Jaka karta ELS?

Odnosi się wrażenie, że jak dotąd, na stronach VaGla.pl prezentowano (oraz komentowano) jeden punkt widzenia problemu zakupu 1 miliona Elektronicznych Kart Studenta (ELS). Szereg artykułów i komentarzy ukazywało problem z punktu widzenia rozżalonych pomysłodawców rozwiązania. Istnieje również inny punkt widzenia, reprezentowany przez ludzi, profesjonalnie zajmujących się na co dzień kartami elektronicznymi w Polsce. Niniejszy artykuł jest próbą pokazania drugiej, technologicznej strony problemu przetargu ELS oraz sensowności jego realizowania w założeniach stworzonych przez Politechnikę Poznańską (PP).

Świetny Pomysł zorganizowania dużego przetargu.
Wszyscy intuicyjnie zgodzimy się z faktem, że przeprowadzenie jednego dużego przetargu na cokolwiek co ma być kupione w dużej ilości - szczególnie za państwowe pieniądze, ma sens. Obniżenie kosztów zakupów w dużej skali jest jak najbardziej uzasadnione i każdy zakrzyknie – tylko jeden duży przetarg! Korzystając z takiego logicznego uzasadnienia, np. Narodowy Fundusz Zdrowia kupuje karty plastikowe dla wszystkich swoich oddziałów centralnie, w jednym przetargu. Tak samo działa ZUS czy nie schodzący ostatnio z pierwszych strony gazet Polski Związek Piłki Nożnej, który wystawił ostatnio dla piłkarzy prawie tyle elektronicznych identyfikatorów ze zdjęciem co, do dzisiaj, wszystkie uczelnie ELS w Polsce!

Wszyscy wyżej wspomniani dokonują centralnych zakupów setek tysięcy czy nawet milionów kart plastikowych, rozsyłają je następnie do swoich oddziałów i tam personalizują dla poszczególnych użytkowników. Jest to ekonomicznie uzasadnione i rzeczywiście sprawdza się w większości przypadków wprowadzania identyfikatorów w formie kart plastikowych. Z jednym zastrzeżeniem, należy bowiem zauważyć, że wszyscy identyfikowani (w powyżej wymienionych przypadkach), dostają takie same, identyczne karty, różniące się jedynie danymi odbiorcy - czyli personalizacją a nie zawartością danych i możliwością ich użycia! Praktyka masowej personalizacji kart pokazuje, że gdyby trzeba było przygotować kilka różnych typów kart w ramach tego samego systemu, zastosowanie modelu centralnych zakupów nie byłby ani łatwe ani oczywiste, a w niektórych przypadkach wręcz niemożliwe.

Czy ELS musi być w skali całej Polski, jedną identyczną, super-kartą dla wszystkich?
Otóż zdaniem autora niestety nie. Co prawda ELS to w istocie rzeczy dokument Państwowy w formie karty plastikowej, potwierdzający w trudny do podrobienia sposób, fakt studiowania na wyższej uczelni, ale do realizacji tego zadania starczyłaby karta z prostym mikroprocesorem (jak w Australii ) czy prostym układem bezstykowym (jak na Słowacji). I tak - fakt zastosowania karty plastikowej z układem elektronicznym to wielki postęp, bo dziś dokument ten nadal funkcjonuje jako zwykła papierowa książeczka! Niemniej jednak grupę inicjatorów, którzy zebrali 69 uczelni w Polsce i zaproponowali im wspólny zakup miliona kart ELS - technologia elektronicznych „chipów” zamkniętych w kartach plastikowych skusiła tak dalece, że uważnie śledzącemu zorganizowany przez nich przetarg zdawać by się mogło, że ich wymarzona karta mogła by robić wszystko bez żadnych ograniczeń. Postulują więc „zróbmy na bazie ELS super-kartę”, współczesnego Omnibusa! Już od samego początku gazety krzyczały nagłówkami – „jedna karta do wszystkiego”, „już niedługo studenci jedna kartę w portfelu zastępująca wszystkie inne karty”, „z kartą studenta na zakupy” itp.

O ile prawdą jest, że wykorzystanie takiego dokumentu daje uczelniom zupełnie nowe możliwości, to jednak mówienie o wprowadzeniu od razu wielu aplikacji poza uczelnianych, jest bardzo ryzykowne, by nie powiedzieć nierealne. Posiadanie (lub jej brak!) niezbędnej infrastruktury technicznej w poszczególnych szkołach wyższych, a nawet miastach uniwersyteckich w Polsce będzie wyznaczało praktyczną granicę zastosowań karty ELS poza uczelnią.

