Jaka karta ELS?

przerobiony wzór ELSOdnosi się wrażenie, że jak dotąd, na stronach VaGla.pl prezentowano (oraz komentowano) jeden punkt widzenia problemu zakupu 1 miliona Elektronicznych Kart Studenta (ELS). Szereg artykułów i komentarzy ukazywało problem z punktu widzenia rozżalonych pomysłodawców rozwiązania. Istnieje również inny punkt widzenia, reprezentowany przez ludzi, profesjonalnie zajmujących się na co dzień kartami elektronicznymi w Polsce. Niniejszy artykuł jest próbą pokazania drugiej, technologicznej strony problemu przetargu ELS oraz sensowności jego realizowania w założeniach stworzonych przez Politechnikę Poznańską (PP).

Świetny Pomysł zorganizowania dużego przetargu.
Wszyscy intuicyjnie zgodzimy się z faktem, że przeprowadzenie jednego dużego przetargu na cokolwiek co ma być kupione w dużej ilości - szczególnie za państwowe pieniądze, ma sens. Obniżenie kosztów zakupów w dużej skali jest jak najbardziej uzasadnione i każdy zakrzyknie – tylko jeden duży przetarg! Korzystając z takiego logicznego uzasadnienia, np. Narodowy Fundusz Zdrowia kupuje karty plastikowe dla wszystkich swoich oddziałów centralnie, w jednym przetargu. Tak samo działa ZUS czy nie schodzący ostatnio z pierwszych strony gazet Polski Związek Piłki Nożnej, który wystawił ostatnio dla piłkarzy prawie tyle elektronicznych identyfikatorów ze zdjęciem co, do dzisiaj, wszystkie uczelnie ELS w Polsce!

Wszyscy wyżej wspomniani dokonują centralnych zakupów setek tysięcy czy nawet milionów kart plastikowych, rozsyłają je następnie do swoich oddziałów i tam personalizują dla poszczególnych użytkowników. Jest to ekonomicznie uzasadnione i rzeczywiście sprawdza się w większości przypadków wprowadzania identyfikatorów w formie kart plastikowych. Z jednym zastrzeżeniem, należy bowiem zauważyć, że wszyscy identyfikowani (w powyżej wymienionych przypadkach), dostają takie same, identyczne karty, różniące się jedynie danymi odbiorcy - czyli personalizacją a nie zawartością danych i możliwością ich użycia! Praktyka masowej personalizacji kart pokazuje, że gdyby trzeba było przygotować kilka różnych typów kart w ramach tego samego systemu, zastosowanie modelu centralnych zakupów nie byłby ani łatwe ani oczywiste, a w niektórych przypadkach wręcz niemożliwe.

Czy ELS musi być w skali całej Polski, jedną identyczną, super-kartą dla wszystkich?
Otóż zdaniem autora niestety nie. Co prawda ELS to w istocie rzeczy dokument Państwowy w formie karty plastikowej, potwierdzający w trudny do podrobienia sposób, fakt studiowania na wyższej uczelni, ale do realizacji tego zadania starczyłaby karta z prostym mikroprocesorem (jak w Australii ) czy prostym układem bezstykowym (jak na Słowacji). I tak - fakt zastosowania karty plastikowej z układem elektronicznym to wielki postęp, bo dziś dokument ten nadal funkcjonuje jako zwykła papierowa książeczka! Niemniej jednak grupę inicjatorów, którzy zebrali 69 uczelni w Polsce i zaproponowali im wspólny zakup miliona kart ELS - technologia elektronicznych „chipów” zamkniętych w kartach plastikowych skusiła tak dalece, że uważnie śledzącemu zorganizowany przez nich przetarg zdawać by się mogło, że ich wymarzona karta mogła by robić wszystko bez żadnych ograniczeń. Postulują więc „zróbmy na bazie ELS super-kartę”, współczesnego Omnibusa! Już od samego początku gazety krzyczały nagłówkami – „jedna karta do wszystkiego”, „już niedługo studenci jedna kartę w portfelu zastępująca wszystkie inne karty”, „z kartą studenta na zakupy” itp.

O ile prawdą jest, że wykorzystanie takiego dokumentu daje uczelniom zupełnie nowe możliwości, to jednak mówienie o wprowadzeniu od razu wielu aplikacji poza uczelnianych, jest bardzo ryzykowne, by nie powiedzieć nierealne. Posiadanie (lub jej brak!) niezbędnej infrastruktury technicznej w poszczególnych szkołach wyższych, a nawet miastach uniwersyteckich w Polsce będzie wyznaczało praktyczną granicę zastosowań karty ELS poza uczelnią.

Oczywiście jak najbardziej realne są pomysły wykorzystania elektronicznej legitymacji na terenie danej uczelni jako elektronicznej przepustki do kontroli dostępu do budynków, wjeżdżania na parking, a nawet umownego „płacenia” za ksero czy wydruki (ponieważ aplikacje te działają na zamkniętym terenie uczelni). Kreowanie jednak karty multiaplikacyjnej (powodującej konieczność współdziałania kilku podmiotów) bez wcześniejszego precyzyjnego określenia granic tych aplikacji (i to zarówno czasowych jak i geograficznych) pomiędzy nimi jest bardzo ryzykowne. Wyobraźnia podpowiedziała organizatorom przetargu szereg potencjalnych bankowych czy komunikacyjnych zastosowań tej karty, nie wspominając już o karcie jako nośniku klucza prywatnego dla infrastruktury PKI (czyli infrastruktury podpisu cyfrowego).

Powstał trudny do pogodzenia problem – z jednej strony dużych ambicji kupujących, zakładających (teoretycznie słusznie, praktycznie niesłusznie), że kupując milion sztuk ELS dla większości studentów I roku w Polsce, można kupić super nośnik (kartę) za kilkanaście złotych, a następnie rozszerzyć możliwości użytkowania go w dowolną stronę.

Ale życie niestety tak pięknie nie jest. Szczególnie jeżeli weźmiemy pod uwagę fakt, że w niektórych miastach gdzie pojawią się karty ELS nie ma jeszcze systemu biletów komunikacji miejskiej w którym można by korzystać z kart elektronicznych (praktycznie jest to większość miast w Polsce, bo takie systemy działają w 5 miastach) nie wspominając o faktach, że infrastruktura bankowa do czytania kart elektronicznych jest w powijakach, a infrastruktury do korzystania z kart PKI nie ma w Polsce w ogóle! Ktoś oburzony zakrzyknie – ale przecież za kilka lat będzie! No i słusznie, oby się tak stało, ale za 5 lat, kiedy student przestanie już nim być, a legitymacja z takimi możliwościami będzie przysłowiową musztardą po obiedzie. Tyle, że za tą musztardę zarówno student jak i uczelnia będzie musiała zapłacić dziś, i to niestety sporo.

Czy jest więc sens planować dziś ELS jako kartę multiaplikacyjną dla każdego studenta?
Zdaniem autora i tak i nie. Docelowo za kilkanaście lat tak, a teraz jeszcze, zdecydowanie nie. Doświadczenia kilkudziesięciu wdrożeń systemów kart elektronicznych w Polsce nauczyły mnie swoistej pokory. Multiaplikacyjność jest jedną z najczęściej dyskutowanych i najrzadziej realizowanych funkcji kart elektronicznych. Banki (jak np. PKO BP czy Kredyt Bank) wdrażając kilka lat temu swoją elektroniczną kartę VISA EMV miały ogromne ambicje zrobienia na niej również aplikacji lojalnościowych, komunikacyjnych czy nawet wkraczających szturmem na rynek mikropłatności i płatności mobilnych. Wszystko to jednak spełzło na niczym. Proszę spytać użytkowników tych kart, do czego mogą dziś użyć procesora EMV w swojej karcie? Do bankowości i to tylko tam gdzie jest przygotowany do tego terminal.

I tu jest właśnie sedno sprawy. Infrastruktura techniczna nakreśla praktyczne granice zastosowań kart multiaplikacyjnych. Większość projektantów systemów kartowych (nie wykluczając mojej skromnej osoby) popełnia ten sam błąd, zakładając optymistycznie, że karty wymuszą stworzenie infrastruktury. Pisząc 10 lat temu rozprawę doktorską na ten temat płatniczych możliwości zastosowań procesorowych kart multiaplikacyjnych, byłem święcie przekonany, że w roku 2006 większość masowych kart funkcjonujących na świecie będzie multiaplikacyjnych. Pomyliłem się sromotnie, bo tempo wprowadzania infrastruktury rozwlekło ten proces w nieskończoność, i dziś poza praktycznie kilkoma krajami dokonującymi ograniczonych testów nigdzie to masowo nie zadziałało. Dziś osobiście wykazuję wielką pokorę przed tego typu rozwiązaniami, a nawet planami.

To właśnie brak infrastruktury do bezpiecznego odczytu i zapisu różnych obszarów kart procesorowych powoduje, że dziś mamy w portfelu osobną kartę do komunikacji miejskiej, osobną do płatności, osobną do PKI a do tego prawo jazdy i dowód bez układu elektronicznego i jeszcze kilka innych. Oczywiście mogła była być jedna karta, ale na to trzeba będzie poczekać.

Czy można by wszystkie te karty połączyć niedługo w jedną? Osobiście dalej wierzę, że tak, ale wiem już, że wymaga to wiele czasu oraz prowadzenia instalacji pilotażowych, w których będzie można sukcesywnie i skrupulatnie testować pożądaną multipalikacyjność na dwóch, trzech i następnych polach zastosowań, dochodząc po latach do wymarzonego Omnibusa.

Czego potrzebują Polskie Uczelnie dziś?
Moim zdaniem różne uczelnie w Polsce potrzebują różnych kart ELS. Wszyscy potrzebują plastikowej karty ELS w podstawowym zakresie, spełniającą wymogi Rozporządzenia. Ale uczelnie mniejsze oraz te (nawet większe) nie posiadające infrastruktury technicznej do używania wielu aplikacji karty elektronicznych potrzebują prostej karty w wersji „minimum”, bo na nic więcej i tak ich nie będzie stać. Proszę zauważyć, że wprowadzenie na teren uczelni np. infrastruktury do zdalnego dostępu do zasobów szkoły, gdzie można by wykorzystać ELS jako bezpieczny identyfikator, sporo kosztuje a wdrożenie takiego systemu trwa nawet do kilku lat!

Po co wiec kupować dziś drogą kartę, której to możliwości i tak student nie wykorzysta w okresie swoich studiów? Może lepiej kupić kartę „podstawową” a resztę środków wydać na rozwój niezbędnej infrastruktury? I jak pokazuje pierwsze 5 miesięcy wdrożenia ELS, więcej niż połowa szkół decyduje się na takie - sensowne - rozwiązanie. Opcja minimum (czyli prosta karta procesorowa z dodatkowym układem Mifare) i jednoczesny rozwój infrastruktury technicznej wydaje się dziś najbardziej racjonalnym kierunkiem. Alternatywne wydawanie ogromnych pieniędzy na „karty Omnibusy”, których i tak nie ma gdzie odczytać, być może zaspokoi ambicje niektórych pracowników uczelni, ale stopień wykorzystania tych kart będzie znikomy. Zrozumiały ten fakt, już na początkowym etapie tego nieszczęsnego przetargu na milion kart, ELS zarówno duże Uniwersytety jak Uniwersytet Warszawski czy małe szkoły jak WSZiE w Rzeszowie, szanujące swoje ograniczone zasoby finansowe. Zdecydowały się one na wdrożenie prostej karty i dziś się z tego słusznie cieszą.

Jakie są więc granice możliwości Multiaplikacyjności ELS poza uczelnią?
Teoretycznie ogromne, bo można przecież oddzielić fizycznie (bądź logicznie) poszczególne aplikacje od siebie. Najlepiej więc byłoby zakupić taką kartę, która pozwoli na stopniowe ich wdrażanie w realnym czasie jej życia, i możliwości takie nie zależą wcale od natywnego czy pozornie otwartego systemu operacyjnego (jak Java-Jacob), tylko od sprawności i wyobraźni programującego. Podział taki jest banalny na papierze, niestety bardzo trudny w realizacji, o czym pozwolę sobie napisać więcej za chwilę.

