Bieżący wpis jest kontynuacją poprzedniego. Zachęcam do zapoznania się z częścią pierwszą.
Jestem przeciwnikiem dowodu wielofunkcyjnego (pisałem o tym w tekście: Wielofunkcyjny dowód będzie niebezpiecznym gadżetem). Dowód osobisty powinien realizować tylko jedną funkcję: być narzędziem weryfikacji tożsamości jego właściciela.
Mimo to uważam, że zapisywanie danych o statusie prawno-administracyjnym obywatela i innych informacji (akty urodzenia dzieci, stan cywilny, grupa krwi, itp.) w komponencie elektronicznym dowodu może być pożyteczne np. w kontaktach z urzędami. Właściciel dowodu miałby prawo ich kasowania.
Warto przypomnieć, że w starym dowodzie książeczkowym było miejsce na różne adnotacje urzędowe.
1. Rekomendacje dotyczące konstrukcji pamięci komponentu elektronicznego
Komponent elektroniczny powinien mieć dwa obszary pamięci. Pierwszy obszar byłby pamięcią jednokrotnego zapisu a drugi wielokrotnego.
Obszar pamięci jednokrotnego zapisu
Zapis danych w tym obszarze byłby dokonany tylko w trakcie produkcji dowodu. Zmiana danych w tym obszarze pamięci pociągałaby za sobą wymianę dowodu.
W tym obszarze pamięci byłyby zapisywane dane identyfikacyjne obywatela i dowodu lub inne informacje, których nieuprawniona modyfikacja lub skasowanie mogłyby spowodować poważne konsekwencje dla właściciela dowodu, osób trzecich lub instytucji.
Obszar pamięci wielokrotnego zapisu
Operacja zapisu danych w obszarze pamięci wielokrotnego zapisu byłby kontrolowana przez PIN znany tylko właścicielowi dowodu. Integralność zapisu byłaby chroniona podpisem elektronicznym.
W tym obszarze pamięci byłyby zapisywane niezależne od siebie paczki danych urzędowych, których skasowanie nie powodowałoby poważnych konsekwencji dla stron trzecich.
2. Podpis elektroniczny jako mechanizm chroniący integralność danych
PIN zapewnia kontrolę dostępu do operacji zapisu danych w komponencie elektronicznym ale PIN nie może być użyty do kontroli treści zapisywanych danych. Potrzebny jest dodatkowy mechanizm, który zapewni integralność danych (np. podpis elektroniczny). E-podpis jest bardzo silnym zabezpieczeniem integralności. Paczka danych przed operacją zapisu w komponencie elektronicznym byłaby podpisywana kluczem prywatnym urzędnika uprawnionego do dokonania zapisów.
Zastosowanie e-podpisu powoduje, że ujawnienie PINu osobom nieupoważnionym nie niesie ze sobą dużego ryzyka. Fałszerz musiałby dysponować także kluczem prywatnym urzędnika uprawnionego do dokonywania zapisów w dowodzie.
Do każdej podpisanej paczki danych byłby dołączony certyfikat klucza z danymi identyfikacyjnymi osoby podpisującej. Jawność urzędnika podpisującego jest bardzo silnym mechanizmem odstraszającym przed niewłaściwym użyciem klucza podpisującego.
3. Zestaw zabezpieczeń dla operacji zapisu
Analiza ryzyka związanego z fałszowaniem danych elektronicznych w dowodzie bez ich konkretnego wyspecyfikowania musi być ograniczona do analizy zagrożeń. O konsekwencjach materializacji zagrożeń można tylko spekulować.
Jeżeli przyjmiemy założenie, że pozostawienie właścicielowi dowodu możliwości kasowania danych z pamięci wielokrotnego zapisu nie niesie ze sobą dużego ryzyka dla stron trzecich, to można skonstruować prosty i skuteczny zestaw mechanizmów bezpieczeństwa przeciwdziałający nieautoryzowanym zmianom danych w pamięci wielokrotnego zapisu.
