strona główna » newsy

MSWiA przedstawiło do konsultacji założenia do ustawy pl. ID

Pt, 2009-09-18 15:52 by VaGla
»

Kilka dni temu, 11 września, Ministerstwo Spraw Wewnętrznych i Administracji opublikowało Projekt założeń do projektu ustawy o dowodach osobistych (pl. ID). Projekt ten skierowano do uzgodnień międzyresortowych, ale MSWiA oczekuje również uwag w toku konsultacji społecznych. Założenia do projektu ustawy zebrano na 88 stronach A4.

"Założenia" są dostępne w BIP MSWiA. Kilka razy w niniejszym serwisie odnotowywałem kwestie związane z "nowymi dowodami osobistymi" (por. Kolejne nowe dowody osobiste z podpisem i biometryką, Elektroniczne czy biometryczne dowody osobiste? czy O tym, że MSWiA wycofało się z dowodów biometrycznych). Biometryka pojawia się w założeniach do nowej ustawy (w definicjach na początku udostępnionego materiału czytamy: "biometryczność dokumentu – możliwość identyfikacji i weryfikacji osoby posługującej się dokumentem w oparciu o jej fizyczno-biologiczne cechy i właściwości, zapisane w informatycznym nośniku danych zamieszczonym w tym dokumencie"), ale przecież pl.ID to nie tylko problem biometryczności.

Poza tym, że w dokumencie przedstawiono rys historyczny regulacji prawnych związanych z dowodami tożsamości, pojawił się tam również rozdział "Potrzeba i cel uchwalenia ustawy o dowodach osobistych". Poniżej przywołuje jego treść:

(...)
4. Potrzeba i cel uchwalenia ustawy o dowodach osobistych.

4.1 Potrzeba uchwalenia nowych regulacji prawnych w zakresie dowodów osobistych

Potrzeba uchwalenia nowej ustawy wynika z planu działań Komisji Europejskiej na rzecz wdrażania ogólnoeuropejskiego systemu identyfikacji elektronicznej osób fizycznych oraz rozporządzenia Rady Ministrów z dnia 28 marca 2007 r. w sprawie Planu Informatyzacji Państwa na lata 2007-2010 (Dz. U. Nr 61, poz. 415), gdzie w załączniku, w Tabeli 1 „Zestawienie i charakterystyka ponadsektorowych projektów teleinformatycznych”, w poz. 4 został zamieszczony projekt „pl.ID – polska ID karta, którego jednym z głównych elementów jest wdrożenie wielofunkcyjnego elektronicznego dokumentu tożsamości z uwierzytelnieniem (dowód biometryczny), zgodnego z unijnymi koncepcjami narodowego dokumentu identyfikacyjnego (eID) w systemach IT jednostek sektora publicznego (administracja publiczna, pomoc społeczna, ochrona zdrowia itp.), który umożliwiać będzie potwierdzanie tożsamości obywateli polskich. Taki dokument tożsamości powinien również umożliwiać – w zależności od potrzeb określonych w przepisach szczególnych - uwierzytelnianie posiadacza w systemach teleinformatycznych podmiotów publicznych oraz przy dostępie do rejestrów publicznych. Powinien również dać możliwość potwierdzenia autentyczności samego dokumentu tożsamości przy dostępie do systemów teleinformatycznych podmiotów publicznych oraz przy dostępie do rejestrów publicznych.

Potrzeba wprowadzenia nowego aktu prawnego rangi ustawowej regulującego kwestie związane z dowodami osobistymi wynika ponadto ze zmian społecznych jakie zaszły w naszym kraju podczas obowiązywania dotychczasowych regulacji prawnych zawartych w ustawie o ewidencji ludności i dowodach osobistych.

Potrzeba wprowadzenia nowego dowodu osobistego, potwierdzającego tożsamość obywatela również w postaci elektronicznej, wynika także ze znacznego wzrostu poziomu umiejętności informatycznych społeczeństwa oraz konieczności zapewnienia bezpieczeństwa transakcji zawieranych drogą elektroniczną. Stworzenie bezpiecznego dowodu osobistego, jako powszechnego dokumentu potwierdzającego tożsamość drogą elektroniczną, nie tylko przyczyni się do wzrostu bezpieczeństwa obrotu prawnego, ale ułatwi i usprawni kontakt obywatela z organami administracji, dzięki wprowadzeniu możliwości opatrzenia przesyłanego drogą elektroniczną dokumentu podpisem elektronicznym składanym za pomocą danych zawartych w dowodzie osobistym.

