Rola kart identyfikacyjnych w infrastrukturze e-gospodarki

Kongres Gospodarki Elektronicznej w Konferencja ZBP 21.03.2006 Warszawa

1

Rola kart identyfikacyjnych w infrastrukturze e-gospodarki

Dr inż. Jacek BiskupskiEkspert Polskiego Komitetu Normalizacyjnego ds. kart magnetycznych i elektronicznychPrzedstawiciel Polski do Europejskiego komitetu standaryzacyjnego CENBiegły sądowy w zakresie nadużyć kartowychV-ce prezes UNICARD S.A.

Kongres Gospodarki Elektronicznej w Konferencja ZBP 21.03.2006 Warszawa 2

Agenda

Wprowadzenie na temat kart elektronicznych

Rola różnych kart plastikowych dla E-Gospodarki – próba analizy

Przykłady wdrożeń kart w Europie Podsumowanie


Nomenklatura zgodnie z PN-I-1000 Karty elektroniczne – karty zawierające

minimum jeden układ scalony, wyróżniamy:– Pamięciowe lub procesorowe

Ze względu na interfejs do komunikacji z kartą– Stykowe lub bezstykowe

Karty dualne – jeden układ dwa interfejsy

Karty hybrydowe – wiele układów lub/i pasek magnetyczny


Karty elektroniczne a karty magnetyczne Karta magnetyczna

– Wprowadzona w latach ’70 przez IBM jako pointer– Historyczny podział paska magnetycznego na 3 ścieżki

(79,37,107 zn.)– Pasek NIGDY NIE BYŁ ZABEZPIECZENIEM – właśnie

pointerem– Łatwość podrobienia karty i zapisu [ogólnodostępny koder

3000 zł] Karta elektroniczna

– Pierwsze patenty e Europie R.Moreno – 1979, Bull– Zastosowanie masowe we Francji – stowarzyszenie CB – Główny odbiorca kart TELCOMY – [ Tel.publiczna i GSM]– Przełom lat 90/200x wdrażanie kart w bankowości - EMV– Aktualnie wielkość globalnego rynku to ok. 2 miliardów

kart rocznie, z czego 2/3 to karty dla GSM


Jaki jest zasadniczy cel używania kart identyfikacyjnych w e-X? W przypadku e-Gospodarki powstaje

problem zdalnego niezaprzeczalnego potwierdzenia tożsamości/uprawnień osoby która chciałaby zdalnie [np. przez internet czy info-kiosk] dokonać:– Zapłaty [np. w sklepie, za usługi]– Złożenia dyspozycji [np. głosowania czy

PIT ]– Czynności prawnej


Do zdalnej identyfikacji służą tzw. tokeny Token to układ scalony [popularny

chip] zamknięty w wystandaryzowanej obudowie:– Identyfikacyjna karta plastikowa

[ID1, ID000]– PenDrive USB, – Pastylka – Przenośny terminal– Token specjalizowany


Co jest niezbędne dla identyfikacji w systemach e-gospodarki ? Jako że klient identyfikuje się

zdalnie [przez token] to system musi uzyskać pewność, że:A. Człowiek podający się zdalnie za

ObywatelaX rzeczywiście nim jestB. Człowiek podający się za ObywatelaX

ma uprawnienia do dokonania żądanej czynności zdalnej

C. Można uzyskać niezaprzeczalne potwierdzenie, że ObywatelX dokonał danej czynności zdalnej


Alternatywnie system może odwoływać się do innego systemu, wtedy..

D. Token jedynie wskazuje gdzie szukać informacji o ObywateluX

E. Dzięki niemu można również uzyskać informacje dodatkowe:• Kiedy i o której godzinie została

dokonana transakcja i gdzie ją zapisano• Gdzie/jak można zweryfikować

informacje o Obywatelu i jego uprawnieniach

• Sprawdzić, że ObywatelX rzeczywiście istnieje…


Zadanie karty identyfikacyjnej w systemach e-gospodarki - systematykaI. Karta plastikowa jako element

identyfikacyjny [np. Dowód osobisty]

II. Karta jako pointer – wskaźnik gdzie szukać informacji o kliencie

III. Karta jako dokument potwierdzający tożsamość i uwierzytelniający zdalne działania

IV. Karta wieloaplikacyjna


I. Karta plastikowa jako element identyfikacyjny Taka karta służy jedynie jako wizualne

potwierdzenie tożsamości – i o ile nie posiada nośników do automatycznego odczytu [tzn. kod kreskowy, zapis magnetyczny, układ elektroniczny] to może jedynie być nośnikiem zdjęcia i indywidualnego numeru. Przykłady:– Dowód osobisty, Paszport, Prawo jazdy

Zapewnia – – Słabe spełnienie postulatu „D” – bo taki

dokument nawet jeżeli zawiera najlepsze techniki zabezpieczeń wizualnych, to nie nadaje się do e-gospodarki…


II.Karta jako pointer – wskaźnik Pointer to elektroniczny wskaźnik –

wskazuje gdzie [w sieciach] szukać informacji o posiadaczu– MUSI mieć nośnik do automatycznego odczytu– Może zawierać informacje o posiadaczu i

uprawnieniach związanych z usługami Przykłady:

– Magnetyczne karty płatnicze [Visa, MasterCard]– Karty identyfikacyjne [kontrola dostępu do

zasobów fizycznych i logicznych]– Karty biblioteczne, wypożyczalni itp..

