eOI - opet diskriminacija
(1 korsinik/a gleda/ju temu) (1) Gost

eOI - opet diskriminacija


29.07.2021 | 11:00
Jel ja to dobro razumijem da ce nove osobne uz mobilnu aplikaciju zamijeniti citace kartica?

"Najavljeno je kako će nove osobne služiti i kao zdravstvene, da će se moći koristiti i na mobitelima putem aplikacije e-osobna. Građani bi njima trebali moći brže i jednostavnije prelaziti granicu i potpisivati razne dokumente putem otiska prsta."

"Nova osobna iskaznica imat će digitalnu inačicu na pametnim telefonima, a s njom ćete moći pristupiti uslugama sustava e građani, od najniže do najviše razine sigurnosti."

Izvori
www.index.hr/vijesti/clanak/vazna-obavij...eosobne/2293431.aspx
www.24sata.hr/news/osobna-iskaznica-puto...nom-dokumentu-776174
29.07.2021 | 11:26
Dakle, u vrijeme kad proizvođači mobilnih uređaja mijenjaju čitače otiska prsta kao biometrijsko rješenje i uvode prepoznavanje lica, mi na čipove zapisujemo otiske prsta.

Zanimljivo će biti vidjeti do koje razine pristupa će se moći prijaviti putem mobilnih uređaja, te kako će izvesti potpisivanje dokumenata otiskom prsta za uređaje koji nemaju mogućnost čitanja otiska prsta (i.e. Apple uređaji od verzije X naovamo)?

Također, obzirom da su novi čipovi i da isti se ugrađuju na novu generaciju OI, hoće li nam trebati i novi čitači?
29.07.2021 | 13:50
Slažem se da ćemo vidjeti kako će ići realizacija tih obećanja, ali moram ti odgovoriti vezano za otisak prsta. Bavio sam se biometrijom profesionalno, određeni broj godina. Prepoznavanje lica je praktičnije za sigurnosnu primjenu niže i srednje razine, ali kod visoke razine sigurnosti, to je pušiona.

Općenito, kod biometrije su dva bitna parametra koji određuju razinu sigurnosti i razinu upotrebljivosti. Tzv. FAR i FRR (false acceptance rate, dakle postotak postupaka gdje će biometrija prepoznati biometrijski identitet kao ovlaštene osobe, a da one to nisu, i false rejection rate, dakle postotak postupaka gdje će biometrija ODBITI biometrijski identitet uredno ovlaštene osobe). Kod sigurnosno bitnih aplikacija, FAR veći od neke vrlo niske granice jednostavno nije prihvatljiv (pričamo o granici reda veličine 10 na minus šestu, dakle jedan pogrešno ovlašten na milijun očitanja), a prepoznavanje lica ne može ni uz najstroža ograničenja postići tako nizak FAR.

S druge strane, za nižu i srednju sigurnost u svakodnevnom korištenju važno je da je biometrija praktična, dakle, da ne zapinje puno i da je ljudi s lakoćom koriste. Zato se namjerno žrtvuje FAR na račun toga da se smanji FRR. Još ako k tome dodaš loš biometrijski algoritam, dobivaš uređaj (neki android telefoni i sl.) koji se otključava kad mu pokažeš fotografiju vlasnika.

Dakle, logično je da su na mobitelima napustili otisak prsta u korist prepoznavanja lica (ne bi ni koristili otisak prsta da su tada mobiteli bili dovoljno hardverski jaki da bez zapinjanja vrte algoritam prepoznavanja lica, i da im je prednja kamera imala dovoljno pixela i osjetljivosti), ali u nekakvom institucionalnom okruženju je za očekivati da nosač digitalnog biometrijskog identiteta ostane otisak prsta. Konačno, to je dokaz identiteta koji se, u krajnjoj konsekvenci, može provjeriti i klasičnom "analognom" metodom.
29.07.2021 | 15:58
Smayoo, sve 5... moja priča o sigurnosti se odnosi na sigurnosnu razinu vjerodajnica za usluge u sustavu e-Građani, ne na sigurnost o kojoj ti pričaš.

Naime, prva generacija eOI je klasificirana kao vjerodajnica razine 4 u sustav e-Građani i jedina sadrži kvalificirani elektronički potpis kojim vlasnik iste može podnijeti zahtjeve za izdavanjem određenih isprava unutar dostupnih eUsluga (konkretno putovnica i vozačka dozvola trenutno).

Korištenje tog elektroničkog potpisa u sustavu traži imanje Windows/Linux OS-a na računalu,USB čitača i programske podrške.

