Lična karta 2.0: Preporuke - grakic/jfreesteel GitHub Wiki

Uvod

U vezi sa najavom u medijima o novoj generaciji ličnih karti sa čipom, kao posmatrači sa strane sastavljamo spisak želja. Ako bude zanimljivih predloga i malo volje, sadržaj bi trebalo oblikovati u formu pisma sa preporukama.

Takođe, treba imati na umu da se ovaj dokument ne bavi sledećim temama:

  • Obaveznost izbora čipa na ličnoj karti,
  • Obaveznost uzimanja digitalnog sertifikatam,
  • Obaveznost izbora bekontaktne komunikacije čipa,
  • Ideju prikupljanja i skladištenja biometrijskih podataka.

Teme

Interoperabilnost

Lične karte izdaje MUP kojeg finansiraju poreski obveznici. To je polazna tačka, jer ako svi građani/ke to finansiraju, svi moraju i biti u mogućnosti tako kreirane usluge da koriste. MUP uvodi lične karte sa čipom koji omogućava servise elektronske uprave, što jeste neophodno u modernom društvu. Ono što se ne sme dozvoliti jeste da na mala vrata uđe monopol na računarske operativne sisteme. Trenutna lična karta može da funkcioniše isključivo na Microsoft Windows platformi. Ovo je problem, jer sve institucije u državi, kao i sve kompanije u državi koje sarađuju sa građanima/kama, odnosno klijentima, moraju da poseduju čitače ličnih karti. Ovo se dalje prevodi u obavezu svih institucija i kompanija da poseduju računare sa instaliranim pomenutim komercijalnim softverom. Ukratko, evolucijom ove činjenice dolazimo do tehnološki ugušenog društva sa državno sponzorisanim monopolom na tržištu.

  • Podrška za operativne sisteme
    • Država ne sme da građanima/kama nameće izbor komercijalnog softvera.
    • Idealno bi bilo omogućiti punu softversku podršku za Windows, Linux i Mac operativne sisteme. Čista Java implementacija bi za jedan deo funkcionalnosti softvera za ličnu kartu mogla da obezbedi veliku prenosivost. Ukoliko za to nema kapaciteta, apsolutno je neophodno objaviti otvorenu specifikaciju po kojoj zainteresovana javnost može da razvija sopstvene aplikacije za bilo koju platformu (uključujući i mobilne platforme sa NFC podrškom: Windows Phone, Android, iOS).
  • Specifikacija zapisa podataka i komunikacije sa čipom LK
    • Specifikacija i preko kontaktnog i beskontaktnog interfejsa mora biti otvorena.
    • Specifikacija mora biti dovoljno detaljna da omogući nezavisni razvoj softvera ekvivalentnog onom koji izdaje MUP.
    • Softver koji izdaje MUP ne sme biti neophodan za uspešnu upotrebu LK u bilo kom okruženju.
    • Softver koji izdaje MUP mora biti rešenje otvorenog koda.

Ispravke grešaka

Uvođenje prve generacije ličnih karata sa čipom je prošlo sa mnogim problemima. Počevši od odsustva pravovremene edukacije službenika i javnosti u pogledu upotrebe lične karte, do izostanka opremanja državnih šaltera čitačima što je dovelo do brojnih konfliktnih situacija. Osim ovih veoma vidljivih problema, možda još bitniji su propusti u tehničkom delu implementacije. Prve količine ličnih karata su izdavane bez da je u njih pohranjen digitalni sertifikat - dokument neophodan za uključenje građana/ki u procese elektronske uprave. Kada su konačno uključili sertifikat, napravljena je nova greška, pa je sledeća količina imala neupotrebljive sertifikate. Pored ovih već učinjenih propusta koji nisu smeli da se dogode, ukazujemo i na druge probleme koje treba prevazići na vreme u sklopu nabavke novih količina ličnih karti.

  • Dovoljno memorije da se oba privatna ključa generišu i čuvaju u zaštićenoj memoriji LK
  • Ključevi sa minimalnom dužinom RSA modulusa 2048bita, kako je i bilo zahtevano starijim pravilnikom
  • Bez Key escrow šeme za privatni ključ koji se koristi za autentikaciju (4.12.1 MUP CA CSP)
  • Sertifikati za elektronski potpis i autentikaciju treba da imaju različiti common name
  • Sertifikati izdati u skladu sa domaćim propisima i odgovarajućim RFC dokumentima (poznati problem nula u serijskom broju)
  • Ažuriranje key usage u sertifikatima sa poljima qcStatement / policy / non-repudiation prema novim zahtevima iz ETSI TS ...
  • Ukoliko drugi sertifikat nije kvalifikovan, treba da bude potpisan različitim sertifikatom izdavaoca od sertifikata kojim se potpisuju kvalifikovani sertifikati

Bezbednost

Na žalost, sve prednosti uvođenja novih ličnih karti ostale su u senci neobjašnjivog monopolskog pristupa, loše pripreme za procesa uvođenja i niza tehničkih grešaka. Umesto da diskusija krene putem ideja za inovacije na polju elektronskih usluga, ona je skliznula u pravcu neargumentovanih i haotičnih kritika svega što je novo. U takvoj raspravi se i nije mogao razdvojiti argument od paranoje, te nikakav kvalitetan ishod nije ni postignut. Pravovremenim otvaranjem teme bezbednosti želimo da se bavimo argumentima, realnim rešenjima i kritikom koja sistem može unaprediti na dobrobit svih.