Podziału takiego można bowiem dokonywać fizycznie (jestem wielkim zwolennikiem takiej opcji) czyli np. stosować oddzielny układ bezstykowy i oddzielny układ stykowy. Taki układ udało się dosłownie „przeforsować” w Rozporządzeniu i jest to jedyna dobra strona (technicznie) tego dokumentu. Praktyka pokazała, że fizyczne oddzielenie ELS od układu bezstykowego – i zaproponowanie go np. komunikacji miejskiej jako nośnika dla biletów okresowych to pierwsza i jedyna zewnętrzna aplikacja ELS możliwa do zrobienia od ręki! Już dziś w Krakowie (od listopada 2006) studenci WSZiB poruszają się komunikacją miejska bez żadnych problemów stosując swoje legitymacje studenckie zaprogramowane w punktach sprzedaży biletów MPK, co więcej fakt wykupienia przez nich biletu okresowego jest odnotowany i kontrolowany przez kontrolerów MPK przenośnymi czytnikami kart MIFARE. Ale Kraków ma po temu niezbędną infrastrukturę. Fizyczne oddzielenie jest najbezpieczniejsze, i fakt ten został tu natychmiast wykorzystany. Gdyby ELS był kartą dualną (wspólny procesor dwa interfejsy) - jak to planowano kiedyś w Poznaniu, nie byłoby to takie banalne, i dziś studenci na pewno nie korzystaliby ze swoich legitymacji jako biletów okresowych.

Podstawowym problemem oddzielenia aplikacji w jednej karcie nie jest, jak to niektórzy twierdzą, technologia (natywna czy „otwarta”), tylko odpowiedzialność za integralność i bezpieczeństwo całej karty. Przyjęło się zwyczajowo, że odpowiedzialność taką ponosi „pierwszy personalizujący kartę”. No tak, ale w przypadku ELS, kiedy jest nim Uczelnia, to czy następny chętny do wgrania swojej aplikacji (czyli bank albo CA - instytucja wydająca certyfikaty klucza publicznego) będzie ufała dalej takim kartom? Praktycznie niestety nie. I nie zależy to od certyfikatów karty, tylko kolejności jej personalizacji.

W obu przypadkach (bank i CA) odpowiedzialność za zapisane dane jest tak ogromna, że jeżeli nie będą oni pierwszym personalizującym, to nie powinny już korzystać z tych kart dla swoich aplikacji. Nawet jeżeli ludzie z marketingu tych banku czy CA tak będą twierdzić, to oficerowie odpowiedzialni za bezpieczeństwo ich systemów się na to nie zgodzą. Można dziś zrobić prosty test: pójść do któregokolwiek z polskich CA (PWPW, KIR, Unizeto) z kartą studenta typu GemExpressoXX (która jest forsowana w Poznańskim przetargu właśnie dzięki teoretycznemu przygotowaniu do PKI) i spytać czy załadują na nią certyfikat kwalifikowany. Ja spróbowałem i otrzymałem – zgodnie zresztą z przypuszczeniem - odpowiedz odmowną!. Dzieje się to z prostej przyczyny – po pierwsze, żaden z polskich CA nie wydaje swoich certyfikatów na tej właśnie karcie (swoją drogą nie wiem dlaczego PP nie sprawdziła tego) – bo wymagałoby to po pierwsze „oprogramowania jej” (stworzenia lub kupienia middleware) a po drugie rozwiązania problemu pierwszego personalizującego. W przypadku „Omnibus ELS”, nie byłby nim CA (bo karta już została wydana studentowi, a więc spersonalizowana).

Podobnie sprawa wygląda z bankami. Każdemu zainteresowanemu proponuję spróbować osobiście. I nie jest to kwestia skali, a proste ograniczenie technologiczne. Fakt, że karta ma układ certyfikowany dla zastosowań EMV - nie znaczy bynajmniej, że każdy bank „nagra” tam od razu swoją aplikację płatniczą. Myślenie tak to duże i niebezpieczne uproszczenie. Niedowiarków odsyłam ze swoimi świeżo wydanymi kartami ELS „EMV ready” do banków które w Polsce wydają karty zgodne z EMV. Nie mam wątpliwości co do rezultatu.

Można by oczywiście stworzyć scenariusz, zgodnie z którym to np. bank wydaje karty ELS. Uczestniczyłem kilka lat temu w podobnym projekcie na jednej z naszych Politechnik. Jeszcze przed kartami ELS wprowadzono tam karty elektroniczne dla pracowników i jeden z większych banków Polskich, zdecydował się na współfinansowanie projektu. Pomimo faktu, że bank ten już wydawał wtedy swoje karty elektroniczne EMV, to ze względu na procedury ochrony danych tych kart, zdecydował, że zamiast udostępnić część układu elektronicznego uczelni, łatwiej będzie zakupić dla uczelni karty z paskiem magnetycznym (dla banku) i prostym układem elektronicznym (chipem), na którym później uczelnia miała wprowadzić aplikacja pracowniczą (w tymże układzie elektronicznym) i personalizować ją (nadrukowanie zdjęcie i dane użytkownika).

Wprowadzić danych pracowniczych do karty EMV nikt się nie odważył, choć personalizować miał to bank. Powstał wtedy jeszcze jeden dodatkowy problem, otóż bank powiedział, że zrobi to ale pod jednym warunkiem - użytkownicy kart powinni przenieść swoje konta bankowe do tego banku. Kiedy po małym „referendum” okazało się że mniej niż 5% pracowników było tym zainteresowane, bank się po prostu wycofał. Uczelnia sama zrobiła karty i tak się skończyła zabawa w multiaplikacyjnośc. Co by było gdyby uczelnia najpierw zakupiła karty (takie z napisem „EMV ready”) a potem poszła do Banku ? Po prostu straciłaby różnicę ceny kart, i naraziła się na dwuznaczny uśmieszek.

A może Uczelnie stać na Omnibusy? - zadajmy więc pytanie najważniejsze, ile to kosztuje?
Jeżeli by założyć, że bardzo dobra karta w ilości około miliona sztuk kosztuje tyle samo co „bardzo prosta karta”, to ktoś słusznie by zapytał – dlaczego nie kupić więcej lepszych? Niestety nie. Bo diabeł tkwi w szczegółach, i najczęściej wielkie okazje okazują się być wielkimi wpadkami. Nie można się zgodzić z twierdzeniami, że dzięki przetargowi na 1 milion kart ELS udało się obniżyć ceny z kilkudziesięciu złotych do 10,23 zł netto. To po prostu manipulowanie faktami.

A fakty są takie, że dopasowując się do przygotowanej specyfikacji na milion ELS – specyfikacji SIWZ wszyscy oferenci zaoferowali karty w świetnych cenach, ale bez koniecznego do nich (dla multiaplikacyjności) oprogramowania!. No, bo skoro Zamawiający pytał o hardware z certyfikatami to takie oferty dostał! Karta z certyfikatami dla PKI to nie karta PKI, tak jak energia potencjalna to nie energia kinetyczna. Każdy świadomie kupujący kartę elektroniczną dla PKI wie, że karta taka składa się z hardware i software. I taki komplet zawsze kosztuje kilkanaście do kilkudziesięciu Euro nawet jeżeli kupuje go w dużych ilościach do dalszej odsprzedaży firma wydająca certyfikaty (CA).

Trzeba tu może zaznaczyć, że karty zaprogramowane dla PKI, z czytnikiem (ten o wartości 50 zł), wgranym certyfikatem kosztują kilkaset zł (np. 364 zł (KIR SA) czy 329 zł (PWPW Sigillum). Jeżeli zamawiający chciał sam hardware, bo jak (pisemnie) zadeklarował w odpowiedziach na pytania do oferentów - „soft będzie sobie pisał we własnym zakresie”! (mógł przecież nie wiedzieć o fakcie, że napisanie takiego softu i certyfikowanie go kosztuje kilkaset tysięcy złotych i trwa wiele miesięcy) – to dostał oferty na sam hardware! I to po 12 zł brutto! Ale nie można twierdzić, że obniżył tym samym cenę karty z kilkudziesięciu złotych do 12 zł przez sam przetarg! Bo tak naprawdę kupił komponent, a nie komplet (choć brzmi podobnie to różnica jest znacząca). To trochę tak jakby ktoś kupił komputer bez części systemu operacyjnego, bo taniej. Tyle, że w tym przypadku producenci sprzedają ten system znacznie drożej niż hardware. Ceny podam w dalszej części. „No dobrze, ale po co komu ten rozbudowany system operacyjny, skoro „Rozporządzenie o ELS” (wydane na podstawie art. 192 ust. 1 ustawy z dnia 27 lipca 2005 r. - Prawo o szkolnictwie wyższym, wchodzi w życie z dniem 1 stycznia 2007 r.) mówi o określonej funkcjonalności ELS, którą można zrobić każdym zgodnym z ISO 7816 systemem operacyjnym?” – zapytał mnie roztropnie pracownik naukowy jednej z uczelni.

Po co komu kwalifikowane certyfikaty PKI?
Zakładając optymistycznie, że student jednak dostanie kartę ELS, na której ktoś zdecyduje się wgrać mu certyfikat PKI (czyli jego klucz prywatny do dokonywania podpisów cyfrowych), należy zadać pytanie: czy skorzysta on z takiej możliwości?

Certyfikat będzie go kosztował od 200-300 zł na rok i jak na dziś, praktycznie nic mu nie dawał! Stopień rozwoju e-Państwa jest tak wczesny, że praktyczne wykorzystanie certyfikatów jest śladowe. Sam osobiście próbuję stosować posiadany klucz prywatny gdziekolwiek się da, i praktycznie nigdzie nie mogę znaleźć takiej instytucji, która przyjmie ode mnie podanie, deklarację podpisaną elektronicznie i nie będzie to wymagało pofatygowania się tam by złożyć podpis odręczny. A zapłaciłem za certyfikat kilkaset złotych. Dla bezpiecznej poczty używam od 10 lat PGP, ale do niej nie potrzeba żadnej karty elektronicznej i działa świetnie. Nawet jeżeli uda się w najbliższym czasie uruchomić jakiś testowy fragment IV-e-Rzeczpospolitej, to zastanawiam się głośno, czy student będzie chciał wydać (co roku!) 100-200 zł tylko po to, by mógł sobie z nią w tym roku raz czy dwa po-e-deklarować, czy po-e-głosować. Osobiście wątpię.

Certyfikaty dziś muszą kosztować kilkaset złotych i nie będą szybko kosztowały 50 zł bo nie będzie się ich opłacało utrzymywać CA w rygorach narzuconych przez Ustawę o Podpisie Elektronicznym. A jeżeli nawet będzie to 50 zł na rok (nie sądzę bo nigdzie na Świecie tak nie ma) – to dlaczego właściwie student ma je wydawać? Żeby się bawić w e-Państwo ?

Z moich rozmów ze studentami wynika wprost, że „jeżeli Nasze Państwo chce być „e” to niech da nam narzędzia do tego, a nie każe (i to komu jak komu - biednemu studentowi) płacić za to „e” z własnych zarobionych na saksach groszy”. Osobiście jestem bardzo sceptyczny do idei wdrażania infrastruktury PKI przez studentów za ich własne prywatne pieniądze. I będę silnie polemizował z twierdzeniem – zacytuję tu artykuł Rozmiękczanie plastiku czyli komu bije ELS z VaGla.pl: „Potencjał rynkowy takiej liczby konsumentów [mowa o studentach – przyp. autora] głodnych nowych – w tym technologii podpisu cyfrowego, jest czynnikiem, który może przełamać zaklęty krąg niemocy braku infrastruktury technicznej dla PKI powodowanego brakiem popytu wynikającego z wysokich kosztów dla użytkownika PKI, których poziom jest utrzymywany przez brak podaży dla PKI, ponieważ nie ma odpowiednio rozwiniętej infrastruktury dla stosowania podpisu cyfrowego”.

To, moim zdaniem, nie prawda – bo same karty to nie infrastruktura, i wprowadzenie ich niczego nie zmieni do czasu do kiedy nie będzie ich można stosować zamiast odręcznego podpisu.

