rk3745 rk3745
257
BLOG

Analiza ryzyka dla dowodu elektronicznego. Rekomendacje.(2)

rk3745 rk3745 Technologie Obserwuj notkę 5
BLOG

Bieżący wpis jest kontynuacją poprzedniego. Zachęcam do zapoznania się z częścią pierwszą.

Jestem przeciwnikiem dowodu wielofunkcyjnego (pisałem o tym w tekście: Wielofunkcyjny dowód będzie niebezpiecznym gadżetem). Dowód osobisty powinien realizować tylko jedną funkcję: być narzędziem weryfikacji tożsamości jego właściciela.

Mimo to uważam, że zapisywanie danych o statusie prawno-administracyjnym obywatela i innych informacji (akty urodzenia dzieci, stan cywilny, grupa krwi, itp.) w komponencie elektronicznym dowodu może być pożyteczne np. w kontaktach z urzędami. Właściciel dowodu miałby prawo ich kasowania.
Warto przypomnieć, że w starym dowodzie książeczkowym było miejsce na różne adnotacje urzędowe.

1. Rekomendacje dotyczące konstrukcji pamięci komponentu elektronicznego

Komponent elektroniczny powinien mieć dwa obszary pamięci. Pierwszy obszar byłby pamięcią jednokrotnego zapisu a drugi wielokrotnego.

Obszar pamięci jednokrotnego zapisu

Zapis danych w tym obszarze byłby dokonany tylko w trakcie produkcji dowodu. Zmiana danych w tym obszarze pamięci pociągałaby za sobą wymianę dowodu.
W tym obszarze pamięci byłyby zapisywane dane identyfikacyjne obywatela i dowodu lub inne informacje, których nieuprawniona modyfikacja lub skasowanie mogłyby spowodować poważne konsekwencje dla właściciela dowodu, osób trzecich lub instytucji.

Obszar pamięci wielokrotnego zapisu

Operacja zapisu danych w obszarze pamięci wielokrotnego zapisu byłby kontrolowana przez PIN znany tylko właścicielowi dowodu. Integralność zapisu byłaby chroniona podpisem elektronicznym.
W tym obszarze pamięci byłyby zapisywane niezależne od siebie paczki danych urzędowych, których skasowanie nie powodowałoby poważnych konsekwencji dla stron trzecich.

2. Podpis elektroniczny jako mechanizm chroniący integralność danych

PIN zapewnia kontrolę dostępu do operacji zapisu danych w komponencie elektronicznym ale PIN nie może być użyty do kontroli treści zapisywanych danych. Potrzebny jest dodatkowy mechanizm, który zapewni integralność danych (np. podpis elektroniczny). E-podpis jest bardzo silnym zabezpieczeniem integralności. Paczka danych przed operacją zapisu w komponencie elektronicznym byłaby podpisywana kluczem prywatnym urzędnika uprawnionego do dokonania zapisów.

Zastosowanie e-podpisu powoduje, że ujawnienie PINu osobom nieupoważnionym nie niesie ze sobą dużego ryzyka. Fałszerz musiałby dysponować także kluczem prywatnym urzędnika uprawnionego do dokonywania zapisów w dowodzie.
Do każdej podpisanej paczki danych byłby dołączony certyfikat klucza z danymi identyfikacyjnymi osoby podpisującej. Jawność urzędnika podpisującego jest bardzo silnym mechanizmem odstraszającym przed niewłaściwym użyciem klucza podpisującego.

3. Zestaw zabezpieczeń dla operacji zapisu

Analiza ryzyka związanego z fałszowaniem danych elektronicznych w dowodzie bez ich konkretnego wyspecyfikowania musi być ograniczona do analizy zagrożeń. O konsekwencjach materializacji zagrożeń można tylko spekulować.

Jeżeli przyjmiemy założenie, że pozostawienie właścicielowi dowodu możliwości kasowania danych z pamięci wielokrotnego zapisu nie niesie ze sobą dużego ryzyka dla stron trzecich, to można skonstruować prosty i skuteczny zestaw mechanizmów bezpieczeństwa przeciwdziałający nieautoryzowanym zmianom danych w pamięci wielokrotnego zapisu.

