Skutocne sa vyvija nova mobilna identita? HP + PLAUT?

KROK VPRED, DVA KROKY VZAD A ESTE JEDEN BOKOM

Mobilnu identitu v inych statoch zavadzali pred 10 a viac rokmi, my sme este poriadne nezaviedli ani smart karty - 20 rokov staru technologiu.

Len namiesto zavedenia virtualnej identity, alebo ked uz fyzickej, tak viazanej na SIM kartu, vymyslaju opat nieco neperspektivne, ale zato rydzo nase, slovenske. A este sa tym chvalia, ze je to slovenske…

Preukaz totoznosti by mal byt viazany na SIM kartu a nie mikroSD. Pri SIM karte je uz dnes dostatocne overovana totoznost a je zabehnuty kompletny mechanizmus podpory, najma zablokovania v pripade straty (u operatora). Specialna eID-SIM by asi mohla ako preukaz totoznosti fungovat aj s klasickymi (nie smart) mobilmi - aspon niektorymi. Novu eID-SIM by si kazdy mohol jednoducho vymenit u svojho operatora (podobne ako bankovu SIM) a ak by sa totoznost neoverovala priamo u operatora, tak by musela stacit navsteva najblizsej policajnej stanice (alebo posty, notara, matriky a pod.)

V pripade proprieterneho riesenia mikroSD kartou treba duplicitne vybudovat celu podporu, rad funkcii, prevadzkovat vlastny call center, ktoreho telefonne cislo nikto nebude poznat. Pouzit to bude moct len mala skupina pouzivatelov - musia mat v telefone slot na mikroSD a najma musia si ist vyzdvihnut a aktivovat kartu (zrejme) na policiu, a to len specializovane oddelenia. Karta bude sucasne pamatovym mediom - budu musiet byt teda rozne kapacity a budu si ju musiet od policie kupovat ako beznu mikroSD kartu (policia / stat sa stane predajcom pamatoveho media - ako to bude s DPH a danoym dokladom?). V pripade straty mobilu musia zablokovat nielen mobil (SIM kartu), ale zvlast aj eID (musia si pamatat navyse cislo, kam treba volat).

Pritom by asi stacila plne virtualna elektronicka identita - bezna SIM a mobilna apka, ktora by identitu naviazala na konkretnu SIM a pripadne aj telefon a mohla by pozadovat zvysenu ochranu pristupu k funkciam telefonu (odblokovanie). Identita by sa dala overit a sparovat vsade, kde su podla zakona sposobili totoznost overovat - pripadne aj v bankach, u mobilneho operatora a pod. Taketo riesenie by mohlo stat velmi malo a vo vacsine pripadov by bolo postacujuce - v ostatnych musi clovek z vrecka vylovit bezny obciansky preukaz (stacil by uz aj bez cipu) alebo pas. Ale na takomto rieseni sa neda zarobit a nabalit sa… Zavana mi to dalsim slovenskym OPIS projektom, ktory je treba spravit co najhorsie a nanesystemovejsie, aby to “mohlo” stat ovela viac penazi (z ktorych vela ide na “marketing”) a aby sa to coskoro ukazalo ako zle riesenie, ktore bude treba o dva roky prerobit na trosku lepsie - znovu za obrovske peniaze a tym istym dodavatelom, ktory s tym “uz ma skusenosti”.

BTW, ktora firma robila tie terajsie cipove obcianske preukazy?

2 Likes

K tomuto zopár postrehov:

  • Ľudia budú na mobilnú komunikáciu so štátom využívať tablety (možno viac ako smartfóny - väčší displej) a wifi. Nie všetky tablety majú SIM slot. Ak aj tablet SIM slot má, to si doňho občan bude musieť zaobstarať SIM? :frowning:
  • Technológia klasických SIM kariet bude (zdá sa) čoskoro obsolete. The GSMA Foundation pripravuje eSIM (Embedded SIM) technológiu. Otázne je, v akých zariadeniach budú zaintegrované a do akej miery budú na tento účel (ako mobilné eID) použiteľné…

Ďalšie otvorené otázky:

  • Personalizácia SIM kariet - ako bude elektronická identita nahratá/uložená v SIM karte?
  • ZEP/KEP certifikát v SIM karte a vytváranie ZEP/KEP pomocou SIM karty?

