Posts tagged електронна идентификация

Чип в личните карти – разяснения

0

През декември парламентът прие измененията в Закона за българските лични документи, които бяхме внесли през април. Ще пробвам да внеса разяснения, с малко закъснение.

Накратко, целта на измененията е да даде на всеки български гражданин средство, с което да се идентифицира електронно пред администрацията и да заявява електронни услуги, като така се реши проблема на електронното управление с „кокошката или яйцето“ – няма достатъчно електронни услуги, защото много малко хора имат как да ги ползват (квалифицираният електронен подпис беше горе-долу единственото средство досега), а малко хора имат квалифициран електронен подпис, защото няма достатъчно услуги, с които могат да го ползват. Със Закона за електронната идентификация въведохме „електронна идентичност“, което отваря вратата към търсената масовост на средство за използване на системите на електронното управление. Промяната влиза в сила от 2018-та, като ако МВР не се справи с всички процедури за обществена поръчка (включително заради политическата нестабилност), това може да бъде отложено малко.

Тъй като измененията в ЗБЛД засяга личните карти – т.е. нещо, което всеки е длъжен да има, ще опитам да отговоря на най-често задаваните въпроси.

В: Ще трябва ли да си сменям личната карта?
О: Само ако желаете. Няма задължителна смяна. Ако изрично не поискате да си смените личната карта, то ще получите новата карта с чип след като личната ви карта изтече.

В: Задължително ли получавам електронна идентичност?
О: Не. Удостоверението за електронна идентичност се записва в чипа по подразбиране, но при подаване на заявлението имате възможност да се откажете. Защо избрахме този принцип на изричния отказ – за да постигнем масовост на електронното управление, трябва възможно най-много хора да разполагат със средство за сигурно електронно идентифициране пред държавни органи, дори да нямат непосредствена нужда от това. Така следваме примера на Естония, които въвеждат задължителната електронна лична карта, но започват да „жънат“ плодовете от нея досега години след това. Все пак това се случва, за разлика от Финландия, която въвежда електронната лична карта преди Естония, но не я прави задължителна – в момента Финландия изостава в електронното управление и внася технологии от Естония.

В: Ще има ли биометрични данни?
О: Само при изрично желание за това. При попълване на заявлението за нова лична карта, ще можете да отбележите дали искате снимката ви и пръстовия ви отпечатък да бъдат записани на картата, съгласно стандарт на ICAO. Същият стандарт е задължителен за паспортите. Какво дава това? Възможност за преминаване през автоматични терминали с лична карта, освен с паспорт. Тук има няколко важни условности – преминаване с лична карта през гранична проверка може да става само в Европейския съюз (и с няколко държави, с които имаме споразумение). Ако България влезе в Шенген, това би станало излишно. Освен това летищата, които имат терминали, поддържащи формата „лична карта“ в допълнение на формата „паспорт“ са доста малко. Няма официални данни за това, но от проучване, което направихме, се броят на пръсти. Все пак, има тенденция за тяхното увеличаване, и за въвеждане на биометрични данни (по стандарта на ICAO) в личните карти на други европейски държави (макар и по инерция, без особено много аргументи), така че по предложение на колегите от МВР решихме, че не трябва да изключваме тази опция. Все пак, тя не е задължителна, заради притеснения, свързани със сигурността и заради ограниченото приложение. Съдът на Европейския съюз пък е решил, че нямаме задължение за въвеждането на биометрични данни в личните карти, така че се съобразяваме с това решение.

В: Ще струва ли по-скъпо новата лична карта?
О: Не. С оптимизации в модела на издаване (преминаване от децентрализиран към централизиран) ще бъдат спестени достатъчно пари, с които да може да се покрие евентуално оскъпяване на картата заради по-новите технологии. Все пак, цената на самия чип е от порядъка на 1 евро, така че дори индиректно (напр. през данъци) няма да плащаме повече.

В: Какво ще мога да правя с електронната си лична карта?
О: Ще можете да правите справки и да заявявате електронни административни услуги. Освен това, по избор, ще можете да запишете и квалифицирания си електронен подпис (от частен доставчик) на картата. Каква е разликата между електронната идентичност и електронния подпис – надълго и нашироко съм обяснил тук. Накратко – електронната идентичност е електронния еквивалент на това да си покажем личната карта. Но заради техническата реализация на това, с нея могат да бъдат поставяни и усъвършенствани електронни подписи. Тя няма правната сигурност на квалифицирания електронен подпис – например не можете да подписвате договори с нея, но заради изменение в Закона за електронно управление, ще може да „подписвате“ заявления за електронни административни услуги – това, което ще е нужно на мнозинството от гражданите.

В: Ще ми е нужен ли четец или друг специален хардуер, за да използвам картата?
О: За да я ползвате с компютър – в повечето случаи – да. Т.е. ще трябва да има налични четци, които гражданите да могат да си купят (напр. в супермаркети дори, както в Естония). Четците не непременно са големи, грозни и неудобни за носене – отново естонците ползват например този малък, преносим четец. Все пак, някои лаптопи имат вградени четци. Другият начин за използване на картата ще бъде със смартфон. Тъй като най-вероятно достъпът до картата ще бъде чрез т.нар. dual interface (т.е. контактен И безконтактен), ще можем с NFC четеца на смартфона си да използваме картата. Предполагам, че това ще е често разпространено (макар да не се поддържа от iPhone). Някои лаптопи също имат NFC.

В: Сигурна ли е безконтактната комуникация?
О: Безконтактната комуникация носи рискове за сигурността, поради което с правилника за прилагане на Закона за електронната идентификация сложихме изисквания – никой няма да може да прочете нищо от каратата ви, ако не знае PIN-a. Дори да знае PIN-a, ще може да ви прочете общо взето само трите имена (ЕГН-то напр. го няма там). В допълнение, никой няма да може да ви следи на база на чипа, тъй като при всяко свързване, той ще предоставя различен, случайно-генериран идентификатор. И не на последно място – за идентифициране ще може да бъде включена многофакторна автентикация, т.е. освен с картата, ще е нужно и потвърждение с мобилно приложение (или в краен случай sms). Биометричните данни са защитени от неоторизиран безконтактен достъп по станадрта на ICAO, към който аз имам сериозни резерви, но все пак всички паспорти по света го използват. А и именно заради това биометричните данни са само по избор.

Надявам се да съм отговорил на важните въпроси. И да е станало ясно, че никой не ни „чипира“, че никой няма да ни следи по чипа (заб.: по-лесно е по мобилния ни телефон). Смятам, че тази промяна е абсолютно необходимото условие за развиване на електронното управление в следващите години.

