Určitě se shodneme, že ideální je takové zařízení, které radikálně omezí kriminalitu a zároveň NIJAK neomezí poctivé lidi. Takže půjde o to, jak budou ty chipy použity. Mohlo by to k být k nečemu dobré....
Vyjděme z dnešní situace: máme spoustu subjektů (státní i soukromé organizace), které o nás shromažďují informace. Pokud si někdo dá tu práci a získá informace ze všech možných zdrojů, může si o nás udělat stejně komplexní obrázek, jako v případě čipování pasů a bankovek. Vtip je v tom, že nyní získat informace z mnoha zdrojů je velmi obtížné, ne-li reálně nemožné. A u toho by bylo dobré, i při čipování, zůstat.
Nejsem žádný odborník na bezpečnost a proto si myslím, že někdo vymyslí ještě lepší způsob. Já si myslím, že by mohlo stačit třeba toto:
- centrální banka eviduje číslo bankovky bez vazby na hodnotu
- jiný úřad (třeba pro bankovní dohled) má vazbu na nomin. hodnotu
- každý člověk dostane své osobní "rodné" - řekněme RID
- RID bude jen v registru obyvatel, kde budou přidělena další ID: obdoba dnešního rodného čísla - řekneme PID, systémové ID - řekněme SID a identifikační ID - IID.
- SID bude v chipu na občance, pasu a pod. PID může být na těchto dokladech vytištěno, ale ne chipováno.
- vazbu PID - IID - SID by udržoval úřad na ochranu osobních údajů
- IID může být na počátku stejné s SID (proto dále, abych to nekomplikoval, za SID zapomenu a budu uvažovat SID=IID)
- Pokud dojde ke zneužití čísla IID, může být vygenerováno nové, změní se ve všech databázích a i ve vazbě SID-IID. Pro "utočníka" je pak bez nové vazby SID-IID člověk opět ztracen ve změti čísel.
Pouze k RID by se vztahovaly informace, jako jméno, příjmení, bydliště,...
Vůči IID by se evidovaly všechny ostatní informace - zda je o osobu hledanou, zda má vízum tam a tam, zdravotní dokumentace a pod.
Základem dalšího jsou dvě věci: chip sám o sobě umí sdělit neautorizované čtečce jen jsem/nejsem tady, a rozlišovací schopnost max. 25cm (pak vám ani neautorizovanou čtečkou nezjistí, kolik máte bankovek v kapse)
Autorizované čtečky:
- vydávaly by se pouze právnickým osobám po nějakých prověrkách
- skládají se ze stanice (PC - mozek čtečky) a čidel.
- "mozek" čtečky by byl napojen na centrální certifikační autoritu
- Bez kontaktu s CA nebude čtečka pracovat (= dálkové odpojení)
- autorizace čtečky by stanovovala i informační pravidla:
* Četnost scanu na jednotlivých senzorech (např. dveře 1/2s, zbytek 30s): I hasiči by uvítali, kdyby v případě požáru věděli, kolik je v budově přesně lidí a zhruba kde.
* Informační hodnotu: zda může číst IID, zda může z IID získávat další informace (zdrav.stav, PID,...), na jakou vzdálenost může dané čidlo snímat a poskytovat informace (přiložení k čidlu = nemožnost špehování = více info, 50m = treba jen info jesem/nejsem tady)
* Krizový stav: po zadání kódu zdravotníka/hasiče (platný třeba 1den) vyjede třeba souhrn postižených, astmatiků, alergiků a pod.
Je jasné, že zdravotnící v sanitkách by měli jiné oprávnění, než supermarkety. Umíte si představit tu výhodu, když přiloží občanku ke čtečce v sanitce a vyjede mu třeba na které látky jste vykázali nepřiměřenou reakci? Kolikrát jde o sekundy a o správnou volbu lékaře.
Je evidentní, že z IID nikdo nic nezjistí. Když budete uzavírat třeba smlouvu s telefonní společností (ta samozřejmě nebude mít autorizovanou čtečku = nezjistí IID) a zavede se Vás pod Vašim PID (= současný stav). Pod čipovém IID by jste byli vedeni de-facto jen na státních úřadech.
