С приемането на Закона за електронната идентификация все по-често срещан въпрос (и неразбиране) е каква е разликата между електронната идентификация и електронния подпис. И двете могат да бъдат на смарткарта (карта с чип), в личната карта, на „флашка“ (USB dongle). И двете могат да участват в електронни административни услуги, а и в електронно гласуване. Та, каква е разликата? И защо ни е нужна електронна идентификация, като имаме електронен подпис, и обратно?
Разликата е най-видна, когато вземем еквивалентите им във физическия свят:
- Идентификацията е, когато представим документ за самоличност и чрез него длъжностно лице се увери, че ние сме наистина този, за когото се представяме
- Подписът е, когато подпишем някой документ, с което правим волеизявление – потвърждаваме, че това, което пише в документа, е нашата воля.
Двете действия са съществено различни – полагането на подпис има правни последици (стартират се процедури, текат срокове), докато идентификацията – не (в общия случай).
Технологично наистина двете могат да бъдат реализирани еднакво. Съществуват различни варианти за електронна идентификация, но решението, което ще използваме за българската национална схема, ще използва X.509 сертификат, също както електронния подпис.
Сходството (напр. извършване на комуникация с държавата онлайн) води до това двете теми са обект на един и същи европейски регламент (910/2014). В България регламентът се пояснява и допълва от два закона – за електронната идентификация и за електронния документ и електронния подпис (който скоро ще бъде преименуван и изменен, съгласно регламента).
Сходството в технологията и опита ни с електронните административни услуги поставят въпроса – за какво ще се ползват двете? До момента електронният подпис се е ползвал с функция и на двете. Функцията на подпис е била реализирана с технологичния смисъл на „електронен подпис“ (криптиране с частен ключ, като така авторството може да бъде проверено със съответния публичен), а функцията по идентификация е била реализирана чрез записване на ЕГН-то на лицето в удостоверението за електронен подпис. Сега двете неща се разделят – електронната идентичност се издава и гарантира от държавата, докато електронният подпис – от частни компании.
Електронната идентификация ще се ползва за няколко неща:
- Вход в акаунт в информационна система, вместо/в допълнение на потребителско име и парола
- Справочни електронни услуги – проверка на здравно досие, здравноосигурителен статус, задължения към държавата, връчени от държавни органи електронни документи.
- Като първа стъпка от заявяване на електронни услуги, така че данните за нас, които са необходими на съответната услуга, да бъдат извлечени автоматично (след наше разрешение)
- Заявяване на електронни услуги, които не изискват подпис (съответната нормативна уредба определя дали е нужен подпис или не)
Електронния подпис има доста по-широко приложение, но основно то е за подписване на електронни документи – всеки електронен документ (doc, pdf, odt, txt, xml, дори png и mp3) може да бъде подписан, като така се гарантират:
- авторство – кой е авторът на подписа
- интегритет – че документът не е бил променян, след като е бил подписан
- неотхвърляне – когато някой е подписал нещо, не може впоследствие да отрече, че го е подписал
- съгласие – когато някой е подписал нещо, значи се е съгласил с него
Това се използва например при:
- Изпращане на документи между фирми или между граждани и фирми
- Документооборот (в администрация или във фирми)
- Заявяване на електронни услуги (такива, които изискват подпис) – както от граждани, така и от фирми
- Попълване на декларации (включително като част от заявяване на електронна услуга)
Електронната идентификация се издава само на физически лица, като ако те искат да правят справки от името на юридическо лице, в качеството им на законни представители, системите позволяват това (например ако сте управител на фирма, при вход в системата на НАП, тя би казала – искате да видите задълженията си като физическо лице, или на юридическото лице, на което сте управител).
И тук логично следват няколко въпроса:
Защо частни фирми предоставят електронни подписи – не може ли държавата да го прави? Още от предходното европейско законодателство електронните удостоверителни услуги са се развили като дейност на свободния пазар. Съответно има десетки доставчици на електронни подписи (и други електронни удостоверителни услуги). Ако държавата започне да издава електронни подписи, това ще бъде намеса на свободния пазар, което няма да е допустимо. Някои държави опитват да заобиколят това, или като правят някое държавно предприятие – доставчик на електронни подписи, или като правят търг за избор на доставчик на електронни подписи за личните си карти (Естония), като той винаги се печели от един, де факто монополист на пазара. В единия случай гражданите все пак плащат за електронния подпис, а в другия – държавата дотира електронния подпис за гражданите. Защо услугата струва пари – защото има да се поддържа инфраструктура, софтуерна и хардуерна, която да бъде с високо ниво на сигурност.
