Kto zostawia odciski na projekcie założeń projektu ustawy o dowodach osobistych
11 września Ministerstwo Spraw Wewnętrznych i Administracji opublikowało Projekt założeń do projektu ustawy o dowodach osobistych (pl. ID). Jutro Rada Ministrów ma przyjąć ten projekt założeń. W mediach pojawiły się doniesienia o nowych elementach, które mają się znaleźć w projektowanych przepisach, które - nie były poddane konsultacjom. Z jednego z takich doniesień dowiadujemy się, że "Odcisk palca wskazującego - podobnie jak w paszporcie - powinien zostać zakodowany w dowodach osobistych - zaproponował Jerzy Miller, szef MSWiA". Proces konsultacji społecznych przysparza chyba prawodawcy wiele kłopotów. Rok temu MSWiA ogłaszało, że porzuciło pomysły umieszczenia w dowodach osobistych odcisków palców. W żadnej z dwóch wersji "projektu założeń projektu" takich odcisków nie było. Teraz, na dzień przed posiedzeniem Rady Ministrów, dowiadujemy się, że może jednak... Odciski palców chciałaby mieć w dowodach osobistych ABW.
O przygotowywanych założeniach pisałem w tekście MSWiA przedstawiło do konsultacji założenia do ustawy pl. ID. Wówczas linkowałem do projektu z 11 września, który dziś ma już nową wersję, opublikowaną 7 grudnia. Wraca pomysł umieszczenia w dowodach osobistych kolejnych cech biometrycznych - obok owalu twarzy również odcisku palca.
Rok temu Witold Drożdż, Podsekretarz stanu w Ministerstwie Spraw Wewnętrznych i Administracji stwierdził:
Biorąc pod uwagę bieżące potrzeby bezpieczeństwa w tym zakresie, nie ma pełnego uzasadnienia do wprowadzania odcisków palców w dowodzie osobistym. Poza tym dowody biometryczne naruszałyby naszą prywatność. Zbieranie odcisków palców najczęściej kojarzy się nam się z jakimiś scenami z amerykańskich filmów. To pewnie nie jest sytuacja taka, w której sami chcielibyśmy się widzieć.
I w ten sposób MSWiA wycofywało się wówczas z odcisków palców w dowodach. Jeszcze wcześniej opublikowałem materiał Czy to może być niebezpieczne, gdy ktoś pozyska nasze odciski palców?, a tam umieściłem klip, którego scenariusz wzorowany był na happeningu zrealizowanym przez niemiecki Chaos Computer Club:
Minutowy klip opublikowany w YouTube: Porozmawiajmy o biometrii. Była to próba rozpoczęcia dyskusji o danych biometrycznych w Polsce. Chaos Computer Club pozyskał w podobny sposób, a następnie opublikował odcisków palców niemieckiego federalnego ministra spraw wewnętrznych, Wolfganga Schäuble (por. Zderzenie państwa i prywatności obywateli: kogo będzie bolało?; tam również o nagrodzie, którą zaoferowały organizacje Privacy International oraz brytyjska organizacja NO2ID za linie papilarne premiera Wielkiej Brytanii).
W dzisiejszym tekście Gazeta.pl, pt. Odcisk palca w nowych dowodach? Rząd podzielony, czytamy:
...na ostatnim posiedzeniu Rady Ministrów minister miał przekonywać premiera i innych szefów resortów do tego, że dodatkowe wprowadzenie odcisku palca do nowego dokumentu zapewni jego większe bezpieczeństwo. Zgłosił też odpowiednią autopoprawkę do projektu założeń do ustawy o dowodach osobistych.
W projekcie założeń z 7 grudnia o cechach biometrycznych napisano m.in.:
Nowy wzór dowodu osobistego, oprócz warstwy graficznej pozwalającej na potwierdzenie tożsamości osoby, będzie także posiadał warstwę elektroniczną zawierającą, między innymi, zabezpieczone dane biometryczne (biometryczny wizerunek twarzy). Funkcjonalności umieszczone w części elektronicznej nie będą stanowiły katalogu zamkniętego, a co za tym idzie, w miarę potrzeb wskazanych w przepisach innych ustaw, ich zawartość będzie mogła być uzupełniana o dane niezbędne do realizacji określonych praw i obowiązków obywateli. Warstwa elektroniczna dokumentu zapewni mu także dodatkową funkcjonalność, umożliwiającą potwierdzanie tożsamości osoby dokonującej czynności drogą elektroniczną oraz potwierdzanie autentyczności dowodu osobistego i prawdziwości danych z warstwy graficznej.
W całym dokumencie nie ma słowa o odciskach palców. A przynajmniej nie "wprost". Gazeta.pl relacjonuje brak chęci komentowania przez urzędników ministerstwa nowych elementów "dyskusji", Jacek Sońta, naczelnik Wydziału Komunikacji i Promocji MSWiA, miał stwierdzić, że wszystko zależy od decyzji Rady Ministrów. Były jakieś konsultacje społeczne, były jakieś dwa projekty założeń, jutro posiedzenie Rady Ministrów, w porządku obrad której (PDF) jest już uwzględniony projekt założeń projektu ustawy o dowodach osobistych. Dziś nie wiadomo, które rozwiązania popiera samo ministerstwo... To znaczy... Wiadomo, które popiera, bo przecież by dziś nie było w mediach o tych odciskach palców, gdyby temat upadł.