Share Button

Биометрична идентификация [презентация]

0

Виждали сме „по филмите“ как врати се отварят само след прочитане на пръстов отпечатък или сканиране на ирис. И там изглежда сигурно и футуристично. Всъщност не е нито едното от двете. Не е футуристично, защото отдавна скенери за отпечатъци се използват за достъп в някои фирми и дори администрации, а смартфоните позволяват отключване с пръстов отпечатък, а все повече и след сканиране на ириса. Паспортите ни пък от 5-6 години съдържат пръстовите ни отпечатъци, за да може при гранична проверка, проверяващият да сравни (автоматично) нашите отпечатъци с тези, записани в паспорта, за да е сигурно, че това наистина сме ние и че паспортът е бил издаден именно на нас.

А не е сигурно, защото проблемите с тези биометрични подходи за идентификация са доста. Всъщност толкова големи, че преди 10-тина години японски учен реконструира пръстов отпечатък, използвайки желирани бонбони и успява да заблуди скенери, а Брус Шнайер (известен експерт по информационна сигурност) коментира, че това е достатъчно всички доставчици на технология за идентификация с пръстови отпечатъци трябва да си събират нещата и да си ходят.

Проблемите в това да използваш отпечатък или друга биометрична характеристика с в това, че не подлежат на промяна и че не са тайни. Веднъж някой да получи достъп до отпечатъка (а бази данни с отпечатъци изтичат постоянно), може да се представя навсякъде за нас. А след като смартфоните се отключват по този начин, то включително интернет банкирането ни е изложено на риск – използваме телефона си често за „2-ри фактор“ при вход в различни системи.

Паспортите ни също съдържат отпечатъци, които „уж“ са защитени от безконтролно четене и само гранични терминали могат да ги четат. Това на практика обаче не е съвсем така – има доста потенциални проблеми с протоколите, стандартизирани от ICAO. (Поради тази неяснота относно сигурността на стандарта, за новите лични карти предложихме биометрични данни да се записват само при изрично желание от страна на заявителя, макар някои държави, в т.ч. Германия, да прилагат ICAO стандарта и за личните си карти)

За всичко това направих 40-минутна презентация на ВарнаКонф:

Ето и слайдовете:

Рискове има с всяка технология и това не значи, че не трябва да я използваме. Но когато рисковете са значително по-големи от ползите, или трябва да измислим начини да използваме технологията по различен начин, или от нея няма смисъл.

Share Button

Каква е разликата между електронната идентификация и електронния подпис?

18

С приемането на Закона за електронната идентификация все по-често срещан въпрос (и неразбиране) е каква е разликата между електронната идентификация и електронния подпис. И двете могат да бъдат на смарткарта (карта с чип), в личната карта, на „флашка“ (USB dongle). И двете могат да участват в електронни административни услуги, а и в електронно гласуване. Та, каква е разликата? И защо ни е нужна електронна идентификация, като имаме електронен подпис, и обратно?

Разликата е най-видна, когато вземем еквивалентите им във физическия свят:

  • Идентификацията е, когато представим документ за самоличност и чрез него длъжностно лице се увери, че ние сме наистина този, за когото се представяме
  • Подписът е, когато подпишем някой документ, с което правим волеизявление – потвърждаваме, че това, което пише в документа, е нашата воля.

Двете действия са съществено различни – полагането на подпис има правни последици (стартират се процедури, текат срокове), докато идентификацията – не (в общия случай).

Технологично наистина двете могат да бъдат реализирани еднакво. Съществуват различни варианти за електронна идентификация, но решението, което ще използваме за българската национална схема, ще използва X.509 сертификат, също както електронния подпис.

Сходството (напр. извършване на комуникация с държавата онлайн) води до това двете теми са обект на един и същи европейски регламент (910/2014). В България регламентът се пояснява и допълва от два закона – за електронната идентификация и за електронния документ и електронния подпис (който скоро ще бъде преименуван и изменен, съгласно регламента).

Сходството в технологията и опита ни с електронните административни услуги поставят въпроса – за какво ще се ползват двете? До момента електронният подпис се е ползвал с функция и на двете. Функцията на подпис е била реализирана с технологичния смисъл на „електронен подпис“ (криптиране с частен ключ, като така авторството може да бъде проверено със съответния публичен), а функцията по идентификация е била реализирана чрез записване на ЕГН-то на лицето в удостоверението за електронен подпис. Сега двете неща се разделят – електронната идентичност се издава и гарантира от държавата, докато електронният подпис – от частни компании.

Електронната идентификация ще се ползва за няколко неща:

  • Вход в акаунт в информационна система, вместо/в допълнение на потребителско име и парола
  • Справочни електронни услуги – проверка на здравно досие, здравноосигурителен статус, задължения към държавата, връчени от държавни органи електронни документи.
  • Като първа стъпка от заявяване на електронни услуги, така че данните за нас, които са необходими на съответната услуга, да бъдат извлечени автоматично (след наше разрешение)
  • Заявяване на електронни услуги, които не изискват подпис (съответната нормативна уредба определя дали е нужен подпис или не)

Електронния подпис има доста по-широко приложение, но основно то е за подписване на електронни документи – всеки електронен документ (doc, pdf, odt, txt, xml, дори png и mp3) може да бъде подписан, като така се гарантират:

  • авторство – кой е авторът на подписа
  • интегритет – че документът не е бил променян, след като е бил подписан
  • неотхвърляне – когато някой е подписал нещо, не може впоследствие да отрече, че го е подписал
  • съгласие – когато някой е подписал нещо, значи се е съгласил с него

Това се използва например при:

  • Изпращане на документи между фирми или между граждани и фирми
  • Документооборот (в администрация или във фирми)
  • Заявяване на електронни услуги (такива, които изискват подпис) – както от граждани, така и от фирми
  • Попълване на декларации (включително като част от заявяване на електронна услуга)

Електронната идентификация се издава само на физически лица, като ако те искат да правят справки от името на юридическо лице, в качеството им на законни представители, системите позволяват това (например ако сте управител на фирма, при вход в системата на НАП, тя би казала – искате да видите задълженията си като физическо лице, или на юридическото лице, на което сте управител).

И тук логично следват няколко въпроса:

Защо частни фирми предоставят електронни подписи – не може ли държавата да го прави? Още от предходното европейско законодателство електронните удостоверителни услуги са се развили като дейност на свободния пазар. Съответно има десетки доставчици на електронни подписи (и други електронни удостоверителни услуги). Ако държавата започне да издава електронни подписи, това ще бъде намеса на свободния пазар, което няма да е допустимо. Някои държави опитват да заобиколят това, или като правят някое държавно предприятие – доставчик на електронни подписи, или като правят търг за избор на доставчик на електронни подписи за личните си карти (Естония), като той винаги се печели от един, де факто монополист на пазара. В единия случай гражданите все пак плащат за електронния подпис, а в другия – държавата дотира електронния подпис за гражданите. Защо услугата струва пари – защото има да се поддържа инфраструктура, софтуерна и хардуерна, която да бъде с високо ниво на сигурност.

