Электронная идентификация как часть информационного общества

Опубликовано: 
Материалы междунар.науч.-практ. конф.: Теоретические и прикладные аспекты построения программних систем “TAAPSD-2009”

Введение.В июле 2005 г. в Украине создана Национальная система электронных цифровых подписей (НСЭЦП), как механизм доверия в информационном обществе. Правда, поныне НСЭЦП не интероперабельна по организационным и технологическим причинам, что воспрепятствовало ее развитию в полноценную сферу информационного общества.

На конец 2009 года в поддержку интероперабельности НСЭЦП разработано около 70 национальных стандартов и поставленвопрос о создании Технического регламента НСЭЦП с внедрением эталонной модели квалифицированной инфраструктуры открытых ключей. В перспективе запланировано начать кроссертификацию для трансграничного признания совокупности сертификатов открытых ключей, выпущенных в разных странах ЕС.

 

         Цель доклада – изучить пути локализации электронной идентификации с поддержкой услуг электронной цифровой подписи (ЭЦП), шифрования и аутентификации на территории Украины при условии интtроперабельности НСЭЦП. По ее достижении и преследуемой государством перевоочередной цели развертывания информационного общества как средства «делать бизнес» гражданам необходимы средства, допускающие информационные услуги с минимальной затратой ресурсов. Один способ достижения поставленной задачи приведен на рис.1.

РесурсыeID-систем.В системе электронной идентифика­ции гражданину информационного общества необходимы eID-средства работы с кредитно-финансовой системой и обеспечения доверия, т.е. ЭЦП, средства шифрования и дополнительная память для идентификационных данных. Задача сводится кинтероперабельным реализациямпрограммно-аппаратных средств с функциональностью eID.

Построение системы электронной идентификации в Украине обусловлена тем, что с 1 января 2015 года запрещен въезд на территорию ЕС и США по паспортам с вклеенными фотографиями. Также, как и 189 государств-членов ICAO (Международная организация гражданской авиации) Украина взяла обязательство до 1 апреля 2010 года обеспечить своим гражданам выдачу электронных загранпаспортов, в которых на микрочип записывается информация о владельце (в том числе его биометрические данные).

Для построения системы eID, необходимы три вида ресурсов.

1.       Средства идентификации – любой hard- и softwareтокен или их комбинация, содержащая достоверную информацию, например, свидетельства целостности атрибутов идентификации. Примеры средств идентификации – смарт-карты, USB накопители, мобильные телефоны, содержащие сертификаты PKI, или даже сами сертификаты. Одним из средств идентификации являются eID-карты с микрочипами. Констатируем, что ID карты являются главным методом идентификации в Европе, а eID карты в инфраструктуре PKI считаются наиболее перспективным решением для замены бумажных ID карт в ближайшем будущем на национальном уровне всех стран-членов ЕС.

2.        Национальные идентификаторы ­– определяются как некий код в виде строки или числа, присвоенного определенному объекту, причем код однозначно идентифицирует этот объект в группе, так называемый объектный идентификатор – OID. Большинство стран ЕС используют общие идентификаторы, т.е. не ограниченные некоторой группой граждан или бизнес-сферой. Все правовые нормы использования OID варьируются в зависимости от локальной юрисдикции конкретных стран.

3.       Идентификационные регистры – создаваемый и управляемый органами государственной власти информационный фонд, в котором собраны идентификационные атрибуты объектов и к которые имеют конкретную степень доверия. Определение регистра показывает их важность для систем eID; регистры являются базовым ресурсом, на котором государство может построить систему  управления eID.

Законодательная базав Украине отсутствует, но некоторые законопроекты могут поддержать внедрение eID в Украине. Рассмотрим их и технологическую поддержку в отношении описания ресурсов.