Oczywiście jak najbardziej realne są pomysły wykorzystania elektronicznej legitymacji na terenie danej uczelni jako elektronicznej przepustki do kontroli dostępu do budynków, wjeżdżania na parking, a nawet umownego „płacenia” za ksero czy wydruki (ponieważ aplikacje te działają na zamkniętym terenie uczelni). Kreowanie jednak karty multiaplikacyjnej (powodującej konieczność współdziałania kilku podmiotów) bez wcześniejszego precyzyjnego określenia granic tych aplikacji (i to zarówno czasowych jak i geograficznych) pomiędzy nimi jest bardzo ryzykowne. Wyobraźnia podpowiedziała organizatorom przetargu szereg potencjalnych bankowych czy komunikacyjnych zastosowań tej karty, nie wspominając już o karcie jako nośniku klucza prywatnego dla infrastruktury PKI (czyli infrastruktury podpisu cyfrowego).

Powstał trudny do pogodzenia problem – z jednej strony dużych ambicji kupujących, zakładających (teoretycznie słusznie, praktycznie niesłusznie), że kupując milion sztuk ELS dla większości studentów I roku w Polsce, można kupić super nośnik (kartę) za kilkanaście złotych, a następnie rozszerzyć możliwości użytkowania go w dowolną stronę.

Ale życie niestety tak pięknie nie jest. Szczególnie jeżeli weźmiemy pod uwagę fakt, że w niektórych miastach gdzie pojawią się karty ELS nie ma jeszcze systemu biletów komunikacji miejskiej w którym można by korzystać z kart elektronicznych (praktycznie jest to większość miast w Polsce, bo takie systemy działają w 5 miastach) nie wspominając o faktach, że infrastruktura bankowa do czytania kart elektronicznych jest w powijakach, a infrastruktury do korzystania z kart PKI nie ma w Polsce w ogóle! Ktoś oburzony zakrzyknie – ale przecież za kilka lat będzie! No i słusznie, oby się tak stało, ale za 5 lat, kiedy student przestanie już nim być, a legitymacja z takimi możliwościami będzie przysłowiową musztardą po obiedzie. Tyle, że za tą musztardę zarówno student jak i uczelnia będzie musiała zapłacić dziś, i to niestety sporo.

Czy jest więc sens planować dziś ELS jako kartę multiaplikacyjną dla każdego studenta?
Zdaniem autora i tak i nie. Docelowo za kilkanaście lat tak, a teraz jeszcze, zdecydowanie nie. Doświadczenia kilkudziesięciu wdrożeń systemów kart elektronicznych w Polsce nauczyły mnie swoistej pokory. Multiaplikacyjność jest jedną z najczęściej dyskutowanych i najrzadziej realizowanych funkcji kart elektronicznych. Banki (jak np. PKO BP czy Kredyt Bank) wdrażając kilka lat temu swoją elektroniczną kartę VISA EMV miały ogromne ambicje zrobienia na niej również aplikacji lojalnościowych, komunikacyjnych czy nawet wkraczających szturmem na rynek mikropłatności i płatności mobilnych. Wszystko to jednak spełzło na niczym. Proszę spytać użytkowników tych kart, do czego mogą dziś użyć procesora EMV w swojej karcie? Do bankowości i to tylko tam gdzie jest przygotowany do tego terminal.

I tu jest właśnie sedno sprawy. Infrastruktura techniczna nakreśla praktyczne granice zastosowań kart multiaplikacyjnych. Większość projektantów systemów kartowych (nie wykluczając mojej skromnej osoby) popełnia ten sam błąd, zakładając optymistycznie, że karty wymuszą stworzenie infrastruktury. Pisząc 10 lat temu rozprawę doktorską na ten temat płatniczych możliwości zastosowań procesorowych kart multiaplikacyjnych, byłem święcie przekonany, że w roku 2006 większość masowych kart funkcjonujących na świecie będzie multiaplikacyjnych. Pomyliłem się sromotnie, bo tempo wprowadzania infrastruktury rozwlekło ten proces w nieskończoność, i dziś poza praktycznie kilkoma krajami dokonującymi ograniczonych testów nigdzie to masowo nie zadziałało. Dziś osobiście wykazuję wielką pokorę przed tego typu rozwiązaniami, a nawet planami.

To właśnie brak infrastruktury do bezpiecznego odczytu i zapisu różnych obszarów kart procesorowych powoduje, że dziś mamy w portfelu osobną kartę do komunikacji miejskiej, osobną do płatności, osobną do PKI a do tego prawo jazdy i dowód bez układu elektronicznego i jeszcze kilka innych. Oczywiście mogła była być jedna karta, ale na to trzeba będzie poczekać.

Czy można by wszystkie te karty połączyć niedługo w jedną? Osobiście dalej wierzę, że tak, ale wiem już, że wymaga to wiele czasu oraz prowadzenia instalacji pilotażowych, w których będzie można sukcesywnie i skrupulatnie testować pożądaną multipalikacyjność na dwóch, trzech i następnych polach zastosowań, dochodząc po latach do wymarzonego Omnibusa.

