Hlavní navigace

Měli bychom převzít rakouský e-government?

29. 3. 2007
Doba čtení: 8 minut

Sdílet

Autor: 29
Stane se Rakousko proslulé nejen vídeňskými řízky, dorty Sacher, ale i svou jedinečnou architekturou e-governmentu? Systémem, který zajišťuje, že jste v databázi každého sektoru vedeni pod jiným klíčem? Představuje vzor pro reformu rodných čísel? Je takový systém dostatečně bezpečný, nebo nikoliv?

Asi by se již dalo říci, že úhelným kamenem každého e-governmentu je způsob identifkace osob v něm. Na schopnosti zvládnutí tohoto problému závisí, jaká architektura celého systému IT nakonec vyplyne.

Položíte-li si otázku jinak, jedná se o to, zda mají být záznamy v databázích různých organizací o vás vedeny pod stejným identifikačním číslem, nebo nikoliv.

Pro hovoří instinkt laiků se základy logického myšlení nebo nadšení informatika začátečníka, který se nedávno naučil klíčovat databáze v normální formě. Proti hovoří intuice jakéhokoliv ochránce dat nebo soukromí. Snadnost spojení je zneužitelná. Propojování databází je sice nelegální, ale to je kopírování hudby a filmů také.

Pokud uvažujete nad možností takového rozptýlení identifikace, a zastáváte přitom státo-centrické hledisko pohledu (jsou možné i jiné pohledy jako např. „vlastnictví” informací jedincem, např. Credentica), střetnete se s poměrně nejasnými možnostmi implementace, aby zůstala dostatečně robustní a přitom ještě umožnila často žádané sdílení informací mezi úřady. Skepse praktiků IT nakonec vede zpět k návratu ke společnému identifikátoru. Tuto tendenci posilují i politické snahy o pokud možno rychlou implementaci elektronických agend, „ve které nemá obíhat občan”, ale úředníci si mají dohledat dokumenty sami.

Tento náhled „elektronické reformy“ je vtělen např. do zákona o ISVS (č. 365/2000 Sb., účinný od léta 2001), kdy si úředníci mají dohledávat data z cizích databází (registrů) prostřednictvím tzv. jednotného referenčního rozhraní. Ačkoliv se píše r. 2007, zákon zde nebyl naplněn ani za samostatné existence Úřadu pro veřejné informační systémy (ÚVIS), ani za existence ministerstva informatiky ČR. Svým způsobem je to možná dobře, protože jakákoliv koncepce, která v ČR zatím mohla vzniknout, by nejspíš na společném identifikátoru byla založená. Takový identifikátor se zatím propracoval do kvalifikovaných certifikátů, přičemž ministerstva mezi sebou soutěží o to, které ho bude vydávat.

Rakouská identifikace

Rakousko vytvořilo kvalifikované expertní týmy a ty posléze navrhly jeho unikátní architekturu e-governmentu. Její tvůrci přitom byli od počátku omezeni tím, že v Rakousku je zákonem apriori zakázáno, aby záznamy osoby v různých databázích byly spojitelné společným identifikátorem. Zároveň se braly do úvahy i existující evropské předpisy, zejména o elektronickém podpisu, s nimiž bylo nutné architekturu rovněž skloubit!

V ČR se někdy za reformu v „mezích možností“ vydává to, že se stávající rodné číslo nahradí tzv. bezvýznamovým identifikátorem. V Rakousku takové číslo mají a označují ho jako ZMR. Pod tímto číslem však klient v databázi veden být nesmí. Ze ZMR se proto vytváří zvláštní mezičíslo sourcePN osoby a z něj další, specifické identifikátory. Cílový stav znázorňuje obrázek 1 níže.

sektory

Obr. 1 – cílový stav: jedna osoba – mnoho identifikátorů

Jedna osoba (zde „Adam“) je v databázích každého sektoru vedena pod jiným identifikátorem (klíčem, číslem apod.). Čísla ssPN1 a ssPN2 tedy musí být různá. Navíc ze znalosti ssPN (sector specific Personal Number) v jednom sektoru nesmí být možné odvodit číslo ssPN v jakémkoliv jiném sektoru. Přitom musí být možné Adama spolehlivě identifikovat při jeho příštím přihlášení a operacích vůči databázím daného resortu (a to pokud možno i v případě, že by agendu vyřizoval pro změnu opět papírově).