Warto sięgnąć do uwag do projektu z 7 grudnia, by dostrzec, jakie jeszcze ciekawe elementy tego projektu założeń wzbudzają zainteresowanie strony rządowej. Są to m.in. dostęp do Rejestru Dowodów Osobistych (i kto ma miec do niego wgląd, udostępnienie danych w trybie "ograniczonej teletransmisji", RCL zwraca uwagę, że trzeba doprecyzować rozumienie "umożliwienie niezwłocznej reakcji na sytuację zagrożenia dla bezpieczeństwa danych przechowywanych w postaci elektronicznej", pojawia się też problem elektronicznych podpisów w dowodzie osobistym (i co znaczą "usługi certyfikujące", "centrum certyfikacji" itp.).
I to właśnie w uwagach zgłoszonych przez ABW czytamy:
W opinii Agencji, w dowodzie osobistym powinny być kodowane dane biometryczne analogiczne tych, które obecnie kodowane sa w paszportach, a więc również odciski palców.
Interesująco wygląda to w warstwie graficznej:
Fragment zeskanowanego faxu z ABW w sprawie odcisków palców w nowych dowodach osobistych. Przy tym fragmencie ktoś ręcznie wyrysował znak zapytania, a słowa "odciski palców" są podkreślone...
Przeczytaj również:
- Dane biometryczne a ochrona prywatności
- Ustawa wprowadzająca dane biometryczne w dokumentach paszportowych
- Identyfikacja następnych pokoleń
- Chcesz chipa pod skórę? Zostań pracownikiem CityWatcher
- Obywatela zmierzyć, zważyć, zidentyfikować
- Elektroniczne czy biometryczne dowody osobiste?
- Wchodzą w życie paszporty biometryczne
- Standardy techniczne paszportów biometrycznych - jak wyinterpretować normy prawne?
- Elektroniczne paszporty w Europie
- Biometryka w paszportach coraz bliżej
- Odciski MSWiA bez przetargu
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Nic nowego
Odciski palców na dowodach tożsamości już ćwiczyliśmy:
http://pl.wikipedia.org/wiki/Kenkarta
Co z tego, że rząd przyjął, skoro nie wiadomo, co przyjął?
Właśnie opublikowano informacje po dzisiejszej Radzie Ministrów, z której wynika, że rząd przyjął Założenia do projektu ustawy o dowodach osobistych, przedłożone przez ministra spraw wewnętrznych i administracji. Rząd coś przyjął, ale nie wiemy, co dokładnie przyjął. Brzmienie takich (przyjętych) założeń jest istotne, zwłaszcza wobec takich "wrzutek legislacyjnych", z jakimi mamy ostatnio coraz częściej do czynienia. Z notatki nie wynika, czy uwzględniono "wrzutkę ABW" i w założeniach mają się pojawić również "odciski palców". Napisano jedynie:
--
[VaGla] Vigilant Android Generated for Logical Assassination
Czyli bez odcisków
Chociaż dziennikarz "odwalił fuszerkę", bo owal twarzy jest cechą biometryczną, to jednak mamy nowe informacje po dzisiejszej Radzie Ministrów: Nowe dowody osobiste jednak nie będą biometryczne. Rząd wycofał się z pomysłu: "Rząd zrezygnował m.in. z pomysłu Jerzego Millera, ministra spraw wewnętrznych i administracji, który postulował o dodanie do nowych dowodów osobistych elektronicznego zapisu odcisku naszych palców. "
--
[VaGla] Vigilant Android Generated for Logical Assassination
opublikowany (wreszcie) tekst 16.02.2010
Projekt założeń projektu ustawy o dowodach osobistych (w brzmieniu przyjętym przez Radę Ministrów w dniu 28 grudnia 2009 r.) przepraszam z dubla ale tutaj tez to istotne ;)
Wicepremier W.P. czyta Twoje teksty :-)
i chwali :-))))
http://pawlak.salon24.pl/146689,odciski-palcow-tak-czy-nie
Cóż z tego, że czyta?
Czyta. Wiem, że czyta, bo widzę ruch przychodzący z linków umieszczonych w innych serwisach. Pod tym tekstem, który Macieju podlinkowałeś, zostawiłem wczoraj komentarz następującej treści:
PS
W tym duchu komentował dziś w TOK FM (MP3) również dr Adam Bodnar z Helsińskiej Fundacji Praw Człowieka.
--
[VaGla] Vigilant Android Generated for Logical Assassination
odciski palców i automatyczna weryfikacja dowodu
W całym zamieszaniu i dyskusji w prasie o zabarwieniu
ideologicznym znika to co jest najważniejsze.
1. Zapisanie odcisków palców w dowodzie osobistym jest chyba jedyną
rozsądną ekonomicznie metodą automatycznego a także dość wiarygodnego sprawdzania czy osoba okazująca dowód osobisty
jest osobą figurującą w dowodzie. (W ten sposób funkcjonuje np. automatyczna kontrola graniczna w Malezji)
2. Zdjęcie wydrukowane na dowodzie, ze względu na rozmiary i konieczność zastosowania w tym samym miejscu zabezpieczeń
graficznych jest słabo widoczne i często trudno rozpoznać na nim właściciela. Legitymowanie się cudzym dowodem może być rozpoznane jedynie, jeśli osoba okazująca dowód jest w istotny sposób niepodobna do właściciela dowodu.
3. Jeśli zdjęcie zapisane jest w warstwie elektronicznej, to jest nieco lepiej - można je wyświetlić w lepszej rozdzielczości na ekranie. Ponieważ plik ze zdjęciem powinien być podpisany cyfrowo, trudno byłoby również podrobić dowód. Ale porównania musi dokonać
człowiek i bywa to zawodne - choćby dlatego że w ciągu 10 lat
zmieniamy swój wygląd.