Czego potrzebują Polskie Uczelnie dziś?
Moim zdaniem różne uczelnie w Polsce potrzebują różnych kart ELS. Wszyscy potrzebują plastikowej karty ELS w podstawowym zakresie, spełniającą wymogi Rozporządzenia. Ale uczelnie mniejsze oraz te (nawet większe) nie posiadające infrastruktury technicznej do używania wielu aplikacji karty elektronicznych potrzebują prostej karty w wersji „minimum”, bo na nic więcej i tak ich nie będzie stać. Proszę zauważyć, że wprowadzenie na teren uczelni np. infrastruktury do zdalnego dostępu do zasobów szkoły, gdzie można by wykorzystać ELS jako bezpieczny identyfikator, sporo kosztuje a wdrożenie takiego systemu trwa nawet do kilku lat!

Po co wiec kupować dziś drogą kartę, której to możliwości i tak student nie wykorzysta w okresie swoich studiów? Może lepiej kupić kartę „podstawową” a resztę środków wydać na rozwój niezbędnej infrastruktury? I jak pokazuje pierwsze 5 miesięcy wdrożenia ELS, więcej niż połowa szkół decyduje się na takie - sensowne - rozwiązanie. Opcja minimum (czyli prosta karta procesorowa z dodatkowym układem Mifare) i jednoczesny rozwój infrastruktury technicznej wydaje się dziś najbardziej racjonalnym kierunkiem. Alternatywne wydawanie ogromnych pieniędzy na „karty Omnibusy”, których i tak nie ma gdzie odczytać, być może zaspokoi ambicje niektórych pracowników uczelni, ale stopień wykorzystania tych kart będzie znikomy. Zrozumiały ten fakt, już na początkowym etapie tego nieszczęsnego przetargu na milion kart, ELS zarówno duże Uniwersytety jak Uniwersytet Warszawski czy małe szkoły jak WSZiE w Rzeszowie, szanujące swoje ograniczone zasoby finansowe. Zdecydowały się one na wdrożenie prostej karty i dziś się z tego słusznie cieszą.

Jakie są więc granice możliwości Multiaplikacyjności ELS poza uczelnią?
Teoretycznie ogromne, bo można przecież oddzielić fizycznie (bądź logicznie) poszczególne aplikacje od siebie. Najlepiej więc byłoby zakupić taką kartę, która pozwoli na stopniowe ich wdrażanie w realnym czasie jej życia, i możliwości takie nie zależą wcale od natywnego czy pozornie otwartego systemu operacyjnego (jak Java-Jacob), tylko od sprawności i wyobraźni programującego. Podział taki jest banalny na papierze, niestety bardzo trudny w realizacji, o czym pozwolę sobie napisać więcej za chwilę.

Podziału takiego można bowiem dokonywać fizycznie (jestem wielkim zwolennikiem takiej opcji) czyli np. stosować oddzielny układ bezstykowy i oddzielny układ stykowy. Taki układ udało się dosłownie „przeforsować” w Rozporządzeniu i jest to jedyna dobra strona (technicznie) tego dokumentu. Praktyka pokazała, że fizyczne oddzielenie ELS od układu bezstykowego – i zaproponowanie go np. komunikacji miejskiej jako nośnika dla biletów okresowych to pierwsza i jedyna zewnętrzna aplikacja ELS możliwa do zrobienia od ręki! Już dziś w Krakowie (od listopada 2006) studenci WSZiB poruszają się komunikacją miejska bez żadnych problemów stosując swoje legitymacje studenckie zaprogramowane w punktach sprzedaży biletów MPK, co więcej fakt wykupienia przez nich biletu okresowego jest odnotowany i kontrolowany przez kontrolerów MPK przenośnymi czytnikami kart MIFARE. Ale Kraków ma po temu niezbędną infrastrukturę. Fizyczne oddzielenie jest najbezpieczniejsze, i fakt ten został tu natychmiast wykorzystany. Gdyby ELS był kartą dualną (wspólny procesor dwa interfejsy) - jak to planowano kiedyś w Poznaniu, nie byłoby to takie banalne, i dziś studenci na pewno nie korzystaliby ze swoich legitymacji jako biletów okresowych.

Podstawowym problemem oddzielenia aplikacji w jednej karcie nie jest, jak to niektórzy twierdzą, technologia (natywna czy „otwarta”), tylko odpowiedzialność za integralność i bezpieczeństwo całej karty. Przyjęło się zwyczajowo, że odpowiedzialność taką ponosi „pierwszy personalizujący kartę”. No tak, ale w przypadku ELS, kiedy jest nim Uczelnia, to czy następny chętny do wgrania swojej aplikacji (czyli bank albo CA - instytucja wydająca certyfikaty klucza publicznego) będzie ufała dalej takim kartom? Praktycznie niestety nie. I nie zależy to od certyfikatów karty, tylko kolejności jej personalizacji.

