Αρχική Κάρτα ΠολίτηΒ. Τεχνικά Χαρακτηριστικά της Κάρτας ΠολίτηΣχόλιο του χρήστη Ανδρέας Τσιγκόπουλος | 24 Νοεμβρίου 2010, 20:06
Υπουργείο Εσωτερικών Σταδίου 27, Αθήνα 10183 Τηλ.:2131364000, Email: info@ypes.gr email Υπευθύνου Προστασίας Δεδομένων (DPO): dpo@ypes.gr Δικτυακός Τόπος Διαβουλεύσεων OpenGov.gr Ανοικτή Διακυβέρνηση |
Πολιτική Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Πολιτική Ασφαλείας και Πολιτική Cookies Όροι Χρήσης Πλαίσιο Διαλόγου |
Creative Commons License Με Χρήση του ΕΛ/ΛΑΚ λογισμικού Wordpress. |
Κάρτα του Πολίτη: Πρόταση για κάρτα με οθόνη ηλεκτρονικού χαρτιού (e-paper display card) τύπου τραπεζικής κάρτας ανάληψης, για αυξημένη ασφάλεια δεύτερου βαθμού αυθεντικοποίησης (2nd factor authentication) στις ηλεκτρονικές συναλλαγές με τις Δημόσιες υπηρεσίες, με τη χρήση τεχνολογίας παραγωγής κωδικού μιας χρήσης ΟΤΡ (One Time Password) ΠΕΡΙΛΗΨΗ Η πρόταση αφορά: Την υιοθέτηση τεχνολογίας παραγωγής μοναδικού κωδικού OTP (One Time Password) η οποία θα ενσωματωθεί στην ηλεκτρονική κάρτα του πολίτη. Η τεχνολογία αυτή χρησιμοποιείται ευρέως σήμερα από τις τράπεζες για ασφαλή πρόσβαση και διεκπεραίωση online συναλλαγών στα internet banking συστήματά τους. Είναι δε διεθνώς η πλέον ασφαλής και η ευρύτερα διαδεδομένη τεχνολογία για ασφαλή πρόσβαση όχι μόνο σε τραπεζικά αλλά σε εν γένει πληροφοριακά συστήματα VPN. Βασίζεται σε αλγόριθμους ανοικτού κώδικα OATH (Open AuTHentication) και είναι απολύτως συμβατή με τη φιλοσοφία και τους στόχους των δράσεων του opengov. 1ο ΜΕΡΟΣ: Ασφαλής πρόσβαση Τα παραδοσιακά συστήματα ηλεκτρονικής αυθεντικοποίησης, που βασίζονται σε ένα όνομα χρήστη, και σε έναν κωδικό χρήστη, κάνουν χρήση μόνο των προσωπικών παραγόντων (κάτι που γνωρίζεις). Πρόκειται δηλαδή για συστήματα απλής αυθεντικοποίησης (one-factor authenti-cation). Τα τελευταία χρόνια όμως έγινε σαφές ότι οι στατικοί κωδικοί των απλών αυτών συστημάτων είναι ευάλωτοι σε κακόβουλες επιθέσεις. Σε συναλλαγές του πολίτη με υπηρεσίες του Δημοσίου όπου υποβάλλονται ευαίσθητα προσωπικά δεδομένα (π.χ Τaxis ή δεδομένα ασφαλιστικών ταμείων, κλπ.) καθώς και στην πρόσβαση υπαλλήλων του δημοσίου σε υπολογιστές ή δίκτυα όπου αποθηκεύονται τέτοια δεδομένα, θεωρούμε ότι είναι απαραίτητο να υπάρχει ένας δεύτερος βαθμός ασφάλειας (αυθεντικοποίηση 2ου βαθμού ασφάλειας) όπως εφαρμόζεται και στην ηλεκτρονική διακυβέρνηση άλλων ευρωπαϊκών χωρών (π.χ Αγγλία, Σουηδία). Τα συστήματα 2ου βαθμού αυθεντικοποίησης (2-Factor Authentication) κάνουν χρήση δύο διαφορετικών μεθόδων αυθεντικοποίησης, από διαφορετικούς παράγοντες, π.