Zatem za biometrią przemawia bardzo silnie możliwość ograniczenia niebezpieczeństwa posługiwania się cudzym dowodem osobistym.
Przeciwko biometrii przemawiają koszty -- zapis odcisków palców wymagałby zbudowania podobnego systemu co przy paszportach.
Argumenty o utracie prywatności i możliwości śledzenia obywateli są
mocno spóźnione, bo:
-- większość zainteresowanych ma lub mieć będzie paszport biometryczny (tu nie mamy możliwości decyzji czy dane te umieszczamy - decyzję podjęły państwa wpuszczające na swe terytorium).
Jeśli ktoś więc obawia się, że dane biometryczne znajdą się w
dyspozycji Państwa, to obawia się w sposób nieuzasadniony - one tam
już mogą być.
-- Do śledzenia obywateli nie trzeba e-dowodów osobistych (co zresztą byłoby technicznie dość skomplikoane i drogie). Dane te dostarczają obywatele niejako na ochotnika używając telefonów komórkowych.
Pozdrowienia,
MK
A czemu nikt nie rozmawia o likwidacji kenkarty?
A z ciekawości, po co jest drugi dowód tożsamości oprócz paszportu? Wydaje mi się, że likwidacja "dowodzików do kontroli" przyniosłaby spore zyski ekonomiczne oraz wzrost bezpieczeństwa obywateli.
> A z ciekawości, po co
> A z ciekawości, po co jest drugi dowód tożsamości oprócz paszportu?
Oczywiście można podać argument, że paszport to książeczka
z miejscem na wizy i w codziennym użyciu np. przez kierowców
uległa by szybkiemu zniszczeniu.
Jest jednak i poważny powód techniczny. Protokół wymiany danych
pomiędzy czytnikiem a paszportem trzeba zrobić zgodnie ze
standardami ICAO, tak aby móc paszportu używać do wjazdu
do pewnych krajów.
e-dowód osobisty można zabezpieczyć bardziej, zgodnie z
europejskim, restrykcyjnym podejściem do ochrony danych osobowych.
Pozdrawiam,
MK
Do czego jest nam potrzebna część elektroniczna dowodu?
Z tym się niestety nie mogę zgodzić, odciski palców zostawiamy na każdym kroku, łatwo je podrobić i używać podrobionych, trudno je zmienić (poza chirurgią rekonstrukcyjną opuszków chyba niemożliwe, ale tu nie mam pewności). Do tego są na co dzień używane w daktyloskopii, co sprawia, że ułatwienie do nich dostępu osobom postronnym może mieć niemiłe konsekwencje.
Co do umieszczania zdjęć na dokumentach, to polecam ten eksperyment. Jakość zdjęcia będzie miała drugorzędne znaczenie, problem pojawia się przy ocenianiu dopuszczalnych zmian wyglądu (choćby makijaż, zarost, czy 2 lata różnicy).
Jeżeli będzie to takie samo podpisanie cyfrowo, jak w przypadku ELS, to nie da się jednoznacznie stwierdzić fałszywej legitymacji. KIR nie umożliwia prześledzenia łańcucha certyfikatów od tego zamieszczonego na legitymacji do certyfikatu CA. Podejrzewam, że podobny problem (czysto proceduralny) pojawi się z DO. Z paszportami ICAO ten problem wystąpił i nie wiadomo na ile jest wykorzystywany.
Prawdziwym pytaniem, które powinni sobie zadać prawodawcy jest "Po co nam część elektroniczna dowodu?". Nie przyspieszy to sprawdzania dokumentów, bo za każdym razem trzeba będzie sprawdzić zarówno część fizyczną jak i elektroniczną dowodu. Nie zwiększy bezpieczeństwa ponad to co daje sama część fizyczna, bo "elektronika" i "kryptografia" to nie magiczne zaklęcia, które dają bezpieczeństwo.
Poza podniesieniem ryzyka upublicznienia pewnych informacji o obywatelach (wyciek, błąd projektowy samego DO) nie widzę żadnych realnych skutków dodania części elektronicznej do DO. Co prawda jest jeszcze tzw. "Lans" na arenie światowej, ale to akurat mnie mało obchodzi jako obywatela.
Drogi Makdaam, piszesz:
Drogi Makdaam,
piszesz:
Prawdziwym pytaniem, które powinni sobie zadać prawodawcy jest "Po co nam część elektroniczna dowodu?". Nie przyspieszy to sprawdzania dokumentów, bo za każdym razem trzeba będzie sprawdzić zarówno część fizyczną jak i elektroniczną dowodu. Nie zwiększy bezpieczeństwa ponad to co daje sama część fizyczna, bo "ektronika" i "kryptografia" to nie magiczne zaklęcia, które dają bezpieczeństwo.
Po pierwsze, oczywiście nie zawsze trzeba będzie sprawdzać zarówno część elektroniczną jak i graficzną. Ale niekiedy lepiej by były sprawdzone. Dotyczy to takich sytuacji jak na przykład sprzedaż nieruchomości. Dziś notariusz bierze dowód i go "sprawdza". Niestety niewiele może sprawdzić...
Jest nieprawdą, że nie zwiększy to bezpieczeństwa. Obecne zabezpieczenia graficzne nie chronią przeciwko podrabianiu
dokumentów przez organizacje dysponujące odpowiednią bazą techniczną. A ponieważ większość państw wydaje dokumenty tożsamości, odpowiednia technika jest dostępna.
