 |
 |
 |
 |
 |
 |
 |
| 30 |
31 |
1 |
2 |
3 |
4 |
5 |
| 6 |
7 |
8 |
9 |
10 |
11 |
12 |
| 13 |
14 |
15 |
16 |
17 |
18 |
19 |
| 20 |
21 |
22 |
23 |
24 |
25 |
26 |
| 27 |
28 |
29 |
1 |
2 |
3 |
4 |
styczeń
[luty]
marzec
kwiecień
maj
czerwiec
lipiec
sierpień
wrzesień
październik
listopad
grudzień
|
Po co dowód z czipem?
Wpis z dnia: 2012-01-14, z godziny: 21:22
Koncepcja elektronicznego dowodu osobistego powstała w Polsce wiele lat temu. W początkowych zapowiedziach przewijały się rozmaite fantastyczne funkcje - a to podpis elektroniczny, a to elektroniczna karta zdrowotna, a to miejsce na różne inne dane. Tymczasem daty uruchomienia pl.ID przesuwają się jak w kalejdoskopie i z każdym kolejnym dniem koncepcja ta staje się coraz bardziej archaiczna i pozbawiona sensu.
Przenoszenie zapisanego na karcie elektronicznej aktualnego dowodu zamieszkania ma dzisiaj sens mniej więcej taki jak noszenie go na dyskietce. Nadal można gdzieniegdzie te dyskietki kupić, ale po co? I po co przy każdej aktualizacji udawać się do urzędu celem zmiany zapisanych na karcie rekordów? I jaki ma sens dzisiaj wprowadzanie podpisu osobistego skoro jest Profil Zaufany ePUAP, w 100% obsługiwany przy pomocy przeglądarki a jak będzie potrzeba to i przy pomocy telefonu komórkowego?
Gdy zatrzymuje nas patrol policji, albo gdy płacimy w pociągu kartą za biletu to za każdym razem nasze dane są weryfikowane bazach danych dostępnych on-line z 99% miejsc w kraju. Skoro nawet policja przebąkuje już o tym, że w sumie to nie potrzeba już wymagać od kierowcy posiadania prawa jazdy bo i tak sami sobie mogą to sprawdzić w terminalu to chyba o czymś świadczy? Te wszystkie dane są dostępne on-line, praktycznie wszędzie. Żeby uzyskać do nich dostęp wystarczy numer referencyjny - np. numer PESEL. A ten jest przywiązany do tożsamości osoby fizycznej zwykłym, plastikowym dowodem osobistym ze zdjęciem.
Komentarze:
Redakcja Computerworld nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.
|
WqWUDIGLkNCVPwodQC | | IP: 96.126.108.181 | 29-01-2012, 23:46 | | I'd vneutre that this article has saved me more time than any other. |
|
|
Marek Ujejski | | IP: 194.50.61.2 | 19-01-2012, 09:50 | Zarówno wokół dowodu jak i Karty Ubezpieczenia Zdrowotnego narosło bardzo wiele mitów i nieporozumień. ePUAP nie zastapi dowodu z wielu powodów, dowód jest dokumentem obligatoryjnym, ePUAP nie. Dowód bedzie opierał się na scertyfikowanych na zgodność z Common Criteria komponentów, ePUAP dziś takiej certyfikacji nie posiada, nie moze więc słuzyć jako narzedzie dostepu do danych wrażliwych (choć moze udostępniać dane administracyjne). Dowód może słuzyć jako dokument umozliwiajacy przekraczanie granicy krajów stowarzyszonych umową z Schengen, ePUAP z oczywistych wzgledów takiej mozliwosci nie daje (choć trzba podkreslić ze nie jest to dokument podróżny wg standardów ICAO). Jest jeszcze inny istotny argument za posiadaniem warstwy elektronicznej w dokumencie tozsamosci. W EU grupa krajów która juz wydała dokumenty elektroniczne pracuje intensywnie nad projektami które pozwolą wykorzystać go w różnych systemach transgranicznych. Co prawda projekt STORK umozliwia wykorzystanie takze innych metod identyfikacji elektronicznych, ale stawia im okreslone wymagania bezpieczeństwa dzieląc je na cztery klasy ze wzgledu na poziom zaufania uwierzytelnienia konkretnej metody.
