220 likes | 394 Views
Rola kart identyfikacyjnych w infrastrukturze e-gospodarki. Dr inż. Jacek Biskupski Ekspert Polskiego Komitetu Normalizacyjnego ds. kart magnetycznych i elektronicznych Przedstawiciel Polski do Europejskiego komitetu standaryzacyjnego CEN Biegły sądowy w zakresie nadużyć kartowych
E N D
Rola kart identyfikacyjnych w infrastrukturze e-gospodarki Dr inż. Jacek Biskupski Ekspert Polskiego Komitetu Normalizacyjnego ds. kart magnetycznych i elektronicznych Przedstawiciel Polski do Europejskiego komitetu standaryzacyjnego CEN Biegły sądowy w zakresie nadużyć kartowych V-ce prezes UNICARD S.A. Kongres Gospodarki Elektronicznej w Konferencja ZBP 21.03.2006 Warszawa
Agenda • Wprowadzenie na temat kart elektronicznych • Rola różnych kart plastikowych dla E-Gospodarki – próba analizy • Przykłady wdrożeń kart w Europie • Podsumowanie Kongres Gospodarki Elektronicznej w Konferencja ZBP 21.03.2006 Warszawa
Nomenklatura zgodnie z PN-I-1000 • Karty elektroniczne – karty zawierające minimum jeden układ scalony, wyróżniamy: • Pamięciowe lub procesorowe • Ze względu na interfejs do komunikacji z kartą • Stykowe lub bezstykowe • Karty dualne – jeden układ dwa interfejsy • Karty hybrydowe – wiele układów lub/i pasek magnetyczny Kongres Gospodarki Elektronicznej w Konferencja ZBP 21.03.2006 Warszawa
Karty elektroniczne a karty magnetyczne • Karta magnetyczna • Wprowadzona w latach ’70 przez IBM jako pointer • Historyczny podział paska magnetycznego na 3 ścieżki (79,37,107 zn.) • Pasek NIGDY NIE BYŁ ZABEZPIECZENIEM – właśnie pointerem • Łatwość podrobienia karty i zapisu [ogólnodostępny koder 3000 zł] • Karta elektroniczna • Pierwsze patenty e Europie R.Moreno – 1979, Bull • Zastosowanie masowe we Francji – stowarzyszenie CB • Główny odbiorca kart TELCOMY – [ Tel.publiczna i GSM] • Przełom lat 90/200x wdrażanie kart w bankowości - EMV • Aktualnie wielkość globalnego rynku to ok. 2 miliardów kart rocznie, z czego 2/3 to karty dla GSM Kongres Gospodarki Elektronicznej w Konferencja ZBP 21.03.2006 Warszawa
Jaki jest zasadniczy cel używania kart identyfikacyjnych w e-X? • W przypadku e-Gospodarki powstaje problem zdalnego niezaprzeczalnego potwierdzenia tożsamości/uprawnień osoby która chciałaby zdalnie [np. przez internet czy info-kiosk] dokonać: • Zapłaty [np. w sklepie, za usługi] • Złożenia dyspozycji [np. głosowania czy PIT ] • Czynności prawnej Kongres Gospodarki Elektronicznej w Konferencja ZBP 21.03.2006 Warszawa
Do zdalnej identyfikacji służą tzw. tokeny • Token to układ scalony [popularny chip] zamknięty w wystandaryzowanej obudowie: • Identyfikacyjna karta plastikowa [ID1, ID000] • PenDrive USB, • Pastylka • Przenośny terminal • Token specjalizowany Kongres Gospodarki Elektronicznej w Konferencja ZBP 21.03.2006 Warszawa
Co jest niezbędne dla identyfikacji w systemach e-gospodarki ? • Jako że klient identyfikuje się zdalnie [przez token] to system musi uzyskać pewność, że: • Człowiek podający się zdalnie za ObywatelaX rzeczywiście nim jest • Człowiek podający się za ObywatelaX ma uprawnienia do dokonania żądanej czynności zdalnej • Można uzyskać niezaprzeczalne potwierdzenie, że ObywatelX dokonał danej czynności zdalnej Kongres Gospodarki Elektronicznej w Konferencja ZBP 21.03.2006 Warszawa