Takze asi predsa: http://www.zive.sk/clanok/121529/obciansky-aj-vodicak-chcu-dat-do-mobilu-specialnou-microsd-kartou

Len strucne:

  • zalezi na tom, na co vsetko by mala tato elektronicka identita sluzit a ako by to cele fungovalo - ak to ma byt nahrada OP, tak mobil je praktickejsi; tablet je nahrada pocitaca a nie preukazu; preukaz v mobile je dynamicky a moze napr. priamo zakomunikovat s portalom a s tabletom

  • na elektronicku identitu nepotrebujeme ani SIM, staci sparovanie identity na portali s niecim jedinecnym, napr. IMEI mobilu alebo dokonca len virtualnou identitou chranenou PINom; ale SIM maju vyriesene vydavanie s kontrolou idnetity podla OP, zablokovanie v pripade straty - to vsetko sa da uplne zadarmo vyuzit, inak je to treba budovat

  • az tu bude virtualna SIM, tak to budeme riesit; ale predpokladam, ze s vyuzitim sluzieb ako blokovanie to bude podobne

  • nic nemusi byt ulozene v SIM karte; nas ZEP je zastarala zbytocnost, pozrite sa, ako podpisuju a sifruju napr. Rakusania uz dlhe roky; existuje mnoho inych rieseni; elektronicka identita NEROVNA SA zep

1 Like

V ramci pracovnej skupiny Lepsie sluzby sa prave riesil tento problem (a este bude riesit). Stat asi nakoniec bude pripravovat projekt pre alternativnu/mobilnu autentifikaciu (teda aspon taky bol predbezny zaver). Avsak asi nic take ako ma HP/plaut. Jednoducho si sparujem mobil s mojou identitou a nasledne pouzivam sposobom one time password, alebo skenovanie qr kodu, alebo nejako inak (moznosti je viac). Aby vsak bolo viac moznosti, slovensko.digital pozadovalo, aby sa cele prostredie identity otvorilo, tj. formou federacie identity, bude moct akykolvek poskytovatel (banka, hp/plaut, atd…), ak je nato certifikovany poskytovat ludom svoju formu. Napr. budem sa do egov vediet prihlasit tak isto ako internet bankingu.

1 Like

Ad 1, už dnes sú na trhu čítačky na eID s microUSB konektorom a vo výrobe aj s USB C konektorom - čiže jediné, čo by bolo treba aby štát spravil, by bolo rozšíriť funkčnosť EID klienta aj na zariadenia Android a iOS. Nič hardwérové netreba.

Ak sa má prvok vkladania eID nahradiť, potom bude asi ideálnejšie ísť cestou akú spomenul @anton-somora - tzn. spárovať identitu s telefónnym číslom a nie vymýšľať ďalšie hardwérové srandy. Tak to funguje aj v estónsku, jediné čo treba, je navštíviť operátora, ktorý vám vymení simku za inú, na ktorej je aj certifikát.

Treba ist na zo sirsia. Niekto netusi co bude v IT o 3-4 roky. Preto nas navrh je cele toto otvorit. Nech zajtra pride trebars aj Plaut a certifikuje svoje nove inovativne sposoby autorizacie, tak aby splnali bez. standardy level ZEP. Je uplne jedno co to bude, buducnost ukaze. Ak to bude dobre, ludia si to kupia, nema zmysel pri takomto niecom robit centralne nakupy. Myslim, ze “uspech” eid kariet bol jednoznacny signal.

To akože hocikto si bude vydávať eID karty, iné identifikačné karty, iné tokeny (HW/SW) s ktorými sa bude dať pristupovať k eGov službám? :wink:

Priznám sa, že tejto narážke nie celkom rozumiem. Väčšina európskych krajín má implementované podobné eID riešenia, napr. Estónsko, Nemecko,…

Ano, hocikto prejde prislusnou certifikaciou. Nejde len o eid - ale lubovolne formu autorizacie. napriklad aj ten “ZEPaaS” od Disigu. Kde vidite problem? Ved nech komercia inovuje, ukazuje ako sa to da a zarobi na tom. Nevidim vsak vela dovodov preco by sa taketo experimenty mali nakupovat centralne.

To je v poriadku, narazka smerovala na to, ze mi pride velmi odvazne dnes do akehokolvek dokumentu napisat, ze chceme, aby sa eid riesilo cez SIM na mobile alebo cez nejake USB-C androide alebo iOS. Legislativu okolo el. podpisov tu mame desatrocie, kto z komercie to pouziva a preco?