Защо не може с един и същи сертификат (и криптографски ключове) да се подписваме и да се идентифицираме електронно? Основно заради правното значение – подписът, когато е „квалифициран“, има силата на саморъчен подпис. Т.е. ако някой уебсайт ви предложи да се идентифицирате със сертификата, и вие го направите, но се окаже, че той всъщност вместо съобщение за идентификация е изпратил „скрит“ документ, който сте подписали (тъй като се използва същата технология), тогава може да има неприятни последици. Затова например в Естония личната карта се използва с два PIN-кода – един за идентификация (4 символа) и един за подпис (6 символа). Всъщност дали такава „атака“ е технологично възможна е спорно и зависи от метода за електронна идентификация. Затова в някои случаи все пак може да е възможно използването на едно удостоверение за две цели.

Това значи ли, че с електронната идентификация няма да можем да ползваме електронни услуги пълноценно? По принцип да. Изредените горе опции биха били всичко, което можем да правим с картата си за електронна идентичност. Т.е. например не бихме могли да подаваме данъчна декларация, заявление за издаване на книжка и т.н. Тъй като идентифицирахме този проблем, в Закона за електронното управление има чл. 22, ал. 5, който казва, че електронни административни услуги могат да се използват от физически лица и с усъвършенстван електронен подпис. Разликата между „усъвършенствания“ и „квалифицирания“ електронен подпис е, че вторият е издаден от доставчик на квалифицирани удостоверителни услуги и по закон има силата на саморъчен подпис. Усъвършенстваният има същата сила само ако страните се уговорят за това или ако го пише в закон. Е, пише го, така че с УЕП ще могат да се ползват административни услуги. Идеята, която влезе в проекта за правилник към закона за електронната идентификация след общественото обсъждане е картите за електронна идентичност, освен за електронна идентификация да могат да се ползват и за подписване. Този подпис няма да има пълната сила на квалифицирания подпис – няма по подразбиране да може да се използва за подписване на документи (със силата на саморъчен) например. А, подхода, който избрахме, е валиден според разяснения на Европейската комисия („Държавите членки са свободни да избират какъв тип електронен подпис се изисква за дадена онлайн публична услуга или транзакция“)

Как ще получаваме карта за електронна идентичност и електронен подпис (усъвършенстван и квалифициран)? И колко ще струват?

  • Електронна идентичност (карта, USB dongle, персонализиране на сървърен модул) ще може да се издава от: МВР, консулствата и частни лица (администратори на електрона идентичност). Цената при първите две ще покрива цената на пластиката/флашката и на чипа, а администраторите на електронна идентичност (част от които ще бъдат фирмите – доставчици на електронни подписи) ще определят цената сами. Няма да има такси за продължаване или за съхранение на удостоверението – то се пази в сървъри на МВР и се покрива от държавата.
  • Квалифициран електронен подпис (КЕП) – както досега, от доставчиците (Борика-Банксервиз, Информационно обслужване, Инфонотари, ЕвроТръст, СЕП)
  • Усъвършенстван електронен подпис (УЕП) – ще може да бъде полаган използвайки карта за електронна идентичност. Тук трябва да се отбележи, че има спор дали държава или държавно предприятие може да предоставя такава услуга. Все пак регламентът не не забранява това, а и самият УЕП не е услуга.
  • Внесохме предложение за изменение на Закона за българските лични документи, като ако бъде приет, от 2018-та в личната карта по подразбиране ще има електронен идентификатор, а ако гражданинът избере да си купи КЕП – и електронен подпис. Предвид, че УЕП се записва по реда на Закона за електронната идентификация, тъй като е обвързан с нея, то при нежелание за записване на КЕП, на личната карта ще има и УЕП.

Ще трябва ли четец? Идеята е картите, поне тези, които МВР и консулствата издават, да са с двоен интерфейс. Четците за компютър са около 15 лв, а ако следваме практиката на Естония, такива могат да бъдат раздавани безплатно в рамките на кампании. Ако човек има смартфон с NFC (т.е. Android), ще може да ползва картата с него (като може да ползва услугите както на телефона, така и на компютър; използвайки телефона само като четец) и съответно няма да му трябва четец. Ако избере да си вземе USB dongle или вече има такъв от електронния си подпис – пак няма нужда от четец.

Стана сложно, но идеята ни е – ако човек има специфични нужди и знае за какво му трябва квалифициран електронен подпис, или ако е представител на фирма, да си купи такъв. Ако иска просто нещо, с което да ползва онлайн услуги, каквито и да са те в бъдеще – взема си карта за електронна идентичност, инсталира едно приложение на компютъра си (с драйвери и подобни неща) и вече може да ползва услугите. Целта е да работи на всички браузъри и всички операционни системи (включително подписването с УЕП), за да няма нужда от ритуали и магии за „подкарване“, както при електронните подписи до момента. С това, и с вкарването в личната карта идеята е да се постигне масовост, която сравнително скъпият КЕП досега не е постигнал при физическите лица.

Всичко това (без личните карти) трябва да е налично догодина в началото на лятото. Като към проектите ще има разяснителни кампании, обясняващи това, което описах по-горе.

Share Button

Идентичност в дигиталния свят

1

„Идентичността“ е набор от характеристики, които позволява еднозначното идентифициране на лице или разграничаването му от други лица. Това звучи просто, но всъщност има доста сложни аспекти в съвременния, свързан и глобален свят.

Идентичността в днешно време се удостоверява от правителствата. Човек е никой ако правителство не е потвърдило, че той наистина е някой. Процедурите в различните държави са различни, но след като човек се роди, му се издава акт за раждане, и името му (заедно с номер понякога) се вписват в база данни (централизирана или децентрализирана). Оттам нататък човек има „идентичност“, която може след това да докаже, използвайки някакъв документ (лична карта, паспорт, шофьорска книжка, номер на социална осигуровка и т.н.). Всъщност, на български има и дума „самоличност“, която в някои контексти е синоним, а в други – идентичността е начинът трета страна да се увери в нечия самоличност (чрез сравнение дали някой документ е идентичен с характеристиките на лицето, стоящо пред него).

Не че правителството притежава идентичността ни, защо ние сме много повече от една лична карта, но някои характеристики от идентичността ни се записват от правителството, които след това то сертифицира, че това сме именно ние (чрез документ и вписване в съответната база данни). Тези характеристики (или атрибути) включват имена, които пък са били използвани да идентифицират хора от хилядолетия, адрес, снимка, височина, цвят на очите. Евентуално пръстови отпечатъци и ирис, но ще засегнем биометрията малко по-надолу.