Przetarg na milion ELS w Poznaniu – stan na luty 2007
Jako że próby wytłumaczenia Zamawiającemu (PP), że nie do końca wie co chce kupić, spełzły na niczym, z przetargu wycofała się większość dużych graczy rynkowych. Nie złożyła ofert, nie chcąc ofertować niekompletnych kart (Austria Card, Cryptotech, Unicard). Aktualnie na placu boju zostały dwie firmy: Gemalto i Unizeto. Przetarg od kilku miesięcy jest na etapie pozycyjnej wojny prawników co powoduje jego hibernację, by nie powiedzieć jego śmierć kliniczną. Wiele uczelni kupiło w międzyczasie karty, jedne ulegając mitowi PP o Omnibusie (PP ogłosiła, że czuje się w obowiązku polecać karty Gemalto), inne racjonalizując wydatki zakupiły proste karty. Urząd Zamówień Publicznych trzykrotnie już nakazywał ponownie rozpatrzyć ofertę Unizeto konsekwentnie odrzucaną przez PP, a Politechnika trzykrotnie wybierała ofertę Gemalto. Sprawa jest w sądzie, który za pewne przyzna rację Unizeto (jako biegły sądowy tak bym mu doradzał). Głównym powodem odrzucania kart Unizeto, jest nie posiadanie (zdaniem PP) stosownych certyfikatów do wprowadzenia Certyfikau klucza publicznego.

No i tu warto przypomnieć moją tezę, że nikt w Polsce nie chce wprowadzać tego certyfikatu na nieswoje karty bez względu na to, czy karty mają stosowne certyfikaty bezpieczeństwa czy nie (przypadkowa niefortunna zbieżność nazw Certyfikat i certyfikat). Bez względu na to z jaką kartą ELS zgłosi się dziś student do np. Krajowej Izby Rozliczeniowej (jeden z CA ) – dostarczoną przez Unizeto czy Gemalto, co nie trudno sprawdzić, to firma ta nie wgra mu na tą kartę certyfikatu kwalifikowanego. Więc o co ta wojna?

Najczęściej, jak nie wiadomo o co chodzi to najczęściej chodzi o pieniądze. Jeszcze dwa lata temu mieliśmy cztery firmy dostarczające certyfikaty kwalifikowane. Dziś mamy trzy, i jak tak dalej pójdzie będzie ich jeszcze mniej. Chodzi oczywiście o możliwości użytkowania kart ELS w PKI (czyli jako komponenty rozbudowanego systemu Podpisu Elektronicznego), ale czy studenci są najlepszym orężem w tej walce ?

Porównianie ofert Gemalto i Unizeto
PP zupiera się przy kartach ze specjalizowanym systemem Java (Gemalto), różniących się zasadniczo od natywnych kart Unizeto. Podstawową różnicą jest fakt, że dostarczana przez Gemalto karta jest dla Uczelni zamknięta – tj. jej potencjalne możliwości pretendujące ją do miana Omnibusa, są skutecznie zabezpieczone – niedostępne dla uczelni, która nie zakupiła stosowanego oprogramowania (za 10 do 30 Euro na każdą zakupioną kartę!).

Bez tego softu (nazywa się on: GemSafe Libarary lub/i Gem Safe e-signer) karta ta jest prostą 32kB kartą procesorową bez żadnych dodatkowych możliwości. Uczelnie, które ją kupiły (a tak się za namową PP stało w przypadku co najmniej 10 Szkół wyższych), nic nie mogą sobie w niej zrobić poza prostą aplikacją identyfikacji studenta zgodna z Rozporządzeniem (sprowadzając super Javową kartę do podstawowych funkcji prostej karty procesorowej). Ale mają za to super kartę, i to potencjalnego OMNIBUSA!

Różnica pomiędzy kartą Gemalto (poprzednio Gemplus Pologne) a oferowanymi przez inne firmy natywnymi kartami procesorowymi (np. odrzuconymi w poprzedniej edycji przetargu w Poznaniu jako „zbyt proste”) jest jedynie taka, że wyemulowany w tej super Javowej karcie system operacyjny MPCOS jest dwa razy wolniejszy od tych kart natywnych (są na to dostępne testy!). Druga różnica jest taka, że karta ta (w przeciwieństwie do wspomnianych kart natywnych) nie pozwala na wymazanie stworzonego już w niej pliku (co jest poważnym ograniczeniem, niezgodnym z resztą z normą ISO 7816 a tym samym z SIWZ poznańskiego przetargu). Kto z nas chciałby mieć komputer (ale z Javą!) w którym można zakładać pliki bez możliwości kasowania ich, i pozwalałby jedynie zmiany nazwy? I to komputer o całkowitej dostępnej pojemności ok. 30kB? Czyli robimy 5 plików po 5kB i koniec karty. Takie super nowoczesne super karty otrzymała od Gemalto jedna ze szkół wyższych w Polsce, a ta przekazała mi je do testów. Nic dodać nic ująć.

Z perspektywy eksperta dużo rozsądniej wypada na tym tle oferta kart z firmy Unizeto S.A., która to firma jest jednym z autoryzowanych wydawców certyfikatu klucza prywatnego w Polsce. Firma ta zaoferowała natywną kartę, w której zarówno aplikacja ELS jak i aplikacja przygotowana do PKI, jak deklaruje firma, w cenie karty! Jest to o tyle ciekawe, że jest to praktycznie jedyna z oferowanych w tym przetargu kart, z którą można pójść do CA (tu tylko Unizeto) i bez problemów zakupić certyfikat, który Unizeto – jak deklaruje - może bez problemu wgrać na tę kartę – nawet po jej spersonalizowaniu dla celów ELS. To wydawałoby się rozwiązanie idealne dla PP, ale ta dziwnym trafem odrzuca ofertę Unizeto, tłumacząc że nie jest to karta Javowa. No bo faktem jest, że nie jest. Pytanie tylko, po co ma być – skoro nikt nie chce dopłacać do niej 20 Euro/szt. by te cudowne e-aplikacje ożyły. A nawet jeżeli by miała je ożywione (dostarczone do naszego laboratorium karty jednej z uczelni, nie miały) – to po co i co można z nią zrobić, skoro ani CA ani żaden Bank nie wgra tam swoich aplikacji?

Reasumując jaka karta ELS?
Jeżeli student nie kupi do swojej ELS certyfikatu PKI , to po co mu karta „potencjalny OMNIBUS”? Student moim zdaniem potrzebuję taką kartę, by mogła być stosowana jako ELS, stosownie przedłużana przez 5 lat, ewentualnie mogłaby mu służyć jako element kontroli we-wy na teren uczelni oraz lokalnie być używana jako karta komunikacji miejskiej i ew. karta do parkometrów (oczywiście tam gdzie jest taka infrastruktura – czyli w ok. 5 miastach w Polsce). O ile uczelnia ma udostępnione lokalne ogólnodostępne sieci komputerowe, taka karta powinna być identyfikatorem dostępowym do tych sieci (nie znam danych, ale zgaduję że sieci takie ma obecnie mniej niż 20% uczelni w Polsce). Wszystkie wymienione aplikacje mieszczą się w układzie Mifare (a więc części bezstykowej, którą na szczęście posiadają karty od wszystkich dostawców). Aplikacja ELS to jedyne praktycznie zastosowanie dla układu stykowego.

Podsumowując te „realne” aplikacje ELS jawią się jako obraz prostej identyfikacyjnej karty procesorowej z oddzielnym układem bezstykowym Mifare (ta technologia jest de facto standardem w komunikacji miejskiej w Polsce).

Jak reagują na taki stan rzeczy Uczelnie?
Nic dziwnego, że znużeniem. Szereg szkół ogłosiło własne przetargi, w których zdecydowanie widać dwa podejścia. Podejście pierwsze: chcemy karty javowe z certyfikatami do PKI (tajemnicą poliszynela jest że oferuje takie karty tylko Gemplus Pologne). Podejście drugie: chcemy karty zgodne z Rozporządzeniem. Charakterystyczne jest to, że o ile w pierwszym podejściu przetargi wygrywa zawsze Gemalto, o tyle w drugim nigdy Gemalto. I nikogo nie zniechęca fakt, że żadne karty Gemalto nie zostały dostarczone w terminie (wszystkie dostawy były spóźnione), a karty, które przyjechały, są „monoaplikacyjne” – pozwalają tylko na zaprogramowanie aplikacji ELS (najwolniejszej na rynku). Mit super omnibusa działa.

Po 5 miesiącach działania ELS okazało się, że polskie uczelnie same doszły do tego (jakże oczywistego) wniosku i po burzliwym roku 2006, pełnym dyskusji na temat „czego by to nie można zrobić na ELS z Javą”, coraz więcej uczelni w Polsce decyduje się na opisane wyżej, proste, optymalne rozwiązanie karty procesorowej z oddzielnym Mifare, które można już kupić poniżej 10 zł brutto.

Równocześnie pojawiają się również nowe ciekawe fakty rynkowe. Po pierwsze: firma Gemalto, dopasowując się do cen konkurencji, oferuje już te super-karty Javowe na polskim rynku w tej samej cenie dla miliona sztuk i w dostawach pojedynczych tysięcy sztuk. Nie potrzebny był więc przetarg na milion sztuk by obniżyć cenę (przypominam – tylko hardware!) do poziomu 12 zł. Wystarczy Niewidzialna Ręka Rynku, czyli trochę konkurencji.

Pojawił się przez moment w przetargu na milion kart watek, że wygrywający milion kart miał dostarczyć software za darmo (czy miał być w tym niezbędny do PKI middleware? Interpretowałbym, że jednak tak). Ale dla dostaw kilkudziesięciu tysięcy kart (np. dla Uczelni Krakowa) Gemalto tego jednak nie zrobiło. Brak obiecywanego „za darmo” software umożliwiającego korzystanie z potencjalnych możliwości tych kart (np. PKI) potwierdziło pisemnie konsorcjum Uczelni Krakowa, organizując przetarg na personalizację tych kart, w którym stwierdziło, że ów niezbędny soft trzeba sobie kupić w firmie Gemalto.

Znamienne jest to, że firma Gemalto zaczęła też sprzedawać swoje karty natywne, sprowadzając swoją super ofertę to poziomu wszystkich innych oferentów. Może ktoś zastanowił się dlaczego podstawowa aplikacja ELS działa w tych super kartach dużo wolniej niż konkurencyjnych kartach i zażądał kart działających normalnie? W końcu w efekcie tego zamieszania sporo uczelni ma zarówno karty Gemalto, jak i innych oferentów i może sobie porównać.

Zakupiła je (karty z natywnym MPCOS oraz układem Mifare) podobno ostatnio WSZiF we Wrocławiu. Ponoć tego typu karty sprzedają się im znacznie lepiej niż Omnibusy…

Jednego tylko jako inżynier nie rozumiem. O co w dalszym ciągu walczy Politechnika Poznańska odwołując się od decyzji trzech zespołów arbitrów do sądu, w którym zapewne przegra? Trwonienie państwowych pieniędzy (usługi prawne sporo kosztują) dla lokalnych ambicji? I to w dbającym o wydatki Poznaniu?

Podsumowanie
Skoro wiemy już, że Omnibusy to nie najbardziej szczęśliwe rozwiązanie dla ELS’ 2007 (mam nadzieję, że skutecznie przekonałem czytającego ten tekst), to może jednak zostawić uczelniom możliwość swobodnego wyboru technologii kart ELS pozostawiając dwa podstawowe wymogi: zgodności z rozporządzeniem ELS i układ bezstykowy Mifare. Rynek i tak już sam poszedł w tą stronę i nawet rozstrzygnięcie przetargu na milion kart nie zmieni faktu, że wiele uczelni, które kiedyś zgłosiło do niego akces – dziś zakupiło już karty w koncepcji innej niż PP.

Moim zdaniem PP, ratując ogrom pracy który włożyła w ten przetarg, powinna szybko zorientować się wśród wszystkich uczelni w Polsce, jaki jest realny rynek na karty z PKI (zapytać uczelnie a te wprost studentów: ilu byłoby chętnych) i taką liczbę (realnych) kart PKI zakupić w ramach centralnego przetargu. Nie zdziwiłbym się jednak jeżeli będzie to w skali całego kraju 50.000 kart (wersja optymistyczna) a nie milion. Ale w takim przypadku Polskie szkoły wyższe zaoszczędzą 950.000 licencji na nikomu nie potrzebny software do PKI, dla studentów, którzy i tak nie chcieli by go wykorzystywać. A to w rezultacie mogą być miliony złotych, które warto przeznaczyć na budowę infrastruktury do PKI. O ile karta ELS może być w niedalekiej przyszłości ważnym elementem rozwoju rynku PKI w Polsce o tyle nie można zapominać, że bez infrastruktury do jej realnego wykorzystywania będzie tylko ładnym kawałkiem plastiku o potencjalnie dużych możliwościach.

