František Maleč technický ředitel Státní tiskárna cenin, s.p. Libor Šmíd vedoucí obchodní skupiny Státní správa Monet+, a.s.

František Maleč technický ředitel Státní tiskárna cenin, s.p. Libor Šmíd vedoucí obchodní skupiny Státní správa Monet+, a.s. 2

České elektronické občanské průkazy co umí dnes a jaký mají potenciál 3

Obsah Trocha historie Stávající funkcionalita Možnosti rozšíření funkcionality Závěr 4

Obsah Trocha historie Stávající funkcionalita Možnosti rozšíření funkcionality Závěr 5

Trocha historie Jsou vydávány státem na základě zákona, který vymezuje i rozsah na něm uvedených osobních údajů Náleží konkrétní fyzické osobě a slouží k prokazování totožnosti, případně dalších právních skutečností vztahujících se k této osobě. Občanský průkaz musí mít povinně každý občan starší 15 let (nově volitelně i pro děti od 0+ let) Ročně je vydáno přibližně 1,5 milionu občanských průkazů Provedení občanských průkazů Do roku 1993 knížky (Československo, Česká republika) Od roku 1993 karta formátu ID 2 (papírové jádro s laminační fólií) Od 2.1.2012 plastová karta formátu ID 1 (polykarbonát, volitelně s čipem) 6

Trocha historie Občanské průkazy do roku 1993 Knížky různých velikostí s různým počtem stran Velký rozsah uváděných dat Identifikační údaje držitele Adresa trvalého pobytu Adresa přechodného pobytu Rodiče Manžel, manželka Děti Rodinný stav Zaměstnavatel Zdravotní informace Zákaz pobytu Omezení způsobilosti ke správním úkonům Výhoda v době, kdy nebyly počítačové evidence Decentralizovaná personalizace a vydávání Platnost 10 let s možností prodloužení (o 10 let nebo trvale) 7

Trocha historie Občanské průkazy do roku 1993 (1948) (1990) 8

Trocha historie Občanské průkazy do roku 1993 První biometrický prvek otisk prstu (1950) Využití pro forenzní účely 9

Trocha historie Občanské průkazy po roce 1993 Karta ID 2 Vydávány v letech 1993-2000 Zredukován rozsah údajů Identifikační údaje držitele Adresa trvalého pobytu Rodinný stav Zákaz pobytu Omezení způsobilosti k právním úkonům Decentralizovaná personalizace a vydávání Lepená fotografie Platnost 10 let 10

Trocha historie Občanské průkazy po roce 1993 Karta ID 2, podle ICAO 9303 Vydávány v letech 2000-2011 Redukovaný rozsah údajů Identifikační údaje držitele Adresa trvalého pobytu Rodinný stav, registrované partnerství Manžel, manželka, druh, družka Děti Zákaz pobytu Omezení způsobilosti k právním úkonům Centrální personalizace Decentralizované vydávání Tištěná fotografie Platnost 10 let 11

Trocha historie Občanské průkazy od 2.1.2012 Elektronický občanský průkaz - eop Karta ID1 Vydávány od 2. 1. 2012 Redukovaný rozsah údajů Identifikační údaje držitele Adresa trvalého pobytu Rodinný stav, registrované partnerství (volitelně) 2D kód PFD 417 Číslo dokladu Volitelně kontaktní čipový modul Elektronický podpis Číslo dokladu Centrální personalizace Decentralizované vydávání Polykarbonát Platnost 10 let 12

Obsah Trocha historie Stávající funkcionalita Možnosti rozšíření funkcionality Závěr 13

Stávající funkcionalita Doklad, MRZ zóna Doklad Identifikace držitele MRZ zóna Strojově čitelná zóna definovaná ICAO 9303 obsahující: Typ a číslo dokladu, vydávající stát Datum narození, pohlaví a státní příslušnost držitele, platnost dokladu Jméno (a příjmení upravené dle standardu ICAO) Použití - strojové čtení MRZ zóny s následným zpracováním údajů v ní uložených (vyhledávání v databázích, ) 14

Stávající funkcionalita 2D kód 2D kód PDF 417 neboli Portable Data File 417 je kvazidvourozměrný čárový kód, který sestává ze tří až 90 řádků, v každém z nichž může být zakódován 1 až 30 znaků. Okraje čárového kódu tvoří start sekvence a stop sekvence, ty musí navíc obklopovat tzv. tichá zóna. Každý znak tvoří 4 čáry a 4 mezery, dohromady široké 17 X (odtud název). PDF 417 má kontrolní mechanismy Reed-Solomon. Byl vyvinut v roce 1991. Obsahuje číslo dokladu Využití - strojové čtení čísla dokladu s následným použitím (vyhledávání v databázích, ) 15

Stávající funkcionalita Bezpečnostní osobní kód Bezpečnostní osobní kód (BOK) heslo k eop evidované v šifrované podobě v centrálních systémech 4-10 číslic, které si občan zadává při převzetí eop Využití - autentizace občana prokázáním znalosti BOK 16