Защо това има значение? С изключение на малки, изполирани племена, в които най-вероятно дори няма нужда от имена за идентифициране на хората, в т.нар. „цивилизован свят“ има нужда от разграничаване на един човек от друг по ред причини. Шофьорът способен ли е да управлява кола, пилотът способен ли е да управлява самолет – те могат да покажат сертификат, но те ли са наистина тези, които са били сертифицирани? („Хвани ме ако можеш“ показва колко сериозно може да бъде това). Кой притежава даден имот – дали е този, който твърди, че е Джон Смит, или другият, който също твърди, че е Джон Смит? Нотариалният акт може да е загубен, но някъде има записана информацията за собственика – нужно е само да идентифицираме истинския Джон Смит.

Пътуването е друг пример – макар и твърде неоптимално, светът е разделен на държави и има граници, и съответно разнообразни ограничения за пътуване. Нужно е човек да докаже, че наистина е той, и че има право да пътува – трябва да докажеш, че си американец, или че имаш валидна виза, за да влезеш в САЩ.

Има и други примери – борба с престъпността, вземане на банков заем, започване на работа и т.н.

Може да се спори дали не трябва човек да може да бъде напълно анонимен и все пак да може да извършва всичко описано по-горе, но за съжаление, в глобално общество, измамите са твърде вероятно за да ни разрешат да работим изцяло с анонимни хора. С това в никакъв случай не казвам, че трябва да бъдем идентифицирани за всичко, което правим – напротив, идентифицирането трябва да бъде ограничено до случаите, в които има практическа полза. Но тези случаи са достатъчно много.

„Офлайн“ идентичността е важна, но също така съществува и „онлайн идентичността“ – начин да докажеш кой си в Интернет. Това най-често (и с право) е анонимна регистрационна форма, сравнително рядко използва някой „доставчик на идентичност“ като Фейсбук и Туитър (където също няма нужда човек да предоставя истинската си идентичност), но когато човек извършва правно значими действия, или когато комуникира с държавата, с цел да получи услуги, данни или удостоверения, доставчикът на услугата трябва да може да докаже с кого „си има работа“. Тук идва процесът по „електронна идентификация“, който наскоро беше дефиниран в регламент на ЕС, и който в повечето случаи (ще) значи притежаване на издадено от държавата хардуерно устройство, което само собственикът знае как да „отключи“.

Както всяко нещо, идентичността може да бъде открадната или фалшифицирана. Има т.нар. „кражба на самоличност“ (или на „идентичност“). Тя се използва по много начини, които са извън обхвата на тази публикация, но немалко хора крадат чужда идентичност – както онлайн, така и офлайн.

Един пример е използването на чужд документ за самоличност. Също така някой може да фалшифицира документ за самоличност, като го направи да съдържа каквото му е нужно. И това може да доведе до много лоши последици за неподозиращи граждани. Съответно правителства и експерти се опитват да се преборят с този проблем. Нека разгледаме два случая:

Фалшифицирането на документи се адресира, като документите стават все по-сложни, с все по-добри „защити“, невидими компоненти, лазерно-гравирани елементи, използване на специфични ъгли за лазерно гравиране, и т.н. Това, разбира се, не е перфектно, не само защото е „сигурност чрез неизвестност“ (кой гарантира, че правителството няма да даде на някой друг тайните компоненти, или по-лошо – просто да снабдява фалшификаторите със сурови материали, с които да направят документите), но също така защото дори фалшив документ може да мине инспекция – хората не са перфектни в инспектирането на документи. Иначе казано – ако човекът, който инспектира документи знае какво да гледа, то със сигурност този, който го фалшифицира, също знае.

Кражбата на документи (вкл. копирането на документи) се адресира чрез сравняване на снимката с лицето, което използва документа. И горе-долу това е всичко. Ако изглеждат подобно на някой друг и му вземете документа, може да „минавате“ за него дълго време.

Никое от горните решения не изглежда достатъчно добро. Затова стигаме до електронните документи. Паспортите са универсален документ за самоличност и повечето паспорти днес са т.нар. eMRTD (електронен машинно четим документ за пътуване). Оставяйки на страна проблемите с тях, общата идея е, че те съдържат информация, която а) гарантира, че документът е издаден от доверена институция (напр. МВР) и б) гарантира, че принадлежи на лицето, което го използва.

Първата част се гарантира от т.нар. инфраструктура на публичния ключ – съдържанието на документ са електронно подписани от издаващата институция. Никой не може да направи свой паспорт или лична карта, тъй като няма частния ключ на институцията (а частният ключ не може да бъде извлечен, защото устройството, което се съхранява, не го позволява). Криптографията на публичния ключ пък гарантира (засега), че никой друг не може да се подпише вместо институцията.

Втората част е по-проблемна. В момента тя е адресирана чрез съхранение на снимка и пръстови отпечатъци (чийто интегритет е гарантиран от електронния подпис) на чип в документа и сравняването им с тези на приносителя на документа. Сравняването на снимка не е перфектно. В момента почти никой не проверява отпечатъците, но тази опция набира все повече популярност с „всичкия този тероризъм“ (дали има връзка между двете е друга тема).

Та, започвайки от донякъде интуитивната концепция за идентичност, достигнахме до момента, в който държавите правят бази данни с пръстови отпечатъци. И данни за ириса, и за ДНК (както в Кувейт, например).

Макар всичко да изглежда логично, крайният резултат е някак плашещ. Биометричната информация на хиляди хора – съхранявана в бази данни, с потенциал за изтичане на информация, с потенциал за злоупотребите от правителствата, звучи антиутопично – вече не сме собственици на собствената си идентичност, а някой друг събира „атрибутите“ ни, и то „атрибути“, които не можем да променим през целия ни живот. След това ги съхранява за бъдеща употреба. За каквато и да е употреба. Този някой няма непременно нужда да ги съхранява за целите на идентификацията, защото има технологии, които позволяват съхранява на данни на чип, който прави сравнението в себе си, без да позволява прочитането на тези данни. Но тези опции изглеждат игнорирани, засилващи антиутопичното усещане.

Напоследък мисля как да се адресират всички тези проблеми. Как да направим така, че идентичността да продължава да си върши работата, без да се компрометира личното пространство и свобода. Около два часа след като ми хрумнаха няколко от идеите по-надолу, говорих с човек с много повече опит в технологиите за идентификация, и се оказа, че той има същите идеи.