Co do Karty Ubezpieczenia Zdrowotnego to w istocie najwazniejsza jej funkcja w istocie przesunęła sie z potwierdzenia prawa do swiadczeń (finansowanych ze srodków publicznych etc...)które i tak on-line jest potwierdzane na podstawie stanu CWU (odrebnym problemem jest zapewnienie aktualnosci tej bazy- tego tematu nie rozwijam) w stronę POTWIERDZENIA FIZYCZNEJ OBECNOŚCI KARTY w trakcie rozpoczynania udzielania swiadczenia. W połaczeniu z FIZYCZNĄ OBECNOŚCIĄ karty specjalisty medycznego i jego osobiscie (PIN złozony w bezpiecznym srodowisku- wynmagane urzadzenie spełaniajace CC na poziomie EAL 3+) tworzy się fakt potwierdzony podpisami obu uczestników procesu (w przypadku pacjenta tylko podpis karty- Wymaganie podania PIN-u uznano za zbyt wymagające- osobny watek do dyskusji). Ponadto na karcie w chronionym obszarze pamieci zapisywany jest licznik transakcji medycznych (w istocie skutecznie złozonych podpisów) który w sposób kryptograficznie chroniony trafia do NFZ wraz ze sprawozdaniem o udzielonych swiadczeniach. To zasadniczo poprawi szczelność systemu i jakość danych trafiajacych do NFZ. Nie chciałbyn tu szczegółowo rozwijać watku, przygotowuję obecnie artykuł dla CW który przyblizy procesowe i technologiczne szczegóły projektu, oczywiscie z wyjatkiem elementów które musimy chronić. |
|
|
floyd | | IP: 83.242.78.133 | 17-01-2012, 22:15 | Zaciekawił mnie ten wątek, bo mało się dotąd o tym dyskutowało. Jeśli była mowa o nowych dowodach to prawie wyłącznie w kontekście opóźnień w realizacji.
Co do postawionej tezy to pozwolę sobie nie zgodzić się z panem Pawłem. Wydaje mi się, że nastąpiło tutaj pewne pomieszanie pojęć. Czym innym są bazy danych, w których przechowuje się informacje o obywatelach (np. jakie prawo jazy posiada, ile punktów karnych, itp...) a czym innym dowód osobisty. Zwróćmy uwagę, że dowód nie ma być wszechstronnym nośnikiem różnych informacji o obywatelu lecz bezpiecznym i uniwersalnym narzędziem do uwierzytelniani. Dopiero po potwierdzeniu tożsamości można wykorzystać tę informację do dalszego poszukiwania informacji we wspomnianych bazach.
Podstawową przewagą nowego dowodu nad starym jest możliwość przeprowadzenia uwierzytelniania w sposób elektroniczny, automatyczny i zdalny, bez udziału urzędnika czy policjanta. Jeśli np. podpiszę dokument korzystając z funkcji podpisu osobistego a następnie prześlę ten dokument do banku mailem to nie muszę się stawiać osobiście w oddziale żeby udowodnić, że moja twarz wygląda wystarczająco podobnie do tej na zdjęciu w dowodzie osobistym. Profil zaufany ePUAP jest w tej dziedzinie zbyt ograniczony (tylko kontakty z urzędami) i nie zapewnia wystarczającego poziomu bezpieczeństwa (słabe metody uwierzytelniania).
Zresztą wprowadzenie podpisu osobistego jako bezpłatnej usługi wydaje się najlepszym pomysłem w nowym dowodzie. Być może pozwoli to rozpowszechnić ideę podpisu elektronicznego, co z oczywistych względów nie udało się podpisowi kwalifikowanemu.
Nowy dowód daje spore możliwości w kontekście świadczenia usług drogą elektroniczną. Na przykład sprawdzenie czy klient jest pełnoletni stanie się banalnie proste.
