Post on 03-Jul-2015
Projekt mojeID
CZ.NIC
Jaromír Talíř / jaromir.talir@nic.cz
13.12.2012 – MU Brno
Agenda
Sdružení CZ.NICCentrální registr doménProjekt mojeIDHistorie digitálních identitBudoucnost
Sdružení CZ.NIC
Založeno 1998Zájmové sdružení právnických osob
Aktuálně přes 100 členůValná hromada, kolegium, představenstvo, dozorčí rada, management
Primární cíl - správa domény CZProvoz doménového registruSpráva kořenových DNS serverů pro .CZ
Sdružení CZ.NIC
Založeno 1998Zájmové sdružení právnických osob
Aktuálně přes 100 členůValná hromada, kolegium, představenstvo, dozorčí rada, management50 zaměstnanců
Primární cíl - správa domény CZProvoz doménového registruSpráva kořenových DNS serverů pro .CZ
Sdružení CZ.NIC
DNS – telefonní seznam pro internetPočítače komunikují přes číselné IP adresyLidé si lépe pamatují jménaHierarchická správa jmen – domény
„.“ - kořenová domén – ICANN„.CZ“ - domána první úrovně (TLD) – CZ.NIC„MUNI.CZ“ - doména druhé úrovně - MU
Sdružení CZ.NIC
Vztah se státemMemorandum s MPOZástupce státu v kolegiu
Financováno téměř zcela z ročních registračních poplatků za domény
Provozní nákladyProjekty na podporu internetu v ČR
Sdružení CZ.NIC
Vzdělávací činnostAkademie CZ.NIC, vydávání knížekSeriál „Jak na internet“Prezentace na ZŠ a SŠ
Výzkumná činnostHoneynet, analýzy DNS provozuPublikování výsledků
Sdružení CZ.NIC
Vývoj projektůDoménový registrační systém – FREDRoutovací démon - BIRDDNS server – KNOT DNSKlientské aplikace pro datové schránkySlužba mojeID
Centrální registr domén
Do podzimu 2007 provoz outsourcovánV roce 2005 rozhodnuto vyvinout vlastní systémMigrace provedena 1.10.2007Systém zveřejněn jako open sourceOd roku 2007 použit již v několika zemích
Angola, Tanzánie, Kostarika, Faerské ostrovy, Estonsko
Centrální registr domén
Do podzimu 2007 provoz outsourcovánV roce 2005 rozhodnuto vyvinout vlastní systémMigrace provedena 1.10.2007Systém zveřejněn jako open sourceOd roku 2007 použit již v několika zemích
Angola, Tanzánie, Kostarika, Faerské ostrovy, Estonsko
Centrální registr domén
Databáze evidující potřebné údaje odoménách – hlavně technické parametrydržitelých domén – kontaktní údaje
Rozhraní pro změny a zjišťování stavuPro registrátory – pro změnyPro administrátory – změny a zjišťování stavuPro veřejnost – zjišťování stavu
Centrální registr domén
Registr aktuálně obsahuje přes 1 milión doménNa ně je navázáno kolem 0.5 miliónu držitelůDržitel domény nemůže být anonymní
Nutné kvůli spolupráci s bezpečnostními složkami
Zodpovědnost za správnost údajů má registrátorV případě nevalidních údajů se registrace ruší
Projekt mojeID
První úvahy v roce 2009Cíl – nabídnout službu, která zjednoduší uživatelům pohyb na internetuPrůzkum trhu uživatelů internetu
Uživatelé mají problém, že se musí neustále znovu registrovat, opakovaně vyplňovat stejné údajeUživatelé mají problém si zapamatovat hesla u všech služeb kam se registrují
Projekt mojeID
Průzkum trhu poskytovatelů služeb na internetuPoskytovatelé mají problém s anonymními registracemiPoskytovatelé mají problém s neaktuálností kontaktních údajů jejich uživatelů
Na internetu byl/je viditelný přechod k neanonymním registracím
Diskuzní fóra – novinky.cz, idnes.cz,...Obchodní portály – aukro.cz,...
