Elektronické doklady a egovernment Konference Internet ve státní správ a samospráv 2007 KC Aldis, Hradec Králové, 2.-3.dubna 2007 Filip Hajník Senior Business Consultant IT Security LogicaCMG 2007. All rights reserved
Agenda 1. Úvod - historie 2. E-pas první elektronický doklad pro obany R Technologie, Datový obsah, Zabezpeení Budoucí využití na hranicích 3. Možnosti vzdáleného prokazování identity 4. Ideální e-id vize elektronického osobního prkazu 2
Historie cestovních doklad - od papíru k ipm a biometrii 3
Historie a vývoj cestovních doklad, klíové impulsy a initelé 20?? 2010 2005 Sep 11 th 2001 2000 1980 s World War 2 early 19 s Povinné vydávání e-pas Povinné vydávání strojov it. doklad Pedstavení e-pas s biometrií Nové bezpenostní hrozby Bezpenost pas musí být zvýšena!!! Vtšina stát již vydává strojov itelné pasy Automatické systémy pro odbavení na hranicích Ceninový tisk pas Pedstavení strojov itelné zóny (MRZ) Pasy mají bezpenostní funkci! Rozšíení pas s fotografií držitele Poátek mezinárodní regulace a standardizace 450 BC Nejstarší zmínky o pasech na Stedním východ (Persie) 4
Svt e-pas V souasnosti již více než 50 stát používá / bude brzy používat e-pasy 5
Strojovitelný cestovní doklad s biometrickými údaji uloženými v nosii dat s biometrickými údaji (elektronický pas e-pas) 6
Elektronický pas 7
RFID ip - technologie RFID ip Vlastní operaní systém PamEEPROM 72 kb, RF komunikace dle ISO/IEC 14443 typ A UID nezbytné pro fungování bezkolizního mechanismu generováno náhodn pi každém tení Max. rychlost komunikace 424 kbps Certifikace dle CC na EAL5+ 8
RFID ip datový obsah 9
RFID ip bezpenost údaj 1 Basic Access Control (BAC) Terminál se autentizuje klíem, který vypoetl na základ údaj ze strojov itelné zóny ochrana proti skimmingu Komunikace mezi terminálem a ipem je šifrována ochrana proti eavesdroppingu Známé nedostatky kryptograficky slabý klí Pro úel, pro jaký je používán, je BAC dostatený 10
RFID ip bezpenost údaj 2 Integrita dat v ipu Využívá se asymetrická kryptografie (PKI) Všechna osobní data a biometrické údaje v ipu jsou elektronicky podepsány Document Signer Dvryhodnost garantuje Národní certifikaní autorita Sdílení certifikát mezi státy Aktivní autentizace (AA) Dkaz, že e-pas nebyl zkopírován ip s pomocí podpisu výzvy prokáže, že je schopen použít privátní klí Nepovinná bezpenostní technika 11
RFID ip bezpenost údaj 3 Extended Access Control (EAC) Bude zaveden se zavedením otisk prst umožuje ídit pístup k citlivým údajm v e-pasu Skládá se ze dvou komponent Chip Authentication (CA) nahrazuje AA, vytváí siln zabezpeený kanál mezi ipem a terminálem Terminal Authentication (TA) terminál se prokazuje certifikátem a ip podle totožnosti terminálu ídí pístup k datm Vyžaduje novou, oddlenou PKI infrastrukturu 12
Prokázání identity pomocí e-id 13
Využití e-pasu - scéná hraniní kontroly Ovení identity Identifikace 14
Jiné využití e-pasu Je možné prokázat identitu pomocí e-pasu i jinde??? Pasová knížka Údaje v ipu Dvody Souasný zákon.329/1999 Sb. o cestovních dokladech ve znní pozdjších pedpis (pedevším novela.136/2006 Sb.) ZAKAZUJE jiné zpracování dat z ipu, než jak stanoví zákon. Po zavedení otisk prst do e-pas bude pro jejich tení poteba autorizovaný terminál!!! Cena RFID teky ANO NE 15
Jak jinak vzdálen prokázat identitu? Kvalifikovaný certifikát - jediné ešení Podporováno legislativou V souasnosti v R 3 akreditované CA Ceny kvalifikovaného certifikátu od 190,- do 752,- K/rok Pouze 1 CA nabízí kvalifikovaný certifikát na ipovou kartu Kolikrát za rok použije certifikát bžný oban??? Poet uživatel kvalifikovaného certifikátu? Tendence? Jak podpoit rychlejší rozšíení? Elektronická identita by se mla stát souástí osobního ID prkazu obana => e-id 16
Ideální e-id doklad z pohledu obana Personalizovaná kontaktní ipová karta Na ipu jsou uloženy Osobní údaje obana Komerní certifikát autentizace ke službám egovernmentu Kvalifikovaný certifikát (elektronická identita obana) Biometrické údaje (vazba mezi osobou a dokladem) Voliteln mže obsahovat další informace, nap. idiský prkaz získané skupiny oprávnní, zstatek bod pro bodový systém, Lékaské záznamy okování, krevní skupina, alergie,... 17
Výhody e-id Na základ speciálního oprávnní (certifikát) lze aktualizovat vybrané osobní údaje (adresa apod.) Každou skupinu údaj mže spravovat jiný subjekt na základ svého vlastního certifikátu idiský prkaz - Ministerstvo dopravy Lékaské záznamy Ministerstvo zdravotnictví Snadné využití i v komerní sfée Taková ešení se v jiných zemích již implementují!!! Bude s nimi EU / R držet krok??? 18
Píklad použití vzdálená žádost o nový e-id / e-pas Autentizace obana Pedvyplnní formuláe z centrální evidence Aktualizace údaj Pipojení fota Ne Spluje foto požadavky? Ano Biometrická verifikace 1:1 Dosažené skóre pi biometrické verifikaci Velmi vysoké Automatická akceptace žádosti Uložení do DB Foto neakceptováno Vysoké Vkládané foto vs Platné foto z evidence Informace pro obana Konec Foto neakceptováno Posouzení autorizovanou osobou Foto akceptováno Akceptace žádosti Uložení do DB 19
Diskuse & Otázky 20
Dkuji za pozornost! Filip Hajník Senior Business Consultant LogicaCMG Na okraji 335/42 162 00 Praha 6 eská republika http://www.logicacmg.cz/ Tel: +420 284 020 111 E-mail: filip.hajnik@logicacmg.com 21