1.В пояснительной записке [1] сказано ­«Внедрение законопроекта имеет целью углубление прав и свобод гражданина Украины, особенно это касается замены паспорта гражданина Украины на удостоверение личности. Принятие Закона обеспечит воплощение в жизнь четкой системы идентификации личности в соответствии с нормами мировой и в первую очередь европейской практики». С технологических и организационных позиций это поддержано ст. 5, гласящей«…а приведенная в удостоверении личности гражданина Украины, свидетельстве о принадлежности к гражданству Украины, временном удостоверении гражданина Украины, паспорте гражданина Украины для выезда за границу, проездном документе ребенка, дипломатическом паспорте Украины, служебном паспорте Украины, удостоверении личности моряка, удостоверении члена экипажа и удостоверении личности на возвращение в Украину - также для машинного считывания … информация для машинного считывания формируется согласно  международному стандарту ІSO/ІEC 7501-1:1997 Карточки удостоверения личности. Проездные документы с машинно-считываемой информацией. Часть 1. Паспорта с машинно-считываемой информацией и ІSO/ІEC 7501-3:1997 Карточки удостоверения личности. Проездные документы с машинно-считываемой информацией. Часть 3. Официальные проездные с машинно-считываемой информацией в определенном Кабинетом Министров Украины порядке.». Законопроект заложил необходимый базисдля построениясистемыeID, в частности hardware-токенов,и в целомпринят за основу.

2.Построение национальных идентификаторов и регистров уже заложено в законопроект [2]. Приведем цитаты об основных принципах законопроекта из его пояснительной записки, поддерживающие построение национальных идентификатор и регистров:

a.«принцип единства информации о физическом лице, обеспечиваемый порядком ведения Регистра в едином формате

b.«принцип контроля за порядком ведения Регистра и запрета внесения в него информации, не предусмотренной Законом о Регистре ...»

c.«принцип защиты информации Регистра …»

d.«принцип унификации форм документов Регистра и порядка их изготовления, согласно  которому все документы подлежат изготовлению и персонализации в централизованном порядке специально уполномоченными государственными органами исполнительной власти, согласно  требованиям международных стандартов, за исключением случаев, предусмотренных законопроектом „Про Національний демографічний Регістр”;

e.Другие позитивные результаты:

                                      i.     «внедрение централизованного порядка учета регистрации физических лиц по месту проживания или временного пребывания, обеспечение населения документами с машинно-считываемой информацией, их учета и надлежащей защиты от подделки и незаконного использования;»

                                    ii.     «возможность упрощения процедуры создания и функционирования ведомственных реестров …»

Отметим высокое качество приведенных законопроектов, констатируем достаточную юридического базу для построения системы eIDв Украине. Ссылки на международные стандарты в законопроекте «Про паспорт громадянина України та інші документи, що посвідчують особу і підтверджують громадянство України» серьезно ограничивают технологическую составляющую системы eID. В сферах информационного общества, одной из которых является eID, необходимо гармонизировать международные стандарты и принять Технический регламент eIDдля организационного и технологического регулирования в стране.

Указанные законопроекты позволяют внедрить в Украине систему eID, основанную на австрийском подходе, пока наиболее совершенном в ЕС. Отметим возможность улучшения этого подхода на основе работ Девида Хаума (David Chaum), изобретателя множества криптографических протоколов. Совершенствование австрийского подхода – предмет изучения в работах по локализации в Украине европейской интероперабельной системы eID.

Выбор опробованных образцов.Для Украины опыт Австрии целесообразно взять за основу. Система оптимальна со стороны, как безопасности, так и интероперабельности. В идентификационном регистре у каждого объекта есть свой универсальный идентификатор. Hardware-токен как смарт-карта использует другой идентификатор, полученный применением алгоритма шифрования TripleDES к национальному идентификатору. За этот идентификатор отвечает только владелец смарт-карты. В Австрии выделено 26 секторов деятельности человека, а в Украине – некоторое число ведомств, с которыми граждане непосредственно взаимодействуют. Для налоговой администрации, пенсионного фонда, фонда занятости, других социальных учреждений, медицины, возможно, даже спорта и организации досуга необходима идентификация своих пользователей. Каждое учреждение генерирует идентификаторпользователя (PIN), присоединяя свой идентификатор к персональному идентификатору (sourcePIN) и кодируя результат некоторой хеш-функцией. Таким образом, получаемый идентификатор непосредственно идентифицирует конкретного человека в рамках учреждения, однако не действует в рамках другого ведомства, что не дает возможности государству или другим организациям насквозь проследить всю активную деятельность человека без санкционированного судом постановления на такое вмешательство.

