γλώσσες
Σελίδες
Νομικός
Ανάλυση Διεθνών Πολιτικών και Πρακτικών Εθνικής Ηλεκτρονικής Ταυτότητας (eID)
Του Μεταπτυχιακού ΦοιτητήΣάββα Α. Λαζαρίδη
Επιβλέπων ΚαθηγητήςΙωάννης Χαραλαμπίδης, Επίκουρος Καθηγητής
Καρλόβασι, 8/2/2011
Τμήμα Μηχανικών Πληροφοριακών & Επικοινωνιακών ΣυστημάτωνΠ.Μ.Σ. Τεχνολογίες & Διοίκηση Πληροφοριακών Συστημάτων
Κατεύθυνση: Διοίκηση Πληροφοριακών Συστημάτων
Σκοπός & Αντικείμενο
• Σκοπός της διπλωματικής: Παρουσίαση των πολιτικών και ακολουθούμενων πρακτικών στην ανάπτυξη και λειτουργία των λύσεων ηλεκτρονικής ταυτοποίησης (eIDM) σε εθνικό επίπεδο στα Ευρωπαϊκά κράτη.
• Αντικείμενο: 1. Αποτύπωση της υπάρχουσας κατάστασης στο θέμα των eIDs
σε ένα σύνολο 32 Ευρωπαϊκών χωρών, μέσω του καθορισμού μίας σειράς κοινών κριτηρίων κατηγοριοποίησης.
2. Εξαγωγή άμεσα μετρήσιμων ποσοτικών και ποιοτικών συμπερασμάτων, ως προς τις επιλογές των κρατών στο ζήτημα του eIDM.
3. Αναφορά των εθνικών και συντονισμένων Ευρωπαϊκών κινήσεων, οι οποίες κινούνται προς την κατεύθυνση της άρσης των υφιστάμενων περιορισμών στον τομέα του eIDM σε εθνικό και διασυνοριακό επίπεδο.
2/16
Δομή Κεφαλαίων (1/2)1ο Κεφάλαιο: (Α) Ορίζεται η έννοια της ηλεκτρονικής ταυτότητας &
(Β) περιγράφεται η ακολουθούμενη μεθοδολογία ανάλυσης των λύσεων eIDM.
2ο Κεφάλαιο: Αναλύονται οι βασικές επιλογές ταυτοποίησης στο θέμα των διακριτικών ταυτοποίησης (eID, κλασσικές ταυτότητες, μέθοδοί αξιοποίησης βιομετρικών δεδομένων κ.τ.λ.).
3ο Κεφάλαιο: Ανάλυση Ευρωπαϊκού Νομικού πλαισίου.
4ο Κεφάλαιο: (Α) Εθνικές νομοθετικές προσεγγίσεις, (Β) φορείς διαχείρισης των συστημάτων eIDM, (Γ) η ανάμιξη του ιδιωτικού τομέα και (Δ) η χρήση έγκυρων μητρώων.
5ο Κεφάλαιο: Επιλογές αυθεντικοποίησης: (Α) Συστήματα που βασίζονται σε Υποδομή Δημόσιου Κλειδιού (PKI) και (Β) συστήματα που βασίζονται στη χρήση συνθηματικών. Επιπλέον, εξετάζονται οι (Γ) πολιτικές αυθεντικοποίησης ως προς τα επίπεδα εμπιστοσύνης. 3/16
Δομή Κεφαλαίων (2/2)
6ο Κεφάλαιο: Περιγράφονται οι τεχνολογίες και οι υποδομές οι οποίες χρησιμοποιούνται από τα κράτη στις λύσεις eIDM που χρησιμοποιούν.
7ο Κεφάλαιο: (Α) παρουσίαση του eIDM Roadmap, καθώς και (Β) τα
Ευρωπαϊκά έργα με αντικείμενο το eIDM.
8ο Κεφάλαιο: Αναλυτική παρουσίαση της Γερμανικής λύσης eIDM ως πιθανού πιλότου για την Ελληνική Κάρτα του Πολίτη
9ο Κεφάλαιο: Οι μελλοντικές προκλήσεις οι οποίες εμφανίζονται στα συστήματα eIDM.
