Content

Latvijas IT drošības ziņu centrmezgls. Informācijas iesniegšana. Avota konfidencialitāti garantējam.

Signe Bāliņa par eID un autentifikāciju elektroniskajiem pakalpojumiem

Kategorija: eID + ePārvalde + Juridiskie aspekti

Dažas reti loģiskas atziņas no Microsoft interešu pārstāvniecības Latvijā (LIKTA), ja atskaita to, ka banku autentifikācija tiek pieskaitīta pie kvalificētas autentifikācijas:

Uzskatu, ka ļoti liels atbalsts e-pārvaldes attīstīšanā būtu elektroniskās identitātes ieviešana. Tas atrisinātu daudzas problēmas, kas saistītas ar drošu e-pakalpojumu lietošanu. Šobrīd Latvijā autorizācijas veidi netiek nodalīti – vienkārša autorizācija, kurai pamatā var būt tikai viena parole, tiek salikta kopā ar kvalificētām autorizācijām (piemēram, bankas, e-paraksts). Tautas skaitīšana lieliski parādīja Latvijas problēmas. Ja laikus būtu sakārtots elektroniskās identitātes (eID) jautājums, šādu problēmu nebūtu.

Pašlaik tiek plānoti grozījumi likumā Personu apliecinošu dokumentu likums, un LIKTA uzsver, ka ir svarīgi, lai tajā tiktu skaidri un viennozīmīgi pateikts, ka personas identifikācijas kartē elektroniskā formā jāiekļauj informācija, kas nepieciešama personas elektroniskās identitātes pārbaudei, kā arī droša elektroniskā paraksta radīšanai. Jāatzīmē, ka līdzīga pieredze ir Igaunijā, kur visās, tai skaitā bērniem izsniegtajās, eID kartēs tiek ietverts sertifikāts.

Kā nākamais solis jāveic tādu noteikumu izstrāde, kuros būtu skaidri pateikts, kāda līmeņa elektroniskās identitātes pārbaude ir nepieciešama dažādu elektronisko pakalpojumu izmantošanā. Ja mums kāda pakalpojuma saņemšanai ir nepieciešams uzrādīt pasi kā personas apliecinošu dokumentu, piemēram, piedaloties vēlēšanās, tad, arī piedaloties e-vēlēšanās, jābūt iespējai ne mazāk droši pārbaudīt personas identitāti elektroniskajā vidē, kur pases izmantošana nav iespējama.

Nenoteiktība elektroniskās identitātes jautājumu risināšanā kavē e-pakalpojumu attīstību. Katrs nepārdomāts autorizācijas mehānisms mazina uzticību e-videi kā tādai.

Bravo!

Avoti:
Diena.lv: http://www.diena.lv/lat/politics/viedokli/neapstaties-pie-sasniegta-2011-04-05-2

Tagged:

2011-04-05  »  edgars

  1. Atis
    5 April 2011 @ 21:05

    nu tas ir atkarīgs no tā, kā definē “kvalificēta autorizācija” jeb, pareizāk, kā jau norādi – autentifikācija. Latvijas normatīvie akti tādu lietu nedefinē. Un arī citur ātrumā neizdevās nekādu definīciju atrast.
    Ja ar “kvalificētu” saprot drošu autentifikāciju un pārbaudītu identitāti, tad banku autentifikācija varētu tikt atzīta par “kvalificētu” autentifikāciju, jo bankas savus klientus ir identificējušas (ne sliktāk, kā LP, kurš savu identifikācijas pienākumu mēdz uzticēt trešajām personām – kurjeriem) – tām šādu pienākumu uzliek likums, tas pašu autentifikācijas sistēmu drošība jau ir tīri tehniska lieta. Un es domāju, ka bankām tā ir pietiekami laba. Vājā vieta vienmēr ir pats lietotājs, kurš izpauž savus autentifikācijas rīkus un tad jau nav atšķirības – bankas paroles un kodus vai e-paraksta pinkodu un karti.
    Savukārt, ja par ar “kvalificētu” atzīst autentifikāciju izmantojot kvalificētu sertifikātu, tad protams, banku autorizācija tāda nebūs. Taču es neredzu pamatojumu šādai pieejai, jo likums tiešā veidā neskar autentifikācijas lietas (tas runā tikai par parakstīšanas sertifikātiem), turklāt paredz alternatīvu.

  2. edgars
    9 April 2011 @ 18:41

    Publiskās atslēgas autentifikācija nav salīdzināma ar “vienkāršajām” parolēm un banku kodiem.
    Taisnība, ka EDL definē tikai kvalificētu elektronisko parakstu nevis autentifikāciju. Kaut gan ar elektroniskajām identifikācijas kartēm domāju, ka tas tiks sakārtots.

Re: Signe Bāliņa par eID un autentifikāciju elektroniskajiem pakalpojumiem







Tags you can use (optional):
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>