χ. με «κάτι που γνωρίζεις» και με «κάτι που έχεις». Για παράδειγμα, αντί να ζητείται από τον χρήστη μόνο το όνομα χρήστη και ο κωδικός πρόσβασης (που είναι παράγοντες που ο χρήστης «γνωρίζει»), τα συστήματα 2ου βαθμού αυθεντικοποίησης ζητούν επιπλέον από το χρήστη και την απόδειξη για κάτι που «είναι» ή για κάτι που «έχει». Τέτοια συστήματα χρησιμοποιούν οι τράπεζες σε on-line συναλλαγές (web banking) και επιτυγχάνονται με τη χρήση ενός δεύτερου κωδικού ασφαλείας μιας χρήσης (One Time Password-OTP) τον οποίο παράγουν ειδικές ηλεκτρονικές συσκευές (tokens). Οι συσκευές αυτές είναι φθηνές και συνοδεύονται από το λογισμικό που κάνει την αυθεντικοποίηση και το οποίο εγκαθίσταται στους εξυπηρετητές (servers) της Υπηρεσίας. Έτσι, σε κάθε συναλλαγή 2ου βαθμού αυθεντικοποίησης μέσω Internet banking ζητούνται 2 κωδικοί: ένας κωδικός τον οποίο ο χρήστης πρέπει να θυμάται (το password ή το PIN) και ένας κωδικός τον οποίο ο χρήστης πρέπει να έχει ή να αποκτήσει (extra-pin ή κωδικός ΟΤΡ). Αυτό το extra-pin ή κωδικός ΟΤΡ παράγεται από το token με απλό πάτημα ενός πλήκτρου και μπορεί να χρησιμοποιηθεί μόνο 1 φορά, οπότε ακόμα και αν υποκλαπεί είναι πλέον άχρηστος εφόσον έχει ήδη χρησιμοποιηθεί, άρα ουσιαστικά μηδενίζεται ο κίνδυνος από κακόβουλες επιθέσεις. 2ο ΜΕΡΟΣ: Η προτεινόμενη λύση Τα τελευταία χρόνια διατίθενται στο εμπόριο tokens υπό μορφή πιστωτικής κάρτας, πλήρως πιστοποιημένης κατά ISO 7810 σύμφωνα με τα τραπεζικά πρότυπα ασφάλειας (κανονισμοί Europay, Mastercard & VISA - EMV σε ό,τι αφορά την ασφαλή κατασκευή, διαχείριση δεδομένων και προσωποποίηση της κάρτας), οπότε η σχεδιαζόμενη «ηλεκτρονική κάρτα του πολίτη» θα μπορούσε να είναι μια τέτοια κάρτα η οποία θα συνδυάζει τις λειτουργίες της κάρτας και της ασφαλούς πρόσβασης στις ηλεκτρονικές υπηρεσίες του δημοσίου. Το λογισμικό ελέγχου της κάρτας, μπορεί να βασιστεί στους αλγόριθμους OATH (Open AuTHentication) οι οποίοι είναι ανοιχτοί και εύκολα υλοποιήσιμοι οπότε δεν επιβαρύνουν το κόστος και δεν ανήκουν σε κάποια εταιρεία. Η κάρτα ΟΤΡ που προτείνουμε, ονομάζεται επίσης και display κάρτα και είναι μια απλή κάρτα (τύπου τραπεζικής πιστωτικής) με ενσωματωμένη οθόνη από ηλεκτρονικό χαρτί 6 ή 8 ψηφίων, η οποία παράγει κωδικό μιας χρήσης (One Time Password – ΟΤΡ) ο οποίος εμφανίζεται στην οθόνη της και παρέχει τον ονομαζόμενο δεύτερο βαθμό ασφάλειας (2nd factor authentication) για ασφαλή πρόσβαση σε ανοικτά πληροφοριακά συστήματα. Η κάρτα ΟΤΡ έχει την ίδια μορφή, σχήμα, βάρος και λοιπές προδιαγραφές με τη συνήθη τραπεζική κάρτα ανάληψης και είναι κατάλληλη και πιστοποιημένη για όλες τις τραπεζικές συναλλαγές που πραγματοποιούνται με την συνήθη τραπεζική κάρτα (λ.