Sytuacja się zmienia, jeśli dane z dowodu zostają podpisane cyfrowo. W takiej sytuacji podrabiający dowód musi podrobić również podpis cyfrowy. I tu póki co podrabiający jest bezradny.
I to chyba główny powód dla którego Unia wymaga wprowadzenia
e-dowodów. Zabezpieczenia tylko graficzne to ślepa ścieżka.
Pozdrowienia,
MK
Trudno
Niestety podpis cyfrowy nie zabezpieczy przed wykonaniem kopii części elektronicznej DO osoby X, a następnie dorobienia częsci fizycznej (część elektroniczna, z tego co rozumiem, ma przechowywać wszystkie informacje z części fizycznej + dodatki?) jeżeli tylko ktoś "dysponuje odpowiednią bazą techniczną". Koszt urządzeń do kopiowania części elektronicznej to od 10EUR (interfejs stykowy) do 250EUR (za nowy uniwersalny czytnik RFID). W świetle kosztów zaawansowanego sprzętu poligraficznego są to naprawdę niskie ceny.
O ile rozumiem przypadek gdy nie będzie wymagane sprawdzenie części elektronicznej (ktoś obejrzy DO, bo np. nie dysponuje czytnikiem), to nie jestem sobie w stanie wyobrazić sprawdzania tylko części elektronicznej. Jeżeli zabezpieczenie ma być oparte na podpisaniu danych, to jaką wartość ma weryfikacja klonowalnych danych i podpisu?
Właśnie największym problemem jest to, że nie można być pewnym, bo nie przedstawiono celów, które e-dowody miałyby spełnić. Brak celów oznacza brak opinii na temat wykonalności oraz określenia jakie technologie należy zastosować aby je osiągnąć.
Jeżeli istnieje takie parcie na e-dowody to nic nie poradzę. Nie mam wystarczającego zaplecza lobbingowego. Czekam z niecierpliwością na pierwsze rozporządzenia z załącznikami technicznymi.
części elektronicznej nie da się sklonować
Niestety podpis cyfrowy nie zabezpieczy przed wykonaniem kopii części elektronicznej DO osoby X, a następnie dorobienia częsci fizycznej (część elektroniczna, z tego co rozumiem, ma przechowywać wszystkie informacje z części fizycznej + dodatki?) jeżeli tylko ktoś "dysponuje odpowiednią bazą techniczną".
Hm, to nie tak. Może wytłumaczę nieco szczegółów technicznych.
Dane, które są wydrukowane na dowodzie (no i pewnie jakieś inne
w rodzaju numeru ubezpieczenia zdrowotnego - o czym coś pisała prasa), miałyby swą elektroniczną kopię, zabezpieczoną podpisem elektronicznym. Zapewne będą podpisane wraz z numerem DO.
Zatem istotnie dane te po odczytaniu można wykorzystać do zapisania
na innym blankiecie z tymi samymi danymi w warstwie graficznej.
Fałszerz tworzyły więc kopię dowodu osobistego.
Kłopot pojawia się oczywiście wtedy, gdy nie ma w warstwie elektronicznej zapisanego zdjęcia - wtedy zdjęcie w warstwie graficznej można dowolnie zmienić.
Jest jednak coś najbardziej istotnego co umknęło Twej Makdaam uwadze.
Nie wszystkie dane z warstwy elektronicznej można odczytać. Dowód osobisty musi się elektronicznie uwierzytelniać wobec czytnika. Tu stosowany jest klucz prywatny zawarty w DO w części pamięci z niedostępnym dostępem do odczytu (tak jak w każdym rozsądnym urządzeniu do składania podpisu elektronicznego). Więc tego klucza nie przekopiuje się na sklonowany dowód.
Ze względu na protokół uwierzytelniania (w Niemczech jest to statyczny Diffie-Hellman, z certyfikatem wystawionym przez
wydajacego dowód) przy obecnym stanie techniki
uwierzytelniania nie da się obejść, nie da się
podmienić numeru dowodu, itp.
Tak więc w przypadku sklonowania dowodu przy pierwszej próbie elektronicznego użycia następowałaby wpadka fałszerza.
W założeniach do projektu jest coś na ten temat enigmatycznie napisane w stylu "warstwa elektroniczna ma zabezpieczać przed klonowaniem". No i tyle w ustawie powinno być, bez specyfikacji technologii.
to nie jestem sobie w stanie wyobrazić sprawdzania tylko części elektronicznej
To akurat łatwo sobie wyobrazić. DO powinien zastąpić mechanizmy
logowania się oparte na loginie i haśle. Co do szczegółów technicznych odsyłam do raportów BSI.
Jeżeli istnieje takie parcie na e-dowody to nic nie poradzę. Nie mam wystarczającego zaplecza lobbingowego. Czekam z niecierpliwością na pierwsze rozporządzenia z załącznikami technicznymi.
Poczekajmy na ustawę, bo najwięcej w rękach posłów. Same rozporządzenia RÓWNIEŻ nie powinny zawierać szczegółów technicznych - tylko wymagania do zapisania w SIWZ.
Pozdrawiam,
MK
Mhm
Czyli jednak będzie w takiej czy innej formie zunifikowana i powszechna weryfikacja Challenge-Response (inna od podpisu kwalifikowanym certyfikatem), której nie udało mi się znaleźć w raportach.
Panie Profesorze, w jaki
Panie Profesorze, w jaki sposób fakt, że
"Dowód osobisty musi się elektronicznie uwierzytelniać wobec czytnika."
