Elektronické doklady v ČR
Kam jsme se dostali a kde to ještě vázne?
2
Osnova
● Cestovní doklady s biometrickými prvky (ePasy) ● Elektronické povolení k pobytu (ePKP) ● Elektronické občanské průkazy (eOP)
3
Osnova
● Cestovní doklady s biometrickými prvky (ePasy) ● Elektronické povolení k pobytu (ePKP) ● Elektronické občanské průkazy (eOP)
4
Cestovní doklady s biometrickými prvky (ePasy)
● 1. etapa CDBP – e-cestovní doklady se základním biometrickým údajem (fotografie) ● Vydávány od 1. 9. 2006 ● Vybudování infrastruktury pro vydávání pasů s podporou technologie ICAO ● Ověření autenticity a integrity pasu ● Oprávnění pro přístup k datům ● Standardy ICAO, EU
5
Cestovní doklady s biometrickými prvky (ePasy)
● 2. etapa CDBP – e-cestovní doklady s rozšířenou biometrikou (otisk prstu) ● Vydávány od 1. 4. 2009 ● Vybudována infrastruktura pro vydávání pasů s podporou technologie EAC ● Bezpečný sběr otisků prstů ● EAC primárně zajišťuje autentizaci inspekčních systémů k biometrickým datům uloženým v čipu ● Sekundární dopad je autentizace čipu ● Zajištění utajení obsahu dat vyčítaných z pasu
6
Cestovní doklady s biometrickými prvky (ePasy)
● 3. etapa CDBP – budování komunikační infrastruktury mezi státy ● SPOC (systém pro výměnu dat mezi národními systémy států EU) Výměna žádostí o certifikáty a certifikátů pro čtení otisků prstů mezi jednotlivými státy EU prostřednictvím protokolu SPOC (Protokol pro správu klíčů Národní ověřovací certifikační autority používaný SPOC ČSN 36 9791/2009, ed. A)
● ICAO-PKD (systém pro distribuci informací pro ověření pravosti e-pasů) certifikáty pro ověření pravosti, CRL mezi účastníky systému (cca 40 států z 90, které vydávají e-pasy)
● Oba systémy byl implementován v období 3/2010-3/2011 včetně mezinárodních testů
7
Cestovní doklady s biometrickými prvky (ePasy)
8
Cestovní doklady s biometrickými prvky (ePasy)
Objem výroby ePasů v letech 2001 až 2013
9
Cestovní doklady s biometrickými prvky (ePasy) Připravované aktivity
● Vydávání pasů - nová generace ePasů (3. generace) ● Rozhodnutí Komise (2011) 5499 ze dne 4. srpna 2011 TS - Supplemental Access Control for Machine Readable Travel Documents zavádí nový mechanismus přístupu založený na Password Authenticated Connection Establishment (PACE v2) Zavádí nový způsob hodnocení kvality otisků prvků
● Termín pro implementaci 31.12.2014
10
Cestovní doklady s biometrickými prvky (ePasy) Co nám ještě chybí
● Kontrolní systémy ● Existuje Samostatné inspekční systémy • Kontrola podpisu dat • Případně porovnání biometrické fotografie (tzv. eGate – letiště)
● Chybí Inspekční systémy umožňující kontrolu otisku prstu Systém jednotné distribuce bezpečnostních dat pro elektronické doklady Národní kontrolní autorita • Oprávnění pro vyčítání otisků prstů
11
Cestovní doklady s biometrickými prvky (ePasy) Co nám ještě chybí
● Pilot eGate – Letiště Václava Havla ● ● ● ● ●
Počet odbavených od 12/11 – 265 000 Aktuálně odbavováno více jak 22 000 cestujících za měsíc Odbaveni cestující z 30ti států EU, EEA a CH Od 1.9. možno využít pro osoby starší 15ti let Průměrný čas odbavení 16 – 18 sekund – kompletní odbavení, kdy je systém připraven pro dalšího cestujícího
● V této chvíli není možná kontrola otisku prstů ani v druhém sledu
12
