Διαχείριση Ηλεκτρονικών Ταυτοτήτων στο πλαίσιο της χρήσης Υπηρεσιών Ηλεκτρονικών Συναλλαγών της Δημόσιας Διοίκησης

Transcript

1 Διαχείριση Ηλεκτρονικών Ταυτοτήτων στο πλαίσιο της χρήσης Υπηρεσιών Ηλεκτρονικών Συναλλαγών της Δημόσιας Διοίκησης

2 Τίτλος Μελέτης: Διαχείριση Ηλεκτρονικών Ταυτοτήτων στο πλαίσιο της χρήσης Υπηρεσιών Ηλεκτρονικών Συναλλαγών της Δημόσιας Διοίκησης Φορέας Υλοποίησης: Ελληνικό Παρατηρητήριο για την Κοινωνία της Πληροφορίας Έκδοση: 1.1 Ημερομηνία: Απρίλιος 2007

3 Πίνακας Περιεχομένων 1. Εισαγωγή Βασικές αρχές & αποσαφήνιση όρων Ταυτοποίηση Αυθεντικοποίηση Πολιτικές, διαδικασίες και υποδομές Ευρωπαϊκό πλαίσιο για την ασφάλεια των συναλλαγών και την ηλεκτρονική ταυτοποίηση Θεσμικό πλαίσιο - Οδηγία 1999/93/ΕΚ Πρωτοβουλίες σε επίπεδο Ευρωπαϊκής Επιτροπής Εξειδίκευση της Ευρωπαϊκής Οδηγίας - διαδικασία προτυποποίησης Σχέδιο Δράσης eeurope-2002 & e-europe Smart Card Charter (eesc) Σχέδιο Δράσης eeurope Σχέδιο δράσης i Διερεύνηση της υφιστάμενη κατάστασης σε επίπεδο χωρών μελών της ΕΕ Ηλεκτρονικές Υπογραφές Υποδομή Δημόσιου Κλειδιού (ΥΔΚ-PKI) Διαχείριση ηλεκτρονικών ταυτοτήτων Ψηφιακά Πιστοποιητικά Έλεγχος Εποπτεία και διασφάλιση συμμόρφωσής των ΠΥΠ Ενδεικτικά αποτελέσματα Εθνικό πλαίσιο για την ασφάλεια των συναλλαγών & την ηλεκτρονική ταυτοποίηση Θεσμικό πλαίσιο - εθνική σχετική νομοθεσία & ρυθμίσεις Η Ψηφιακή Στρατηγική Ο εθνικός σχεδιασμός για την Ψηφιακή Αυθεντικοποίηση χρηστών της Δημόσιας Διοίκησης Το έργο ΣΥΖΕΥΞΙΣ Εθνική Πύλη ΕΡΜΗΣ Μελέτη Πλαισίου Παροχής Υπηρεσιών Ηλεκτρονικής Διακυβέρνησης Το Πρόγραμμα «ΠΟΛΙΤΕΙΑ» Άλλα σχετικά εθνικά έργα και σχεδιαζόμενες εφαρμογές Πάροχοι Υπηρεσιών Πιστοποίησης στην Ελλάδα Διαπιστώσεις και Συμπεράσματα...40 ΠΑΡΑΡΤΗΜΑ: Μελέτες Περίπτωσης σε επιλεγμένες χώρες της ΕΕ...43 Απρίλιος

4 1. Εισαγωγή Με την εισαγωγή των νέων τεχνολογιών της Πληροφορικής και των Επικοινωνιών στον δημόσιο τομέα των ευρωπαϊκών κρατών κι την ανάπτυξη υπηρεσιών ηλεκτρονικής διακυβέρνησης μέσω ανοικτών δικτύων, αναδύεται η ανάγκη διασφάλισης των πληροφοριών στις ηλεκτρονικές συναλλαγές. Αυτές οι συναλλαγές μπορεί να εκτελούνται τουλάχιστο μεταξύ κυβερνητικών οργανισμών (G2G), κυβέρνησης και πολίτη (G2C) ή κυβέρνησης και επιχειρήσεων (G2B). Σε κάθε περίπτωση, διαφαίνονται οι βασικές απαιτήσεις ασφάλειας: Οι χρήστες απαιτούν την μη αποκάλυψη πληροφοριών σε μη εξουσιοδοτημένες οντότητες (εμπιστευτικότητα). Όλα τα δεδομένα που ανταλλάσσονται δεν πρέπει να τροποποιούνται από μη εξουσιοδοτημένες οντότητες κι ο παραλήπτης χρειάζεται να έχει την δυνατότητα να επικυρώσει ότι τα δεδομένα που έλαβε είναι ακριβώς ίδια με τα δεδομένα που είχε στείλει ο αποστολέας (ακεραιότητα). Όλες οι συμμετέχοντες οντότητες πρέπει να προσδιορίζουν με ασφάλεια την ταυτότητά τους (ταυτοποίηση), ενώ ο παραλήπτης των δεδομένων που ανταλλάσσονται (όντας εφαρμογή ή τερματικός χρήστης) θα πρέπει να είναι ικανός να πιστοποιήσει ότι ο αποστολέας είναι πράγματι αυτός που δηλώνει ότι είναι κι όχι κάποιος που τον παριστάνει (αυθεντικότητα). Επίσης, οι οντότητες που συμμετέχουν σε μια ηλεκτρονική συναλλαγή δεν πρέπει να έχουν τη δυνατότητα να αρνηθούν τη συμμετοχή τους στη συγκεκριμένη συναλλαγή σε οποιαδήποτε μελλοντική στιγμή (μη αποποίηση ευθύνης). Σύμφωνα με έρευνα του Παρατηρητηρίου για την ΚτΠ ( ), όσον αφορά στους ιδιώτες, το 33% έχει αντιμετωπίσει προβλήματα ασφαλείας και το 77% έχει λάβει μέτρα ασφάλειας το τελευταίο τρίμηνο. Αντίστοιχα, το 27,5% των επιχειρήσεων με πρόσβαση στο διαδίκτυο, έχει αντιμετωπίσει προβλήματα ασφαλείας και το 90,8% έχει λάβει μέτρα ασφαλείας το τελευταίο τρίμηνο. Αυτό που προκύπτει ως συμπέρασμα είναι ότι τα επίπεδα ασφάλειας κρίνονται ως μη ικανοποιητικά, δημιουργώντας σημαντικά προβλήματα στην ευδοκίμηση κλίματος εμπιστοσύνης. Είναι χαρακτηριστικό του κλίματος το ότι, όπως αναφέρεται από την Πολέμη(2004), τόσο η υποδομή όσο και οι υπηρεσίες πρέπει να δίνουν στον τελικό χρήστη το αίσθημα της ασφάλειας σε σχέση με την παράδοση των υπηρεσιών