Eθνική Ηλεκτρονική Ταυτότητα: Αυξημένη ασφάλεια στις Ηλεκτρονικές Συναλλαγές με τις Δημόσιες υπηρεσίες με τη χρήση τεχνολογίας παραγωγής κωδικού μιας χρήσης ΟΤΡ (One Time Password)
|
Μαρτίου 15, 2010
Σε συναλλαγές του πολίτη με υπηρεσίες του Δημοσίου όπου υποβάλλονται ευαίσθητα προσωπικά δεδομένα (π.χ Τaxis ή δεδομένα ασφαλιστικών ταμείων) καθώς και στην πρόσβαση υπαλλήλων του δημοσίου σε υπολογιστές ή δίκτυα όπου αποθηκεύονται τέτοια δεδομένα, θεωρούμε ότι είναι απαραίτητο να υπάρχει και ένας δεύτερος βαθμός ασφάλειας (2nd factor authentication) όπως εφαρμόζεται και στην ηλεκτρονική διακυβέρνηση άλλων ευρωπαϊκών χωρών (π.χ Αγγλία, Σουηδία). Τέτοια συστήματα χρησιμοποιούν οι τράπεζες σε on-line συναλλαγές (web banking) και επιτυγχάνονται με τη χρήση ενός δεύτερου κωδικού ασφαλείας μιας χρήσης (One Time Password-OTP) τον οποίο παράγουν ειδικές ηλεκτρονικές συσκευές (tokens). Οι συσκευές αυτές είναι φτηνές (από 4 έως και 15 ευρώ ανάλογα με τις δυνατότητες και τη μορφή της συσκευής) και συνοδεύονται από το λογισμικό που κάνει το authentication και το οποίο εγκαθίσταται στους servers της υπηρεσίας. Τα τελευταία χρόνια διατίθενται στο εμπόριο tokens υπό μορφή πιστωτικής κάρτας οπότε η σχεδιαζόμενη «ηλεκτρονική ταυτότητα του πολίτη» ή η κάρτα του ΑΜΚΑ θα μπορούσε να είναι μια τέτοια κάρτα η οποία θα συνδυάζει τις λειτουργίες της κάρτας και της ασφαλούς πρόσβασης στις ηλεκτρονικές υπηρεσίες του δημοσίου. Το λογισμικό ελέγχου της κάρτας μπορεί να βασιστεί στους αλγόριθμους OATH (Open AuTHentication) οι οποίοι είναι ανοιχτοί και εύκολα υλοποιήσιμοι οπότε δεν επιβαρύνουν το κόστος και δεν ανήκουν σε κάποια εταιρεία. 1) Display κάρτα στην οποία είναι ενσωματωμένα: οθόνη εμφάνισης του μοναδικού κωδικού από ηλεκτρονικό χαρτί, μπαταρία λιθίου διάρκειας 3 ετών, microprocessor στον οποίο είναι φορτωμένος ο αλγόριθμος ΟΑΤΗ για την παραγωγή κωδικών και πλήκτρο ενεργοποίησης του μοναδικού κωδικού ΟΤΡ κάθε φορά που το πατάει ο χρήστης. Η κάρτα μπορεί να φέρει εικαστικό του υπουργείου, οργανισμού ή υπηρεσίας που εκδίδει την κάρτα, μαγνητική ταινία ή/και PKI/EMV chip όπου να αποθηκεύονται προσωπικά δεδομένα του κατόχου της. 2) Μια δεύτερη υλοποίηση κάρτας που μπορεί να χρησιμοποιηθεί ως εθνική ηλεκτρονική ταυτότητα, είναι απλή πλαστική κάρτα υπό μορφή πιστωτικής κάρτας η οποία είναι κατάλληλα σχεδιασμένη, δηλ. φέρει περιμετρικά ενδεικτικά σημεία τα οποία είναι μοναδικά για κάθε χρήστη και σε συνδυασμό με κατάλληλο και εξατομικευμένο λογισμικό το οποίο συνοδεύει την κάρτα και εγκαθίσταται στον υπολογιστή του κατόχου της, μπορεί να παράγει μοναδικό κωδικό ασφαλούς πρόσβασης. Θεωρούμε την παραπάνω υλοποίηση ως την προσφορότερη για εθνική ηλεκτρονική ταυτότητα διότι έχει ιδιαίτερα χαμηλό κόστος (το κόστος της πλαστικής κάρτας συν το κόστος της εξατομικευμένης εφαρμογής λογισμικού για κάθε χρήστη), και μπορεί να φέρει εικαστικό του υπουργείου, οργανισμού ή υπηρεσίας που εκδίδει την κάρτα, μαγνητική ταινία ή/και PKI/EMV chip όπου να αποθηκεύονται προσωπικά δεδομένα του κατόχου της. 3) Μια τρίτη λύση θα ήταν η παραγωγή μοναδικού κωδικού με τη βοήθεια εξατομικευμένης εφαρμογής λογισμικού η οποία εγκαθίσταται στη συσκευή κινητού τηλεφώνου ή στη συσκευή smartphone του κατόχου της. Οι εφαρμογές αυτές βασίζονται επίσης σε αλγόριθμους ΟΑΤΗ και υπάρχουν σήμερα εμπορικά διαθέσιμες. Περισσότερες λεπτομέρειες και παρουσίαση της πρότασής μας μπορείτε να βρείτε στο παρακάτω link της εταιρείας μας: http://www.i-read.gr/p.aspx?p=brochures |
|
5 Σχόλια »
RSS feed για τα σχόλια. TrackBack URL
Χωρίς αμαφιβολία η Ηλεκτρονική Ταυτότητα ή η «Κάρτα Πολίτη» – αλλά πάντα μία κάρτα, είναι χρήσιμη και ίσως να βοηθούσε στο να ξεπεραστούν τα εμπόδια στη χρήση των ηλεκτρονικών υπηρεσιών.