Oczywiście tak jest w teorii. Jak to będzie w praktyce - to zależy od realizacji. Jak dotąd możemy mieć niestety jak najgorsze przeczucia. Pojawiające się co chwilę niepokojące doniesienia prasowa o projekcie pl.ID nie nastrajają optymistycznie. |
|
|
Ahk4iePaiv8u | | IP: 77.236.6.134 | 17-01-2012, 12:45 | | Paweł ma rację, a ty się mylisz. Zwyczajnie nie chce mi się pisać długiego wywodu wytykającego błędy w twoim rozumowaniu, począwszy od "opinii publicznej" która jest za głupia żeby się mylić albo nie mylić, a w dodatku, w praktyce, guzik ma w tej sprawie do powiedzenia. Z tego, że podrobienie dowodu X509/PCSC jest "trudniejsze" niż obecnego nic szczególnie nie wynika, dokumenty, jak sądzę, podrabia się żeby nimi w odpowiednim momencie "zamachać" przed policjantem lub bankowcem, a nie "pokonać" skomplikowane kryptograficzne zabezpieczenia w dostępie do ePuap. "Pozostanie dowodu udzielenia konsultacji medycznej", czyli możliwość prześledzenia i ewentualnej kontroli czegoś nie zmniejsza patologii w sposób usprawiedliwiający poniesione rzekomo w tym celu koszta. i tak dalej i tak dalej.. Dla wielu transakcji za mało? Dla kogo za mało? Dla pani Halinki która do dziś nie ma konta bankowego i listonosz przynosi jej wypłatę? Do licha, instytucje komercyjne, takie jak banki, do dziś nie zdecydowały się na wdrożenie zabezpieczeń X509, co oznacza, że to się zwyczajnie nie opłaca. To, że "nigdy nie podjęto dyskusji jakie funkcjonalności elektronicznego dowodu osobistego są potrzebne" jest argumentem za tym, że elektroniczny dowód osobisty jest niepotrzebny a rządowe projekty są realizowane w taki właśnie sposób. A nie za tym, że jest potrzebny tylko wymaga dyskusji.. Jako autor, do licha, powinieneś raczej się wstydzić tego że "implementacja pozostawia wiele do życzenia" zamiast się tym chwalić. "Genialna idea i kiepska realizacja" to jest zwykle usprawiedliwienie bezsensowności idei, a nie potwierdzenie jej klasy. Następnym razem zadbaj, żebyś nie miał powodów do wstydu, zamiast się usprawiedliwiać, albo sobie odpuść. "Socjalizm tak, wypaczenia nie" to mniej więcej tyle samo co "koncept był dobry tylko realizacja nie wyszła". Ble. |
|
|
Michał | | IP: 213.189.44.130 | 16-01-2012, 10:36 | Drogi Pawle,
przeczytałem Twój wpis i muszę stwierdzić, że Twoja opinia, że nie potrzebujemy nowoczesnego dokumentu tożsamości wprowadza w błąd opinię publiczną.
Mianowicie najprościej jest przyrównać ID i działanie systemów narodowej tożsamości do bankowości elektronicznej. I tu nasuwa się pytanie, skoro banki mają bardzo dobrze zorganizowane centralne systemy, to dlaczego wydają karty płatnicze? Co więcej unowocześniają technologie tych kart, zmieniając pasek na chip, a kartę pamięciową na kartę procesorową.
Więc, czy możemy powiedzieć z powodzeniem, że dotychczasowy dowód jest tym co całkowicie wystarcza? NIE! Bo ten dowód nie adresuje kilku podstawowych rzeczy:
1. Zabezpieczenia elektronicznego treści dowodu, które by było znacznie trudniejsze do podrobienia niż dzisiejszy (z powodzeniem podrabiany dowód osobisty).
2. Zapewnienia uwierzytelnienia się do systemów administracji publicznej, w tym do systemu ePUAP i profilu zaufanego. Oczywiście można to realizować innymi mechanizmami, ale dotychczas stosowane oparte wyłącznie o hasło to dla wielu transakcji znacznie za mało.
3. Zapewnienia, że dostęp przez urzędnika do naszych danych rejestrowych będzie realizowany zgodnie z regułą "NEED TO KNOW". Na dzień dzisiejszy, mówiąc, że urzędnik może sobie zerkać do PESEL próbujemy powiedzieć, każdy może dowiedzieć się w sposób niekontrolowany wszystkiego o nas.
4. Zabezpieczenia transakcji medycznych, w ten sposób, aby pozostawał dowód udzielenia konsultacji medycznej w rejestrach, związany z pacjentem, a transakcji takich musiały być potwierdzane przy udziale pacjenta.
-----
W tym miejscu warto wskazać, że nie mówię, że należy zastąpić dowodem osobistym mechanizmy profilu zaufanego. Jak wiadomo jestem autorem konceptu i architektury rozwiązania profilu zaufanego ePUAP, więc mam pewien sentyment do tego rozwiązania, choć implementacja jego pozostawia wiele do życzenia. Systemy administracji muszą być wspomagane techniką, która umożliwi zapewnienie potwierdzenie tożsamości, a włączenie odpowiednich funkcji w dowód osobisty tworzy spójne rozwiązanie.
Nigdy też nie podjęto dyskusji, jakie funkcjonalności dowodu osobistego rzeczywiście są potrzebne i kto z nich będzie korzystał, a także jaki kształt dowodu osobistego byłby najbardziej przydatny – w jakiej części powinien być to dowód wirtualny i co powinno być dla niego nośnikiem.
Michał Tabor |
|