Rakouský systém vychází z osobního čísla ZMR, přiděleného každému občanovi, ze kterého úřad registru (Register Authority) vytváří speciální číslo, unikátní pro každou osobu, tzv. sourcePN. Toto číslo si musí každá osoba podržet na svém zvláštním elektronickém průkazu (Bürgerkarte), který si lze představit třeba jako zvláštní čipovou kartu, ale jsou připuštěny i jakékoliv jiné, občanu milé formy, např. mobilní telefon, bankovní platební karta atp. Na průkazu je místo též pro klíčový a certifikační materiál pro kvalifikovaný elektronický podpis, pro pomocný podpis, pro autentizaci atd., ale to není pro tento výklad podstatné.

Číslo sourcePN je třeba chránit, neboť z jeho znalosti lze odvodit jakékoliv ssPN. Konkrétní implementace systému je znázorněna na dalším obrázku č.2.

source ss PN

Obr. 2 – generace sourcePN a ssPN

Číslo ZMR je překódováno do binární hodnoty ve 40 bitech. Pro vytvoření sourcePN se používá symetrický šifrovací algoritmus 3DES. Vstupní hodnota ZMR je zkopírována třikrát a mezi hodnoty je vložena konstantní hodnota seed (8 bitů), čímž vstupní blok dosáhne potřebné délky 128 bitů. Výstup představuje ono sourcePN, které je rovněž 128bitové a pro lepší čitelnost se zapisuje v Base64, čímž jeho délka dosáhne 24 znaků včetně dvou závěrečných „==“.

Vytváření ssPN se děje vysloveně triviálně. Dostačuje k sourcePN znakově zřetězit předdefinované označení urn: daného sektoru a předat hašovací funkci SHA-1, na jejímž výstupu je sektorově specifický ssPN.

Takové použití SHA-1 je umožněno tím, že sourcePN je relativně dlouhé a v podstatě nikomu známé číslo. Pokud by se hašovací funkce používala přímo na ZMR, pak by bylo možné přes malý prostor vstupních hodnot vytvořit úplný slovník vstup-výstup, z něhož by se provedlo zpětné mapování hodnot vstupů z ssPN, ačkoliv SHA-1 je jinak kryptograficky odolná (byť již neperspektivní).

Kódování ze ZMR do sourcePN provádí jen a pouze tzv. „Registrační úřad“ (Register Authority), přičemž se uvádí, že tento registr je pouze virtuální. To znamená, že vytvoření sourcePN by se nemělo zanášet do žádné tabulky, spravované úřadem.

Rozložení důvěry

V praxi je pochopitelně výše načrtnutý kryptografický postup generace čísel věc jedna, skutečné bezpečné provedení věc druhá. Pokud by uživateli bylo možné plně důvěřovat, pak by v principu mohl generovat ssPN před každým stykem s určitým sektorem sám. Z několika důvodů na toto spoléhat nelze, a rakouský systém proto přichází s určitým rozdělením informací a ověřováním důvěry. Ačkoliv výše uvedený Register Authority provádí generaci klíče pouze jednorázově, vytváří přitom též tzv. Identity Link (Personenbindung). V podstatě se jedná o certifikát podepsaný RgA (Register Authority), který uvnitř obsahuje odkaz na kvalifikovaný certifikát veřejného klíče a hodnotu sourcePN.

Toto je v zásadě obdoba atributového certifikátu (což byla jedna z alternativ, které jsem navrhoval ve svém článku Jednoznačná identifikace se zachováním soukromí [PDF, 260 kB] namísto vkládání identifikátoru do certifikátu veřejného klíče). Spolu s mou nepublikovanou ideou, rozmítat identifikátor přes klíčovanou hašovací funkci HMAC do každého sektoru zvlášť, by se řešení velmi blížilo vlastnostem rakouského systému, bylo by však asi přece jen méně praktické.

V rakouské praxi je však možné, aby na kartě bylo více certifikátů a ID-link obsahoval odkazy na všechny tyto certifikáty zároveň (což klasické atributové certifikáty X.509 přece jen nedovolují).

Tím se umožňuje, aby jakákoliv osobou podepsaná zpráva (např. obsahující ssPN jako na obrázku níže), pomocí kteréhokoliv klíče na kartě, byla doprovozena tímto certifikátem ID-link, který bezpečně potvrzuje identitu této osoby.

