Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Електронна
идентификация
Божидар Божанов
Vanity slide
програмис’че
http://blog.bozho.net
http://techblog.bozho.net
http://twitter.com/bozhobg
съветник за електронн...
Основни понятия
• PKI (Public Key Infrastructure)
• смарткарта
• HSM (Hardware Security Module)
• първичен регистър (първи...
Е- идентификация
• идентификация, идентичност,
самоличност
• е-идентификация vs електронен подпис
• онлайн и офлайн е-иден...
Проблем
• разпокъсаност
• ПИН, ПИК, пароли
• всяка институция с отделно средство
• ниско ниво на сигурност
• plaintext (ПИ...
Решение
Национална схема за електронна
идентификация
Правна рамка
Все пак...
• Регламент 910/2014 на ЕП
• Закон за електронната идентификация
• (в момента в парламента)
• задължителна, нее...
ЗЕИ
• идентификация на физически лица
• и на юридически лица чрез физически
• не дефинира носител
• дефинира участници
• ц...
ЗЕИ (за потребители)
• електронен идентификатор (e-id) на
• специална карта
• личната карта (от 2017-та, opt-out; КЕП - op...
Какво?
• справки
• задължения
• актове
• осигурителен статус
• заявления за услуги
• пътуване
• е-банкиране?
• ...
Администратори на е-идентичност
ЗЕИ - архитектура
Регистър
e-id
МВР Консул Други
Центрове за е-идентификация
МТИТС Други
Р...
Use-cases
• Use-case 1: идентификация в държавен
сайт
• Use-case 2: идентификация с
предоставяне на данни в реално време
•...
Use-cases
• Use-case 3: анонимна идентификация с
цел повторно разпознаване
• градски транспорт, сайтове
• Use-case 4: дост...
Въпроси
• ...към IdP
• имате ли 18?
• в София/Варна/… ли живеете?
Съществуващи решения
• Австрия
• Естония
• Германия
• Idemix
• U-Prove
Австрия
• java applet
• mobile id (sms, HSM)
• ssPIN (секторен идентификатор)
• генериран на клиента
ssPIN
Австрия - проблеми
• usability
• Java - no-go
• security
• applet-ът е уязвим
• ssPIN replay
• sms authentication
• MITM, ...
Естония
• сертификат
• Три имена
• ЕГН
• TLS clientAuth
• http://open-eid.github.io/
• ЕГН -> X-Road -> данни
X-Road
Естония - проблеми
• липса на Identity Provider
• mobile-ID чрез custom SIM
• privacy
Германия
• само безконтактен чип
• desktop приложение
• вкл. управление на “псевдоними”
• четец с активация
Германия - проблеми
• скъпи честци
• usability (активация)
• малко използвано
• загуба на карта => загуба на секторен ID
IBM, Microsoft
• Anonymous credentials
• Idemix
• атрибути, domain pseudonym
• бавен, без revocation, лоша ползваемост с к...
Anonymous credentials
• приложимост за национална схема за e-id
• ...всеки иска ЕГН
• атрибутите не трябва да са на картат...
STORK
• Идентификация в рамките на ЕС
• SAML
• Федерирана идентификация
• PEPS (Pan-European Proxy) = IdP = ЦЕИ
• ужасна c...
STORK
Българско eid: концепция
• open source от ден 1
• отворени стандарти
• TLS clientAuth
• оторизация а-ла oauth
• секторен и...
На картата
• само eid (UUID?)
• всички останали данни - от първичните регистри
• кръвна група
• двойка ключове
• dual inte...
идентифицира се
изисква clientAuth
Use-case 1, 2
Гражданин IdP (ЦЕИ) SP Регистър e-id Първични регистри
отваря
redirect
(s...
Use-case 3
• Само гражданин и Service Provider
• Директен clientAuth
• Само eid, без други данни
• Tрябва да приемем заоби...
Usability
• без java аплети и ActiveX
• по възможност без допълнителен софтуер
• еднократна инсталация, ако е нужно
• brow...
…държавата иска да ме следи!
Не
...но не ѝ вярваме, затова вземаме мерки.
Privacy
• държавата вече има всичко
• имоти, фирми, коли, местоживеене, роднини,
наследници, и т.н. Следене на мобилния те...
Privacy - как
• секторен идентификатор.
• usability vs security, ръчно управление
• атака: 1. request sectorId 2. request ...
Big Brother не е телекранът – телекранът
може да бъде счупен или спрян. Big Brother
е това, което ни кара да не спрем теле...
Злоупотреби?
• мерки в зависимост от случая
• смарткарта (никой не може да се
представи за вас)
• 2-factor authentication
...
Злоупотреби? (2)
• четци с хардуерна клавиатура
• ...и биометрия
• NFC security (ICAO)
• период за отказ на действието
• з...
Съгласуване
• експертно участие
• обратна връзка
• следене на имплементацията (GitHub)
За коментари:
b.bozhanov@government...
Източници
http://www.a-sit.at/pdfs/rp_eid_in_austria.pdf
https://eid.eesti.ee/index.php/Authenticating_in_web_applications...
Благодаря!
Upcoming SlideShare
Loading in …5
×