Dr inż. Jacek Biskupski
Ekspert ISO S.C. 17 ds. kart magnetycznych i elektronicznych
Vice prezes Unicard SA

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Dodam od siebie

VaGla's picture

Dodam od siebie, jako gospodarza serwisu: Cóż. Dziwi mnie, że w branży czynione są zakłady dotyczące tego, czy tekst pokazujący jakąś "drugą stronę" zagadnienia pójdzie na VaGla.pl, czy też nie. Podobno było tak w przypadku komentowanego właśnie artykułu. Mogę tylko powiedzieć, że w serwisie publikuje czasem teksty nadesłane przez innych autorów, przy czym interesuje mnie dość specyficzna dziedzina - prawo społeczeństwa informacyjnego. Zatem, jeśli tekst skupia się w jakiś sposób na tej właśnie dziedzinie, a nie jest np. dywagacją ogólnospołeczną, lub nic nie wnosi do dyskutowanych w tym serwisie zagadnień - takiego tekstu raczej nie opublikuje. W tym przypadku gratuluję wygranym. Stawka ponoć wynosiła 9:10, że materiał nie pójdzie, gdyż "serwis VaGla.pl jest postrzegany jako narzędzie propagandowe PP". Fakt, że w wielu sprawach zgadzam się z Politechniką Poznańską nie oznacza jednak, że nie puszczę artykułu polemicznego do tez pisanych przez innych autorów.

W powyższym tekście autor pisze o szeregu artykułów, które ukazywały się dotąd w serwisie VaGla.pl na temat elektronicznej legitymacji studenckiej. Wypada je w tym miejscu podlinkować, by każdy zainteresowany mógł sam zapoznać się z racjami "obu" (jeśli są tylko dwie) stron:

--
[VaGla] Vigilant Android Generated for Logical Assassination

Tuba propagandowa ELS

Stanowczo zaprzeczam jakoby serwis był tubą i narzędziem propagandowym Politechniki Poznańskiej w sprawie ELS.

tommy
_____ http://www.put.poznan.pl/~tommy

Nie jesteś wiarygodny

VaGla's picture

Przykro mi Tomku, ale stanowczo nie jesteś w tej sprawie wiarygodnym źródłem zaprzeczania czegokolwiek :) Jesteś zainteresowany sprawą jako pracownik jednej ze stron. Myślę, że moją wiarygodność ocenią czytelnicy po całokształcie moich redaktorskich poczynań w tej sprawie, nie pomogą w tym Twoje oświadczenia i inne stanowcze zaprzeczenia :)
--
[VaGla] Vigilant Android Generated for Logical Assassination

Kajam się za niewiarygodne zaprzeczenie

Drogi Kolego, prowokacyjnie (znowu) odpisałem na prowokacyjnie wytknięty w moją stronę palec. Ani myślę tu cokolwiek mataczyć. Wszystkich przeraszam i do nóg VaGli padam o wybaczenie prosząc.

tommy
_____ http://www.put.poznan.pl/~tommy

Jedna karta

Po co tworzyć kolejne i kolejne karty? A może lepiej jedna karta (dowód osobisty?) integrująca funkcje legitymacji studenckiej, biletu okresowego na dowolną komunikację, instrumentu płatniczego i cokolwiek byłoby potrzebne.
To podobnie jak z PESEL2 i innymi tego typu pomysłami - co z tego, że każdy ma NIP.
Po co mnożyć byty ponad potrzebę?

Karty i PESEL2

Technicznie się można, prawnie i jak widać biznesowo, nie.

Co do PESEL/NIP: nie każdy kto ma PESEL ma NIP i odwrotnie. PESEL2 to operacja unowocześniania starej infrastruktury PESEL a nie nowy rejestr państwowy.

PESEL

kravietz's picture

Nawiasem mówiąc:

1) czy to prawda że numer PESEL może nie być unikalny w skali kraju?
2) czy PESEL2 ma ten problem jakoś rozwiązać?

NIP jest unikalny, ale nie każdy ma NIP.

Wciąż kolejne numeracje...

Pewnie wypowiedź nieco nie w temacie, ale kto wie...

Od czasu jak pojawiły się komputery, to wciąż pojawiają się doskonałe rozwiązania identyfikacyjne. Ale mnie jako ludzika lubiącego szukać przysłowiowej dziury w całym zastanawia wciąż pewna prawidłowość... Nie wiedzieć czemu, wiele prostych rozwiązań jest niedostrzeganych przez specjalistów... Czyżby chodziło o pieniądze?

Bo dla przykładu. Analizując zagadnienie bytu osoby jako "elementu" w zbiorze ludności. Jakby nie spojrzeć na problem, to zawsze elementem wspólnym wszelkich baz danych jest konkretna osoba, a informacje są dopiero do niej "przypięte"...
Nie wiedzieć czemu, dla różnych celów nadaje się różne numeracje temu samemu człowiekowi.
A przecież wystarczy każdemu osobnikowi nadać unikalną sygnaturę.
Używając np. 18 segmentów 4-bitowych (szesnastkowo) czyli 9 bajtów (72 bity) jeśli się nie mylę, można w sposób unikalny opisać każdego obywatela kuli ziemskiej. Bo nawet jeśli urodzi się w tej samej sekundzie w tym samym miejscu i tej samej płci więcej iż jeden człowiek, to ewidencja będzie się różniła sekundami wpisu. Z czystych przyczyn techniczno-organizacyjnych. Sekundowe różnice wpisu nie mają znaczenia w urzędowych powinnościach obywatela. Brana jest tylko pod uwagę data urodzenia i miejsce, a to jest zawarte w sygnaturze o której piszę.
Wstarczy taka jedna unikalna sygnatura coś jak odpowiednik UTF-8 i mamy ewidencję całej populacji na kuli ziemskiej... Dodając jeszcze jeden bajt (8 bitów, czyli 80 bitów razem), można rozszerzyć ewidencję na inne światy, jeśli zostaną kiedykolwiek zasiedlone w przedziale do 54240 roku licząc od roku zerowego naszej ery...
Jak widać, uproszczenie procedur ewidencyjnych jest na tacy... Ale pewnie jest to zbyt oczywiste by to zauważyć...

Pozdrawiam.

Po prostu nowoczesna

Pięknie dziękuję za tak długi artykuł, który ma wykazać jedynie słuszną kompetencję. Jakoś nie mogę jednak nie wyrazić głębokiego żalu, że ta wiedza nie służyła dotąd ELS. Wręcz przeciwnie, - autor artykułu reprezentuje jednego z dostawców, którzy zostali zaproszeni do przetargu, a który z niego odpadł bo nie złożył nawet oferty mimo, że bardzo aktywnie wykazywał taką wolę. Ostatecznie swoją energię skierował na oprotestowanie rozstrzygnięcia, ale przepadł z przyczyn formalnych bo wnosząc protest najprawdopodobniej nie uiścił opłaty w należytej wysokości.

Eksperta gościliśmy w Poznaniu prawie rok temu w sprawie ELS. W czasie tego spotkania rozmowa koncentrowała się wokół oferty biznesowej. O sensowności czy bezsensowności koncepcji ELS mówiliśmy szczątkowo. Liczył się kontrakt. Bardzośmy się jednak po tych rozmowach zdziwili kiedy UNICARD w toku postępowania przetargowego zadał mnóstwo pytań, a wśród nich i takie czy ew. zgodzilibyśmy się na dostarczenie kart niezgodnych z Rozporządzeniem (i to nie jest zdanie wyrwane z kontekstu uprzedzam, tak brzmiało pytanie - mamy to czarno na białym).

W czasie postępowania przetargowego Ekspert kontaktował się z nami telefonicznie jako jeszcze strona wnosząca protest tłumacząc swoje postępowanie dobrem sprawy i naszym. Nalegał na zmianę SIWZ i wycofanie się z kart elektronicznych z maszyną wirtualną Java, bo... sobie nie poradzimy, bo... jest jedynym ekspertem, bo... Zmilczeliśmy wtedy tą sytuację, ale widać był to chyba gruby błąd, chociaż nie ulegliśmy temu namawianiu od kuchni za kartą natywną. Nie jest jednak tajemnicą, że UNICARD oferował i oferuje wielu polskim uczelniom swoją natywną kartę elektroniczną. Dość skrzętnie ukrywaną tajemnicą wydaje się być natomiast niska jakość tych kart (osadzenie układów stykowych) i personalizacji graficznej jakiej doświadczają te Uczelnie, które taką kartę z Unicardu kupiła jedna z warszawskich uczelni.

Po pierwszym czytaniu artykułu widzę co najmniej kilka nieścisłości i tez, które dalibóg nie wiem skąd się biorą. Na szczegółową polemikę przyjdzie jeszcze czas. Na dobry początek zapytam tylko jeszcze jeden i ostatni raz: Drogi Panie Ekspercie, proszę na łamach tego forum odpowiedzieć czy oferta UNIZETO posiada certyfikat bezpieczeństwa czy nie? O to bowiem szedł spór przez UZP. Do innych wątków dyskusji za chwilę wrócimy. Oddalenie skargi Politechniki Poznańskiej na orzeczenie Zespołu Arbitrów, Sąd
tłumaczy brakiem kompetencji w tak skomplikowanej sprawie (ciekawe dlaczego nie powołano biegłych?!?) i nakazuje ponowną ocenę ofert zaznaczając, że jeśli oferta UNIZETO nie spełnia wymagań SIWZ, to przetarg należy unieważnić. Tak sobie myślę, że być może właśnie o to od początku chodziło. Rozwalić porozumienie uczelni i rozgrywać je indywidualnie sprzedając słaby technologicznie produkt za niezłą ka$ę.

tommy
_____ http://www.put.poznan.pl/~tommy

Realny problem w ELS

kravietz's picture

"infrastruktury do korzystania z kart PKI nie ma w Polsce w ogóle! Ktoś oburzony zakrzyknie – ale przecież za kilka lat będzie! No i słusznie, oby się tak stało, ale za 5 lat, kiedy student przestanie już nim być, a legitymacja z takimi możliwościami będzie przysłowiową musztardą po obiedzie. Tyle, że za tą musztardę zarówno student jak i uczelnia będzie musiała zapłacić dziś, i to niestety sporo."

A to jest faktycznie ciekawy i istotny problem racjonalności ekonomicznej takiego a nie innego rozwiązania wobec braku rynku, do którego należałoby się ustosunkować.

Dziekuję za dobre słowo!

Racjonalność ekonomiczna wprowadzenia multiaplikacyjnych ELS powinna być podstawą do dyskusji o ich technologi. Niestety w przypadku tego przetargu stało się odwrotnie, i dlatego mamy dziś taką dyskusję. Ale i tak dobrze się stało, że UZP, sąd i może Opatrzność nie dopuściła do zakupu miliona kart ELS w tym przetargu. Cieszę się że kravietz też dostrzega ten problem, czym więcej nas tym większa szansa że zrobimy to dobrze a nie byle jak, i mądry będzie Polak przed szkodą...
Dzięki!
JacekB

Wieloaplikacyjność

Czegoś nie rozumiem. Czy teraz kwestionujemy już zakładaną przez wielu prelegentów samą wieloaplikacyjność ELS? Idąc dalej pomyślałbym, że wystarczy karta pamięciowa.

tommy
_____ http://www.put.poznan.pl/~tommy

Opłacalność

kravietz's picture

Mówiąc szczerze im dłużej zajmuję się podpisem elektronicznym, tym bardziej wydaje mi się że wybrany w Europie tryb wdrażania tej technologii jest postawiony na głowie. A wyglądał on mniej więcej tak:

1) zakładamy a priori że podpis elektroniczny rozwiąże wszystkie nasze problemy, entuzjastycznie podnosimy konieczność jego wdrożenia; mówimy dużo o walce z wykluczeniem, obniżaniu kosztów, demokracji itd

2) piszemy prawo i tworzymy standardy na tak wysokim poziomie abstrakcji, żeby obejmowało wszystkie możliwe potencjalne zastosowania (Dyrektywa 93/1999/EC); w rezultacie nikt ich nie rozumie, a rynek implementuje je na 25 możliwych sposobów (narodowe ustawy o podpisie elektronicznym - z IPSec było dokładnie tak samo nawiasem mówiąc)

...mija kilka lat stagnacji...

3) zastanawiamy się, dlaczego nikt tego nie chce używać i dostrzegamy setki problemów o których nie pomyśleliśmy wcześniej i staramy się je rozpaczliwie łatać

...mija kilka lat stagnacji...

