Co warto wiedzieć o nowych dowodach osobistych?

Nowe dowody osobiste mają się pojawić w Polsce 1 lipca 2011 roku. Reguluje to Ustawa z 6 sierpnia 2010 r. o dowodach osobistych. Nowe dowody są częścią większego projektu pl.ID.

Jak ma działać dowód – na podstawie Ustawy o dowodach osobistych

* Definicje:

• certyfikat dowodu osobistego – weryfikuje poprawność i ważność dowodu osobistego;
• certyfikat podpisu osobistego – weryfikuje poprawność podpisu;
• certyfikat ograniczonej identyfikacji – zabezpiecza proces ograniczonej identyfikacji;
• ograniczona identyfikacja – elektroniczne potwierdzenie, że dana osoba posługuje się poprawnym dowodem osobistym, bez ujawniania jej tożsamości;
• podpis osobisty – elektroniczne (również zdalne) składanie podpisu pod dokumentami urzędowymi. Nie jest to podpis elektroniczny, co jest bardzo mylące. Jego złożenie jest realizowane w sposób zapewniający kontrolę posiadacza dowodu osobistego nad tym procesem (wprowadzenie numeru PIN).

* Aktywacja certyfikatu dowodu osobistego jest obowiązkowa, następuje w momencie odbioru dowodu.

* Aktywacja certyfikatu podpisu osobistego oraz certyfikatu ograniczonej identyfikacji jest dobrowolna. Certyfikaty te można zawiesić i później wznowić.

* Warstwa graficzna zawiera: nazwisko, imiona, nazwisko rodowe, imiona rodziców, data i miejsce urodzenia, płeć, zdjęcie, PESEL, obywatelstwo (art. 12).

* Warstwa elektroniczna zawiera: to, co w warstwie graficznej; uwierzytelnianie, podpis osobisty; miejsce na podpis elektroniczny (opcjonalnie); miejsce na dane do ubezpieczenia zdrowotnego.

* Złożenie podpisu osobistego pod dokumentem elektronicznym ma taki sam skutek prawny, jak złożenie podpisu własnoręcznie.

* Aspekty techniczne są bardziej szczegółowo omawiane w projekcie rozporządzenia w sprawie wymagań technicznych dla warstwy elektronicznej dowodu osobistego oraz protokołu komunikacji elektronicznej z dowodami osobistymi.

Projekt rozporządzenia

Wersja skierowana do konsultacji międzyresortowych, nie jest ostateczna.

Kluczowe informacje, które znajdziemy w treści projektu:

* Asymetryczny algorytm RSA do szyfrowania i do podpisu elektronicznego.

* Kod PIN – ustalany przez posiadacza dowodu – potrzebny jest do wykonania NIEKTÓRYCH funkcji dowodu. Zmiana numeru PIN ma mieć miejsce w gminie.

* Dowody mają być wykonane zgodnie ze standardami:

• ISO 7810 – parametry fizyczne dowodu;
• ISO 7816 – karty z wbudowanym mikroprocesorem;
• ISO 14443-2, typ B – karty zbliżeniowe (bezstykowe, RFID), fale radiowe o częstotliwości 13,56 Mhz.

* Złamanie wymagań (zabezpieczeń) określonych w rozporządzeniu przy zastosowaniu obecnego stanu wiedzy ma być niemożliwe.

* Kod uwierzytelniający w warstwie graficznej: rozpoczęcie procedury uwierzytelniania dowodu osobistego drogą elektroniczną wymaga wykorzystania kodu zawartego w warstwie graficznej dowodu osobistego lub hasła (PIN) do nawiązania bezpiecznego kanału pomiędzy warstwą elektroniczną dowodu osobistego a czytnikiem.

* Dowód osobisty komunikuje się z systemami zewnętrznymi (terminalami) za pośrednictwem czytnika. Przed nawiązaniem komunikacji, dowód osobisty musi upewnić się, czy terminal ma deklarowane uprawnienia. W Rozdziale 5 opisano procedury uwierzytelniania terminala, które są podstawą nawiązywania bezpiecznej komunikacji terminala z dowodem osobistym.

Uwierzytelnianie terminala – dowód osobisty weryfikuje certyfikaty terminala. Po poprawnym uwierzytelnieniu następuje bezpieczne połączenie między terminalem a dowodem.

