What is a mobile driver license (mDL)?

An mDL is the digital equivalent of a plastic driver's license, issued by your state DMV (or national authority) and stored in a wallet app on your phone. It is governed by ISO/IEC 18013-5, an international standard that specifies how attributes are signed, transferred, and verified. US states including Arizona, Colorado, Maryland, Georgia, Iowa, Mississippi, Ohio, Utah, Virginia, and a growing list are issuing mDLs; California has it in production; the EU is rolling out its own variant under EUDI Wallet (eIDAS 2.0).

What's encoded in the QR?

Under ISO/IEC 18013-5 section 8.2, the QR carries a CBOR-encoded DeviceEngagement structure. That structure declares the wallet's ephemeral public key (eDeviceKey), the cipher suite used (currently P-256 / ECDH-ES), and the list of transfer methods the wallet supports (NFC, Bluetooth LE, Wi-Fi Aware). It does NOT carry the actual license attributes (name, DOB, license number, photo). Those are sent over the chosen transfer channel AFTER the verifier requests specific attributes and the holder approves.

How is this different from the PDF417 barcode on the back of a plastic license?

Completely different. The PDF417 barcode on plastic AAMVA cards encodes every attribute on the card in plaintext, name, address, DOB, license number, restrictions, donor status, and any scanner can read all of it. An mDL QR is just a handshake. The verifier has to ASK for specific attributes (e.g. 'over 21? yes/no') and the holder has to APPROVE the release on their phone. The wallet can answer 'over 21 = yes' without disclosing the actual date of birth, that's called selective disclosure.

What does selective disclosure mean in practice?

A bartender scanning your mDL needs to know one thing: are you of legal drinking age? With a plastic license, you hand over the card and they see your full address, DOB, and license number. With an mDL the bartender's verifier app requests only the age_over_21 attribute. Your phone shows you that request, you approve, and a signed boolean is transferred. Nothing else. ISO/IEC 18013-5 supports a long list of such derived attributes (age_over_18, age_over_21, age_over_65), plus full attributes when actually needed (a car rental probably needs full name and license number; a bouncer doesn't).

What's a hostile verifier and how do I spot one?

A hostile verifier is a verifier app that asks for more attributes than the transaction needs, e.g. a bar asking for full address, license number, and photo when it only needs age_over_21. This is a real risk because verifier apps are not centrally regulated; anyone can build one. The mDL standard requires the wallet to display the full list of requested attributes before the holder approves, so the defense is reading that list. If the bar wants your home address to pour a beer, decline. ISO/IEC 18013-5 also supports verifier authentication (the verifier signs its request with a certificate from a trust list), so a scrupulous wallet warns when the verifier isn't on a known trust list. The list of recognized verifiers is jurisdiction-specific and still maturing.

Standardy · Mobilne prawo jazdy (mDL)

QR mobilnego prawa jazdy: ISO/IEC 18013-5

Gdy barman, funkcjonariusz TSA lub pracownik wypożyczalni skanuje QR z aplikacji prawo jazdy na Twoim telefonie, ten QR to nie jest prawo jazdy. To uścisk dłoni. Właściwe atrybuty podróżują dopiero po tym, jak ich weryfikator poprosi o konkretne pola i Ty zatwierdzi ich udostępnienie na telefonie. Zrobione właściwie, mDL ujawnia znacznie mniej niż plastikowa karta. Zrobione źle (wrogi weryfikator, ogólne zatwierdzenie) ujawnia tyle samo lub więcej. Oto jak odróżnić te przypadki.

Sprawdź QR mDL → Wszystkie standardy →

Czym jest standard

ISO/IEC 18013-5:2021, Identyfikacja osobista, Prawo jazdy zgodne z ISO, Część 5: Aplikacja mobilnego prawa jazdy (mDL). Międzynarodowy standard określający, jak cyfrowe prawa jazdy są wydawane, przechowywane, przekazywane weryfikatorowi i weryfikowane offline. Powierzchnia QR (część widoczna dla większości użytkowników) to sekcja 8.2 Device retrieval, QR code engagement. Norma towarzysząca, ISO/IEC 18013-7, obejmuje pobieranie online (weryfikator pyta wystawcę bezpośrednio za zgodą posiadacza).

Wdrożenie jest zaawansowane: kilkanaście stanów USA wydaje produkcyjnie lub pilotażowo mDL w Apple Wallet i Google Wallet; mDL Kalifornii jest ogólnie dostępne; TSA akceptuje mDL przy kontroli bezpieczeństwa na większości głównych lotnisk USA; UE wdraża swój wariant w EUDI Wallet w ramach eIDAS 2.0 (rozporządzenie weszło w życie pod koniec 2024, portfele zaplanowane na 2026–2027). Standard stanowi też podstawę ISO/IEC 23220 (ogólna platforma poświadczeń mobilnych obejmująca więcej niż prawa jazdy).

