karta microSD + java card dla komórek

Jakiś czas temu oglądałem bardzo ciekawy produktu Giesecke & Devrient pod nazwą Mobile Security Card CL. Prezentujący go inżynier pokazywał wersję nad którą jeszcze pracowali i nie wszystko jeszcze działało jak trzeba.

GD_microSD

OK, ale o co chodzi? Chodzi o połączenie karty microSD, standardowo używanej w telefonach komórkowych, razem z Java Card. Co ważne karty inteligentnej, która jest dualna (posiada interfejs stykowy i zbliżeniowy). Daje nam to możliwość rozszerzenia telefonu o podpis elektroniczny, bilet komunikacji miejskiej, kontrolę dostępu czy też płatności zbliżeniowe.

Jak mam w takim razie podpisać plik który znajduje się na moim laptopie wykorzystując komórkę wyposażoną w Mobile Security Card CL? Takie było moje pierwsze pytanie do pracownika G&D. Jak się okazało dość prosto. Miły Pan użyczył mi kartę, którą włożyłem do aparatu pracującego pod kontrolą Windows Mobile i podłączyłem telefon do komputera za pomocą standardowego kabla mini USB. Na laptopie pokazał się kreator wykrywania nowego sprzętu, po czy zakomunikował że czytnik kart został zainstalowany poprawnie. Teraz wystarczyło tylko zainstalować jeszcze  middleware StarSign i już można było zobaczyć certyfikaty na karcie microSD.

A co z interfejsem zbliżeniowym? Otóż karta, oprócz standardowych złączy karty microSD, posiada jeszcze dwa do których należy podłączyć antenę dla interfejsu ISO 14443. Tu niestety pojawia się problem – nie ma jeszcze telefonów które taką antenę posiadają. Można co prawda użyć do tego specjalnego breloczka, posiadającego antenę ,ale jest to raczej rozwiązanie tymczasowe.

Podpis elektroniczny – nowy projekt ustawy

Kika dni temu na stronach Ministerstwa Gospodarki ukazał się projekt ustawy o podpisach elektronicznych. Wprowadzone zmiany w stosunku do wersji z 28-go października są dość istotne. Patrząc na ostatnią wersję projektu nasuwa mi się kilka spostrzeżeń i uwag:

  1. Duży wpływ na projekt nowej ustawy miał The Austrian E-Government Act. Dobrze że rząd bierze przykład ze sprawdzonych rozwiązań i nie wprowadza na siłę „własnych rozwiązań”.
  2. Można zauważyć że Ministerstwo Gospodarki (wraz z MSWiA?) wpadło na pomysł jak wykorzystać dowód elektroniczny pl.ID jako nośnik e-podpisu. „Dla potrzeb elektronicznych dokumentów tożsamości wprowadzony został podpis urzędowy weryfikowany przy pomocy certyfikatów urzędowych.” Obecnie cena wydania certyfikatu bezpiecznego podpisu elektronicznego wynosi od 160 do 220 złotych, a jego roczne uaktualnienie od 90 do 95 złotych. To główny hamulec rozpowszechnienia się usług wykorzystujących e-podpis. Jeśli więc podpis urzędowy będzie darmowy i znajdzie się od razu na każdym dowodzie to jest szansa na jego wykorzystanie w szerszej skali.
  3. Projekt wprowadza większą ilość, lepiej dopasowanych e-podpisów co powinno skutkować obniżeniem ich ceny. Przykładem nowego rodzaju podpisu elektronicznego może być podpis urzędowy. „Ustawa przewiduje rozszerzenie listy usług certyfikacyjnych, a zwłaszcza katalogu dostępnych rodzajów podpisu elektronicznego, co umożliwi lepsze dostosowanie narzędzi oraz ich ceny do potrzeb administracji publicznej oraz przedsiębiorców.”
  4. W projekcie ustawy śladem rozwiązań austriackich odchodzi się od pojęcia bezpiecznego podpisu elektronicznego na rzecz jego odpowiednika w nomenklaturze wspólnotowej, którym jest podpis kwalifikowany (qualified aignature). Czyli w okresie przejściowym będziemy mieli pojęcia równoznaczne: bezpieczny podpis elektroniczny = podpis kwalifikowany.
  5. Dziwny jest trochę zapis art. 2 pkt 15 „Bezpieczne urządzenie do składania podpisu elektronicznego jest to urządzenie do składania podpisu elektronicznego, spełniające wymogi dyrektywy 1999/93/WE i ogólnie uznane normy ustalone na podstawie art. 10 tej dyrektywy oraz uznane za takie przez Agencję Bezpieczeństwa Wewnętrznego lub właściwy podmiot w państwie obowiązanym do stosowania tej dyrektywy (bezpieczne urządzenie).” Przecież dyrektywa definiuje twór prawny, a nie techniczny! Zapewne ukaże się rozporządzenie do ustawy, które będzie opisywać jakie są wymagania dotyczące bezpiecznego urządzenia do składania podpisu elektronicznego (SSCD Secure Signature-Creation Device).

ZAŁĄCZNIK III – Dyrektywa Parlamentu Europejskiego i Rady 1999/93/WE

Wymogi dotyczące bezpiecznych urządzeń służących do składania podpisu elektronicznego

1. Bezpieczne urządzenia służące do składania podpisów muszą przez właściwe środki techniczne i proceduralne zapewnić co najmniej, że:

a) dane użyte do złożenia podpisu praktycznie stykają się tylko raz oraz zapewniona jest ich poufność w rozsądny sposób;

b) można mieć wystarczającą pewność, że dane służące do składania podpisu użyte do złożenia podpisu nie mogą, być pozyskane poprzez dedukcję oraz podpis jest chroniony przed fałszowaniem za pomocą aktualnie dostępnej technologii;

c) dane użyte do złożenia podpisu mogą być chronione przez uprawnionego podpisującego przed użyciem przez innych w sposób godny zaufania.

2. Bezpieczne urządzenia służące do składania podpisu nie mogą zmieniać danych które mają być podpisane ani nie mogą uniemożliwiać, by dane te zostały przedstawione podpisującemu przed złożeniem podpisu.

CDN.

Warto zobaczyć:

http://www.piit.org.pl/piit2/index.jsp?place=Lead02&news_cat_id=19&news_id=4268&layout=2&page=text

http://www.id.ee/?lang=en