(Autor tohto prispevku nie je velky fanusik centralneho planovania.) :smiley:

Trochu sa tu mieša autentifikácia s autorizáciou. eID je identifikačný a autentifikačný prostriedok, 2FA (mám kartu, viem BOK). ZEP (či už ako certifikát na eID karte alebo na inom HW tokene alebo ako ZEPaaS) je autorizačný prostriedok. V použití ZEP ako komerčnej služby nevidím žiaden problém, ani eIDAS ho nevidí, je potrebné aby takáto služba bola dôveryhodná v zmysle eIDAS a spĺňala potrebné náležitosti. Niečo iné je dôveryhodný zdroj identít všetkých občanov a dôveryhodný spôsob autentifikácie a identifikácie. U nás je (zatiaľ) dôveryhodným spôsobom autentifikácie len prihlásenie s eID kartou. Otázne je, či sa dá vôbec uvažovať s niečím ako “komerčný dôveryhodný zdroj identít”…

2 Likes

No uvazovat sa urcite da. https://www.gov.uk/government/publications/introducing-govuk-verify/introducing-govuk-verify otazka je ci to je idealne.

1 Like

Elektronicka identita je skutocne na sirsiu debatu a nasledne rozhodnutia. Technicky sa da urobit vsetko, ale ma vyznam to robit len vtedy, ak sa to potom bude naozaj realne pouzivat a bude o to zaujem.

Teda najprv musi vzniknut siroky konsunzus statu a vsetkych, ktori to chcu podporovat a vyuzivat. Z ich poziadaviek potom vznikne celkova poziadavka na funkcnost, architekturu a pod.

Ak to ma byt len pre stat, staci to, co je (nech je to akekolvek, len by to nemalo stat tak vela, ako to stalo doteraz) - kto z obcanov to potrebuje, zabezpeci si to. Ak to ma byt siroko pouzitelne, napr. aj na poste, v banke, u notara, na matrike, v poistovniach, na vysokoch skolach, v knizniciach, na zeleznici, ale najma na akychkolvek online portaloch, tak to vyzera uplne inak, nez ako to bolo robene doteraz. Toto je zakladna otazka - aku chce stat (a obcania) elektronicku identitu - len pre stat alebo na siroke pouzitie, podobne ako s realnou identitou.

OSN pred par rokmi schvalila uznesenie ci rozsirenie ludskych prav, ze clovek ma mat na Internete rovnake prava ako v realnom svete (vygooglite, alebo aj niekde pohladam, ak treba ref.).

Skutocnost je taka, ze clovek ma jednu realnu identitu - self-a, ktora je schopna v realnom svete roznymi prostriedkami preukazat svoje prava (napr. k zaznamu v matrike, evidencii obyvatelov, registrov sudu, socialnej poistovne, zdravotnej poistovne, volicskych zoznamov a mnohe ine) a nasledne konat (to vsetko je definovane v Obcianskom zakonniku hned na zaciatku - vratane firiem - pravnickych osob a zastupovania). Stat (a jeho institucie) ako spravca tychto agiend ma svoje nastroje, ako to zistit, garantovat, overit… K tomu pristupuju komercne subjekty - najma banky - ktore na identitu cloveka maju viazane svoje zavazky alebo pohladavky voci nemu (ulozene peniaze, uvery). Podobne je to pri e-shopoch a inych portaloch, i ked tam ide spravidla o menej penazi.

Sucasny stav Internetu je taky, ze jedna realna identita (clovek) ma desiatky paralelnych e-identit, rozne identifikovanych, rozne zabezpecenych. S mnohymi rizikami - rovnaky/jednoduchy login/passwd, overovacie otazky…

Na Internete pri jeho vzniku nevznikol pojem “pouzivatela” - teda e-identity - vtedy sa pocitalo len s pocitacmi a tak vznikli IP adresy. Spajali sa pocitace, nie pouzivatelia. Nikto vtedy nepredpokladal, ze o par desiatom rokov bude mat clovek zopar superpocitacov naozaj osobnych a vo vrecku/taske a ze pristup k Internetu cez tieto pocitace bude predstavovat vlastne samotneho ich vlastnika/pouzivatela.

Idealny stav by bol, keby mohol mat kazdy pouzivatel Internetu svoju vseobecne uznavanu elektronicku identitu, ktora by platila ako “passport” na vsetky sluzby na Internete a v realnom svete. Tuto e-identitu by si clovek samozrejme cenil, vazil, chranil, lebo by s nou bolo spojenych vela osobnych informacii, penazi a pod. Teda by to cele muselo byt dostatocne bezpecne (open source) a poskytovat vsetky potrebne sluzby na ochranu (blokovanie, overenie, prinavratenie identity…).

Stat (najma SK) je mala podmnozina Internetu. Takze si je treba zvazit, co vlastne na Slovensku potrebujeme, stat si musi zvazit, ako to chce mat pre svoje vlastne sluzby (tam je viacero pro/cons) a podla vseobecnej dohody je treba to spravit.