Optymalny zestaw zabezpieczeń dla operacji wprowadzania danych do pamięci wielokrotnego zapisu:

  1. Autoryzacja operacji zapisu przez PIN
  2. PIN znany tylko właściciel dowodu
  3. PIN wprowadzany na klawiaturze czytnika bezpośrednio przed operacją zapisu
  4. Klawiatura czytnika jest jego integralną częścią
  5. Paczka danych zapisywana w dowodzie musi być podpisana kluczem prywatnym uprawnionego urzędnika
  6. Do każdej paczki danych jest dołączony certyfikat klucza (każdy uprawniony urzędnik posiada osobistą kartę z funkcjonalnością podpisu elektronicznego)

Scenariusz wprowadzenia danych do pamięci wielokrotnego zapisu:

  1. Urzędnik przygotowuje paczkę (np. w formacie XML) z nowymi danymi
  2. Urzędnik podpisuje paczkę danych na swoim komputerze
  3. Komputer urzędnika przesyła podpisaną paczkę danych i certyfikat swojego klucza do czytnika dowodu
  4. Właściciel dowodu wprowadza PIN na klawiaturze czytnika i tym samym odblokowuje operację zapisu paczki danych do pamięci dowodu
  5. Czytnik przekazuje informację o poprawnie dokonanym zapisie

4. Rekomendacja dotycząca sposobu numerowania dowodów i kontroli blankietów dowodów

Metoda numeracji dowodów może utrudnić dokonywanie oszustw bazujących na dowodzie.

Teraz numer dowodu jest związany z konkretnym blankietem dowodu. Przy każdej wymianie dowodu jego numer zmienia się (co najmniej raz na 10 lat). Numer dowodu nadany dotychczasową metodą jest związany z obywatelem tylko pośrednio, np. poprzez numer PESEL. Jeśli jest podejrzenie, że dowód jest podrobiony, to w bazie dowodów rekord z numerem PESEL i numerem dowodu jest jedyną pewną informacją o powiązaniu obywatela z dowodem o tym numerze.

Sprawdzenie prawdziwości numeru dowodu jest ważnym elementem sprawdzenia prawdziwości samego dowodu. Aktualnie różne podmioty administrują bazami z numerami nieważnych i fałszywych dowodów (Policja, MSWiA, banki) co powoduje, że wynik sprawdzenia dowodu poprzez jego numer nie jest wystarczająco wiarygodny. Prawdopodobnie nie jest możliwe utworzenie zbioru z numerami wszystkich legalnych dowodów będących w obiegu. Dobrą ilustracją słabości istniejącej praktyki sprawdzania dowodów poprzez numer są historie wieloletnich perypetii osób, którym ukradziono dowód. Aktualnie stosowany algorytm przypisywania numerów nie ułatwia sprawdzania ani prawdziwości dowodu ani numeru dowodu.

Numer dowodu może być silniej związany z obywatelem a utrzymywanie bazy z ważnymi numerami dowodów znacznie łatwiejsze. Numer dowodu złożony z numeru PESEL i dwóch cyfr oznaczających liczbę wszystkich dowodów wydanych obywatelowi realizuje oba cele. Zmiana dowodu powodowałby zmianę tylko jednej lub dwóch cyfr w numerze dowodu.

Numer PESEL jest przypisywany na całe życie. Zatem siła stałego powiązania "85 procentowej części numeru" dowodu z obywatelem jest znacznie większa niż z numerem przydzielonym wg aktualnej metody. Proces zarządzania numerami dowodów stałby się elementem procesu zarządzania statusem dowodów (ważny, unieważniony, etc.). Wykrycie fałszywego numeru dowodu lub błędu w bazie dowodów byłoby bardzo proste. Ponadto nie byłoby potrzeby utrzymywania oddzielnych baz z numerami dowodów ponieważ wszystkie dane dotyczące konkretnego dowodu mogłyby stanowić podzbiór rekordu obywatela w bazie PESEL.