4/16
Μεθοδολογία1) Επιλογή χωρών: Οι 32 χώρες που αποτελούν την ενιαία Ευρωπαϊκή
αγορά: 27 Κράτη Μέλη της Ε.Ε., 3 χώρες μέλη της ΕΕΑ (Νορβηγία, Ισλανδία, Λιχτενστάιν) και 2 υποψήφιες προς ένταξη στην ΕΕ (Τουρκία και Κροατία).
2) Τμηματοποίηση των εθνικών πλαισίων eIDM σε 4 επίπεδα:Α) Επίπεδο Χρησιμοποιούμενων Υποδομών και Επιλογών Ταυτοποίησης.Β) Επίπεδο νομικών ρυθμιστικών διατάξεων.Γ) Επίπεδο Αυθεντικοποίησης οντοτήτων.Δ) Επίπεδο χρησιμοποιούμενων Τεχνολογιών.
3) Καθορισμός χαρακτηριστικών γνωρισμάτων ανά επίπεδο ανάλυσης (σύγκριση περίπου 30 γνωρισμάτων ανά χώρα)
4) Συγκριτική παρουσίαση λύσεων (Σύνταξη πινάκων, ή αναλυτική περιγραφή σε μορφή κειμένου)
5) Εξαγωγή ποσοτικών και ποιοτικών συμπερασμάτων (Στα πλαίσια της εξεταζόμενης κάθε φορά θεματικής ενότητας)
5/16
Επιλογές Ταυτοποίησης 1/3
1) Παραδοσιακά έντυπα δελτία ID: (Α) Οι 25 χώρες έχουνε κάποιο έντυπο διακριτικό το οποίο χρησιμοποιείται για την ταυτοποίηση των χρηστών. (Β) Σε 17 η προμήθειά είναι υποχρεωτική ενώ σε 8 όχι. (Γ) Οι 22 έχουνε αποφασίσει να εισάγουνε κάποιο eID στη θέση του προϋπάρχοντος έντυπου
2) Ηλεκτρονική ταυτοποίηση:
• Προσοχή! Ο όρος ηλεκτρονική ταυτότητα αναφέρεται σε «ΟΠΟΙΟΔΗΠΟΤΕ ΜΕΣΟ ή ΜΕΘΟΔΟ που χρησιμοποιεί το πρόσωπο που είναι χρήστης υπηρεσιών ηλεκτρονικής διακυβέρνησης για τη δήλωση και αναγνώριση της ταυτότητάς του αναφορικά με την πρόσβαση σε μια ηλεκτρονική υπηρεσία». (Προσχεδίου Νόμου για την Ηλεκτρονική Διακυβέρνηση. Τέλος Δημόσιας Διαβούλευσης 31.1.2011) 6/16
Επιλογές Ταυτοποίησης 2/3
3) Ηλεκτρονικές κάρτες eID: (π.χ. smart cards ή με RFID chip)
(Α) Οι 15 χώρες έχουνε αναπτύξει και χρησιμοποιούν κάποια ηλεκτρονική κάρτα eID. (Β) 11 χώρες σχεδιάζουν να εισάγουν κάποιο δελτίο eID. (Γ) Από τις 15 χώρες που έχουνε αναπτύξει κάρτες eID: - Οι 5 χώρες εκδίδουν τα δελτία σε συνδυασμό με ιδιωτικούς φορείς. - Οι 10 εκδίδουν τα δελτία μέσω από αποκλειστικά δημόσιους φορείς
(*) Συνολικά ταυτότητες εκδίδονται σε 28 από τις 32 χώρες (Εξαιρούνται οι Δανία, Ιρλανδία, Λετονία και Νορβηγία). Η Δανία ούτε καν το συζητάει
(**) Σημαντικός ο ρόλος του ιδιωτικού τομέα στα νέα δελτία eID
4) Διακριτικά ταυτοποίησης σε soft μορφή (Usb stick κ.τ.λ. … όχι κάρτα)- Ευελιξία. Δεν απαιτείται card reader ή ακόμη και η ίδια η κάρτα. 7/16
Επιλογές Ταυτοποίησης 3/3
5) Διακριτικά eIDM εξειδικευμένων εφαρμογών: (χρήση για ταυτοποίηση σε εξειδικευμένες εφαρμογές ή σε συγκεκριμένους τομείς κρατικής δραστηριότητας)
6) Διακριτικά Εξειδικευμένων ομάδων χρηστών (Χρήση από συγκεκριμένες ομάδες χρηστών όπως δημόσιοι υπάλληλοι, επαγγελματίες υγείας κ.τ.λ.)