* Podpis osobisty: złożenie podpisu osobistego wymaga potwierdzenia woli posiadacza do złożenia podpisu osobistego bezpośrednio przed zastosowaniem danych do składania podpisu osobistego przez dowód osobisty.

* Dowód osobisty pełni rolę karty ubezpieczenia zdrowotnego.

* Protokół komunikacji jest publicznie dostępny.

Lektura projektu rozporządzenia nie pozwala rozwiać wielu ważnych wątpliwości związanych z np. zabezpieczeniami PIN-u, uwierzytelnieniem interfejsu bezstykowego, kodem zawartym w warstwie graficznej dowodu, zasadami korzystania z podpisu osobistego.

Przetarg na blankiety dowodów

* Termin składania wniosków: 8 grudnia 2010 roku; testowe blankiety dowodów: dostawa do 15 maja 2011 roku.

* Blankiety będą wyposażone w interfejs dualny.

* W ramach dialogu mają być ustalone zabezpieczenia przed fałszerstwem.

Firma IBM

* Budowę rejestru dowodów osobistych realizuje firma IBM Corporation.

* Z IBM Polska zawarto m.in. umowę na rozbudowę Systemu Rejestrów Państwowych w zakresie m.in.: zarządzania nadawaniem numerów PESEL; reorganizacji procesu zasilania rejestru OEWIUDO; mechanizmów bezpieczeństwa OEWiUDO (Ogólnopolska Ewidencja Wydanych i Utraconych Dowodów Osobistych).

* IBM tworzy systemy e-Administracji, w tym pl.ID. Dane ze starej bazy zostały przeniesione do nowej bazy danych IBM.

Artykuły dotyczące relacji MSWiA z IBM

* Centrum Projektów Informatycznych (CPI) przy Ministerstwie Spraw Wewnętrznych i Administracji (...) wzbudza wiele kontrowersji na rynku informatycznym z powodu sposobu udzielania zamówień publicznych. W szczególności zlecania z wolnej ręki dużych kontraktów IBM (CPI nazywa się nawet złośliwie Centrum Promocji IBM). Pomijane przy rozdawaniu kontraktów firmy protestowały oficjalnie i nieoficjalnie zarówno w MSWiA, jak i w IBM. Bez skutku, a CPI tłumaczyło, że postępuje zgodnie z prawem i znacznie sprawniej, niż gdyby organizowało otwarte przetargi.

* Przede wszystkim w umowie przyznano IBM Polska boczną drogą kontrakt na wdrożenie centralnej aplikacji pl.ID.

* Przesądzone jest, że system centralny wykona IBM [system projektu pl.ID]. Informacji o tym zleceniu nie ma w oficjalnych źródłach.

Przykłady złamanych zabezpieczeń

* Wielka Brytania

W Wielkiej Brytanii nie było wcześniej dowodów, wprowadzono je pod pretekstem walki z terroryzmem. Obraz twarzy i odciski palców zapisane w chipie RFID. Za pomocą laptopa i telefonu komórkowego można w ciągu kilku minut skopiować dane z chipa. Podczas klonowania dowodu można zmodyfikować zapisane w nim informacje. Rząd twierdzi, że zmodyfikowany dowód jest rozpoznawany jako nieprawidłowy, ale autorzy testu dowodzą, że to nieprawda (więcej na ten temat: Brytyjskie biometryczne dowody tożsamości złamane w kilka minut).

* Niemcy

W dowodach z chipem RFID zmieniono dane biometryczne i numer PIN. Zabezpieczenia można złamać za pomocą zwykłych skanerów RFID. Rząd twierdzi, że dowody są bezpieczne. Ale przyznaje, że trojan może stanowić zagrożenie w posługiwaniu się dowodem przez internet, bo może przechwycić dane uwierzytelniające (więcej na ten temat: Elektroniczne dowody można łatwo złamać; Elektroniczny dowód osobisty – niebezpieczny cud techniki).

* USA

Paszporty RFID w USA mają okładkę, która blokuje fale radiowe służące do komunikowania się z chipem RFID. Nawet minimalne, często przypadkowe odchylenie okładki umożliwia komunikację z chipem. Zabezpieczenia zostały złamane i można sklonować paszport (więcej na ten temat: Video: Hacker war drives San Francisco cloning RFID passports; E-Passports Hacked using RFID). Program do skopiowania (z możliwością zmiany zapisanych informacji) amerykańskiego paszportu RFID można znaleźć tutaj).

Marcinus - współpracownik Panoptykonu