Intencja zastosowania rozwiązania otwartego została także potwierdzona w uzasadnieniu do projektu Ustawy o zmianie ustawy o dowodach osobistych i ustawy o ewidencji ludności, projekt z dn. 12.04.2011 (cyt): "dodano sformułowanie "lub aplikacji", mając na względzie, iż obecnie trudno jest przewidzieć, czy Minister Zdrowia w wolnej przestrzeni będzie zamieszczał wyłącznie dane, czy również aplikacje" oraz w wystąpieniu wiceministra SWiA Piotra Kołodziejczyka w Sejmie w dn. 7.06.2011 (cyt): "Chciałbym zwrócić uwagę Wysokiej Izby na zapis art. 13 ust. 2, który mówi, że pozostawiamy przestrzeń, do której mocą Wysokiej Izby mogą być wgrywane kolejne funkcjonalności."

Należy zwrócić też uwagę, że zarówno w przypadku aplikacji KUZ, jak i wszystkich innych zainstalowanych na karcie, może nastąpić potrzeba ich modyfikacji w przyszłości. W przypadku kart typu otwartego jest możliwość wymiany (aktualizacji) określonego apletu bez potrzeby wymiany kart już wydanych na nowe, co nie jest bez znaczenia gdy mamy do czynienia z relatywnie drogimi kartami (bo z różnymi zastosowanymi w nich zabezpieczeniami np. także poligraficznej natury).

Warto w tym miejscu kwestii bezpieczeństwa poświęcić nieco więcej uwagi. Możliwość wgrywania oprogramowania do kart otwartych daje olbrzymie korzyści i niewątpliwie nową jakość, ale także wprowadza nowe zagrożenia w porównaniu do kart natywnych. Na szczęście istnieją standardowe, łatwe w implementacji i użyciu zabezpieczenia systemu operacyjnego kart otwartych uniemożliwiające załadowanie nieautoryzowanego oprogramowania (np. mechanizm DAP zgodnie z Global Platform). Ostatecznie bezpieczeństwo takich kart jest potwierdzone certyfikacją bezpieczeństwa wykonywaną przez niezależną instytucję - a certyfikacja taka jest standardem w segmencie kart dla projektów rządowych (o czym zresztą MSWiA też nie chciało w swoim czasie słyszeć…).

Karty natywne i otwarte są certyfikowane wg tych samych standardów (np. najpowszechniejszy Common Criteria), co potwierdza, że obie technologie są równie bezpieczne. Warto nadmienić, iż jeśli przyjmując hipotetycznie wydawca karty eID nie jest w stanie zapewnić bezpieczeństwa procesu ładowania oprogramowania do karty (co raczej trudno wyobrazić sobie, bo oznaczałoby to de facto utratę zaufania do instytucji państwowych we wszystkich innych obszarach związanych z bezpieczeństwem państwa), to w ostateczności na etapie produkcji kart można zablokować fabrycznie taką możliwość. Uzyska się w ten sposób kartę otwartą równoważną w zakresie bezpieczeństwa karcie natywnej. Przy czym nawet tak zablokowana karta typu otwartego nadal będzie posiadać wiele dodatkowych zalet w stosunku do karty natywnej, związnych głównie z możliwością rozdzielenia logicznego poszczególnych funkcji poprzez umieszczenie ich w odrębnych, niezależnych apletach i niezależne zarządzanie nimi. Ponadto zgodnie z art. 22 "Minister właściwy do spraw wewnętrznych w uzasadnionym przypadku [...] wyłącza możliwość wykorzystania części lub całości funkcji elektronicznych [...]". W przypadku kart natywnych nie ma możliwości selektywnej dezaktywacji funkcji. W kartach Java można dezaktywować i aktywować poszczególne aplety niezależnie.

Jak widać warunki projektu pl.ID wymagają użycia technologii otwartej, która nie tylko spełnia wszystkie postawione oczekiwania, ale także daje nowe możliwości i elastyczność. Takie też trendy są obserwowane na świecie. Obecnie prawie wszystkie nowe wdrożenia eID opierają się o karty z systemami JavaCard lub Multos (jedyny większy wyjątek to Niemcy), przy czym zdecydowanie bardziej powszechną jest technologia Java. Także kraje do tej pory używające kart natywnych migrują do kart Java (np. Szwecja, Finlandia). Ogólnie w ostatnich latach obserwowany jest silny trend w kierunku kart typu otwartego w projektach eID - od 2005 roku wdrożono w Europie 9 projektów na platformie Java i tylko dwa natywne. W skali światowej trend jest znacznie silniejszy (17 systemów otwartych i 2 natywne). Co więcej i co ciekawe - od rozpoczęcia przetargu na nowe dowody jesienią 2010 roku MSWiA stało na stanowisku, iż użyte zostaną w tym celu karty javowe, aż tu nagle od kilku tygodni mowa jest o natywnych! Nie ma dymu bez ognia…

Autor tego tekstu - Sławomir J. Cieśliński - jest właścicielem Medien Service firmy doradztwa biznesowego, wyspecjalizowana w zakresie elektronicznej gospodarki, ze szczególnym uwzględnieniem systemów identyfikacyjnych i transakcyjnych ,w tym systemów kartowych.