4) dochodzimy do wniosku że oni po prostu nie rozumieją, że to dla ich dobra więc żeby zmusić ich do korzystania z niespójnej i nieopłacalnej technologii wymyślamy "motywację odgórną" np. zmuszając ich do tego administracyjnie (ZUS)

5) zastanawiamy się dlaczego nasza gospodarka nadal pełza, pomimo że przecież w kolejnych Strategiach Lisbońskich założyliśmy sobie że już wkrótce przegoni USA

Może jestem złośliwy, ale wydaje mi się że to wszystko jest robione od d..y strony i bardzo przypomina metodologię prowadzenia eksperymentu naukowego, tyle że eksperymentowanie na gospodarce jest średnio uzasadnione. I że eksperymenty zwykle dużo kosztują że ktoś musi na nie wyłożyć prawdziwe pieniądze.

Faktura elektroniczna jest tutaj przykładem klasycznym - zamiast wprowadzić szybkie i proste prawo pozwalające na obniżenie kosztów działalności gospodarczej zbudowano prawno-technicznego molocha, który co prawda stara się być mądry, uniwersalny i poprawny, ale... w żaden sposób nie obniża tych kosztów, do których obniżenia został stworzony. To po co było w ogóle zaczynać? Jeśli chodziło o eksperyment to można było to zrobić na uczelni o wiele taniej.

Zabrnęliśmy w tym już tak daleko, że wszyscy z pełnym zaangażowaniem zastanawiają się czy siódmy punkt na dole czternastej strony specyfikacji powinien zawierać kwalifikatoror "LUB" czy "ALBO", a zapomnieliśmy po co w ogóle to zaczynaliśmy.

Kravietz ma rację...

W pełni się zgadzam z przedmówcą;-) Dokładnie zabieramy się do tego w całej prawie Europie od równo od d...ruuugiej strony. Tworzymy masę przepisów w któych potencjlany użytkownik gubi się zanim zacznie działać. Błędy popełnili tu wszyscy i dlatego też nie działa to nigdzie. Albo zabieramy się do tego zbyt hura optymistycznie, tj ktoś coś usłyszał, przeczytał w internecie, i powiedział sobie - no to do tej karty dodamy jeszcze PKI (bo ładnie brzmi). Klasyczyn przykładem jest ELS. Najpierw ktoś sobie wymyślił że wsadzi PKI do karty studenta [dopisując to do Rozporządzenie już po konsultacjach międzyresortowych], a teraz kiedy jest na rynku chyba już ponad 100.000 takich kart "potencjalnie PKI" to niektórzy zaczynają się zastanawiać co z tym zrobić, bo kupiono karty bez softu... no i nie da się tego PKI żadną miarą zrobić. OK zejdę już z ELS, bo wyjdzie na to że nie mam innego tematu do dyskusji...
Zawodowo jestem zaangażowany ostatnio w jeden z pierwszych powszechnych systemów PKI jaki rusza w naszej Gospodarce. System nazywa sie CEPIC i używa naszych kart czytników i oprogramowania. Same założenia bardzo dobre, ale brak podejścia systemowego mści sie okrutnie. Ktoś zrobił soft inny odstarczył karty, niby wszystko działa [bo technicznie rzeczywiście działa], ale w efekcie mamy kompletny brak wsparcia systemowego dla całego rozwiązania! Użytkownicy zadają tysiące pytań - jako że system posklejany, to nie wiadomo kto ma na co odpowiadać, a wszystko tajne, więc cicho sza! Brakuje wiedzy i szkoleń dla użytowników! Brakuje projektów rozwiązań systemowych - bo Zamawiający wychodzi z założenia, że jak coś ma certyfilaty to już będzie ze sobą działało. MOże będzie może nie, zależy od tego czy Użytkownik będzie wiedział co z tym zrobić. A użtkownik dostał do ręki kawałek kosmicznej [jak dla niego] technologii, kazali mu tu włożyć kartę tam wcisnąc F5 i działa - albo i nie działa...
W obu przypadkach zapomniano o najważniejszym - o pracy u podsaw i prawach rynku! Podpis będzie dobrze służył tylko wtedy kiedy będzie go można do czegoś rozumnie używac.. A my chcemy zrobić najpierw wyprodukowac auto a potem zastanowimy się co ono ma robić i czy może się komuś do czegoś przyda... A jak sie nie przyda, to zaraz larum - no przecież takie ładne auto zbudowaliśmy "po prostu nowoczesne"... A że niekompletne i nie mamy dróg po których miałoby jeździć, to już szczegół. Ktoś jest zadowolony bo mieli zrobić auto i zrobili...
Dziajłając w ten sposób nie zbudujemy żadnego systemu a tym bardziej już systemu PKI...

jacekB

Uderz w stół…

Witaj tommy Wybawco Ludzkości!
Przede wszystkim dziękuję tommy’iemu za komentarz do mojego artykuliku. To miło, że tak szybko i żywo nań zareagował, czekałem na to niecierpliwie.

Na wstępie pragnę jednak zauważyć, że nigdy nie uważałem, że posiadam jedynie słuszną koncepcję ani tym bardziej jedyną słuszną kompetencje. Dlatego właśnie napisałem ten artykuł i oczekuję szeroko pojętej, merytorycznej krytyki moich tez, wniosków i proponowanego rozwiązania.
Po przeczytaniu jednak powyższego komentarza (bo ja w przeciwieństwie do tommyego, czytam teksty od początku do końca i do nich to w komentarzach się odnoszę) czuję jednak ogromny niedosyt... Po pierwsze dlatego, że pisząc ten bardzo długi tekst, z wielką skruplulatnością starałem się zrobić wszystko, by nie był on polemiką businessową tylko merytoryczną dyskusją techniczną. W skrytości ducha liczyłem na komentarz ze strony PP bo trochę się do napisania tekstu przygotowałem. Załatwiłem sobie taką super-kartę-tommy’ego, potestowałem ją, podzwoniłem po różnych instytucjach i CA pytając co można by z nią zrobić a czego nie… A tu tommy zamiast polemizować ze mną na ten właśnie temat opowiada mi jakieś historie sprzed roku: gdzie to ja byłem i co robiłem i jakie pytania zadawałem. W końcu w epilogu stara się mnie wciągnąć w jakąś bezsensowną polemikę na temat certyfikatów. A może tommy po prostu nie ma kontr-argumentów i to wszystko to zasłona dymna? Mam nadzieję, że tak nie jest, bo tyle mojego trudu w testowanie tych kart i całej koncepcji super karty poszłoby na marne… Pożyjemy zobaczymy, a VaGla.pl, i wszyscy sympatycy tego wortalu będą tego świadkami.
Ale żarty na bok. Skoro tommy wyciąga jakieś historie, to by nie być posądzonym o to, że nie odnosząc się do nich bo pewnie mam coś do ukrycia, po raz pierwszy, jedyny i ostatni w tej dyskusji odniosę się do kwestii businessowych, odpowiadając jako przedstawiciel UNICARD SA [a w tej roli już taki śmieszny nie jestem].

1.Prawdą jest, że kontaktowałem się z PP przed ogłoszeniem opisanego tu przetargu, ponieważ chciałem uratować koncepcję ELS nad którą pracowałem już wtedy od kilku lat. Zaproponowana przez PP koncepcja zastosowania drogich [w zakresie niezbędnego oprogramowania] i nie możliwych do wykorzystania kart z Javą, od początku wydawała mi się nie trafiona, o czym rozmawialiśmy wtedy, przekazałem argumenty identyczne jak w moim powyższym artykule. Bezskutecznie.
2.Jest bardzo prawdopodobne, że argumentów wtedy prezentowanych przez nas, tommy nie wysłuchał. A to dlatego, że na wspomniane spotkanie [umówione dobry tydzień wcześniej] spóźnił się ponad godzinę i po prostu nie był obecny, a później, pozbawiony wstępu, i tak nie chciał słuchać argumentów przeciw. Argumentów „za” z naszej strony nie było, więc dyskusja się nie kleiła i tak się zakończyła.
3.Prawdą jest, że Unicard SA zadał na etapie tamtego postępowania szereg pytań do SIWZ z których jasno wynikało, że przygotowana przez PP specyfikacja SIWZ przetargu na 10 milionów złotych! [której tommy jest współautorem] zawierała wewnętrzne sprzeczności, co w końcu prowadziło do konkluzji, że zamawiający będzie zamawiał karty niezgodne z własnym SIWZ! Ale PP zrozumiała wtedy nasze pytania opacznie, wnosząc z tych pytań (sic!), że Unicard ma karty nie zgodne z SIWZ. Stało się to przedmiotem długiego pisemnego wyjaśniania pomiędzy obiema stronami, i wydawało mi się że jest to już ostatecznie wyjaśnione. Ciekawy jest natomiast epilog. Unicard miał rację, karty które sugeruje dziś PP, a wiele uczelni za namową PP już kupiło, nie są w 100% zgodne z ISO 7816, a taki wymóg w SIWZ-ie był… Dowód na to przedstawiłem w swoim artykule.
4.Prawdą jest, że Unicard SA nie złożył oferty w kolejnej edycji wspomnianego przetargu [tak zresztą jak i inne firmy] ponieważ nie chcieliśmy uczestniczyć w przetargu „ustawionym” na jedną tylko kartę [czytaj: firmę]. Po rundzie spotkań konsultacyjnych z oferentami [z których, na szczęście, są dostępne oficjalne nagrania zrobione przez PP- może Wymiar Sprawiedliwości zainteresuje się nimi] wynikało, że PP wymaga dziwnej karty, która spełnia szereg niecodziennych kryteriów. Tajemnicą poliszynela jest, że w tamtym czasie jedyną kartą spełniającą te wszystkie kryteria była karta firmy Gemplus. Nie chcieliśmy uczestniczyć w takiej farsie. Unizeto SA poszło inną drogą – udowodniania, że Zamawiający nie wie czego chce, czyli nie potrafi sformułować obiektywnego SIWZ, i z tego co słyszę niezawisły Sąd [a przedtem 3 składy UZP] przyznał mu kilka dni temu rację. Po co więc było składać ofertę ?
5.Prawdą jest, że Unicard SA oferuje polskim uczelniom kartę natywną, podobnie zresztą jak ostatnio firmy Gemalto i Unizeto o czym pisałem w artykule. Dzieje się tak dlatego, że znużone oczekiwaniem na rezultat żle przygotowanego przetargu PP, uczelnie organizują swoje przetargi w których racjonalnie wymagają karty spełniającej Rozporządzenie, a więc również natywnej. Popyt stwarza podaż.
6.Nie prawdą jest natomiast, że karty Unicard są złej jakości, nie mieliśmy ani jednej reklamacji karty ELS, choć Unicard dostarczył karty już do 10 szkół wyższych. Uważam, że VaGla.pl nie jest forum do dyskutowania jakości produktów, dlatego bardzo proszę tommy'ego by dał konkretny przykład uczelni która nie jest zadowolona z jakości kart Unicard SA i na tym chciałbym zakończyć ten wątek. [Będę się o to upominał].

Zadane mi na końcu komentarza pytanie o certyfikaty, zupełnie już nie ma sensu. Odpowiadam wprost - nie jestem wróżką, nie mam szklanej kuli i nie wiem wszystkiego. W szczególności nie wiem, jakie karty zaproponowało w przetargu Unizeto i jakie certyfikaty posiadają te karty a jakich nie, bo to jest tajemnica handlowa tej firmy. Tym bardziej, że certyfikaty to rzecz płynna, firmy o nie występują, dostają i tracą i nie jest to wiedza stała, którą ekspert posługuję się na co dzień [wiedza jest w dokumentach, bez nich żaden ekspert nie wydaje żadnej opinii]. A już tym bardziej żaden rozumny ekspert nie wyda opinii na podstawie internetowych ocen osób będących stronami. Jeżeli zostałbym powołany przez Sąd i dostałbym stosowne dokumenty, to z pewnością jako biegły potrafiłbym odpowiedzieć na to pytanie. Jeżeli tommy zapytałby jakie certyfikaty posiadają karty ELS Unicard – odpowiedziałbym CC EAL 4+ i życzyłbym aby wszystkie oferowane uczelniom w Polsce karty [te nazywane przez tommy’ego słabe technologicznie] miały tak wysoki certyfikat bezpieczeństwa.
Natomiast informacje do artykułu, na temat kart Unizeto o proponowanym przez ich rozwiązaniu problemu ELS czerpałem z rozmowy z członkiem zarządu tej firmy, ale nie rozmawialiśmy na temat kart Java, bo nikt z nas nie miał na temat wątpliwości, że nie jest to optymalne rozwiązanie [osobiście od początku kontestuje to rozwiązanie].

