API na overenie čísla OP?


#1

Zdravím, neviete či existuje nejaké API, alebo aspoň nejaká stránka (aby sa to dalo z tade vyparsovať) na overenie čísla OP v kombinácií s menom a priezviskom / rodným číslom? Stačí aby to hodilo len true/false, či je kombinácia OP + r.č dobrá, alebo zlá. Docela by sa také API hodilo podľa mňa.

Jediné čo sa mi podarilo nájsť je https://www.minv.sk/?vyhladavanie-podla-cisla-preukazu ale to akosi nefunguje s číslami OP, teda aspoň nie s mojím.


#2

Nemyslel si skor toto? https://www.minv.sk/?stratene-a-odcudzene-doklady


#3

Nie, ja potrebujem len zistiť či je kombinácia čísla OP + rodného čísla platná (na overenie platnosti zadanej identity napr.). Nepotrebujem údaje o držiteľovi OP.

Hentá stránka je očividne len na zistenie, či bol stratený OP nájdený, napokon aj na OP s číslom “ZZ000000”, ktorý určite ešte neexistuje to vypíše rovnakú hlášku ako na reálny OP s číslom “EX123456”:
Občiansky preukaz číslo: 000000 , séria: ZZ
Doklad nie je evidovaný ako stratený alebo odcudzený.

úplne by stačilo niečo ako https://gov_server/check_id?id=EX123456&birth_id=8910206711 -> true / false


#4

Na aky ucel ma toto sluzit? Lebo teda cislo obcianskeho a rodne cislo nejako extra sukromne cisla nie su a ako naozajstne overenie identity by mi to asi velmi nestacilo.


#5

Uhádnuť správnu kombináciu č. OP a r.č. je aj tak pomerne zložité na brute-force, čiže relatívne by to mohlo stačiť aspoň na overenie, či človek nezadal náhodné číslo OP alebo číslo OP, ktoré nie je jeho, ale že zadal naozaj to svoje.
Konkrétny príklad využitia sú napr. online petície alebo prieskumy, kde by sa takto mohlo predísť falošným hlasom a overiť pravosť údajov hneď po ich zadaní. Spoliehať sa na overenie osoby cez SMS/e-mail nemá zmysel pri takýchto veciach, keďže to by potom jeden človek mohol dať toľko hlasov, koľko má tel. čísiel a e-mailov.


#6

zakon o peticnom prave hovori ake su urovne overenia podporovatela peticie… existuju 4 typy peticie, od peticie cez email az po tzv kvorove kde je overenie cez kvalifikovany elektronicky podpis alebo “certifikovany online peticny system” …
inak povedane nikdy od min.vnutra nedostanes udaje o obcianskych preukazoch na tie ucely ktore si tam menoval…


#7

Na toto netreba udaje, staci API co vracia true/false a hnusny rate limiter a trebars aj zmluvu kde to podpises krvou.


#8

na peticiu ti samotna informacia validOP true/false nestaci - na zabezpecenie unikatnosti hlasujuceho v hlasovani potrebujes aj jeho jednoznacny identifikator pre danu sluzbu, vid Proof of Concept pre OAuth s eID


#9

Neberte prosím petíciu ako jediný príklad využitia, ako som uviedol napr. jedno z využití by mohli byť aj “anonymné” prieskumy typu “koho budete voliť?”.
Viem znie to pochybne ak hovorím, že anonymné a chcem po používateľovi číslo op + rodné číslo, ale však do db to môžem uložiť ako unikátny kľúč: sha256(číslo op + rodné číslo + salt). Potom už ľahko zistím či rovnaká hash už nie je v db a či ten človek už nehlasoval.
Ide mi čisto len o to, aby keď už niekto zahlasuje, tak nech si môžem overiť, že naozaj hlasoval za seba a nie že je to niekto, kto objavil 10 minute mail a dal tam 1000 hlasov strane, s ktorou sympatizuje, čím znehodnotil celý prieskum.


