Закон за електронната идентификация и как той ще се приложи на практика

1. Електронна
идентификация
Божидар Божанов

2. Vanity slide
програмис’че
http://blog.bozho.net
http://techblog.bozho.net
http://twitter.com/bozhobg
съветник за електронно управление на
вицепремиера Р.Бъчварова

3. Основни понятия
• PKI (Public Key Infrastructure)
• смарткарта
• HSM (Hardware Security Module)
• първичен регистър (първичен
администратор на данни)
• IdP (Identity Provider)
• SP (Service Provider)

4. Е- идентификация
• идентификация, идентичност,
самоличност
• е-идентификация vs електронен подпис
• онлайн и офлайн е-идентификация
• административни услуги
• е-банкиране (интернет, банкомат)
• пътуване

5. Проблем
• разпокъсаност
• ПИН, ПИК, пароли
• всяка институция с отделно средство
• ниско ниво на сигурност
• plaintext (ПИН)
• пазене на паролите

6. Решение
Национална схема за електронна
идентификация

7. Правна рамка

8. Все пак...
• Регламент 910/2014 на ЕП
• Закон за електронната идентификация
• (в момента в парламента)
• задължителна, неекслузивна схема за
идентификация
• Наредба към закона за електронната
идентификация
• ще включва технически детайли

9. ЗЕИ
• идентификация на физически лица
• и на юридически лица чрез физически
• не дефинира носител
• дефинира участници
• център за електронна идентификация (IdP)
• администратор на е-идентичност (МВР,
консулства, други)

10. ЗЕИ (за потребители)
• електронен идентификатор (e-id) на
• специална карта
• личната карта (от 2017-та, opt-out; КЕП - opt-in)
• задължително използване от всички
държавни сайтове
• използване от частния сектор

11. Какво?
• справки
• задължения
• актове
• осигурителен статус
• заявления за услуги
• пътуване
• е-банкиране?
• ...

12. Администратори на е-идентичност
ЗЕИ - архитектура
Регистър
e-id
МВР Консул Други
Центрове за е-идентификация
МТИТС Други
Регистър на
администратори
Регистър на
центрове
eid <-> ЕГН
PKI

13. Use-cases
• Use-case 1: идентификация в държавен
сайт
• Use-case 2: идентификация с
предоставяне на данни в реално време
• идентификация + оторизация
• публичен сектор - здравеопазване, НАП
• частен сектор - банки, онлайн магазини

14. Use-cases
• Use-case 3: анонимна идентификация с
цел повторно разпознаване
• градски транспорт, сайтове
• Use-case 4: достъп до данни в
background режим
• няма отношение към eid
• в момента ежедневна репликация на бази

15. Въпроси
• ...към IdP
• имате ли 18?
• в София/Варна/… ли живеете?

16. Съществуващи решения
• Австрия
• Естония
• Германия
• Idemix
• U-Prove

17. Австрия
• java applet
• mobile id (sms, HSM)
• ssPIN (секторен идентификатор)
• генериран на клиента

18. ssPIN

19. Австрия - проблеми
• usability
• Java - no-go
• security
• applet-ът е уязвим
• ssPIN replay
• sms authentication
• MITM, phishing
• hash в SMS

20. Естония
• сертификат
• Три имена
• ЕГН
• TLS clientAuth
• http://open-eid.github.io/
• ЕГН -> X-Road -> данни

21. X-Road

22. Естония - проблеми
• липса на Identity Provider
• mobile-ID чрез custom SIM
• privacy

23. Германия
• само безконтактен чип
• desktop приложение
• вкл. управление на “псевдоними”
• четец с активация

24. Германия - проблеми
• скъпи честци
• usability (активация)
• малко използвано
• загуба на карта => загуба на секторен ID

25. IBM, Microsoft
• Anonymous credentials
• Idemix
• атрибути, domain pseudonym
• бавен, без revocation, лоша ползваемост с карти
• U-Prove
• атрибути
• без revocation, лоша ползваемост с карти

26. Anonymous credentials
• приложимост за национална схема за e-id
• ...всеки иска ЕГН
• атрибутите не трябва да са на картата
• ползваемост
• ръчно генериране на псевдоними
• използване на специфичен софтуер
• нужда от познаване на концепциите: атрибути,
анонимност, и т.н.