7) Χρήση Βιομετρίας για ταυτοποίηση: (Φυσικά γνωρίσματα προκειμένου να αναγνωριστεί η ταυτότητα του ατόμου. Π.χ. εικόνα προσώπου, αποτύπωμα κ.τ.λ.). Ενσωματώνονται στα ταξιδιωτικά έγγραφα των χωρών σε υλοποίηση της Οδηγίας (EC) 2252/2004.
8) Χρήση κινητών τηλεφώνων: (Το διαθέτουν όλοι, φορητότητα και στο εξωτερικό ειδικότερα μέσω του roaming οπότε και θα μπορούσε να υπάρχει ταυτοποίηση μέσω μίας τρίτης χώρας, ενιαία συσκευή και όχι διαφορετικές κάρτες κ.τ.λ. 8/16
Ευρωπαϊκό Νομικό Πλαίσιο eIDMΟδηγία 1999/93/EC (eSignatures Directive)
• Πεδίο Εφαρμογής: Συστήματα PKI, eSignatures και αυθεντικοποίηση οντοτήτων• Άρθρο2: Ηλεκτρονική & Προηγμένη ηλεκτρονική υπογραφή: «ηλεκτρονική υπογραφή (δεδομένα σε ηλεκτρονική μορφή) που : (α) συνδέεται μονοσήμαντα με τον υπογράφοντα, (β) είναι ικανή να τον ταυτοποιήσει,
και (δ) εντοπίζεται η ενδεχόμενη αλλοίωση.• Πάροχος υπηρεσιών πιστοποίησης: Εκδίδει πιστοποιητικά ή παρέχει άλλες υπηρεσίες, σχετικά με eSignatures.• Άρθρο 5: ‘Έννομες συνέπειες της προηγμένης ηλεκτρονικής υπογραφής: Ισοδυναμία με χειρόγραφες υπογραφές, ενώ αποδεκτές θα πρέπει να γίνονται και οι απλές ηλεκτρονικές υπογραφές• Δεν καθορίζει το πότε μία οντότητα έχει αναγνωριστεί μονοσήμαντα, ούτε τις νομικές συνέπειες ενός πιστο-ποιητικού αυθεντικοποίησης. Το ζήτημα της αυθεντικοποίησης οντοτήτων δεν ρυθμίζεται πανευρωπαϊκά!
Οδηγία 95/46/EC (Privacy Directive)
• Πεδίο εφαρμογής: Προστασία προσωπικών δεδομένων για ταυτοποίηση & χρήση μοναδικών αναγνωριστικών• Αυστηρή τήρηση των αρχών της Οδηγίας: (Α) Σύννομη επεξεργασία, (Β) Συλλογή για καθορισμένους σκοπούς, (Γ) Να είναι κατάλληλα και συναφή
προς το λόγο για τον οποίο συλλέγονται, (Δ) να είναι ακριβή και (Ε) να διατηρούνται για όσο χρόνο απαιτείται για τους σκοπούς της ταυτοποίησης• Συνθήκες για επεξεργασία: (Α) Ρητή συναίνεση του πολίτη. (Β) Εξαιρέσεις όταν απαιτείται από το νόμο
Οδηγία 2006/123/EC (Services Directive)
• Πεδίο εφαρμογής: Ηλεκτρονική διεκπεραίωση διαδικασιών (όπως και της αυθεντικοποίησης) σε τρίτα κράτη.• Εξασφάλιση πραγματοποίηση διαδικασιών από απόσταση (άρθρο 8): Τα κράτη εξασφαλίζουν τις απαραίτητες δομές ώστε οι διαδικασίες αυθεντικοποίησης
να μπορούν να εκτελεστούν με ασφάλεια από απόσταση (για την εξυπηρέτηση των παρόχων των υπηρεσιών). Πρακτικά on-line one-stop-shop.• Προτροπή για δημιουργία διαλειτουργικών συστημάτων. Κοινά πρότυπα eSignatures μέσω του CROBIES
9/16
Εθνικά Ρυθμιστικά Πλαίσια• eIDM συστήματα: Συνήθως υπάρχει ένα κεντρικό & κάποια
τομεακά (βελτιστοποίηση σχέσης κόστους- απόδοσης).• Ανάμιξη ιδιωτικού τομέα: Πολλαπλασιασμός των διαθέσιμων
υπηρεσιών προς του χρήστες. (παράδειγμα Σουηδίας – υιοθέτηση λύσης τραπεζών – 1η στη χρησιμοποίηση eID)
- Όμως φόβος για μη τήρηση της αρχής της αναλογικότητας στη συγκέντρωση στοιχείων
• Χρήση μοναδικών αναγνωριστικών. Σκεπτικότητα για συσχέτιση δεδομένων των πολιτών και Συνταγματικά κολλήματα. Το Unique identifier καταλήγει να θεωρείται προσωπικό δεδομένο.