Ako u drugoj generaciji pruže mogućnost da se otarasimo čitača na način da na registriranom mobilnom uređaju imamo aplikaciju koja će generirati potpis i ubaciti ga u neku datoteku, a da kao pristup potpisu traže otisak prsta (i usporede ga sa onima na samoj OI), onda smo opet u banani mi koji nemamo uređaje s touchID-jem jer nam ta mobilna aplikacija neće biti u potpunosti funkcionalna.

Istovremeno, sve institucije ti uredno primaju i smatraju valjanim dokumente koje potpišeš korištenjem FINA-ine usluge elektroničkog potpisivanja u oblaku (ako se ne varam dobiješ OTP koji ukucaš nakon uploada datoteke koju potpisuješ), ali eto baš online zahtjev za eVozačku ili ePutovnicu moraš potpisati kroz glupo web sučelje i baš potpisom iz eOI.

Ne bi me sve ovo toliko žuljalo niti bih pisao o ovom da jučer nisam hitno i žurno s godišnjeg morao u firmu jer na 4 različita windows računala (3 različite verzije OS-a), 2 različita čitača i 5 različitih kartica poslovnog bankarstva dvije HR banke nije radilo potpisivanje platnih naloga. Samo od sebe, najednom je prestalo iz čistog mira.
29.07.2021 | 18:50
Daddo kaže:
Smayoo, sve 5... moja priča o sigurnosti se odnosi na sigurnosnu razinu vjerodajnica za usluge u sustavu e-Građani, ne na sigurnost o kojoj ti pričaš.


Vjerodajnice razine 4 jesu visoka razina sigurnosti, bez obzira što se ne radi o kontroli fizičkog pristupa u službene prostorije međunarodne zračne luke.

Ako u drugoj generaciji pruže mogućnost da se otarasimo čitača na način da na registriranom mobilnom uređaju imamo aplikaciju koja će generirati potpis i ubaciti ga u neku datoteku, a da kao pristup potpisu traže otisak prsta (i usporede ga sa onima na samoj OI),


To sigurno ne funkcionira na takav način. Biometrijska identifikacija otiskom prsta bazira se na usporedbi očitanog otiska s tzv. "templateom" otiska generiranim pri postupku tzv. "enrollmenta". To nije bijektivna slika, da se matematički izrazim. Dakle, "template" otiska prsta (ili, ista je stvar, izgleda lica) pohranjen u mobitelu čuva samo karakteristične točke, a biometrijski algoritam uspoređuje svaki puta svježe očitani otisak prsta s templateom i, ako je zadovoljen postotak podudarnosti, potvrđuje da se radi o istoj osobi.

Istodobno, otisak prsta pohranjen u digitalnom obliku na biometrijskoj OI (ili u biometrijskoj putovnici) je (bio to opet vektorski template, ili cjelovita slika) - pohranjen na čipu osobne iskaznice. Da bi biometrijski algoritam mobitela usporedio očitani otisak prsta s templateom na osobnoj, morao bi nekako moći pristupiti čipu na osobnoj iskaznici (dakle, čitač, pa pin, pa tek onda čip na osobnoj dozvoljava pristup svojim podacima). Nikako drugačije.

Jedina varijanta koja mi pada na pamet je da nova OI ima NFC komunikaciju pa je prisloniš uz mobitel. Ali nekako ne vjerujem da je toliko napredna.
29.07.2021 | 20:39
Appleovim biometrijskim podacima se ionako ne moze pristupiti izvana. Tako da i imas citac otiska prata ne znam kako bi jedan app mogao pristupiti tim podacima i uspirediti sa svojima.
29.07.2021 | 20:47
Moguća implementacija takve aplikacije bi bila, ako nova biometrijska OI ima NFC komunikaciju, da u aplikaciji na iphoneu pohraniš pin od bmOI čipa te ga autoriziraš običnim biometrijskim unlockom od iPhonea (dakle i otiskom prsta, i licem), kao što možeš ući u m-bankarstvo aplikaciju biometrijskim unlockom. Ali sumnjam.
29.07.2021 | 20:53
Tako je, ali to mogu napraviti i sad. Nema potreba za novim dokumentima
29.07.2021 | 21:33
Kako bi to mogli napraviti sad? Sadašnje eOI sigurno nemaju NFC. Samo kontaktni interface. Nema ništa bez USB čitača.
30.07.2021 | 13:02
Kaj nisu nedavno promijenili na tri sigurnosne razine (kao i nazive nekih vjerodajnica)?