Защо не може с един и същи сертификат (и криптографски ключове) да се подписваме и да се идентифицираме електронно? Основно заради правното значение – подписът, когато е „квалифициран“, има силата на саморъчен подпис. Т.е. ако някой уебсайт ви предложи да се идентифицирате със сертификата, и вие го направите, но се окаже, че той всъщност вместо съобщение за идентификация е изпратил „скрит“ документ, който сте подписали (тъй като се използва същата технология), тогава може да има неприятни последици. Затова например в Естония личната карта се използва с два PIN-кода – един за идентификация (4 символа) и един за подпис (6 символа). Всъщност дали такава „атака“ е технологично възможна е спорно и зависи от метода за електронна идентификация. Затова в някои случаи все пак може да е възможно използването на едно удостоверение за две цели.
Това значи ли, че с електронната идентификация няма да можем да ползваме електронни услуги пълноценно? По принцип да. Изредените горе опции биха били всичко, което можем да правим с картата си за електронна идентичност. Т.е. например не бихме могли да подаваме данъчна декларация, заявление за издаване на книжка и т.н. Тъй като идентифицирахме този проблем, в Закона за електронното управление има чл. 22, ал. 5, който казва, че електронни административни услуги могат да се използват от физически лица и с усъвършенстван електронен подпис. Разликата между „усъвършенствания“ и „квалифицирания“ електронен подпис е, че вторият е издаден от доставчик на квалифицирани удостоверителни услуги и по закон има силата на саморъчен подпис. Усъвършенстваният има същата сила само ако страните се уговорят за това или ако го пише в закон. Е, пише го, така че с УЕП ще могат да се ползват административни услуги. Идеята, която влезе в проекта за правилник към закона за електронната идентификация след общественото обсъждане е картите за електронна идентичност, освен за електронна идентификация да могат да се ползват и за подписване. Този подпис няма да има пълната сила на квалифицирания подпис – няма по подразбиране да може да се използва за подписване на документи (със силата на саморъчен) например. А, подхода, който избрахме, е валиден според разяснения на Европейската комисия („Държавите членки са свободни да избират какъв тип електронен подпис се изисква за дадена онлайн публична услуга или транзакция“)
Как ще получаваме карта за електронна идентичност и електронен подпис (усъвършенстван и квалифициран)? И колко ще струват?
- Електронна идентичност (карта, USB dongle, персонализиране на сървърен модул) ще може да се издава от: МВР, консулствата и частни лица (администратори на електрона идентичност). Цената при първите две ще покрива цената на пластиката/флашката и на чипа, а администраторите на електронна идентичност (част от които ще бъдат фирмите – доставчици на електронни подписи) ще определят цената сами. Няма да има такси за продължаване или за съхранение на удостоверението – то се пази в сървъри на МВР и се покрива от държавата.
- Квалифициран електронен подпис (КЕП) – както досега, от доставчиците (Борика-Банксервиз, Информационно обслужване, Инфонотари, ЕвроТръст, СЕП)
- Усъвършенстван електронен подпис (УЕП) – ще може да бъде полаган използвайки карта за електронна идентичност. Тук трябва да се отбележи, че има спор дали държава или държавно предприятие може да предоставя такава услуга. Все пак регламентът не не забранява това, а и самият УЕП не е услуга.
- Внесохме предложение за изменение на Закона за българските лични документи, като ако бъде приет, от 2018-та в личната карта по подразбиране ще има електронен идентификатор, а ако гражданинът избере да си купи КЕП – и електронен подпис. Предвид, че УЕП се записва по реда на Закона за електронната идентификация, тъй като е обвързан с нея, то при нежелание за записване на КЕП, на личната карта ще има и УЕП.
Ще трябва ли четец? Идеята е картите, поне тези, които МВР и консулствата издават, да са с двоен интерфейс. Четците за компютър са около 15 лв, а ако следваме практиката на Естония, такива могат да бъдат раздавани безплатно в рамките на кампании. Ако човек има смартфон с NFC (т.е. Android), ще може да ползва картата с него (като може да ползва услугите както на телефона, така и на компютър; използвайки телефона само като четец) и съответно няма да му трябва четец. Ако избере да си вземе USB dongle или вече има такъв от електронния си подпис – пак няма нужда от четец.
