What is a mobile driver license (mDL)?

An mDL is the digital equivalent of a plastic driver's license, issued by your state DMV (or national authority) and stored in a wallet app on your phone. It is governed by ISO/IEC 18013-5, an international standard that specifies how attributes are signed, transferred, and verified. US states including Arizona, Colorado, Maryland, Georgia, Iowa, Mississippi, Ohio, Utah, Virginia, and a growing list are issuing mDLs; California has it in production; the EU is rolling out its own variant under EUDI Wallet (eIDAS 2.0).

What's encoded in the QR?

Under ISO/IEC 18013-5 section 8.2, the QR carries a CBOR-encoded DeviceEngagement structure. That structure declares the wallet's ephemeral public key (eDeviceKey), the cipher suite used (currently P-256 / ECDH-ES), and the list of transfer methods the wallet supports (NFC, Bluetooth LE, Wi-Fi Aware). It does NOT carry the actual license attributes (name, DOB, license number, photo). Those are sent over the chosen transfer channel AFTER the verifier requests specific attributes and the holder approves.

How is this different from the PDF417 barcode on the back of a plastic license?

Completely different. The PDF417 barcode on plastic AAMVA cards encodes every attribute on the card in plaintext, name, address, DOB, license number, restrictions, donor status, and any scanner can read all of it. An mDL QR is just a handshake. The verifier has to ASK for specific attributes (e.g. 'over 21? yes/no') and the holder has to APPROVE the release on their phone. The wallet can answer 'over 21 = yes' without disclosing the actual date of birth, that's called selective disclosure.

What does selective disclosure mean in practice?

A bartender scanning your mDL needs to know one thing: are you of legal drinking age? With a plastic license, you hand over the card and they see your full address, DOB, and license number. With an mDL the bartender's verifier app requests only the age_over_21 attribute. Your phone shows you that request, you approve, and a signed boolean is transferred. Nothing else. ISO/IEC 18013-5 supports a long list of such derived attributes (age_over_18, age_over_21, age_over_65), plus full attributes when actually needed (a car rental probably needs full name and license number; a bouncer doesn't).

What's a hostile verifier and how do I spot one?

A hostile verifier is a verifier app that asks for more attributes than the transaction needs, e.g. a bar asking for full address, license number, and photo when it only needs age_over_21. This is a real risk because verifier apps are not centrally regulated; anyone can build one. The mDL standard requires the wallet to display the full list of requested attributes before the holder approves, so the defense is reading that list. If the bar wants your home address to pour a beer, decline. ISO/IEC 18013-5 also supports verifier authentication (the verifier signs its request with a certificate from a trust list), so a scrupulous wallet warns when the verifier isn't on a known trust list. The list of recognized verifiers is jurisdiction-specific and still maturing.

Piawaian · Lesen memandu mudah alih (mDL)

Kod QR lesen memandu mudah alih: ISO/IEC 18013-5

Apabila pengurus bar, pegawai TSA, atau pekerja sewaan kereta mengimbas QR pada aplikasi lesen memandu telefon anda, QR itu bukan lesen. Ia adalah jabat tangan. Atribut sebenar hanya bergerak selepas pengesah mereka meminta medan tertentu dan anda meluluskan pelepasan pada telefon anda. Dilakukan dengan betul, mDL mendedahkan jauh lebih sedikit daripada kad plastik. Dilakukan dengan salah (pengesah bermusuhan, kelulusan menyeluruh), ia mendedahkan jumlah yang sama atau lebih teruk. Inilah cara membezakannya.

Periksa QR mDL → Semua piawaian →

Apakah piawaiannya

ISO/IEC 18013-5:2021, Pengenalan peribadi, Lesen memandu yang mematuhi ISO, Bahagian 5: Aplikasi lesen memandu mudah alih (mDL). Piawaian antarabangsa yang menentukan cara lesen memandu digital dikeluarkan, disimpan, dipindahkan kepada pengesah, dan disahkan luar talian. Permukaan kod QR (bahagian yang kebanyakan orang lihat) adalah seksyen 8.2 “Pengambilan peranti, penglibatan kod QR”. Piawaian pendamping, ISO/IEC 18013-7, merangkumi pengambilan dalam talian (pengesah bertanya kepada pengeluar secara langsung dengan persetujuan pemegang).

Penggunaan sudah pun berjalan dengan baik: selusin negeri AS mempunyai mDL pengeluaran penuh atau perintis dalam Apple Wallet dan Google Wallet; mDL California tersedia secara umum; TSA menerima mDL di keselamatan di kebanyakan lapangan terbang utama AS; EU sedang melancarkan variannya ke dalam EUDI Wallet di bawah eIDAS 2.0 (peraturan berkuat kuasa akhir 2024, dompet dijangka 2026-2027). Piawaian ini juga merupakan asas untuk ISO/IEC 23220 (rangka kerja bukti kelayakan mudah alih umum, merangkumi perkara di luar lesen memandu).

