Európska únia vydala návrh nariadenia o posilnení ochranných prvkov a technológií dokladov totožnosti. To okrem iného znamená, pridať bezkontaktné rozhranie k už existujúcemu kontaktnému čipu, ktorý máme na aktuálnom doklade totožnosti.
Nové bezkontaktné rozhranie s „pasovou“ aplikáciou bude dôležité pre dôslednejšiu a efektívnejšiu kontrolu a zvýšenie bezpečnosti pri prechode hranicami, najmä do Schengenského priestoru. V ňom sa totiž nemusíte preukázať pasom, ale stačí použiť aj identifikačný doklad.
“Prítomnosť elektronických ochranných prvkov v podobe bezkontaktného čipu so spomínanou „pasovou“ aplikáciou výrazným spôsobom eliminujú možnosti vyhotovenia falzifikátov,” vysvetľuje Peter Handzuš, Solution Architect DXC Technology a odborník na eID.
Podľa odborníka v žiadnom prípade nejde o čipovanie ľudí. Reč je o doplnení bezkontaktného čipu na fyzickom doklade totožnosti eID. Nariadenie sa pritom sústredí najmä na krajiny, v ktorých sú doklady totožnosti vybavené nízkym zabezpečením a bežnými ochrannými prvkami.
Napríklad, klasické laminované doklady, alebo plastové kartičky s veľmi jednoduchými ochrannými prvkami predstavujú vysoké riziko falšovania, krádeže identity. “Práve tieto slabiny sa snažia využiť rôzne indivíduá aj organizovaní páchatelia teroristických činov a podobne,” pokračuje Handzuš.
Zabezpečenie ochrany údajov
Navrhované pridanie „pasovej“ aplikácie na eID sa musí riadiť bezpečnostnými štandardmi. Patria sem aj bezpečnostné mechanizmy pre zachovanie vzájomnej spolupráce systémov. Nutná je aj možnosť vykonávať kontrolu spoľahlivým a jednotným spôsobom na hraničných priechodoch či letiskách.
Spôsob kontroly však nemôže ohroziť plynulosť. Práve preto sa preferuje komunikácia bezkontaktným rozhraním certifikovaného bezpečnostného čipu. Handzuš spomína dva spôsoby kontroly prístupu k čipu a uloženým údajom podľa Medzinárodnej organizácie pre civilné letectvo: Základný (BAC) a dodatočný (PACE, resp. SAC).
Oba majú za cieľ zabrániť neoprávnenému prístupu k osobným údajom alebo odpočúvaniu komunikácie medzi čipom a kontrolným zariadením, a to tak, že komunikáciu zašifrujú. Čip nesprístupní údaje ak neprebehla kontrola prístupu a nadviazanie šifrovaného spojenia.
Pre dodatočné biometrické prvky (odtlačky prstov) sa využíva najpokročilejší mechanizmus rozšírenej kontroly (EAC). Vykonáva sa vzájomná autentifikácia, teda na jednej strane doklad potvrdí, že je pravý a nebol pozmenený a na druhej strane kontrolné pracovisko „dokáže“ dokladu, že je skutočné a autorizované pre prístup k požadovaným údajom.
Biometrický údaj v podobe odtlačkov prstov nie je možné získať bez špeciálneho terminálového certifikátu od Ministerstva vnútra SR. Terminálové certifikáty majú spravidla krátku dobu platnosti a sú vydávané výhradne pre účely cezhraničnej kontroly.
Údaje z “pasovej” aplikácie nie je možné získať na diaľku, bez ukázania údajov na doklade. ”Základným predpokladom pre získanie prístupu k údajom „pasovej“ aplikácie na čipe je, aby útočník získal údaje uvedené na doklade v strojovo čitateľnej MRZ zóne (až po otvorení pasovej knižky resp. zo zadnej strany na eID karte).
Ak má teda človek svoj doklad vo vrecku a útočník tieto údaje nikdy nevidel, nemá ich k dispozícii, tak nemôže vyčítať osobné údaje z čipu dokladu vo vrecku držiteľa,” hovorí Handzuš.
Sledovanie pohybu nie je možné
V zásade si môžu krajiny vybrať, či budú svoje bezkontaktné čipy na počiatku komunikácie identifikovateľné fixným alebo náhodným unikátnym identifikátorom. V rámci náhodného identifikátora, ktorý sa využíva aj na slovenských pasoch, nie je sledovanie možné.
Pri každom pokuse nadviazať komunikáciu s „pasovou“ aplikáciou totiž bezkontaktný čip vygeneruje nový, náhodný identifikátor. Tak sa nedá sledovať držiteľ dokladu s konkrétnym unikátnym identifikátorom čipu, ani z neho odvodiť vydávajúcu krajinu dokladu, typ čipu, výrobcu a podobne.
Tiež nie je možné získať z čipu informácie o zdravotných záznamoch občanov. Zdravotné záznamy sa totiž neukladajú v „pasových“ aplikáciách s bezkontaktným čipom a ani na súčasnom kontaktnom čipe eID karty.
V rámci eID karty ale môžu byť na základe požiadania občana uvedené na zadnej strane dokladu. “Zdravotné záznamy sú samostatne uložené v zabezpečenom prostredí systému eZdravie,” pokračuje Handzuš. Pre prístup ku zdravotným záznamom je potrebné sa identifikovať a autentifikovať eID kartou s kontaktným čipom zadaním bezpečnostného osobného kódu.
„Pasová“ aplikácia je odlišná od aplikácie na eID karte a nedá sa nijakým spôsobom použiť na identifikáciu a autentifikáciu pre získanie prístupu ku zdravotným záznamom v systéme eZdravie. Nikto si vás teda nemôže vytipovať “na orgány”, žartuje odborník.
Zdroj: Tlačová správa, Spracovala: Alžbeta Harry Gavendová