Nowa (elektroniczna) legitymacja studencka. Opinia polemiczna

"W poniedziałek 12.07.2004 odbyło się w MENiS spotkanie informacyjne dotyczące planowanego wydania przez Ministerstwo rozporządzenia o wprowadzeniu nowego wzoru legitymacji studenckiej. Nowy dokument ma być kartą elektroniczną o ustalonym przez MENiS wzorze..."

Tomasz Kokowski

W poniedziałek 12.07.2004 odbyło się w MENiS spotkanie informacyjne dotyczące planowanego wydania przez Ministerstwo rozporządzenia o wprowadzeniu nowego wzoru legitymacji studenckiej. Nowy dokument ma być kartą elektroniczną o ustalonym przez MENiS wzorze (typ ID-1 [wymiary karty plastikowej typu CR-80], standard ISO 7810) wyposażoną w elektroniczny układ zbliżeniowy (ISO 14443-1,2,3,4, typ A, warstwa aplikacyjna Mifare). Legitymacja nie będzie dwujęzyczna mimo tego, że taka być się na pozór wydaje. Projekt szablonu przewiduje umieszczenie tylko jednego napisu w języku angielskim - 'Student Card'. Reszta zapisów jest języku polskim. Bardzo to dziwny koncept zważywszy na silne propagowanie możliwości studiowania za granica (system ECTS). Argumentacja MENiS przeciwko dwujęzyczności nowej legitymacji podkreślała, że międzynarodowe legitymacje studenckie to zupełnie inna kwestia i wydaje je międzynarodowa organizacja studencka. Nowe polskie legitymacje natomiast, to wyłącznie nasz polski dokument wewnętrzny. Jeśli tak ma być, to po co proponuje się ten napis-protezę!??? Dwujęzyczność legitymacji nikomu by nie przeszkadzała, a byłaby zapewne krokiem w europejskim kierunku - na przykład dla studentów obcokrajowców, których jest coraz więcej na polskich Uczelniach. Przykład takiego dwujęzycznego dokumentu przecież już znamy - sporo osób ma przecież nowe dowody osobiste.

Niezwykle istotny problem przedłużania ważności takiej elektronicznej legitymacji MENiS proponuje rozwiązać przez naklejanie na legitymacji (karcie plastikowej) hologramów (!?!). MENiS argumentuje, że to z uwagi na niereformowalność przede wszystkim PKP. Wydaje się, że ogóle nie rozważano adaptacji innych technologii weryfikacji legitymacji np. SMS-owej, a przecież są już bardzo pozytywne doświadczenia w tym zakresie np. bilety Miejskiego Przedsiębiorstwa Komunikacyjnego w Poznaniu. Propozycja MENiS w ogóle nie bierze pod uwagę również technologii kryptograficznych poza umieszczeniem w jej pamięci cyfrowego podpisu wydającego legitymację, ale i to jest mocno wątpliwe bo układ Mifare nie jest procesorem ze sprzętową realizacją silnych algorytmów kryptograficznych, który znakomicie podnosiłyby poziom bezpieczeństwa np. w przypadku weryfikowalność tożsamości (system klucza publicznego i prywatnego). Podnosi się tu znowu kwestię zmian, jakie byłyby konieczne w otoczeniu nowego elektronicznego studenta i rzecz jasna straszy się związanymi z tym kosztami. O ile ten pierwszy argument jest obecny i dobrze nam znany wszędzie tam gdzie pojawiają się technologie tzw. nowej gospodarki - przede wszystkim z nieruchawej i bardzo złej (żeby nie powiedzieć dyletanckiej) legislacji w tym zakresie, o tyle argument kosztów jest chybiony. Postęp technologiczny i rynek spowodowały znaczącą obniżkę kosztów takich drobiazgów jak czytniki kart elektronicznych (czytnik USB kosztuje średnio od 120 do 240 zł) czy karty elektronicznej z zaawansowanymi układami (o tym dalej).