και τη διαφύλαξη των προσωπικών δεδομένων. Επομένως, οι συναλλαγές μέσω ανοιχτών δικτύων καθιστούν επιτακτική την ανάγκη ασφάλειας, η οποία εξαρτάται σε μεγάλο βαθμό από την ταυτότητα των συναλλασσομένων. Ο χρήστης που συναλλάσσεται ηλεκτρονικά απαιτεί ο παραλήπτης πρέπει να είναι βέβαιος για την ταυτότητα του αποστολέα. Η παρούσα μελέτη αφορά την ταυτοποίηση και αυθεντικοποίηση των πολιτών και επιχειρήσεων, καθώς και των στελεχών της Δημόσιας Διοίκησης, στο πλαίσιο της ασφαλούς χρήσης των δημόσιων υπηρεσιών Ηλεκτρονικών Συναλλαγών. Επομένως, το θέμα της ηλεκτρονικής ταυτοποίησης και αυθεντικοποίησης εξετάζεται από τη σκοπιά των υπηρεσιών Ηλεκτρονικής Διακυβέρνησης. Η ανάγκη για ταυτοποίηση και αυθεντικοποίηση προκύπτει και εφαρμόζεται στις περιστάσεις όπου η Δημόσια Διοίκηση πρέπει να διαπιστώσει την ταυτότητα των συναλλασσομένων πολιτών / επιχειρήσεων και να εξασφαλίσει ότι δεν υπάρχει καμία παραβίαση της μυστικότητας ή της εμπιστευτικότητας, κλοπής / κακής χρήσης των στοιχείων ή ενδεχόμενο άλλης ζημίας. Η παρούσα μελέτη αποσκοπεί: Στην παρουσίαση του θεσμικού πλαισίου, της στρατηγικής, των πρωτοβουλιών, των δράσεων και γενικότερα της προόδου που έχει συντελεστεί στην ανάπτυξη και λειτουργία λύσεων διαχείρισης ηλεκτρονικών ταυτοτήτων σε επίπεδο Ευρωπαϊκής Επιτροπής και χωρών μελών της ΕΕ. Στην παρουσίαση του εθνικού θεσμικού πλαισίου, του εθνικού σχεδιασμού και της προόδου που έχει συντελεστεί σχετικά με την ταυτοποίηση των χρηστών ηλεκτρονικών υπηρεσιών της Δημόσιας Διοίκησης στην Ελλάδα. 1 Παρατηρητήριο για την ΚτΠ Μέτρηση των δεικτών eeurope2005-i2010, Ιανουάριος 2007, Απρίλιος

5 Τα κύρια επιμέρους θέματα που εξετάζονται αφορούν τη διασφάλιση της προστασίας προσωπικών δεδομένων, τους μηχανισμούς διαχείρισης ηλεκτρονικών ταυτοτήτων (ταυτοποίησης και αυθεντικοποίησης) και τους μηχανισμούς εποπτείας που χρησιμοποιούνται, καθώς επίσης και τη χρήση ηλεκτρονικών υπογραφών, υποδομής δημόσιου κλειδιού, ψηφιακών πιστοποιητικών και έξυπνων καρτών σε επίπεδο ΕΕ και κρατών μελών. Τέλος παρατίθενται ορισμένες διαπιστώσεις και συμπεράσματα σε σχέση με τα παραπάνω θέματα, καθώς επίσης οι τάσεις που διαμορφώνονται σχετικά με την ταυτοποίηση και αυθεντικοποίηση των πολιτών και επιχειρήσεων στο πλαίσιο της ασφαλούς χρήσης των δημόσιων υπηρεσιών Ηλεκτρονικών Συναλλαγών σε Ελλάδα και Ευρώπη. Απρίλιος

6 2. Βασικές αρχές & αποσαφήνιση όρων Τα τρία κύρια ζητήματα που αφορούν στην πιστοποίηση της ταυτότητας των Ελλήνων και ευρωπαίων πολιτών και επιχειρήσεων στις συναλλαγές τους με υπηρεσίες της Δημόσιας Διοίκησης είναι: (α) ο προσδιορισμός της ομάδας (set) των πληροφοριών / δεδομένων που μπορούν να ταυτοποιήσουν μια οντότητα (πολίτες και επιχειρήσεις) και (β) οι τρόποι και τα μέσα που μια οντότητα (πολίτες και επιχειρήσεις) μπορεί να αποδείξει (δηλ. να παράσχει δεδομένα επαλήθευσης) την ταυτότητα της (αυθεντικοποίηση) στις συναλλαγές της με τη δημόσια διοίκηση. Δηλαδή η επαλήθευση και η δυνατότητα σύνδεσης των δεδομένων με την οντότητα στην οποία αυτά ανήκουν. (γ) Ένα τρίτο ζήτημα αφορά τις πολιτικές, τις διαδικασίες και τις υποδομές που είναι αναγκαίες για την αποτελεσματική και κυρίως ασφαλή διαχείριση των (α) και (β), με γνώμονα τη δυνατότητα ολοκλήρωσης σε ένα πανευρωπαϊκό σύστημα ταυτοποίησης / αυθεντικοποίησης. Για τον καθορισμό της πολιτικής υλοποίησης και λειτουργίας μιας λύσης Ταυτοποίησης / Αυθεντικοποίησης σε ευρωπαϊκό επίπεδο, καθοριστικό ρόλο παίζουν οι εξής έννοιες Ταυτοποίηση Η ταυτοποίηση αφορά τον προσδιορισμό των πληροφοριών / δεδομένων που μπορούν να ταυτοποιήσουν μια οντότητα (πολίτες και επιχειρήσεις). Σχετικά με την ταυτοποίηση προκύπτουν τα εξής θέματα: o o o Προστασία ιδιωτικότητας: διασφάλιση της προστασίας προσωπικών δεδομένων. Προσωπικά δεδομένα είναι, σύμφωνα με τον Νόμο 2472/1997 και την Οδηγία 95/46/ΕΚ κάθε πληροφορία που αναφέρεται στο πρόσωπό του κάθε ατόμου, π.