...ma uniemożliwić odczytanie z niego czegokolwiek ?
Czy nie powinno być czasem odwrotnie ? Rozumiem rozwiązanie z (przynajmniej teoretycznie...) niedostępną pamięcią, ale z tym kierunkiem uwierzytelniania chyba czegoś nie rozumiem.
kierunek uwierzytelniania
Panie Profesorze, w jaki sposób fakt, że
"Dowód osobisty musi się elektronicznie uwierzytelniać wobec czytnika."
...ma uniemożliwić odczytanie z niego czegokolwiek ?
Czy nie powinno być czasem odwrotnie ? Rozumiem rozwiązanie z (przynajmniej teoretycznie...) niedostępną pamięcią, ale z tym kierunkiem uwierzytelniania chyba czegoś nie rozumiem.
Dziekuję za pytanie. Jest ważne i to jedna z kluczowych kwestii
do rozstrzygnięcia na poziomie politycznym. Protokół uwierzytelniania
może:
1. uwierzytelniać dowód wobec czytnika,
2. uwierzytelniać czytnik wobec dowodu osobistego.
Można oczywiście tak zaprojektować system, aby pewne rodzaje
dostępu nie wymagały uwierzytelnienia czytnika wobec dowodu osobistego.
Uwierzytelnianie dowodu wobec czytnika przeciwdziała klonowaniu oraz fałszowaniu DO. Ale nie kontroluje komu dane są przekazywane.
Oczywiście niezbędne wydaje się zastosowanie rozwiązań wymagających podania kodu PIN lub kodu umieszczonego w warstwie graficznej DO (ale nie w elektronicznej!) dla zapobieżenia odczytu bez wiedzy
posiadacza.
W przypadku zastosowania uwierzytelniania czytnika dowód osobisty
uzyskuje możliwość sprawdzenia, czy czytnik posiada aktualne uprawnienia do komunikacji z DO w określonym zakresie.
Oczywiście absolutnie niezbędne jest zaimplementowanie
uwierzytelniania czytnika wobec DO. Dotyczy to takich operacji
jak choćby implementacja podpisu kwalifikowanego,
czy wpisywania do DO danych dotyczących ubezpieczenia zdrowotnego.
Sprawa nie jest technicznie prosta, bo wymaga zbudowania
infrastruktury klucza publicznego wspierającej DO.
Wymagania funkcjonalne są inne niż w przypadku X.509,
ale architektura jest z grubsza znana (patrz specyfikacje niemieckiego BSI).
Pytaniem politycznym jest to jaki dostęp powinien być możliwy dla czytników na jakim poziomie uwierzytelniania.
Najbardziej restrykcyjne podejście to podejście niemieckie:
przekazanie danych osobowych przez DO możliwe jedynie
wobec uwierzytelnionego czytnika. To, które czytniki są uwierzytelnione, kontroluje państwo (niemieckie, na poziomie federalnym).
Osobiście sądzę, że jest to podejście zbyt restrykcyjne i
niepraktyczne.
Sądzę, że odczyt danych widocznych w warstwie graficznych, powinien być możliwy przez czytnik, który uwierzytelni się kodem PIN (podanym przez posiadacza dowodu), lub kodem widocznym w warstwie graficznej dowodu. To by umożliwiło na przykład silne uwierzytelnianie klienta wobec banku.
W sumie chodzi o to by bank mógł sprawdzić czy dowód jest autentyczny
i na tę osobę, jaka go okazuje. Pozwoliłoby to zmniejszyć poziom ryzyka a więc i koszty usług bankowych.
Jest oczywiście cała masa pytań. Na przykład, czy i jak używać
elektronicznej warstwy dowodu osobistego do kontroli wieku
(na przykład przy sprzedaży alkoholu). Jeśli to robić, to
protokół powinien umożliwiać udostępnienie danych jedynie odnośnie pełnoletności (oczywiście, były na ten temat i inne pomysły).
Pozdrowienia i życzenia wejścia w 2011 rok z najlepszymi DO w Europie
(życzenia zarówno dla forumowiczów jak i MSWiA)
MK
Również pozdrawiam w Nowym
Również pozdrawiam w Nowym Roku, chociaż nie rozumiem, dlaczego musimy wydawać setki milionów i ryzykować ogromne zagrożenia dla obywateli aby ekscytować się "najlepszymi DO w Europie".
Obawiam się, że celem tej reformy jest wymuszenie zapisywania w tych DO informacji o zdrowiu, tak żeby była zagregowana i łatwo dostępna. Samo zdefiniowanie polityki bezpieczeństwa dla tych danych oraz implementacja odpowiednich mechanizmów kryptograficznych i zarządzania kluczami byłaby mocno niebanalna, nawet zakładając dobrą wolę odpowiednich podmiotów. Skończy się zapewne na tym, że komplet informacji o zdrowiu właścieciela DO będzie łatwo dostępny dla każdego kto ma dostęp do dokumentu - policjanta, urzędnika a może nawet tego sprzedawcy w sklepie z alkoholem. A jeśli w dokumencie będzie RFID, to w ogóle dla każdego kto przechodzi obok.
Dlaczego nikt przeciwko temu nie protestuje?