Znaczne zwiększenie funkcjonalności planowanego dowodu osobistego powoduje konieczność rozbudowania regulacji prawnych dotyczących dowodu osobistego, czego skutkiem jest wyodrębnienie unormowań dotyczących tego dokumentu z dotychczasowych regulacji wspólnych z ewidencją ludności. Koncepcja stworzenia odrębnych regulacji prawnych dla ewidencji ludności i dla dowodu osobistego ma na celu zapewnienie przejrzystości przepisów prawa.

Powyższe znalazło odzwierciedlenie w projekcie ustawy o ewidencji ludności, którym uregulowano wyłącznie tematykę dotyczącą ewidencji ludności, a pominięto sprawy związane z dowodem osobistym. Pierwsze czytanie projektu ustawy o ewidencji ludności odbyło się na posiedzeniu plenarnym Sejmu RP w dniu 16 grudnia 2008 r., a obecnie projekt jest przedmiotem prac Komisji Administracji i Spraw Wewnętrznych.

4.2 Cel uchwalenia ustawy o dowodach osobistych

Celem przygotowania projektu nowej ustawy o dowodach osobistych jest stworzenie warunków prawnych do stosowania wielofunkcyjnego elektronicznego dokumentu tożsamości dającego gwarancję bezpiecznej identyfikacji osób.

Nowy system wydawania dowodów osobistych powinien zapewniać realizację takich kluczowych postulatów jak: spójność i bezpieczeństwo systemu, wiarygodność dokumentów, integrację rejestrów publicznych, wydawanie wraz z dowodem tożsamości danych służących do składania podpisu elektronicznego oraz zgodność dowodu ze standardami międzynarodowymi określonymi w dokumencie ICAO 9303.

Aby zapewnić spełnienie powyższych warunków, za najważniejsze założenia konstrukcji systemu wydawania dowodów osobistych należy uznać:

  1. wydawanie dokumentów w oparciu o system administracji publicznej;
  2. zapewnienie organom uczestniczącym w procesie wydawania dowodów osobistych dostępu do centralnego rejestru dotyczącego dowodów osobistych;
  3. zapewnienie wycofywania z obiegu prawnego dokumentów tych osób, które zmieniły dane, w tym określenie zasad unieważniania dowodów osobistych;
  4. zapewnienie dogodnej dla obywateli odmiejscowionej obsługi, umożliwiającej złożenie wniosku o wydanie dowodu osobistego w dowolnej
    gminie na terenie kraju, jak również w drodze elektronicznej za pośrednictwem platformy ePUAP;
  5. zapewnienie przepływu danych w drodze bezpiecznej transmisji teleinformatycznej, z uwzględnieniem wykorzystania sieci Internet;
  6. odrębność systemu informatycznego wykorzystywanego do wydawania dowodów osobistych w odniesieniu do innych centralnych rejestrów publicznych, przy jednoczesnym zapewnieniu wymiany danych z rejestrem PESEL;
  7. zapewnienie zachowania poufności, integralności, dostępności, rozliczalności i autentyczności przetwarzanych w systemie informacji w całym cyklu „życia” dowodu osobistego, w szczególności poprzez centralną personalizację dokumentów;
  8. oparcie procesu przetwarzania danych o formularze elektroniczne;
  9. zapewnienie zapisu danych w części elektronicznej i graficznej oraz komunikacji z częścią elektroniczną w standardach właściwych dla uzyskania cech kompatybilnych z międzynarodowym dokumentem podróży;
  10. zapewnienie uwierzytelnienia dowodu osobistego w systemach teleinformatycznych podmiotów publicznych oraz – w zależności od potrzeb określonych w przepisach szczególnych - uwierzytelnienie posiadacza w systemach teleinformatycznych podmiotów publicznych oraz przy dostępie do rejestrów publicznych;
  11. zapewnienie obywatelowi możliwości posługiwania się dowodem osobistym w celu składania podpisu elektronicznego, pozwalającego na dokonywanie czynności prawnych w drodze elektronicznej w obszarze administracji publicznej;
  12. zapewnienie możliwości implementacji kwalifikowanego podpisu elektronicznego przez podmiot zewnętrzny w warstwie elektronicznej dowodu osobistego;
  13. zapewnienie ochrony warstwy elektronicznej dowodu osobistego przed nieuprawnionym dostępem do zapisanych tam danych oraz próbami utworzenia funkcjonalnej kopii warstwy elektronicznej dowodu osobistego.