eID-карта гражданина содержит набор инструментов для взаимодействия с организациями и органами власти через Интернет с обеспечением уровня доверия, эквивалентного взаимодействию в реальном мире. Как электронное средство подписания документов и идентификации личности eID-карта содержит две пары ключей. По одной паре создается квалифицированная ЭЦП, используемая в приложениях типа eGovernment для аутентификации и авторизации, а вторую (попроще) используют для создания электронных источников данных или их шифрования. Поэтому необходимы два PIN-кода, один PIN – для безопасной ЭЦП, второй  конфиденциальный PIN-код – для простой подписи. Приложения сами выбирают необходимый вид подписи.

Одним компонентом чипа смарт-карты является безопасное средство создания подписи SSCD (SecuritySignatureCreationDevice). Согласно CWA14169[3] и ДСТУ EN14890[4] в SSCD любого типа должны быть средства хранения ключей и аутентификации пользователя. Согласно ДСТУ CWA14355[5] существует три типа SSCD: устройства SSCD типа 1 генерируют пары ключей; в SSCD типа 2 ключ генерирует эмитент смарт-карты или провайдер услуг сертификации, а смарт-карту выдают пользователю с уже сгенерированными ключами и она предназначена только для генерации подписей; SSCD типа 3 – композиция первых двух типов устройств, способная сгенерировать пары ключей и создать подписи. Смарт-карты – это устройства SSCD типов 2 или 3.

Устройства SSCD типа 3 подходят для построения системы электронной идентификации посредством eID-карт. В смарт-карте типа 3 личный ключ генерируют непосредственно в смарт-карте, поэтому «встроенная генерация ключа» не позволяет копировать личный ключ и отсутствует угроза безопасности при передаче личного ключа на карту, как в SSCD типа 2, где на карту записываются сгенерированные извне ключи. Также вопрос генерации личного ключа центром сертификации ключей слабо регулирует ЗУ[6]. Генерацию ключа может инициировать эмитент смарт-карты, провайдер услуг сертификации или сам пользователь после получения смарт-карты. В устройствах типа 3 генерация собственных пар ключей может быть как обязательным, так и опциональным свойством, а устройства SSCD типа 2 для такого не предназначены. Для подтверждения назначения карты ее владельцу выполняется процесс инициализации карты (персонализация).

Заключение. Пока в Украинеотсутствует законодательная база для внедрения систем eID. Основополагающие аспекты реализации систем находятся  в начальной стадии развития. Так, без принятия Технического регламента НСЕЦП невозможно достичь ее интроперабельности, значить развернуть системы eIDдля которых образцами могут служить австрийские смарт-карты, достаточно распространившиеся в ЕС.

Литература.

1.      Законопроект №7384-2 от 25.05.2005 «Про паспорт громадянина України та інші документи, що посвідчують особу і підтверджують громадянство України»;

2.      Законопроект №0878 от 23.11.2007 «Про Національний демографічний Регістр»;

3.      CWA14169 «Secure signature-creation devices "EAL 4+"»

4.      ДСТУ EN14890 «Прикладний інтерфейс для смарт-карток, використовуваних як безпечні засоби створення підписів»

5.      ДСТУ CWA14355 «Рекомендації з реалізації безпечних засобів створення підписів

6.      Закон № 852-IV от 22.05.2003 «Про електронний цифровий підпис»;