Zaczniemy naprawiać ten pociąg w biegu
Trudno protestować przeciwko ogólnym hasłom. To co przecieka na zewnątrz dalekie jest od kompletnej technicznej specyfikacji, która pojawi się pewnie dopiero w formie gotowego i zatwierdzonego już rozporządzenia. Na całe szczęście projekt ustawy przewiduje unieważnianie niebezpiecznych serii dowodów i właśnie przez operacje na systemie produkcyjnym widzę szansę naprawienia ewentualnych luk.
dane medyczne
dlaczego musimy wydawać setki milionów i ryzykować ogromne zagrożenia dla obywateli abynia anonimowej ekscytować się "najlepszymi DO w Europie".
Odwrotnie, musimy nieco wydać, by odwrócić zagrożenia od obywateli.
Jeśli dowód osobisty jest podrabialny, to jest niebezpieczny.
Ponadto, nie mamy żadnej metody do uwierzytelniania się drogą elektroniczną wobec administracji publicznej.
Zresztą nie tylko. Dowód wg założeń ma realizować
możliwość uzyskania anonimowej tożsamości elektronicznej.
Obawiam się, że celem tej reformy jest wymuszenie zapisywania w tych DO informacji o zdrowiu, tak żeby była zagregowana i łatwo dostępna.
Jeśli ktoś sobie taki cel stawia (nie sądzę), to nie zna realiów technicznych. Pamięć elektroniczna dowodu osobistego będzie niewielka (to kwestia ceny) i i tak częściowo zajęta plikami systemowymi, rezerwacją pod implementację podpisu kwalifikowanego, podpisem osobistym, itp. W sumie w dowodzie osobistym
niewiele da się zapisać.
Jeśli ktoś naprawdę chciałby zapewnić dostęp do danych medycznych
policjantowi, to może to zrobić zupełnie inaczej:
(choćby po to by pacjent miał wiarygodną, dostępną i pełną bazę
informacji o sobie),
programy profilaktyczne, monitoring błędów w procedurach medycznych,...)
Tak więc, jeśli obawy Czajnika są uzasadnione, to nawet likwidacja dowodów osobistych zupełnie nie zmianiłaby sytuacji. Dopiero całkowite powstrzymanie się od chodzenia do lekarza
zapewniłoby bezpieczeństwo danych. Ale tego raczej nie polecam.
A jeśli w dokumencie będzie RFID, to w ogóle dla każdego kto przechodzi obok.
Powtórzę jeszcze raz:
to że procesor komunikuje się bezprzewodowo nie oznacza, że
udostępnia dane . Dowód osobisty to nie RFID z metki na butelce mleka.
To czy komunikacja odbywa się za pomocą styków, czy drogą radiową
też nie ma większego znaczenia. Również w przypadku interfejsu stykowego powinien być zaimplementowany protokół uwierzytelniania.
Nie jestem absolutnie zwolennikiem ignorowania problemów prywatności i niebezpieczeństw z tym związanych. Wręcz przeciwnie.
Choćby dlatego że pracujemy nad technikami ochrony prywatności.
Pozdrawiam seredecznie,
MK
"Jeśli dowód osobisty jest
"Jeśli dowód osobisty jest podrabialny, to jest niebezpieczny.
Ponadto, nie mamy żadnej metody do uwierzytelniania się drogą elektroniczną wobec administracji publicznej."
To w pełni rozumiem i nie kwestionuję. Tylko jedno mnie nurtuje: jak będzie wyglądało generowanie klucza prywatnego ? Teoretycznie klucz prywatny/podpisujący powinien wygenerować sobie użytkownik i przesłać CSR do CA. Jak to będzie wyglądało w przypadku dowowdów ?
Czy nie będzie czasem tak, że państwo da obywatelowi gotowy dokument (od razu z kluczem prywatnym) ? Jaka jest gwarancja, że państwo nie zrobi sobie kopii kluczy prywatnych ? I każdy obywatel - nie mając wyboru - jest zmuszany przez państwo do przyjęcia takiego dokumentu, a wszelkie operacje kluczem prywatnym - być może posiadanym przez państwo - mają być dla niego prawnie wiążące ?
"Zresztą nie tylko. Dowód wg założeń ma realizować
możliwość uzyskania anonimowej tożsamości elektronicznej."
Co to jest "anonimowa tożsamość elektroniczna" ?
Bo chyba nie chodzi o anonimową komumikację ? W to nie uwierzę, po tym wszystkim co się od dłuższego czasu dzieje i co wygadują różni politycy i urzędnicy, nagonce na Tora, itp.
"Jeśli ktoś naprawdę chciałby zapewnić dostęp do danych medycznych
policjantowi, to może to zrobić zupełnie inaczej:"
Budzi moją głęboką troskę stwierdzenie, że coś jest nieuniknione dla naszego dobra, albo "inny płatnik świadczeń zapewni sobie dostęp", ewentualnie, że "pod hasłem zwalczania korupcji w służbie zdrowia organy ścigania uzyskają dostęp"... Ale skoro Pana to nie bulwersuje, to nie powinno dziwić, że większość społeczeństwa milczy jak stado baranów.
"To czy komunikacja odbywa się za pomocą styków, czy drogą radiową
też nie ma większego znaczenia."
Pozwoliłbym sobie polemizować, biorąc pod uwagę dotychczasowe doświadczenia z technologiami bezprzewodowymi (niw tylko RFID).
W przypadku ewentualnych problemów np. z bezpieczeństwem protokołów uwierzytalniających (które w takich rozwiązaniach są powszechne, tak się jakoś dziwnie składa), zagrożeniem będzie tylko czytnik a nie wszystko dookoła.
szczegóły techniczne
Tylko jedno mnie nurtuje: jak będzie wyglądało generowanie klucza prywatnego ? Teoretycznie klucz prywatny/podpisujący powinien wygenerować sobie użytkownik i przesłać CSR do CA. Jak to będzie wyglądało w przypadku dowodów ?