  • Ostaviti mogućnost opoziva sertifikata za kvalifikovani potpis bez poništavanja dokumenta LK ako je već odlučeno da čip postane obavezan
  • Zaštita komunikacije preko beskontaktnog interfejsa
    • Komunikacija mora biti zaštićena od prisluškivanja.
    • Kartica i čitač na početku komunikacije treba da generišu simetrični ključ za šifrovanje.
    • Mogućnost komunikacija preko beskontaktnog interfejsa bi trebala da bude opciona pri izdavanju LK.
      • Alternativno: Mogućnost komunikacija preko beskontaktnog interfejsa može biti obavezma ukoliko korisnik može da uključi/isključi ovu mogućnost tokom korišćenja LK. (Goran: Rekao bih da je ovo nepotrebna komplikacija. Zamisli kroz par godina šalter i građane/ke koji bezuspešno trljaju karticu o čitač zaboravivši da su tamo nešto deaktivirali pri preuzimanju. „Hipici“ uvek mogu da je isprže u mikrotalasnoj.)

Ostalo

  • Mogućnost spajanja drugih ličnih e-dokumenata sa LK
    • Inicijalno omogućiti integraciju postojećih i budućih e-dokumenata (više aplikacija u čipu sa odvojenom kontrolom pristupa): zdravstvena knjižica, vozačka dozvola,...
  • Pregledati ima li drugih novosti u vezi eIDAS (Regulation on Electronic Identification and Trust Services), EU STORK LSP i reforme EU direktive 1999/93/EC.

Analiza

Prednosti

Čip

  • Omogućava skladištenje promenljivih podataka kao što su adresa stanovanja, što produžava realni rok važenja LK što je i finansijska ušteda, ali i ušteda u pogledu opterećenja birokratije. Omogućava skladištenje otiska prsta što može biti alternativa štampanju istog na samoj kartici, ukoliko taj podatak bude i dalje obavezno uskladišten.
  • Omogućava skladištenje više e-dokumenata (saobračajna, vozačka, zdravstvena, ...) na jednoj fizičkoj kartici. Ovo je prilika za veliku uštedu građanskih sredstava, ali takođe za sobom povlači uvođenje sigurnosnih protokola koji bi na odgovarajući način zaštitili privatnost raznorodnih podataka prema različitim institucijama.

Digitalni sertifikat

  • Pruža zamenu za fizički potpis građana/ki. Pravi efekat ove izmene jeste tolikog obima da ga nije moguće na odgovarajući način zamisliti. Jednostavno, svaki poslovni proces koji uključuje fizički potpis će moći da se ubrza, ali i prostorno i vremenski dislocira, što će povećati domet samog procesa i u njega uneti nove mogućnosti. Šire prihvatanje sertifikata će dovesti i do pojave novih usluga, kako na relaciji građanin/ka-država, tako i na relaciji ka poslovnom sektoru.

Beskontaktno čitanje

  • Da bi se prva verzija LK očitala, neophodan je čitač. Iako on nije veliko finansijsko opterećenje, praktično to jeste prepreka, a takođe i zahteva prisutnost, odnosno posedovanje, računara. Treba imati i na umu da će nova generacija LK imati rok važenja 10 godina, a da će u tom periodu većina građana/ki imati u svom posedu pametni telefon ili tablet sa podrškom za beskontaktnu komunikaciju. Ako LK ne budu podržavale ovaj vid komunikacije, to će u budućnosti predstavljati prepreku široj implementaciji, odnosno doprineće dodatnom usporavanju procesa.

Mane

Čip

  • Protivnici posedovanja LK sa čipom u većini slučajeva, nakon detaljnije stručno-tehničke rasprave, dođu do stava da jednostavno žele da zadrže svoje pravo da odbiju čip. S tehničkog aspekta, sam čip nije problem, ali izostanak poverenja ka celom državnom aparatu dovodi do straha. Ovome naravno doprinosi i izostanak transparentnosti pri uvođenja LK, nespretno uvođenje, mnogobrojne tehničke greške koje su se dešavale, kao i monopolski pristup ka softverskoj podršci i zatvorenost samog koda i specifikacije.

Digitalni sertifikat

Kada se razgovara o sertifikatu, treba imati na umu da sertifikata u LK ima dva. Jedan se koristi za potpisivanje, a drugi za prijavu na sajtove kao što je portal e-Uprave. Sertifikat za potpisivanje koristi sve sigurnosne mehanizme koji ga čine bezbednim za upotrebu, ali to nije slučaj sa drugim.

  • Sertifikat za prijavu na sajtove nije pokriven ni jednim Zakonom i samim tim nema nikakvu pravnu težinu. U suštini, on se svodi na prostu alternativu korisničkom imenu i lozinci. Dodatno, on nije uskladišten na bezbedan način i njegovo korišćenje je podložno zloupotrebi. Preporuke sadržane u ovom dokumentu se osvrću na ovaj propust.

Beskontaktno čitanje

  • Za beskontaktnu identifikaciju nije neophodno svesno učešće vlasnika. U praksi je očitavanje LK moguće sa odaljenosti od 2cm. U laboratorijskim uslovima do 15cm, što može prerasti u svakodnevne uslove tokom roka važenja LK od 10 godina.
  • Za bezbednu beskontaktnu komunikaciju neophodno je koristiti zaštićen protokol, u suprotnom je moguće pasivno prisluškivanje komunikacije sa veće udaljenosti. Nije nam poznat planirani protokol za novu verziju LK, te stoga u ovom dokumentu uključujemo i preporuku u pogledu odgovarajućih protokola beskontaktne komunikacije.

Ostalo

  • Otisak prsta na kartici samo unosi rizik od falsifikovanja a ne donosi nikakva unapređenja, jer je otisak i tako dostupan na samom čipu. Alternativno, može da se zadrži na plastici za one koji ne žele čip.