Názory k článku Druhá šance pro elektronickou občanku. Do dvou let bude muset být bezkontaktní

Na jednu stranu hezké a super, na druhou tím vytočí nadšence, kteří si pořídili e-občanku s chipem, když MV tvrdilo, že bezkontaktní nebude, protože se "opotřebovává" a je méně bezpečná. Viz (až moc) známé mediální prohlášení Mlsny:

„Na bezkontaktních zařízeních se čip paradoxně víc opotřebovává, než když to strkáte do terminálu. Bylo to také z bezpečnostních důvodů,“ uvedl náměstek Mlsna.

Vlastně se současný systém (zatím druhý, bezkontaktní bude třetí) bude používat kratší dobu (max. 3 roky), než vznikal (4 roky, podle článku se na něm pracovalo od 2014).

23. 7. 2019, 17:16 editováno autorem komentáře

[i]Do čipu musí být vložené standardní identifikační údaje uvedené na datové stránce ePasu a biometrická fotografie obličeje. Do vyčleněné části čipu se speciálním řízením přístupu pak obrazy otisků dvou prstů.[/i]

Nerozumim - to jako budou kazdemu povinne pri vydani noveho OP snimat otisky prstu?

Ano, při podávání žádostí o občanský průkaz podle nového nařízení se budou snímat otisky stejně, jako se dnes snímají při žádosti o pas.

Kontaktní rozhraní by pak mělo být schopné využívat přímo fyzické vrstvy USB a interně by občanka měla implementovat protokol CTAP2 pro provedení autentizace. ýsledkem by byla karta, kterou je možné bez jakékoli dodatečné instalace ovladačů s využitím adaptéru (jen propojením drátů bez elektroniky)…

Bude to fungovat se stávajícími CCID čtečkami, které jsou vestavěny v enterprise-grade laptopech a které si lidé u nás i ve všech okolních státech pořizují? Protože „jen propojení drátů bez elektroniky“, je sice hezká představa, ale pokud to znamená zahodit stávající čtečky a pořídit nové, pak je to zbytečná investice. Nejdražší na čtečce jsou beztak mechanické součásti.

Možná pozdě, ale podobný základní nástroj je potřebný.

V online světě chybí snadno použitelná eOP jako základní zdroj identity s rozumnou mírou důvěrihodnosti (jak samotné identity, tak procecu autentizace), ke které je možné vztáhnout následné vymáhání závazků. I banky pro digitální onboarding potřebují tento zdroj a z něho pak budou moci odvozovat bankovní identitu (viz rojekt Sonia https://www.czech-ba.cz/cs/media-servis/tiskove-zpravy/projekt-sonia-bankovni-identita-jako-nova-digitalni-obcanka-pro-sluzby-statu-i-soukromych-firem). Dnes je digitální onboarding opřen o různé berličky typu skenování fyzických dokladů a ovádění platebních příkazů z účtů, kde ověření totožnosti (povinné kvůli AML) končí vždy u fyzické návštěvy alespoň jedné banky.

Ve fyzickém světě je dnes možné "ukázat občanku" a spoléhající strana může provést základní ověření pravosti (fyzické ochranné prvky) a "biometrickou verifikaci" (porovnáním fotografie s obličejem). Obdobný mechanismu v online světě chybí.

Dnes by bylo možné takový mechanizmus relativně standno vytvořit s eOP, pokud by NIA otevřela možnost použít službu ověření totožnosti i soukromoprávním subjektům. Tento mechanizmus má své problémy z hlediska ochrany soukromí (NIA ví o všech použitích eOP pro autentizaci) a případné začlenění bank přidává dalšího "zvědavce".

Banky samy mají plné ruce práce, jak naplnit požadavky PSD2 na silnou autentizaci, kde rozhodně nepostačí jméno a heslo zimňované v marketingových materiálech k projektu Sonia.

eOP rozhodně nevnímám jako prostředek pro běžnou autentizaci, zde je ideální právě zmiňovaný WebAuthn. eOP vnímám jako důvěryhodný nosič identity, kterou v případě potřeby dostatečně dvěryhodně prokáži a bude připojena k mému uživatelskému účtu nebo ke konkrétní transakci či operaci.

Ano, to může být problém. Pokud nebude podporován protokol přímo v dalších verzích CTAP2 a klientech, je možné řešit podporu stejně, jako je řešena v současné době - tedy instalací specializovaného sw.

Alternativou by mohlo (mělo) být použití standardního ISO7816 USB CCID. Pak je možné namapovat kontaktní komunikaci přímo na NFC část CTAP2. Tuto alternativu ale musí podporovat klienti (prohlížeče).

Záleží na tom, jakou cestou se rozhodne Ministerstvo jít. Splnit požadavky rozhodnutí je možné i tak, že zůstane zachován současný kontaktní systém autentizace a bezkontaktní část bude obsahovat pouze povinnou funkcionalitu shodnou s ePasem a pro mobilní použití zůstane jedinou možností BT čtečka.

WebAuthn varianta popsaná v článku je možná, ale nl je nad rámec nařízení.