χ. το όνομα και το επάγγελμά του ατόμου, η οικογενειακή του κατάσταση, η ηλικία του, ο τόπος κατοικίας, η φυλετική του προέλευση, η υγεία του και οι τυχόν ποινικές του διώξεις και καταδίκες. Η προστασία της ιδιωτικότητας είναι ακρογωνιαίος λίθος στην ανάπτυξη και λειτουργία συστημάτων που συλλέγουν και επεξεργάζονται προσωπικά δεδομένα πολιτών. Οι προσωπικές πληροφορίες παίζουν κεντρικό ρόλο και επομένως η ανάγκη της προστασίας τους είναι κλειδί στον καθορισμό της υλοποίησης και λειτουργίας μιας λύσης Ταυτοποίησης / Αυθεντικοποίησης. Εγκυρότητα Μητρώων (Authentic Data Repositories: Conceptual Framework MODINIS p 15) Παρόλο που τα πληροφοριακά συστήματα θεωρούν ότι κάθε οντότητα έχει μια και μοναδική ταυτότητα, στον πραγματικό κόσμο τα άτομα χρησιμοποιούν διαφορετικές ταυτότητες ανάλογα με τον ρόλο που εκτελούν. Αυτοί οι ξεχωριστοί ρόλοι συνήθως καθορίζονται από τις διάφορες δημόσιες επιχειρησιακές λειτουργίες, κατά τη διάρκεια των συναλλαγών του πολίτη με το δημόσιο. Για παράδειγμα, ενώ ένα διαβατήριο πιστοποιεί την κατάσταση του πολίτη-κατόχου του, μια άδεια κυνηγιού και ψαρέματος πιστοποιεί μόνο την δυνατότητα του κατόχου να κυνηγάει και να ψαρεύει. Έτσι, οι δημόσιες υπηρεσίες κατά τις διαδικασίες ταυτοποίησης προσώπων, δημιουργούν διαφορετικά μητρώα (registries) με προσωπικά στοιχεία τα οποία διαφοροποιούνται ανάλογα με την περίπτωση που εξυπηρετούν. Προκειμένου όμως να διασφαλιστεί η ποιότητα των προσωπικών δεδομένων είναι απαραίτητο να υφίσταται μια και μοναδική έγκυρη πηγή για την ταυτοποίηση κάθε ενός από τα στοιχεία (δεδομένα επαλήθευσης) που συνδέονται με την πιστοποίηση της ταυτότητας μιας οντότητας. Μοναδικός Αριθμός Ταυτοποίησης (SIN) για τους Πολίτες και τις επιχειρήσεις. Η χρήση ενός μοναδικού αναγνωριστικού (SIN) διευκολύνει τη διαχείριση εγγραφών και την δυνατότητα ταυτοποίησης και αυθεντικοποίησης στις υπηρεσίες Ηλεκτρονικής Απρίλιος

7 Διακυβέρνησης. Παρόλο που ο αριθμός ταυτότητας φαίνεται να είναι ο πιο κατάλληλος τρόπος μοναδικής ταυτοποίησης ενός πολίτη και διαχείρισης μιας ηλεκτρονικής εγγραφής, ωστόσο η χρήση τέτοιων αναγνωριστικών μπορεί να μην είναι η κατάλληλη για τις επιχειρήσεις η και πολίτες που δεν έχουν την ελληνική υπηκοότητα και ωστόσο έχουν την ανάγκη να συναλλαχθούν με ην Ελληνική Δημόσια Διοίκηση. Σύμφωνα με τις ισχύουσες απαιτήσεις ταυτοποίησης στις διάφορες υπηρεσίες του δημοσίου, μπορούν να χρησιμοποιηθούν εναλλακτικά μοναδικά αναγνωριστικά που να μπορούν να προσδιορίσουν τον πολίτη / επιχείρηση (π.χ. κωδικοί πρόσβασης, κρυπτογραφημένες έξυπνες κάρτες, ψηφιακά πιστοποιητικά, PIN, κλπ). Στο πλαίσιο της Προεδρίας του Λουξεμβούργου το 2005 έγινε μελέτη σχετικά με τη χρήση μοναδικού αριθμού ταυτοποίησης στις χώρες μέλη της Ευρωπαϊκής Ένωσης 2 και ένα από τα βασικά συμπεράσματα της είναι ότι δεν υφίσταται «βέλτιστη» λύση σε Ευρωπαϊκό επίπεδο και ότι οι ιδιαιτερότητες κάθε χώρας (θεσμικές, εθνική κουλτούρα, τεχνικές υποδομές, κλπ) προσδιορίζουν την προσέγγιση και τον χρόνο υιοθέτησης λύσεων ηλεκτρονικής αυθεντικοποίησης 2.2. Αυθεντικοποίηση Αυθεντικοποίηση είναι η δυνατότητα παροχής αδιαμφισβήτητων στοιχείων για την επαλήθευση της ταυτότητα μίας οντότητας. Σχετικά με την αυθεντικοποίηση, προκύπτουν τα εξής θέματα: o o Έλεγχος Αυθεντικότητας (authentication) και επίπεδα εμπιστοσύνης. Πρόκειται για τη διαδικασία επαλήθευσης της ορθότητας του ισχυρισμού ενός χρήστη ότι κατέχει μία συγκεκριμένη ταυτότητα. Οι κυρίως μηχανισμοί αυθεντικοποίησης που έχουν αναπτυχθεί για τον έλεγχο της πρόσβασης σε μια υπηρεσία είναι: Oι κωδικοί πρόσβασης passwords. Οι κρυπτογραφημένες έξυπνες κάρτες Η Βιομετρική (πχ. δακτυλικά αποτυπώματα) Το πλαίσιο toυ ελέγχου πρόσβασης σε μια ηλεκτρονική υπηρεσία θα πρέπει να διασφαλίζεται ότι η ταυτότητα όλων των χρηστών αναγνωρίζεται μοναδικά από το σύστημα και τους παρέχεται πρόσβαση ανάλογα με τις αντίστοιχες εξουσιοδοτήσεις που πρέπει να έχουν. Οι πιθανές επιπτώσεις και ο καταλογισμός ευθυνών στις υπηρεσίες Ηλεκτρονικών Συναλλαγών που επιλέγει ο πολίτης / επιχείρηση καθορίζουν τα επίπεδα εμπιστοσύνης (trust