Využívání čipových karet na MPSV Mgr. Karel Lux, vedoucí odd. koncepce informatiky Smart Card Forum OKsystem 22. května 2008
Krátký pohled do historie - proč právě MPSV? zvažovalo možnosti využití čipových karet k elektronické identifikaci klientů sociálních systémů již delší dobu v roce 1997 se připojilo k pilotnímu projektu Mácha v Litoměřicích v první fázi bylo vydáno cca 10.000 ČK, které sloužily jako zdravotní průkaz a průkaz pojištěnce čtečkami vybaveny sanitní vozy, nemocnice, někteří lékaři a lékárny projekt Phare - rozšíření experimentu o oblast státní sociální podpory údaje klientů SSP doplněny do dalších 17.000 ČK ve 2. fázi projektu čtečkami byla vybavena všechna pracoviště SSP okresního úřadu k dispozici i jednoúčelový informační sloup ke čtení obsahu karty hlavní přínosy tohoto projektu nejen v lepší a rychlejší identifikaci klientů, ale i ve zkvalitnění a provázání registrů SSP a VZP a jejich vazeb na evidenci obyvatel
V roce 2001 se v rámci Akčního plánu realizace Státní informační politiky stalo MPSV hlavním nositelem programu Elektronické identifikátory ve veřejné správě. Byly realizovány následující dva pilotní projekty: Pilotní projekt vydání profesních čipových karet (PČK). Vydáno cca 4.000 PČK pro pracovníky v rámci informačního systému Státní sociální podpory a vlastního ministerstva, což se stalo základem pro další rozvoj využívání čipových karet na MPSV. Pilotní projekt vydání klientských čipových karet (KČK). Vydáno cca 1.000 KČK klientům SSP ve dvou okresech. KČK sloužily jako elektronický identifikátor a klienti měli i možnost přístupu k údajům z databází SSP i pomocí informačních kiosků.
Současný stav stručný popis fungování celého systému ČK. Základem je infrastruktura PKI. Firma OKsystem vytvořila programové vybavení pro certifikační autority, registrační autority a autoritu časových razítek. MPSV provozuje 5 certifikačních autorit (jednu kořenovou a 4 podřízené), které vydávají certifikáty pro různé účely pro servery, pro organizace, pro osoby a pro čipové karty. MPSV dále provozuje autoritu časových razítek, která slouží pro prokázání existence (podepsaného) dokumentu v daném čase. MPSV vydalo celkem 140 000+ certifikátů, z toho 121 000 pro čipové karty.
Registrační autority a Personalizační centrum. MPSV provozuje celorepublikovou síť cca 700 registračních autorit na pracovištích úřadů práce (včetně státní sociální podpory) a hmotné nouze. Pro RA bylo vytvořeno programové vybavení URA Univerzální registrační autorita, které umožňuje žádat o vydání, obnovu a odvolání certifikátů a vydání a odvolání čipových karet pro pracovníky, které slouží jako jejich elektronický identifikátor (EI). Personalizační centrum zpracovává žádosti z URA a provádí vizuální personalizaci (potisk) a elektronickou personalizaci, včetně vydání prvotních certifikátů. Personalizované karty se odesílají na pracoviště odděleně od bezpečnostních obálek s PIN/PUK, které se odesílají žadateli. MPSV vydalo celkem 21 000 čipových karet, z toho je 17 600 aktivních.
Kvalifikované certifikáty a identifikace klientů. MPSV též využívá kvalifikované certifikáty od akreditovaných poskytovatelů certifikačních služeb, tyto certifikáty jsou umístěny na čipových kartách současně s certifikáty vydávanými MPSV. Tyto kvalifikované certifikáty obsahují (stejně jako čipové karty) bezvýznamový identifikátor klienta MPSV. Identifikátor se přiděluje těm zákazníkům certifikačních autorit České pošty (PostSignum QCA), I.CA a eidentity, kteří dají souhlas se zápisem identifikátoru klienta MPSV do svého certifikátu. V současné době má již identifikátor klienta MPSV přiděleno více než 7,5 milionu občanů ČR. Při elektronické komunikaci klienta není potom nutná jeho fyzická návštěva na úřadu. MPSV navíc uzavřelo dohodu s Ministerstvem financí o využívání identifikátoru klienta MPSV pro ověřování totožnosti občanů při elektronické komunikaci, zejména při elektronickém zasílání formulářů v daňové oblasti. Obdobná dohoda byla uzavřena i s Rejstříkem trestů.
K čemu jsou čipové karty využívány: přihlášení k doméně Active Directory přihlášení k aplikacím (OKdávky, OKpráce, OKnouze, ) zaručený elektronický podpis v aplikacích (rozhodování o dávkách, digitální archiv pro dlouhodobé uložení písemností ) přihlášení k web službě Help Desk elektronický podpis a šifrování e-mailů šifrování disků a souborů jednoduché přihlášení heslem na čipové kartě průkaz pracovníka ministerstva.
Použité technologie čipových karet 2 typy - Java Card 32KB a nativní systém Cryptoflex 32K na základě middleware OKsmart se chovají oba systémy čipových karet stejně. OKsmart byl poskytnut formou multilicence a údržby, během celé doby užívání se nevyskytly žádné problémy. Systém umožnil bezobslužnou instalaci, celoplošnou aktualizaci apletů na vydaných kartách klientů, import kvalifikovaných certifikátů, které byly původně vydány s klíči umístěnými na počítači a provoz na veřejných informačních kioscích.
Průkaz pracovníka ministerstva. Vzhledem k tomu, že jsou používány duální čipové karty s kontaktním i bezkontaktním rozhraním, je umožněna i kontrolu vstupu do objektů (PČK tedy slouží i jako průkaz pracovníka ministerstva). Pro zajištění celého procesu MPSV vydalo instrukci Zásady vydávání, využívání a odnímání čipových karet pro zaměstnance MPSV a externí osoby pro vstup/výstup do/z prostor ministerstva a přidělování a odnímání identifikačního kódu.
Závěry a doporučení: MPSV používá čipové karty již řadu let, považuje je za nezbytnou a samozřejmou součást informačního systému a vybavení jeho uživatelů. Firma OKsystem k tomuto účelu vytvořila a udržuje kompletní infrastrukturu podle potřeb a zadání MPSV, tato infrastruktura zahrnuje infrastrukturu s veřejným klíčem PKI, systém pro personalizaci, vydávání a řízení životního cyklu čipových karet, middleware OKsmart a začlenění do aplikací pro využití přihlášení čipovou kartou k aplikacím, využití elektronického podpisu a šifrování. Ze zkušeností MPSV vyplývá, že je vyloučeno pouze koupit čipové karty, ale že karty musí být poskytnuty v rámci integrace systémů, aplikací, PKI a správy karet a tyto systémy, nebo alespoň jejich části, by optimálně měly být od autora programového vybavení, který je schopen je upravit a integrovat podle potřeb zákazníka.
Děkuji za pozornost. Mgr. Karel Lux karel.lux@mpsv.cz