Kaynak denemesi: Cihazlar arası Dijital Kimlik Bilgileri API'si artık Chrome masaüstünde

José Luis Zapata

Yayınlanma tarihi: 30 Nisan 2025

Dijital Kimlik Bilgileri API'sinde heyecan verici bir güncelleme kullanıma sunuldu: cihazlar arası destek.

Chrome 136'tan itibaren kullanıcılar, Android cihazlarının dijital cüzdanında depolanan doğrulanmış bilgileri masaüstü Chrome'da gösterebilir. Bu sürüm, Android için Chrome 128'de kaynak denemesi olarak kullanıma sunulan Dijital Kimlik Bilgileri API'nin ilk sürümünü temel alır. Bu özellik ilk olarak Pixel cihazlarda kullanıma sunulacak. Diğer Android üreticileri de kamera uygulamalarını bu özelliği destekleyecek şekilde güncelliyor.

Arka plan

Dijital kimlik bilgileri (ör. mobil sürücü belgesi) giderek daha fazla Google Cüzdan gibi mobil cüzdanlarda depolanıyor. Bu dosyaları masaüstünde sunmak mümkündür ancak mevcut yöntemler güçlü gizlilik veya güvenlik garantileri sunmaz. Chrome, tarayıcıda kimlik bilgisi sunmayı destekleyerek, güvenliği ve gizliliği artırarak ve kullanıcıların kimlik bilgilerini güvenli ve sorunsuz bir şekilde sunmasını kolaylaştırarak bu durumu iyileştirir.

Android'deki Chrome kullanıcılarının aynı cihazdaki bir cüzdan uygulamasından dijital kimlik bilgilerini sunmasına olanak tanıyan Dijital Kimlik Bilgileri (DC) API, şu anda kaynak deneme sürümündedir. Artık bu kaynak deneme sürümünü, cihazlar arası dijital kimlik bilgilerinin sunulmasını desteklemek için genişletiyoruz. Cihazlar arası özellik sayesinde kullanıcılar artık masaüstü Chrome'da gösterilen bir QR kodunu tarayarak Android telefonlarından kimlik bilgilerini güvenli bir şekilde sunmak için bağlantı kurabilir.

Bu yenilik sayesinde:

• Kullanıcılara daha fazla kolaylık: Kullanıcılar, doğrulanmış bilgileri cihazlar arasında kolayca sunabilir.
• Güçlü güvenlik garantileri: Masaüstü bilgisayar ile mobil cihaz arasında yakınlık kontrolü olarak Bluetooth'u kullanarak kimlik avına karşı dayanıklı cihazlar arası bir sunu sağlar.

İşleyiş şekli

Chrome masaüstü sürümünü kullanarak akıllı telefonun dijital cüzdanındaki doğrulanabilir kimlik bilgilerini bir web sitesiyle paylaşmak için aşağıdaki adımları uygulayın:

1. Kimlik bilgisi isteği başlatma: Kimlik doğrulaması isteyen bir web sitesi DC API'yi çağırır. Masaüstü Chrome, kullanıcılardan bir Android cihazdan kimlik bilgisi almalarını isteyen bir QR kodu gösterir. Bu QR kodu, Chrome masaüstü ile mobil cihaz arasında güvenli iletişim için gerekli kriptografik bilgileri içerir.
2. Kullanıcı işlemi: Kullanıcı, Android cihazını kullanarak QR kodunu tarar.
3. Cihaz bağlantısı: Masaüstü Chrome ve Android cihaz, kimlik bilgisi sunma işlemine devam etmeden önce Bluetooth'u kullanarak yakınlığı doğrulamak için güvenli bir bağlantı kurar.
4. Kimlik bilgisi seçimi: Android, cihazda istekle eşleşen uygun cüzdan kimlik bilgilerini gösterir.

5. Cüzdan izni ve kimlik doğrulama:

   • Kullanıcı kimlik bilgisini seçtikten sonra istek, bu kimlik bilgisini içeren cüzdan uygulamasına yönlendirilir. Cüzdan uygulamasından kullanıcıya paylaşım izni vermesi ve yerel olarak kimlik doğrulaması yapması (ör. PIN veya biyometri ile) istenebilir.
   • Cüzdan uygulaması isteği işler ve istenen şifrelenmiş bilgileri masaüstü Chrome'a güvenli bir şekilde geri gönderir.

6. Kimlik bilgisi sunma: İstenen bilgiler güvenilir taraf web sitesine sunulur. Web sitesi, bilgileri güvenli şifre çözme ve işleme (ör. kullanıcının yaşını veya kimliğini doğrulama) için sunucusuna gönderir.

Gizlilik ve güvenlikle ilgili dikkat edilmesi gereken noktalar

Bu cihazlar arası özellik, CTAP 2.2'de kullanılan gizlilik ve güvenlik uygulamalarını içerir:

• Masaüstü ve mobil cihazın yakınlığı: CTAP 2.2, kimlik bilgileri sunulmadan önce telefonun ve masaüstünün yakın mesafede olmasını sağlar. Böylece, saldırganların kullanıcı bilgilerine erişmek için QR kodlarını uzaktan kötüye kullanması engellenir.
• Güvenli iletişim: Masaüstü Chrome ile Android cihaz arasındaki iletişim, güvenli bir tünel sunucusu üzerinden proxy'lenir. Cüzdanlar genellikle yanıtı şifreler. Böylece yanıtı yalnızca istek gönderen web sunucusu okuyabilir.
• Kullanıcı izni: Kullanıcı, herhangi bir veri paylaşılmadan önce kimlik bilgisi isteğiyle ilgili olarak açıkça işlem yaparak bir kimlik bilgisi seçmelidir.
• Seçici açıklama: Cüzdan uygulamaları, gereksiz bilgileri göstermeden yalnızca istenen belirli özellikleri (ör. yaş aralığı) sunar. DC API, Google Cüzdan'daki sıfır bilgi kanıtı gibi gizliliği artıran özellikleri de destekler.

Deneyin

Cihazlar arası Dijital Kimlik Bilgileri API'sini keşfetmek için:

1. Masaüstünde Chrome 136'a, Android cihazınızda ise Google Play Hizmetleri 24.0 veya sonraki bir sürüme güncelleyin.
2. chrome://flags#web-identity-digital-credentials bölümündeki işareti etkinleştirin.

3. Demoyu uygulayın:

   1. Masaüstü Chrome'da https://digital-credentials.dev simgesine gidin.
   2. Kimlik Bilgisi İste düğmesine basın.
   3. QR kodunu Android telefonunuzla tarayın.
   4. OpenWallet Foundation aracılığıyla sunulan, cüzdan uygulamasında saklanan bir demo kimlik bilgisi sunun.

Bu özellik Pixel cihazlarda kullanılabilir. Gelecekte diğer Android cihazlarda da destek sunmak için çalışıyoruz.

Kendi web sitenizde denemeler yapmaya başlamak için Dijital Yeterlilik Belgeleri API kaynak denemesine katılın.

Kaynaklar

• Digital Credentials API kaynak denemesi duyurusu
• W3C Dijital Kimlik Bilgileri GitHub
• W3C Dijital Kimlik Belgeleri düzenleyici taslağı
• Digital Credentials API geliştirici kılavuzu

Geri bildirim

Denediniz mi? Neler işe yaradığını, neler yaramadığını ve neleri düzelteceğinizi bize bildirin.

Geri bildirim gönderme