#10

Na petíciu v el. petičnom systéme možno netreba RČ ani OP : Elektronicka peticia vyuzitelna na vyhlasenie referenda


#11

Ak parameter “salt” chceš použiť v štandardnom význame, čiže pre každú položku iné, tak overovanie zhody samozrejme nebude fungovať. :wink: Ale chápem ako je to myslené.
Problém je trocha v tom, že aj keď sa odkladá iba hash a osobné údaje sa zmažú, už len tým že vôbec niekedy tam boli zadané znamená invokáciu celého arzenálu GDPR a spol. Povedzme rodné číslo je možné použiť “iba ak je to nevyhnutné na dosiahnutie účelu spracúvania”, viď. §78.4 z.18/2018 - a to v tomto prípade zjavne nie je.


#12

Nebolo by jednoduchsie mu vygenerovat kratky kusok textu (napr hlasujem za moznost A) a tento text mu dat podpisat elektronickym podpisom.

Z podpisaneho dokumentu uz zistis (podla RC) identitu pouzivatela, ci uz nehlasoval…a zaroven vies aj hodnoverne preukazat, ze to podpisal a za danu moznost hlasoval (cize nehrozi falsovanie vysledkov na urovni databazy, resp vzdy dokazes z podpisanych dokumentov to prepocitat nanovo)


#13

Takto to robi aj financnasprava.sk ked si chces nahrat do konta certifikat. Vygeneruje Ti spravu, ktoru podpises a tym padom sparuju certifikat (podpis v obcianskom) s Tvojim kontom.

Jedine na co som este neprisiel je ako overit platnost elektronickeho podpisu v dokumente. Z dokumentu dokazes vycitat kto ho podpisal, kedy, rodne cislo a neviem co…ale to, ci je podpis platny som este nezistil ako sa da skontrolovat :blush: to mozno poradi niekto dalsi :slight_smile: (ta dokumentacia mi pride brutal neprehladna)

PS: ja som rozmyslal na tomto postavit login plugin do WordPress-u (aby sa zabranilo brutforcovaniu hesiel a roznym bezpecnostnym problemom). Ale pohorel som na tom, ze neviem overit platnost toho podpisu. Zvysok kodu mozem poslat, mozno niekto pride na to co s tym dalej.


#14

Nie je to príliš zdĺhavé od niekoho chcieť, aby zasunul OP do čítačky, stiahol všetok ten softvér, nainštaloval, stiahol si môj text, podpísal ho, nahral to naspäť na server… navyše keď väčšina populácie tú čítačku doma ani len nemá … a chcieť toto od nejakej náhodnej 80 ročnej Márie z Horných Orešan by bolo asi naozaj moc … a čo ľudia na smartfónoch? Vyplniť taký formulár by mala byť záležitosť 20 sekúnd a nie 5 minút. Navyše cieľová skupina na takýto prieskum sú skôr mladí, a tí sú väčšinu času práve na smartfónoch.


#15

Mozno som len nepochopil pointu, ide samozrejme o to co chces docielit. Ak chces urobit peticiu:

  • ktora bude sluzit ako prieskum verejnej mienky, tak pouzi facebook anketu a mas vybavene
  • ktora ma byt nespochybnitelna, tak zadanim cisla OP do formulara to aj tak nedocielis

Tieto udaje (rodne cislo, cislo OP) ma kazdy financny poradca, kazdy zamestnanec banky, kolega si moze zabudnut OP na stole a zahlasujem za neho. Proste takato peticia bude vzdy spochybnitelna a bude v podstate k nicomu (urady tomu nebudu prikladat ziadnu inu vahu ako hocijakej inej online peticii).

Cize ak chces urobit peticiu, ktora bude mat naozaj vahu, tak v prvom rade musis vyriesit prave to aby ju niekto nemohol spochybnit a mavnut nad nou rukou.


#16

Ja som za takuto sluzbu…

Realny pripad: Obchodnik s cennymi papiermi (podla MiFID II) alebo burza (npr 92/2008 zb.) musi koli zakonu proti legalizacie prijmov z trestnej cinnosti overovat identitu klientov a ich dokladov… Taketo api ktore by vratilo true/false pre kombinaciu rodneho cisla s cislom dokladu by bola pre tento ucel prospesnejsia ako aktualna situacia kde taketo nieco nie je…