Reasumując z niecierpliwością oczekuję obiecanych „nieścisłości” w moim artykule na których rozpatrzenie mam nadzieję czas już nadszedł…. oczekuję również dalszej konstruktywnej polemiki. Chciałbym jednak aby odnosiła się ona do mojego tekstu powyżej a nie była dyskusją tego co pewien pan powiedział innemu panu rok temu na Patriarszych Prudach.

Pozdrawiam
JacekB

Nożyce odpowiadają

Widzę, że za sprawą ELS robi się gorąco. Szkoda że tak się nie działo dwa lata temu wstecz kiedy ELS miała być li tylko kartą z układem Mifare. Szkoda, że taka dyskusja nie odbywała się w pażdzierniku-listopadzie 2005 roku kiedy Uczelnie zaczęły zastanawiać się ja wprowadzić ELS mającą kosztować 3x więcej niż dotychczasowe kartoniki legitymacyjne. Szkoda, że nie by Cię kiedy spotykaliśmy się w Poznaniu (25.11.2005) w sprawie wdrożenia ELS (konkurencja była, ale dyskutować nie chciała).

Odpowiedź na pytanie

A już się przymierzałem do sparowania tez stawianych w Twoim artykule kolego Jacku. Wystarcza mi jednak to, co napisałeś na końcu komentarza, na który odpisuję. Wypowiadasz się w sprawie i stawiasz tezy, polemizujesz.
Oferty obu firm jednak porównywałeś. Piszesz też, że z przedstawicielem UNIZETO nie rozmawiałeś o kartach z maszyną wirtualną Java. W takim razie jaki ma system operacyjny?

Przyznajesz jednocześnie, że nie wiesz jaką kartę oferuje UNIZETO i bagatelizujesz kwestię certyfikatu. OK -rozumiem, że odpowiedzi nie ma i nie ma zatem podstaw do dalszej polemiki.

Nieścisłości

Jeśli chodzi o nieścisłości to na przykład wypowiadasz się nie znając być może wszystkich ustaleń jakie pojawiły się w negocjacjach (np. w kwestii oprogramowania). To samo mógłbym powiedzieć o kwestiach dotyczących PKI. Pisałem o tym z resztą. ELS to kapitalna szansa m.in. sprowokowanie czegoś, czego nie można było w żaden sposób osiagnąć od kilku lat - na zunifikowanie formatu certyfikatu ("ksades") - co resztą podjęły polskie CA w sierpniu ub. roku. To również potwierdzona deklaracjami zgoda na zasilenie "obcych" dla CA bezpiecznych kart certyfikatem kwalifikowanym za cenę ok. 20,00 PLN. To nie fantastyka tylko real. Nawiasem mówiąc tylko UNIZETO nie odpowiedziało na kilka naszych pisemnie kierowanych pytań w tej sprawie. Jest oczywiste ponad wszelką wątpliwość, że nikt przy zdrowych zmysłach nie namawiałby studentów na certyfikaty nawet "tylko" za ok. 50 PLN w promocji.

Certyfikaty

Certyfikaty tajemnicą firmy? Uważam, że w interesie kogoś, kto chce mi sprzedać kartę elektroniczną jest, aby certyfikat bezpieczeństwa dla kart nie był tajemnicą handlową. Wręcz przeciwnie. gdyby jednak miałaby to być tajemnica, to mam przyjąć na wiarę, że karta ma taki certyfikat, a potem rwać włosy z głowy, bo nikt tej karty nie chce uznać za bezpieczną? Odważyłbyś się na to? Zechciej więc proszę stanąć jako biegły i ocenić dokumenty przedkładane w sprawie.

SIWZ

Zły SIWZ? W pierwszym przetargu za dokładny, w drugim niespójny? Robiony pod jednego oferenta? W takim razie dlaczego mamy dwie oferty w doskonałej cenie na karty spełniające parametry techniczne poza brakiem jednego certyfikatu? Nadto bardzo mi schlebia przypisywanie autorstwa tej specyfikacji, ale jest to laur niezasłużony.

Wydumana karta?

A na przykład zgodność z Global Platform to wydumanie? Może warto zajrzeć na site tego porozumienia i zobaczyć dla ilu kart ich producenci deklarują taką zgodność. Wymaganie ISO 7816-8/9 to też lipa? A może Mifare to kit?

[Dopisek z 14.03.2007]
To tylko wybrane dla ilustracji przykłady wymagań - podkreślam jeszcze raz. Proszę się więc ich nie czepiać indywidualnie, bo są wyłuskane z kontekstu. Całą specyfikację wymagań zawiera oczywiście SIWZ, ale bez wskazania na Global Platform.

Orzeczenie Sądu

Sad oddalił skargę Politechniki, ponieważ uznał, że nie posiada kompetencji do rozstrzygnięcia sprawy. Nakazał też powrót do oceny ofert, a jeśli karta UNIZETO nie będzie spełniać warunków z SIWZ, to przetarg należy unieważnić.

Dawne spotkania

Przebieg spotkania mniej-więcej był taki jak piszesz z drobnym wyjątkiem - dyskusja wcale nie była taka niemrawa, a spotkanie dotyczyło nie tylko propozycji ELS Unicardu, ale i innej sprawy między naszymi firmami. Za spóźnienie się natomiast wytłumaczyłem. Co zaś się tyczy wypowiadania lub nie, to jak nie mam nic do powiedzenia to nie mówię. No i oczywiście nie byłem jedynym i nie najważniejszym uczestnikiem spotkania z naszej strony - to zaznaczam, żeby nie było wątpliwości.

Co do kontaktu w czasie trwania przetargu, to nie dziwi mnie, że o tym nie wspominasz. Na tym jednak koniec uszczypliwości i komentarzy do nich.

tommy
_____ http://www.put.poznan.pl/~tommy

"No i tu warto przypomnieć

kravietz's picture

No i tu warto przypomnieć moją tezę, że nikt w Polsce nie chce wprowadzać tego certyfikatu na nieswoje karty bez względu na to, czy karty mają stosowne certyfikaty bezpieczeństwa czy nie

Nie bardzo rozumiem ten fragment - jak mogą nie chcieć skoro wszystkie trzy mają w polityce certyfikacji zapis, że jedną z możliwych metod wygenerowania certyfikatu kwalifikowanego jest dostarczenie przez klienta pliku PKCS#11 (CSR) z kluczem publicznym wygenerowanym na własnej karcie klienta?

Tak to prawda, ale...

Dziękuję kravietzowi za komentarze stanowiące wyzwania techniczne! Miło mi, że ktoś przeczytał ten [przydługawy] tekst i znalezł w nim tematy do dyskusji, a nie tylko kanwę do tego by grać swoją zgraną płytę. Ale ad rem. Jak już pisałem diabeł zawsze tkwi w szczegółach. Nie jestem ekspertem od wydawania certyfikatów PKI, ale zapewne kravietzowi chodziło o standard PKCS#10 i CRS [Certificatin Request Syntax] czyli standard w jakim mozna przynieść do CA swój klucz publiczny w celu uzyskania certyfikatu. Otóż praktyka jest taka, że o ile tak to rzeczywiście napisali w polityce certyfikacji [nie sprawdzałem], to mieli zapewne na myśli certyfikaty niekwalifikowane. W przypadku certyfikatów kwalifikowanych jako że "Ustawa o popisie..;-)" jest delikatnie mówiąc nieścisła, polskie CA interpretują ja zachowaczo i nie dają takiej możliwości, co można obronić polityką bezpieczeństwa całego systemu. Ot, tak to sobie zinterpretowali i mnie nie udało się ich namówić na wgranie certyfikatu kwalifikowanego do mojego testowego Poznańskiego Omnibusa... Nawet nie chcieli się dowiedzieć jakie certyfikaty i na co Omnibus ma, a jakich nie ma... Nie i koniec dyskusji. Dlatego tak też napisałem. Szkoda tylko, że nie zrobił tego wcześniej niż ja niejaki tommy, zanim zaczął się bić o wspaniałość tej karty z całym Światem...

pozdrawiam
JAcekB

Certyfikat na Omnibusie

Nie pisałem, fakt. Jak najbardziej się jednak to udało. Potwierdzone przez dwa z trzech CA. Napisz więc, kto odmówił takiego wgrywania (z przyczyn technicznych czy innych?).

Zachowawczość CA jest artykułowana przez nie m.in. przez "zamkniętość" kart PKI czyli groźbę utraty jej ważności dla PKI po "dograniu" do karty otrzymanej od CA kolejnego apletu czy aplikacji. Uznanie karty za składnik komponentu technicznego zależy tylko od decyzji CA, które interpretuje to całościowo - karta z określonym zestawem uaktywnionych apletów lub aplikacji. Certyfikaty bezpieczeństwa dla PKI dotyczą natomiast tylko określonej konfiguracji systemu operacyjnego i apletu/aplikacji PKI.

tommy
_____ http://www.put.poznan.pl/~tommy

Komponent programowy

kravietz's picture

Niedawno pisałem dla jednej firmy analizę prawno-techniczną bo mieli dokładnie ten sam problem, że CA kwestionował ich rozwiązanie bo doinstalowali na karcie applet. Z analizy opartej na polskich przepisach oraz interpretacjach z CWA wynikało, że doinstalowanie appletu nie stanowi integralnej części SSCD tylko może być traktowany jako komponent programowy, więc nie musi sam mieć certyfikatu, wystarczy deklaracja zgodności.

Tommy na celowniku...

Musiałem sobie kilka dni odpocząć bo nie mogłem pozbierać się po lekturze powyższej odpowiedzi tommy’ego. Nie tyle zaskoczył mnie nowy ton wypowiedzi pana Tomka, z którego wynika, że zyskałem nowego przyjaciela w Poznaniu, co fakt, że ja wywaliłem artykuł na 8 stron a tu, zamiast zapowiadanej merytorycznej repliki przyszła jednostronicowa odpowiedz – typowa akademicka polemika, która na żadne z moich pytań rzetelnie nie odpowiada! Trochę mi z tego powodu smutno ale nie tracąc nadziei, wracam więc do stawiania trudnych pytań, bo ciągle liczę na to, że albo ja się mylę i czegoś tu nie wiem, albo naprawdę jest tak źle jak mi się to wydaje, i tommy się przałamie się powie prawdę i przyznając mi rację. Nie mogę sobie dłużej pozwalać na nurtujące i nie dające mi spać po nocach pytanie retoryczne, co zrobią sobie te uczelnie które za namową Politechniki Poznańskiej [oraz samego tommego] kupiły już ładnych kilkadziesiąt tysięcy teoretycznie super kart firmy Gemplus, a teraz nie mając do nich softu się z nimi męczą…

I na przymiarkach zostało…
"A już się przymierzałem do sparowania tez stawianych w Twoim artykule kolego Jacku…."
Napisał kilka dni temu tommy… Bardzo szkoda, że na przymiarkach na razie się skończyło, ale ja na przymiarkach nie pozostanę…
Wróćmy więc z najistotniejszymi pytaniami do tego problemu od…
Od początku moich kontaktów w sprawie ELS (byłem doradcą Związku Banków Polskich w tej sprawie) proponuję natywną kartę procesorową, czy nawet kiedyś na samym początku tylko sprytnie upakowaną kartę bezstykową [Mifare]. Znów chyba kolega tommy nie dokładnie przeczytał mój poprzedni artykuł. Napisałem tam o standardowej karcie oferowanej przez Unizeto jako wystawcy certyfikatów [CA], która oczywiście nie jest kartą javową tylko natywną. Cyt „Firma ta zaoferowała natywną kartę w której zarówno aplikacja ELS jak i aplikacja przygotowana do PKI, jak deklaruje firma, w cenie karty! „ Karty javowe są zbyt wolne i za drogie (doliczając dodatkowy software) i żadne CA w Polsce ich praktycznie nie oferuje. Unizeto zrobiło specjalną ofertę dla PP, na karty Javowe, ale nie jest to ich codzienny produkt.