Όμως, ποια είναι τα πραγματικά «εμπόδια». Κατά τη γνώμη μου τα δύο πιο σημαντικά είναι:
(1) Η έλλειψη ηλεκρονικών υπηρεσιών από πλευράς του Δημοσίου,
(2) Η μη διασύνδεση των διαδικασιών των Υπηρεσιών με αποτέλεσμα να μην υπάρχει ένας πλήρης και σωστός φάκελος για κάθε πολίτη ή επιχείρηση. Δυστυχώς, σχεδόν κάθε μητρώο (φορολογουμένων, αυτοκινήτων, γιατρών, δικηγόρων, κλπ) δεν είναι σωστό και πλήρες.
Η τυχόν έκδοση μιας νέας ταυτότητας (που θα κοστίσει ίσως πάνω από 200.000.000)δεν θα κάνει τίποτα περισσότερο παρά να προσθέσει ακόμη ένα μη πλήρες μητρώο και ακόμη μια (άχρηστη) κάρτα στην τσέπη μας.
Ας δούμε πρώτα αυτές τις ηλεκτρονικές υπηρεσίες και όταν πραγματικά φανεί η αναγκαιότητα της νέας κάρτας, τότε να προχωρήσουμε στην έκδοσή της. Όχι όμως τώρα. Προς το παρόν, ας βρούμε φτηνούν τρόπους να ξεπεράσουμε το θέμα της ταυτοποίησης.
Με Εκτίμηση
Dim
Ρε παιδιά δεν καταλαβαίνω γιατί έχουμε προτείνει τα ίδια πράγματα 50 διαφορετικά άτομα,
και δεν μαζευόμαστε να τα βάλουμε όλα μαζί σε ΜΙΑ ΠΡΟΤΑΣΗ να ξεμπερδεύουμε.
Να κάνουμε ένα Mini-Coffee , να καταλήξουμε κάπου.
Μέχρι στιγμής σε όλες τις συζητήσεις που κάνουμε, βλέπω να υπάρχουν επικαλυπτόμενες ιδέες.
Αυτό ΜΟΝΟ ΚΑΛΟ ΕΙΝΑΙ, αφού δείχνει ότι όλοι οι «κομπιουτεράδες» έχουμε κοινές απόψεις/προτάσεις.
πχ
– e-Gov API/SDK
– citizen ID
– cloud computing
– open protocols / connection standards
– οριζόντια αντιμετώπιση
– generic across the board GUI
και τα 6 αυτά μαζί άλλωστε, θα έπρεπε να αναπτυχθούν παράλληλα,
αφού αποτελλούν τη ραχοκοκκαλιά για τη βάση ενός ηλεκτρονικού κράτους,
ώστε αυτό να μπορεί να απελευθερώσει τα datasets, και να χτίζονται εφαρμογές
και υπηρεσίες που να μπορούν να κάνουν scale στο μέλλον.
Θα έλεγα να ξεκινήσουμε από αυτά.
Από barebone / bottom-up approach
Μη γελιώμαστε, χωρίς αυτή τη βασική σύνθεση, δεν θα μπορέσει να γίνει τίποτα σωστά,
και πάλι το κράτος θα καταλήξει σε custom-ιές όπου θα κάνει ο κάθε ανάδοχος ότι γουστάρει,
με αποτέλεσμα να αυξηθέι πάλι το κόστος, και να γεμίζουμε πάλι με site και εφαρμογές
που δεν θα τις χρησημοποιεί κανείς και θα κάνουμε μια τρύπα στο νερό.