Ahoj Luďku, hezký článek, ale podle mého názoru se vize opírá ho hodně "ale". Vyvolává spoustu těžko splnitelných očekávání.
Přidávám i pár realistických (a tím pádem asi i nepopulárních) bodů:
1. NFC a mobily - ze zkušeností je velký problém v interoperabilitě mobilu jako čtečky a poměrně "žravých" multiaplikačních čipů. Krásný sen se pak bortí při hledání té nejlepší polohy mobil vs čip, při které tato kombinace aspoň trochu a občas funguje. Samozřejmě je zajímavé získat zkušenosti ostatních čtenářů - zkoušeli jste někdo? A s jakými výsledky? Nejde jen o pasy, ale třeba i bezkontaktní platební karty - taky z nich lze leccos zajímavého vyčíst (když to funguje ;))
2. Duální rozhraní čipu - pokud by bylo, pak se musí implementovat anonymizační funkcionality nebo omezit některé funkcionality na bezkontaktním rozhraní. Na venek by se pak duální občanka chovala v podstatě jako hybridní. Nemyslím, že je dobře vše hlava nehlava cpát do bezkontaktu. Viz i první generace pasů a zranitelnosti BAC mechanismu.
3. "Nezkopírovatelný identifikátor čitelný mobilem"/"Regis­trace s využitím ePasové aplikace". Musím upozornit, že pas/ICAO aplikaci lze považovat jen za faktor vlastnictví (když už). To že se nějaký pas objeví někde pod NFC mobilem neznamená, že jej tam dala osoba, která je oprávněným držitelem pasu. Pas ani ICAO aplikace na budoucí eObčance nemůže fungovat jako prostředek pro elektronickou identifikaci s úrovní, která je zajímavá (značná / vysoká).
4. WebAuthn/CTAP2 - píšeš, že je aktuální fenomén. Před 2 lety byl fenomén U2F. Co bude fenoménem za 5-10 let? Občanka by měla dělat vše pro to, aby to období přežila pokud možno stále bezpečná a funkční. Když se vrátím k WebAuthn/CTAP2 - růžová budoucnost předpokládá, že spousta featur funguje na širokém portfoliu OS a prohlížečů. Je zajímavé podívat se sem https://fidoalliance.org/fido2/fido2-web-authentication-webauthn/ - jistě se bude časem lepšit, ale nikdo k tomu žádnou garanci nedá (pro projekt typu eOP je to neakceptovatelné). Velmi mezi členy FIDO aliance chybí Apple.. S WebAuthn/CTAP2 mám i zásadní problém s tím, že nepodporuje bezpečné zadání PIN přes PINPad čtečku. Šlo by to, ale znamená to mít specifickou čtečku, která na trhu není. To chceme?

Já osobně si vizi eOP a eGovernmentu představuji trochu jinak. Určitě si nepředstavuji, že bych měl eOP vytahovat z peněženky několikrát denně. Měla by si udržet svou vážnost a měla by se používat jen v těch nejzásadnějších/nej­vážnějších situacích (až bych napsal těch situací, které jsou jí hodny). Může být použitelná pro aktivaci jiných, méně bezpečných / mobilnějších / flexibilnějších / (technologicky či jakkoli jinak) módních nástrojů - nemám problém, když se "přenese" na mobil, nějaký FIDO token (pokud ho nějaké IdP obhájí jako prostředek k elektronické identifikaci). Zatímco všechny "odvozené" autentikátory mohou přežít klidně jen rok existence, kdy jsou zajímavé, eOP musí znamenat maximální stabilitu a měla by pokrýt celé období její platnosti. Žádný jiný prostředek není tak moc vázaný legislativou jako právě eOP. Ale všechny prostředky se o ní mohou s důvěrou opřít - v tom je její pravá síla. I FIDO má v úmyslu se o takové mechanismy opírat - viz https://fidoalliance.org/identity-verification-binding/

Stávající koncept, který se opírá o federace identit, dává obrovský prostor pro implementaci moderních nástrojů pro elektronické identifikace. Správnou cestou je rozšiřování tohoto prostoru o nové technologie - i ty, co dnes neznáme. Sonia jistě zajímavé přinese, kdokoli další může taktéž přinést. Občanka, byť / popř. právě proto že je konzervativní, by jim měla za každých okolností krýt záda.
Co myslíš? Co myslíte ostatní?

Klidně se Luďku ozvi, můžeme probrat ;).
Milan

Bezkontaktní občanka přijde pozdě na to aby se její použití nějak masivně projevilo a to je ještě hodně s otazníkem jestli bude nasazená i s webauthen. Velmi pravděpodobně se dříve rozšíří autentizace přes elektronické bankovnictví i pro účely státní správy .

Je to dobře popsané v tom nařízení EU. Biometrické údaje by měly být uloženy jen v té občance, ne v žádné centrální databázi. Nicméně je tam ve článku 10 odstavci 3 "pojistka", kterou lze vyložit všelijak:

"3. Pokud to není nutné pro zpracovávání údajů v souladu s unijním a vnitrostátním právem, biometrické identifikátory uchovávané pro účely personalizace průkazů totožnosti nebo povolení k pobytu by měly být uchovávány vysoce zabezpečeným způsobem a pouze do dne převzetí dokladu, nejdéle však do 90 dnů ode dne vydání dokladu. Po uplynutí této lhůty musí být biometrické identifikátory okamžitě vymazány nebo zničeny."

24. 7. 2019, 06:31 editováno autorem komentáře