levels) και κατά συνέπεια τους μηχανισμούς αυθεντικοποίησης που υιοθετούνται για τον έλεγχο της πρόσβασης σε μια υπηρεσία. Όσο σοβαρότερες είναι οι πιθανές συνέπειες τόσο μεγαλύτερη θα πρέπει να είναι και η εμπιστοσύνη που απαιτείται σε μια βεβαιωμένη ταυτότητα για να συμμετέχει σε μια ηλεκτρονική συναλλαγή. Άμεσες και έμμεσες επιπτώσεις συμπεριλαμβάνουν οικονομικές επιπτώσεις, θέματα προσωπικής ασφάλειας, και προϋποθέσεων εφαρμογής της νομοθεσίας περί προστασίας προσωπικών δεδομένων. Identifiers & ψηφιακά πιστοποιητικά Η ανάγκη προστασίας δεδομένων καθώς και η ασφαλής ηλεκτρονική επικοινωνία που επιτάσσουν οι αυξανόμενες ηλεκτρονικές συναλλαγές στο διαδίκτυο, οδήγησαν στη δημιουργία υποδομής και στη χρήση ψηφιακών πιστοποιητικών που χρησιμοποιούνται για την πιστοποίηση της ταυτότητας. Το ψηφιακό πιστοποιητικό αποτελεί την ηλεκτρονική βεβαίωση η οποία συνδέει δεδομένα επαλήθευσης με ένα άτομο που επιβεβαιώνει την ταυτότητά του. Το ψηφιακό πιστοποιητικό που κατέχει και επιδεικνύει ένας χρήστης (μια οντότητα) πιστοποιεί την 2 Interoperability of egovernment systems: The identification Number, data sharing and data protection issues, Luxembourg, June Απρίλιος

8 o ταυτότητα του σε τρίτους και παρέχει τα μέσα σε αυτούς να επιβεβαιώνουν αυτή τη ταυτότητα. Ένα ψηφιακό πιστοποιητικό περιλαμβάνει στοιχεία όπως: Το όνομα του κατόχου, Έναν σειριακό αριθμό, Τα δημόσια κλειδιά του κατόχου (ένα για μυστική ανταλλαγή κλειδιού ως αποδέκτη και ένα για ψηφιακή υπογραφή ως αποστολέα) Τον αλγόριθμο που χρησιμοποιεί αυτά τα κλειδιά Τον τύπο του Πιστοποιητικού, Το όνομα της Αρχής Πιστοποίησης, Την ημερομηνία λήξης της ισχύος του πιστοποιητικού, Την ψηφιακή υπογραφή της Αρχής Πιστοποίησης. Εκτός από στοιχεία ταυτοποίησης (επαλήθευσης της ταυτότητας) του υποκειμένου τους, τα πιστοποιητικά μπορούν να περιλαμβάνουν και αναφορά σε συγκεκριμένες (πιστοποιημένες ή μη) ιδιότητες του υποκειμένου (π.χ. επάγγελμα κλπ.). Μια άλλη σχετική δυνατότητα είναι η χρήση άλλων (πρόσθετων) ειδικών πιστοποιητικών ιδιοτήτων (attribute certificates) τα οποία χρησιμοποιούνται παράλληλα με τα 'βασικά πιστοποιητικά'. Η έκδοσή ενός μοναδικού ψηφιακού πιστοποιητικού για κάθε χρήστη βασίζεται στις αρχές της κρυπτογράφησης. Στο πλαίσιο αυτό, τα σύγχρονα συστήματα χρησιμοποιούν αλγόριθμους και κλειδιά. Κύριος τύπος ψηφιακών πιστοποιητικών είναι τα πιστοποιητικά δημοσίου κλειδιού (public key certificates). Κρυπτογράφηση δημόσιου κλειδιού Η κρυπτογράφηση είναι ο κυριότερος μηχανισμός που προστατεύει τόσο τα δεδομένα όσο και την ομαλή και ασφαλή διεξαγωγή μίας συναλλαγής, και διασφαλίζει την ιδιωτικότητα (privacy), την ακεραιότητα (integrity) και την εμπιστευτικότητα (confidentiality) των ηλεκτρονικών συναλλαγών. Μία παραδοσιακή μέθοδος κρυπτογράφησης είναι η συμμετρική κρυπτογραφία η οποία χρησιμοποιεί το ίδιο κλειδί για την κρυπτογράφηση και την αποκρυπτογράφηση. Ο αποστολέας κρυπτογραφεί και ο παραλήπτης αποκρυπτογραφεί με το ίδιο κλειδί. Το κλειδί θα πρέπει να παραμένει μυστικό και να είναι γνωστό μόνο στους συναλλασσόμενους. Η μέθοδος αυτή παρουσιάζει μειονεκτήματα όσον αφορά την εφαρμογή της σε ανοιχτά δίκτυα με πολλούς χρήστες και τις αυξημένες απαιτήσεις της για την ασφάλεια: Κάθε χρήστης θα πρέπει να έχει τόσα μυστικά κλειδιά όσα και τα μέλη με τα οποία συναλλάσσεται. Δεν ικανοποιείται η απαίτηση για αυθεντικότητα, γιατί δεν μπορεί να αποδειχθεί η ταυτότητα των συναλλασσόμενων μερών. Το πρόβλημα αυτό επιλύεται με την κρυπτογράφηση δημοσίου κλειδιού ή ασύμμετρη κρυπτογράφηση η οποία χρησιμοποιεί δύο διαφορετικά κλειδιά για την κρυπτογράφηση και την αποκρυπτογράφηση. Κάθε χρήστης έχει στη διάθεσή του δύο κλειδιά. Το δημόσιο κλειδί είναι αυτό που ο χρήστης μπορεί να το γνωστοποιήσει σε τρίτους ενώ το ιδιωτικό είναι εκείνο που το φυλάσσει με ασφάλεια και μόνο αυτός θα πρέπει να το γνωρίζει και κατέχει. Στην κρυπτογράφηση δημοσίου κλειδιού οτιδήποτε κρυπτογραφείται με το ένα κλειδί, μπορεί να αποκρυπτογραφηθεί χρησιμοποιώντας μόνο το άλλο κλειδί. Το κύριο πλεονέκτημα που προσφέρει η κρυπτογράφηση δημοσίου κλειδιού είναι η αυξημένη ασφάλεια που παρέχει. Η κρυπτογράφηση δημοσίου κλειδιού θεωρείται κατάλληλη για τις ηλεκτρονικό συναλλαγές για τους εξής λόγους: Εξασφαλίζει την εμπιστευτικότητα του μηνύματος. Παρέχει πιο ευέλικτα μέσα ελέγχου της ταυτότητας των χρηστών (authentication). Υποστηρίζει ψηφιακές υπογραφές (ακεραιότητα μηνύματος) Απρίλιος