27. STORK
• Идентификация в рамките на ЕС
• SAML
• Федерирана идентификация
• PEPS (Pan-European Proxy) = IdP = ЦЕИ
• ужасна client-side имплементация на
пилотния проект

28. STORK

29. Българско eid: концепция
• open source от ден 1
• отворени стандарти
• TLS clientAuth
• оторизация а-ла oauth
• секторен идентификатор
• sha512(encrypt(identifier + sectorKey, privateKey))?
• загубена карта=загуба на секторен идентификатор
• генериран от IdP (с частен ключ)?

30. На картата
• само eid (UUID?)
• всички останали данни - от първичните регистри
• кръвна група
• двойка ключове
• dual interface чип?

31. идентифицира се
изисква clientAuth
Use-case 1, 2
Гражданин IdP (ЦЕИ) SP Регистър e-id Първични регистри
отваря
redirect
(sp_id)
redirect
(token)
проверява
ЕГН
проверява
информация (2)

32. Use-case 3
• Само гражданин и Service Provider
• Директен clientAuth
• Само eid, без други данни
• Tрябва да приемем заобикалянето на
IdP

33. Usability
• без java аплети и ActiveX
• по възможност без допълнителен софтуер
• еднократна инсталация, ако е нужно
• browser add-ons / pkcs11 модул / root сертификат
• без допълнителен UI
• usability проблеми -> оперативни IdP
проблеми
• Смартфон - с NFC

34. …държавата иска да ме следи!

35. Не
...но не ѝ вярваме, затова вземаме мерки.

36. Privacy
• държавата вече има всичко
• имоти, фирми, коли, местоживеене, роднини,
наследници, и т.н. Следене на мобилния телефон.
• т.е. “privacy” се отнася до:
• достъп до данните ни от частния сектор
• право по закон vs желание на гражданина
• следене на действия (возене в градски транспорт,
теглене от банкомат) от държавата

37. Privacy - как
• секторен идентификатор.
• usability vs security, ръчно управление
• атака: 1. request sectorId 2. request eid. 3 асоцииране
• атомични въпроси към IdP
• в бъдеще: криптиране на данните в
първичните регистри?
• контрол върху история и данни за нас (ЗЕИ)
• ЗЗЛД (+ефективно прилагане)

38. Big Brother не е телекранът – телекранът
може да бъде счупен или спрян. Big Brother
е това, което ни кара да не спрем телекрана.

39. Злоупотреби?
• мерки в зависимост от случая
• смарткарта (никой не може да се
представи за вас)
• 2-factor authentication
• sms
• mobile app
• биометрия

40. Злоупотреби? (2)
• четци с хардуерна клавиатура
• ...и биометрия
• NFC security (ICAO)
• период за отказ на действието
• заб: eid vs КЕП
• спиране на сертификат при загуба

41. Съгласуване
• експертно участие
• обратна връзка
• следене на имплементацията (GitHub)
За коментари:
b.bozhanov@government.bg

42. Източници
http://www.a-sit.at/pdfs/rp_eid_in_austria.pdf
https://eid.eesti.ee/index.php/Authenticating_in_web_applications
http://www.securitydocumentworld.com/creo_files/upload/client_files/whitepaper_comparison_of_eid1.pdf
http://nelenkov.blogspot.be/2013/10/signing-email-with-nfc-smart-card.html
https://www.a-sit.at/pdfs/Praesentationen%20ab%202011/20150429%20MobileID%20London%20-
%20Austrian%20mobile%20ID.PDF
https://www.enisa.europa.eu/activities/identity-and-trust/trust-services/eid-cards-en/at_download/fullReport
https://www.digitales.oesterreich.gv.at/site/6528/default.aspx#a1
http://cdn.ttgtmedia.com/searchSecurityUK/downloads/RH4_Arora.pdf
http://blog.xot.nl/2012/05/08/the-new-german-eid-card-has-security-privacy-and-usability-limitations/
http://www.id.ee/public/The_Estonian_ID_Card_and_Digital_Signature_Concept.pdf
http://www.cs.kau.se/IFIP-summerschool/slides/herbert.pdf
http://essay.utwente.nl/65593/1/BadarinathHampiholi_Masters_EEMCS_faculty.pdf

43. Благодаря!