(...)

»
« Trójwymiarowe drukarki, czyli od wirtualności do realności (problemów) | O co chodzi ludziom z The Featured Artists Coalition? »

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Nie tylko biometria

Pt, 2009-09-18 16:58 by tommy

Poza wielokrotnym odwoływaniem się do biometrii widać zaplanowane pożegnanie z obowiązkiem meldunkowym
i bardzo ogólnikowe wytyczne (życzenia?) informatyczne.
Pisze się o wielofunkcyjności, ale wprost mówi się
tylko o jednej dodatkowej funkcji - podpisie cyfrowym, a ściślej o tym, że pl.ID ma być nośnikiem certyfikatu.
Pośrednio wpisano świadczenie usługi certyfikacyjnej
dla potrzeb pl.ID przez MSWiA. Czytam dalej...
_________________________
tommy

Ja jeszcze zrozumiałem

Pt, 2009-09-18 19:53 by SpeX
SpeX's picture

Ja jeszcze zrozumiałem iż pl.ID ma czymś ala karta elektroniczna która była w Śląskiej (?) Kasie Chorych sprzed reformy (taka e karta zdrowia). Co prawda nie jest to wprost wpisane, ale takie mam wrażenie po wstępie.

Karta elektroniczna

Pt, 2009-09-18 21:29 by tommy

Nowy dowód osobisty to w zamyśle dualna (1) karta (2) elektroniczna (3).

Od końca:

  1. (3), bo procesor;
  2. (2), bo karta plastikowa formatu ID-1 (jak dotąd, standard ICAO 9303) wyposażona w (3);
  3. (1), bo procesor ma dwa interfejsy: stykowy i bezstykowy (zbliżeniowy) o zasięgu do 10cm (też standard ISO 14443-A).

Taka karta ma spełniać standardy bezpieczeństwa (musi, bo inaczej można zapomnieć o podpisie cyfrowym - nawiasem mówiąc w materiale MSWiA nie znalazłem nic o bezpieczeństwie). W uproszczeniu: wbudowany koprocesor kryptograficzny -> szyfrowanie symetryczne (3DES) i asymetryczne (2048 bitów), krzywe eliptyczne, generacja kluczy na karcie, niewyczytywalny klucz prywatny z pary generowanej na karcie, blokada karty przy próbach wyczytania klucza i tamperingu. Nie jest to zatem ŚKZ (Śląska Karta Zdrowia) - karta pamięciowa.

Karty spełniające warunki pl.ID wydajemy studentom jako ELS od 3 lat.
_________________________
tommy

Przypomnij, kto wygra przetarg na karty pl.ID?

Pt, 2009-09-18 22:50 by VaGla
VaGla's picture

Karty spełniające warunki pl.ID wydajemy studentom jako ELS od 3 lat.

Przypomnij, kto wygra przetarg na karty pl.ID?

--
[VaGla] Vigilant Android Generated for Logical Assassination

Kartowidzenie

So, 2009-09-19 02:41 by tommy

Gdybym został obdarzony przez Stwórcę darem prekognicji, to już od dawna pisałbym tu komentarze z wysp południowego Pacyfiku. Mógłbym natomiast wymienić nazwy co najmniej dwóch producentów starających się ustawić w jak najlepszych pozycjach startowych do wyścigu po zamówienie publiczne, ale tego rzecz jasna nie zrobię. Napisałem tylko, że karty elektroniczne spełniające domniemane przeze mnie wymagania studenci otrzymują jako ELS już od trzech lat - przynajmniej w Poznaniu (te słynne poznańskie omnibusy jak pisał onegdaj jeden z karcianych ekspertów). O tym jakiej karty "pod nowy dowód" sobie życzę jako inżynier i obywatel mówiłem też na seminarium dotyczącym biometrii w pl.ID, a zorganizowanym przez jednego z tych producentów na początku lipca. W seminarium uczestniczyli m.in. także ludzie z MSWiA.
_____________________
tommy

ponoć już kupione bez

Wt, 2009-09-22 11:49 by incognitus (niezweryfikowany)

ponoć już kupione bez przetargu w ramach rozbudowy PESEL - powód - rozbudowa baz danych. Kupione centrum certyfikacji podpisu od IBM za50 mln zł. warto zweryfikować