Стана сложно, но идеята ни е – ако човек има специфични нужди и знае за какво му трябва квалифициран електронен подпис, или ако е представител на фирма, да си купи такъв. Ако иска просто нещо, с което да ползва онлайн услуги, каквито и да са те в бъдеще – взема си карта за електронна идентичност, инсталира едно приложение на компютъра си (с драйвери и подобни неща) и вече може да ползва услугите. Целта е да работи на всички браузъри и всички операционни системи (включително подписването с УЕП), за да няма нужда от ритуали и магии за „подкарване“, както при електронните подписи до момента. С това, и с вкарването в личната карта идеята е да се постигне масовост, която сравнително скъпият КЕП досега не е постигнал при физическите лица.
Всичко това (без личните карти) трябва да е налично догодина в началото на лятото. Като към проектите ще има разяснителни кампании, обясняващи това, което описах по-горе.
Каква е разликата между КЕП и УЕП?
КЕП е УЕП, издаден от доставчик на квалифицирани удостоверителни услуги.
Защо някой би платил стотина лева за КЕП, ако ще получи УЕП за без пари?
Тук идва и въпроса как ограничавате лобизма на текущите доставчици на КЕП? Едва ли ще дадат без бой тая крава…
За точност на определенията, в РЕГЛАМЕНТ (ЕС) № 910/2014 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА:
чл. 3 т. 12
„усъвършенстван електронен подпис“ означава електронен подпис, който отговаря на изискванията, посочени в
член 26;
чл. 26 от 910/2014 – Усъвършенстваният електронен подпис отговаря на следните изисквания:
а) свързан е по уникален начин с титуляря на подписа;
б) може да идентифицира титуляря на подписа;
в) създаден е чрез данни за създаване на електронен подпис, които титулярят на електронния подпис може да използва с висока степен на доверие и единствено под свой контрол; и
г) свързан е с данните, които са подписани с него, по начин, позволяващ да бъде открита всяка последваща промяна в тях.
чл. 3 т.12 от 910/2014 – „квалифициран електронен подпис“ означава усъвършенстван електронен подпис, който е създаден от устройство за създаване на квалифициран електронен подпис и се основава на квалифицирано удостоверение за електронни подписи;
чл.3 т.15 от 910/2014 – „квалифицирано удостоверение за електронен подпис“ означава удостоверение за електронни подписи, което се издава от доставчик на квалифицирани удостоверителни услуги и отговаря на изискванията, предвидени в приложение I;
Имам следните въпроси:
1. Кога е било проведено общественото допитване да се записва УЕП в личната карта?
2. Какви са въпросите в това допитване?
3. Каква част от българските граждани правят разлика между УЕП, КЕП и КУЕП?
4. Как държавата избягва намесата на свободния пазар?
След като:
1. По подразбиране ще се записва УЕП, а по мой опит, свързан с директен контакт с гражданите много малък процент от тях имат идея за какво става въпрос.
2. Държавната фирма „Информационно обслужване“ е определена за Единен системен интегратор и/или чрез нея МВР ще издава УЕП.
3. „Усъвършенстваният има същата сила само ако страните се уговорят за това или ако го пише в закон. Е, пише го, така че с УЕП ще могат да се ползват административни услуги. “ , което реферира към въпрос 3.
Що се отнася до сравнително скъпият КЕП, доставчиците с всяка изминала година намаляват цените. А дотираното от държавата издаване на УЕП няма ли да се „избие“ чрез данъци, защото каквото и да си говорим технологията струва пари.
По мое мнение държавата индиректно се намесва на свободния пазар и „злите“ частни фирми ще са вън от пазара до година – две.
УЕП сам по себе си не е услуга (за разлика от издаването на удостоверение за КЕП). Т.е. това, че държавата ти дава механизъм да поставиш УЕП (който е следствие от технологичната близост с eID), не значи, че предлага услуга или се намесва на свободния пазар на такива.
КЕП ще си трябва, особено с оглед на трансграничното му признаване.
Т.е. УЕП няма да се признава „трансгранично“, а КЕП се признава?
Аз принципно не виждам проблем държавата да поеме ролята, която изпълняват сега частните доставчици на КЕП, при положение, че има очевиден обществен интерес.
Колкото до това, че в крайна сметка ще си плащаме за инфраструктурата от данъците: да, така е, но покрай инфраструктурата за eID-та, КЕП/УЕП няма да са голямо увеличение на цената. Плюс това големия „оборот“ ще намали още повече цената за поддръжка на единичен подпис. А в момента цените, които частниците искат са с огромна печалба.
Това че, УЕП е издаден на основата на удостоверителна верига, ще се проверява чрез CRL листа и/или OCSP, ще има някакъв срок на валидност, преди който трябва да се поднови не е услуга???
Ще направя една груба сметка, какво е необходимо за един малък издател на КЕП:
I. Сървъри – 2 бр. сървъра, например на Леново + data store с 4GB (RAID 5) + софтуер за виртуализация (лицензи) – 35 до 40 хил. лв.
