Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
Електронна
идентификация
Божидар Божанов
Vanity slide
програмис’че
http://blog.bozho.net
http://techblog.bozho.net
http://twitter.com/bozhobg
съветник за електронн...
Основни понятия
• PKI (Public Key Infrastructure)
• смарткарта
• HSM (Hardware Security Module)
• първичен регистър (първи...
Е- идентификация
• идентификация, идентичност,
самоличност
• е-идентификация vs електронен подпис
• онлайн и офлайн е-иден...
Проблем
• разпокъсаност
• ПИН, ПИК, пароли
• всяка институция с отделно средство
• ниско ниво на сигурност
• plaintext (ПИ...
Решение
Национална схема за електронна
идентификация
Правна рамка
Все пак...
• Регламент 910/2014 на ЕП
• Закон за електронната идентификация
• (в момента в парламента)
• задължителна, нее...
ЗЕИ
• идентификация на физически лица
• и на юридически лица чрез физически
• не дефинира носител
• дефинира участници
• ц...
ЗЕИ (за потребители)
• електронен идентификатор (e-id) на
• специална карта
• личната карта (от 2017-та, opt-out; КЕП - op...
Какво?
• справки
• задължения
• актове
• осигурителен статус
• заявления за услуги
• пътуване
• е-банкиране?
• ...
Администратори на е-идентичност
ЗЕИ - архитектура
Регистър
e-id
МВР Консул Други
Центрове за е-идентификация
МТИТС Други
Р...
Use-cases
• Use-case 1: идентификация в държавен
сайт
• Use-case 2: идентификация с
предоставяне на данни в реално време
•...
Use-cases
• Use-case 3: анонимна идентификация с
цел повторно разпознаване
• градски транспорт, сайтове
• Use-case 4: дост...
Въпроси
• ...към IdP
• имате ли 18?
• в София/Варна/… ли живеете?
Съществуващи решения
• Австрия
• Естония
• Германия
• Idemix
• U-Prove
Австрия
• java applet
• mobile id (sms, HSM)
• ssPIN (секторен идентификатор)
• генериран на клиента
ssPIN
Австрия - проблеми
• usability
• Java - no-go
• security
• applet-ът е уязвим
• ssPIN replay
• sms authentication
• MITM, ...
Естония
• сертификат
• Три имена
• ЕГН
• TLS clientAuth
• http://open-eid.github.io/
• ЕГН -> X-Road -> данни
X-Road
Естония - проблеми
• липса на Identity Provider
• mobile-ID чрез custom SIM
• privacy
Германия
• само безконтактен чип
• desktop приложение
• вкл. управление на “псевдоними”
• четец с активация
Германия - проблеми
• скъпи честци
• usability (активация)
• малко използвано
• загуба на карта => загуба на секторен ID
IBM, Microsoft
• Anonymous credentials
• Idemix
• атрибути, domain pseudonym
• бавен, без revocation, лоша ползваемост с к...
Anonymous credentials
• приложимост за национална схема за e-id
• ...всеки иска ЕГН
• атрибутите не трябва да са на картат...
STORK
• Идентификация в рамките на ЕС
• SAML
• Федерирана идентификация
• PEPS (Pan-European Proxy) = IdP = ЦЕИ
• ужасна c...
STORK
Българско eid: концепция
• open source от ден 1
• отворени стандарти
• TLS clientAuth
• оторизация а-ла oauth
• секторен и...
На картата
• само eid (UUID?)
• всички останали данни - от първичните регистри
• кръвна група
• двойка ключове
• dual inte...
идентифицира се
изисква clientAuth
Use-case 1, 2
Гражданин IdP (ЦЕИ) SP Регистър e-id Първични регистри
отваря
redirect
(s...
Use-case 3
• Само гражданин и Service Provider
• Директен clientAuth
• Само eid, без други данни
• Tрябва да приемем заоби...
Usability
• без java аплети и ActiveX
• по възможност без допълнителен софтуер
• еднократна инсталация, ако е нужно
• brow...
…държавата иска да ме следи!
Не
...но не ѝ вярваме, затова вземаме мерки.
Privacy
• държавата вече има всичко
• имоти, фирми, коли, местоживеене, роднини,
наследници, и т.н. Следене на мобилния те...
Privacy - как
• секторен идентификатор.
• usability vs security, ръчно управление
• атака: 1. request sectorId 2. request ...
Big Brother не е телекранът – телекранът
може да бъде счупен или спрян. Big Brother
е това, което ни кара да не спрем теле...
Злоупотреби?
• мерки в зависимост от случая
• смарткарта (никой не може да се
представи за вас)
• 2-factor authentication
...
Злоупотреби? (2)
• четци с хардуерна клавиатура
• ...и биометрия
• NFC security (ICAO)
• период за отказ на действието
• з...
Съгласуване
• експертно участие
• обратна връзка
• следене на имплементацията (GitHub)
За коментари:
b.bozhanov@government...
Източници
http://www.a-sit.at/pdfs/rp_eid_in_austria.pdf
https://eid.eesti.ee/index.php/Authenticating_in_web_applications...
Благодаря!
Prochain SlideShare
Chargement dans…5
×