Та, ето къде технологията става полезна – ние сме комбинация от непроменими характеристики – пръстови отпечатъци, ирис, ДНК. На база на тези характеристики могат да бъдат разграничени дори еднояйчни близнаци. Също така имаме и други, по-краткотрайни характеристики – височина, тегло, имена, адрес, дори любим цвят.

Всичко те представляват нашата идентичност, и могат да бъдат управлявани, като превърнем основните, непроменими части, в „ключ“. Анонимен ключ, който се получава чрез прилагане на еднопосочна функция (хеш). След като приложим тази функция върху данните за отпечатъците ни, ириса ни и ДНК-то ни, получаваме дълга стойност, напр. 2fd4e1c67b2d28fced849ee1bb76e7391b93eb12, която представлява нашата идентичност.

Този низ ще бъдем ние и ще можем да го докажем, тъй като всеки път, когато някой поиска идентичността ни, ще подаваме отпечатъците, ирисът и ДНК-то и резултатът ще бъде същото това 2fd4e1c67b2d28fced849ee1bb76e7391b93eb12.

В допълнение, можем да добавим някаква парола към тази идентичност, така че да не бъде само „нещо, което сме“ (и което не можем да променим), но и нещо, което знаем. Това значи, че никой не може да стигне до вашата идентичност без да му кажете „тайната“ (звучи малко като Магьосникът от Землемория).

Разбира се, пълна идентификация рядко ще е нужна. Ако искате да си купите алкохол, например, само възрастта има значение; ако искате да сключите договор за интернет, само името и адресът имат значение, и т.н. За тази цел могат да съществуват под-идентичности – принадлежащите към основната идентичност, но за случаите, в които проверяващият няма нужда от толкова висока доза на сигурност, че това наистина сте вие. Под-идентичностт може да бъде „само отпечатъците“ или дори… добрите стари лични карти. Всяка под-идентичност ще доказва определен набор от характеристики, удостоверени от институция, и то не непременно държавна.

Под-идентичността, набор от характеристики, може да бъде записана на документ, който да носим със себе си, и който дава значителна степен на сигурност, че това наистина сме ние. Той ще съдържа нашия „хеш“ (онзи дълъг низ), така че всеки, който има нужда да направи пълна проверка, може да я направи. Другата опция е имплант – страшно и антиутопично, знам. Изглежда малко по-различно от лична карта – нещо, което носим (и трябва да носим) със себе си. Имплантите имат доста практически минуси (устойчивост, удобство, гарантиране, че никой неоторизиран няма го прочете), иначе биха били малко по-сложна лична карта.

Дори когато имаме низ на идентичността ни, свързаните с нас данни – какви имоти имаме, можем ли да шофираме, какви визи са ни издадени, къде работим, какви заеми имаме – ще бъдат съхранявани в бази данни, където низът на идентичността ни ще бъде ключ за търсене. Тези бази данни в момента се стопанисват от държавите, но могат да бъдат и разпределени, например използвайки blockchain. Никой не може да се представи с чужда идентичност, защото не може да произведе същия низ на идентичност на база на биометричните си данни. А частите от blockchain мрежата могат да ъбдат дори импланти, които държат криптирана информация за нас, и която само ние можем да решим кога да декриптираме. Това би било разпределена човешка база данни, в която всеки има пълен контрол върху данните си.

Но постижимо ли е това? Сложността на такава система, особено управлението на идентичността, би било твърде висока. Можем да създадем голяма, сложна система, включваща биометрия и импланти, за да решим проблем, който всъщност е сравнително малък. Това е сред първите въпроси, които трябва да си зададем, преди да реализираме такава система. Не дали правителствата трябва да гарантират идентичността, не дали трябва да можем да бъдем идентифицираме, а дали имаме нужда от драматична промяна в настоящата система. Или електронна лична карта с пръстови отпечатъци, които се сравняват на картата (и не се съхраняват в централна база данни), с електронно подписани съдържание, решава 99% от проблемите?

Макар да намирам за много интересно да си представям технологични утопии, с много криптография, и с гарантиране на неприкосновеността на личното пространство чрез технологии, не съм сигурен, че имаме нужда от нещо такова.

(оригинално публикувано на английски в Medium)

Share Button

Електронна идентификация [лекция]

2

В четвъртък парламентът прие на първо четене закона за електронната идентификация (разяснения)

По същото време беше готово видеото от лекцията ми на OpenFest за електронна идентификация, която включва кратко разяснение на закона и какво възнамеряваме да правим:

Слайдовете са тук:

Дискусията, за която помолих на OpenFest, се случва тук – можете да се включите.

Както отбелязвам в лекцията, опитваме да се поучим от опита на останалите, включително от грешките им, и да направим добра схема за идентификация. Надявам се идентификаторът да е и в личните карти (зависи дали парламентът го приеме), за да може всеки да го ползва лесно и да не струва нищо (освен евтин четец).

Share Button

Закон за електронната идентификация – разяснения

35

Законът за електронната идентификация (по който работихме през с колеги в кабинета на г-жа Бъчварова) вече е внесен в парламента. Целият текст можете да видите тук. Най-долу в документа са и мотивите, едни от които е създаване на практически правила за приложение на Регламент 910/2014 на Европейския парламент.

Но четенето на закони е скучно, дори четенето на мотиви е скучно, затова ще дам малко разяснения с практическа насоченост (които се надявам да са малко по-малко скучни).

Какво е електронната идентификация – начин за идентифициране на гражданите в електронна среда. Т.е. когато държавата (или бизнесът) се налага да знае с кого точно си комуникира онлайн, електронната идентификация дава тази възможност. Има две понятия, които често се използват паралелно – „електронна идентификация“ и „електронна идентичност“. Второто звучи страшно, но всъщност значи просто електронното представяне на физическата ни идентичност. Не мисля, че има смисъл да навлизаме във философски разсъждения – важното е, че човек има само една идентичност, а електронната такава е само нейно „огледало“ в електронния свят. А идентификацията е процеса по еднозначното установяване на физическо лице. А юридическите лица се идентифицират чрез законните си представители, които са физически лица.

Често „електронна идентификация“ и „електронен подпис“ се бъркат, особено поради факта, че до момента подписът е използван и за идентификация. В хартиения свят идентификацията е аналогична на това да си покажем личната карта на някого, а подписът е саморъчният подпис. Технологично двете могат да бъдат реализирани по един и същи начин, но има съображения, поради които е добре да бъдат разделени.

Как ще изглежда електронната идентификация от гледна точка на гражданите. От момента, в който проектът по изграждането на инфраструктурата завърши (около края на лятото догодина), на гражданите ще могат да се издават карти за електронна идентификация на отделен носител. Такива те най-вероятно ще получават срещу символична сума (или безплатно) при подновяване на личните си карти. Картите ще съдържат чип. След април 2017-та (записано в изменителните разпоредби на закона) чипът ще влезе и в личните карти.