Czy to nie ułatwi terroryzmu

Pt, 2009-09-18 23:26 by marcel (niezweryfikowany)

Dowód osobisty wyposażony w układ RFID stanowi mikrobombę, której odpalenie jest trywialne - wystarczy skierować na nosiciela strumień mikrofal. W skrajnych przypadkach wystarcza telefon komórkowy nawiązujący połączenie z zamkniętego pomieszczenia.

Można sobie wyobrazić tłum ludzi, którym jednocześnie eksplodują portfele umieszczone, jak to zwykle bywa, w okolicy serca...

Wybuch RFID

So, 2009-09-19 02:38 by VaGla
VaGla's picture

Rozumiem, że "wybuchające RFID" to element opublikowanych w 2004 roku takich historii o wybuchających banknotach, jak RFID Tags in New US Notes Explode When You Try to Microwave Them (spopularyzowanych m.in. przez Slashdot: Do Your $20 Bills Explode In the Microwave?)?
--
[VaGla] Vigilant Android Generated for Logical Assassination

O ile pamietam pierwsze

So, 2009-09-19 10:08 by Gogo (niezweryfikowany)

O ile pamietam pierwsze zalozenia do projektu pl.ID robiono jeszcze za czasow oslawionego Pesel2 a robili je owczesny dyr Fiuk i pozniej dyr Bogucki. Moze warto zapytac ich co mysla o kierunkach w ktora podazyly ich pomysly

... dokonywanie czynności

So, 2009-09-19 11:35 by incognitus (niezweryfikowany)

...

  • dokonywanie czynności prawnych w drodze elektronicznej w obszarze administracji publicznej

A dlaczego tylko w tym obszarze? Co stoi na przeszkodzie abym mógł posłużył się tym dowodem w prywatnej firmie i wykonał czynność prawną?

Uważam, że zapis ten powinien ogarnąć wszystkie obszary na terenie RP w których obywatel może "coś" załatwić bez względu na charakter podmiotu.

Na przeszkodzie

So, 2009-09-19 13:12 by VaGla
VaGla's picture

Na przeszkodzie stoi martwienie się o przedsiębiorców, którzy już zainwestowali w infrastrukturę klucza publicznego i pozakładali spółki z dużym kapitałem zakładowym oraz wydali duże pieniądze na marketing swoich usług. Jeśli państwo zrobi teraz coś, co będzie konkurowało z ich usługami, to oni nie będą zadowoleni z urzędników (i legislatorów).
--
[VaGla] Vigilant Android Generated for Logical Assassination

O ile dobrze rozumiem to

So, 2009-09-19 14:42 by incognitus (niezweryfikowany)

O ile dobrze rozumiem to chodzi Panu o centra certyfikacyjne, których raptem jest 3 i w zasadzie zmonopolizowały rynek z wiodącym podmiotem ze Szczecina.

Nic nie stoi na przeszkodzie aby pogodzić dobro obywatela z interesem tych firm - trzeba tylko dobrze opracować stosowne uregulowania prawne.

Być może to nawet pozytywnie wpłynie na rozwój konkurencji, bo szczerze mówiąc (a raczej pisząc) to obserwując działania wiadomych podmiotów to śmiem twierdzić, że "podzieliły się rynkiem" (aby nie użyć określenia zmowa cenowa).

Wystarczy choćby ogłaszać co jakiś okres czasu (np. 3 lata) przetarg na dostawcę usług PKI na potrzeby przedmiotowego projektu a ponadto pozwolić obywatelowi na wybór podpisu elektronicznego niejako z urzędu lub nabycie we własnym zakresie. Oczywiście pod warunkiem, że obecne centra certyfikacyjne obniżą cenę swoich usług.