9 o Ηλεκτρονικές / Ψηφιακές υπογραφές. Οι ψηφιακές υπογραφές χρησιμοποιούν την κρυπτογραφία δημοσίου κλειδιού. Ο χρήστης διαθέτει δύο κλειδιά (το δημόσιο και το ιδιωτικό) τα οποία έχουν κάποιο μαθηματικό συσχετισμό. Το ένα κλειδί χρησιμοποιείται για τη δημιουργία της υπογραφής και το άλλο για την επαλήθευσή της. Η διαφοροποίηση από την κρυπτογράφηση, έγκειται στο ότι για τη δημιουργία της ηλεκτρονικής υπογραφής ο αποστολέας χρησιμοποιεί το ιδιωτικό του κλειδί και για την επαλήθευσή της ο παραλήπτης χρησιμοποιεί το δημόσιο κλειδί του αποστολέα. Η ψηφιακή υπογραφή πρέπει να ανταποκρίνεται στις εξής απαιτήσεις: Να συνδέεται μονοσήμαντα με τον υπογράφοντα. Να είναι ικανή να ταυτοποιήσει τον υπογράφοντα. Να δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο, και Να συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο ώστε να μπορεί να εντοπιστεί οποιαδήποτε επακόλουθη αλλοίωση των εν λόγω δεδομένων. Σε αντιδιαστολή με την ιδιόχειρη υπογραφή, το ακριβές περιεχόμενο της ηλεκτρονικής υπογραφής διαφοροποιείται ανάλογα με τα προς υπογραφή δεδομένα, αφού προκύπτει και βάσει αυτών Πολιτικές, διαδικασίες και υποδομές Σχετικά με τις πολιτικές, τις διαδικασίες και τις υποδομές που είναι αναγκαίες για τη διαχείριση της ταυτοποίησης και αυθεντικοποίησης (πιστοποίησης της ταυτότητας) των πολιτών και επιχειρήσεων από τη δημόσια διοίκηση προκύπτουν τα εξής: o Πάροχοι Υπηρεσιών Πιστοποίησης Στο πλαίσιο της πιστοποίησης της ταυτότητας πολιτών και επιχειρήσεων μέσω της χρήσης δημοσίου κλειδιού, απαιτείται να διασφαλιστεί ότι το δημόσιο κλειδί του χρήστη κάποιας δημόσιας υπηρεσίας που χρησιμοποιείται για την επαλήθευση της ταυτότητας του είναι όντως του ιδίου. Απαιτείται, δηλαδή, η ύπαρξη ενός μηχανισμού τέτοιου, ώστε η δημόσια υπηρεσία να μπορεί να είναι σίγουρη για την ταυτότητα του προσώπου με το δημόσιο κλειδί. Ο Πάροχος Υπηρεσιών Πιστοποίησης (ΠΥΠ) ή Αρχή Πιστοποίησης είναι ο "οργανισμός" που βεβαιώνει με ακρίβεια τη σχέση ενός φυσικού προσώπου με το δημόσιο κλειδί του. Οι ΠΥΠ δηλαδή εκδίδουν ένα πιστοποιητικό (ένα ηλεκτρονικό αρχείο) στο οποίο πιστοποιούν την ταυτότητα του προσώπου και το δημόσιο κλειδί του. Τα αναγνωρισμένα πιστοποιητικά πρέπει σύμφωνα με το Παράρτημα Ι του Π.Δ. 150/2001 να περιλαμβάνουν: ένδειξη ότι το πιστοποιητικό εκδίδεται ως αναγνωρισμένο πιστοποιητικό, τα στοιχεία αναγνώρισης του ΠΥΠ και το κράτος, στο οποίο είναι εγκατεστημένος, το όνομα του υπογράφοντος, πρόβλεψη ειδικού χαρακτηριστικού του υπογράφοντος, που θα περιληφθεί εφόσον είναι σημαντικό σε σχέση με τον σκοπό για τον οποίο προορίζεται το πιστοποιητικό, δεδομένα επαλήθευσης υπογραφής που αντιστοιχούν σε δεδομένα δημιουργίας υπογραφής υπό τον έλεγχο του υπογράφοντος, ένδειξη της έναρξης και του τέλους της περιόδου ισχύος του πιστοποιητικού, τον κωδικό ταυτοποίησης του πιστοποιητικού, την προηγμένη ψηφιακή υπογραφή του ΠΥΠ που το εκδίδει, τυχόν περιορισμούς του πεδίου χρήσης του πιστοποιητικού. Η συσχέτιση ενός δημόσιου κλειδιού με τον δικαιούχο του γίνεται με χρήση της ψηφιακής υπογραφής του ΠΥΠ, ο οποίος υπογράφει το πιστοποιητικό του δικαιούχου. Απρίλιος

