What is a mobile driver license (mDL)?

An mDL is the digital equivalent of a plastic driver's license, issued by your state DMV (or national authority) and stored in a wallet app on your phone. It is governed by ISO/IEC 18013-5, an international standard that specifies how attributes are signed, transferred, and verified. US states including Arizona, Colorado, Maryland, Georgia, Iowa, Mississippi, Ohio, Utah, Virginia, and a growing list are issuing mDLs; California has it in production; the EU is rolling out its own variant under EUDI Wallet (eIDAS 2.0).

What's encoded in the QR?

Under ISO/IEC 18013-5 section 8.2, the QR carries a CBOR-encoded DeviceEngagement structure. That structure declares the wallet's ephemeral public key (eDeviceKey), the cipher suite used (currently P-256 / ECDH-ES), and the list of transfer methods the wallet supports (NFC, Bluetooth LE, Wi-Fi Aware). It does NOT carry the actual license attributes (name, DOB, license number, photo). Those are sent over the chosen transfer channel AFTER the verifier requests specific attributes and the holder approves.

How is this different from the PDF417 barcode on the back of a plastic license?

Completely different. The PDF417 barcode on plastic AAMVA cards encodes every attribute on the card in plaintext, name, address, DOB, license number, restrictions, donor status, and any scanner can read all of it. An mDL QR is just a handshake. The verifier has to ASK for specific attributes (e.g. 'over 21? yes/no') and the holder has to APPROVE the release on their phone. The wallet can answer 'over 21 = yes' without disclosing the actual date of birth, that's called selective disclosure.

What does selective disclosure mean in practice?

A bartender scanning your mDL needs to know one thing: are you of legal drinking age? With a plastic license, you hand over the card and they see your full address, DOB, and license number. With an mDL the bartender's verifier app requests only the age_over_21 attribute. Your phone shows you that request, you approve, and a signed boolean is transferred. Nothing else. ISO/IEC 18013-5 supports a long list of such derived attributes (age_over_18, age_over_21, age_over_65), plus full attributes when actually needed (a car rental probably needs full name and license number; a bouncer doesn't).

What's a hostile verifier and how do I spot one?

A hostile verifier is a verifier app that asks for more attributes than the transaction needs, e.g. a bar asking for full address, license number, and photo when it only needs age_over_21. This is a real risk because verifier apps are not centrally regulated; anyone can build one. The mDL standard requires the wallet to display the full list of requested attributes before the holder approves, so the defense is reading that list. If the bar wants your home address to pour a beer, decline. ISO/IEC 18013-5 also supports verifier authentication (the verifier signs its request with a certificate from a trust list), so a scrupulous wallet warns when the verifier isn't on a known trust list. The list of recognized verifiers is jurisdiction-specific and still maturing.

Standarder · Mobilt førerkort (mDL)

Mobilt førerkort QR-koder: ISO/IEC 18013-5

Når en bartender, TSA-betjent eller bilutleie-ekspedient skanner QR-koden i appen for førerkortet ditt, er den QR-koden ikke førerkortet. Det er et håndtrykk. De faktiske attributtene overføres først etter at verifikatoren ber om spesifikke felter og du godkjenner utleveringen på telefonen din. Gjort riktig avslører et mDL langt mindre enn et plastikkort. Gjort feil (fiendtlig verifikator, total godkjenning), avslører det like mye eller mer. Her er hvordan du kan se forskjellen.

Inspiser en mDL QR-kode → Alle standarder →

Hva er standarden

ISO/IEC 18013-5:2021, Personlig identifikasjon, ISO-kompatibelt førerkort, Del 5: Mobilt førerkort (mDL) applikasjon. Den internasjonale standarden som spesifiserer hvordan digitale førerkort utstedes, lagres, overføres til en verifikator og verifiseres offline. QR-kodens overflate (den delen de fleste ser) er avsnitt 8.2 «Enhetshenting, QR-kodekoblingsmodul». En ledsagerstandard, ISO/IEC 18013-7, dekker nett-henting (verifikatoren forespør utsteder direkte med innehaverens samtykke).

Bruken er godt i gang: et dusin amerikanske stater har produksjons- eller pilot-mDL-er i Apple Wallet og Google Wallet; Californias mDL er i full tilgjengelighet; TSA aksepterer mDL-er ved sikkerhetskontrollen på de fleste større amerikanske lufthavner; EU innfører varianten sin i EUDI Wallet under eIDAS 2.0 (forordning trådte i kraft sent i 2024, lommebøker forfaller 2026-2027). Standarden er også grunnlaget for ISO/IEC 23220 (generelt mobil-legitimasjonsrammeverk, som dekker mer enn bare førerkort).