Alternatywnie system może odwoływać się do innego systemu, wtedy.. D. Token jedynie wskazuje gdzie szukać informacji o ObywateluX E. Dzięki niemu można również uzyskać informacje dodatkowe: • Kiedy i o której godzinie została dokonana transakcja i gdzie ją zapisano • Gdzie/jak można zweryfikować informacje o Obywatelu i jego uprawnieniach • Sprawdzić, że ObywatelX rzeczywiście istnieje… Kongres Gospodarki Elektronicznej w Konferencja ZBP 21.03.2006 Warszawa
Zadanie karty identyfikacyjnej w systemach e-gospodarki - systematyka • Karta plastikowa jako element identyfikacyjny [np. Dowód osobisty] • Karta jako pointer – wskaźnik gdzie szukać informacji o kliencie • Karta jako dokument potwierdzający tożsamość i uwierzytelniający zdalne działania • Karta wieloaplikacyjna Kongres Gospodarki Elektronicznej w Konferencja ZBP 21.03.2006 Warszawa
I. Karta plastikowa jako element identyfikacyjny • Taka karta służy jedynie jako wizualne potwierdzenie tożsamości – i o ile nie posiada nośników do automatycznego odczytu [tzn. kod kreskowy, zapis magnetyczny, układ elektroniczny] to może jedynie być nośnikiem zdjęcia i indywidualnego numeru. Przykłady: • Dowód osobisty, Paszport, Prawo jazdy • Zapewnia – • Słabe spełnienie postulatu „D” – bo taki dokument nawet jeżeli zawiera najlepsze techniki zabezpieczeń wizualnych, to nie nadaje się do e-gospodarki… Kongres Gospodarki Elektronicznej w Konferencja ZBP 21.03.2006 Warszawa
II.Karta jako pointer – wskaźnik • Pointer to elektroniczny wskaźnik – wskazuje gdzie [w sieciach] szukać informacji o posiadaczu • MUSI mieć nośnik do automatycznego odczytu • Może zawierać informacje o posiadaczu i uprawnieniach związanych z usługami • Przykłady: • Magnetyczne karty płatnicze [Visa, MasterCard] • Karty identyfikacyjne [kontrola dostępu do zasobów fizycznych i logicznych] • Karty biblioteczne, wypożyczalni itp.. • Karta jako Pointer spełnia postulat „D” Kongres Gospodarki Elektronicznej w Konferencja ZBP 21.03.2006 Warszawa
III. Karta jako dokument potwierdzający tożsamość i uwierzytelniający działania • Karta z certyfikatem PKI [bankowa, ID] • Karta SIM [+Terminal m-commerce] • Uwaga!! Zawsze jest to karta+infrastruktura • Czytnik karty • Czynnik uwierzytelniający tożsamość [odciski palca, zdjęcie, inne] • Współpracujące programy • Zapewnia [wraz z infrastrukturą] spełnienie postulatów A+B+C+D+E Kongres Gospodarki Elektronicznej w Konferencja ZBP 21.03.2006 Warszawa
Karta Multiaplikacyjna • Np. Identyfikacyjna karta obywatela danego Państwa [dowód osobisty] zawierająca certyfikat dla potrzeb e-gospodarki • Karta bankowa zawierająca elementy identyfikacyjne • Karta SIM zawierająca możliwość dokonywania płatności… Kongres Gospodarki Elektronicznej w Konferencja ZBP 21.03.2006 Warszawa
Nadchodzi m-commerce… Fujitsu F901iC Jeszcze Telefon GSM – czy już terminal osobisty XXI wieku ? Kongres Gospodarki Elektronicznej w Konferencja ZBP 21.03.2006 Warszawa
Można również inaczej… Niemiecka SCHUFA = komercyjna baza danych o obywatelach i ich statusie.. Kongres Gospodarki Elektronicznej w Konferencja ZBP 21.03.2006 Warszawa