10 o o Η κατοχή του ψηφιακού πιστοποιητικού διασφαλίζεται από την αποκλειστική κατοχή συγκεκριμένων ψηφιακών δεδομένων (ιδιωτικό κλειδί) από το φυσικό πρόσωπο. Ο ΠΥΠ δημοσιεύει ψηφιακά δεδομένα σχετικά με την επαλήθευση της κατοχής του πιστοποιητικού (δημόσιο κλειδί) και εγγυάται για τα στοιχεία του φυσικού προσώπου. Υποδομή Δημόσιου Κλειδιού (PKI) και Οι ΠΥΠ εκδίδουν τα πιστοποιητικά µε στόχο τη συσχέτιση του δημόσιου κλειδιού με τον δικαιούχο του, προβαίνοντας παράλληλα και στην οργάνωση μιας αξιόπιστης "Υποδομής Δημόσιου Κλειδιού", (PKI Public Key Infrastructure) για την έκδοση, διάθεση και διαχείριση των σχετικών πιστοποιητικών. Λόγω της διαρκούς τεχνολογικής εξέλιξης, θεωρείται δεδομένη η εξασθένηση της ασφάλειας των κρυπτογραφικών κλειδιών στο πέρασμα του χρόνου. Έτσι, τα πιστοποιητικά δημοσίου κλειδιού, που αναφέρονται σε τέτοια κρυπτογραφικά κλειδιά, εκδίδονται με περιορισμένη διάρκεια ισχύος (συνήθως 1 έως 3 έτη), η οποία και αναγράφεται μέσα στα προκαθορισμένα για τον σκοπό αυτό πεδία τους. Εκτός όμως από την προγραμματισμένη λήξη, η ισχύς ενός πιστοποιητικού μπορεί οποτεδήποτε να ανακληθεί οριστικά (revocation) ή να ανασταλεί (suspension), ύστερα από αίτημα του τελικού χρήστη (π.χ. επειδή έχασε τον φορέα των κρυπτογραφικών κλειδιών του) ή/και από σχετική απόφαση του Εκδότη τους (π.χ. λόγω λάθους στην αναγραφή στοιχείων). Η ανάκληση και η αναστολή ενός πιστοποιητικού πραγματοποιείται με την εγγραφή του αριθμού ταυτοποίησης του πιστοποιητικού (certificate s serial number) σε μια Λίστα Ανακληθέντων Πιστοποιητικών (Certificate Revocation List ή CRL ) η οποία υπογράφεται και δημοσιεύεται σε τακτά χρονικά διαστήματα από τον ίδιο τον εκδότη των πιστοποιητικών. Υπηρεσίες διαχείρισης «κύκλου ζωής» ψηφιακών πιστοποιητικών Σύμφωνα με τα παραπάνω, οι ΠΥΠ επιβάλλεται να προσφέρουν µια σειρά από υπηρεσίες, που δεν περιορίζονται στην έκδοση του πιστοποιητικού, αλλά αφορούν τον "κύκλο ζωής" του. Οι υπηρεσίες αυτές διασφαλίζονται μέσα στα πλαίσια του ΠΥΠ από τις εξής υπηρεσίες: Υπηρεσία Εγγραφής (Registration Authority) Παραλαμβάνει τις αιτήσεις και τα δικαιολογητικά για την έκδοση του πιστοποιητικού και είναι υπεύθυνη για τη συλλογή των πληροφοριών που αποτελούν το απαραίτητο περιεχόμενο του πιστοποιητικού. Τις πληροφορίες αυτές, που είναι απαραίτητες για την ταυτοποίηση του κατόχου των δεδηγμένων δημιουργίας µε τον αιτούντα το πιστοποιητικό, τις μεταβιβάζει στη συνέχεια στην Υπηρεσία Έκδοσης των πιστοποιητικών. Υπηρεσία Έκδοσης Πιστοποιητικών (Certification Authority) Εκδίδει το πιστοποιητικό σύμφωνα µε τη "Δήλωση Πρακτικής Πιστοποίησης". Υπηρεσία Δημοσίευσης και Διανομής (Dissemination Service) Δημοσιεύει τον κατάλογο µε τα εκδοθέντα πιστοποιητικά, τους ιδιαίτερους όρους χρήσης του κάθε είδους πιστοποιητικού (Πολιτικές Πιστοποιητικών) καθώς και τη Δήλωση Πρακτικής Πιστοποίησης, µε τρόπο που να τις καθιστά προσβάσιµες σε κάθε ενδιαφερόμενο. Υπηρεσία Διαχείρισης και Δημοσίευσης Ανάκλησης (Revocation Management and Status Service) Διαχειρίζεται τον κατάλογο µε τα υπό έκδοση ή εκδοθέντα πιστοποιητικά. Δέχεται και ελέγχει αιτήματα ανάκλησης ή παύσης των πιστοποιητικών και προβαίνει στην έγκαιρη ενημέρωση της Λίστας Ανακληθέντων Πιστοποιητικών. Απρίλιος

11 Προαιρετικά, ένας ΠΥΠ µπορεί να παρέχει και τις εξής υπηρεσίες: Υπηρεσίες Χρονοσήμανσης (Time Stamping Authority) των εγγράφων, ύστερα από αίτηση των συνδρομητών. Υπηρεσίες Προμήθειας Συσκευών Δημιουργίας Υπογραφής (Device Provision Service): υπηρεσίες οι οποίες παρέχουν στο συνδρομητή το ιδιωτικό του κλειδί, συνήθως υπό τη μορφή μιας "έξυπνης κάρτας". Στην περίπτωση που ο ΠΥΠ παρέχει υπηρεσίες προμήθειας συσκευών δημιουργίας υπογραφής και εκδίδει αναγνωρισμένα πιστοποιητικά, οφείλει να εγγυηθεί ότι τα δεδηγμένα δημιουργίας και επαλήθευσης υπογραφής μπορούν να χρησιμοποιηθούν συμπληρωτικά. Οι παραπάνω υπηρεσίες μπορούν να παρέχονται άμεσα από τον ίδιο τον εκδότη των πιστοποιητικών ή από εξουσιοδοτημένους συνεργάτες του. Η έκδοση πιστοποιητικού από έναν ΠΥΠ για ένα συγκεκριμένο ζεύγος κρυπτογραφικών κλειδών ενός υποκειμένου, υπόκειται σε συγκεκριμένες διαδικασίες και, στις περισσότερες περιπτώσεις, συνοδεύεται από συγκεκριμένους περιορισμούς για την χρήση των πιστοποιημένων κλειδιών από το υποκείμενο. Η περιγραφή των διαδικασιών έκδοσης και οι όροι χρήσης ενός πιστοποιητικού καθορίζονται σε μία συγκεκριμένη Πολιτική Πιστοποιητικού (Certificate Policy) η οποία δημοσιεύεται από τον ΠΥΠ (εκδότη του πιστοποιητικού). o Εποπτεία - Έλεγχος και διασφάλιση συμμόρφωσής των ΠΥΠ Οι πάροχοι υπηρεσιών πιστοποίησης έχουν τις εξής υποχρεώσεις: α) να αποδεικνύουν την απαραίτητη αξιοπιστία για την παροχή υπηρεσιών πιστοποίησης, β) να διασφαλίζουν την παροχή ασφαλών και άμεσων υπηρεσιών καταλόγου και ανάκλησης, γ) να διασφαλίζουν ότι η ημερομηνία και ο χρόνος έκδοσης ή ανάκλησης πιστοποιητικού μπορεί να προσδιοριστεί επακριβώς, δ) να προβαίνουν σε επαλήθευση της ταυτότητας του ατόμου στο όνομα του οποίου έχει εκδοθεί αναγνωρισμένο πιστοποιητικό. ε) να λαμβάνουν μέτρα έναντι της πλαστογράφησης πιστοποιητικών και σε περίπτωση που ο πάροχος πιστοποίησης παράγει δεδομένα δημιουργίας υπογραφής να εγγυώνται την τήρηση του απορρήτου κατά τη διάρκεια της διεργασίας παραγωγής των εν λόγω δεδομένων. στ) να καταγράφουν το σύνολο των συναφών πληροφοριών που αφορούν ένα αναγνωρισμένο πιστοποιητικό για χρονικό διάστημα τριάντα (30) ετών, ιδίως για την παροχή αποδεικτικών στοιχείων πιστοποίησης σε νομικές διαδικασίες. ζ) να μην αποθηκεύουν ή αντιγράφουν δεδομένα δημιουργίας υπογραφής του ατόμου προς το οποίο ο πάροχος υπηρεσιών πιστοποίησης παρέσχε υπηρεσίες διαχείρισης κλειδιών. η) πριν συνάψουν συμβατική σχέση με πρόσωπο που ζητεί πιστοποιητικό από αυτούς να το ενημερώνουν με ανθεκτικά μέσα επικοινωνίας σχετικά με τους ακριβείς όρους και προϋποθέσεις χρησιμοποίησης του πιστοποιητικού. θ) να χρησιμοποιούν αξιόπιστα συστήματα για την αποθήκευση πιστοποιητικών σε επαληθεύσιμη μορφή. Στην Ελλάδα, οι εταιρείες που παρέχουν υπηρεσίες πιστοποίησης αλλά και οι βεβαιώσεις για την ασφάλεια της ηλεκτρονικής υπογραφής ελέγχονται από την Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (Ε.Ε.Τ.Τ, βλ. 4.1 Θεσμικό πλαίσιο - εθνική σχετική νομοθεσία & ρυθμίσεις). Απρίλιος

12 o Έξυπνες κάρτες Οι έξυπνες κάρτες είναι δυνατό να παίξουν σπουδαίο ρόλο ως ενεργές συσκευές ασφάλειας. Εξαιτίας του μικρό-υπολογιστή και της επανα-προγραμματιζόμενης μνήμης τους, οι έξυπνες κάρτες επιτρέπουν την ασφαλή αποθήκευση, μεταφορά και διαχείριση ευαίσθητων δεδομένων όπως δικαιώματα χρήστη και κρυπτογραφικά κλειδιά καθώς και την τοπική εκτέλεση αλγόριθμων κρυπτογραφίας. Τα αρχιτεκτονικά και λειτουργικά χαρακτηριστικά τους επιτρέπουν την υλοποίηση των ψηφιακών υπογραφών με τη αξιοποίηση των έξυπνων καρτών ως μία συσκευή ασφαλούς δημιουργίας υπογραφών. Οι έξυπνες κάρτες έχουν συνήθως μικρό μέγεθος, είναι κατασκευασμένες από πλαστικό και περιέχουν ένα μικρό-υπολογιστή. Ανάλογα με τις ιδιότητες και τα χαρακτηριστικά αυτού του μικρό-υπολογιστή και του φορέα του είναι δυνατό να γίνει διάκριση στις παρακάτω κατηγορίες: (α) Οι κάρτες μνήμης περιέχουν μια αμετάβλητη μνήμη κι επιτρέπουν την ανάγνωση και, σε πολλές περιπτώσεις, την εγγραφή ή αναβάθμιση των αποθηκευμένων δεδομένων, χωρίς κάποιο συγκεκριμένο μηχανισμό ασφάλειας. Αυτές οι κάρτες είναι υποκατάστατα των μαγνητικών καρτών καθώς είναι περισσότερο αξιόπιστες και προσφέρουν πολύ μεγαλύτερη μνήμη. (β) Οι κάρτες ευφυούς μνήμης περιλαμβάνουν μία μονάδα επεξεργασίας και λογισμικό ασφάλειας εκτός από την αμετάβλητη μνήμη. Αναπτύσσουν διαφορετικές ζώνες μνήμης συγκεκριμένου επιπέδου ασφάλειας για μυστικά, ευαίσθητα ή κοινόχρηστα δεδομένα και προστατεύονται από έναν αριθμό προσωπικής αναγνώρισης (Personal Identification Number PIN). (γ) Οι υπέρ-έξυπνες κάρτες περιλαμβάνουν ενσωματωμένο πληκτρολόγιο, οθόνη και ηλιακές κυψέλες ή μία μπαταρία. Ωστόσο, εξαιτίας της πολυπλοκότητάς τους και του κόστους, δεν αποσκοπούν προς το παρόν στην ευρεία χρήση από το κοινό. (δ) Οι ασύρματες κάρτες είναι έξυπνες κάρτες μνήμης που είναι ικανές να εκπέμψουν δεδομένα προς μία συσκευή υποδοχής καρτών (Card Accepting Device CAD) με ασύρματο τρόπο. (ε) Οι υβριδικές κάρτες αναφέρονται σε κάρτες με chip που έχουν δύο ή περισσότερες διεπαφές κι επομένως έχουν ένα συνδυασμό από μαγνητικές διεπαφές, διεπαφές επαφής, ασύρματες ή οπτικές διεπαφές. Ο κύκλος ζωής μίας έξυπνης κάρτας από την παραγωγή μέχρι την απενεργοποίηση, που ακολουθεί, ολοκληρώνεται σε πέντε φάσεις σύμφωνα με το ISO : 1 η φάση Κατασκευή της κάρτας και του chip: Ανάπτυξη κι υλοποίηση του λειτουργικού συστήματος, παραγωγή του chip, παραγωγή της πλαστικής κάρτας. 