Situace pak vypadá zhruba dle obrázku 3 níže.

autentizace

Obr. 3 – Operace při autentizaci osoby s aplikací

V průkazu je uložena hodnota sourcePN, dále kvalifikovaný certifikát QC a Identity Link ID-link. Pokud Adam začne na některém portálu navazovat spojení s nějakou aplikací, portál jeho prohlížeč přesměruje na autentizační jednotku MOA-ID (s parametrem cílové aplikace). Ta naváže spojení přes zabezpečený kanál TLS, přes který jí je doručen certifikát ID-link a případné jiné kartou podepsané informace (uvedený příklad podpisu ssPN Adamem není rozhodující). Modul MOA-ID AUTH je tedy schopen:

  • provést on-line autentizaci osoby,
  • ověřit identitu osoby přes ID-link a sourcePN,
  • ověřit pravost jiných, uživatelem nebo modulem vytvořených identit ssPN.

Následně modul autentizaci ukončí a prohlížeč přesměruje na modul MOA-ID PROXY s unikátním identifikačním parametrem uživatele. Jinou cestou předá modul AUTH modulu PROXY zjištěné identifikační parametry tohoto uživatele (typicky budou představovat jeho ssPN a certifikáty, např. QC), běžně by však neměl předávat sourcePN.

Architektura předpokládá, že modul PROXY bude zprostředkovávat zbytek komunikace s aplikací. Jednotka MOA-ID tak představuje určitý autentizační front-end, s jehož zprostředkováním se lze připojit k téměř jakékoliv, i poměrně primitivní webové aplikaci. Jednotka přitom pracuje ve zvláštním a odděleném bezpečnostním režimu, který umožňuje aplikaci spolehnout se na identifikátory ssPN, přitom však aplikaci sourcePN, podle kterého se kontrolovalo, nikdy nesdělit.

Spojky mezi sektory

Je jasné, že v době provádění autentizace může modul AUTH ověřit všechny uživatelem generované ssPN do všech sektorů, se kterými má případně aplikace pracovat, nebo je pro ně může vytvořit i sám. Rakouské materiály uvádějí, že pokud má být ssPN předáno do jiného sektoru, než ve kterém jsou uložena data podle něj klíčovaná, je ssPN zašifrováno pomocí algoritmu RSA pro cílový sektor. To znamená, že správce databáze jednoho sektoru stále není schopen ze své databáze zjistit ssPN osoby v jiných sektorech, pokud v jeho databázi jsou takové hodnoty vůbec uloženy.

Klady a pochyby v souhrnu

Rakouský systém je asi nejpropracovanější architekturou e-governmentu se snahou zabránit příliš snadné spojitelnosti údajů z různých registrů. Její elegance spočívá na kombinaci zhruba dvou až tří dobrých nápadů zároveň.

Ochrana sourcePN není však na takové úrovni, jako je např. ochrana soukromého klíče v PKI (např. pro e-podpis), který nikdy neopustí kartu.

Systém má přesto velmi dobře dosažitelnou odolnost proti zkorumpovaným pracovníkům registrů nebo jiným kriminálním postupům a zájmům. Včetně vnitřních i vnějších hackerů. Vynucuje zákon. Poskytuje jistou jednoduchost funkce pro některé kruciální činnosti, jako jsou odkazy do jiných registrů.

Systém ovšem zachovává informační převahu státu. To je vhodné tehdy, když stát výjimečně potřebuje nasbírat všechny informace o podezřelých osobách, ale sporné, pokud hrozí legislativní uvolnění předpisů nebo změny ve prospěch pospojování všech dosud oddělených záznamů, převzetí moci nad občany nepříznivou silou apod.

WT100

Mohou být i pochybnosti o praktičnosti a některých podrobnostech. Idea trojitého kopírování ZMR na vstupu RgA asi spíše není dobrá, lze ji však jistě doladit. Není příliš jasná otázka dlouhodobé správy kryptografie a identifikátorů v systému (např. změna šifrovacích algoritmů nebo délek klíčů apod). Není příliš jasná koexistence elektronické identifikace (dlouhé ssPN) s ruční při zpracování papírů (krátké číslo ala ZMR). Systém je spíše centralizovaný, byť podporuje decentralizované aplikace. Orientuje se spíše na online spojení než offline komunikaci typu forwardovaných zpráv.

Rakousko je se svým systémem identifikace v EU asi nejdále. Jeho systém je dostatečně jednoduchý na to, aby byl realizovatelný a přitom poskytl poměrně slušnou míru ochrany údajů. Lze si představit radikálnější opatření na oddělení všech agend všech sektorů. Takové však budou kolidovat s jiným oblíbeným názorem na sdílení informací mezi úřady.

Co říkáte na rakouský princip identifikace ve veřejných registrech (databázích)?

Autor článku

Autor se několik let specializuje na Elektronický podpis v ČR aj. konzultace v oblasti počítačové bezpečnosti.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).