Εύκολη ταυτοποίηση & αξιοποίηση ενός έγκυρου μητρώου Άλλη λύση: Συμφωνία με Privacy Directive • Λύση: Παροχή μοναδικών κωδικών χωρίς σημασιολογικές
πληροφορίες. Παράδειγμα sourcePIN της Αυστρίας. Η αποστολή γίνεται κρυπτογραφημένα.
10/16
Συστήματα & Πολιτικές Αυθεντικοποίησης
• Πολιτικές Αυθεντικοποίησης & Επίπεδα Ασφάλειας: Σταθμίζονται οι κίνδυνοι και το επιθυμητό επίπεδο ασφάλειας. (Σε 24 χώρες)
• Το ελληνικό Πλαίσιο Ψηφιακής Αυθεντικοποίησης: Διακρίνει 3 επίπεδα. (1ο): Δημόσιες Πληροφορίες – Δεν απαιτείται αυθεντικοποίηση. (2ο): On line αίτηση με off line επεξεργασία – Προτείνεται σύστημα με συνθηματικά. (3ο): On line αίτηση & on line απάντηση – προτείνεται ψηφιακό πιστοποιητικό
• Κατά περίπτωση (σε 7 κράτη) τα πλαίσια είναι δεσμευτικά (Ελλάς Ν.3731/2008).• Κατηγοριοποίηση επιπέδων κατά STORK. (κοινά πρότυπα)
Συστήματα Δημοσίου Κλειδιού (PKI)
•Υπάρχουν σε 29 χώρες•Διακρίνονται ανάλογα με το ποιος εκδίδει τα πιστοποιητικά•Στις μισές περίπου εκδίδονται αποκλειστικά από το δημόσιο.•Υλοποίηση με αναγνωρισμένα πιστοποιητικά υπογραφής και αυθεντικοποίησης
Συστήματα Username/password•Υπάρχουν σε 22 χώρες•Single Factor (Username/password)•Multifactor (password list, PIN calculators ή mobile phones)•Μόνο σε 3 χώρες τα συστήματα αυτά είναι προσβάσιμα από τον ιδιωτικό τομέα!
11/16
Ανάλυση Τεχνολογιών/ Υποδομών
• Εθνικές Επιλογές. Βρίσκονται υπό διαφοροποίηση στα πλαίσια προγραμμάτων όπως το STORK. – Επίτευξη διαλειτουργικότητας
• Συγκριτική παρουσίαση χωρών για την hardware υποδομή των καρτών eID: (στοιχεία από 18 χώρες)
(Α) Περιγραφή κατασκευαστών υλικού (Β) Επίπεδα προστασίας δεδομένων (πρότυπα κατά ISO όπως 7816, 14443, μέθοδοι προστασίας δεδομένων BAC, EAC, PACE κ.τ.λ.) (Γ) Χαρακτηριστικά Χρησιμοποιούμενων Μηχανισμών (chip, μνήμες κ.τλ.). (Δ) Μελέτη ύπαρξης πολλαπλής χρηστικότητας.
• Διακριτικά ταυτοποίησης κινητών τηλεφώνων: Συστήματα βασισμένα σε: (Α) ψηφιακά πιστοποιητικά και (Β) συστήματα one-time SMS message.