Важно е да се отбележи, че законът не дефинира носителя – той може да е карта, но може и да е мобилен телефон или всякакво друго устройство, което съдържа или има свойствата на криптографска смарткарта. Начините да се реализира това са два – единият (австрийският) е мобилният телефон да служи само за отключване на сертификатите, които стоят на отдалечен сигурен модул (HSM), и в които се извършват криптографските операции. Другият вариант е естонския, при който SIM-картите на телефоните се „upgrade-ват“, така че да могат да оперират с двойка криптографски ключове. Това, и още няколко технологични решения все още не са взети, и очакваме техническа дискусия по въпроса.

След като имаме карта, какво можем да правим с нея? Нищо. Трябва ни четец. Четците са сравнително евтини (15 лв при ниското търсене в момента), а например в Естония могат да се намерят в супермаркети. Тук все още ги няма в супермаркети, но има откъде да се купят. А след като имаме четец, ще можем да се идентифицираме пред всяка институция (вкл. пред частни компании) и да получавате услуги онлайн. Идеята е, че всяка институция решава как гражданите ще получават достъп до услугите ѝ, но задължително трябва да поддържат националната схема, дефинирана в закона. Така че притежаването на средство електронна идентификация означава, че ще може да ползвате всички услуги. И няма да се налага да получавате ПИК, ПИН, няма да има нужда да си купувате електронен подпис и други. Всъщност, последното не е напълно вярно, защото в зависимост от случая, електронен подпис все още ще е необходим. За подписване на документи, там, където се изисква саморъчен подпис в хартиения случай. На пръв поглед изглежда, че с идентификацията ще можете само да правите справки, но заявления за услуги също ще е възможно да се подават така (освен ако администрацията изрично не изисква КЕП). Само че и електронен подпис ще можете да получите заедно с личната си карта (също дефинирано в закона), от доставчик по избор – той просто ще записва удостоверението за електронен подпис и ключовете на същата карта (срещу съответната такса, която обаче върви надолу). Удостоверението за електронна идентичност в картата ще се получава подразбиране (opt-out, освен ако изрично не се откажем), докато електронен подпис – само при изрично поискване (opt-in).

Законът дефинира два структурни компонента – „център за електронна идентификация“ и „администратор на електронна идентичност“. „Администратор“ е (грубо казано) всеки, който може да приема заявления за издаване на удостоверения за електронна идентичност и да предава тези заявления на МВР, като след това си получаваме картите при администратора. Например консулските служби могат да бъдат администратори, така че българите в чужбина да могат да заявяват картите си и да го получават, без да се разхождат до България.

Центърът за идентификация, от друга страна, е нещо по-специфично. През него минават всички опити за идентификация. Тук е важно и да „разбия“ един мит – в самата карта ще има само електронен идентификатор, уникален за всеки гражданин. Няма да има никакви данни (освен имена, може би дата на раждане и важна медицинска информация, като кръвна група) – всички данни ще се вземат в реално време, след успешна идентификация. Т.е. с вашия браузър правите заявка към центъра за идентификация, той проверява дали картата ви е истинска, дали не сте под запрещение, дали собственикът на картата е жив (а някой друг прави опит да я ползва), след като ви препраща на сайта на доставчика на услугата, който получава начин да прочете данни за вас (но само тези, до които има право по силата на закон) и записва идентификатор, с който следващия път също да може да ви идентифицира. Това може да е серийния номер на удостоверението или самия електронен идентификатор, или пък ЕГН (ако има достъп до него), е технологично решение, което не следва от закона.

Центърът за идентификация изглежда ненужен на пръв поглед, защото идентификацията може да извършите директно към доставчика на услугата, който да получи достъп до данните ви. Само че той е важен по няколко причини. Първата е, че (според закона) е длъжен да пази историята на достъпа. Т.е. винаги може да проверите кога сте ползвали електронната си идентификация, и дали случайно някой не я е ползвал от ваше име. Също така, центърът ще е единната входна точка за трансгранични проверки – ако вие, с вашата карта, искате да се идентифицирате за ползване на услуга в друга страна от Европейския съюз, то тя е длъжна да приеме вашата карта и да изпрати запитване до българския център за съответните данни за вас, от които има нужда. И не на последно място – бизнесът, чрез свои асоциации, например, ще може да инвестира в изграждане на свои центрове, така че да не зависи от държавния (на който може да трябва да плаща такса).

Бизнесът ще може да се възползва от тези карти както реши. При банкиране, при промяна на договор с мобилен оператор, или при купуване на билети за пътуване. Тук е важно да отбележим възможността за „анонимна идентификация“. Ако някоя услуга (например ако можете да ползвате картата си като карта за градски транспорт) няма нужда от никакви данни за вас, а просто да може да ви идентифицира уникално, то тя може и да няма нужда да минава през центъра за идентификация и да иска данни за вас.

Много важен аспект на закона е технологичната му неутралност. Опитахме се да премахнем всякакви предпоставки за избор на едно или друго технологично и архитектурно решение. Защото това кое технологично решение е правилно се променя по-често, отколкото законовата рамка.

Ключов аспект е ползваемостта. Съществуващите решения за идентификация с електронен подпис са ужасни за използване – искат точно определен браузър (Internet Explorer) или пък използват Java applet-и, които в последните версии на браузърите или са забранени, или се пускат трудно и на няколко стъпки. Затова, въпреки че пилотният проект за електронна идентификация, базиран на австрийския проект, разчита на Java applet, законът не предразполага към това. След разговори с ръководителя на австрийския проект, установих някои сериозни минуси на тяхната реализация, които ще опитаме да избегнем. Засега идеята е да се използва стандартната функционалност на браузърите за вход със сертификат (SSL client auth), но дискусия предстои.

Още един аспект са електронните овластявания. Ако имате електронен подпис, ще може да упълномощите някого електронно, без да се налага нотариално заверено пълномощно.

При техническите дискусии ще вземем предвид и електронното гласуване – дали реализацията ще позволява електронно гласуване със запазване на тайната на вота (каквито начини съществуват). Това е доста дългосрочно, но е добре да бъде заложено отсега. Самото наличие на електронна идентификация е основна предпоставка за електронно гласуване, защото гарантира 1 човек – 1 глас в електронния свят.

