Αρχική Κάρτα ΠολίτηΒ. Τεχνικά Χαρακτηριστικά της Κάρτας ΠολίτηΣχόλιο του χρήστη Πάυλος Ι. Π. | 24 Νοεμβρίου 2010, 04:02
  • Σχόλιο του χρήστη 'Πάυλος Ι. Π.' | 24 Νοεμβρίου 2010, 04:02

    Να αναφέρω πρώτα μερικά ζητούμενα: 1. Η κάρτα να είναι βασισμένη σε διεθνή, δημοσιευμένα και ανοικτά πρότυπα ώστε ο πολίτης να μπορεί να την διαβάσει με μηδαμινό κόστος. Ενδεικτικά, ένα απλό card reader κοστίζει λιγότερο από €10, και υποθέτωντας ότι τα πρότυπα είναι ανοικτά, το κόστος του σχετικού λογισμικού θα είναι από χαμηλό ως μηδαμινό. -Ελπίζω- να μην πιαστούμε Κώτσοι κάποιας πολυεθνικής και να προμηθευτούμε "ειδικές" κάρτες που δουλεύουν μόνο με "ειδικά" μηχανήματα και ξεπαραδιαστούμε (πάλι). 2. Η κρυπτογραφική υποδομή της κάρτας επίσης να βασίζεται σε δημοσιευμένους αλγορίθμους που τυγχάνουν αναγνώρισης από την διεθνή επιστημονική κοινότητα (μια καλή βάση είναι RSA και SHA-2, ). 3. Θα πρέπει να υπάρχουν ΔΥΟ ΤΟΥΛΑΧΙΣΤΟΝ διαβαθμίσεις στα καταχωρημένα δεδομένα της κάρτας: μερικά στα οποία η κάρτα θα επιτρέπει την ανάγνωση απλά με την τοποθέτησή της σε μια συσκευή ανάγνωσης και ορισμένα πιο ευαίσθητα για τα οποία θα ζητά το PIN του κατόχου της (με κλείδωμα μετά από έναν αριθμό λανθασμένων εισαγωγών). Αυτο θεωρώ είναι απαραίτητο αν η χρήση της κάρτας επεκταθεί και στον ιδιωτικό τομέα, ώστε να χρειάζεται η ρητή συγκατάθεση του πολίτη για την ανάγνωση προσωπικών του στοιχείων. 4. Οι διαβαθμίσεις θα μπορούσαν να είναι παραπάνω από 2, αλλά αυτό θα ήταν προβληματικό από πλευράς ευχρηστίας γιατί ο πολίτης θα πρέπει να θυμάται 2 PIN και να θυμάται ποιό ξεκλειδώνει τι (το PIN του ΑΜΚΑ είναι 1234, το PIN του εκλογικού αριθμού είναι 7890, το PIN για την ψηφιακή υπογραφή είναι 4567... κλπ). 5. Ομοίως με το παραπάνω, υπάρχουν προσωπικά δεδομένα στα οποία δεν υπάρχει κανένας λόγος να έχει πρόσβαση ο ιδιωτικός τομέας (π.χ. δακτυλικά αποτυπώματα), αλλά θα έχουν πρόσβαση (ορισμένες) υπηρεσίες του δημόσιου (στο παραπάνω παράδειγμα, η αστυνομία). Τα τερματικά των υπηρεσιών αυτών θα πρέπει λοιπόν να είναι εφοδιασμένα με επιπλέον ψηφιακά κλειδιά, η προστασία των οποίων είναι μη-τετριμένη. Θα ήθελα κάποιες διευκρινίσεις πάνω σε αυτό. 6. Είναι ίσως σκόπιμο η κάρτα να κρατάει αρχείο αναφορικά με το ποιά προσωπικά δεδομένα διαβάστηκαν από ποιόν και πότε, ώστε ο πολίτης να γνωρίζει αν μία ιδιωτική εταιρία διάβασε πιο πολλά προσωπικά δεδομένα από όσα δήλωσε στον πολίτη ότι θα διαβάσει. Ίσως όμως κάτι τέτοιο είναι δύσκολο στην εφαρμογή. Επίσης, το σημαντικό είναι να μπορεί να ελέγξει ο πολίτης ποιές πληροφορίες έχει τη δυνατότητα να διαβάσει ένας τρίτος, και όχι απλά να πληροφορηθεί για το τι διάβασε ο τρίτος 7. Καλύτερο λοιπόν, είναι ο πολίτης να μπορεί χρησιμοποιώντας τον Η/Υ του να κλειδώνει και να ξεκλειδώνει κατα βούληση την πρόσβαση τρίτων στα προσωπικά του δεδομένα, αποθηκεύοντας στην κάρτα του κανόνες της μορφής "επιτρέπω στην εταιρία με επωνυμία ΦΟΥΦΟΥΤΟΣ ΑΕ και δημόσιο κλειδί 12345 πρόσβαση στο πεδίο ΑΦΜ". Κάτι τέτοιο όμως έχει μεγάλες ως τερράστιες απαιτήσεις τόσο σε υποδομές, όσο και σε τεχνική