W obu przypadkach (bank i CA) odpowiedzialność za zapisane dane jest tak ogromna, że jeżeli nie będą oni pierwszym personalizującym, to nie powinny już korzystać z tych kart dla swoich aplikacji. Nawet jeżeli ludzie z marketingu tych banku czy CA tak będą twierdzić, to oficerowie odpowiedzialni za bezpieczeństwo ich systemów się na to nie zgodzą. Można dziś zrobić prosty test: pójść do któregokolwiek z polskich CA (PWPW, KIR, Unizeto) z kartą studenta typu GemExpressoXX (która jest forsowana w Poznańskim przetargu właśnie dzięki teoretycznemu przygotowaniu do PKI) i spytać czy załadują na nią certyfikat kwalifikowany. Ja spróbowałem i otrzymałem – zgodnie zresztą z przypuszczeniem - odpowiedz odmowną!. Dzieje się to z prostej przyczyny – po pierwsze, żaden z polskich CA nie wydaje swoich certyfikatów na tej właśnie karcie (swoją drogą nie wiem dlaczego PP nie sprawdziła tego) – bo wymagałoby to po pierwsze „oprogramowania jej” (stworzenia lub kupienia middleware) a po drugie rozwiązania problemu pierwszego personalizującego. W przypadku „Omnibus ELS”, nie byłby nim CA (bo karta już została wydana studentowi, a więc spersonalizowana).

Podobnie sprawa wygląda z bankami. Każdemu zainteresowanemu proponuję spróbować osobiście. I nie jest to kwestia skali, a proste ograniczenie technologiczne. Fakt, że karta ma układ certyfikowany dla zastosowań EMV - nie znaczy bynajmniej, że każdy bank „nagra” tam od razu swoją aplikację płatniczą. Myślenie tak to duże i niebezpieczne uproszczenie. Niedowiarków odsyłam ze swoimi świeżo wydanymi kartami ELS „EMV ready” do banków które w Polsce wydają karty zgodne z EMV. Nie mam wątpliwości co do rezultatu.

Można by oczywiście stworzyć scenariusz, zgodnie z którym to np. bank wydaje karty ELS. Uczestniczyłem kilka lat temu w podobnym projekcie na jednej z naszych Politechnik. Jeszcze przed kartami ELS wprowadzono tam karty elektroniczne dla pracowników i jeden z większych banków Polskich, zdecydował się na współfinansowanie projektu. Pomimo faktu, że bank ten już wydawał wtedy swoje karty elektroniczne EMV, to ze względu na procedury ochrony danych tych kart, zdecydował, że zamiast udostępnić część układu elektronicznego uczelni, łatwiej będzie zakupić dla uczelni karty z paskiem magnetycznym (dla banku) i prostym układem elektronicznym (chipem), na którym później uczelnia miała wprowadzić aplikacja pracowniczą (w tymże układzie elektronicznym) i personalizować ją (nadrukowanie zdjęcie i dane użytkownika).

Wprowadzić danych pracowniczych do karty EMV nikt się nie odważył, choć personalizować miał to bank. Powstał wtedy jeszcze jeden dodatkowy problem, otóż bank powiedział, że zrobi to ale pod jednym warunkiem - użytkownicy kart powinni przenieść swoje konta bankowe do tego banku. Kiedy po małym „referendum” okazało się że mniej niż 5% pracowników było tym zainteresowane, bank się po prostu wycofał. Uczelnia sama zrobiła karty i tak się skończyła zabawa w multiaplikacyjnośc. Co by było gdyby uczelnia najpierw zakupiła karty (takie z napisem „EMV ready”) a potem poszła do Banku ? Po prostu straciłaby różnicę ceny kart, i naraziła się na dwuznaczny uśmieszek.

A może Uczelnie stać na Omnibusy? - zadajmy więc pytanie najważniejsze, ile to kosztuje?
Jeżeli by założyć, że bardzo dobra karta w ilości około miliona sztuk kosztuje tyle samo co „bardzo prosta karta”, to ktoś słusznie by zapytał – dlaczego nie kupić więcej lepszych? Niestety nie. Bo diabeł tkwi w szczegółach, i najczęściej wielkie okazje okazują się być wielkimi wpadkami. Nie można się zgodzić z twierdzeniami, że dzięki przetargowi na 1 milion kart ELS udało się obniżyć ceny z kilkudziesięciu złotych do 10,23 zł netto. To po prostu manipulowanie faktami.