χ. πληρωμή σε POS – Point Of Sale, ανάληψη από ΑΤΜ, κλπ.). Ο χρήστης απλώς πατάει το πλήκτρο κάθε φορά που θέλει να χρησιμοποιήσει ένα καινούριο κωδικό και μετά το πάτημα του πλήκτρου ο νέος κωδικός εμφανίζεται στην οθόνη. Ο κωδικός αυτός παραμένει στην οθόνη για 30 sec και μετά εκκαθαρίζεται για λόγους ασφαλείας. Για να παραχθεί νέος κωδικός αρκεί να πατηθεί ξανά το πλήκτρο της κάρτας. Λόγω της τεχνολογίας ηλεκτρονικού χαρτιού της οθόνης, ενέργεια από την μπαταρία καταναλώνεται μόνο κατά την αλλαγή κατάστασης, δηλαδή με το πάτημα του πλήκτρου. Δεδομένου ότι κάθε κωδικός μπορεί να χρησιμοποιηθεί μόνο μία φορά από το σύστημα ταυτοποίησης, ακόμα και αν κάποιος, εκτός του χρήστη, αντιγράψει τον κωδικό και επιχειρήσει να τον χρησιμοποιήσει, δεν θα γίνει αποδεκτός διότι έχει ήδη χρησιμοποιηθεί μια φορά. Είναι φανερό ότι λόγω του μεγέθους της και του σχήματός της, η ΟΤΡ κάρτα είναι ιδιαίτερα βολική για τους χρήστες μια που είναι απλώς ακόμα μια κάρτα την οποία πρέπει να έχουν στο πορτοφόλι τους. Στην κάρτα είναι ενσωματωμένα: 1. Οθόνη από ηλεκτρονικό χαρτί 4-6-8 ψηφίων. 2. Μπαταρία λιθίου. 3. Μικροεπεξεργαστής με αλγόριθμο OATH. 4. Πλήκτρο ενεργοποίησης κωδικού. 5. RFID πλινθίο (chip) και κεραία. 6. Μαγνητική ταινία 2750 ή 300 ΟΕRSTED. 7. Ενσωματωμένο PKI/ΕMV πλινθίο (chip). 8. Ασφαλές πεδίο υπογραφής κατόχου στην οπίσθια όψη. 9. Αποτυπωμένο εικαστικό Υπουργείου, Οργανισμού ή Υπηρεσίας που εκδίδει την κάρτα με προσωπικά στοιχεία του πολίτη (ονοματεπώνυμο, φωτογραφία, κλπ.). Στα παραπάνω μέσα (δηλ. το πλινθίο PKI/ΕMV ή τη μαγνητική ταινία) μπορεί να αποθηκεύονται πληροφορίες για την ψηφιακή αυθεντικοποίηση του χρήστη. Η ΟΤΡ κάρτα ήδη χρησιμοποιείται από: 1. Bank of America για Internet Banking. 2. Barclay's Bank. 3. eBay. 4. VeriSign για πληρωμές μέσω PayPal. 5. RSA (το τμήμα ασφάλειας της EMC) ως προϊόν με την επωνυμία SecurID 900 Signing Token. 6. Αctive Identity η οποία προσφέρει την ΟΤΡ κάρτα για authentication των συναλλαγών. 7. Την εταιρεία ψηφιακής ασφάλειας Gemalto ως προϊόν ασφαλούς πρόσβασης σε πληροφοριακά συστήματα. 8. Πλήθος τραπεζών σε Κορέα, Ισραήλ, Αυστραλία και η VISA στην Ευρώπη. 