luni, 20 martie 2017

C.E.I.

 

Oarecum pe neașteptate MAI a pornit procesul de legiferare a noii Cărți Electronice de Identitate. Am urmărit cu interes comentariile din spațiul virtual și-mi dau seama de slăbiciunile comunicării guvernamentale care nu poate face altceva decât să citeze din acte oficiale – ori cetățeanului trebuie de cele mai multe ori să-i explici pe limba lui, chiar dacă imperfect juridic.

CEI are ambiția de a răspunde unui număr de nevoi importante ce pot fi împărțite în 3 categorii:

 

CEI ca document de identitate

Actualele CI tipărite pe carton laminat sunt evaluate astăzi sub 5 pe o scară de 10 din punctul de vedere al protecției la contrafacere. Acest lucru le este cel mai evident românilor în străinătate unde nu de puține ori li se cere să mai prezinte și un alt document – de obicei pașaportul. Necesitatea unei identități recunoscute oficial este un subiect interpretabil la nivel mondial însă în Europa este considerată necesară. Modalitatea de stabilire / dovedire a identității are mai multe variante, cu grade diferite de siguranță, după cum urmează:

  1. cunoașterea unor informații particulare identității asumate – există și în Romania cazuri de amenzi primite aiurea de persoane datorate faptului că alte persoane au pretins că nu au acte și au cunoscut informațiile victimelor - au corespuns la verificarea radio cu cele din bazele de date
  2. prezentarea unui act de identitate – are tăria egală cu rezistența la contrafacere a documentului bazată pe tehnici tipografice speciale
  3. prezentarea unui act de identitate electronic – informațiile sunt sub forma unui set de date semnate criptografic, mediul de stocaj nu contează – ar putea fi și pe telefon. Datele stabilesc indubitabil că există o identitate cu anumite caracteristici – poză, amprente – iar dovedirea identității se face prin compararea acestora cu caracteristicile persoanei. Un exemplu practic este pașaportul electronic în scenariul de trecere prin porțile automate. În acest sens poveștile despre vulnerabilitatea la copiere /duplicare a pașaportului electronic și prin extensie a CEI nu-și au relevanța, oricâte copii ai avea la tine poarta nu-ți va permite accesul daca imaginea sau amprentele nu corespund. Este o uriașă diferență între duplicarea unui document și alterarea lui prin schimbarea caracteristicilor biometrice, alterare ce încă nu a reușit nimeni să o producă.
  4. interogarea unei baze de date – într-o lume cu conectivitate omniprezentă nu mai este nevoie de cărți de identitate. Cel care dorește să-și dovedească identitatea și-o va declara iar informațiile vor fi primite de verificator din serverele oficiale. Astăzi poți intra în România, ca cetățean român, fără acte – poliția de frontieră va parcurge o astfel de procedură de identificare – dar nu va fi, desigur, o experiență rapidă și plăcută.

Alegerile noastre trebuie să răspundă unei situații particulare: Nu avem echipamente IT portabile pentru orice agent abilitat să verifice identitatea, nu avem conexiuni de date în orice loc din țară. DIn acest motiv nu putem renunța la varianta 2 – actul tipărit. Tot din acest motiv este dificil ca anumite informații – precum adresa – să existe doar electronic, nu și vizibile pe document. CEI este gândit a fi construit pe baza celor mai răspândite standarde tehnice, spre exemplu accesarea CEI ar putea fi făcută prin NFC, rămâne de văzut în ce măsură este oportună apelarea, ca măsură de tranziție, la o aplicație de smart-phone pentru citirea unora dintre informațiile electronice.

Varianta 3 este implementată prin stocaj pe varianta cu cip a CEI, nu cred că va fi implementată ca fișier portabil întrucât este dificil de înțeles de publicul larg.

Varianta 4 există și acum, spre exemplu este disponibilă notarilor.

