Каква е разликата между електронната идентификация и електронния подпис?

С приемането на Закона за електронната идентификация все по-често срещан въпрос (и неразбиране) е каква е разликата между електронната идентификация и електронния подпис. И двете могат да бъдат на смарткарта (карта с чип), в личната карта, на „флашка“ (USB dongle). И двете могат да участват в електронни административни услуги, а и в електронно гласуване. Та, каква е разликата? И защо ни е нужна електронна идентификация, като имаме електронен подпис, и обратно? Разликата е най-видна, когато вземем еквивалентите им във физическия свят: Идентификацията е, когато представим документ за самоличност и чрез него длъжностно лице се увери, че ние сме наистина този, за когото се представяме Подписът е, когато подпишем някой документ, с което правим волеизявление – потвърждаваме, че това, което пише в документа, е нашата воля. Двете действия са съществено различни – полагането на подпис има правни последици (стартират се процедури, текат срокове), докато идентификацията – не (в общия случай). Технологично наистина двете могат да бъдат реализирани еднакво. Съществуват различни варианти за електронна идентификация, но решението, което ще използваме за българската национална схема, ще използва X.509 сертификат, също както електронния подпис. Сходството (напр. извършване на комуникация с държавата онлайн) води до това двете теми са обект на един и същи европейски регламент (910/2014). В България регламентът се пояснява и допълва от два закона – за електронната идентификация и за електронния документ и електронния подпис (който скоро ще бъде преименуван и изменен, съгласно регламента). Сходството в технологията и опита ни с електронните административни услуги поставят въпроса – за какво ще се ползват двете? До момента електронният подпис се е ползвал с функция и на двете. Функцията на подпис е била реализирана с технологичния смисъл на „електронен подпис“ (криптиране с частен ключ, като така авторството може да бъде проверено със съответния публичен), а функцията по идентификация е била реализирана чрез записване на ЕГН-то

Continue reading

Идентичност в дигиталния свят

„Идентичността“ е набор от характеристики, които позволява еднозначното идентифициране на лице или разграничаването му от други лица. Това звучи просто, но всъщност има доста сложни аспекти в съвременния, свързан и глобален свят. Идентичността в днешно време се удостоверява от правителствата. Човек е никой ако правителство не е потвърдило, че той наистина е някой. Процедурите в различните държави са различни, но след като човек се роди, му се издава акт за раждане, и името му (заедно с номер понякога) се вписват в база данни (централизирана или децентрализирана). Оттам нататък човек има „идентичност“, която може след това да докаже, използвайки някакъв документ (лична карта, паспорт, шофьорска книжка, номер на социална осигуровка и т.н.). Всъщност, на български има и дума „самоличност“, която в някои контексти е синоним, а в други – идентичността е начинът трета страна да се увери в нечия самоличност (чрез сравнение дали някой документ е идентичен с характеристиките на лицето, стоящо пред него). Не че правителството притежава идентичността ни, защо ние сме много повече от една лична карта, но някои характеристики от идентичността ни се записват от правителството, които след това то сертифицира, че това сме именно ние (чрез документ и вписване в съответната база данни). Тези характеристики (или атрибути) включват имена, които пък са били използвани да идентифицират хора от хилядолетия, адрес, снимка, височина, цвят на очите. Евентуално пръстови отпечатъци и ирис, но ще засегнем биометрията малко по-надолу. Защо това има значение? С изключение на малки, изполирани племена, в които най-вероятно дори няма нужда от имена за идентифициране на хората, в т.нар. „цивилизован свят“ има нужда от разграничаване на един човек от друг по ред причини. Шофьорът способен ли е да управлява кола, пилотът способен ли е да управлява самолет – те могат да покажат сертификат, но те ли са наистина тези, които са били сертифицирани? („Хвани ме ако

Continue reading

Електронна идентификация [лекция]

В четвъртък парламентът прие на първо четене закона за електронната идентификация (разяснения) По същото време беше готово видеото от лекцията ми на OpenFest за електронна идентификация, която включва кратко разяснение на закона и какво възнамеряваме да правим: Слайдовете са тук: Дискусията, за която помолих на OpenFest, се случва тук – можете да се включите. Както отбелязвам в лекцията, опитваме да се поучим от опита на останалите, включително от грешките им, и да направим добра схема за идентификация. Надявам се идентификаторът да е и в личните карти (зависи дали парламентът го приеме), за да може всеки да го ползва лесно и да не струва нищо (освен евтин четец).