Kludne moze byt statna eID vratane ZEP pre statne sluzby a nejaka ina jedna alebo viac e-ID pre sukromnopravnu sferu. Idealny stav pre obcanov (a nakoniec pre vsetkych) by bol samozrejme, keby bola jedna spolocna e-ID.

Podla mna su sucasne eID so smart kartami a slovensky ZEP zastarale nezmysly, ktore je treba cim skor nahradit. Oboje su technologie spred 15 - 20 rokov. Ak to chce niekto o tomto so mnou diskutovat, nech mi napise.

Samozrejme, ze je viacero eID inych statov zalozenych na smart kartach a pod. - napr. Rakusko. Ake aj oni uz davno hladaju (a maju) vychodiskove riesenia smerom k mobilnej/virtualnej identite. Zial, tym, ze boli pre ± 20 rokmi progresivni, nesu si so sebou aj bremeno “legacy systems”.

My mame (a mali sme pri zaciatkoch OPIS) prilezitost poucit sa z vyvoja a ich skusenosti a nezdarov. Takze napriek sucasnemu e-ID mame asi jedinecnu prilezitost urobit nieco naozaj svetove. Len treba chiet a konat.

Sorry za dlhsi prispevok, ale v skutocnosti je toho ovela viac, co by bolo k tomuto treba spomenut.

1 Like

Este kratky pragmaticky nazor: v sucasnom stave by bolo u nas idealne k existujucemu “eID” a ZEP-u dorobit elektronicku identitu ako mobilnu apku viazanu na beznu SIM kartu a urobit jednoduche API pre integraciu na webove aplikacie.

Totoznost by mohli overovat (sparovat) vsetky zakonom definovane ustanovizne (policia, matrika, notar, pripadne posta) po predlozeni preukazu totoznosti (nemusi byt cipovy OP, staci aj pas) a podla moznosti aj mobilni operatori, banky a pod. Rozparovat by sa dala rychlo priamo vlastnikom (ochrana proti zneuzitiu v pripade podozrenia) a samozrejme zablokovanim SIM karty beznym sposobom.

Pouzit by sa dala na vsetjych spominanych miestach + kontrolovane vstupy do budov, obchodov, revizori v MHD a pod. (tam by mohol byt QR alebo ciarovy kod na bleskovu identifikaciu). A samozrejme na Slovensko.sk a pre elektronicke schranky, aj PO (konatel).

Telefonne cislo pritom moze sluzit ako BIFO (pre FO / sukromny pausal na vlastne meno, pripadne PO / konatel). Tym padom jednoduche notifikacie pre postu, kurierov, statne organy ako SMS alebo push notifikacia do e-ID apky… Ale aj zistenie ICO, IC DPH, adresy a pod. - pre vyplnenie vo formularoch napr. v e-shope.

Toto by bolo samozrejme len nase lokalne slovenske riesenie, ktore by v sucasnom zbabranom stave elektronizacie ludom zjednodusilo zivot a umoznilo by sirsi rozvoj elektronizacie verejnej spravy aj biznisu s doveryhodnou elektronickou identitou FO a mozno aj PO.

1 Like

eIDAS ani s tým nemá problém, viď. rec. 13: “Členské štáty by mali mať na účely elektronickej identifikácie naďalej možnosť používať alebo zaviesť prostriedky umožňujúce prístup k službám online. Mali by tiež mať možnosť rozhodovať o tom, či do poskytovania týchto prostriedkov zapoja súkromný sektor.” :wink:

1 Like

Iste, čo sa týka elektronickej identifikácie a “komerčných poskytovateľov identity” eIDAS to necháva na členských štátoch. Preto tá moja otázka smerovala hlavne k tej dôveryhodnosti a bezpečnosti pri komerčných poskytovateľoch, najmä pri úrovniach zabezpečenia „pokročilá“ a „vysoká“.

V eIDAS je ku bezpečnosti schém elektronickej identifikácie uvedené, viď rec. 19 a 20:
(19)
Bezpečnosť schém elektronickej identifikácie je kľúčom k dôveryhodnému cezhraničnému vzájomnému uznávaniu prostriedkov elektronickej identifikácie. V tomto kontexte by členské štáty mali na úrovni Únie spolupracovať v súvislosti s bezpečnosťou a interoperabilitou schém elektronickej identifikácie. …
(20)
Spolupráca členských štátov by mala uľahčovať technickú interoperabilitu oznámených schém elektronickej identifikácie s cieľom podporiť vysokú mieru dôvery a bezpečnosti, primeranú stupňu rizika. …

V Rakusku ten elektronicky podpis funguje cez A-Trust Handy Signatur.
Nepotrebujete nic, ziadnu techniku, len Handy alebo PC.

1 Like