Apa yang sebenarnya ada di dalam QR

QR mDL mengekodkan struktur CBOR DeviceEngagement. CBOR (Concise Binary Object Representation, RFC 8949) adalah alternatif binari yang ringkas kepada JSON. Struktur yang didekod kelihatan lebih kurang seperti:

{
  0: "1.0",                         // version
  1: [1, 2, [eDeviceKey bytes]],    // security: cipher suite 1, EC P-256 key
  2: [                              // device retrieval methods
    [1, 1, {...NFC options...}],
    [2, 1, {...BLE options...}],
    [3, 1, {...Wi-Fi Aware options...}]
  ],
  3: {...optional server retrieval...}
}

Medan utama, didekod:

Versi

Sentiasa “1.0” untuk pemasangan semasa. Semakan masa depan mungkin dinaikkan.

Suite cipher

Pada masa ini sentiasa 1: perjanjian kunci ECDH pada P-256, penyulitan sesi AES-GCM. Suite cipher 2 dikhaskan untuk brainpoolP320r1 (kes guna EU).

eDeviceKey

Kunci awam EC sementara yang dijana setiap sesi oleh dompet. Digunakan oleh pengesah untuk mewujudkan sesi yang disulitkan. Dibuang selepas transaksi. Pengimbas kami menunjukkan kepada anda panjang medan ini tetapi tidak pernah menggema bait kunci — ia sementara dan hanya bermakna untuk sesi pengesah yang sedang berlangsung.

Kaedah pemindahan

Dompet memberitahu pengesah saluran mana yang sanggup digunakannya untuk pemindahan atribut sebenar: NFC (ketuk), Bluetooth LE, atau Wi-Fi Aware (Wi-Fi rakan-ke-rakan tanpa titik akses). Kebanyakan mDL menawarkan BLE dan NFC; Wi-Fi Aware adalah terhad kepada platform.

Pengambilan pelayan (pilihan)

Jika ada, dompet menyokong mod 18013-7: pengesah boleh meminta atribut daripada API dalam talian pengeluar dan bukannya terus daripada dompet. QR termasuk URL pengeluar. Pengimbas kami mengekstrak ini dan menunjukkan kepada anda pihak berkuasa mana yang akan menerima carian.

Bagaimana ini berbeza daripada AAMVA PDF417 pada kad plastik?

Ia adalah kategori bukti kelayakan yang berbeza. Kod bar AAMVA PDF417 pada belakang lesen plastik AS membawa setiap atribut pada kad dalam teks biasa — nama, alamat, tarikh lahir, nombor lesen, tinggi, berat, warna mata, sekatan, bendera penderma organ. Mana-mana pengimbas boleh membaca semuanya. Kad adalah bukti kelayakan “semua atau tiada”: sama ada anda menyerahkannya dan mendedahkan segalanya, atau tidak.

mDL membalikkan itu. QR tidak membawa atribut — hanya jabat tangan. Pengesah perlu meminta atribut tertentu (given_name, family_name, birth_date, age_over_21, portrait, document_number, driving_privileges, dll.), dompet menunjukkan kepada anda permintaan itu, dan hanya atribut yang anda luluskan dipindahkan. Pemindahan juga ditandatangani secara kriptografi oleh pihak berkuasa pengeluar (DMV negeri anda), supaya pengesah boleh mengesahkan atribut adalah benar tanpa menghubungi pelayan — pengesahan luar talian berfungsi.

Inilah mengapa orang yang mengambil berat tentang privasi lebih suka mDL walaupun piawaiannya lebih kompleks: ia membolehkan pendedahan yang ditetapkan mengikut transaksi. Pengawal kelab tidak memerlukan alamat anda; pegawai TSA tidak memerlukan status penderma organ anda; pekerja 7-Eleven tidak memerlukan nombor lesen anda.

Pendedahan selektif: tujuan sebenar

Piawaian mDL mentakrifkan set atribut terbitan yang membenarkan pengesah bertanya soalan ya/tidak dan bukannya mendapat nilai mentah. Yang utama:

age_over_18, age_over_21, age_over_65 — untuk pembelian berkadar usia tanpa mendedahkan tarikh lahir.
resident_state, untuk soalan “adakah anda penduduk negeri?” tanpa mendedahkan alamat.
driving_privileges, kelas lesen yang dipegang, sekatan; untuk sewaan kereta.

Aplikasi pengesah yang direka dengan baik untuk bar hanya meminta age_over_21. Dompet menunjukkan “Bar XYZ ingin mengetahui sama ada anda berusia lebih 21 tahun.” Anda mengetuk Luluskan, satu boolean bertanda (“benar”) dikembalikan. Aplikasi bar mengesahkan tandatangan berbanding akar amanah mDL negeri yang diterbitkan. Selesai. Tiada tarikh lahir, tiada nama, tiada nombor lesen, tiada foto. Berbanding menyerahkan kad plastik, ini adalah peningkatan privasi yang besar.

Pengesah bermusuhan: model ancaman baharu

Model ancaman kad plastik adalah mudah: hilangkan, disalin, diteropong dari bahu. Model ancaman mDL adalah berbeza. Formatnya kukuh; kriptografinya kukuh; risiko beralih kepada aplikasi pengesah di sebelah lain transaksi.