Continue reading

Закон за електронната идентификация – разяснения

Законът за електронната идентификация (по който работихме през с колеги в кабинета на г-жа Бъчварова) вече е внесен в парламента. Целият текст можете да видите тук. Най-долу в документа са и мотивите, едни от които е създаване на практически правила за приложение на Регламент 910/2014 на Европейския парламент. Но четенето на закони е скучно, дори четенето на мотиви е скучно, затова ще дам малко разяснения с практическа насоченост (които се надявам да са малко по-малко скучни). Какво е електронната идентификация – начин за идентифициране на гражданите в електронна среда. Т.е. когато държавата (или бизнесът) се налага да знае с кого точно си комуникира онлайн, електронната идентификация дава тази възможност. Има две понятия, които често се използват паралелно – „електронна идентификация“ и „електронна идентичност“. Второто звучи страшно, но всъщност значи просто електронното представяне на физическата ни идентичност. Не мисля, че има смисъл да навлизаме във философски разсъждения – важното е, че човек има само една идентичност, а електронната такава е само нейно „огледало“ в електронния свят. А идентификацията е процеса по еднозначното установяване на физическо лице. А юридическите лица се идентифицират чрез законните си представители, които са физически лица. Често „електронна идентификация“ и „електронен подпис“ се бъркат, особено поради факта, че до момента подписът е използван и за идентификация. В хартиения свят идентификацията е аналогична на това да си покажем личната карта на някого, а подписът е саморъчният подпис. Технологично двете могат да бъдат реализирани по един и същи начин, но има съображения, поради които е добре да бъдат разделени. Как ще изглежда електронната идентификация от гледна точка на гражданите. От момента, в който проектът по изграждането на инфраструктурата завърши (около края на лятото догодина), на гражданите ще могат да се издават карти за електронна идентификация на отделен носител. Такива те най-вероятно ще получават срещу символична сума (или безплатно) при подновяване

Continue reading

НАП, ПИК и електронната идентификация

НАП (Национална Агенция за Приходите) активно въвежда използването на ПИК (персонален идентификационен код) за своите електронни услуги. Т.е. ако искаме да подадем данъчна декларация онлайн или да направим онлайн справка за внесените от работодателя ни осигуровки, ни е нужен ПИК. Всъщност, към момента ПИК се ползва само за справки, а за подаване на декларация трябва електронен подпис, но това е на път да се промени – НАП има желание да разшири използването на ПИК. За съжаление, ПИК-ът е едно недоразумение. Да започнем стъпка по стъпка. Как получавате ПИК? Отивате в офис на НАП, където служител ви го дава, разпечатан на лист А4, след като проверява самоличността ви. В работно време, разбира се. Т.е. в добрия случай ви отнема обедната почивка. В лошия случай, постоянният ви адрес е в друг град, защото, да кажем, живеете под наем в София, а НАП не издава ПИК по настоящ адрес. Само по постоянен. Защо – остава мистерия. Отговорът им на мое запитване беше, че е от съображения за сигурност – ако бъде издаван в друг офис от този по постоянен адрес, това щяло да значи, че повече служители на НАП ще видят кода. Това дали 1 или 5 служителя ще го видят не прави кода по-малко компрометиран, но дори да е така, то при една обмислена система кодът просто би бил издаван на гишето, използвайки централизирана система. Но явно „обмислена“ не е подходящо прилагателно. Така, в крайна сметка, получаването на ПИК може да ви струва и цял ден път до офис на НАП по постоянен адрес. За да може да правите електронни справки. Чудесно! Но да оставим ползваемостта настрана и да поговорим за сигурността. Дори само един служител да види кода ви, това вече е лошо. Но може би по-лошо е това, че е хвърчащ лист А4, който всеки, който ви дойде на гости,