CEI ca document de călătorie

De curând a circulat știrea că, mulțumită europarlamentarului Monica Macovei, trebuie instalate porți de control automat în toate aeroporturile UE. CEI implementând eMRTD ( electronic machine readable travel documents) va permite utilizarea acestora. Lipsa acestei facilități, combinată cu securitatea slabă a actualei CI, va discrimina călătorul român utilizator al actualei CI direcționând-ul spre un flux de control lent, suspicios. În viitorul mai îndepărtat, odată cu scăderea prețului acestor porți, le putem vedea instalate pentru controlul accesului în alte sisteme de transport sau chiar în instituții publice din întreaga Europă. Având în vedere  durata lungă de distribuire a CEI s-ar putea să fim deja în întârziere fără să realizam asta.

CEI ca dispozitiv informatic

Sunt perfect conștient că a vorbi publicului larg despre criptografie, certificate X.509, OCSP nu are nici un rost. Sunt însă câteva idei care merită a fi diseminate:

Pe CEI nu există, în zona electronică alte informații decât cele tipărite. Riscul ca acestea să fie copiate este mai mic comparat cu acela ca cineva să facă o poză cu telefonul la CI-ul actual – citirea informațiilor electronice durează mai mult și este mai complicată.

CEI va putea fi folosit ca o cheie care deschide accesul spre informațiile stocate pe servere dar această utilizare va necesita introducerea unui PIN numeric – la fel precum la plata cu cardul bancar. Spre deosebire de cardul bancar, pierderea sau furtul CEI nu va permite utilizarea acesteia – nu există scenarii de utilizare fără PIN. PIN-ul este necesar pentru fiecare accesare spre deosebire de practica actuală când se pot face oricâte copii xerox la copii xerox ca ”dovadă” a prezenței și acordului posesorului.

Declararea unui CEI ca pierdut/furat produce anularea instantanee a acesteia în mediul informatic. Actualul CI poate fi folosit până la expirare.

După cum am spus, CEI va implementa soluții tehnice standard. Acest lucru va ușura enorm programarea aplicațiilor care-l vor folosii. Nu pot sublinia îndeajuns acest avantaj fără a face o comparație cu cardul de sănătate CEAS – acesta este o soluție unică, deosebit de greu de întreținut și imposibil de utilizat înafara aplicațiilor din sistemul de sănătate bazate pe firmware proprietar, care nu poate fi îmbunătățit. CEI va avea în esență o componentă similară cu dispozitivele USB oferite de emitenții comerciali de semnătură electronică, va putea găzdui certificatele acestora scutind posesorii de achiziția tokenului (40 euro). Un exemplu imediat, Spațiul Privat Virtual de la ANAF (o aplicație făcută practic fără buget dedicat) permite autentificarea cu certificate pe când în Dosarul Pacientului, o aplicație scumpă, nu este posibilă autentificarea cu cardul de sănătate pierzându-se astfel un beneficiu important al acesteia.

 

Am urmărit cu atenție temerile comentatorilor, există soluții pentru fiecare teamă:

  • Cine are oroare de utilizarea CEI pe internet poate să ardă plicul cu PIN-ul fără să-l deschidă și nimeni nu va putea utiliza această componentă.
  • Cine se teme de copierea și stocarea informațiilor scrise pe/în CEI să compare cu riscul actual. Accesarea CEI necesită un PC care poate fi auditat, certificat, securizat, copierea unei CI necesită un Xerox sau telefonul mobil personal.
  • Cine se teme de Big Brother să-și amintească că în formula actuală CEI este un produs autonom, la purtător, independent în funcționare de serverele guvernamentale. Respingerea acestei soluții va grăbi pasul spre soluția 4 de autentificare server-side (spre exemplu OpenID), care depinde de administrație pentru orice utilizare.
  • Cine vorbește de un proiect făcut doar pentru a fura bani trebuie să știe că recurgerea la soluții open, standardizate, crește concurența și scade riscul de corupție.

 

CEI este piatra de temelie pentru e-guvernare, merită orice efort care va duce la acceptarea și utilizarea sa.

Niciun comentariu:

Trimiteți un comentariu