Najgorsze co może nastąpić to posiadanie przez obywatela kilku podpisów kwalifikowanych, których do posiadania obligować będą niejasne i niespójne przepisy prawa.

... i zawieszanie

So, 2009-09-26 03:16 by tommy

Napisano też o możliwości zawieszenia możliwości korzystania z części elektronicznej. Zastanawiam się więc jak w takiej sytuacji będzie ważny nasz dowód - też połowicznie
i wszystkie konsekwencje prawne też będą połowiczne >:-]?

______________________________
tommy

Jeden przedmiot - dwa dokumenty

So, 2009-09-26 12:57 by Makdaam

To jest akurat dobry pomysł. Z interfejsu elektronicznego ELS też nigdy nie korzystałem (poza własnymi odczytami i "podbijaniem legitymacji"), a istnienie takiego interfejsu zwiększa ryzyko przejęcia moich danych osobowych.

Myślę, że znajdzie się spora grupa ludzi, którzy nie będą korzystać z podpisu elektronicznego, czy zdalnego uwierzytelniania, przynajmniej na początku działania pl.ID. Zawieszenie nieużywanej funkcjonalności w tym przypadku zwiększy bezpieczeństwo.

W przypadku dokumentów w postaci kart chipowych mamy do czynienia w rzeczywistości z dwoma różnymi dokumentami, które przechowują te same informacje. Konduktorowi w pociągu jest wszystko jedno, czy na chipie mojej karty przechowuję ELS, kartę SIM, czy jest to tylko "złotko" z czekolady przyklejone na plastik. Dla czytnika elektronicznego będzie wszystko jedno, czy chip jest wbudowany w kartę zadrukowaną na zielono, czerwono, czy jest emulowany przez PC.

Jedynym momentem, w którym potrzebne są jednocześnie dane na chipie oraz wygląd, jest aktualizacja w dziekanacie/urzędzie. Gdyby do stwierdzenia prawdziwości dowodu wymagane byłoby przyniesienie karty do np. okienka w banku, gdzie obsługa najpierw dokładnie obejrzy plastik, a potem odczyta z niego dane, to nie widzę sensu w montowaniu części elektronicznej. Zastąpmy chip kodem kreskowym 2D, żeby przyspieszyć wklepywanie danych i dajmy sobie spokój.

Wymiana dowodów

N, 2009-09-20 17:38 by incognitus (niezweryfikowany)

Prawidłowo zrobiona karta nie pozwala na wgrywanie czegokolwiek zwłaszcza innego certyfikatu.
Domyślam się zatem, że taki dowód będzie ważny przez lat 3, a może 5?
Potem obywatel zapłaci za nowy.
Jest to jakiś pomysł na stały dopływ gotówki.

Karta ma pozwalać na

Pn, 2009-09-21 16:58 by incognitus (niezweryfikowany)

Karta ma pozwalać na wgrywanie dodatkowego certyfikatu kwalifikowanego (co najmniej). Jej wydanie będzie bezpłatne. Będzie ważna przez 10 lat (to chyba najsłabsza część całego pomysłu).

Tak "prawidłowość" karty

So, 2009-09-26 03:10 by tommy

Tak "prawidłowość" karty przedstawiają nasze
kochane CA. Robią tak z troski o biznes
certyfikatowy. "Prawidłowa" karta procesorowa to natomiast taka, która spełnia wymagania jednego ze standardów bezpieczeństwa wskazanych w ustawie o podpisie cyfrowym.

Taki standard nie dotyczy całej karty od plastiku do całego kodu binarnego systemu operacyjnego i aplikacji w układzie elektronicznym. To jeden z mitów o konieczności "zamykania" kart jakie podsycają CA. W rzeczywistości certyfikat obejmuje sam procesor, jego system operacyjny i aplikację/aplet konieczny dla realizacji podpisu cyfrowego. Analogicznie można zcertyfikować inną aplikację/aplet.

Jeszcze inną kwestią jest magazyn certyfikatów na karcie. Magazyn jest dostępny oddzielnie przez interfejs PKCS#11
za pomocą odpowiedniej biblioteki + oprogramowania firmowego od producenta kart lub własnego.

Zamysł pl.ID polega na zasileniu karty certyfikatem podpisu kwalifikowanego - analogicznie jak w koncepcji zasilania ELS takimi certyfikatami, która pojawiła się jeszcze w roku 2006 w pierwszych rozmowach z CA.