Ειληκρινά εκνευρίζομαι να βλέπω προτάσεις από όλους τους μαϊντανούς αναδόχους πολυεθνικές
που με το ανοίξει μια πρόταση στο opengov, μας γεμίζουν με PDF και κλασικές ανάπηρες λύσεις,
οι οποίες εξυπηρετούν μόνο τους ίδιους και όχι τον πολίτη.
Θα καταλάβουν επιτέλους όλοι αυτοί οι τύποι από Ελλάδα και εξωτερικό,
που πέσανε πάλι σαν τα κοράκια να πάρουν Δημόσια έργα,
ότι ΚΡΑΤΟΣ ΣΤΟ ΙΝΤΕΡΝΕΤ ΣΗΜΑΙΝΕΙ ΕΝΙΑΙΟ INTERFACE ???
Δηλαδή τι νομίζουν ότι ο μέσος πολίτης είναι σαν εμάς και θα κάτσει να μάθει 50 διαφορετικά sites?
Λίγο σοβαρότητα επιτέλους. Και sorry αν χρησιμοποιώ το εν λόγο thread,
για να επισημάνω αυτό το θέμα. Αλλά έχει τελματώσει αυτή η ιστορία,
και δεν εκπλήσσομαι που επαναλαμβάνεται για άλλη μια φορά.
Αλλά θα το επαναλάβω για να το ακούσουν ορισμένοι :
ΟΙ ΚΡΑΤΙΚΕΣ ΥΠΗΡΕΣΙΕΣ ΜΕΣΩ ΙΝΤΕΡΝΕΤ ΠΡΕΠΕΙ ΝΑ ΕΙΝΑΙ ΟΡΙΖΟΝΤΙΑΣ ΑΝΤΙΜΕΤΩΠΙΣΗΣ
ΚΑΙ ΕΝΙΑΙΟΥ ΤΡΟΠΟΥ ΠΡΟΒΟΛΗΣ ΟΠΩς ΓΙΝΕΤΑΙ ΜΕ ΤΑ ΑΤΜ ΣΤΙΣ ΤΡΑΠΕΖΕΣ!
Δεν γίνεται να κάθεται ο πολίτης ή δημόσιος υπάλληλος-χειριστής, να μαθένει την καστομιά
του κάθε άσχετου με τις λέξεις «user experience» που παίρνει δημόσιο έργο πληροφορικής!
CWP
ΑΓΑΠΗΤΟΙ
ΣΥΜΦΩΝΩ ΓΙΑ ΤΗΝ ΔΗΜΙΟΥΡΓΙΑ ΗΛΕΚΤΡΟΝΙΚΗΣ ΚΑΡΤΑΣ ΜΕ ΚΑΤΑΧΩΡΗΜΕΝΑ ΟΛΑ ΤΑ ΣΤΟΙΧΕΙΑ ΤΟΥ ΓΙΑ ΜΕΓΑΛΗ ΕΞΥΠΗΡΕΤΗΣΗ..!
ΘΑ ΜΠΟΡΟΥΣΕ ΝΑ ΓΙΝΕΙ ΕΦΙΚΤΟ ΚΑΙ ΜΕ ΛΙΓΑ ΧΡΗΜΑΤΑ ΑΝ ΔΡΑΣΤΗΡΙΟΠΟΙΗΘΟΥΝ ΟΙ ΚΑΘΗΓΗΤΕΣ ΑΕΙ-ΤΕΙ, ΜΕ ΥΠΕΥΘΥΝΗ ΔΡΑΣΤΗΡΙΟΤΗΤΑ ΣΤΟΝ ΑΝΤΙΣΤΟΙΧΟ ΧΩΡΟ ΔΡΑΣΗΣ.
ΑΚΟΜΗ ΚΑΙ Η ΠΑΡΑΓΩΓΗ ΤΩΝ ΕΞΥΠΝΩΝ ΚΑΡΤΩΝ ΘΑ ΕΙΝΑΙ ΟΙΚΟΝΟΜΙΚΑ ΣΥΜΦΕΡΟΤΕΡΗ..!,..[ΟΧΙ 200.000.000 Ευρω]
Σ.Ν.
