik EC sementara yang dibuat per sesi oleh dompet. Digunakan oleh verifier untuk membuat sesi terenkripsi. Dihapus setelah transaksi. Pemindai kami menampilkan panjang kolom ini tetapi tidak pernah menampilkan byte kunci — mereka bersifat sementara dan hanya bermakna untuk sesi verifier yang sedang berlangsung.

Metode transfer

Dompet memberi tahu verifier saluran mana yang bersedianya digunakan untuk transfer atribut sebenarnya: NFC (tap), Bluetooth LE, atau Wi-Fi Aware (Wi-Fi peer-to-peer tanpa access point). Sebagian besar mDL menawarkan BLE dan NFC; Wi-Fi Aware terbatas pada platform tertentu.

Pengambilan server (opsional)

Jika ada, dompet mendukung mode 18013-7: verifier dapat meminta atribut dari API online penerbit alih-alih langsung dari dompet. QR menyertakan URL penerbit. Pemindai kami mengekstrak ini dan menampilkan otoritas mana yang akan menerima permintaan.

Apa bedanya dengan barcode PDF417 AAMVA di kartu plastik?

Ini adalah kategori kredensial yang berbeda. Barcode PDF417 AAMVA di bagian belakang SIM plastik AS membawa setiap atribut pada kartu dalam teks biasa — nama, alamat, tanggal lahir, nomor SIM, tinggi badan, berat badan, warna mata, pembatasan, flag donor organ. Pemindai mana pun dapat membaca semuanya. Kartu itu adalah kredensial "semua atau tidak sama sekali": Anda menyerahkannya dan mengungkapkan segalanya, atau tidak.

mDL membalikkan itu. QR tidak membawa atribut — hanya jabat tangan. Verifier harus meminta atribut tertentu (given_name, family_name, birth_date, age_over_21, portrait, document_number, driving_privileges, dll.), dompet menampilkan permintaan kepada Anda, dan hanya atribut yang Anda setujui yang ditransfer. Transfernya juga ditandatangani secara kriptografi oleh otoritas penerbit (DMV negara bagian Anda), sehingga verifier dapat mengonfirmasi atribut tersebut nyata tanpa menelepon pusat — verifikasi offline berfungsi.

Inilah mengapa orang yang peduli privasi lebih memilih mDL meskipun standarnya lebih kompleks: ini memungkinkan pengungkapan yang disesuaikan dengan transaksi. Seorang penjaga pintu tidak memerlukan alamat Anda; petugas TSA tidak memerlukan status donor organ Anda; kasir 7-Eleven tidak memerlukan nomor SIM Anda.

Pengungkapan selektif: tujuan sebenarnya

Standar mDL mendefinisikan sekumpulan atribut turunan yang memungkinkan verifier mengajukan pertanyaan ya/tidak alih-alih mendapatkan nilai mentah. Yang utama:

age_over_18, age_over_21, age_over_65, untuk pembelian dengan pembatasan usia tanpa mengungkapkan tanggal lahir.
resident_state, untuk pertanyaan "apakah Anda penduduk negara bagian ini?" tanpa mengungkapkan alamat.
driving_privileges, kelas SIM yang dimiliki, pembatasan; untuk penyewaan mobil.

Aplikasi verifier yang dirancang dengan baik untuk sebuah bar hanya meminta age_over_21. Dompet menampilkan "Bar XYZ ingin mengetahui apakah Anda berusia di atas 21 tahun." Anda mengetuk Setuju, satu boolean bertanda tangan ("true") dikirim kembali. Aplikasi bar memverifikasi tanda tangan terhadap root kepercayaan mDL yang diterbitkan negara bagian Anda. Selesai. Tidak ada tanggal lahir, tidak ada nama, tidak ada nomor SIM, tidak ada foto. Dibandingkan menyerahkan kartu plastik, ini adalah peningkatan privasi yang besar.

Verifier yang tidak jujur: model ancaman baru

Model ancaman kartu plastik sederhana: hilang, disalin, dilihat orang lain. Model ancaman mDL berbeda. Formatnya kuat; kriptografinya solid; risikonya bergeser ke aplikasi verifier di sisi lain transaksi.

