8. Все пак...
• Регламент 910/2014 на ЕП
• Закон за електронната идентификация
• (в момента в парламента)
• задължителна, неекслузивна схема за
идентификация
• Наредба към закона за електронната
идентификация
• ще включва технически детайли
9. ЗЕИ
• идентификация на физически лица
• и на юридически лица чрез физически
• не дефинира носител
• дефинира участници
• център за електронна идентификация (IdP)
• администратор на е-идентичност (МВР,
консулства, други)
10. ЗЕИ (за потребители)
• електронен идентификатор (e-id) на
• специална карта
• личната карта (от 2017-та, opt-out; КЕП - opt-in)
• задължително използване от всички
държавни сайтове
• използване от частния сектор
12. Администратори на е-идентичност
ЗЕИ - архитектура
Регистър
e-id
МВР Консул Други
Центрове за е-идентификация
МТИТС Други
Регистър на
администратори
Регистър на
центрове
eid <-> ЕГН
PKI
13. Use-cases
• Use-case 1: идентификация в държавен
сайт
• Use-case 2: идентификация с
предоставяне на данни в реално време
• идентификация + оторизация
• публичен сектор - здравеопазване, НАП
• частен сектор - банки, онлайн магазини
14. Use-cases
• Use-case 3: анонимна идентификация с
цел повторно разпознаване
• градски транспорт, сайтове
• Use-case 4: достъп до данни в
background режим
• няма отношение към eid
• в момента ежедневна репликация на бази
24. Германия - проблеми
• скъпи честци
• usability (активация)
• малко използвано
• загуба на карта => загуба на секторен ID
25. IBM, Microsoft
• Anonymous credentials
• Idemix
• атрибути, domain pseudonym
• бавен, без revocation, лоша ползваемост с карти
• U-Prove
• атрибути
• без revocation, лоша ползваемост с карти
26. Anonymous credentials
• приложимост за национална схема за e-id
• ...всеки иска ЕГН
• атрибутите не трябва да са на картата
• ползваемост
• ръчно генериране на псевдоними
• използване на специфичен софтуер
• нужда от познаване на концепциите: атрибути,
анонимност, и т.н.
27. STORK
• Идентификация в рамките на ЕС
• SAML
• Федерирана идентификация
• PEPS (Pan-European Proxy) = IdP = ЦЕИ
• ужасна client-side имплементация на
пилотния проект
32. Use-case 3
• Само гражданин и Service Provider
• Директен clientAuth
• Само eid, без други данни
• Tрябва да приемем заобикалянето на
IdP
33. Usability
• без java аплети и ActiveX
• по възможност без допълнителен софтуер
• еднократна инсталация, ако е нужно
• browser add-ons / pkcs11 модул / root сертификат
• без допълнителен UI
• usability проблеми -> оперативни IdP
проблеми
• Смартфон - с NFC
36. Privacy
• държавата вече има всичко
• имоти, фирми, коли, местоживеене, роднини,
наследници, и т.н. Следене на мобилния телефон.
• т.е. “privacy” се отнася до:
• достъп до данните ни от частния сектор
• право по закон vs желание на гражданина
• следене на действия (возене в градски транспорт,
теглене от банкомат) от държавата
37. Privacy - как
• секторен идентификатор.
• usability vs security, ръчно управление
• атака: 1. request sectorId 2. request eid. 3 асоцииране
• атомични въпроси към IdP
• в бъдеще: криптиране на данните в
първичните регистри?
• контрол върху история и данни за нас (ЗЕИ)
• ЗЗЛД (+ефективно прилагане)
38. Big Brother не е телекранът – телекранът
може да бъде счупен или спрян. Big Brother
е това, което ни кара да не спрем телекрана.
39. Злоупотреби?
• мерки в зависимост от случая
• смарткарта (никой не може да се
представи за вас)
• 2-factor authentication
• sms
• mobile app
• биометрия
40. Злоупотреби? (2)
• четци с хардуерна клавиатура
• ...и биометрия
• NFC security (ICAO)
• период за отказ на действието
• заб: eid vs КЕП
• спиране на сертификат при загуба