A fakty są takie, że dopasowując się do przygotowanej specyfikacji na milion ELS – specyfikacji SIWZ wszyscy oferenci zaoferowali karty w świetnych cenach, ale bez koniecznego do nich (dla multiaplikacyjności) oprogramowania!. No, bo skoro Zamawiający pytał o hardware z certyfikatami to takie oferty dostał! Karta z certyfikatami dla PKI to nie karta PKI, tak jak energia potencjalna to nie energia kinetyczna. Każdy świadomie kupujący kartę elektroniczną dla PKI wie, że karta taka składa się z hardware i software. I taki komplet zawsze kosztuje kilkanaście do kilkudziesięciu Euro nawet jeżeli kupuje go w dużych ilościach do dalszej odsprzedaży firma wydająca certyfikaty (CA).

Trzeba tu może zaznaczyć, że karty zaprogramowane dla PKI, z czytnikiem (ten o wartości 50 zł), wgranym certyfikatem kosztują kilkaset zł (np. 364 zł (KIR SA) czy 329 zł (PWPW Sigillum). Jeżeli zamawiający chciał sam hardware, bo jak (pisemnie) zadeklarował w odpowiedziach na pytania do oferentów - „soft będzie sobie pisał we własnym zakresie”! (mógł przecież nie wiedzieć o fakcie, że napisanie takiego softu i certyfikowanie go kosztuje kilkaset tysięcy złotych i trwa wiele miesięcy) – to dostał oferty na sam hardware! I to po 12 zł brutto! Ale nie można twierdzić, że obniżył tym samym cenę karty z kilkudziesięciu złotych do 12 zł przez sam przetarg! Bo tak naprawdę kupił komponent, a nie komplet (choć brzmi podobnie to różnica jest znacząca). To trochę tak jakby ktoś kupił komputer bez części systemu operacyjnego, bo taniej. Tyle, że w tym przypadku producenci sprzedają ten system znacznie drożej niż hardware. Ceny podam w dalszej części. „No dobrze, ale po co komu ten rozbudowany system operacyjny, skoro „Rozporządzenie o ELS” (wydane na podstawie art. 192 ust. 1 ustawy z dnia 27 lipca 2005 r. - Prawo o szkolnictwie wyższym, wchodzi w życie z dniem 1 stycznia 2007 r.) mówi o określonej funkcjonalności ELS, którą można zrobić każdym zgodnym z ISO 7816 systemem operacyjnym?” – zapytał mnie roztropnie pracownik naukowy jednej z uczelni.

Po co komu kwalifikowane certyfikaty PKI?
Zakładając optymistycznie, że student jednak dostanie kartę ELS, na której ktoś zdecyduje się wgrać mu certyfikat PKI (czyli jego klucz prywatny do dokonywania podpisów cyfrowych), należy zadać pytanie: czy skorzysta on z takiej możliwości?

Certyfikat będzie go kosztował od 200-300 zł na rok i jak na dziś, praktycznie nic mu nie dawał! Stopień rozwoju e-Państwa jest tak wczesny, że praktyczne wykorzystanie certyfikatów jest śladowe. Sam osobiście próbuję stosować posiadany klucz prywatny gdziekolwiek się da, i praktycznie nigdzie nie mogę znaleźć takiej instytucji, która przyjmie ode mnie podanie, deklarację podpisaną elektronicznie i nie będzie to wymagało pofatygowania się tam by złożyć podpis odręczny. A zapłaciłem za certyfikat kilkaset złotych. Dla bezpiecznej poczty używam od 10 lat PGP, ale do niej nie potrzeba żadnej karty elektronicznej i działa świetnie. Nawet jeżeli uda się w najbliższym czasie uruchomić jakiś testowy fragment IV-e-Rzeczpospolitej, to zastanawiam się głośno, czy student będzie chciał wydać (co roku!) 100-200 zł tylko po to, by mógł sobie z nią w tym roku raz czy dwa po-e-deklarować, czy po-e-głosować. Osobiście wątpię.

Certyfikaty dziś muszą kosztować kilkaset złotych i nie będą szybko kosztowały 50 zł bo nie będzie się ich opłacało utrzymywać CA w rygorach narzuconych przez Ustawę o Podpisie Elektronicznym. A jeżeli nawet będzie to 50 zł na rok (nie sądzę bo nigdzie na Świecie tak nie ma) – to dlaczego właściwie student ma je wydawać? Żeby się bawić w e-Państwo ?