Przykłady zastosowań kart identyfikacyjnych w Europie • Wspólne wysiłki Francji Niemiec, Wielkiej Brytanii, Szwecji, Hiszpani, Polski • Próba stworzenia jednolitej specyfikacji Eurpejskiego Dokumentu Identyfikacyjnego • Wspólny komitet standaryzacyjny norma europejska prCEN/TS 15480-1 i 2 „European Citizen Card” Kongres Gospodarki Elektronicznej w Konferencja ZBP 21.03.2006 Warszawa
Przykłady zastosowań kart ID w Europie [przed wspólną kartą] • Estonia (1,3 miliona mieszkańców) • Karta Identyfikacyjna [dowód osobisty] wydana dla ponad 800.000 obywateli • Po raz pierwszy jesienią 2005 w wyborach lokalnych Estończycy zagłosowali zdalnie swoimi kartami z domów i miejsc pracy… Kongres Gospodarki Elektronicznej w Konferencja ZBP 21.03.2006 Warszawa
Przykłady zastosowań kart ID w Europie – Wielka Brytania • Rozpoczęcie wydawania kart ID od roku 2008. • Do 2013 planuje wydać 40 milionów kart [80% populacji] – dla rezydentów od 16 roku życia • Karta DOBROWOLNA [po osiągnięciu 80 % społeczeństwa będzie obowiązkowa] • Zawartość: Imię, nazwisko, data i m-ce urodzenia, adres, fotografia. W części elektronicznej odciski palców, skan dna oka – lub wskaźnik gdzie te dane znaleźć w sieci • PKI nie jest planowane jako obowiązkowe • Koszt …. Kongres Gospodarki Elektronicznej w Konferencja ZBP 21.03.2006 Warszawa
Certyfikaty PKI na kartach ID [dowodach osobistych] • Bardzo często występuje oddzielenie funkcji ID od karty przenoszącej certyfikat PKI • W Finlandii gdzie karta identyfikacyjna jest dobrowolna – tylko 10 % społeczeństwa wpisało sobie certyfikat PKI • W Estonii – karta z certyfikatem PKI jest obowiązkowa – ale można sobie go dezaktywować • W Szwecji gdzie karta identyfikacyjna jest dobrowolna – władze namawiają na używanie w kontaktach z agendami rządowymi certyfikatów wydanych przez operatorów GSM jako SIMy nowej generacji. Kongres Gospodarki Elektronicznej w Konferencja ZBP 21.03.2006 Warszawa
Podsumowanie – karty dla e-Gospodarki w Polsce • Karta elektroniczna jako nowy dowód osobisty będzie niezbędna dla stworzenia infrastruktury e-Gospodarki w naszym kraju • Będzie ona dobrze przyjęta przez społeczeństwo, ale trudno będzie zmusić obywatela RP do zakupu zestawu „karty z certyfikatem oraz czytnika PKI” przy obecnych cenach takich zestawów w Polsce… • Ze względu na skomplikowanie infrastruktury jest mała prawdopodobne aby udało się wprowadzić wspólną kartę-dowód osobisty–prawo jazdy Kongres Gospodarki Elektronicznej w Konferencja ZBP 21.03.2006 Warszawa
Podsumowanie – karty dla e-Gospodarki w Polsce cd.. • Koszt infrastruktury do odczytu kart ID z PKI będzie znaczny – na pewno należy zaczynać od lokalnych pilotażów, wdrażać system stopniowo ale w sumie da to efekt tańszego Państwa! • Rozwiązanie optymalnym byłaby wspólna infrastruktura Państwa [karty] i firm komercyjnych np. Operatorów GSM [terminale] i stopniowy rozwój e-Gospodarki Kongres Gospodarki Elektronicznej w Konferencja ZBP 21.03.2006 Warszawa
Dziękuję za uwagę ! • Czy są może jakieś pytania dodatkowe ? • Zapraszam do dyskusji • Pozostaje do dyspozycji jacek.biskupski@unicard.pl Kongres Gospodarki Elektronicznej w Konferencja ZBP 21.03.2006 Warszawa