"Bezhologramowe" technologie potwierdzania na 100% można zaadaptować do legitymacji studenckich. Natomiast hologram naklejony na legitymacji to 100% pewna utrata ważności tego dokumentu po mniej-więcej pół roku jego intensywnego używania. Hologram jest bowiem naklejką ulegająca zniszczeniu (jeśli taki nie jest to jest to tym większa bzdura, ale znamy tylko wzór jaki pokazało MENiS) przy próbie manipulowania przy nim (odklejania, zadzierania, itp.). Hologram będzie zatem narażony na mechaniczne uszkodzenia jeszcze co najmniej z innego powodu (zakładając przy tym, że pierwszy argument odpada bo student będzie obchodził się z legitymacją bardzo, ale to bardzo ostrożnie) - o tym też dalej.

Uczelniom pozostawia się dowolność wyboru dodatkowego (opcjonalnego) w koncepcji MENiS elementu legitymacji - procesora stykowego. Rozporządzenie, o którym informowano za spotkaniu w MENiS, wskazuje standard w tym względzie (ISO 7816-1,2,3,4 z interfejsem dualnym czyli kontaktowym i bezkontaktowym), co biorąc pod uwagę potencjalne możliwości nowych zastosowań legitymacji w przyszłości jest krokiem w dobrym kierunku (wszelkie zastosowania wykorzystujące "wewnętrzne" systemy PKI uczelni bądź też "publiczne" w myśl Ustawy o podpisie elektronicznym). Możliwość zastosowania układu stykowego pozwoli również na stosowanie zaawansowanych technologi takich jak na przykład http://www.cypherme.pl/). Dzięki temu egitymacja studencka mogłaby też ewoluować w kierunku uzyskania funkcjonalności tzw. karty miejskiej (autobus/tramwaj/metro, miejskie karty turystyczne, parkomaty) i ew. karty bankomatowej. Takie jaskółki już są, czego przykładem jest koncepcja "karty obywatelskiej", jaką chce wprowadzić Częstochowa czy obecne w wielu miastach bilety elektroniczne. Jeśli więc pojawią się inne zastosowania dla legitymacji studenckiej (np. mikropłatnosci, autoryzacja używania komputera, uprawnienia w systemach biliotecznych, itp.) wymagające umieszczenia karty w czytniku to powraca realna groźba uszkodzenia naklejanych hologramów na rewersie legitymacji ponieważ co najmniej cztery pola do ich naklejania znajdują się w tej 1/3 części legitymacji, która jest umieszczana w czytniku (ale są też takie czytniki, które kartę/legitymację "połykają" podczas realizacji żądanej operacji - np. bankomaty). Czytniki nie lubią ciał obcych na wkładanych do nich kartach, a karty/legitymacje z hologramami wkładane do czytników będą często tracić ważność przez uszkodzenie hologramu(-ów). Łyżką dziegciu jest tu jednak opcjonalność stosowania układu stykowego. Szkoda, że MENiS nie przyjął w tym względzie minimum poniżej, którego nie można by zejść ponieważ wobec powszechnego braku środków finansowych na Uczelniach naturalną tendencją będzie minimalizowanie kosztów legitymacji czyli rezygnacja z układów stykowych (żegnaj kryptografio - żegnaj bezpieczna legitymacjo). Jeśli zatem w końcu rozszerzenia funkcjonalne znajdą uznanie jako godne wdrożenia, to należy się liczyć z koniecznościš przeprowadzenia kolejnego kilkuletniego okresu przejściowego wymiany legitymacji (można to oczywiście zrobić jednorazowo, ale znacznie bardziej prawdopodobny ekonomicznie z uwagi na możliwość rozkłozenia kosztów jest scenariusz wymiany "rocznikowej" czyli wydawania nowych legitymacji kolejnym rocznikom studentów bez masowej wymiany w dla roczników starych (tylko duplikaty).