e-gr.png


nias.gov.hr/Authentication/Step2
30.07.2021 | 14:21
ping kaže:
Nije mi dugo trebalo ali u zadnjih par dana pokušavam na windowsima potpisati zahtjev za e dozvolom i ne uspijeva mi. Izgleda kako mi treba neka e-potpis aplikacija ili neka posebna autorizacija od certilie. Ima li tko kakva iskustva. Parallelsi i windows 10


Malo sam se duže poigrao sa problemom i zahvaljujući tehničkoj podršci iz AKD shvatio kako treba izbrisati stare certifikate i ostaviti samo nove. Nakon brisanja starih certifikata uspješno sam na Windowsima 10 /Firefox potpisao dokument.

Poruka s greškom
Screenshot2021-07-30at11.54.41.jpg



Error 11
Screenshot2021-07-30at12.25.19.jpg



Certmgr bez starih certificata
Screenshot2021-07-30at13.11.59.jpg
30.07.2021 | 15:08
Bertone kaže:
Kaj nisu nedavno promijenili na tri sigurnosne razine (kao i nazive nekih vjerodajnica)


Jesu. Ali suštinski nema bitne promjene u funkciji, jer i u ranijem sustavu vjerodajnice razine 1 praktički nisu nikad ni zaživjele, a nije bilo nijedne (koliko sam ja pratio) usluge koja je prihvaćala razinu 1. Tako da su razinu 1 ukinuli, 2 je postala niska razina (statički passwordi), 3 (bankarski tokeni pretežno) srednja, a 4 (AKD i Fina racket) visoka.
31.07.2021 | 08:22
Za nekoga tko vise nema pristup eGradaninu (niti eOsobnu, niti bankovni racun stoga nemam token) koja je najbolja metoda autentikacije da se moze pristupiti uslugama najvise sigurnosti? Moj guess je otici u Finu i tamo povezati mobitel s eGradaninom?
31.07.2021 | 12:39
Možeš napraviti ili Fina, ili AKD karticu (osobni certifikat), ili mobile.ID osobni certifikat. Taj mobile.ID je opet AKD, ali bez kartice, aplikacija i server, međutim radi samo na Androidu. S obzirom kako su do sada kilavi s podrškom za Apple, ne očekuj da će se to ubrzo promijeniti. Osim toga, pomoću mobile.ID se možeš samo identificirati za prijavu u NIAS, ali ako nešto trebaš potpisati, to opet ne možeš (tako barem piše na njihovom webu).

gov.hr/hr/integrirane-nove-sms-id-i-mobi...ne-vjerodajnice/2286

U istom paketu s mobile.id ide i sms.id, samo to nije za pristup najviše razine, nego srednje. Taj ti šalje jednokratni password SMSom pa, dakle, radi na bilo kojem mobilnom uređaju, čak i ako nema pristupa internetu, nego samo 2G GSM mreže (ako još postoje takva mjesta).
01.08.2021 | 15:04
smayoo kaže:
Moguća implementacija takve aplikacije bi bila, ako nova biometrijska OI ima NFC komunikaciju, da u aplikaciji na iphoneu pohraniš pin od bmOI čipa te ga autoriziraš običnim biometrijskim unlockom od iPhonea (dakle i otiskom prsta, i licem), kao što možeš ući u m-bankarstvo aplikaciju biometrijskim unlockom. Ali sumnjam.


Vele na linku: www.index.hr/mobile/clanak.aspx?category=vijesti&id=2294381

Nove će e-osobne sadržavati i beskontaktni čip s biometrijskim identifikatorima nositelja osobne iskaznice, odnosno fotografiju lica i dva otiska prstiju u digitalnom formatu.


Dakle, ako sam dobro shvatio, nema više čipa koji guramo u usb čitač, nego imamo NFC?

U tom slučaju, aplikacija na autoriziranom uređaju u koju se prijavljuješ biometrijski može očitati osobnu i temeljem kombinacije autorizirani uređaj za korisnika X i osobna korisnika X su dovoljne da potpišeš nešto.
01.08.2021 | 20:45
Vidiš...
30.11.2021 | 10:18
imam problema sa ubacivanje sigurnosnog certifikata u firefox, može li netko pomoći?



