Vďaka eID karte môžu občania Slovenskej republiky od decembra 2013 bezpečne pristupovať k elektronickým službám verejnej správy. V prvej časti seriálu sme sa pozreli, aké sú možnosti využitia eID.  Aká je miera využívania eID karty a akú úlohu budú hrať národné identifikačné schémy na jednotnom európskom digitálnom trhu?

Status quo

Od začiatku distribúcie eID kariet bola aktivácia elektronických funkcií karty ako je identifikácia a autentifikácia dobrovoľná. Negatívum tohto rozhodnutia sa ukázalo pri realizácii ďalších zámerov e-governmentu spojených s eID kartou. Napr. pri zavedení povinnosti elektronickej komunikácie právnických osôb so štátom alebo pri využití eID karty namiesto samostatnej kartičky poistenca pre účely informačného systému eZdravie. Od 18. októbra 2016 je tak aktivácia eID karty povinná. Funkcia autorizácie kvalifikovaným elektronickým podpisom (KEP) ostáva stále voliteľná.

Rozdiely a paralely s Estónskom

Estónsko sa rozhodlo zaviesť eID kartu už v roku 2002. Od roku 1992 tu bol jediným identifikačným dokladom cestovný pas. Preto v okamihu očakávanej masovej exspirácie pasov po desiatich rokoch bolo plánované vydanie identifikačného dokladu s elektronickou funkcionalitou. Vydanie eID kariet všetkým obyvateľom však trvalo až štyri roky.

Aká je paralela so Slovenskom? Okrem zhodného spektra funkcií eID karty je spoločnou črtou verejná kritika zdanlivo drahých projektov s nízkou mierou ich praktického využívania počas prvých rokov nasadenia vzhľadom na malý počet elektronických služieb v kombinácii s nedostatočnou propagáciou.

Slovensko sa pritom rozhodlo pre technologicky pokročilejšie riešenie postavené na EAC. Estónsko ale podpísalo dohodu o kooperácii s privátnym sektorom a eID začali využívať prakticky všetky banky.

Na Slovensku tiež pozorujeme rapídny nárast počtu autentifikácii eID kartou, avšak akceptácia komerčným sektorom je zatiaľ nízka.

Skutočný potenciál eID karty

Novelizácia legislatívy na Slovensku vytvára príležitosť využitia eID s aspektom právnej istoty. Základ doterajších riešení overovania dvoch dokladov a identity stojí najčastejšie na zaznamenaní tváre a oboch dokladov potenciálnym klientom. Následne aplikácia porovnáva biometrické prvky tváre a vyhotovených vizuálov, pričom operuje s mierou pravdepodobnosti zhody namiesto istoty identifikácie dosiahnuteľnej s eID.

Potenciál eID karty je však ďaleko širší, eID je možné využiť aj na potvrdenie fyzickej prítomnosti na obchodnom mieste (v pobočke, u lekára atď.) alebo v teréne. Ďalším scenárom je zvýšenie bezpečnosti prihlasovania dvojfaktorovým spôsobom do elektronického prostredia poskytovateľa služieb s možnosťou autorizácie transakcií v súlade so smernicou č. 2015/2366 o platobných službách na vnútornom trhu (PSD2).

Identifikácia poskytovateľa služby a oprávnení pre prístup ku konkrétnym osobným údajom (eID klient)

eID v kontexte jednotného digitálneho trhu

Nariadenie eIDAS definuje hlavný rámec pre elektronické identifikačné schémy na národnej úrovni s možnosťou notifikácie. Po úspešnom notifikačnom procese schémy aspoň na bezpečnostnej úrovni „Pokročilá“ je jej uznávanie v iných členských krajinách povinné na umožnenie prístupu občanov daného členského štátu k verejným elektronickým službám iného členského štátu.

Vývoj počtu autentifikácií s eID v Estónsku

Poskytovatelia platobných služieb sa tak dočkali finálneho technického štandardu (RTS) pre silnú autentifikáciu zákazníka (SCA) vyžadovanú smernicou PSD2. eID karty a národné elektronické identifikačné schémy budú hrať v jednotnom digitálnom trhu EÚ kľúčovú úlohu.

Vývoj počtu autentifikácií s eID na Slovensku

Prelomená eID karta, alebo nie?

Situáciu s eID rozvíril návrat Coppersmithovho útoku (ROCA) detekovaného tímom z Masarykovej Univerzity v Brne. Ten odhalil algoritmickú chybu pri generovaní prvočísel RSA kľúčov v široko používanej knižnici jedného z popredných výrobcov bezpečnostných prvkov. Na Slovensku bol dopad „iba“ na autorizáciu, lebo identifikácia a autentifikácia využíva kryptografiu eliptických kriviek. Nervozita v spoločnosti však bola umocnená aj novinovými titulkami o prelomenej eID karte ako takej, čo bolo zavádzajúce. Do určitej miery to reflektuje neznalosť odbornej verejnosti.

Po rozpačitom úvode boli na Slovensku prijaté relevantné opatrenia, medzi ktoré patrí plošná revokácia všetkých certifikátov na eID kartách ešte pred oficiálnym verejným odhalením zistení o zraniteľnosti a následná zmena parametra dĺžky generovaného kľúča RSA na 3072 bitov – tá bola vyhodnotená ako bezpečná.

V ďalšej etape je pripravované riešenie s využitím EAC, teda schopnosť vytvorenia zabezpečeného komunikačného kanála medzi čipom eID karty a poskytovateľom dôveryhodných služieb tak, aby bolo možné vygenerovať kľúče s dĺžkou 3072 bitov priamo na karte a získať k nim príslušné certifikáty od poskytovateľa dôveryhodných služieb z pohodlia domova.

V ďalšej časti nášho seriálu si priblížime rôzne prístupy k mobilnej eID, vrátane tých, ktoré už boli prezentované vo fáze prototypu.

Ing. Peter Handzuš
peter.handzus@dxc.com

 

Nechajte nám správu