За накрая съм оставил може би един от най-важните аспекти – личните данни и „следенето“. С откъслечната информация по медиите напълно разбираеми са притесненията, че държавата става Big Brother. Истината е, че държавата вече има всички данни за нас. Т.е. тя има нашия „профил“ (а на картата данни няма). Електронната идентификация обаче ни дава възможност (особено след промените и в закона за електронното управление, които подготвяме) да следим кой и защо получава достъп до тази информация за нас, както и да я коригираме или дори изтриваме. Дали след 10 години някой няма да направи използването на картата задължително за влизане в магазин, на концерт, и т.н., под претекст, че това улеснява проверката за възраст или продаването на билети? Възможно е – но както законът, така и ние като общество, дефинират какви данни държавата пази за нас и какви не. Тук ще дам един интересен пример – САЩ и Великобритания нямат лични карти. Не такива с чип, а изобщо нямат лични карти. Уж за да не може държавата да следи гражданите. В същото време САЩ и Великобритания са точно държавите, които най-много следят гражданите си, по всевъзможни начини. Наличието на карта с чип е както улеснение, така и средство да защитим данните си. Да, улеснява държавата в събирането им, но дали ще го прави или не, не зависи от картата. Или ако мога да използвам понятията на Оруел – Big Brother не е телекранът – телекранът може да бъде счупен или спрян. Big Brother е това, което ни кара да не спрем телекрана.

Надявам се да съм обяснил как ще работи електронната идентификация и какви ще се плюсовете от нея. И че всъщност тя ще е доста важен компонент за въвеждането на истинско електронно управление.

П.П. Участие по темата в BiT

Share Button

НАП, ПИК и електронната идентификация

8

НАП (Национална Агенция за Приходите) активно въвежда използването на ПИК (персонален идентификационен код) за своите електронни услуги. Т.е. ако искаме да подадем данъчна декларация онлайн или да направим онлайн справка за внесените от работодателя ни осигуровки, ни е нужен ПИК. Всъщност, към момента ПИК се ползва само за справки, а за подаване на декларация трябва електронен подпис, но това е на път да се промени – НАП има желание да разшири използването на ПИК.

За съжаление, ПИК-ът е едно недоразумение. Да започнем стъпка по стъпка.

Как получавате ПИК? Отивате в офис на НАП, където служител ви го дава, разпечатан на лист А4, след като проверява самоличността ви. В работно време, разбира се. Т.е. в добрия случай ви отнема обедната почивка. В лошия случай, постоянният ви адрес е в друг град, защото, да кажем, живеете под наем в София, а НАП не издава ПИК по настоящ адрес. Само по постоянен. Защо – остава мистерия. Отговорът им на мое запитване беше, че е от съображения за сигурност – ако бъде издаван в друг офис от този по постоянен адрес, това щяло да значи, че повече служители на НАП ще видят кода. Това дали 1 или 5 служителя ще го видят не прави кода по-малко компрометиран, но дори да е така, то при една обмислена система кодът просто би бил издаван на гишето, използвайки централизирана система. Но явно „обмислена“ не е подходящо прилагателно. Така, в крайна сметка, получаването на ПИК може да ви струва и цял ден път до офис на НАП по постоянен адрес. За да може да правите електронни справки. Чудесно!

Но да оставим ползваемостта настрана и да поговорим за сигурността. Дори само един служител да види кода ви, това вече е лошо. Но може би по-лошо е това, че е хвърчащ лист А4, който всеки, който ви дойде на гости, може да види на бюрото ви. Също така при изтичане на базата данни (или в резултат на brute-force атака) ПИК-ът става просто една не особено силна парола (12 символа, но само цифри), която може да бъде разбита. А не съм убеден, че в базата данни ПИК-ът се пази според добрите практики за пазене на пароли (bcrypt), защото кодът не е отворен. И докато това е някак приемливо за справки (макар и да разкрива лична информация), то със сигурност не е окей за подаване на документи (тип данъчна декларация). „Какво толкова може да стане?“. Да, някой да подаде данъчна декларация вместо вас може би не е най-лошото, което може да се случи. Някой да подаде данъчна декларация вместо счетоводителя ви, от името на всички фирми, които той обслужва, също може би не е фатално, просто ще отвори работа. И евентуално ще се наложи да платите данъци, които не дължите (ако например някой подаде декларация ден преди крайния срок, а когато НАП ви потърсят след това, вие сте в чужбина). Изобщо, сценарии, по които някой може да бъде „прецакан“, макар и не „фатално“, има доста. Но по-лошото е, че ако ПИК-ът се наложи като средство за електронна идентификация, може да „плъзне“ и в други администрации, където щетите могат да са по-големи.

Като говорим за средства за електронна идентификация, това лято Европейската комисия публикува Регламент 910/2014 (задължителен законодателен акт за всички страни членки), който дефинира 3 нива на сигурност на електронната идентификация. Както се сещате, хвърчащият лист със слаба парола на него не покрива и най-ниското ниво. Не се доближава дори.

Всъщност, в Холандия също използват нещо като ПИК – код, генериран от държавата. Само че по много различен начин. Изпращат го по поща, и е втори компонент при електронната идентификация (2-factor authentication). И то далеч не за всичко.

Друг много сериозен проблем на ПИК-овете е фрагментацията, която носят. НАП ви издават един ПИК, НОИ ви издават друг, общината може би трети, кадастърът четвърти, МВР пети… И така се разхождате до 5 администрации, за да може да ползвате по една електронна услуга, която ви трябва в момента (след това губите листа, и ходите наново). Изобщо, „всеки прави к’вото си иска“ е доста характерно за администрацията ни, което е и една от причините за отсъстващо електронно управление.

Дали финансовият министър (Владислав Горанов, на чието подчинение е НАП) или някой от обкръжението му е авторът на този „напън“ за стандартизиране на ПИК като средство за електронна идентификация, не знам. Но много се надявам да направят крачка назад и да помислят. И да приемат мнението на експерти. Дори човек да е добър финансист и мениджър, когато става дума за електронна сигурност, по-добре решението да е на хората с опит в сферата. Иначе утре министърът на икономиката може да напише строителни изисквания без да пита архитектите, и на следващата година сградите да започнат да падат.

Дискусията по темата доста навременна, предвид очаквания всеки момент закон за електронна идентификация, който да сложи правна рамка за технологично решение (може би базирано на пилотното такова). В крайна сметка целта е да имаме електронната си идентичност в личните документи, така че когато държавата ни издава лична карта, заедно с това да получаваме и достатъчно сигурен метод, работещ в цялата администрация, вкл. НАП, КАТ, болници (че дори и с частни компании). А хвърчащите листи с цифрички да останат само временно недоразумение.

Share Button

Кръгла маса на тема „Електронно гласуване“

3

Днес участвах на кръгла маса на тема „Електронно гласуване“, по покана на г-жа Гергана Паси, Дигиталната Национална Коалиция и Информационно Обслужване. Участвах като представител на Общество.бг, и ето и краткият ми „доклад“, който ще напиша и тук, с някои уточнения.