Електронна идентификация

4 628 vues

Publié le

Закон за електронната идентификация и как той ще се приложи на практика

  • Dating direct: ❶❶❶ http://bit.ly/2Qu6Caa ❶❶❶
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
  • Dating for everyone is here: ♥♥♥ http://bit.ly/2Qu6Caa ♥♥♥
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici

Електронна идентификация

  1. 1. Електронна идентификация Божидар Божанов
  2. 2. Vanity slide програмис’че http://blog.bozho.net http://techblog.bozho.net http://twitter.com/bozhobg съветник за електронно управление на вицепремиера Р.Бъчварова
  3. 3. Основни понятия • PKI (Public Key Infrastructure) • смарткарта • HSM (Hardware Security Module) • първичен регистър (първичен администратор на данни) • IdP (Identity Provider) • SP (Service Provider)
  4. 4. Е- идентификация • идентификация, идентичност, самоличност • е-идентификация vs електронен подпис • онлайн и офлайн е-идентификация • административни услуги • е-банкиране (интернет, банкомат) • пътуване
  5. 5. Проблем • разпокъсаност • ПИН, ПИК, пароли • всяка институция с отделно средство • ниско ниво на сигурност • plaintext (ПИН) • пазене на паролите
  6. 6. Решение Национална схема за електронна идентификация
  7. 7. Правна рамка
  8. 8. Все пак... • Регламент 910/2014 на ЕП • Закон за електронната идентификация • (в момента в парламента) • задължителна, неекслузивна схема за идентификация • Наредба към закона за електронната идентификация • ще включва технически детайли
  9. 9. ЗЕИ • идентификация на физически лица • и на юридически лица чрез физически • не дефинира носител • дефинира участници • център за електронна идентификация (IdP) • администратор на е-идентичност (МВР, консулства, други)
  10. 10. ЗЕИ (за потребители) • електронен идентификатор (e-id) на • специална карта • личната карта (от 2017-та, opt-out; КЕП - opt-in) • задължително използване от всички държавни сайтове • използване от частния сектор
  11. 11. Какво? • справки • задължения • актове • осигурителен статус • заявления за услуги • пътуване • е-банкиране? • ...
  12. 12. Администратори на е-идентичност ЗЕИ - архитектура Регистър e-id МВР Консул Други Центрове за е-идентификация МТИТС Други Регистър на администратори Регистър на центрове eid <-> ЕГН PKI
  13. 13. Use-cases • Use-case 1: идентификация в държавен сайт • Use-case 2: идентификация с предоставяне на данни в реално време • идентификация + оторизация • публичен сектор - здравеопазване, НАП • частен сектор - банки, онлайн магазини
  14. 14. Use-cases • Use-case 3: анонимна идентификация с цел повторно разпознаване • градски транспорт, сайтове • Use-case 4: достъп до данни в background режим • няма отношение към eid • в момента ежедневна репликация на бази
  15. 15. Въпроси • ...към IdP • имате ли 18? • в София/Варна/… ли живеете?
  16. 16. Съществуващи решения • Австрия • Естония • Германия • Idemix • U-Prove
  17. 17. Австрия • java applet • mobile id (sms, HSM) • ssPIN (секторен идентификатор) • генериран на клиента
  18. 18. ssPIN
  19. 19. Австрия - проблеми • usability • Java - no-go • security • applet-ът е уязвим • ssPIN replay • sms authentication • MITM, phishing • hash в SMS
  20. 20. Естония • сертификат • Три имена • ЕГН • TLS clientAuth • http://open-eid.github.io/ • ЕГН -> X-Road -> данни
  21. 21. X-Road
  22. 22. Естония - проблеми • липса на Identity Provider • mobile-ID чрез custom SIM • privacy
  23. 23. Германия • само безконтактен чип • desktop приложение • вкл. управление на “псевдоними” • четец с активация
  24. 24. Германия - проблеми • скъпи честци • usability (активация) • малко използвано • загуба на карта => загуба на секторен ID
  25. 25. IBM, Microsoft • Anonymous credentials • Idemix • атрибути, domain pseudonym • бавен, без revocation, лоша ползваемост с карти • U-Prove • атрибути • без revocation, лоша ползваемост с карти
