發布日期:2025 年 4 月 30 日
數位憑證 API 推出令人振奮的更新:跨裝置支援功能。
自 Chrome 136 起,使用者現在可以將儲存在 Android 裝置數位錢包中的驗證資訊,呈現給電腦版 Chrome。這項功能是建立在Digital Credentials API 的初始版本之上,該版本在 Android 版 Chrome 128 中以來源試用功能推出。這項功能會先在 Pixel 裝置上推出,其他 Android 供應商也正在更新相機應用程式,以便支援這項功能。
背景
越來越多的數位憑證 (例如行動駕照) 會儲存在 Google 錢包等行動錢包中。雖然可以在電腦上顯示這些資訊,但現有方法無法提供完善的隱私權或安全性保證。Chrome 透過在瀏覽器中支援憑證呈現功能、強化安全性和隱私權,以及讓使用者更輕鬆地安全順暢地呈現身分資訊,改善這項問題。
數位憑證 (DC) API 已進入原始試用階段,可讓 Android 版 Chrome 使用者透過同一部裝置上的錢包應用程式提供數位憑證。我們現在擴大這項原點測試,以支援跨裝置數位憑證呈現。有了跨裝置功能,使用者現在可以掃描電腦版 Chrome 顯示的 QR code,藉此建立連線,並透過 Android 手機安全地提供憑證。
這項創新技術可確保:
- 提升使用者便利性:使用者可在各裝置上方便地提供已驗證的資訊。
- 強大的安全保證:使用藍牙做為電腦和行動裝置之間的近距離檢查,提供防網路釣魚的跨裝置簡報。
運作方式
使用 Chrome 電腦版將儲存在智慧型手機數位錢包中的可驗證憑證與網站共用,需要執行下列步驟:
- 憑證要求啟動:要求身分驗證的網站會叫用 DC API。Chrome 桌面版會顯示 QR code,要求使用者從 Android 裝置擷取憑證。這個 QR code 包含 Chrome 電腦版和行動裝置之間安全通訊所需的加密編譯資訊。
- 使用者動作:使用者使用 Android 裝置掃描 QR code。
- 裝置連線:Chrome 桌面版和 Android 裝置會建立安全連線,以便使用藍牙驗證鄰近性,然後再繼續顯示憑證。
- 憑證選取:Android 會在符合要求的裝置上顯示符合要求的錢包憑證。
Google 電子錢包同意聲明和驗證:
- 使用者選取憑證後,系統會將要求轉送至持有該憑證的錢包應用程式。錢包應用程式可能會要求使用者提供分享同意聲明,並在本機進行驗證 (例如使用 PIN 碼或生物特徵辨識)。
- 錢包應用程式會處理要求,並將經過加密的所需資訊安全地傳回至電腦版 Chrome。
憑證提交:系統會將要求的資訊提交給依賴方網站,後者會將資訊傳送至伺服器,以便安全解密及處理 (例如驗證使用者的年齡或身分)。
隱私權和安全性考量
這項跨裝置功能整合了 CTAP 2.2 中使用的隱私權和安全性做法:
- 電腦和行動裝置的距離:CTAP 2.2 會在顯示憑證前,確保手機和電腦處於相近位置,避免攻擊者從遠端濫用 QR code 來存取使用者資訊。
- 安全通訊:Chrome 桌面版與 Android 裝置之間的通訊會透過安全的穿隧伺服器進行代理。錢包通常會將回應加密,因此只有要求的網路伺服器才能讀取。
- 使用者同意授權:使用者必須明確採取行動,在選取憑證後才可分享任何資料。
- 選擇性揭露:錢包應用程式只會顯示要求的特定屬性 (例如年齡範圍),不會揭露不必要的資訊。DC API 也支援提升隱私權的功能,例如 Google 錢包中的零知識證明。
立即試用
如要探索跨裝置數位憑證 API,請按照下列步驟操作:
- 在電腦上更新至 Chrome 136,在 Android 裝置上更新至 Google Play 服務 24.0 以上版本。
- 在
chrome://flags#web-identity-digital-credentials啟用標記。 請按照以下示範操作:
- 在 Chrome 桌面版中前往
https://digital-credentials.dev。 - 按下「Request Credentials」按鈕
- 使用 Android 手機掃描 QR code。
- 透過 OpenWallet Foundation 提供的錢包應用程式,提供儲存在錢包應用程式中的示範憑證。
- 在 Chrome 桌面版中前往
這項功能適用於 Pixel 裝置,我們正在努力讓這項功能日後也能支援其他 Android 裝置。
如要開始在自家網站上進行實驗,請加入 Digital Credentials API 原始版本試用計畫。
資源
提供意見
試試看吧!請告訴我們哪些做法有效、哪些做法無效,以及您採取哪些修正措施。