Stávající funkcionalita Kontaktní elektronický čip Kontaktní elektronický čip Multiaplikační čip systému GlobalPlatform v 2.1.1, operační systém Java Card v 2.2 17

Stávající funkcionalita Kontaktní elektronický čip - vlastnosti Čip Paměť EEPROM: 144 KB. Certifikace podle CC: Common Criteria, ČSN/ISO 15408 verze min 2.1 Úrovně záruky bezpečnosti min EAL4 4 bezpečnostní zóny pro nahrání aplikací Dostupné instalované aplety: ECC2 aplet kompatibilní k CEN TS15480-2 v ROM (neinicializován) Systémový aplet Aplet pro elektronický podpis 18

Stávající funkcionalita Kontaktní elektronický čip - aplety ECC2 aplet Připraven na implementaci EID v souladu s normou CEN TS15480-2 Systémový aplet Obsahuje číslo eop, včetně jeho elektronického podpisu Umožňuje ověřit pravost čipu a vazbu mezi tělem karty a čipem Aplet pro elektronický podpis Umožňuje ukládat a dále používat párová data pro vytváření zaručeného elektronické podpisu Poznámka: middleware je přístupný na stránkách MV ČR pro platformy Windows, Linux i MAC OS 19

Stávající funkcionalita Kontaktní elektronický čip související systémy Související systémy Kontrolní autorita Generuje a spravuje symetrické a asymetrické klíče pro správu čipu Modul správy kontaktního čipu Vede seznam vydaných čipů včetně odpovídajících klíčů pro přístup k čipu Vede seznam aplikací na každém čipů Zajišťuje podporu pro ověření funkčnosti a obsahu kontaktního elektronického čipu a volné kapacity pro zapisování údajů do kontaktního elektronického čipu Architektonicky je připraven pro dodatečný zápis aplikací na již vydané eop (postissuing) 20

Obsah Trocha historie Stávající funkcionalita Možnosti rozšíření funkcionality Závěr 21

Možnosti rozšíření funkcionality ECC2 aplet ECC2 aplet http://www.cen.eu 22

Možnosti rozšíření funkcionality ECC2 aplet http://www.cen.eu 23

Možnosti rozšíření funkcionality ECC2 aplet File Content Fixed/ Max. Size Format Example Tag Variable EF.1 Document Type F 5A IDD EF.2 Issuing State EF.3 Document Number F 10AN EF.4 Date of Issue F 8N 5F26 11 EF.5 Date of Expiry F 8N 59 10 EF.6 Issuing Authority V 65ANS 5F62 EF.7 Given Names V 36AS 5F61 39 EF.8 Family Names V 36AS 5F60 39 EF.9 Maiden Name EF.10 Date of birth F 8N 5F2B 11 EF.11 Place of birth V 35ADNS 5F11 38 EF.12 Nationality F 3A 5F2C 6 EF.13 Sex EF.14 Eye Color F 3A 5F66 EF.15 Height F 3N 5F64 EF.16 Data 1 (national specific use) V EF.17 Normal Place of residence V 113ADNS 5F42 116 EF.18 Religious/Artistic Name EF.19 Academic Title EF.20 Residence Permit EF.21 Data 2 (national specific use) V 24

Možnosti rozšíření funkcionality ECC2 aplet Uložení těch údajů, pro které již není na fyzické kartě místo Údaje neměnné (nastavené pouze ve výrobě)/editovatelné (na úřadě) Příklady: Rodné příjmení Adresa trvalého pobytu Identifikace manžela/manželky/partnera U dětí identifikace zákonného zástupce Využití - získání dodatečných informací i bez přístupu k centrálním registrům 25

Možnosti rozšíření funkcionality 2D kód 2D kód Do PDF 417 lze zakódovat nejenom běžný text, ale i grafiku nebo speciální programovací instrukce. Velikost datového souboru může přitom být až 1,1 kb Uložení těch údajů, pro které již není na fyzické kartě místo Uložení kryptografických údajů zpracovávaných strojově Příklady: Rodné příjmení Adresa trvalého pobytu Identifikace manžela/manželky/partnera U dětí identifikace zákonného zástupce Šifrované údaje z těla karty chráněné proti falzifikaci, případně elektronický podpis údajů na kartě Využití získání dodatečných informací i bez přístupu k centrálním registrům 26

Možnosti rozšíření funkcionality Autorizační certifikát Autentizační certifikát V rámci výroby by bylo možné generovat do úložiště certifikátů autentizační certifikát s dobou platnosti shodnou s eop s uvedením čísla eop v rámci subjectu certifikátu Využití eop s čipem jako opravdový a bezpečný klíč k e-governmentu Akreditovaní poskytovatelé certifikačních služeb mohou ověřit, že vydávají certifikát na eop (vhodná úprava politik) zjistit číslo eop (ověření údajů držitele uvedených v žádosti) zjistit platnost eop (omezení platnosti kvalifikovaného certifikátu) 27

Obsah Trocha historie Stávající funkcionalita Možnosti rozšíření funkcionality Závěr 28

Závěr Je vydávání nových eop krok správným směrem? ANO 29

Děkujeme za pozornost