Електронна идентификация

4,365 views

Published on

Закон за електронната идентификация и как той ще се приложи на практика

Published in: Government & Nonprofit

Електронна идентификация

  1. 1. Електронна идентификация Божидар Божанов
  2. 2. Vanity slide програмис’че http://blog.bozho.net http://techblog.bozho.net http://twitter.com/bozhobg съветник за електронно управление на вицепремиера Р.Бъчварова
  3. 3. Основни понятия • PKI (Public Key Infrastructure) • смарткарта • HSM (Hardware Security Module) • първичен регистър (първичен администратор на данни) • IdP (Identity Provider) • SP (Service Provider)
  4. 4. Е- идентификация • идентификация, идентичност, самоличност • е-идентификация vs електронен подпис • онлайн и офлайн е-идентификация • административни услуги • е-банкиране (интернет, банкомат) • пътуване
  5. 5. Проблем • разпокъсаност • ПИН, ПИК, пароли • всяка институция с отделно средство • ниско ниво на сигурност • plaintext (ПИН) • пазене на паролите
  6. 6. Решение Национална схема за електронна идентификация
  7. 7. Правна рамка
  8. 8. Все пак... • Регламент 910/2014 на ЕП • Закон за електронната идентификация • (в момента в парламента) • задължителна, неекслузивна схема за идентификация • Наредба към закона за електронната идентификация • ще включва технически детайли
  9. 9. ЗЕИ • идентификация на физически лица • и на юридически лица чрез физически • не дефинира носител • дефинира участници • център за електронна идентификация (IdP) • администратор на е-идентичност (МВР, консулства, други)
  10. 10. ЗЕИ (за потребители) • електронен идентификатор (e-id) на • специална карта • личната карта (от 2017-та, opt-out; КЕП - opt-in) • задължително използване от всички държавни сайтове • използване от частния сектор
  11. 11. Какво? • справки • задължения • актове • осигурителен статус • заявления за услуги • пътуване • е-банкиране? • ...
  12. 12. Администратори на е-идентичност ЗЕИ - архитектура Регистър e-id МВР Консул Други Центрове за е-идентификация МТИТС Други Регистър на администратори Регистър на центрове eid <-> ЕГН PKI
  13. 13. Use-cases • Use-case 1: идентификация в държавен сайт • Use-case 2: идентификация с предоставяне на данни в реално време • идентификация + оторизация • публичен сектор - здравеопазване, НАП • частен сектор - банки, онлайн магазини
  14. 14. Use-cases • Use-case 3: анонимна идентификация с цел повторно разпознаване • градски транспорт, сайтове • Use-case 4: достъп до данни в background режим • няма отношение към eid • в момента ежедневна репликация на бази
  15. 15. Въпроси • ...към IdP • имате ли 18? • в София/Варна/… ли живеете?
  16. 16. Съществуващи решения • Австрия • Естония • Германия • Idemix • U-Prove
  17. 17. Австрия • java applet • mobile id (sms, HSM) • ssPIN (секторен идентификатор) • генериран на клиента
  18. 18. ssPIN
  19. 19. Австрия - проблеми • usability • Java - no-go • security • applet-ът е уязвим • ssPIN replay • sms authentication • MITM, phishing • hash в SMS
  20. 20. Естония • сертификат • Три имена • ЕГН • TLS clientAuth • http://open-eid.github.io/ • ЕГН -> X-Road -> данни
  21. 21. X-Road
  22. 22. Естония - проблеми • липса на Identity Provider • mobile-ID чрез custom SIM • privacy
  23. 23. Германия • само безконтактен чип • desktop приложение • вкл. управление на “псевдоними” • четец с активация
  24. 24. Германия - проблеми • скъпи честци • usability (активация) • малко използвано • загуба на карта => загуба на секторен ID
  25. 25. IBM, Microsoft • Anonymous credentials • Idemix • атрибути, domain pseudonym • бавен, без revocation, лоша ползваемост с карти • U-Prove • атрибути • без revocation, лоша ползваемост с карти