Nieścisłości i certyfikaty
Tommy ciągle pisze o kapitalnych szansach i możliwościach technologicznych Poznańskich Omnibusów, a ja uważam, że to są bajki o żelaznym wilku. Pytałem już na Vagla.pl w pierwszym swoim tekście, teraz znów pytam wprost – czy ktokolwiek z PP sprawdził realne możliwości wykorzystania tych „szans” na kartach „GemExpresso” na które PP namówiła już pół Polski? Tommy pisze o realu, widać mamy różne reale. Mój Real to rozmowa z Panem Andrzejem Rucińskim wiceprezesem Unizeto oraz Panem Januszem Szymańskim z Biura Obsługi Klienta KIR – czyli dwóch czołowych wystawców certyfikatów kwalifikowanych w Polsce. Obaj panowie, z konkurencyjnych między sobą firm, odpowiedzieli mi jednoznacznie to samo – nie ma możliwości przyjścia do nich z kartą GemEXpresso i załadowania u nich certyfikatów. Może istnieje jakaś rzeczywistość równoległa, jakiś Poznański Matrix, w której tommy może załadować w trzech CA, a ja nie. Występowałem przecież jako student któremu dano taką kartę – a o to chyba chodziło… Bo jak nie to po co studenci dostali karty "PKI ready"?
Co więcej, wszyscy fachowcy są zgodni co do faktu, że aby taki certyfikat załadować, to trzeba będzie kupić do tych kart software [middleware] a koszt tego nie wiadomo kto ma pokryć. A to co najmniej kilkadziesiąt (bliżej 100) zł na każdą kartę (oczywiście plus Certyfikat!), i coraz bardziej mi się wydaje, że GemSafe1 w ogóle nie nadaje się do tego, ale jako że karty ELS są zamknięte w części PKI nie mogę tego sprawdzić.

Certyfikaty.
Nie znam tego co oferuje w przetargu na milion kart ELS Unizeto, zmuszony wyzywającymi wypowiedziami tommego zapoznałem się z kartą GemExpresso. Zanim tommy zacznie sobie „rwać włosy z głowy, czy ktoś uzna którąś z kart ELS za bezpieczną”, może lepiej by było porozmawiać z którymś z CA, czy będzie on chciał nagrać na nią swoje certyfikaty bo poważnie powątpiewam czy ktoś z PP to zrobił! A Politechnika pisemnie polecała Uczelniom w Polsce zakupy tych kart! Nie wierzę, że tego nikt nie sprawdził, błagam powiedzcie, że jest w tej sprawie jakieś tajne porozumienie, a ja jestem jak tabaka w rogu, bo jestem gotów pomyśleć, że znów działamy jak w okresie późnego Gierka, i ktoś nakazł a inni to zrobili tylko nikt nie sprawdził czy to ma sens! Ale że tommy nie konsekwentnie nie odpowiada na moje pytania tylko filozofuje, widzę że muszę zacząć zadawać mu pytania wprost a nadto numerować je tak, bym widział na które pytanie tommy mi odpowiada [a na które dyplomatycznie zapomniał..] bo inaczej nie dowiemy się prawdy o Poznańskim Omnibusie ELS.
Stawiam więc pytanie P1 – Czy jest możliwe załadowanie certyfikatu kwalifikowanego na kartę ELS z chipem GemExpresso ? Jeżeli tak to u którego z Polskich CA można zrobić i za ile ? Na kogo można się powołać ?

SIWZ przetargu na milion kart
SIWZ od początku był moim zdaniem zły i ustawiony pod jednego oferenta ale pisałem o tym i sam dla siebie robię się tym twierdzeniem nudny. Potwierdził to kilka dni temu Sąd Okręgowy w Poznaniu w którym Politechnika tommy’ego dostała wyrok, gdzie oddalił on skargę PP, uznając właśnie, że wymóg SIWZ dotyczył certyfikacji platformy sprzętowej a więc hardware [wszyscy czekamy na uzasadnienie]! a nie całej kary jak to fachowcy z PP zaczęli sobie w czasie przetargu interpretować (na korzyść Gemplus). Czyli moja teza z dużego artykułu powyżej, że PP chciała dla całej Polski kupić za 10 milionów złotych milion kart bez oprogramowania jest chyba prawdziwa! Wiadomo wszem i wobec, że w chwili ogłoszenia tego przetargu tylko firma GEMPLUS posiadała certyfikaty na wszystko co zapisała w swoim SIWZ PP. Przypadek ? Jak pisałem [ale nie wiem czy tommy doczytał], firma Unizeto według mnie przybrała ścieżkę udowodnienia, że SIWZ był zły [lub nieudolnie ustawiony pod jedną firmę] i dlatego wygrała trzy razy w UZP a teraz w sądzie. Twierdzenie, że to spisek aby rozwalić porozumienie 69 uczelni, to mydlenie oczu, by nie powiedzieć prawdy o całej tej aferze. Bo jak można inaczej nazwać FAKT zakupu ponad 100.000 kart ELS przez Polskie uczenie, w większości bez przetargów, i bez koniecznego oprogramowania?
Stawiam więc tommy’emu pytanie P2. Czy do kart ELS typu GemExpresso jest dostępne dla Polskich Uczelni oprogramowanie do certyfikatów PKI tj. GemSafe Library 1 i 2 za darmo? Jeżeli tak to gdzie je można odebrać, bo Szkoły mnie o to pytają.

Wydumana karta!
Zgodność z Global Platform to właśnie wydumanie. Co z tego, że Pozański Omnibus posiada zgodność z Global Platform skoro nie jest to nigdzie wykorzystywane ? Spytam wprost (niech będzie to Pytanie P4)– który z czytników kart używanych przez PP (proszę podać typ i producenta hardware/sofware) komunikuje się z kartą ELS wykorzystując mechanizmy dwustronnego uwierzytelnienia/spójności/poufności zgodne z GP? Jeżeli żaden, i nie jest to wykorzystywane, to pytam po co zgodność kart z Global Platform? Na tej zasadzie można by jeszcze zrobić badania na kilka innych zgodności i podać je do SIWZ… (może to kogoś uwali..)
A co do zgodności, to zgodność z ISO 7816 miała być według SIWZ pełna a nie tylko części 8 i 9. A to co zostało dostarczone nie jest moim zdaniem w 100 % kompatybilne z tą normą. W związku z tym stawiam (pytanie P5). Czy karta ELS na bazie GemExpresso jest w pełni zgodna z normą ISO 7816 [jak to wymagał SIWZ] ?

Orzeczenie Sądu
„Sad oddalił skargę Politechniki, ponieważ uznał, że nie posiada kompetencji do rozstrzygnięcia sprawy.”
Nie mogę się z tym zgodzić. Od wielu lat jestem biegłym sądowym i nie spotkałem się z precedensem by sąd wydał wyrok bo nie posiadał kompetencji. Sąd nie musi się na wszystkim znać, po to są właśnie biegli sądowi, których powołuje w takim przypadku. Zapytane przeze mnie środowisko prawnicze już twierdzi, że wyrok Sądu był świadomy (a nie jak sugerował powyżej tommy), ponieważ Zespół Sędziowski prawdopodobnie uznał, że przetarg był na hardware i na to certyfikaty Unizeto ponoć ma. Proponuję aby tommy opublikował uzasadnienie wyroku (lubi przecieć robić PDF-iki) wtedy wszyscy zobaczymy.

O dawnych spotkaniach nie chcę pisać, bo żałuję że nie byłem bardziej zdecydowany w przekładaniu pracownikom PP do głowy, że robią błąd upierając się przy karcie z ograniczoną do kart wersja Javy i dalej podtrzymuję to stanowisko. Wirtualna maszyna Java w wersji do kart ma więcej ograniczeń niż możliwości, a jej problem z brakiem możliwości czyszczenia pamięci jest powszechnie znany. Jest gdzieś w sieci bardzo dobry artykuł pracowników Politechniki Warszawskiej na ten temat. Każdy kto jest w temacie o tym wie i nie ma co tego dyskutować.
Pozostaje ostatnie najważniejsze pytanie. Jak Politechnika Poznańska i jej pracownicy – w tym tommy – mają zamiar uzasadnić fakt, że co najmniej kilkanaście Uczelni w Polsce zakupiło najwolniejsze na Świecie karty ELS i teraz ma problemy z ich oprogramowaniem. Tommy po czterech przegranych w UZP i Sądzie Powszechnym – po narażaniu PP na wydatek co najmniej kilkudziesięciu tysięcy złotych na firmę prawniczą reprezentującą PP, mówi :
No i unieważnienie przetargu wydaje się najrozsądniejsze.
Stawiam więc pytanie 6. Czy tommy ma zamiar powiedzieć wreszcie prawdę o kartach ELS typu GemExpresso – albo udowodnić mi że się mylę twierdząc, że działają wolniej niż karty natywne i nie ma w nich dostępu do niczego poza natywnym systemem MPOS?. Myślę – a nawet wiem, – że jest w Polsce kilka uczelni które zadają sobie to pytanie i ja niestety nie mogę im rozsądnie odpowiedzieć (karty są zaknięte, bo nie ma do nich softu poza emulacją natywnego systemu MPCOS). Pracownicy tych Uczelni czekają na rzetelne obalenie moich twierdzeń na ten temat, i myślę, że nadszedł na to najwyższy czas by zrobili to ludzie którzy ten przetarg zainicjowali i zorganizowali. Inaczej będzie mi lub im wypadało uznać, że to jest wielki skandal. Za nasze pieniądze.

czekam na odpowiedzi na Vagle.pl
Pozdrawiam tommy’ego.

PS tommy w pierwszej odpowiedzi na mój artykuł zarzucił złą jakość kart ELS Unicard. Pytanie 7 –pracownicy jakiej to uczelni powiedzieli tommy’emu, że Unicard dostarcza karty złej jakości. Uważam że nie można tego tak zostawić i proszę o wyjaśnienie.

Odpowiedzi...

Wyrok Sądu można odsłuchać (adres podawałem). Odpisem pisemnym podeprzeć się nie można, bo do wczoraj 07.03.200) odpis do Poznania on nie dotarł (jest już po terminie).

tommy
_____ http://www.put.poznan.pl/~tommy

Spóźniony triumf Sophi...

Wyrok sądu już nie potrzebny. Politechnika Poznańska ogłosiła dziś "Uniważnienie prowadzonego postępowania"* czyli zakończenie kompletnie nie przemyślanej próby zakupu miliona kart GemExpresso [zwanych powyżej "Poznańskimi Omnibusami"] dla polskich uczelni.. Może i w PP ktoś wreszcie zaczął zastanawiać się jak ma się virtualna rzeczywsitość tommy'ego do przedstawianego w moich postach realu ?
Szkoda tylko że dzięki namowom Politechniki Poznańskiej ok 200.000 sztuk tej pseudo "super technologii" trafiło do rąk uczelni, które utrzymywane od kilku miesiecy w przekonaniu, że rozstrzygnięcie "poznańskiego" przetargu to kwestia najbliższych tygodni, nabrały się na tego Omni-kota w worku. Dziwną sprawą - karty w tej technologii jest w stanie oprogramowywać w Polsce tylko jedna firma... Może od początku o to chodziło?
Gratuluję pomysłu.

pozdrawiam serdecznie
Jacek Biskupski

PS Czekam nadal na odpowiedzi na pytania P1-P6 zadane tommy'emu.

* - dla zaprzyjaźnionych z Vagla.pl służe kopią:-)

spór sporem, ale...

VaGla's picture

Spór może istnieć, ale nie chciałbym prosić dyskutantów o powstrzymywanie się od wycieczek osobistych, "krótkich piłek", uwag "uszczypliwych", jawnego "tryumfu", etc. które w świecie dyskusji merytorycznej są w pewien sposób "nie na miejscu". Stawiałoby mnie to w niezręcznej sytuacji. To serwis głównie o prawie, nie zaś głównie o modelach biznesowych. Prosiłbym o branie pod uwagę tych akcentów w dyskusji.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Triumf Temidy

No cóż racja. Na wytłumaczenie mam tylko tyle, że ucieszyło mnie zwycięstwo podejścia racjonalnego nad mglistym wizjonerstwem i szczerze ucieszyłem się perspektywą, że może raz choć Polak przed szkodą mądry. Nie mniej jednak powinienien na Vagla.pl bardziej zwracać uwagę na racje Temidy niż Sophi;-)
OK zadzam się i przepraszam Vagla.pl

pozdrawiam
Jacek

PS szkoda tylko, że tommy tak zamilkł... może pojechał na wakacje ?