Co naprawdę jest w środku QR

QR mDL koduje strukturę CBOR DeviceEngagement. CBOR (Concise Binary Object Representation, RFC 8949) to kompaktowa binarna alternatywa dla JSON. Zdekodowana struktura wygląda mniej więcej tak:

{
  0: "1.0",                         // version
  1: [1, 2, [eDeviceKey bytes]],    // security: cipher suite 1, EC P-256 key
  2: [                              // device retrieval methods
    [1, 1, {...NFC options...}],
    [2, 1, {...BLE options...}],
    [3, 1, {...Wi-Fi Aware options...}]
  ],
  3: {...optional server retrieval...}
}

Kluczowe pola po dekodowaniu:

Wersja

Zawsze 1.0 dla obecnych wdrożeń. Przyszłe wersje mogą to zmienić.

Zestaw szyfrów

Obecnie zawsze 1: uzgadnianie klucza ECDH na P-256, szyfrowanie sesji AES-GCM. Zestaw szyfrów 2 jest zarezerwowany dla brainpoolP320r1 (przypadki użycia UE).

eDeviceKey

Efemeryczny klucz publiczny EC generowany przez portfel dla każdej sesji. Używany przez weryfikatora do nawiązania zaszyfrowanej sesji. Usuwany po zakończeniu transakcji. Nasz skaner pokazuje długość tego pola, ale nigdy nie wyświetla bajtów klucza — są efemeryczne i mają znaczenie wyłącznie dla aktywnej sesji weryfikatora.

Metody transferu

Portfel informuje weryfikatora, z których kanałów jest gotowy korzystać do rzeczywistego transferu atrybutów: NFC (zbliżenie), Bluetooth LE lub Wi-Fi Aware (peer-to-peer Wi-Fi bez punktu dostępowego). Większość mDL obsługuje BLE i NFC; Wi-Fi Aware jest ograniczony platformowo.

Pobieranie serwerowe (opcjonalne)

Jeśli jest obecne, portfel obsługuje tryb 18013-7: weryfikator może żądać atrybutów bezpośrednio z API wystawcy zamiast z portfela. QR zawiera URL wystawcy. Nasz skaner wyodrębnia go i pokazuje, który organ otrzyma zapytanie.

Czym różni się to od PDF417 AAMVA na plastikowej karcie?

To inny rodzaj dokumentu tożsamości. Kod kreskowy PDF417 AAMVA na odwrocie plastikowego prawa jazdy USA zawiera w postaci jawnego tekstu wszystkie atrybuty z karty: imię i nazwisko, adres, datę urodzenia, numer prawa jazdy, wzrost, wagę, kolor oczu, ograniczenia i flagę dawcy narządów. Każdy skaner może odczytać te wszystkie dane. Karta jest dokumentem tożsamości na zasadzie „wszystko albo nic”: albo ją przekazujesz i ujawniasz wszystko, albo nie.

mDL odwraca tę zasadę. QR nie zawiera atrybutów — tylko uścisk dłoni. Weryfikator musi poprosić o konkretne atrybuty (given_name, family_name, birth_date, age_over_21, portrait, document_number, driving_privileges itp.), portfel pokazuje Ci żądanie, a transferowane są tylko atrybuty, które zatwierdzisz. Transfer jest też kryptograficznie podpisany przez organ wydający (Twój stanowy DMV), więc weryfikator może potwierdzić autentyczność atrybutów bez kontaktowania się z DMV — weryfikacja offline działa.

Dlatego osoby dbające o prywatność preferują mDL, choć standard jest bardziej złożony: umożliwia ujawnienie dostosowane do transakcji. Bramkarz nie potrzebuje Twojego adresu; funkcjonariusz TSA nie potrzebuje Twojego statusu dawcy organów; kasjer w sklepie nie potrzebuje numeru Twojego prawa jazdy.

Selektywne ujawnianie: właściwy sens

Standard mDL definiuje zestaw atrybutów pochodnych, które pozwalają weryfikatorowi zadać pytanie tak/nie zamiast uzyskiwać surową wartość. Najważniejsze:

age_over_18, age_over_21, age_over_65 — do zakupów z ograniczeniem wiekowym bez ujawniania daty urodzenia.
resident_state — dla pytania o bycie mieszkańcem danego stanu bez ujawniania adresu.
driving_privileges — klasa posiadanego prawa jazdy i ograniczenia; przy wypożyczeniu samochodu.

Dobrze zaprojektowana aplikacja weryfikatora dla baru pyta tylko o age_over_21. Portfel pokazuje: Bar XYZ chce wiedzieć, czy masz ukończone 21 lat. Zatwierdzasz, pojedyncza podpisana wartość logiczna (prawda) wraca. Aplikacja baru weryfikuje podpis wobec opublikowanego roota zaufania mDL Twojego stanu. Koniec. Bez daty urodzenia, bez imienia, bez numeru prawa jazdy, bez zdjęcia. W porównaniu z oddaniem plastikowej karty to ogromna poprawa prywatności.

Wrodzy weryfikatorzy: nowy model zagrożeń

Model zagrożeń dla plastikowej karty był prosty: zgubiłeś/aś, skopiowali, podejrzeli zza ramienia. Model zagrożeń dla mDL jest inny. Format jest solidny; kryptografia jest poprawna; ryzyko przenosi się na aplikację weryfikatora po drugiej stronie transakcji.