Optymalny zestaw zabezpieczeń dla operacji wprowadzania danych do pamięci wielokrotnego zapisu:
- Autoryzacja operacji zapisu przez PIN
- PIN znany tylko właściciel dowodu
- PIN wprowadzany na klawiaturze czytnika bezpośrednio przed operacją zapisu
- Klawiatura czytnika jest jego integralną częścią
- Paczka danych zapisywana w dowodzie musi być podpisana kluczem prywatnym uprawnionego urzędnika
- Do każdej paczki danych jest dołączony certyfikat klucza (każdy uprawniony urzędnik posiada osobistą kartę z funkcjonalnością podpisu elektronicznego)
Scenariusz wprowadzenia danych do pamięci wielokrotnego zapisu:
- Urzędnik przygotowuje paczkę (np. w formacie XML) z nowymi danymi
- Urzędnik podpisuje paczkę danych na swoim komputerze
- Komputer urzędnika przesyła podpisaną paczkę danych i certyfikat swojego klucza do czytnika dowodu
- Właściciel dowodu wprowadza PIN na klawiaturze czytnika i tym samym odblokowuje operację zapisu paczki danych do pamięci dowodu
- Czytnik przekazuje informację o poprawnie dokonanym zapisie
4. Rekomendacja dotycząca sposobu numerowania dowodów i kontroli blankietów dowodów
Metoda numeracji dowodów może utrudnić dokonywanie oszustw bazujących na dowodzie.
Teraz numer dowodu jest związany z konkretnym blankietem dowodu. Przy każdej wymianie dowodu jego numer zmienia się (co najmniej raz na 10 lat). Numer dowodu nadany dotychczasową metodą jest związany z obywatelem tylko pośrednio, np. poprzez numer PESEL. Jeśli jest podejrzenie, że dowód jest podrobiony, to w bazie dowodów rekord z numerem PESEL i numerem dowodu jest jedyną pewną informacją o powiązaniu obywatela z dowodem o tym numerze.
Sprawdzenie prawdziwości numeru dowodu jest ważnym elementem sprawdzenia prawdziwości samego dowodu. Aktualnie różne podmioty administrują bazami z numerami nieważnych i fałszywych dowodów (Policja, MSWiA, banki) co powoduje, że wynik sprawdzenia dowodu poprzez jego numer nie jest wystarczająco wiarygodny. Prawdopodobnie nie jest możliwe utworzenie zbioru z numerami wszystkich legalnych dowodów będących w obiegu. Dobrą ilustracją słabości istniejącej praktyki sprawdzania dowodów poprzez numer są historie wieloletnich perypetii osób, którym ukradziono dowód. Aktualnie stosowany algorytm przypisywania numerów nie ułatwia sprawdzania ani prawdziwości dowodu ani numeru dowodu.
Numer dowodu może być silniej związany z obywatelem a utrzymywanie bazy z ważnymi numerami dowodów znacznie łatwiejsze. Numer dowodu złożony z numeru PESEL i dwóch cyfr oznaczających liczbę wszystkich dowodów wydanych obywatelowi realizuje oba cele. Zmiana dowodu powodowałby zmianę tylko jednej lub dwóch cyfr w numerze dowodu.
Numer PESEL jest przypisywany na całe życie. Zatem siła stałego powiązania "85 procentowej części numeru" dowodu z obywatelem jest znacznie większa niż z numerem przydzielonym wg aktualnej metody. Proces zarządzania numerami dowodów stałby się elementem procesu zarządzania statusem dowodów (ważny, unieważniony, etc.). Wykrycie fałszywego numeru dowodu lub błędu w bazie dowodów byłoby bardzo proste. Ponadto nie byłoby potrzeby utrzymywania oddzielnych baz z numerami dowodów ponieważ wszystkie dane dotyczące konkretnego dowodu mogłyby stanowić podzbiór rekordu obywatela w bazie PESEL.
Konstrukcja dowodu elektronicznego pozwala rozdzielić funkcje kontrolne realizowane poprzez numer dowodu. Kontrola oryginalności blankietów dowodów elektronicznych mogłaby opierać się na numerach seryjnych ich komponentów elektronicznych popisanych elektronicznie przez wystawcę dowodu. Kontrola ważności i prawdziwości dowodu mogłaby bazować na numerze dowodu, którego częścią byłby numer PESEL.
5. Rekomendacja dotycząca personalizacji wizualnej dowodu
W większości przypadków podczas weryfikacji tożsamości sprawdza się tylko zgodność wyglądu ze zdjęciem twarzy i płci. Umieszczenie daty urodzenia (wieku osoby), koloru oczu i wzrostu tuż pod zdjęciem twarzy może przyczynić się wyrobienia nawyku sprawdzania zgodności także tych cech.