Trocha upresnenie čo Jano písal ku 1.12., aj keď niektoré veci tu už odzneli, ale radšej nech je to tu ucelene:
Ako všetci už vedia riešila sa “mobilná aplikácia na autentifikáciu”.
Úvaha: Pridajme k tomu autorizáciu. Nekreslime hneď obrazovky, najprv definujme požiadavky, čo presne to má pokrývať.
MP (mobilná platforma) = mobilný telefón, tablet, kde používateľ robí bežné činnosti, napr. web, mail, appky atď. a bežne ho nosí so sebou (toto je dôležité pre bezpečnostné úvahy)
Za nás návrh:
- štátne riešenie pre MP nemusí pokrývať “všetko”
- ani všetky služby/podania, ani podporovať všetky technologické vychytávky
- postačí ak sa zvolí určitá rozumná úroveň autentifikácie/autorizácie, v rámci ktorej sa bude dať vykonať väčšina vecí ktoré “bežný” používateľ chce robiť cez MP
- otázka: máme spravený prieskum, čo vlastne ľudia chcú robiť cez MP? prípadne nejaké skupiny ľudí? a čo naopak nechcú? nemáme a aj tak navrhujeme riešenie?
- moja skromná skúsenosť hovorí, že závažné veci (klasický príklad: predaj nehnuteľnosti) nie je dobré tlačiť do MP a navyše ich bežný človek robí málo kedy
- napr. poznám viacero ľudí, ktorí preto že “cez eID a KEP sa dá spraviť všetko” (hacknú mi PC, predajú mi dom) radšej nechcú používať KEP vôbec
. - preto určime maximálnu úroveň autentifikácie a autorizácie, ktorá bude podporovaná vlastným štátnym riešením na MP
- ponechajme systém otvorený tak, aby sa ľahko dali k nemu pripojiť iné aplikácie (napr. komerčné), ktoré môžu poskytovať vyšší stupeň A/A
. - návrh pre autentifikáciu: nech štát poskytuje na MP level 3 (štandardov ISVS, zhodé so Stork QAA)
- level 3 sa má dať zvládnuť čisto SW riešením (a používateľskými vstupmi), čiže netreba špekulovať nad HW vecami
- otvorme eGov autentifikáciu pre ďalšie schémy, ako diskutujeme napr. pri vyhláške o alt.auth. - povedzme tie SD karty čo vyvíja HP a Plaut nemusí hneď štát pre všetkých kúpiť, ale niekto to môže komerčne prevádzkovať
. - návrh pre autorizáciu: vytvorme nový nižší level od KEP, zodpovedajúci tomu čo je dnes “autorizácia funkciou aplikácie” (po slovensky: autorizujem kliknutím na ikonku, samozrejme musím byť pred tým prihlásený)
- toto nech je štátom poskytovaný level pre MP
- ak treba vyšší level, používateľovi môže celé podanie na MP vytvoriť, naplniť, a na konci uložiť - autorizáciu a odoslanie môže spraviť na inom zariadení kde má dostupný KEP
- a opäť umožnime na MP integrovať iné autorizačné služby, napr. ten KEP - príklad je server side sign čo robí Disig
. - klasifikácia, ktorá služba je ktorý level autentifikácie, a ktoré podanie bude umožnené aj nižším levelom autorizácie, je na gestoroch (čiže každý úrad za seba)
- zváženie konkrétnych riešení pre A/A patrí do PS Bezpečnosť, nie sem