  26. 26. Anonymous credentials • приложимост за национална схема за e-id • ...всеки иска ЕГН • атрибутите не трябва да са на картата • ползваемост • ръчно генериране на псевдоними • използване на специфичен софтуер • нужда от познаване на концепциите: атрибути, анонимност, и т.н.
  27. 27. STORK • Идентификация в рамките на ЕС • SAML • Федерирана идентификация • PEPS (Pan-European Proxy) = IdP = ЦЕИ • ужасна client-side имплементация на пилотния проект
  28. 28. STORK
  29. 29. Българско eid: концепция • open source от ден 1 • отворени стандарти • TLS clientAuth • оторизация а-ла oauth • секторен идентификатор • sha512(encrypt(identifier + sectorKey, privateKey))? • загубена карта=загуба на секторен идентификатор • генериран от IdP (с частен ключ)?
  30. 30. На картата • само eid (UUID?) • всички останали данни - от първичните регистри • кръвна група • двойка ключове • dual interface чип?
  31. 31. идентифицира се изисква clientAuth Use-case 1, 2 Гражданин IdP (ЦЕИ) SP Регистър e-id Първични регистри отваря redirect (sp_id) redirect (token) проверява ЕГН проверява информация (2)
  32. 32. Use-case 3 • Само гражданин и Service Provider • Директен clientAuth • Само eid, без други данни • Tрябва да приемем заобикалянето на IdP
  33. 33. Usability • без java аплети и ActiveX • по възможност без допълнителен софтуер • еднократна инсталация, ако е нужно • browser add-ons / pkcs11 модул / root сертификат • без допълнителен UI • usability проблеми -> оперативни IdP проблеми • Смартфон - с NFC
  34. 34. …държавата иска да ме следи!
  35. 35. Не ...но не ѝ вярваме, затова вземаме мерки.
  36. 36. Privacy • държавата вече има всичко • имоти, фирми, коли, местоживеене, роднини, наследници, и т.н. Следене на мобилния телефон. • т.е. “privacy” се отнася до: • достъп до данните ни от частния сектор • право по закон vs желание на гражданина • следене на действия (возене в градски транспорт, теглене от банкомат) от държавата
  37. 37. Privacy - как • секторен идентификатор. • usability vs security, ръчно управление • атака: 1. request sectorId 2. request eid. 3 асоцииране • атомични въпроси към IdP • в бъдеще: криптиране на данните в първичните регистри? • контрол върху история и данни за нас (ЗЕИ) • ЗЗЛД (+ефективно прилагане)
  38. 38. Big Brother не е телекранът – телекранът може да бъде счупен или спрян. Big Brother е това, което ни кара да не спрем телекрана.
  39. 39. Злоупотреби? • мерки в зависимост от случая • смарткарта (никой не може да се представи за вас) • 2-factor authentication • sms • mobile app • биометрия
  40. 40. Злоупотреби? (2) • четци с хардуерна клавиатура • ...и биометрия • NFC security (ICAO) • период за отказ на действието • заб: eid vs КЕП • спиране на сертификат при загуба
  41. 41. Съгласуване • експертно участие • обратна връзка • следене на имплементацията (GitHub) За коментари: b.bozhanov@government.bg
  42. 42. Източници http://www.a-sit.at/pdfs/rp_eid_in_austria.pdf https://eid.eesti.ee/index.php/Authenticating_in_web_applications http://www.securitydocumentworld.com/creo_files/upload/client_files/whitepaper_comparison_of_eid1.pdf http://nelenkov.blogspot.be/2013/10/signing-email-with-nfc-smart-card.html https://www.a-sit.at/pdfs/Praesentationen%20ab%202011/20150429%20MobileID%20London%20- %20Austrian%20mobile%20ID.PDF https://www.enisa.europa.eu/activities/identity-and-trust/trust-services/eid-cards-en/at_download/fullReport https://www.digitales.oesterreich.gv.at/site/6528/default.aspx#a1 http://cdn.ttgtmedia.com/searchSecurityUK/downloads/RH4_Arora.pdf http://blog.xot.nl/2012/05/08/the-new-german-eid-card-has-security-privacy-and-usability-limitations/ http://www.id.ee/public/The_Estonian_ID_Card_and_Digital_Signature_Concept.pdf http://www.cs.kau.se/IFIP-summerschool/slides/herbert.pdf http://essay.utwente.nl/65593/1/BadarinathHampiholi_Masters_EEMCS_faculty.pdf
  43. 43. Благодаря!

×