Z moich rozmów ze studentami wynika wprost, że „jeżeli Nasze Państwo chce być „e” to niech da nam narzędzia do tego, a nie każe (i to komu jak komu - biednemu studentowi) płacić za to „e” z własnych zarobionych na saksach groszy”. Osobiście jestem bardzo sceptyczny do idei wdrażania infrastruktury PKI przez studentów za ich własne prywatne pieniądze. I będę silnie polemizował z twierdzeniem – zacytuję tu artykuł Rozmiękczanie plastiku czyli komu bije ELS z VaGla.pl: „Potencjał rynkowy takiej liczby konsumentów [mowa o studentach – przyp. autora] głodnych nowych – w tym technologii podpisu cyfrowego, jest czynnikiem, który może przełamać zaklęty krąg niemocy braku infrastruktury technicznej dla PKI powodowanego brakiem popytu wynikającego z wysokich kosztów dla użytkownika PKI, których poziom jest utrzymywany przez brak podaży dla PKI, ponieważ nie ma odpowiednio rozwiniętej infrastruktury dla stosowania podpisu cyfrowego”.

To, moim zdaniem, nie prawda – bo same karty to nie infrastruktura, i wprowadzenie ich niczego nie zmieni do czasu do kiedy nie będzie ich można stosować zamiast odręcznego podpisu.

Przetarg na milion ELS w Poznaniu – stan na luty 2007
Jako że próby wytłumaczenia Zamawiającemu (PP), że nie do końca wie co chce kupić, spełzły na niczym, z przetargu wycofała się większość dużych graczy rynkowych. Nie złożyła ofert, nie chcąc ofertować niekompletnych kart (Austria Card, Cryptotech, Unicard). Aktualnie na placu boju zostały dwie firmy: Gemalto i Unizeto. Przetarg od kilku miesięcy jest na etapie pozycyjnej wojny prawników co powoduje jego hibernację, by nie powiedzieć jego śmierć kliniczną. Wiele uczelni kupiło w międzyczasie karty, jedne ulegając mitowi PP o Omnibusie (PP ogłosiła, że czuje się w obowiązku polecać karty Gemalto), inne racjonalizując wydatki zakupiły proste karty. Urząd Zamówień Publicznych trzykrotnie już nakazywał ponownie rozpatrzyć ofertę Unizeto konsekwentnie odrzucaną przez PP, a Politechnika trzykrotnie wybierała ofertę Gemalto. Sprawa jest w sądzie, który za pewne przyzna rację Unizeto (jako biegły sądowy tak bym mu doradzał). Głównym powodem odrzucania kart Unizeto, jest nie posiadanie (zdaniem PP) stosownych certyfikatów do wprowadzenia Certyfikau klucza publicznego.

No i tu warto przypomnieć moją tezę, że nikt w Polsce nie chce wprowadzać tego certyfikatu na nieswoje karty bez względu na to, czy karty mają stosowne certyfikaty bezpieczeństwa czy nie (przypadkowa niefortunna zbieżność nazw Certyfikat i certyfikat). Bez względu na to z jaką kartą ELS zgłosi się dziś student do np. Krajowej Izby Rozliczeniowej (jeden z CA ) – dostarczoną przez Unizeto czy Gemalto, co nie trudno sprawdzić, to firma ta nie wgra mu na tą kartę certyfikatu kwalifikowanego. Więc o co ta wojna?

Najczęściej, jak nie wiadomo o co chodzi to najczęściej chodzi o pieniądze. Jeszcze dwa lata temu mieliśmy cztery firmy dostarczające certyfikaty kwalifikowane. Dziś mamy trzy, i jak tak dalej pójdzie będzie ich jeszcze mniej. Chodzi oczywiście o możliwości użytkowania kart ELS w PKI (czyli jako komponenty rozbudowanego systemu Podpisu Elektronicznego), ale czy studenci są najlepszym orężem w tej walce ?

Porównianie ofert Gemalto i Unizeto
PP zupiera się przy kartach ze specjalizowanym systemem Java (Gemalto), różniących się zasadniczo od natywnych kart Unizeto. Podstawową różnicą jest fakt, że dostarczana przez Gemalto karta jest dla Uczelni zamknięta – tj. jej potencjalne możliwości pretendujące ją do miana Omnibusa, są skutecznie zabezpieczone – niedostępne dla uczelni, która nie zakupiła stosowanego oprogramowania (za 10 do 30 Euro na każdą zakupioną kartę!).

Bez tego softu (nazywa się on: GemSafe Libarary lub/i Gem Safe e-signer) karta ta jest prostą 32kB kartą procesorową bez żadnych dodatkowych możliwości. Uczelnie, które ją kupiły (a tak się za namową PP stało w przypadku co najmniej 10 Szkół wyższych), nic nie mogą sobie w niej zrobić poza prostą aplikacją identyfikacji studenta zgodna z Rozporządzeniem (sprowadzając super Javową kartę do podstawowych funkcji prostej karty procesorowej). Ale mają za to super kartę, i to potencjalnego OMNIBUSA!