Konstrukcja dowodu elektronicznego pozwala rozdzielić funkcje kontrolne realizowane poprzez numer dowodu. Kontrola oryginalności blankietów dowodów elektronicznych mogłaby opierać się na numerach seryjnych ich komponentów elektronicznych popisanych elektronicznie przez wystawcę dowodu. Kontrola ważności i prawdziwości dowodu mogłaby bazować na numerze dowodu, którego częścią byłby numer PESEL.

5. Rekomendacja dotycząca personalizacji wizualnej dowodu

W większości przypadków podczas weryfikacji tożsamości sprawdza się tylko zgodność wyglądu ze zdjęciem twarzy i płci. Umieszczenie daty urodzenia (wieku osoby), koloru oczu i wzrostu tuż pod zdjęciem twarzy może przyczynić się wyrobienia nawyku sprawdzania zgodności także tych cech.

rk3745
O mnie rk3745

Kontakt: rk3745@gmail.com Pozostałe teksty: 1. Fotoradary: Automatyczny wymiar sprawiedliwości 2. Czy tajemnice państwowe służą Polsce? 3. Rola służb ochrony państwa w informatyzacji Polski 4. PESEL2 i e-PUAP pozbawią nas prywatności 5. PESEL i profilowanie 6. Korupcja w informatyzacji urzędów 7. Korupcja w informatyzacji urzędów (2) 8. Bezpieczne przelewy w bankowości internetowej 9. E-administracja wg MSWiA to raj tylko dla urzędników 10. Dowód biometryczny? Tak, ale ostrożnie! 11. Elektroniczne skrzynki podawcze, czyli lobbyści górą! 12. Prawo zamówień publicznych i projekty informatyczne 13. Obywatelska koncepcja e-usług 14. Równoważność dokumentu papierowego i cyfrowego 15. Uwolnijmy się od obowiązku meldunkowego 16. Anonimizacja jako ochrona prywatności pacjenta w systemach służby zdrowia 17. Głosowanie przez Internet 18. ePUAP bez wartości dodanej 19. Wielofunkcyjny dowód pl.ID będzie niebezpiecznym gadżetem 20. Plan Informatyzacji Państwa i projekty informatyczne 21. Dwa problemy polskiego e-podpisu 22. Branża kart płatniczych uznała dominujące standardy ochrony informacji za nieprzydatne 23. PIT przez Internet według urzędników i uwagi o użyteczności informatyzacji 24. Jak władza centralna psuje komputeryzację urzędów gminnych 25. Likwidacja meldunku szansą na lepsze państwo (1) 26. Likwidacja meldunku szansą na lepsze państwo (2) 27. Likwidacja meldunku szansą na lepsze państwo (3) 28. PIT przez Internet i bezpieczeństwo płatnika 29. Analiza ryzyka dla dowodu elektronicznego (1) 30. Analiza ryzyka dla dowodu elektronicznego. Rekomendacje. (2) 31. Dowód elektroniczny. Zabezpieczenia. (3) 32. Służby nie znają się na kryptografii 33. Dowód elektroniczny. Weryfikacja on-line. (4) 34. Dowód elektroniczny. Procesy. (5) 35. Dowód elektroniczny. E-podpis. (6) 36. Po co dowód osobisty 37. Dzisiejsze podejście do informatyzacji nie sprzyja wolności 38. Zmieńmy filozofię ochrony danych osobowych (1) 39. Zmieńmy filozofię ochrony danych osobowych (2) 40. Cloud computing kusi 41. Tradycyjne wybory mogą być uczciwe Ponadto polecam: 1. Czy PESEL2 jest potrzebny? Dokument Instytutu Sobieskiego 3. Stanowisko ISOC Polska w sprawie barier podpisu elektronicznego w Polsce 4. Poradnik inżyniera polskiej informatyzacji. Paweł Krawczyk

Nowości od blogera
Udostępnij Udostępnij Skomentuj5

Komentarze

Inne tematy w dziale Technologie