Continue reading

Кръгла маса на тема „Електронно гласуване“

Днес участвах на кръгла маса на тема „Електронно гласуване“, по покана на г-жа Гергана Паси, Дигиталната Национална Коалиция и Информационно Обслужване. Участвах като представител на Общество.бг, и ето и краткият ми „доклад“, който ще напиша и тук, с някои уточнения. Имаше представители на МВР, МВнР, МТИТС, БАИТ, БАСКОМ, ИО, Scytl (испанска компания, занимаваща с електронно гласуване) и други. Ето и репортажът на БНТ. Дискусията вървеше в няколко направления, като заключенията са следните: няма технологична пречка пред реализирането на електронно гласуване на всички са ясни ползите от електронно гласуване – спестяват пари и време, увеличават избирателната активност, позволяват на българите в чужбина да упражнят гласа си от МВР изразиха неувереност, че електронното гласуване ще реши проблемите с купения и контролиран вот, но достатъчно хора се обединиха около позицията, че то няма за цел да решава този проблем, няма и да го влоши. Николай Недялков изтъкна дори механизми, по които може да го облекчи В МВР се притесняват, че електронното гласуване ще отвори врата за киберпрестъпления; теза, която остана неаргументирана в моите очи проф.Емилия Друмева, бивш конституционен съдия и настоящ съветник на премиера сподели, че няма конституционна пречка пред електронното гласуване. Отхвърлянето на кодекса „Фидосова“ не означава принципно отхвърляне на електронното гласуване. Нужно е просто то да бъде вписано правилно в кодекса. Най-важното, около което имаше и най-много дискусии, беше „чипът“ в личната карта – т.е. дали да има електронна идентификация в документа за самоличност (моя любима тема). По темата се изказаха от МВР, като тезата им беше, че има „много плюсове и много минуси, и се търси правилното решение“. От Борика-Банксервиз щрихираха тяхното решение, разработено съвместно с МТИТС eID, базирано на австрийския опит. То може и да е подходящо (ако поддържа anonymous credentials, които позволяват гарантирането на тайната на вота, и едновременно с това – чрез linkable credentials – гласът на

Continue reading

Обща електронна идентификация в ЕС?

Наближават евроизбори и реших, че е редно да имам някакви изисквания към евродепутата, за когото ще гласувам. Кампанията още не е започнала, но извън партийните предпочитания, реших да поставя един въпрос, който според мен е важен. Подчертавам „според мен“, защото най-вероятно съм в малцинство. Въпросът е „подкрепяте ли стандартизирана европейска електронна идентификация, т.е. стандартен електронен подпис в личните карти на всички европейци, и какво бихте направили, за да се реализира“. Защо това е важно? По много причини. От гледна точка на България най-важната е, че това ще означава електронен подпис в нашите лични карти дори никое правителство да не прояви нужната мисъл, за да го направи – просто ще дойде „отгоре“. От гледна точка на ЕС е важно, защото ще е стъпка в решаването на проблема с бюрокрацията – а той е сериозен. Особено ще е полезно за граждани, които често сменят държавата, в която се намират – дали по работа, дали живеят в пограничен район, дали просто заради туризъм. Обща електронна идентификация ще означава по-лесна синхронизация на процедури, по-лесен достъп на гражданите до услуги в други държави, по-малко документи, които трябва да представиш или получиш, за да работиш в друга държава. За България конкретно електронният подпис в личната карта ще осмисли и ускори електронното правителство, а то (според мен) е твърде важно и наложително, за да се намали корупцията и да се увеличи ефективността на държавния апарат. А не е ли електронната идентификация на няколкостотин милиона души прелюдия към една антиутопия? Не че не може да бъде, но по-скоро няма да бъде – технологичната реализация (anonymous credentials), предпазваща личността от следене, съществува и може да бъде използвана. Т.е. засега поне можем да сме спокойни, че това не е „слагане на чип в мозъка“, а просто важно улеснение, което никой не може да използва неправомерно, дори да иска. Тъй като

Continue reading