Różnica pomiędzy kartą Gemalto (poprzednio Gemplus Pologne) a oferowanymi przez inne firmy natywnymi kartami procesorowymi (np. odrzuconymi w poprzedniej edycji przetargu w Poznaniu jako „zbyt proste”) jest jedynie taka, że wyemulowany w tej super Javowej karcie system operacyjny MPCOS jest dwa razy wolniejszy od tych kart natywnych (są na to dostępne testy!). Druga różnica jest taka, że karta ta (w przeciwieństwie do wspomnianych kart natywnych) nie pozwala na wymazanie stworzonego już w niej pliku (co jest poważnym ograniczeniem, niezgodnym z resztą z normą ISO 7816 a tym samym z SIWZ poznańskiego przetargu). Kto z nas chciałby mieć komputer (ale z Javą!) w którym można zakładać pliki bez możliwości kasowania ich, i pozwalałby jedynie zmiany nazwy? I to komputer o całkowitej dostępnej pojemności ok. 30kB? Czyli robimy 5 plików po 5kB i koniec karty. Takie super nowoczesne super karty otrzymała od Gemalto jedna ze szkół wyższych w Polsce, a ta przekazała mi je do testów. Nic dodać nic ująć.

Z perspektywy eksperta dużo rozsądniej wypada na tym tle oferta kart z firmy Unizeto S.A., która to firma jest jednym z autoryzowanych wydawców certyfikatu klucza prywatnego w Polsce. Firma ta zaoferowała natywną kartę, w której zarówno aplikacja ELS jak i aplikacja przygotowana do PKI, jak deklaruje firma, w cenie karty! Jest to o tyle ciekawe, że jest to praktycznie jedyna z oferowanych w tym przetargu kart, z którą można pójść do CA (tu tylko Unizeto) i bez problemów zakupić certyfikat, który Unizeto – jak deklaruje - może bez problemu wgrać na tę kartę – nawet po jej spersonalizowaniu dla celów ELS. To wydawałoby się rozwiązanie idealne dla PP, ale ta dziwnym trafem odrzuca ofertę Unizeto, tłumacząc że nie jest to karta Javowa. No bo faktem jest, że nie jest. Pytanie tylko, po co ma być – skoro nikt nie chce dopłacać do niej 20 Euro/szt. by te cudowne e-aplikacje ożyły. A nawet jeżeli by miała je ożywione (dostarczone do naszego laboratorium karty jednej z uczelni, nie miały) – to po co i co można z nią zrobić, skoro ani CA ani żaden Bank nie wgra tam swoich aplikacji?

Reasumując jaka karta ELS?
Jeżeli student nie kupi do swojej ELS certyfikatu PKI , to po co mu karta „potencjalny OMNIBUS”? Student moim zdaniem potrzebuję taką kartę, by mogła być stosowana jako ELS, stosownie przedłużana przez 5 lat, ewentualnie mogłaby mu służyć jako element kontroli we-wy na teren uczelni oraz lokalnie być używana jako karta komunikacji miejskiej i ew. karta do parkometrów (oczywiście tam gdzie jest taka infrastruktura – czyli w ok. 5 miastach w Polsce). O ile uczelnia ma udostępnione lokalne ogólnodostępne sieci komputerowe, taka karta powinna być identyfikatorem dostępowym do tych sieci (nie znam danych, ale zgaduję że sieci takie ma obecnie mniej niż 20% uczelni w Polsce). Wszystkie wymienione aplikacje mieszczą się w układzie Mifare (a więc części bezstykowej, którą na szczęście posiadają karty od wszystkich dostawców). Aplikacja ELS to jedyne praktycznie zastosowanie dla układu stykowego.

Podsumowując te „realne” aplikacje ELS jawią się jako obraz prostej identyfikacyjnej karty procesorowej z oddzielnym układem bezstykowym Mifare (ta technologia jest de facto standardem w komunikacji miejskiej w Polsce).

Jak reagują na taki stan rzeczy Uczelnie?
Nic dziwnego, że znużeniem. Szereg szkół ogłosiło własne przetargi, w których zdecydowanie widać dwa podejścia. Podejście pierwsze: chcemy karty javowe z certyfikatami do PKI (tajemnicą poliszynela jest że oferuje takie karty tylko Gemplus Pologne). Podejście drugie: chcemy karty zgodne z Rozporządzeniem. Charakterystyczne jest to, że o ile w pierwszym podejściu przetargi wygrywa zawsze Gemalto, o tyle w drugim nigdy Gemalto. I nikogo nie zniechęca fakt, że żadne karty Gemalto nie zostały dostarczone w terminie (wszystkie dostawy były spóźnione), a karty, które przyjechały, są „monoaplikacyjne” – pozwalają tylko na zaprogramowanie aplikacji ELS (najwolniejszej na rynku). Mit super omnibusa działa.