Mglisty wizjoner zachowuje czujność i nie odpuszcza >:-D

Zaiste dziwny to triumf kiedy Temida przywołana po to, żeby spór rozsądzić, tego nie robi. Żadnym rozsądzeniem nie jest bowiem stwierdzenie braku kompetencji i nakazanie powrotu do oceny ofert lub unieważnienie postępowania. Iście salomonowy wyrok. Jeszcze raz polecam odsłuchanie sentencji wyroku.

Gratuluje dobrego samopoczucia, bo po roku z okładem "targania się po blankietach" przetarg został unieważniony. Więcej o tej decyzji napiszę w przyszły poniedziałek kiedy decyzja się uprawomocni i nie będzie dalszych obstrukcji.

P.S. Bardzom ciekaw czwartkowej (15.03.2007, Polonia Palace Hotel) dyskusji o kartach miejskich.

tommy
_____ http://www.put.poznan.pl/~tommy

Znów zapraszam tommy'go do dyskusji...

W czwartek w Polonia Palace będę zasiadał jako jeden z panelistów. Zapraszam tommy'ego do posłuchania jakie są realia kart miejskich i jak się to ma do uprawianego przez niektóre uczelnie "wizjonerstwa". Swoją drogą ciekaw jestem czy w Poznaniu Omnibusy działają w komunikacji miejskiej?
Czekam również na odpowiedzi tommy'go na moje pytania P1-P7 postawione ładnych już kilka dni temu:-(, mam nadzieję że uprawomocnienie sentencji wyroku w sprawie przetargu nie ma wpływu na odpowiedzi na pytania techniczne...

pozdrawiam
JacekB

Dyskusja się odbyła i to

Dyskusja się odbyła i to nader ciekawa. Szkoda tylko, że tak krótka. Słuchać jej bynajmniej nie musiałem, bo przywołano mnie na krzesło w panelu "ekspertów" czego jako żywo się nie spodziewałem.

Co do realiów kart miejskich to widać ponad wszelką wątpliwość, że muszą one być wieloaplikacyjne i muszą posiadać zaawansowane możliwości - takie jak poznański omnibus. Owo "wizjonerstwo" uczelni jest tu więc jak najbardziej uzasadnione. Nie przesądza to jednak, że musi to być karta z maszyną wirtualną Java czy natywna. Jeśli obie oferują pożądaną funkcjonalność, to obie są równo dobre. Bardzo źle natomiast rokują jednak kontakty z Bankami, które z uporem wciskają nam swoje kolejne "produkty", a jak już mówią o kartach procesorowych, to widzą tylko EMV. Ten fragment dyskusji wzbudził największe emocje.

ELS w poznańskiej komunikacji miejskiej

Legitymacje studenckie wydawane w Poznaniu są wyposażane w bilet komunikacji miejskiej (KOMKARTA). Legitymacja, którą student otrzymuje jest gotowa do użycia jako nośnik biletu - wystarczy pójść do pierwszego lepszego punktu sprzedaży biletów. Aktualnie rozpoczęliśmy fazę ograniczonego pilotażu w celu dopracowania procedur organizacyjnych. To co nas odróżnia od innych miast to jednoprzebiegowa realizacja procesu personalizacji ELS obejmująca również integrowaną w niej KOMKARTę. "Nasze" ELS nie opuszczają "naszego" centrum personalizacji.

Pytania

Coś mi się wydaje, że byłem pierwszy zadając to jedno zasadnicze pytanie, bo o to szedł spór. Jeśli mówimy natomiast o unieważnieniu przetargu, to oczywiście nie ma ono żadnego wpływu na dyskusję w kwestiach technicznych.

Na Moje odpowiedzi trzeba będzie chyba jednak jeszcze poczekać chociaż de facto nie czuję się do nich zobligowany nie otrzymując pierwej tej, o którą prosiłem.

tommy
_____ http://www.put.poznan.pl/~tommy

Przerost formy nad treścią

Typowe zachowanie dla środowiska akademicko - naukowego. Zero związku z rzeczywistością. Przerost formy nad treścią i wydawanie lekką ręką publicznych pieniędzy. Publicznych czyli także i moich które płacę jako podatnik.
Cel tego wydatku nie ma charakteru badawczego tylko utylitarny więc może skala wydatkowanych środków także będzie podyktowana utylitarnością. To tylko legitymacja! Nie karta płatnicza, dowód osobisty, prawo jazdy i narzędzie płatnicze w jednym. Przecież prościej jest zwiększyć funkcjonalność karty gdy pojawią się ku temu warunki niż płacić za coś czego nie ma.

Dziękuję że ktoś wreszcie to zauważył...

Nic dodać nic ując. Dokładnie tak samo to widzę. Zróbmy ELS jako legitymację a potem zastanówmy się co jeszcze możemy na niej zrobić i zróbmy to [nastepnym studentom] szerzej. Inaczej to wyrzucanie w błoto Państwowych [a więc i częściowo moich wpłat podatkowych] pieniędzy. Tak to ma miejsce dziś. Ponad 100.000 studentów dostało legitymacje, z systemem Java, a teraz PP zastanawia się [i to bardzo wolno] co by tu na nich zrobić. Zdecydowana większość tych studentów skończy studia zanim coś się będzie dało na ich kartach w rozsądnej skali zrobić. Jezeli tak się to stanie to moim zdaniem jest to skandal. Kto za to odpowiada ?

pzodrawiam i dziękuję za wypowiedz
JacekB

Nie, to projekt z głową

Typową to jest argumentacja udowadniająca wyższość myślenia doraźnego. W negocjacjach jakie prowadziliśmy w sprawie przetargu na ELS usiłowano nas wtłoczyć w ramy, które odpowiadają dostawcom. Wmawiano nam dokładnie to, co podnosi Obserwator.

Odnosząc sie jednak wprost do argumentu o marnotrawstwie publicznych pieniędzy, to wystarczy porównać cenę tradycyjnej legitymacji (tzw. "kartonik") czyli 5 zł z ceną ELS, którą wyznaczono na złotych 17. Skoro Obserwator tak grzmi o naciąganiu podatników to intryguje mnie jak uzasadniłby studentom konieczność zapłacenia ponad 3x więcej na nowy "plastikowy kartonik", który byłby tylko legitymacją bez dodatkowych funkcji???

Co zaś się tyczy zwiększania funkcjonalności kart w czasie ich eksploatacji, to oczywiście można to przeprowadzić. Warunkiem sukcesu jest jednak wybór na początku odpowiednio "silnej" technicznie karty, która będzie zdolna takie rozszerzanie w przyszłości zaakceptować (pomijając oczywiście kwestie organizacyjne i logistyczne takiego procesu rozszerzania). Wybór prostej karty, która ma być tylko legitymacją takie rozszerzanie wyklucza.

tommy
_____ http://www.put.poznan.pl/~tommy

Dlaczego akurat Kraków

Już dziś w Krakowie (od listopada 2006) studenci WSZiB poruszają się komunikacją miejska bez żadnych problemów stosując swoje legitymacje studenckie zaprogramowane w punktach sprzedaży biletów MPK, co więcej fakt wykupienia przez nich biletu okresowego jest odnotowany i kontrolowany przez kontrolerów MPK przenośnymi czytnikami kart MIFARE. Ale Kraków ma po temu niezbędną infrastrukturę.

Czy nie lepszy byłby przykład Warszawy, gdzie studenci wszystkich liczących się uczelni (Uniwersytetu Warszawskiego, Politechniki Warszawskiej, Akademii Medycznej, Szkoły Głównej Handlowej, Szkoły Głównej Gospodarstwa Wiesjkiego - źródło: http://www.ztm.waw.pl/els.php) mogą używać swoich kart jako biletów, i to od momentu ich otrzymania na początku roku akademickiego (tj. września 2006)?

Bo Kraków był pierwszy...

Moja wypowiedź - "już dziś w Krakowie" wynikała z prostego faktu, że Kraków był pierwszym miastem w Polsce, a WSZiB pierwszą uczelnią, gdzie karty ELS zaczęły FAKTYCZNIE funkcjonować w systemie komunikacji miejskej. Problem z Wawą polegał na tym, że firma Gemplus spóźniła się z dostawą o kilka miesięcy i powtało opóźnienie. Kiedy zaczęły działać karty dostarczone do Wawy przez Unicard (UW,PW) wiem dobrze bo mam przyjemność pracować w tej firmie (a było to już po wdrożeniu kart w MPK w Krakowie). Od tego czasu wiele kart szkół wyższych w tych dwóch miastach funkcjonuje w systemach komunikacji miejskiej.
Nie mam danych na dzień dzisiejszy, ale zainteresowanym zalecałbym sprawdzenie czy wszystkie wymienione szkoły wydały karty i działają one w ZTM w Wawie. W KRakowie, ze względu na "super kodownanie Omibusów ELS" (nawet w części Miafare'owej) powstało spore opóźnienie w ich wydawaniu i UJ czy AGH zaczęły to robić dopiero w tym miesiącu.

pozdrawiam
JacekB

Tylko bez lania wody

O jakimż to spec-kodowaniu piszesz?
Nie pleć andronów. Mifare jest Mifare.

Poza tym spore partie Omnibusów dotarły do kilkudziesieciu uczelni już w lipcu/sierpniu/wrześniu 2006. Zamawiano tak karty natywne jak z Javą. Łącznie zakupiły ich prawie 200 tys.

tommy
_____ http://www.put.poznan.pl/~tommy

Nie musze lać wody, znam fakty...

No cóż, polecamy ale nie wiemy chyba co..
1. Wszystkie karty ELS Omnibus które dotarły do Krakowa mają zamiast zwykłych kluczy transportowych klucze szyfrowane i wyliczane jakimś silnym algorytmem symetrycznym, który jest łaskawie udostępniany wybranym uczelniom (znam uczelnie które czakały wiele tygodni by uzyskać tą informację). Teraz trzeba to przerabiać z Polsakiego na nasze, bo żadne MPK czy MZK nie używa tak silnego kodowania do kluczy transportowych jak mają ELS Gemplusa (nikt tak nie robi bo to nie ma sensu). Wygląda mi to raczej na, nie udaną, próbę zabezpieczenia sobie jedynej możliwości kodowania tych kart, ale pod presją uczelni, trzeba to było w końcu udostępnić.. Problem w tym, że do odkodowania trzeba znów software, tym razem na PC, który to trzeba zrobić lub mieć i dostarczyć/zainstalować/zapłacić... Wiem, że uczelnie Krakowa muszą teraz zebrać od wszystkich studentów którym wydano kilka miesięcy temu Javowe ELS Gemplusa, po to by je przekodować na normalne klucze transportowe, by to pasowało do MPK. Może z perspektywy polecającego to nowoczesne karty wygląda inaczej ale dla mnie to zwykła paranoja...
2. Jeżeli spore partie to kilkadziesiąt kart, to rzeczywiście dotarły. Może tommy poda choć jedną uczelnię, poza PP, któa uzyskała więcej niż 1000 sprawnych kart Gemplusa przed wrześniem 2006 ?
3. Czekam na odpowiedzi na pytania P1-P6.
I wiem że nie tylko ja czekam...
pozdrawiam
JAcekB

Gemalto

Pracowałem z kartą Gemalto Gemxpresso. Jest b.dobra, a przede wszystkim daleko z przodu w porównaniu G&D, ktore ma ofercie Unizeto. Nie trzeba do niej oprogramowania Gemsafe Libraries za 20-30 Euro - po co? Do ELS? - bez sensu. Przede wszystkim - Gemsafe Libraries obsluguja Gemsafe v1 - ktory nie ma certyfikatow i nie jest zgodny z CWA14890.
W gre wiec wchodzi jedynie Gemsafe v2. Do niego mozna łatwo napisac stosowne oprogramowanie (sam nawet napisałem CSP do niego) - i nic nie przeszkadza w tym że jest on do podpisu. Druga jego instancja na karcie może slużyc do ELS.

to jak sie spor rozstrzygnal?

tak a czystej ciekawosci :)

Ciekawe 17 zł za

Ciekawe 17 zł za legitymację? Politechnika Warszawska wołała za nie po 30zł! I to straszny bubel! Wiem, bo posiadam taką, po 3 miesiącach zaczęła się wycierać i to tak, że w chwili obecnej nie widać już zdjęcia!

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>