2 η φάση Προετοιμασία της κάρτας: Αρχικοποίηση και αρχική προσωποποίηση της κάρτας, π.χ. φόρτωση σταθερών και δεδομένων που σχετίζονται με το σύστημα, αποστολή της κάρτας στον διανομέα. 3 η φάση Προετοιμασία εφαρμογής: Ανάθεση προσωποποίηση κι ενεργοποίηση μίας ή περισσότερων εφαρμογών. 4 η φάση Φάση εφαρμογής: Χρήση καθολικών συναρτήσεων της κάρτας και πρόσβαση στην εφαρμογή, χρήση συναρτήσεων διαχείρισης των εφαρμογών. 5 η φάση Τερματισμός χρήσης: Διαγραφή κλειδιών κι εφαρμογών. Απρίλιος

13 3. Ευρωπαϊκό πλαίσιο για την ασφάλεια των συναλλαγών και την ηλεκτρονική ταυτοποίηση. Η Ευρωπαϊκή Επιτροπή έχει εκπονήσει ένα εκτενές πλαίσιο στρατηγικής και ενεργειών στα θέματα της ασφάλειας των συναλλαγών, της ιδιωτικότητας και για την διαλειτουργικότητα της ηλεκτρονικής ταυτοποίησης και την αμοιβαία αναγνώριση ηλεκτρονικών υπογραφών για υπηρεσίες ηλεκτρονικής διακυβέρνησης σε επίπεδο χωρών μελών. Τα κύρια σημεία της στρατηγικής αυτής περιλαμβάνουν: Νομικό και κανονιστικό πλαίσιο για ηλεκτρονικές υπογραφές και Οδηγίες για τη νομική ρύθμιση των ηλεκτρονικών συναλλαγών. Πρωτοβουλίες και δράσεις στο πλαίσιο της Ευρωπαϊκής Επιτροπής και σε επίπεδο κρατών μελλών Θεσμικό πλαίσιο - Οδηγία 1999/93/ΕΚ Η νομική αναγνώριση των ηλεκτρονικών υπογραφών σε διεθνές επίπεδο, ξεκίνησε από τα μέσα της προηγούμενης δεκαετίας, όταν η Επιτροπή Διεθνούς Εμπορικού Δικαίου των Ηνωμένων Εθνών (UNCITRAL) συνέταξε το 1996 τον Πρότυπο Νόμο για το ηλεκτρονικό εμπόριο, ρυθμίζοντας ζητήματα όπως η εξομοίωση των ηλεκτρονικών πληροφοριών µε έγγραφα υλικής υπόστασης, η νομική ισχύς της ηλεκτρονικής υπογραφής, η αποδεικτική δύναμη των ηλεκτρονικών κειμένων, ο τόπος, χρόνος και απόδειξη παραλαβής του ηλεκτρονικού μηνύματος. Η Ευρωπαϊκή Επιτροπή, αναγνωρίζοντας την ανάγκη νομικής ρύθμισης των ηλεκτρονικών εμπορικών συναλλαγών, υπέβαλε στο Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο, την Οικονομική και Κοινωνική Επιτροπή και την Επιτροπή των Περιφερειών: ανακοίνωση σχετικά με ευρωπαϊκή πρωτοβουλία στο ηλεκτρονικό εμπόριο στις 16 Απριλίου 1997, και ανακοίνωση για την κατοχύρωση της ασφάλειας και εμπιστοσύνης στις ηλεκτρονικές επικοινωνίες - προς ένα ευρωπαϊκό πλαίσιο για ψηφιακές υπογραφές, στις 8 Οκτωβρίου 1997 Στη συνέχεια, την 1η Δεκεμβρίου 1997, το Συμβούλιο κάλεσε την Επιτροπή να υποβάλει το ταχύτερο δυνατό πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με τις ψηφιακές υπογραφές. Προκειμένου να διασφαλίσει τη γνησιότητα της ηλεκτρονικής υπογραφής, το Ευρωπαϊκό Κοινοβούλιο εξέδωσε την Οδηγία 1999/93/ΕΚ σχετικά με το νομικό και κανονιστικό πλαίσιο για ηλεκτρονικές υπογραφές 3. Επιπλέον, το Ευρωπαϊκό Κοινοβούλιο, εξέδωσε το 1999 την υπ' αριθμ. 2000/31/ΕΚ Οδηγία, η οποία τέθηκε σε ισχύ στις 17/07/2000. Με την Οδηγία αυτή καθιερώθηκε η αρχή της ελευθερίας σύναψης ηλεκτρονικών συμβάσεων, η αρχή της χώρας προέλευσης (που σημαίνει ότι το Δίκαιο που διέπει τις συναλλαγές µε ηλεκτρονικά μέσα είναι το Δίκαιο της χώρας μόνιμης εγκατάστασης του φορέα παροχής υπηρεσιών), και ο εξωδικαστικός διακανονισµός των διαφορών που θα προκύψουν. Παράλληλα, άρχισε η εξειδίκευση των τεχνικών και διαδικαστικών θεμάτων που απορρέουν από την Οδηγία 1999/93/ΕΚ σε επίπεδο Ευρωπαϊκής Επιτροπής (βλ. Πρωτοβουλίες σε επίπεδο Ευρωπαϊκής Επιτροπής) και η θέσπιση σχετικών νόμων σε διάφορα κράτη (βλ. Διερεύνηση της υφιστάμενη κατάστασης σε επίπεδο χωρών μελών της ΕΕ). Μπορούμε να διακρίνουμε δύο διαφορετικές νομικές προσεγγίσεις: Τη μινιμαλιστική προσέγγιση (minimalist approach), όπου «κάθε αξιόπιστη τεχνολογική μέθοδος απόδειξης της προέλευσης και της αυθεντικότητας των ψηφιακών δεδομένων 3 Επίσημη Εφημερίδα των Ευρωπαϊκών Κοινοτήτων L 13/12) Απρίλιος