Je vydávání nových eOP krok správným směrem?

František Maleč
technický ředitel
Státní tiskárna cenin, s.p.
Libor Šmíd
vedoucí obchodní skupiny Státní správa
Monet+, a.s.
2
České „elektronické“ občanské průkazy
co umí dnes a jaký mají potenciál
3
Obsah
●
●
●
●
4
Trocha historie
Stávající funkcionalita
Možnosti rozšíření funkcionality
Závěr
Obsah
●
●
●
●
5
Trocha historie
Stávající funkcionalita
Možnosti rozšíření funkcionality
Závěr
Trocha historie
● Jsou vydávány státem na základě zákona, který
vymezuje i rozsah na něm uvedených osobních údajů
● Náleží konkrétní fyzické osobě a slouží k prokazování
totožnosti, případně dalších právních skutečností
vztahujících se k této osobě.
● Občanský průkaz musí mít povinně každý občan starší
15 let (nově volitelně i pro děti od 0+ let)
● Ročně je vydáno přibližně 1,5 milionu občanských
průkazů
● Provedení občanských průkazů
● Do roku 1993 knížky (Československo, Česká republika)
● Od roku 1993 karta formátu ID 2 (papírové jádro s laminační fólií)
● Od 2.1.2012 plastová karta formátu ID 1 (polykarbonát, volitelně s
čipem)
6
Trocha historie
Občanské průkazy do roku 1993
● Knížky různých velikostí s různým počtem stran
● Velký rozsah uváděných dat
●
●
●
●
●
●
●
●
●
●
●
Identifikační údaje držitele
Adresa trvalého pobytu
Adresa přechodného pobytu
Rodiče
Manžel, manželka
Děti
Rodinný stav
Zaměstnavatel
Zdravotní informace
Zákaz pobytu
Omezení způsobilosti ke správním úkonům
● Výhoda v době, kdy nebyly počítačové evidence
● Decentralizovaná personalizace a vydávání
● Platnost 10 let s možností prodloužení (o 10 let nebo trvale)
7
Trocha historie
Občanské průkazy do roku 1993
(1948)
8
(1990)
Trocha historie
Občanské průkazy do roku 1993
● První biometrický prvek – otisk prstu (1950)
Využití pro forenzní účely
9
Trocha historie
Občanské průkazy po roce 1993
● Karta ID 2
● Vydávány v letech 1993 -2000
● Zredukován rozsah údajů
●
●
●
●
●
Identifikační údaje držitele
Adresa trvalého pobytu
Rodinný stav
Zákaz pobytu
Omezení způsobilosti k právním úkonům
● Decentralizovaná personalizace a vydávání
● Lepená fotografie
● Platnost 10 let
10
Trocha historie
Občanské průkazy po roce 1993
● Karta ID 2, podle ICAO 9303
● Vydávány v letech 2000 - 2011
● Redukovaný rozsah údajů
●
●
●
●
●
●
●
●
●
●
●
11
Identifikační údaje držitele
Adresa trvalého pobytu
Rodinný stav, registrované partnerství
Manžel, manželka, druh, družka
Děti
Zákaz pobytu
Omezení způsobilosti k právním
úkonům
Centrální personalizace
Decentralizované vydávání
Tištěná fotografie
Platnost 10 let
Trocha historie
Občanské průkazy od 2.1.2012
Elektronický občanský průkaz - eOP
●Karta ID1
●Vydávány od 2. 1. 2012
●Redukovaný rozsah údajů
● Identifikační údaje držitele
● Adresa trvalého pobytu
● Rodinný stav, registrované
partnerství (volitelně)
●2D kód PFD 417
● Číslo dokladu
●Volitelně kontaktní čipový modul
● Elektronický podpis
● Číslo dokladu
●Centrální personalizace
●Decentralizované vydávání
●Polykarbonát
●Platnost 10 let
12
Obsah
●
●
●
●
13
Trocha historie
Stávající funkcionalita
Možnosti rozšíření funkcionality
Závěr
Stávající funkcionalita
Doklad, MRZ zóna
● Doklad
● Identifikace držitele
● MRZ zóna
● Strojově čitelná zóna definovaná ICAO 9303 obsahující:
 Typ a číslo dokladu, vydávající stát
 Datum narození, pohlaví a státní příslušnost držitele, platnost dokladu
 Jméno (a příjmení upravené dle standardu ICAO)
● Použití - strojové čtení MRZ zóny s následným zpracováním údajů v ní
uložených (vyhledávání v databázích, …)
14
Stávající funkcionalita
2D kód
● 2D kód
● PDF 417 neboli Portable Data File 417 je kvazidvourozměrný čárový
kód, který sestává ze tří až 90 řádků, v každém z nichž může být
zakódován 1 až 30 znaků. Okraje čárového kódu tvoří start sekvence a
stop sekvence, ty musí navíc obklopovat tzv. tichá zóna. Každý znak
tvoří 4 čáry a 4 mezery, dohromady široké 17 X (odtud název). PDF 417
má kontrolní mechanismy Reed-Solomon. Byl vyvinut v roce 1991.
● Obsahuje číslo dokladu
● Využití - strojové čtení čísla dokladu s následným použitím (vyhledávání
v databázích, …)
15
Stávající funkcionalita
Bezpečnostní osobní kód
● Bezpečnostní osobní kód (BOK)
● „heslo“ k eOP evidované v šifrované podobě v centrálních systémech
● 4-10 číslic, které si občan zadává při převzetí eOP
● Využití - autentizace občana prokázáním znalosti BOK
16
Stávající funkcionalita
Kontaktní elektronický čip
● Kontaktní elektronický čip
● Multiaplikační čip systému GlobalPlatform v 2.1.1, operační systém
Java Card v 2.2
17
Stávající funkcionalita
Kontaktní elektronický čip - vlastnosti
● Čip
●
●
●
●
●
Paměť EEPROM: 144 KB.
Certifikace podle CC: Common Criteria, ČSN/ISO 15408 verze min 2.1
Úrovně záruky bezpečnosti min EAL4
4 bezpečnostní zóny pro nahrání aplikací
Dostupné instalované aplety:
 ECC2 aplet kompatibilní k CEN TS15480-2 v ROM (neinicializován)
 Systémový aplet
 Aplet pro elektronický podpis
18
Stávající funkcionalita
Kontaktní elektronický čip - aplety
● ECC2 aplet
● Připraven na implementaci EID v souladu s normou CEN TS15480-2
● Systémový aplet
● Obsahuje číslo eOP, včetně jeho elektronického podpisu
● Umožňuje ověřit pravost čipu a vazbu mezi tělem karty a čipem
● Aplet pro elektronický podpis
● Umožňuje ukládat a dále používat párová data pro vytváření
zaručeného elektronické podpisu
● Poznámka: middleware je přístupný na stránkách MV ČR pro platformy
Windows, Linux i MAC OS
19
Stávající funkcionalita
Kontaktní elektronický čip – související systémy
● Související systémy
● Kontrolní autorita
 Generuje a spravuje symetrické a asymetrické klíče pro správu čipu
● Modul správy kontaktního čipu
 Vede seznam vydaných čipů včetně odpovídajících klíčů pro přístup k čipu
 Vede seznam aplikací na každém čipů
 Zajišťuje podporu pro ověření funkčnosti a obsahu kontaktního
elektronického čipu a volné kapacity pro zapisování údajů do kontaktního
elektronického čipu
 Architektonicky je připraven pro dodatečný zápis aplikací na již vydané eOP
(postissuing)
20
Obsah
●
●
●
●
21
Trocha historie
Stávající funkcionalita
Možnosti rozšíření funkcionality
Závěr
Možnosti rozšíření funkcionality
ECC2 aplet
● ECC2 aplet
http://www.cen.eu
22
Možnosti rozšíření funkcionality
ECC2 aplet
http://www.cen.eu
23
Možnosti rozšíření funkcionality
ECC2 aplet
File
EF.1
EF.2
EF.3
EF.4
EF.5
EF.6
EF.7
EF.8
EF.9
EF.10
EF.11
EF.12
EF.13
EF.14
EF.15
EF.16
EF.17
EF.18
EF.19
EF.20
EF.21
24
Content
Document Type
Issuing State
Document Number
Date of Issue
Date of Expiry
Issuing Authority
Given Names
Family Names
Maiden Name
Date of birth
Place of birth
Nationality
Sex
Eye Color
Height
Data 1 (national specific use)
Normal Place of residence
Religious/Artistic Name
Academic Title
Residence Permit
Data 2 (national specific use)
Fixed/
Variable
F
Format
Example
5A
IDD
Tag
Max. Size
F
F
F
V
V
V
10AN
8N
8N
65ANS
36AS
36AS
5F26
59
5F62
5F61
5F60
11
10
F
V
F
8N
35ADNS
3A
5F2B
5F11
5F2C
11
38
6
F
F
V
V
3A
3N
5F66
5F64
113ADNS
5F42
V
39
39
116
Možnosti rozšíření funkcionality
ECC2 aplet
● Uložení těch údajů, pro které již není na fyzické kartě místo
 Údaje neměnné (nastavené pouze ve výrobě)/editovatelné (na úřadě)
● Příklady:




Rodné příjmení
Adresa trvalého pobytu
Identifikace manžela/manželky/partnera
U dětí identifikace zákonného zástupce
● Využití - získání dodatečných informací i bez přístupu k centrálním
registrům
25
Možnosti rozšíření funkcionality
2D kód
● 2D kód
● Do PDF 417 lze zakódovat nejenom běžný text, ale i grafiku nebo
speciální programovací instrukce. Velikost datového souboru může
přitom být až 1,1 kB
● Uložení těch údajů, pro které již není na fyzické kartě místo
● Uložení kryptografických údajů zpracovávaných strojově
● Příklady:





Rodné příjmení
Adresa trvalého pobytu
Identifikace manžela/manželky/partnera
U dětí identifikace zákonného zástupce
Šifrované údaje z těla karty chráněné proti falzifikaci, případně elektronický
podpis údajů na kartě
● Využití
 získání dodatečných informací i bez přístupu k centrálním registrům
26
Možnosti rozšíření funkcionality
Autorizační certifikát
● Autentizační certifikát
● V rámci výroby by bylo možné generovat do úložiště certifikátů
autentizační certifikát
 s dobou platnosti shodnou s eOP
 s uvedením čísla eOP v rámci subjectu certifikátu
● Využití
 eOP s čipem jako opravdový a bezpečný klíč k e-Governmentu
 Akreditovaní poskytovatelé certifikačních služeb mohou
• ověřit, že vydávají certifikát na eOP (vhodná úprava politik)
• zjistit číslo eOP (ověření údajů držitele uvedených v žádosti)
• zjistit platnost eOP (omezení platnosti kvalifikovaného certifikátu)
27
Obsah
●
●
●
●
28
Trocha historie
Stávající funkcionalita
Možnosti rozšíření funkcionality
Závěr
Závěr
Je vydávání nových eOP krok
správným směrem?
ANO
29
Děkujeme za
pozornost