Siapa pun bisa membangun aplikasi verifier. Tidak ada otoritas perizinan terpusat. Jadi sebuah bar mungkin menjalankan verifier siap pakai yang dikonfigurasi untuk meminta tanggal lahir lengkap, nama lengkap, dan foto meskipun hanya membutuhkan age_over_21. Petugas penyewaan mobil mungkin meminta segalanya "untuk arsip". Petugas ritel mungkin meminta alamat. Tidak ada yang secara teknis dilarang oleh standar — standar hanya menyatakan bahwa dompet harus menampilkan kepada pemegang apa yang diminta dan memerlukan persetujuan eksplisit.

Jadi pertahanannya ada di sisi pemegang: baca permintaan yang ditampilkan. Jika verifier meminta lebih dari yang dibutuhkan transaksi, tolak. Beberapa dompet memperingatkan ketika verifier tidak ada di daftar kepercayaan yang dikenal; ISO/IEC 18013-5 mendukung autentikasi verifier melalui sertifikat, tetapi infrastruktur daftar kepercayaan masih berkembang (daftar per negara bagian di AS; daftar kepercayaan UE di bawah eIDAS 2.0).

Penting juga untuk diketahui: verifier melihat eDeviceKey Anda, suite sandi, dan metode transfer yang Anda dukung — hanya itu. Mereka tidak mendapat atribut dari QR saja. Jadi memindai QR dari stiker atau layar seseorang dan pergi tidak memberikan penyerang hal yang berguna. Atribut hanya berpindah di dalam sesi terenkripsi setelah jabat tangan.

Apa yang ditampilkan pemindai kami

Masukkan QR DeviceEngagement mDL (gambar, tempel, atau kamera) ke pemindai kami. Hasilnya menampilkan:

Standar — ISO/IEC 18013-5 §8.2 DeviceEngagement (CBOR).
Versi — biasanya 1.0.
Suite sandi — suite sandi yang dinamai (P-256 / brainpool / dll.).
Metode transfer — saluran mana yang ditawarkan dompet (NFC, BLE, Wi-Fi Aware).
Host pengambilan server — jika dompet menawarkan mode 18013-7, URL penerbit mana yang akan menangani permintaan atribut.
Panjang eDeviceKey — mengonfirmasi kunci ada dan terbentuk dengan baik, tanpa menampilkan byte-nya.

Kami TIDAK mendekode atribut apa pun — tidak ada atribut dalam QR, secara desain. Data SIM sebenarnya akan berpindah terenkripsi melalui metode transfer yang dipilih ke verifier nyata.

Dekoding terjadi di browser Anda; hanya metadata struktural yang mencapai server kami untuk klasifikasi keamanan.

Sebelum Anda menyetujui permintaan verifier

Baca permintaan yang ditampilkan. Dompet Anda diwajibkan oleh standar untuk menampilkan daftar lengkap atribut yang diminta. Bacalah.
Apakah permintaan sesuai dengan transaksi? Bartender yang meminta tanggal lahir lengkap alih-alih age_over_21 = tolak atau tanyakan mengapa. Petugas penyewaan mobil yang meminta status donor organ = tolak.
Apakah verifier ada di daftar kepercayaan? Beberapa dompet menampilkan tanda centang untuk verifier yang dikenal (sertifikat yang diterbitkan dari root kepercayaan DMV negara bagian Anda). Verifier yang tidak dikenal harus membuat Anda waspada.
Pengambilan online (18013-7) lebih kuat dan lebih invasif. Jika dompet meminta apakah verifier boleh langsung menanyakan DMV negara bagian Anda, ini akan membuat jejak audit di DMV. Boleh untuk beberapa transaksi (TSA, pemeriksaan ID resmi), tidak perlu untuk yang lain (membeli bir).
Anda selalu bisa mengatakan tidak. Seluruh tujuan pengungkapan selektif adalah bahwa Anda mengontrol apa yang keluar dari ponsel Anda. Jika verifier tidak mau menerima pengungkapan yang dikurangi, Anda bisa menggunakan kartu plastik atau menghindari transaksi.

Terkait

Barcode PDF417 SIM AAMVA, barcode kartu plastik yang digantikan format ini.
QR passkey FIDO2, QR jabat tangan lintas perangkat lainnya.
Penipuan QR yang perlu diwaspadai di 2026
Semua standar QR yang kami periksa
Daftar cakupan lengkap

Periksa QR DeviceEngagement mDL

Masukkan QR (gambar, tempel, atau kamera). Hasilnya menampilkan versi, suite sandi, metode transfer, dan URL pengambilan server opsional. Tidak ada atribut — atribut tersebut hanya berpindah di dalam sesi pasca-jabat-tangan terenkripsi ke verifier nyata.

Buka pemindai →