Po 5 miesiącach działania ELS okazało się, że polskie uczelnie same doszły do tego (jakże oczywistego) wniosku i po burzliwym roku 2006, pełnym dyskusji na temat „czego by to nie można zrobić na ELS z Javą”, coraz więcej uczelni w Polsce decyduje się na opisane wyżej, proste, optymalne rozwiązanie karty procesorowej z oddzielnym Mifare, które można już kupić poniżej 10 zł brutto.

Równocześnie pojawiają się również nowe ciekawe fakty rynkowe. Po pierwsze: firma Gemalto, dopasowując się do cen konkurencji, oferuje już te super-karty Javowe na polskim rynku w tej samej cenie dla miliona sztuk i w dostawach pojedynczych tysięcy sztuk. Nie potrzebny był więc przetarg na milion sztuk by obniżyć cenę (przypominam – tylko hardware!) do poziomu 12 zł. Wystarczy Niewidzialna Ręka Rynku, czyli trochę konkurencji.

Pojawił się przez moment w przetargu na milion kart watek, że wygrywający milion kart miał dostarczyć software za darmo (czy miał być w tym niezbędny do PKI middleware? Interpretowałbym, że jednak tak). Ale dla dostaw kilkudziesięciu tysięcy kart (np. dla Uczelni Krakowa) Gemalto tego jednak nie zrobiło. Brak obiecywanego „za darmo” software umożliwiającego korzystanie z potencjalnych możliwości tych kart (np. PKI) potwierdziło pisemnie konsorcjum Uczelni Krakowa, organizując przetarg na personalizację tych kart, w którym stwierdziło, że ów niezbędny soft trzeba sobie kupić w firmie Gemalto.

Znamienne jest to, że firma Gemalto zaczęła też sprzedawać swoje karty natywne, sprowadzając swoją super ofertę to poziomu wszystkich innych oferentów. Może ktoś zastanowił się dlaczego podstawowa aplikacja ELS działa w tych super kartach dużo wolniej niż konkurencyjnych kartach i zażądał kart działających normalnie? W końcu w efekcie tego zamieszania sporo uczelni ma zarówno karty Gemalto, jak i innych oferentów i może sobie porównać.

Zakupiła je (karty z natywnym MPCOS oraz układem Mifare) podobno ostatnio WSZiF we Wrocławiu. Ponoć tego typu karty sprzedają się im znacznie lepiej niż Omnibusy…

Jednego tylko jako inżynier nie rozumiem. O co w dalszym ciągu walczy Politechnika Poznańska odwołując się od decyzji trzech zespołów arbitrów do sądu, w którym zapewne przegra? Trwonienie państwowych pieniędzy (usługi prawne sporo kosztują) dla lokalnych ambicji? I to w dbającym o wydatki Poznaniu?

Podsumowanie
Skoro wiemy już, że Omnibusy to nie najbardziej szczęśliwe rozwiązanie dla ELS’ 2007 (mam nadzieję, że skutecznie przekonałem czytającego ten tekst), to może jednak zostawić uczelniom możliwość swobodnego wyboru technologii kart ELS pozostawiając dwa podstawowe wymogi: zgodności z rozporządzeniem ELS i układ bezstykowy Mifare. Rynek i tak już sam poszedł w tą stronę i nawet rozstrzygnięcie przetargu na milion kart nie zmieni faktu, że wiele uczelni, które kiedyś zgłosiło do niego akces – dziś zakupiło już karty w koncepcji innej niż PP.

Moim zdaniem PP, ratując ogrom pracy który włożyła w ten przetarg, powinna szybko zorientować się wśród wszystkich uczelni w Polsce, jaki jest realny rynek na karty z PKI (zapytać uczelnie a te wprost studentów: ilu byłoby chętnych) i taką liczbę (realnych) kart PKI zakupić w ramach centralnego przetargu. Nie zdziwiłbym się jednak jeżeli będzie to w skali całego kraju 50.000 kart (wersja optymistyczna) a nie milion. Ale w takim przypadku Polskie szkoły wyższe zaoszczędzą 950.000 licencji na nikomu nie potrzebny software do PKI, dla studentów, którzy i tak nie chcieli by go wykorzystywać. A to w rezultacie mogą być miliony złotych, które warto przeznaczyć na budowę infrastruktury do PKI. O ile karta ELS może być w niedalekiej przyszłości ważnym elementem rozwoju rynku PKI w Polsce o tyle nie można zapominać, że bez infrastruktury do jej realnego wykorzystywania będzie tylko ładnym kawałkiem plastiku o potencjalnie dużych możliwościach.

Dr inż. Jacek Biskupski
Ekspert ISO S.C. 17 ds. kart magnetycznych i elektronicznych
Vice prezes Unicard SA