Sądzę, że najlepszą drogą jest generowanie przez sam dowód osobisty
w bezpiecznym środowisku. Dowód osobisty ma być "bezpiecznym urządzeniem do składania podpisu elektronicznego", więc nie powinien umożliwiać wydobycia na zewnątrz tak wygenerowanego klucza.
Jedyny minus jest taki, że w przypadku utraty dowodu musimy zacząć posługiwać się nową parą kluczy.
Miejmy nadzieję, że zapis w ustawie będzie mówił, że
zastosowane rozwiązania muszą dawać rękojmię, by poza właścicielem dowodu nie mógł wejść w posiadanie klucza do podpisu osobistego
przy użyciu dostępnych technik.
(Byłoby lepiej niż w przypadku bezpiecznego podpisu elektronicznego weryfikowanego kwalifikowanym certyfikatem).
a wszelkie operacje kluczem prywatnym - być może posiadanym przez państwo - mają być dla niego prawnie wiążące ?
Tak, ale dotyczy to postępowania administracyjnego. Tu i tak środki bezpieczeństwa są dosyć liberalne - przesyłamy pismo podpisane od urzędu a tam nikt nie ma wzoru podpisu i nie może podpisu zweryfikować. Mimo tego cały system funkcjonuje.
Co to jest "anonimowa tożsamość elektroniczna" ?
Bo chyba nie chodzi o anonimową komumikację ? W to nie uwierzę, po tym wszystkim co się od dłuższego czasu dzieje i co wygadują różni politycy i urzędnicy, nagonce na Tora, itp.
Chodzi o "restricted identity". Przechodząc do szczegółów technicznych (wg rozwiązania niemieckiego): obywatel ma klucz prywatny do statycznego protokołu Diffie-Hellmana oraz certyfikat dla odpowiadającego mu klucza publicznego. Certyfikat wydawany jest przez państwowe CA, które zachowuje powiązanie klucza publicznego z osobą fizyczną. Dodatkowo certyfikat może zawierać ograniczenie obszaru zastosowania (np. identyfikacja na potrzeby komunikacji z
Państwową Inspekcją Pracy, np. do kontaktu ze słuzbą zdrowia we
wrażliwych dziedzinach, lub do uwierzytelniania na forach internetowych).
Co do nagonki na TORa to w pełni się zgadzam. Od polityków raczej oczekiwałbym prawa zakazującego polskim urzędnikom i politykom korzystania z wyszukiwarek internetowych bez korzystania z narzędzi typu TOR. Myślę, że słynna wypowiedź na temat TORa była
po prostu wpadką merytoryczną.
Budzi moją głęboką troskę stwierdzenie, że coś jest nieuniknione dla naszego dobra, albo "inny płatnik świadczeń zapewni sobie dostęp", ewentualnie, że "pod hasłem zwalczania korupcji w służbie zdrowia organy ścigania uzyskają dostęp"... Ale skoro Pana to nie bulwersuje, to nie powinno dziwić, że większość społeczeństwa milczy jak stado baranów.
Nie mówiłem, że mi się to podoba. Starałem się opisać stan faktyczny.
Państwo polskie nie docenia niebezpieczeństw jakie powoduje to nie tylko dla pojedynczych obywateli ale dla tzw. bezpieczeństwa publicznego. Retencja wszelkiego rodzaju danych na potrzeby własnych służb ma tę wadę, że nigdy nie ma pewności kto z tych danych bardziej korzysta. Niemcy zaliczyli wpadki i padały już publicznie głosy, że retencja danych jest większym zagrożeniem dla bezpieczeństwa publicznego niż korzyść z nich.
Pozwoliłbym sobie polemizować, biorąc pod uwagę dotychczasowe doświadczenia z technologiami bezprzewodowymi (niw tylko RFID).
W przypadku ewentualnych problemów np. z bezpieczeństwem protokołów uwierzytalniających (które w takich rozwiązaniach są powszechne, tak się jakoś dziwnie składa), zagrożeniem będzie tylko czytnik a nie wszystko dookoła.
Chciałem powiedzieć, że jeśli protokół uwierzytelniania zostanie złamany, to cała warstwa elektroniczna e-dowodu przestaje być wiele warta. Bez względu na czytnik. Publikowane profile bezpieczeństwa dla komunikacji przez czytnik stykowy dla bezpiecznych urządzeń również wymagają trybu odpornego na podsłuch.
Oczywiście podsłuch na komunikację radiową łatwiej założyć niż na komunikację za pośrednictwem czytnika stykowego. :)
Pozdrowienia,
MK
Wydzieranie danych na sile. To jest szantaz
Cytuje i komentuje ""Argumenty o utracie prywatności i możliwości śledzenia obywateli są mocno spóźnione, bo:
większość zainteresowanych ma lub mieć będzie paszport biometryczny (tu nie mamy możliwości decyzji czy dane te umieszczamy - decyzję podjęły państwa wpuszczające na swe terytorium).
Jeśli ktoś więc obawia się, że dane biometryczne znajdą się w dyspozycji Państwa, to obawia się w sposób nieuzasadniony - one tam już mogą być.""