Projekt mojeID
Projekt mojeID jako řešení:Centrální správa ověřených kontaktních údajůMožnost přihlašování se jedněmi přihlašovacími údaji k více službám
Proč CZ.NIC?Zkušenost z provozem registruNezávislá organizace
Projekt mojeID
UživatelJe mu přidělena jednoznačná identifikace u poskytovatele identit (mojeID)Má s touto identitou spojené své údaje
Poskytovatel služebPřipojí si identifikaci uživatele ke svému účtuPřesměruje přihlašovací proces na poskytovatele identity a může přitom požádat o údaje uživatele
Projekt mojeID
Poskytovatel identit (mojeID)Umožňuje uživateli spravovat svůj profilOvěřuje idenitu zvolenou přihlašovací metodou (heslo, certifikát, jednorázové heslo,...)Vrací poskytovateli služeb informaci o výsledku přihlášení a s uživatelovo souhlasem i data o uživateli
Projekt mojeID
Projekt mojeID
Jako implementační technologie zvoleno openIDPrověřený protokol z roku 2006Velké množství programových knihoven pro implementátoryStandardizovaná množina údajů identityVelké množství služeb na internetu, kde je možné openID použít
Projekt mojeID
Předávání údajů poskytovateli služeb má uživatel plně pod kontrolouKaždý údaj je možné odsouhlasitPro každého poskytovatele je možné souhlas s předáním uložit anebo posléze odvolat
Projekt mojeID
Poskytovatelé služeb dělíme do dvou skupinBez smlouvy:
Menší sada údajů, které jsou přednastaveny se souhlasem k předání
Se smlouvouVšechny údaje jsou přednastaveny se souhlasem k předáníPřidáváme stupeň ověření údajů
Projekt mojeID
Základní stupeň ověřeníPIN1 - kód zaslaný emailemPIN2 - kód zaslaný sms na telefonní číslo
Druhý stupeň ověřeníPIN3 – kód zaslán poštou na uvedenou adresu
Třetí stupeň ověřeníOvěření údajů proti dokladu totožnostiBuď osobní návštěvou nebo přes notáře
Projekt mojeID
Implementováno jako rozšíření centrálního registru domén
Kontakt v registru je možné aktivovat do mojeIDZvyšujeme validitu kontaktních údajůNabízíme možnost přimé správy osobních údajů pro držitele domén
Projekt mojeID
Zabezpečení služby na stejné úrovni jako centrální registr doménPro administraci platí stejné procesyServery umístěny ve dvou datových centrech v zaklecovaných prostoráchReplikace do dvou lokalit umožňuje vysokou dostupnost služby
Projekt mojeID
Pro uživatele je služba zdarmaPoskytovatelé služeb se smlouvou platí roční poplatek 1000 Kč
Poplatek za ověření údajůMohou outsourcovat ověřování na mojeID
Projekt mojeID
Dva roky v produkčním provozuAktuální počet uživatelů: cca 130 000
1. stupeň ověření – 58%2. stupeň ověření – 41%3. stupeň ověření – 1%
Poskytovatelů služeb – cca 5 000
Projekt mojeID
Projekt mojeID
Projekt mojeID
Projekt mojeID
Konkurence v podobě přihlašování přes sociální sítě a další služby
FacebookTwitterGoogleSeznam
Tyto projekty nenabízí poskytovatelům služeb ověřené údaje
Historie digitálních identit
Identita – soubor vlastností charakterizujících jedinceIdentit může být vícProkazování identity vs. AnonymitaPrůkazy totožnosti vystavené nějakou autoritouZcizení identity
Historie digitálních identit
Digitální identitaSoubor digitálních údajůAutentizační údaje – (např. Hesla)
Jednotné přihlašovániSingle sign-onZpůsob přenesení digitálních údajů mezi stranami bez předání autentizačních údajů
Digitální stopa
Historie digitálních identit
SAML - Security Assertion Markup LanguagePrvní verze 2002Poslední verze 2005Digitálně podepsané XML zprávyFederace identitU nás EduID provozovaná sdružením CESNET
24 poskytovatelů identit – vysoké školy30 poskytovatelů služeb – akademické inst.
Historie digitálních identit
OpenIDPrvní verze 2005Poslední verze 2007Snaha o zjednodušeníGoogle, Microsoft, ...Možnost vytvořit si vlastního poskytovatele identit Mnoho posk. identit, málo posk. služeb
Historie digitálních identit
OAuthPrvní verze 2007Poslední verze 2012Twitter, FacebookVelice jednoduchá implementaceŘeší jen část problematiky
Historie digitálních identit
OpenID ConnectSnaha zkombinovat OpenID a OAuthNávrh 2012Aktuálně žádné produkční nasazení
Historie digitálních identit
Historie digitálních identit
Mozilla Persona (BrowserID)Návrh 2011Pokus zrušit digitální stopuIntegrace do webového prohlížečeZatím ve fázi výzkumu
Historie digitálních identit
eGovernment13 států EU (50%) již má elektronické občanky7 států EU si vyzkoušelo elektronické volby
Pouze v Estonsku u nich zůstávajíU nás teprve polo-elektronické občanky
Možnost podepisovat zprávyUSA – National Strategy for Trusted Identities in Cyberspace, publikováno 2011
Budoucnost
ČRNastartováno zavedením základních registrůRozšíření přihlašovacích možností datových schránek
Datové schránky jako poskytovatel identitCíleno na bankovní sektor
Dotažení elektronických občanek
Budoucnost
EUeID zavádějí další země – Velká Británie
Projekt STORKPropojení eID systémů v zemích EUPostaveno na SAML protokoluZapojeno i ČR
Budoucnost
MojeIDZaměření na registrátory doménPropojení s ostatními systémy
EduIDSTORKDatové schránky
Zvyšování úrovně zabezpečení
¿Dotazy?