Cestovní doklady s biometrickými prvky (ePasy) Aktivity MONET+
● V rámci implementace SPOC bylo vyvinuto a připraveno rozhraní pro připojení národní autority a distribuci dat pro kontrolu ePasů ● V testovacím systému MV nasazen systém pro práci s oprávněními pro vyčítání otisků prstů z pasů cizích státních příslušníků, otestováno na testovacích dokladech NSR, GB, FI, IT
13
Osnova
● Cestovní doklady s biometrickými prvky (ePasy) ● Elektronické povolení k pobytu (ePKP) ● Elektronické občanské průkazy (eOP)
14
Elektronické povolení k pobytu (ePKP)
● Realizováno v jedné etapě – Rozhodnuto zavést oba biometrické údaje současně ● ● ● ●
15
V ČR vydávány od 4. 7. 2011 Pro sběr dat využívána stejná infrastruktura, jako pro cestovní doklady Čip technologicky totožný s ePasem Standardy ICAO, EU
Elektronické povolení k pobytu (ePKP)
16
Elektronické povolení k pobytu (ePKP)
Objem výroby ePKP v letech 2011 až 2013
17
Elektronické povolení k pobytu (ePKP) Připravované aktivity
● Vydávání ePKP nové generace ● Rozhodnutí Komise (2011) 5499 ze dne 4. srpna 2011 TS - Supplemental Access Control for Machine Readable Travel Documents zavádí nový mechanismus přístupu založený na Password Authenticated Connection Establishment (PACE v2) Zavádí nový způsob hodnocení kvality otisků prvků
● Termín pro implementaci 31.12.2014
18
Elektronické povolení k pobytu (ePKP) Co nám ještě chybí
● Kontrolní systémy ● Existuje Samostatné inspekční systémy • Kontrola podpisu dat
● Chybí Inspekční systémy umožňující kontrolu otisku prstu Systém jednotné distribuce bezpečnostních dat pro elektronické doklady Národní kontrolní autorita • Oprávnění pro vyčítání otisků prstů
19
Osnova
● Cestovní doklady s biometrickými prvky (ePasy) ● Elektronické povolení k pobytu (ePKP) ● Elektronické občanské průkazy (eOP)
20
Elektronické občanské průkazy (eOP)
● Realizováno v jedné etapě za 5 měsíců ● V ČR vydávány od 1. 1. 2012 ● Nutnost paralelizace činností se všemi riziky a to ve dvou rovinách Vývoj řešení eOP bez čipu Vývoj řešení eOP s čipem
● Pro sběr dat využívána stejná infrastruktura, jako pro cestovní doklady ● Standardy ICAO, národní standardy, doporučení EU
21
Elektronické občanské průkazy (eOP)
22
Elektronické občanské průkazy (eOP)
Objem výroby eOP v roce 2012 a 2013
23
Elektronické občanské průkazy (eOP) Co nám ještě chybí
● Možnost elektronické autentizace ● Bezpečnostní osobní kód - BOK Slabá a zranitelná autentizace Nutno doplnit dalším zabezpečením Autentizační systém nemá rozhraní publikovaná do Internetu
● Čip Legislativa neumožňuje elektronickou autentizaci • Autentizační certifikát není možné do čipu eOP uložit • Teoretická možnost využití existující autentizace čipu
24
Elektronické občanské průkazy (eOP) Co nám ještě chybí
● Aplikace na čipu ● Využití čipu jako úložiště dat, které se na kartu nevejdou Inspirace v ePasech
● Důkaz věku držitele Prodej přes internet • Alkohol • Tabák
Automaty
25
Elektronické občanské průkazy (eOP) Aktivity MONET+
● Řešení BOKGuard ● Hardwarový prostředek pro bezpečné ověření BOK v ROB
● Demo ověření BOK v prostředí internetu ● Na bázi autentizačního systému C.A.S.E. ● Federace identit - SAML 2.0 ● Možné využít i pro přeshraniční autentizaci (STORK)
26
Děkuji za pozornost Bc. Libor Šmíd
[email protected]