  26. 26. Anonymous credentials • приложимост за национална схема за e-id • ...всеки иска ЕГН • атрибутите не трябва да са на картата • ползваемост • ръчно генериране на псевдоними • използване на специфичен софтуер • нужда от познаване на концепциите: атрибути, анонимност, и т.н.
  27. 27. STORK • Идентификация в рамките на ЕС • SAML • Федерирана идентификация • PEPS (Pan-European Proxy) = IdP = ЦЕИ • ужасна client-side имплементация на пилотния проект
  28. 28. STORK
  29. 29. Българско eid: концепция • open source от ден 1 • отворени стандарти • TLS clientAuth • оторизация а-ла oauth • секторен идентификатор • sha512(encrypt(identifier + sectorKey, privateKey))? • загубена карта=загуба на секторен идентификатор • генериран от IdP (с частен ключ)?
  30. 30. На картата • само eid (UUID?) • всички останали данни - от първичните регистри • кръвна група • двойка ключове • dual interface чип?
  31. 31. идентифицира се изисква clientAuth Use-case 1, 2 Гражданин IdP (ЦЕИ) SP Регистър e-id Първични регистри отваря redirect (sp_id) redirect (token) проверява ЕГН проверява информация (2)
  32. 32. Use-case 3 • Само гражданин и Service Provider • Директен clientAuth • Само eid, без други данни • Tрябва да приемем заобикалянето на IdP
  33. 33. Usability • без java аплети и ActiveX • по възможност без допълнителен софтуер • еднократна инсталация, ако е нужно • browser add-ons / pkcs11 модул / root сертификат • без допълнителен UI • usability проблеми -> оперативни IdP проблеми • Смартфон - с NFC
  34. 34. …държавата иска да ме следи!
  35. 35. Не ...но не ѝ вярваме, затова вземаме мерки.
  36. 36. Privacy • държавата вече има всичко • имоти, фирми, коли, местоживеене, роднини, наследници, и т.н. Следене на мобилния телефон. • т.е. “privacy” се отнася до: • достъп до данните ни от частния сектор • право по закон vs желание на гражданина • следене на действия (возене в градски транспорт, теглене от банкомат) от държавата
  37. 37. Privacy - как • секторен идентификатор. • usability vs security, ръчно управление • атака: 1. request sectorId 2. request eid. 3 асоцииране • атомични въпроси към IdP • в бъдеще: криптиране на данните в първичните регистри? • контрол върху история и данни за нас (ЗЕИ) • ЗЗЛД (+ефективно прилагане)
  38. 38. Big Brother не е телекранът – телекранът може да бъде счупен или спрян. Big Brother е това, което ни кара да не спрем телекрана.
  39. 39. Злоупотреби? • мерки в зависимост от случая • смарткарта (никой не може да се представи за вас) • 2-factor authentication • sms • mobile app • биометрия
  40. 40. Злоупотреби? (2) • четци с хардуерна клавиатура • ...и биометрия • NFC security (ICAO) • период за отказ на действието • заб: eid vs КЕП • спиране на сертификат при загуба
  41. 41. Съгласуване • експертно участие • обратна връзка • следене на имплементацията (GitHub) За коментари: b.bozhanov@government.bg
  42. 42. Източници http://www.a-sit.at/pdfs/rp_eid_in_austria.pdf https://eid.eesti.ee/index.php/Authenticating_in_web_applications http://www.securitydocumentworld.com/creo_files/upload/client_files/whitepaper_comparison_of_eid1.pdf http://nelenkov.blogspot.be/2013/10/signing-email-with-nfc-smart-card.html https://www.a-sit.at/pdfs/Praesentationen%20ab%202011/20150429%20MobileID%20London%20- %20Austrian%20mobile%20ID.PDF https://www.enisa.europa.eu/activities/identity-and-trust/trust-services/eid-cards-en/at_download/fullReport https://www.digitales.oesterreich.gv.at/site/6528/default.aspx#a1 http://cdn.ttgtmedia.com/searchSecurityUK/downloads/RH4_Arora.pdf http://blog.xot.nl/2012/05/08/the-new-german-eid-card-has-security-privacy-and-usability-limitations/ http://www.id.ee/public/The_Estonian_ID_Card_and_Digital_Signature_Concept.pdf http://www.cs.kau.se/IFIP-summerschool/slides/herbert.pdf http://essay.utwente.nl/65593/1/BadarinathHampiholi_Masters_EEMCS_faculty.pdf
  43. 43. Благодаря!

×