II. HSM (Hardware security module) върху който да стоят частните ключове сертификатите на доставчика, например CryptoServe CS10 на Utimaco – 26 хил. лв. , без годишна поддръжка (5 хил. лв. на година) и таксите за първоначална инсталация, настройка и обучение от Utimaco (около 20 хил. лв.)
III. Персонал – най-малко 4-ма висококвалифицирани (технологии за сигурност, криптография, инфраструктура на публични ключове (PKI); технически норми за оценка на сигурността; информационни системи.) XX хил. лева заплати.
Защото:
„Доставчикът на удостоверителни услуги
организира работата на служителите си по начин, който гарантира, че различни лица изпълняват
дейностите по:
1. генериране и поддържане на инфраструктурата на публичния ключ на доставчика на удостоверителни услуги;
2. администриране и осигуряване сигурност на системите;
3. създаване и управление на удостоверения за квалифициран електронен подпис, включително
създаване на двойка ключове – частен и публичен, за квалифициран електронен подпис, и
4. съхранение на данни и архивиране.“
IV. Сертификация и поддръжка (всяка година одит) по ISO 27001 и одит по съответствието XX хил. лева (20)
V. Помещения, в които да се намира хардуера, изградени и поддържани по съответните строги стандарти (пожарно безопасност, климатизация и ел. захранване).
VI. Резервен център, който да се намира извън локацията на първия, да се основава на същите стандарти и да съдържа всичко в точка I.
Така че, грубо казано трябват около 100 хил. лв. за старт без заплатите на персонала. Така че може би трябва да има „огромните печалба“.
Що се отнася до трансграничното признаване.
Как да тълкувам т.3 от чл. 27 на
„За трансгранично използване при онлайн услуга, предлагана от орган от публичния сектор, държавите-членки не изискват електронен подпис с равнище на сигурност, по-високо от това на квалифицирания електронен подпис.“
А ни чака и стандартизиране на информационните системи в общественият държавен сектор……
:)) както и предположих представителите на частните интереси веднага се активираха в борбата за златната крава 🙂 очаквам ви скоро и в сутрешните блокове 🙂
Каква борба, в един блог?
Цитирам български закон и РЕГЛАМЕНТ (ЕС) № 910/2014.
Опитвам се да получа отговор на въпроси, които би трябвало да бъдат решени чрез новите български закони.
Като човек, който използва активно електронни услуги искам да ми е бързо, просто и лесно.
Като служител вече 5 години се сблъсквам с некомпетентността ширеща се в държавните институции и в голям процент общата техническа неграмотност на хората, които се опитват да използват КЕП, за тях винаги е виновен КЕП-а, но не и системата (държавна и по-рядко частно), в която се опитват до го използват, нито в сваленият от zamunda Windows.
Като IT специалист, знам, че, изграждането, функционирането и поддръжката на една PKI система не е никак лесна задача. И ако държавата ще го прави това искам да го направи както трябва.
Споделям опит и силно се съмнявам, че пак ще стане като предходното обновление на лични документи и държавни информационни системи.
Та за каква борба става въпрос?
Да, да 🙂 и един мърмот завива ли завива 🙂
Кажи ми в този чисто хипотетично обрисуван частен КЕП доставчик колко КЕП се пазят в момента?
Чисто хипотетично. Знам, че не си представител и нямаш нищо общо, с който и да е КЕП доставчик.
Не е евтино и просто да се поддържа PKI, наистина. А на въпроса за броя подписи в частните доставчици – всъщност са доста (общо във всички – стотици хиляди) – заради бизнеса, най-вече (на физически лица, които не ги ползват да подават декларации/отчети от името на юридически, според мен са нищожен процент)
А дали УЕП е услуга – издаване на удостоверение за УЕП е услуга, да. Но самият подпис не е. Според регламента, ако 4-те условия на чл. 26 са изпълнени, то УЕП-ът е валиден, без значение дори дали има удостоверение и CRL. С PGP може да се създава УЕП, например. Дори request-ите в TLS сесия (mutually authenticated) могат да се разглеждат като УЕП. Аналогично – ако имаш eID и с неговите ключове можеш да подписваш (в техническия смисъл – а няма какво да те спре да го правиш) – УЕП-ът е валиден според регламента. Той естествено няма правната сигурност на КЕП, но за заявяване на електронни административни услуги е предостатъчен (в момента НАП ползват ПИК, който са провъзгласили за електронен подпис по смисъла на ЗЕДЕП и си работи окей)
Относно това кой е виновен за това защо КЕП-овете не работят. Най-виновни са вендорите на смарткарти, защото са гадняри и всичко им е затворено и специфично и 1 с 1 не си приличат, съответно универсален middleware – трудно.