Μπήκα και είδα τις καρτες στο σχετικό link και αν κατάλαβα καλά η λύση 2 που προτείνει το αρθρο είναι μια φτηνή λύση, είναι κατι σαν smart card που αναφέρει ο κ.Νομικός στο προηγούμενο σχόλιο. Η δε λύση 3 (η εφαρμογή του κινητού) φαντάζομαι ότι θα έχει ακόμα μικρότερο κόστος.
Μάλιστα αυτή η λύση της εφαρμογής του κινητού είναι κατάλληλη και για τους δημόσιους υπαλλήλους που χρησιμοποιούν υπάρχουσες εφαρμογές των διαφόρων υπουργείων. Είναι γνωστό ότι τα passwords κυκλοφορούν σε χαρτάκια κάτω από το πληκτρολόγιο και καρνεδάκια στα συρτάρια και είναι τα ίδια για δεκαετίες. Μια εφαρμογή one time password στο κινητό με μοναδικό seed για κάθε εξουσιοδοτημένο χρήστη μοιάζει πολύ εύχρηστη και σίγουρα πολύ πιο ασφαλής.
Η ιδέες πάντως είναι πολύ έξυπνες και θα μπορούσαν να ενσωματωθούν στις όποιες εφαρμογές τελικά υλοποιηθούν.
Σ.Μ.
Η ασφαλής πρόσβαση στις εφαρμογές της ηλεκτρονικής διακυβέρνησης είναι από τα σημαντικότερα θέματα δεδομένου ότι διακινούνται προσωπικά δεδομένα των χρηστών (πολιτών).
Αυτό είναι κάτι που επισημαίνεται με ιδιαίτερη έμφαση από τους οργανισμούς των χωρών στις οποίες έχει εφαρμοστεί ή είναι σε ανάπτυξη η ηλεκτρονική διακυβέρνηση. Συγκεκριμένα μάλιστα σε όλες αυτές τις χώρες ο ενδεδειγμένος τρόπος πρόσβασης είναι με μοναδικό κωδικό μιας χρήσης (One Time Password, OTP), προτείνεται δε συγκεκριμένο token μέσω του οποίου θα πραγματοποιείται η ασφαλής πρόσβαση.
Ενδεικτικά δίνουμε παρακάτω σχετικά links για την Μ. Βρετανία, Φινλανδία, Αυστραλία, Ν. Ζηλανδία:
http://www.idsec.com/about/briefings/coco.pdf
http://www.govconnect.gov.uk/what-is-gcsx.php
Μ. Βρετανία
http://www.projectliberty.org/liberty/content/download/1008/7061/file/Nat_Brd_Taxes_Finland.pdf
Φινλανδία
https://www1.i.govt.nz/cls/static/extrasecurity
Nέα Ζηλανδία
http://www.finance.gov.au/e-government/security-and-authentication/docs/NeAF-framework.pdf
Αυστραλία
Σε ό,τι αφορά το κόστος της υλοποίησης, το ποσόν των 200.000.000 ευρώ που αναφέρεται σε προηγούμενο σχόλιο είναι αυθαίρετο, δημιουργώντας εσφαλμένες εντυπώσεις, και απέχει πάρα πολύ από την πραγματικότητα ακόμα και για την πλέον ακριβή λύση της display κάρτας. Ιδιαίτερα για τις προτεινόμενες λύσεις (2) και (3), το κόστος ανά χρήστη για το πλήθος των χρηστών της ηλεκτρονικής διακυβέρνησης της χώρας μας, δεν θα ξεπερνά το σημερινό κόστος μιας απλής smart card που σήμερα διαθέτουν δωρεάν οι τράπεζες στους πελάτες τους.
Σε κάθε περίπτωση πιστεύουμε ότι η ασφάλεια των συναλλαγών, η προστασία των προσωπικών δεδομένων των πολιτών μιας χώρας και η διαφύλαξη της ταυτότητάς τους σε κάθε συναλλαγή πρέπει να είναι αδιαπραγμάτευτη αρχή και να προστατεύεται με ουσιαστικό τρόπο και όχι πρόχειρες, δήθεν φθηνές λύσεις, οι οποίες γρήγορα αποδεικνύεται ότι κοστίζουν πολύ ακριβά. Δεν είναι τυχαίο ότι όλες οι χώρες στις οποίες υπάρχει ηλεκτρονική διακυβέρνηση έχουν επιλέξει ως ασφαλή τρόπο πρόσβασης στις σχετικές υπηρεσίες και εφαρμογές τον κωδικό μιας χρήσης (ΟΤΡ).
Ας σημειωθεί τέλος, ότι ο πλέον αναγνωρισμένος διεθνώς οργανισμός Verisign παρέχει πλατφόρμα OpenID με πρόσβαση ΟΤP.
A.T.