Nowy dowód osobisty w technologii otwartej czy zamkniętej?

Newsweek napisał ostatnio, że urzędnicy "ustawiają" wart 400 mln zł przetarg na nowe dowody osobiste zmieniając decyzję w sprawie technologii, w jakiej mają być kodowane dokumenty. To ma faworyzować dwóch z pięciu oferentów...

W czerwcu przedstawiciele resortu zapowiedzieli, że dokument będzie działał na podstawie tzw. wirtualnego systemu operacyjnego. Oprogramowanie tej technologii jest otwarte, więc kolejne aplikacje mogą tworzyć różne firmy (np. wyłaniane w przetargach). Jednak 15 lipca ministerstwo zmieniło stanowisko, wskazując, że właściwsza w wypadku polskich e-dowodów będzie starsza technologia, natywna. W jej ramach każdy producent oddzielnie rozwija oprogramowanie - pisze Newsweek. Dzięki temu w lepszej sytuacji maja być - startujące w przetargu - PWPW oraz Sygnity i Wasko. W przetargu startują też: konsorcjum Consortia, On Track Innovations Ltd., ASEC i Trusted Information Consulting oraz konsorcjum DGT- Allami Nyomda Nyrt - Challange Card Design Plastikkarten, Allami Nyomda Nyrt i Challange Card Design Plastikkarten GmbH.

Jaką więc technologię wybrać? Poniższym materiałem chcielibyśmy rozpocząć redakcyjną dyskusję. Tekst ten oczywiście pokazuje tylko jedną stronę - karty Java. Innym możliwym rozwiązaniem są karty Multos, które są o wiele bezpieczniejsze od Javowych i wolne od ograniczeń licencyjnych. Karty Java są licencjonowane w taki sposób, że trzeba płacić za każdą aplikację i każdą zmianę w niej. To dlatego zmiana kodu PIN na karcie chipowej kosztuje w każdym banku i to czasami dość sporo. Choć zgadzamy się, że karta natywna nie jest bezpieczniejsza od javowej, gdyż żaden zamknięty standard nigdy na dłuższą metę nie był bezpieczny. Standardy otwarte, które dokładnie przetestowano, jak dotąd zawsze wygrywały. Co więc powinno wybrać MSWiA?

Oto pierwszy z głosów w dyskusji. Poniżej publikujemy tekst Sławomira J. Cieślińskiego.

Od ponad pół roku toczy się w trybie dialogu konkurencyjnego przetarg na dostawę blankietów i oprogramowania nowego polskiego dowodu osobistego wyposażonego w mikroprocesor (tzw. eID). Niedawno wróciła sprawa wyboru technologii dla PL.ID.

Obiecywany od prawie 2 lat przez MSWiA termin emisji tego nowego dokumentu dla obywateli - od 1 lipca bieżącego roku - nie został dotrzymany, ponieważ resort nie poradził sobie z ustaleniem jego szczegółowej specyfikacji technicznej. I nadal czekamy na jej opublikowanie, w tym w odniesieniu do kluczowej sprawy warstwy elektronicznej tego dokumentu. Wybór technologii systemu operacyjnego będzie miał niebagatelne znaczenie dla powodzenia projektu i rozwoju e-administracji i "e-governmentu" w Polsce w najbliższych nawet 20 latach. Jak do tej pory jedyną wiadomą jest, że karta będzie dualna (dwustykowa, czyli z interfejsem stykowym, jak i bezstykowym). Reszta szczegółów nie jest jeszcze znana, ale też nie od dziś konkurują z sobą w tym zakresie różne koncepcje co do realizacji warstwy elektronicznej. Przyjrzyjmy sie zatem, jakie są możliwości i jakie rodzą one konsekwencje.

Na początek przypomnijmy wymagania nowej, z 9 czerwca br. - okrojonej w stosunku do poprzedniej - Ustawy o dowodach osobistych wpływające na warstwę elektroniczną tego dokumentu zaplanowanego tym razem do emisji dopiero w 2013r. Zgodnie z brzmieniem par. 13 ust. 1, w pl.ID można wyodrębnić następujące aplikacje realizujące funkcje ustawowe, które na pewno znajdą się na karcie:

• aplikacja do identyfikacji - przechowywująca dane z warstwy graficznej (par. 13.1 pkt 1)
• aplikacja przechowująca certyfikaty elektroniczne do podpisu elektronicznego i uwierzytelnienia "on-line", tzw. aplikacja PKI (par. 13.1 pkt. 2 - 4)
• aplikacja karty ubezpieczenia zdrowotnego (par. 13.1 pkt. 5).

Dodatkowo ustęp 2 tegoż paragrafu stanowi, że "warstwa elektroniczna dowodu osobistego może zawierać dane i aplikacje inne niż określone w ust.1 [...]". Podsumowując można powiedzieć, że karta pl.ID będzie stanowić wieloaplikacyjną platformę, a funkcje dowodu stanowić będą katalog otwarty, z możliwością późniejszego dodawania funkcji poprzez dodawanie danych i aplikacji.

Na rynku kartowym konkurują dwie różne technologie systemów operacyjnych kart chipowych: tzw. natywne oraz otwarte, oparte o wirtualne maszyny (np. JavaCard).

Karta natywna posiada system operacyjny oparty na własnym rozwiązaniu firmy jej producenta-dostawcy. W konsekwencji tylko ten dostawca zna implementację, może wprowadzać modyfikacje dodające nowe funkcje, itd. Istnieje wielu dostawców kart natywnych (historycznie tylko takie były dostępne na początku), co oznacza, że wybór konkretnej karty natywnej to w pewnym sensie uzależnienie się od konkretnego dostawcy. Ponadto jeśli jednak weźmie się pod uwagę produkty kartowe dla segmentu eID, to możliwość wyboru ogranicza się w tym przypadku w praktyce tylko do 2 - 3 uznanych firm.