κατάρτιση από τους πολίτες. _______________________________________________________________________________ Επίσης θα ήθελα να σχολιάσω μερικές από τις ιδέες που ανέφεραν άλλοι συνομιλητές: Α. Σχετικά με την πρόσβαση στα δεδομένα της κάρτας μέσω internet και την μη-χρήση card reader: Αυτό ανοίγει ένα μεγαλούτσικο παράθυρο, μιας και η υπηρεσία αυτή θα είναι ένας εξαιρετικός στόχος για κάθε έναν που θα θέλει να υποκλέψει προσωπικά δεδομένα, και κάνει την υποκλοπή τους ενδεχομένως ευκολότερη από την κλοπή της ίδιας κάρτας. Επίσης, η υπηρεσία αυτή, εξ'ορισμού μπορεί να μας πληροφορήσει για το ποιά δεδομένα -θα-πρέπει- να υπάρχουν στην κάρτα. Για να ξέρουμε τι -πράγματι- υπάρχει στην κάρτα, πρέπει να διαβάσουμε την κάρτα. Επίσης, το card reader θα είναι απαραίτητο έτσι και αλλιώς για να μπορούμε να υπογράφουμε ψηφιακά. Να ξαναθυμίσω εδώ το χαμηλό κόστος ενός reader είναι κοντά στα €10, οπότε το κόστος ενός Η/Υ με card reader είναι λίγο-πολύ το ίδιο με το κόστος ενός Η/Υ με πρόσβαση στο internet. Β. Σχετικά με την αντίρρηση ορισμένων στα bar-codes: Δυσκολεύομαι να καταλάβω αν η αντίρρηση αυτή έχει να κάνει την εμφανισή τους ή με τη λειτουργία τους. Αν έχει να κάνει με την εμφάνιση, μπορούμε απλά να χρησιμοποιήσουμε QR-codes ή κάτι ανάλογο (βλ. http://el.wikipedia.org/wiki/QR_Code) ή απλά οπτική ανάγνωση των χαρακτήρων που θα είναι γραμμένοι στην κάρτα (με μεγαλύτερο κόστος όμως και χαμηλότερη αξιοπιστία). Αν έχει να κάνει με τη λειτουργία, όσοι θα είχαν πρόβλημα με το barcode θα έχουν πρόβλημα και με το τσιπ, οπότε δεν αλλάζει κάτι η μη-χρήση του στις κάρτες. Γ. Σχετικά με τη χρήση του 666: Λόγω ίσως της ενασχόλησης μου με θέματα κυρίως τεχνικά, δυσκολεύομαι να καταλάβω γιατί ένας αριθμός είναι "χειρώτερος" από εναν άλλον, και γιατί θα πρέπει να αποφύγουμε την χρήση και την καταγραφή του. Θα ήθελα κάποιος από όσους έχουν αντιρρήσεις στη χρήση του παραπάνω αριθμού να κάνει τον κόπο να μου εξηγήσει 2-3 πράγματα: Τι θεωρείται αναγραφή του αριθμού αυτού; Αν μένω Φερ' ειπείν στο εξωτερικό και ο ταχυδρομικός μου κώδικας περιέχει τον αριθμό 666 τι θα πρέπει να καταγραφεί στη διευθυνσή μου; (Μια γρήγορη αναζήτηση στο Google θα σας πείσει ότι στην Topeka του Kansas οι ταχυδρομικοί κώδικες είναι αριθμοί ανάμεσα στο 66601 και το 66699). Αν κάποιος μένει στον αριθμό 666 κάποιου δρόμου τι πρέπει να γράφει η κάρτα του; Αν ο παραπάνω αριθμός εμφανιστεί ως ενδιάμεσο αποτέλεσμα κάποιου κρυπτογραφικού υπολογισμού τι κάνουμε; Αν εμφανιστεί ως αριθμητική τιμή κάποιου μετρητή; Π.Χ. μπορεί η κάρτα να μετρά πόσες φορές έχει χρησιμοποιηθεί ή να καλείται να υπολογίσει πόσες μέρες έχουν περάσει από την έκδοσή της ή από την τελευταία αλλαγή PIN. Αν το PIN που επιλέξω περιέχει τον παραπάνω αριθμό η κάρτα θα πρέπει να μου επιτρέψει τη χρήση του; Αν χρησιμοποιήσω την κάρτα για να υπογράψω ψηφιακά ένα κείμενο με τον παραπάνω αριθμό (ένα τιμολόγιο για 666 ευρώ πχ ή απλά ένα κείμενο που αναφέρει τον αριθμό --όπως αυτό εδώ το κείμενο) η κάρτα πρέπει να δεχθεί την απόφασή μου και να επεξεργαστεί το κείμενο ή όχι;