Karta jako Pointer spełnia postulat „D”


III. Karta jako dokument potwierdzający tożsamość i uwierzytelniający działania Karta z certyfikatem PKI [bankowa,

ID] Karta SIM [+Terminal m-commerce] Uwaga!! Zawsze jest to

karta+infrastruktura• Czytnik karty• Czynnik uwierzytelniający tożsamość [odciski

palca, zdjęcie, inne]• Współpracujące programy

Zapewnia [wraz z infrastrukturą] spełnienie postulatów A+B+C+D+E


Karta Multiaplikacyjna

Np. Identyfikacyjna karta obywatela danego Państwa [dowód osobisty] zawierająca certyfikat dla potrzeb e-gospodarki

Karta bankowa zawierająca elementy identyfikacyjne

Karta SIM zawierająca możliwość dokonywania płatności…


Nadchodzi m-commerce…

Fujitsu F901iC

Jeszcze Telefon GSM – czy już terminal osobisty XXI wieku ?


Można również inaczej… Niemiecka SCHUFA = komercyjna baza danych o obywatelach i ich statusie..

Weiter


Przykłady zastosowań kart identyfikacyjnych w Europie Wspólne wysiłki Francji Niemiec,

Wielkiej Brytanii, Szwecji, Hiszpani, Polski

Próba stworzenia jednolitej specyfikacji Eurpejskiego Dokumentu Identyfikacyjnego

Wspólny komitet standaryzacyjny norma europejska prCEN/TS 15480-1 i 2 „European Citizen Card”


Przykłady zastosowań kart ID w Europie [przed wspólną kartą] Estonia (1,3 miliona mieszkańców) Karta Identyfikacyjna [dowód

osobisty] wydana dla ponad 800.000 obywateli

Po raz pierwszy jesienią 2005 w wyborach lokalnych Estończycy zagłosowali zdalnie swoimi kartami z domów i miejsc pracy…


Przykłady zastosowań kart ID w Europie – Wielka Brytania Rozpoczęcie wydawania kart ID od roku 2008. Do 2013 planuje wydać 40 milionów kart [80%

populacji] – dla rezydentów od 16 roku życia Karta DOBROWOLNA [po osiągnięciu 80 %

społeczeństwa będzie obowiązkowa] Zawartość: Imię, nazwisko, data i m-ce

urodzenia, adres, fotografia. W części elektronicznej odciski palców, skan dna oka – lub wskaźnik gdzie te dane znaleźć w sieci

PKI nie jest planowane jako obowiązkowe Koszt ….


Certyfikaty PKI na kartach ID [dowodach osobistych] Bardzo często występuje oddzielenie funkcji ID

od karty przenoszącej certyfikat PKI W Finlandii gdzie karta identyfikacyjna jest

dobrowolna – tylko 10 % społeczeństwa wpisało sobie certyfikat PKI

W Estonii – karta z certyfikatem PKI jest obowiązkowa – ale można sobie go dezaktywować

W Szwecji gdzie karta identyfikacyjna jest dobrowolna – władze namawiają na używanie w kontaktach z agendami rządowymi certyfikatów wydanych przez operatorów GSM jako SIMy nowej generacji.


Podsumowanie – karty dla e-Gospodarki w Polsce

Karta elektroniczna jako nowy dowód osobisty będzie niezbędna dla stworzenia infrastruktury e-Gospodarki w naszym kraju

Będzie ona dobrze przyjęta przez społeczeństwo, ale trudno będzie zmusić obywatela RP do zakupu zestawu „karty z certyfikatem oraz czytnika PKI” przy obecnych cenach takich zestawów w Polsce…

Ze względu na skomplikowanie infrastruktury jest mała prawdopodobne aby udało się wprowadzić wspólną kartę-dowód osobisty–prawo jazdy


Podsumowanie – karty dla e-Gospodarki w Polsce cd.. Koszt infrastruktury do odczytu kart

ID z PKI będzie znaczny – na pewno należy zaczynać od lokalnych pilotażów, wdrażać system stopniowo ale w sumie da to efekt tańszego Państwa!

Rozwiązanie optymalnym byłaby wspólna infrastruktura Państwa [karty] i firm komercyjnych np. Operatorów GSM [terminale] i stopniowy rozwój e-Gospodarki


Dziękuję za uwagę !

Czy są może jakieś pytania dodatkowe ?

Zapraszam do dyskusji Pozostaje do dyspozycji

[email protected]

Rola kart identyfikacyjnych w infrastrukturze e-gospodarki

Documents

Transcript of Rola kart identyfikacyjnych w infrastrukturze e-gospodarki