Hva som faktisk er inne i QR-koden

mDL QR-koden koder en DeviceEngagement CBOR-struktur. CBOR (Concise Binary Object Representation, RFC 8949) er et kompakt binært alternativ til JSON. Den dekodede strukturen ser omtrent slik ut:

{
  0: "1.0",                         // version
  1: [1, 2, [eDeviceKey bytes]],    // security: cipher suite 1, EC P-256 key
  2: [                              // device retrieval methods
    [1, 1, {...NFC options...}],
    [2, 1, {...BLE options...}],
    [3, 1, {...Wi-Fi Aware options...}]
  ],
  3: {...optional server retrieval...}
}

Nøkkelfelter, dekkodet:

Versjon

Alltid "1.0" for gjeldende installasjoner. Fremtidige revisjoner kan endre dette.

Kryptografisk suite

For øyeblikket alltid 1: ECDH-nøkkelavtale på P-256, AES-GCM sesjonskryptering. Cipher suite 2 er reservert for brainpoolP320r1 (EU-brukstilfeller).

eDeviceKey

En efemer EC offentlig nøkkel generert per sesjon av lommeboken. Brukes av verifikator for å sette opp en kryptert sesjon. Slettet etter transaksjonen. Skanneren vår viser deg lengden på dette feltet, men gjengir aldri nøkkelbytesene – de er efemere og bare meningsfulle for den pågående verifikatorsesjon.

Overføringsmetoder

Lommeboken forteller verifikatoren hvilke kanaler den er villig til å bruke for den faktiske attributtoverføringen: NFC (trykk), Bluetooth LE eller Wi-Fi Aware (peer-to-peer Wi-Fi uten tilgangspunkt). De fleste mDL-er tilbyr BLE og NFC; Wi-Fi Aware er plattformbegrenset.

Server-henting (valgfri)

Hvis til stede støtter lommeboken 18013-7-modusen: verifikatoren kan be om attributter fra utsteders online-API i stedet for direkte fra lommeboken. QR-koden inkluderer utsteders URL. Skanneren vår ekstraherer dette og viser deg hvilken myndighet som ville motta oppslaget.

Hva skiller dette fra AAMVA PDF417 på plastikkortet?

Det er en annen kategori legitimasjon. AAMVA PDF417-strekkoden på baksiden av et amerikansk plastkort inneholder alle kortets attributter i klartekst – navn, adresse, fødselsdato, førerkortnummer, høyde, vekt, øyenfarge, begrensninger, organdonor-flagg. Enhver skanner kan lese alt. Kortet er en «alt eller ingenting»-legitimasjon: du overleverer det enten og avslører alt, eller så gjør du det ikke.

Et mDL snur dette. QR-koden inneholder ingen attributter – bare et håndtrykk. Verifikatoren må be om spesifikke attributter (given_name, family_name, birth_date, age_over_21, portrait, document_number, driving_privileges osv.), lommeboken viser deg forespørselen, og bare attributtene du godkjenner overføres. Overføringen er også kryptografisk signert av utstedermyndigheten (statens DMV), slik at verifikatoren kan bekrefte at attributtene er ekte uten å ringe hjem – offline-verifisering fungerer.

Det er grunnen til at de som er opptatt av personvern foretrekker mDL-er selv om standarden er mer kompleks: den muliggjør utlevering tilpasset transaksjonen. En dørvakt trenger ikke adressen din; en TSA-betjent trenger ikke organdonor-statusen din; en 7-Eleven-ekspedient trenger ikke førerkortnummeret ditt.

Selektiv utlevering: det egentlige poenget

mDL-standarden definerer et sett avledede attributter som lar verifikator stille et ja/nei-spørsmål i stedet for å få en råverdi. De viktigste:

age_over_18, age_over_21, age_over_65 – for aldersgatede kjøp uten å avsløre fødselsdato.
resident_state – for spørsmålet «er du statsborger?» uten å avsløre adresse.
driving_privileges – lisensklasse og begrensninger; for bilutleie.

En veldesignet verifikatorapp for en bar ber bare om age_over_21. Lommeboken viser «Bar XYZ vil vite om du er over 21.» Du trykker Godkjenn, en enkelt signert boolsk («sann») sendes tilbake. Barets app verifiserer signaturen mot statens publiserte mDL-tillitsrot. Ferdig. Ingen fødselsdato, intet navn, intet førerkortnummer, intet foto. Sammenlignet med å overlevere plastikkortet er dette en massiv personvernforbedring.