Виновни са и браузърите, защото нямат адекватна поддръжка на подписите, което налага Java аплетите, които са си мъка (а и са deprecated вече).
И доставчиците са виновни, че не са измислили нещо като естонското решение с browser plugins + javascript. Да, при нас е малко по-сложно, заради повечето доставчици, но далеч не невъзможно.
Между другото – имаме идеи за унифициране на механизма за подписване, без java аплети. Ще пиша с повече детайли.
А тъй като отговорих само на 4-тия въпрос на e.d., ето и на другите три:
1. Кога е било проведено общественото допитване да се записва УЕП в личната карта? + 2. Какви са въпросите в това допитване?
То не се записва УЕП – там ще си има стандартните ключове, просто технически ще могат да се ползват и за УЕП.
Допитване „искате ли УЕП по смисъла на чл. 26 от Регламент 910/2014“ би било малко безсмислено, поради спецификата – колко човека знаят всичките детайли 🙂 Но обществено обсъждане на правилника за eID имаше, и в него се казва, че ще се ползва X.509 с двойка ключове на картата.
3. Каква част от българските граждани правят разлика между УЕП, КЕП и КУЕП?
именно, много малка. Тях ги интересува да си заявят онлайн услугата, а не каква е правната тежест според европейски регламент. Поради което и ПИК-а на НАП е толкова успешен (въпреки технологичната му несигурност).
Аз имам два въпроса:
1. Държавата ще поддържа ли OCSP за издадените от нея УЕП?
2. Държавната администрация ще признава ли подписани документи с издадения от нея УЕП?
Защото ако е така, аз не виждам проблем в договорите между различните юридически лица, юридически и физически, да се слага по една клауза, че признават УЕП издаден от държавата и да могат да се подписват документи с PADES или CADES. Тогава КЕП ще е необходим само в случай, че страните не признат издадения от държавата УЕП.
Засега работната идея е сертификатът за eID (+ключовете) да се ползват и за УЕП. Евентуално с различни пинове (копие на защитения контейнер). И след като сме сигурни, че не може да се spoof-не TLS challenge така че да те накарат да подпишеш нещо, което не искаш (на първо четене не изглежда да може)
Т.е. отговорът е „да“ (за OCSP и CRL), но като част от eID инфраструктурата.
За 2 – според закона ще ги признава при заявление за електронни административни услуги. Т.е. не за всичко, но за по-масовите неща.
Какво се случва когато, гражданина Х избере да има КЕП вместо УЕП на личната си карта и след една година спре да си плаща на доставчика на КЕП. (или доставчика фалира, или иска да си смени доставчика или по някаква друга причина КЕП-а му стане невалиден).
Прегледах сайтове на доставчиците на КЕП и при един от тях не се говори за КЕП, а за УЕП (удостоверение), което ще доведе до объркване сред масовата аудитория.
Според Регламент 910/2014 е „Квалифицирано удостоверение за електронен подпис“. Може би ще трябва да уеднаквим всички терминологията 🙂
Във връзка с последния коментар, може да кажем, че наистина е много наложително да се уеднакви терминологията, да има технологичен речник и всички нормативни актове и официални документи да използват тази терминология.
В този смисъл е наложителна процедура по промяна на българския текст на Регламент 910/2014 като се започне от най-сериозната грешка – „удостоверителни услуги“, които бяха пренесени още по-грешно в ЗЕУ, наредбите и УПДАЕУ – „електронни удостоверителни услуги“. Сега е момента, този термин да бъде оправен, защото в бъдеще той ще се мултиплицира.
Ето няколко примера, защо трябва да се промени:
http://www.dpc.bg/en/news/upcoming-regulation-of-certification-services-in-the-eu-en.html – това е когато някой българин превежда електронни удостоверителни услуги.
– на всички останали езици в ЕС терминологията от Директивата 1999/93/ЕС се е изменила в Регламент 910/2014, както следва:
на френски език: service de confiance
на немски език: Vertrauensdienstes
на испански език: servicio de confianza
на италиански език: servizio fiduciario
на полски език: usługi zaufania
на словашки език: dôveryhodnú službu
Терминът не е променен единствено на български език и смисъла, който е вложен в новия Регламент е изгубен.
2021г сме и нямаме такива ЛД,а парите за да ги въведат вероятно са усвоени отдавна,от правилните хора 🙁