Имаше представители на МВР, МВнР, МТИТС, БАИТ, БАСКОМ, ИО, Scytl (испанска компания, занимаваща с електронно гласуване) и други. Ето и репортажът на БНТ.

Дискусията вървеше в няколко направления, като заключенията са следните:

  • няма технологична пречка пред реализирането на електронно гласуване
  • на всички са ясни ползите от електронно гласуване – спестяват пари и време, увеличават избирателната активност, позволяват на българите в чужбина да упражнят гласа си
  • от МВР изразиха неувереност, че електронното гласуване ще реши проблемите с купения и контролиран вот, но достатъчно хора се обединиха около позицията, че то няма за цел да решава този проблем, няма и да го влоши. Николай Недялков изтъкна дори механизми, по които може да го облекчи
  • В МВР се притесняват, че електронното гласуване ще отвори врата за киберпрестъпления; теза, която остана неаргументирана в моите очи
  • проф.Емилия Друмева, бивш конституционен съдия и настоящ съветник на премиера сподели, че няма конституционна пречка пред електронното гласуване. Отхвърлянето на кодекса „Фидосова“ не означава принципно отхвърляне на електронното гласуване. Нужно е просто то да бъде вписано правилно в кодекса.

Най-важното, около което имаше и най-много дискусии, беше „чипът“ в личната карта – т.е. дали да има електронна идентификация в документа за самоличност (моя любима тема). По темата се изказаха от МВР, като тезата им беше, че има „много плюсове и много минуси, и се търси правилното решение“. От Борика-Банксервиз щрихираха тяхното решение, разработено съвместно с МТИТС eID, базирано на австрийския опит. То може и да е подходящо (ако поддържа anonymous credentials, които позволяват гарантирането на тайната на вота, и едновременно с това – чрез linkable credentials – гласът на един човек да не бъде броен няколко пъти). За eID проблемът в момента е че няма правна рамка. Допълнителни разработки ще са необходими, за да може електронната идентичност да се използва и през мобилен телефон.

Аз се опитах максимално еднозначно да подчертая, че няма как да имаме електронно гласуване без електронна идентичност в личната карта, а Гергана Паси подкрепи тази теза. Други хора споменаха различни опции, като two-factor authentication, персонални кодове, и какво ли още не, което обаче според мен няма как да работи в мащаб и така, че да бъде удобно за гражданите. С други думи, ако се налага да отидеш до посолството/ГРАО/ЦИК, за да си вземеш персонален код за еднократно гласуване, се губи почти целият смисъл на електронното гласуване.

Важно беше и разграничаването на „машинно гласуване“ (гласуване на терминал в секция) от „електронно гласуване“, което се извършва отдалечено, по интернет, в неконтролирана среда. Крайната цел, поне според мен, а в секциите да има терминали (таблети?), при които да се използва същата технология, както и ако човек си гласува от къщи. Повече по темата съм писал тук.

МВР, разбира се, са особено загрижени за сигурността – така трябва и да бъде. Изказаха доста примери и аргументи против въвеждането на „чип“ в личната карта, които според мен бяха несъстоятелни. Аргументът, че в циганската махала тарторът ще събере личните карти на всички и ще гласува от няколко компютъра (т.нар. махленско гласуване) е ясен, но електронното гласуване не добавя нищо към вече съществуващия проблем. То няма и за цел да поправи повредената социална структура в гетата, няма и как да да изкорени желанието на хората да си продават гласа.

Имаше и философски притеснения, че личната карта е за физическо удостоверяване на идентичност, а електронната идентичност има други приложения. Аргумент беше, че с личната карта се удостоверяваш пред държавата, а с електронната – на други места, което обаче не е фактически вярно, тъй като с лична карта удостоверяваш самоличност пред банки, хотели, мобилни оператори и какво ли още не. Възможни са злоупотреби с електронната идентичност, разбира се, но технологични решения свеждат тези злоупотреби до минимум. А практическите ползи на комбиниране на двата начина за удостоверяване на идентичност са безспорни.

Все пак, след кръглата маса, разменихме няколко думи с представителя на МВР, и въпреки че в момента обсъждането по темата не е публично, в един момент то ще стане. С хората от Общество.бг ще търсим начини да убедим администрацията, че единственият път към истинско, работещо и сигурно електронно гласуване минава през електронна идентичност в личните документи. А и не само към електронното гласуване, а и към електронното управление като цяло.

Share Button

Обща електронна идентификация в ЕС?

2

Наближават евроизбори и реших, че е редно да имам някакви изисквания към евродепутата, за когото ще гласувам. Кампанията още не е започнала, но извън партийните предпочитания, реших да поставя един въпрос, който според мен е важен. Подчертавам „според мен“, защото най-вероятно съм в малцинство.

Въпросът е „подкрепяте ли стандартизирана европейска електронна идентификация, т.е. стандартен електронен подпис в личните карти на всички европейци, и какво бихте направили, за да се реализира“.

Защо това е важно? По много причини. От гледна точка на България най-важната е, че това ще означава електронен подпис в нашите лични карти дори никое правителство да не прояви нужната мисъл, за да го направи – просто ще дойде „отгоре“. От гледна точка на ЕС е важно, защото ще е стъпка в решаването на проблема с бюрокрацията – а той е сериозен. Особено ще е полезно за граждани, които често сменят държавата, в която се намират – дали по работа, дали живеят в пограничен район, дали просто заради туризъм. Обща електронна идентификация ще означава по-лесна синхронизация на процедури, по-лесен достъп на гражданите до услуги в други държави, по-малко документи, които трябва да представиш или получиш, за да работиш в друга държава.

За България конкретно електронният подпис в личната карта ще осмисли и ускори електронното правителство, а то (според мен) е твърде важно и наложително, за да се намали корупцията и да се увеличи ефективността на държавния апарат.

А не е ли електронната идентификация на няколкостотин милиона души прелюдия към една антиутопия? Не че не може да бъде, но по-скоро няма да бъде – технологичната реализация (anonymous credentials), предпазваща личността от следене, съществува и може да бъде използвана. Т.е. засега поне можем да сме спокойни, че това не е „слагане на чип в мозъка“, а просто важно улеснение, което никой не може да използва неправомерно, дори да иска.

Тъй като това е въпрос, който излиза извън нашата страна, направих малък сайт, представящ накратко идеята, нейните предимства и начин за реализация – electronic-id.eu

Надявам се да се окаже, че и други европейци биха подкрепили идеята. Все пак, за да е по-обединена Европа, е нужно да е обединена и технологично и административно.

Share Button
Go to Top