Kwestia ważności dowodu balansuje na krawędzi tego, co można osiągnąć jeśli zastosować wszystkie przewidziane przez producentów kart możliwe zabezpieczenia w procesie personalizacji tj. warstwa zabezpieczająca + warstwa ochronna. Zastosowanie takich zabezpieczeń wydłuża wg. producentów standardowy "mechaniczny" czas życia kart (5-6 lat) do 10 lat (oczywiście przy zastosowaniu najlepszego tworzywa na same karty). Upływ okresu ważności certyfikatu oznacza tyle, że trzeba będzie go usunąć z karty o zasilić certyfikatem o nowym okresie ważności. Za dowód zapłacimy więc raz na 10 lat, a za certyfikat ile razy? Wychodzi na to, że 4 razy przy trzyletnim okresie ważności certyfikatu no i rzecz jasna nie wiadomo czy nie będzie nas kosztować i 5 raz za "przeniesienie" ważnego jeszcze certyfikatu z czwartej zmiany na nowy fizyczny dowód. To dopiero jest interes! Nic tylko kupować akcje CA albo ciupasem zakładać swoje. Pytań tu jest sporo.

_________________________________
tommy

Skoro certyfikat jest/może

So, 2009-09-26 11:10 by BoBsoN
BoBsoN's picture

Skoro certyfikat jest/może być dogrywany z zewnątrz to jest to zdaje się spore zagrożenie dla bezpieczeństwa. Wystarczy by sprytny nieuczciwy pracownik lub (teoria spiskowa dziejów mode=on) służby specjalne/wywiadowcze przechwyciły wgrywane certyfikaty "do przyszłego użytku". Nagle dowiesz się, że podpisałeś coś czego nie podpisałeś?

O ile mi wiadomo samo zabezpieczenie RFID także pozostawia wiele do życzenia. Czy w zatłoczonych autobusach zacznie się więc roić od "złodziei tożsamości"?

Co z dowodami z uszkodzonym "czipem" - przestają być ważne? Bo jeśli nie, to pewnie będzie sporo osób, które potraktują swój dowód młotkiem, mikrofalówką lub paralizatorem:)

Mam wrażenie, że ograniczenie wykorzystania certyfikatu jedynie do administracji, bo istniejące CA "strzelą focha" pokazuje, że nie żyjemy w państwie prawa tylko w państwie kumoterstwa (w sumie chyba nic nowego).

Ogólnie cały projekt pl.ID trąci mi chęcią jeszcze większej inwigilacji i nadzoru nad społeczeństwem. Ciekawe jak szybko się okaże, że zasięg tego RFID jest znacznie większy niż 10cm "w specjalnych okolicznościach".

Odczyt, a zapis

So, 2009-09-26 12:44 by Makdaam

Poprawnie działający aplet odpowiedzialny za certyfikaty na takiej karcie, włączony w trybie produkcyjnym (debug mode pozwala na różne cuda) powinien umożliwić:
-wygenerowanie klucza prywatnego na karcie
-export klucza publicznego z karty + request for signing
-import i export ewentualnych podpisów klucza publicznego (certyfikatów), złożonych przez CA (kogo uznamy za CA to nasza sprawa, może być kompletnie bezużyteczny self-signed cert)

Przy poprawnie napisanym kodzie[1] powinno gwarantować to rozsądny poziom bezpieczeństwa klucza prywatnego jednocześnie pozwalając na rozpowszechnianie certyfikatów.

Pytanie brzmi, czy klucze do wrzucania i usuwania appletów będą bezpieczne. Póki co nie było chyba wycieku takich danych, ale nie było też motywacji aby je próbować uzyskać.