Poza określeniem tzw. "standardu" legitymacji MENiS nie zamierza robić nic pozostawiając realizacje uczelniom: dobór i druk kart oraz druk hologramów (MENiS przygotowuje tylko matrycę) oraz ew. porozumienia lokalne (tzw. konsorcja środowiskowe), co jest zrozumiałe w przypadku podejmowania rozmów z miejskimi przedsiębiorstwami komunikacyjnymi czy lokalnymi samorządami, ale zastanawiające w przypadku np. Banków (tu potrzebne jest porozumienie dotyczące spełnienia minimalnych wymogów stawianych przez Banki, które można skutecznie negocjować tylko na odpowiednim szczeblu, czyli ze Związkiem Banków Polskich. Na tej podstawie byłoby przecież dużo łatwiej zawierać porozumienia z poszczególnymi Bankami lokalnie). MENiS niejasno poinformowało, że takie wstępne rozmowy ponoć były, ale do niczego nie doprowadziły - pytanie tylko czy prowadzono je 'dla zasady' czy też mając jakąkolwiek wizję tego, jaką funkcjonalność można by dzięki temu uzyskać. Jeśli zatem spojrzeć na propozycję nowej legitymacji to widać od razu dlaczego nowa elektroniczna legitymacja studencka pachnie bublem. Za dużo było chyba jałowej dyskusji technicznej, a za mało dyskusji o tym jak nowa legitymacja mogłaby funkcjonować (inicjować pożądane zmiany w jej otoczeniu).

Nowa legitymacja ma zastąpić starą do 31.12.2006 (na spotkaniu informowano, że do 31.12.2005). MENiS twierdzi, że wszystkie decyzje zostały podjęte, ale treści rozporządzenia nie konsultowano ze środowiskiem. Od ponad 2. lat działała natomiast "komisja" MENiS. Z postępem jej prac nie można się zapoznać na serwerze MENiS.

Nowa legitymacja ma kosztować studenta 15,00 zł (legitymacja z układem procesorowym kosztowałaby ok. 27-32 zł gdyby negocjować to w skali Kraju, a co najmniej 40-45 zł jeśli negocjacje będą prowadziły lokalnie uczelnie czy ich środowiskowe konsorcja). Koszt legitymacji jest bowiem wypadkową przede wszystkim skali zamówień, kosztów druku i personalizacji. W zasadzie nie wiadomo też jak oszacowano takie koszty (15,00 zł), ponieważ wszystkie szacunki związane z nową legitymacją są podejrzanie niskie (prezentowano je na spotkaniu w MENiS). Pod uwagę bierze się w nich tylko karty wyposażone w elektroniczny układ zbliżeniowy bez procesora stykowego, najtańsze drukarki kart, najtańsze materiały, itd. w takich cenach jest sprzęt i materiały do produkcji niskiej jakości (trwałości) kart, a myśleć trzeba tu o sprzęcie profesjonalnym z powodu ilości kart/legitymacji, jakie należy przygotować (np. Politechnika Poznańska - ok. 23 tys., Uniwersytet im. Adama Mickiewicza - ok. 60 tys.) i wymaganej trwałości (minimum 6 lat) jaką należy takiej karcie/legitymacji zapewnić. Wszak karta trafia przecież do rąk studenta, a co studenci potrafią zrobić z legitymacją to materiał na inną długa historię. Ponadto, jedną z opcji zabezpieczeń samej legitymacji mogłoby być na przykład wdrukowanie w jej wystrój graficzny hologramu podczas procesu laminacji (utwardzania i dodatkowego zabezpieczania) awersu.

Nowa legitymacja z porządnym procesorem stykowym (wbudowany koprocesor kryptograficzny) otwierałaby możliwości wprowadzenia chociażby elektronicznego indeksu o wielu innych aplikacjach nie wspominając. Legitymacji jaką proponuje MENiS nie będzie można do tego wykorzystać ponieważ nie posiada układu kryptograficznego niezbędnego do realizacji technologii podpisu cyfrowego (nie ma wymogu jego stosowania). Bez tego nie da się zrobić chronionego dostępu do danych i tak podstawowej funkcji jak potwierdzanie tożsamości użytkownika legitymacji.

W proponowanym kształcie nowa legitymacja studencka zdaje się zamykać drogę innym zastosowaniom i rozszerzaniu zakresu funkcjonalnego tego dokumentu. Istnieje bowiem realna grożba biernego stosowania się uczelni do zapisów rozporządzenia MENiS (opcjonalność wyboru układu stykowego oznaczajšca w praktyce rezygnację z tego elementu). Można zatem bez większego ryzyka postawić tezę, że realizacja Projektu w takim kształcie to próba szybkiego uzyskania doraźnego i krótkofalowego efektu, a zatem marnotrawstwo pieniędzy podatników.

Osobista strona Tomasza Kokowskiego.