Każdy może zbudować aplikację weryfikatora. Nie istnieje centralny organ licencjonowania. Dlatego bar może używać gotowego weryfikatora skonfigurowanego do żądania pełnej daty urodzenia, pełnego imienia i nazwiska oraz zdjęcia, choć potrzebuje tylko age_over_21. Pracownik wypożyczalni może żądać wszystkiego do akt. Pracownik sklepu może pytać o adres. Żadne z nich nie jest technicznie zakazane przez standard — standard wymaga jedynie, by portfel pokazał posiadaczowi, o co jest proszony, i wymagał wyraźnego zatwierdzenia.

Obrona leży więc po stronie posiadacza: czytaj komunikat żądania. Jeśli weryfikator prosi o więcej niż wymaga transakcja, odmów. Niektóre portfele ostrzegają, gdy weryfikator nie jest na znanych listach zaufanych; ISO/IEC 18013-5 obsługuje uwierzytelnianie weryfikatora przez certyfikaty, ale infrastruktura list zaufanych wciąż dojrzewa (listy stanowe w USA; lista UE w ramach eIDAS 2.0).

Warto też wiedzieć: weryfikator widzi Twój eDeviceKey, zestaw szyfrów i obsługiwane metody transferu — i to wszystko. Nie otrzymuje atrybutów z samego QR. Zeskanowanie QR naklejki lub cudzego ekranu i odejście nie daje atakującemu niczego przydatnego. Atrybuty podróżują wyłącznie wewnątrz zaszyfrowanej sesji po uzgadnianiu.

Co pokazuje nasz skaner

Upuść QR DeviceEngagement mDL (obraz, wklej lub kamera) do naszego skanera. Wynik pokazuje:

Standard — ISO/IEC 18013-5 §8.2 DeviceEngagement (CBOR).
Wersja — zazwyczaj 1.0.
Zestaw szyfrów — nazwany zestaw szyfrów (P-256 / brainpool itp.).
Metody transferu — kanały, które portfel oferuje (NFC, BLE, Wi-Fi Aware).
Host pobierania serwerowego — jeśli portfel oferuje tryb 18013-7, który URL wystawcy obsłuży żądania atrybutów.
Długość eDeviceKey — potwierdza, że klucz jest obecny i dobrze sformułowany, bez wyświetlania bajtów.

NIE dekodujemy żadnych atrybutów — w QR nie ma atrybutów z założenia. Właściwe dane prawa jazdy podróżują zaszyfrowane przez wybraną metodę transferu do prawdziwego weryfikatora.

Dekodowanie odbywa się w Twojej przeglądarce; do naszego serwera trafiają tylko metadane strukturalne na potrzeby klasyfikacji bezpieczeństwa.

Zanim zatwierdzisz żądanie weryfikatora

Przeczytaj komunikat żądania. Twój portfel jest zobowiązany standardem do wyświetlenia pełnej listy żądanych atrybutów. Przeczytaj ją.
Czy żądanie pasuje do transakcji? Barman pytający o pełną datę urodzenia zamiast age_over_21 = odmów lub zapytaj dlaczego. Pracownik wypożyczalni samochodów pytający o status dawcy organów = odmów.
Czy weryfikator jest na liście zaufanych? Niektóre portfele pokazują znacznik wyboru dla znanych weryfikatorów (certyfikaty wystawione przez root zaufania Twojego stanowego DMV). Nieznani weryfikatorzy powinni wzbudzać ostrożność.
Pobieranie online (18013-7) jest potężniejsze i bardziej inwazyjne. Jeśli portfel pyta, czy zezwolić weryfikatorowi na bezpośrednie zapytanie do Twojego stanowego DMV, tworzy to zapis w DMV. Odpowiednie dla niektórych transakcji (TSA, oficjalne kontrole tożsamości), zbędne dla innych (zakup alkoholu).
Zawsze możesz odmówić. Cały sens selektywnego ujawniania polega na tym, że kontrolujesz, co opuszcza Twój telefon. Jeśli weryfikator nie zaakceptuje ograniczonego ujawnienia, możesz wrócić do plastikowej karty lub zrezygnować z transakcji.

Powiązane

Prawo jazdy AAMVA PDF417 — kod kreskowy plastikowej karty, który ten format zastępuje.
QR klucza dostępu FIDO2 — inny QR uzgadniania między urządzeniami.
Oszustwa QR, na które warto uważać w 2026
Wszystkie standardy QR, które sprawdzamy
Pełna lista typów

Sprawdź QR DeviceEngagement mDL

Upuść QR (obraz, wklej lub kamera). Wynik pokazuje wersję, zestaw szyfrów, metody transferu i ewentualny URL pobierania serwerowego. Bez atrybutów — te podróżują wyłącznie wewnątrz zaszyfrowanej sesji po uzgadnianiu do prawdziwego weryfikatora.

Otwórz skaner →