RFID to osobna sprawa, wszystko zależy od tego, co będzie wrzucone do chipa odpowiedzialnego za RFID. Pod żadnym pozorem nie powinny tam trafić dane osobowe oraz PESEL w trybie bez PINu. O ile mogę zdecydować, do którego czytnika włożę kartę stykową, to z RFID już nie mam takiej swobody decyzji.

fn1. ok, nie ma poprawnie napisanego kodu, ale bugi i tak trudno znaleźć w trybie produkcyjnym ze względu na liczniki nieudanych prób blokujące fuzzing, które oczywiście powinny się tam znajdować

"...powinien

Wt, 2009-12-15 16:27 by Piec Kaflowy (niezweryfikowany)

"...powinien umożliwić:
-wygenerowanie klucza prywatnego na karcie
-export klucza publicznego z karty + request for signing

No właśnie... Wszyscy wiemy co powinien. Zawsze mnie to ciekawiło i nie pamiętam czy ktoś o tym gdzieś pisał. Czy każdy obywatel po otrzymaniu takiej karty będzie sobie generował klucz prywatny i potem dostarczał CSR państwowemu CA, odbierał podpisany certyfikat i ładował na kartę?
Z trudem to sobie wyobrażam.

Czy nie będzie tak, że państwo usłużnie da każdemu gotowy zestaw, łącznie z gotowym kluczem prywatnym? I że państwo będzie miało bazę kluczy prywatnych wszystkich obywateli?

I kiedy ktoś zacznie sprawiać kłopoty, to dostanie z banku pismo, że zbliża się termin spłaty 100 mln kredytu?

należy kupić metalowe wizytowniki

Pn, 2010-03-01 00:27 by TomaszW

i w nich przenosić, przechowywać współczesne i przyszłe ID (karty bankowe, dowody osobiste, ELS, a potem kolejno prawa jazdy...), aż do momentu kiedy zgodnie z czarną wizją rozpowszechnią się implanty RFID (?).
Ekranowanie własnej ręki lub innej części ciała stanie się prawdziwym cyber-wyzwaniem dla zwolenników prywatności.

Automatyczna identyfikacja drogą radiową (RFID) wdziera się do naszego życia przebojem (skokowy wzrost sprzedaży i implemantacji) - szacunkowo ok 5% w 2009r:
1. Global RFID Market Will Continue to Grow
2. Surge in RFID orders with market expected to rise by 5 per cent
3. 2010 Growth Opportunities in Contactless: Security, Authenticity and Mobile Transactions

:
Przełomem w upowszechnianiu staną się bezkontaktowe i mobilne płatności (NFC) i tutaj połączenie władzy (pieniądza) i igrzysk daje przykład na "naszym podwórku"

Póki co na tym polu dominuje HF 13,56MHz; ale ostatni rok był przełomowy dla standaryzacji UHF (dla EU 868MHz)

Na polu "dowodów osobistych" w wersji e-id poddani JKMości tez kruszyli kopie a teraz taka rewelacja o złamaniu e-id.uk

Mam nadzieję że opinia (PDF) Peter Hustinx'a, European Data Protection Supervisor jest znana:

A key question is the determination of the legal instruments necessary to ensure that RFID applications are effectively deployed with the necessary technical solutions to prevent or minimise the risks for data protection and privacy, and that responsible controllers take adequate measures to comply with their obligations under existing legal frameworks

Czy działania pl.ID wychodzą naprzeciw kwestii bezpieczeństwa i ochrony prywatności? Planując użytkowanie systemu o żywotności +/-10lat wizjonerstwo decydentów jest, wg mnie, koniecznością.

na osłodę:

Przewiduje się, że projekt pl.ID w Polsce ma kosztować 90,1 miliona EUR, z czego około 76,2 miliona EUR będzie finansowane z funduszy unijnych. Zaplanowane na okres czterech lat prace przygotowawcze, mają zaowocować wydaniem pierwszego polskiego elektronicznego dowodu tożsamości 1 stycznia 2011.

W przeciwieństwie do innych krajów, takich jak Hiszpania czy Holandia, Polska prawdopodobnie będzie wydawać nowe elektroniczne dowody tożsamości bezpłatnie. Dowód taki, ważny przez dziesięć lat, będzie przechowywać dane osobowe wraz z fotografią cyfrową twarzy i osobistym podpisem elektronicznym oraz ewentualnymi dodatkowymi informacjami biometrycznymi.

Okres żywotności chip'ów RFID wydłuża się również skokowo z obecnych 10lat do 40lat użytkowania

P.S założenia przyjęte przez RM 29.12.2009 właśnie przybrały formę projektu wraz z uzasadnieniem i oceną skutków regulacji:
opublikowane BIP MSWiA 26.02.2010r

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>