Přesto - jak zabezpečit, aby někdo z IID nevyčetl vše?
* autorizovaná čtečka nikdy čisté IID nezobrazí, při vizualizaci bude vždy hasované číslem z Certifikační autority (hashovací číslo by mělo platnost cca pár minut). Neautorizovaná čtečka IID nepřečte.
* CA nemá žádná data, jen ověřuje pro instituce, které mají data u sebe.
První krizový moment - zabezpečení, aby CA nedala někomu volný přistup. To by šlo třeba podle tohoto příkladu/scénáře:
* Hypermarket bude žádat u CA o přístup do osobních dat, finančních dat, zdravotní dokumentace a k PID.
* Musí tedy obejít správce jednotlivých úseků (finanční úřad, lékařsko komoru,...). Každý z těchto úseků jim může přístup zamítnout. Pokud ho povolí, dostane část kódu pro CA.
* Výsledná povolení zanese na obchodní soud, který posoudí, zda vůči svým registrovaným činnostem má právo tyto kódy použít. Pokud ano, přihodí svůj kód. Pokud ne, pozbydou platnost všechny kódy vydané jednotlivými institucemi (a o další mohou zažádat nejdříve za 12měs.)
* Výsledek zanese na úřad pro ochranu osobních údajů - ten, pokud sezná, že žádají o neadekvátní rozsah z hlediska bezpečnosti informací, opět deaktivují všechny vydané kódy - jinak přihodí svou část.
* Výsledný kód zanese na CA, která vše ještě ověří u všech zůčastněných stran a pokud bude mít nějakou pochybnost, má ještě CA možnost neudělit certifikát. Pokud bude cerifikát udělen, bude svázán s jedním konkrétním strojem (mozkem autorizované čtečky), třeba formou kryptovací interní karty.
Čidlo by pak sejmulo IID, odešle ho na CA, ta vrátí zahashované číslo. Toto čislo se pak může zobrazit třeba na monitoru, protože nic neříká. Dále CA ví, jaké informace může předat a přes IID o ně zažádá u daných organizací. Ty informace buď poskytnou, nebo ne (když časem seznají, že je tomu hypermarketu nakonec nechtějí poskytnout - třeba na základě stížností). Zdravotník tak může vidět informace o zdravotním stavu, ale identita mu bude "elektronicky" skryta - má možnost si ji přečíst z průkazu.
Speciálnímu režimu by pak podléhaly mezinárodní přenosné čtečky lékařů a záchranářů.
Upřímně řečeno, v takovém bludišti byrokracie by bylo daleko horší se k detailním informacím o jednotlivci dostat, než je tomu dnes. Taky stačí, aby náklady na povolovací řízení pro komerční sféru byly dostatečně demotivující. Slabým místem tak zůstává stavba autorizovaných čteček a software CA. Když by se to dělalo systémem "nikdo neví vše", sice by se vývoj prodražil, ale pravěpodobnost "černé" autorizované čtečky by byla téměř nulová. Další primitivní, ale obrovsky účinou ochranou je, že systém nedomítne neoprávněným lidem přístup, ale vrátí vymyšlené informace, které vypadají důvěrychodně.
Kdyby systém pracoval alespoň takto bezpečně, neměl bych obavy ze špehování (snad jen tajnými službami ), ani kdyby mi chip zašili pod kůži.
Nedívejme se jenom na to, co nám systém vezme, ale zda není víc toho, co nám může dát. A vědomí, že mě třeba najdou záchranáři včas, že i v zahraničí bude mít lékař k dispozici mou zdravotní dokumentaci, že jsou nesrovnatelně vyšší šance včas najít unesené dítě, atd.atd., to všechno stojí za částečné potencionální nebezpečí ztráty informací o sobě, nemyslíte? Elektřinou, bez které si dnes neumíme představit život, lze také zabíjet. Je proto špatná?