9. Πρόσφατα, η Mastercard πιστοποίησε τις ΟΤΡ κάρτες για τραπεζικές συναλλαγές. O αλγόριθμος επικύρωσης (authentication) της κάρτας ακολουθεί το βιομηχανικό πρότυπο ανοικτού κώδικα OATH που χρησιμοποιείται από όλες τις κορυφαίες πλατφόρμες όπως Verisign, Entrust, ActivIdentity, Vasco, Aladdin. Τα αρχεία των κωδικών μπορούν να δημιουργηθούν για οποιαδήποτε πλατφόρμα σύμφωνα με τις προδιαγραφές του μορφότυπου (format) των αρχείων της επιθυμητής πλατφόρμας. 3ο ΜΕΡΟΣ: Προτεινόμενες εφαρμογές 1)Η κάρτα μπορεί να χρησιμοποιηθεί για εξουσιοδοτημένη και ασφαλή ηλεκτρονική πρόσβαση σε όλες τις υπηρεσίες που παρέχονται ή θα αναπτυχθούν από τη Δημόσια Διοίκηση, λόγω του 2ου βαθμού ψηφιακής αυθεντικοποίησης που προσφέρει. Έτσι, παρέχεται η δυνατότητα της on-line επικοινωνίας και διαλειτουργικότητας όλων των πληροφοριακών συστημάτων του δημόσιου τομέα με αυτόματη ενημέρωση του κέντρου δεδομένων της ΓΓΠΣ κατά τα πρότυπα του τραπεζικού τομέα για κάθε τύπου ηλεκτρονική συναλλαγή. 2)Παράλληλα, λόγω της διεπαφής RFID που διαθέτει η ΟΤΡ display κάρτα μπορεί να χρησιμοποιηθεί για ασφαλή φυσική πρόσβαση στις Δημόσιες Υπηρεσίες, Οργανισμούς και Υπουργεία ή ακόμα και σε ελεγχόμενους χώρους του ιδιωτικού η δημόσιου τομέα (λ.χ. γήπεδα, αεροδρόμια, κλπ.). Κάθε κάρτα έχει μοναδικό σειριακό αριθμό ο οποίος είναι αποθηκευμένος στη διεπαφή RFID και μπορεί να αναγνωστεί από κατάλληλο καρταναγνώστη ο οποίος θα είναι τοποθετημένος στην είσοδο κάθε Υπουργείου, Οργανισμού ή Υπηρεσίας. Η διεπαφή ακολουθεί το διεθνές πρότυπο Mifare το οποίο είναι το ασφαλέστερο παγκοσμίως. Κατ’ αυτόν τον τρόπο θα υπάρχει αυτόματη ηλεκτρονική καταγραφή των πολιτών που επισκέπτονται Δημόσιους Φορείς χωρίς να χρειάζεται ο πολίτης να δείχνει αστυνομική ταυτότητα ή άλλα στοιχεία ταυτοποίησής του. Τονίζεται ότι η διεπαφή RFID ενεργοποιείται εφόσον η κάρτα πλησιάσει σε απόσταση 1-2 cm από τον καρταναγνώστη, άρα δεν τίθεται θέμα παρακολούθησης οιουδήποτε φυσικού προσώπου εξ’ αποστάσεως παρά μόνο καταγραφής της εισόδου και εξόδου του από ελεγχόμενους χώρους. Θεωρούμε ότι η ΟΤΡ κάρτα αποτελεί την ιδανική λύση για την κάρτα του πολίτη καθώς συνδυάζει όλες τις επιθυμητές λειτουργίες που προδιαγράφονται από την ομάδα ηλεκτρονικής διακυβέρνησης ενώ ταυτόχρονα προσφέρει το μέγιστο βαθμό ασφάλειας στις συναλλαγές. Περισσότερες πληροφορίες, παρουσίαση και ενημερωτικό βίντεο σχετικά με τους τύπους ΟΤΡ καρτών και τις δυνατότητές τους, μπορείτε να βρείτε στο link: http://www.i-read.gr/p.aspx?p=products2 Ανδρέας Τσιγκόπουλος Δρ. Ηλεκτρολόγος Μηχανικός