• Υπάρχουν σε 7 χώρες.12/16
Ευρωπαϊκά Έργα• Ευρωπαϊκό όραμα: Ενιαία Ευρωπαϊκή αγορά χωρίς
περιορισμούς. (άρα ταυτοποίηση από οπουδήποτε).• Πλάνο eIDM Roadmap: (Α) Καθορισμός αρχών σχεδιασμού
συστημάτων. (Β) Υποστήριξη του χάρτη από projects (…2015)
STORK:‘08-’11: Πιλοτικό πρόγραμμα για διασυνοριακή αναγνώριση 13/16
Η Γερμανική λύση eID• Δυνατότητες: Internet ID, eSignature, Travel Document• Χαρακτηριστικά: (A) Υλοποίηση με RFID chip (B) Μη κεντρι-
κοποιημένη επεξεργασία. (Γ) Πολιτοκεντρική προσέγγιση.
• Μηχανισμός ασφάλειας τριών επιπέδων: Ψηφιακή υπογραφή επί των δεδομένων που αποθηκεύονται.
Το πιστοποιητικό αποθηκεύεται στο δελτίο eID «document signer certificate» (αναζητείται η ρίζα CSCA).
Προστασία από μη εξουσιοδοτημένη ανάγνωση «skimming» με μηχανισμούς EAC (Chip Authentication & Terminal Authentication) και PACE(αντικαταστάτης BAC).
Κλείδωμα δεδομένων με χρήση Υποδομής Δημοσίου Κλειδιού (PKI) για προστασία έναντι οποιασδήποτε τροποποίησης στο chip.
Περιστάτικο ασφάλειας 09/2010: Με ένα απλό trojan horse. Αντιγραφή του PIN και … μη εξουσιοδοτημένη πρόσβαση στα δεδομένα. Ισχυροί μηχανισμοί … ευάλωτοι τελικοί χρήστες… 14/16
Μελλοντικές Προκλήσεις1. Προβλήματα Διαλειτουργικότητας
-Μετατροπή εθνικών συστημάτων σε συστήματα με διασυνοριακή λειτουργικότητα- Υλοποίηση έργων στα πλαίσια του eIDM Roadmap … 2015
2. Κίνδυνοι παραβίασης Ιδιωτικότητας- Επαρκής διασφάλιση των προσωπικών δεδομένων και δη των ευαίσθητων που τείνουν να χρησιμοποιούνται εφ’ εξής- Συνεχής επαναπροσδιορισμός των χρησιμοποιούμενων μηχανισμών ασφάλειας για την αποτροπή φαινομένων εγκληματικότητας- Θα αυξήσει την χρηστικότητα
3. Έλλειψη σαφούς νομικού πλαισίου για τις ηλεκτρονικές ταυτότητες- Σαφής προσδιορισμών διφορούμενων εννοιών και νομικών συνεπειών της χρήσης ηλεκτρονικής ταυτότητας και ηλεκτρονικής υπογραφής (Πλαίσιο Δράσης 2011-2015)
15/16 Τέλος …
Κύρια Βιβλιογραφία
• JRC Reports: The State of the Electronic Identity Market: Technologies, Infrastructure, Services and Policies (2010)
• ENISA Report: Report on the State of pan-European eIDM initiatives (2009)• ELSA Thematic Working Group on Electronic Identity Infrasructure: Electronic
Identity Management Infrastructure for trust worthy services (2010)• Note 9949/10 Council of The European Union: State of play concerning the
electronic identity cards in the EU Member States (2010).• Παραδοτέα προγράμματος STORK (έως και 2011)• Παραδοτέα προγράμματος eID Interoperability for PEGS (2009)• Technical Guideline TR-03110. Advanced Security Mechanisms for Machine
Readable Travel Documents• Κείμενα Ευρωπαϊκών Οδηγιών και εθνικών νομοθεσιών• Έγγραφα και Οδηγίες προτυποποίησης και ελάχιστών προτύπων ασφάλειας
διαφόρων φορέων όπως ICAO και ΕΕ.• Εθνικά eGovernment Factsheets (http://www.epractice.eu) • Gateway to the European Union (http://europa.eu) • Πλέον των 100 επίσημων και ανεπίσημων ιστοσελίδων Ευρωπαϊκών κρατών.
16/16