Fiendtlige verifikatorer: den nye trusselmodellen

Trusselmodellen for plastikkortet var enkel: mist det, få det kopiert, bli sett over skulderen. mDL-trusselmodellen er annerledes. Formatet er sterkt; kryptografien er solid; risikoen skifter til verifikatorappen på den andre siden av transaksjonen.

Hvem som helst kan bygge en verifikatorapp. Det er ingen sentral lisensmyndighet. Så en bar kan kjøre en standardverifikator konfigurert til å be om full fødselsdato, fullt navn og foto selv om den bare trenger age_over_21. En bilutleie-ekspedient kan be om alt «for saksmappen». En butikkekspedient kan be om adressen. Ingenting av dette er teknisk forbudt ifølge standarden – standarden sier bare at lommeboken må vise innehaveren hva som etterspørres og kreve eksplisitt godkjenning.

Forsvaret ligger altså på innehaverens side: les forespørselsprompten. Hvis verifikatoren ber om mer enn transaksjonen krever, avvis. Noen lommebøker advarer når verifikatoren ikke er på en kjent tillitsliste; ISO/IEC 18013-5 støtter verifikatorautentisering via sertifikater, men tillitslisteinfrastrukturen modnes fortsatt (per-stat-lister i USA; EU-tillitsliste under eIDAS 2.0).

Verdt å vite: verifikatoren ser din eDeviceKey, cipher suite og hvilke overføringsmetoder du støtter – det er alt. De får ikke attributter fra QR-koden alene. Så å skanne en QR-kode fra et klistremerke eller noens skjerm og gå derfra gir en angriper ingenting nyttig. Attributtene reiser bare inne i den krypterte sesjonen etter håndtrykket.

Hva skanneren vår viser deg

Slipp en mDL DeviceEngagement QR-kode (bilde, lim inn eller kamera) inn i skanneren vår. Resultatet viser:

Standard – ISO/IEC 18013-5 §8.2 DeviceEngagement (CBOR).
Versjon – vanligvis 1.0.
Cipher suite – den navngitte cipher suiten (P-256 / brainpool / osv.).
Overføringsmetoder – hvilke kanaler lommeboken tilbyr (NFC, BLE, Wi-Fi Aware).
Server-hentingsvert – hvis lommeboken tilbyr 18013-7-modus, hvilken utsteder-URL som ville håndtere attributtforespørsler.
eDeviceKey-lengde – bekrefter at nøkkelen er til stede og velformet, uten å gjenta bytesene.

Vi dekoder IKKE noen attributter – det er ingen attributter i QR-koden, av design. De faktiske lisensdataene ville reist kryptert via den valgte overføringsmetoden til en ekte verifikator.

Dekoding skjer i nettleseren din; bare strukturelle metadata sendes til serveren vår for sikkerhetsklassifisering.

Før du godkjenner en verifikatorforespørsel

Les forespørselsprompten. Lommeboken din er ifølge standarden forpliktet til å vise deg den fullstendige listen over forespurte attributter. Les den.
Samsvarer forespørselen med transaksjonen? En bartender som ber om full fødselsdato i stedet for age_over_21 = avvis eller spør hvorfor. En bilutleie-ekspedient som ber om organdonor-status = avvis.
Er verifikatoren på en tillitsliste? Noen lommebøker viser et hakemerke for kjente verifikatorer (utstedte sertifikater fra statens DMV-tillitsrot). Ukjente verifikatorer bør gi deg pause.
Nett-henting (18013-7) er kraftigere og mer inngripende. Hvis lommeboken spør om du vil la verifikator spørre statens DMV direkte, oppretter dette et revisjonsspor hos DMV. Fint for visse transaksjoner (TSA, offisielle ID-sjekker), unødvendig for andre (kjøp av øl).
Du kan alltid si nei. Hele poenget med selektiv utlevering er at du styrer hva som forlater telefonen din. Hvis en verifikator ikke aksepterer en redusert utlevering, kan du falle tilbake til plastikkortet eller gå fra transaksjonen.

Relatert

AAMVA førerkort PDF417 – plastikkkort-strekkoden dette formatet erstatter.
FIDO2 passordnøkkel QR – en annen kryssenhet-håndtryk-QR.
QR-svindel å se opp for i 2026
Alle QR-standarder vi sjekker
Fullstendig dekningsliste

Inspiser en mDL DeviceEngagement QR-kode

Slipp QR-koden (bilde, lim inn eller kamera). Resultatet viser versjon, cipher suite, overføringsmetoder og eventuell valgfri server-hentings-URL. Ingen attributter – de reiser bare inne i den krypterte post-handshake-sesjonen til en ekte verifikator.

Åpne skanner →