Blad w rozumowaniu- Paszport wyrabiamy dobrowolnie i nie mam ochoty go robic zeby ktos nie dostal za duzo info o mnie. Za to Dowod Osobisty jest obowiazkowy, a wiec moje dane osobowe wydziera mi sie na sile szantazujac konsekwencjami. Szantaz jest przestepstwem. A ja jestem porzadnym obywatelem ktory nic nie zawinil. Nie oddaje odciskow ani zrenicy czy DNA. Za szntaz powinno sie siedziec dlugie lata. Poza tym- kto nam zagwarantuje ze nowy Hitler i Stalin nie dojdzie do wladzy i nie uzyje gotowych danych?
Richard 1960
Ale o co chodzi?
Jak rozumiem DO jest dokumentem potwierdzającym tożsamość (czyli służącym do uwierzytelnienia okaziciela przed osobą, której DO okazuje). Umieszczenie danych biometrycznych miałoby ten sens, że można zweryfikować czy okaziciel dowodu jest jego legalnym posiadaczem. Dane biometryczne można rzecz jasna podpisać podpisem elektronicznym wystawcy dowodu. Cała reszta to już istotne rozszerzenie funkcjonalności DO i to jest stosunkowo mało bezpieczne, bo DO staje się "single point of failure". Przypomina mi się fragment "Limes Inferior" Zajdla, w którym Sneerowi ukradli Klucz... Jak tak dalej pójdzie to kolejnym rozwiązaniem rzeczywiście będzie zachipowanie ludzi (w celu oczywiście zwiększenia bezpieczeństwa związanego z zagrożeniem utraty DO).
Pytanie: jaki to ma sens? DO powinien wystarczyć do mojego uwierzytelnienia się przed systemem, a moje dane powinny być w systemie. Nota bene mógłbym mieć nawet kilka egzemplarzy DO (jeśli dane biometryczne plus podpis wystawcy i tak uniemożliwiłyby posługiwanie się nimi innym osobom). Po co tam pchać coś więcej?
opublikowany (wreszcie) tekst 16.02.2010
Projekt założeń projektu ustawy o dowodach osobistych (w brzmieniu przyjętym przez Radę Ministrów w dniu 28 grudnia 2009 r.)
czas na przetarg pl.ID
co się zaczynało czas kończyc CPI MSWiA zaczęlo postępowanie w ramach pl.ID
SIWZ dostępny tylko na wniosek
wymagania podciągnięte ostro w góre (pod PWPW?) , tryb zamówienia wprost w ogłoszeniu nieokreślony - trzeba doczytać że chodzi o "dialog konkurencyjny":
-ogłoszenie i załączniki tylko w j. polskim (także w TED)
-wymagania poświadczeń bezpieczeństwa wg krajowych regulacji;
potem nikt nie będzie mówił że było "niekonkurencyjnie" ;)
w artykule Gazety Prawnej wreszcie otwartym tekstem "dla zjadaczy chleba" m.in o niemieckim pokazie w TV i bezpieczeństwie RFID to ostatni dzwonek przed katastrofą?:
To czyste szalenstwo
Wszyscy zapominamy o jednym- ze dowody osobiste nie powinny istniec w ogole i tak samo meldunek. Faktem jest ze wprowadzil je w Polsce Pilsudski, ale zrobil to w obliczu grozacej wojny z Sowietami i Niemcami. Chodzilo o szybka mobilizacje wojska. Dzisiejsze wladze usiluja kontynuowac tradycje Hitlerowsko- Stalinowskie. Najezdzcy narzucili nam dowody i meldunek w celu latwiejszego kontrolowania nas w celu wysylki na Syberie lub do Oswiecimia. Cala Europa, w pewnym momencie padla ofiara dyktatur takich jak Hitlera, Stalina, Mussoliniego, Czauczesku, Franko... Wszedzie gdzie oni dzialali- istnieja dowody i meldunki. A gdzie oni nie dzialali?- np- w Wielkiej Brytani, USA, Kanadzie. Nic dziwnego ze potegi te obywaja sie swietnie bez dowodow i meldunkow. Uczciwie mowiac- dowody wprowadzono w Wielkiej Brytani na czas wojny, ale w ok 1953 roku Premier publicznie podarl swoj przed kamerami konczac ere hanbienia obywateli. Stwierdzil, ze nie znajduja one uzasadnienia w czasie pokoju. Co prawda- istnieja tam faszyzujace bojowki domagajace sie ich wprowadzenia. Panowie- czy istnieje jakikolwiek dowod ze za-dowodowany i za chipowany i za-fingerprintowany i ob-fotografowany i za-... i ob-... jakikolwiek bandzior czy terrorysta zleknie sie i powie- no to koniec- teraz jak juz dostali moje odciski i DNA- to juz nic nie moge zrobic- musze zostac porzadnym obywatelem. Przeciez ten plastic uniemozliwia mi popelnienia aktow bandytyzmu i terroryzmu. Koniec- nie bedzie juz gwaltow i wlaman, nikt nie rozbije juz samolotu o wierzowce, ani tez nie obwiesi sie granatami zeby rozerwac sie w autobusie- no bo ma juz biometryczny dowod osobisty. Ten plastik uniemozliwi to bandziorowi. Panowie- w Kanadzie ani w USA nie istnieja dowody, ani meldunki- a kraje te radza sobie lepiej od kogokolwiek. Policja lapie zbirow tak samo jak tutaj, a do tego nie potrzebuja jakichkolwiek dokumentow. Ladies and gentelmen: pamietajcie ze Hitler zostal wybrany w demokratyczny sposob, ale dostal za duzo wladzy nad ludzmi. Tak samo probuje dzisiejszy Rzad Polski- dostac za duzo wladzy- a kto bedzie nas bronic przed Rzadem?