Sesiapa sahaja boleh membina aplikasi pengesah. Tiada pihak berkuasa pelesenan pusat. Jadi sebuah bar mungkin menjalankan pengesah sedia guna yang dikonfigurasi untuk meminta tarikh lahir penuh, nama penuh, dan foto walaupun ia hanya memerlukan age_over_21. Pekerja sewaan kereta mungkin meminta segalanya “untuk fail.” Pekerja runcit mungkin meminta alamat. Tiada satupun ini dilarang secara teknikal oleh piawaian — piawaian hanya mengatakan dompet perlu menunjukkan kepada pemegang apa yang diminta dan memerlukan kelulusan eksplisit.

Jadi pertahanan adalah pada pihak pemegang: baca gesaan permintaan. Jika pengesah meminta lebih daripada yang diperlukan transaksi, tolak. Sesetengah dompet memberi amaran apabila pengesah tidak ada dalam senarai amanah yang diketahui; ISO/IEC 18013-5 menyokong pengesahan pengesah melalui sijil, tetapi infrastruktur senarai amanah masih matang (senarai setiap negeri di AS; senarai amanah EU di bawah eIDAS 2.0).

Perkara lain yang perlu diketahui: pengesah melihat eDeviceKey anda, suite cipher, dan kaedah pemindahan yang anda sokong — itu sahaja. Mereka tidak mendapat atribut daripada QR sahaja. Jadi mengimbas QR dari pelekat atau skrin seseorang dan pergi dengan itu tidak memberikan penyerang apa-apa yang berguna. Atribut hanya bergerak di dalam sesi yang disulitkan selepas jabat tangan.

Apa yang pengimbas kami tunjukkan kepada anda

Letakkan QR DeviceEngagement mDL (imej, tampal, atau kamera) ke dalam pengimbas kami. Keputusan menunjukkan:

Piawaian — ISO/IEC 18013-5 §8.2 DeviceEngagement (CBOR).
Versi — biasanya 1.0.
Suite cipher — suite cipher yang dinamakan (P-256 / brainpool / dll.).
Kaedah pemindahan — saluran yang dompet tawarkan (NFC, BLE, Wi-Fi Aware).
Hos pengambilan pelayan — jika dompet menawarkan mod 18013-7, URL pengeluar mana yang akan mengendalikan permintaan atribut.
Panjang eDeviceKey — mengesahkan kunci ada dan terbentuk dengan baik, tanpa menggema bait.

Kami TIDAK mendekod sebarang atribut — tiada atribut dalam QR, mengikut reka bentuk. Data lesen sebenar akan bergerak disulitkan melalui kaedah pemindahan yang dipilih kepada pengesah sebenar.

Penyahkodan berlaku dalam pelayar anda; hanya metadata struktur sampai ke pelayan kami untuk pengelasan keselamatan.

Sebelum anda meluluskan permintaan pengesah

Baca gesaan permintaan. Dompet anda dikehendaki oleh piawaian untuk menunjukkan kepada anda senarai penuh atribut yang diminta. Bacanya.
Adakah permintaan sepadan dengan transaksi? Pengurus bar yang meminta tarikh lahir penuh dan bukannya age_over_21 = tolak atau tanya mengapa. Pekerja sewaan kereta yang meminta status penderma organ = tolak.
Adakah pengesah ada dalam senarai amanah? Sesetengah dompet menunjukkan tanda semak untuk pengesah yang dikenali (sijil yang dikeluarkan daripada akar amanah DMV negeri anda). Pengesah yang tidak diketahui harus membuat anda berhati-hati.
Pengambilan dalam talian (18013-7) lebih berkuasa dan lebih menceroboh. Jika dompet bertanya sama ada hendak membenarkan pengesah menanyakan DMV negeri anda secara langsung, itu mewujudkan jejak audit di DMV. Baik untuk beberapa transaksi (TSA, semakan ID rasmi), tidak perlu untuk yang lain (membeli bir).
Anda sentiasa boleh menolak. Keseluruhan tujuan pendedahan selektif adalah bahawa anda mengawal apa yang meninggalkan telefon anda. Jika pengesah tidak menerima pendedahan yang dikurangkan, anda boleh kembali ke kad plastik atau meninggalkan transaksi.

Berkaitan

Lesen memandu AAMVA PDF417, kod bar kad plastik yang digantikan format ini.
QR kunci laluan FIDO2, QR jabat tangan merentas peranti yang lain.
Penipuan QR yang perlu diwaspadai pada 2026
Semua piawaian QR yang kami semak
Senarai liputan penuh

Periksa QR DeviceEngagement mDL

Letakkan QR (imej, tampal, atau kamera). Keputusan menunjukkan versi, suite cipher, kaedah pemindahan, dan sebarang URL pengambilan pelayan pilihan. Tiada atribut — atribut itu hanya bergerak di dalam sesi pasca-jabat tangan yang disulitkan kepada pengesah sebenar.

Buka pengimbas →