Slikazaslona2021-11-30u10.19.25.png
30.11.2021 | 11:18
Instalirao si zadnji "Certilia" middleware od ljetos? Imaš zadnju verziju FF-a? Slijedio si njihove upute (PDF objavljen na njihovom webu)?
30.11.2021 | 11:19

Datoteka za prilog:

Naziv datoteke: ff_upute.zip
Veličina datoteke: 459 KB
30.11.2021 | 11:42
sve sam pratio preko uputa..

ne znam da li ima veze - riječ je o M1 Macbook Airu..
Prilozi:
05.01.2022 | 01:06
Pozdrav,

Dodao sam certifikat u Firefox i mogu se prijaviti sa svojom eOsobnom, ali bi zelio da se isto mogu preko Chromea prijavljivati, posto ga vise koristim, a izbacuje mi "Niste odabrali valjani identifikacijski certifikat. Molimo ponovite postupak." gresku. Kako dodati /usr/local/lib/pkcs11/libEidPkcs11.dylib path u Chrome? Hvala
05.01.2022 | 06:23
Ne koristim Chrome i ne mogu ti pomoći, samo ti skrećem pažnju da je Chrome poznati spyware i da mu ja svoje digitalne vjerodajnice ne bih povjerio ni da je zadnji browser na svijetu.
07.01.2022 | 11:46
VanjusOS kaže:
sve sam pratio preko uputa..

ne znam da li ima veze - riječ je o M1 Macbook Airu..


Nisam primjetio ranije da si odgovorio na moj post prije toga. Meni je na temu te zadnje verzije eID klijenta (3.30, koju imaš i ti) AKD podrška odgovorila ovako:

Prijava na macOS Big Sur je moguća samo na Intel procesorima i to putem Firefox preglednika.
Za sad još nije moguće izvršiti prijavu na M1 procesorima zato što Firefox ne može učitati PKCS 11 modul.
Signer modul i dalje nije dostupan za macOS.


To je ujedno odgovor i za lxg6892 - radi jedino preko FF.
07.01.2022 | 11:49
Trenutno koristim Gemalto USB čitač chip kartica. Povremeno mi se nešto čudno događa i nisam siguran je li do čitača pa sam razmišljao o tome da kupim još jedan, ali pri tom ne bih da kupim neki koji na Macu ne radi. Koje čitače vi koristite i kakva su vam iskustva?

Trenutno sam još uvijek na 10.13 (High Sierra), ali vjerojatno ću ove godine morati prijeći dalje, da li samo do Cataline ili na najzadnji OS, ovisi najviše o ovom s*anju...
07.01.2022 | 12:31
Ovaj čitač koristim barem tri godine i nisam do sada imao nikavih problema. Koristim i Parallelse pa je vidljiv i na Windowsima. Kad sam ga kupovao, ne sjećam se jesam li bio na 10.13 ili 10.14. Znam kako sam ga koristio kod zahtjeva za novu putovnicu.
07.01.2022 | 14:21
Jesi li kada probao potpisati PDF dokument na Macu?
07.01.2022 | 14:24
Jesam. I do sada nisam uspio. Zato sam zahtjev za putovnicom odradio preko windowsa.
07.01.2022 | 14:50
Ne ne, polako... Potpis web zahtjeva službeno nije moguć na macOS, jer AKD nije nikad izdao e-signer modul za potpisivanje kroz surfalicu (firefox ili ikoju drugu).

Ali mene zanima potpisivanje PDF dokumenta kroz Adobe Reader na macOS. Dakle, ništa kroz browser, samo Adobe potpisni modul ugrađen u Reader, čitač, kartica, pin.
07.01.2022 | 14:55
smayoo kaže:
Ne ne, polako... Potpis web zahtjeva službeno nije moguć na macOS, jer AKD nije nikad izdao e-signer modul za potpisivanje kroz surfalicu (firefox ili ikoju drugu).

Ali mene zanima potpisivanje PDF dokumenta kroz Adobe Reader na macOS. Dakle, ništa kroz browser, samo Adobe potpisni modul ugrađen u Reader, čitač, kartica, pin.


Potpisivanje kroz adobe reader je moguće ali nisam već dugo to radio. Prošlo ljeto mi je to trebalo (potpis nekog dokumenta za natječaj), pa sam pronašao instrukcije na webu kako bi to trebalo raditi. Pokušati ću ponovno večeras pa ti javim.
07.01.2022 | 15:03
Radi na Big Sur uz ažurirani softver.

Vikalica™

Zadnja poruka: pred 2 dana, 5 sati
  • Ender: ... koja mu nije prosla.
  • Ender: @Slavo: da, to je bilo nakon jedne posete Jobs-a Sony-ju, i bio je impresioniran sto svi imaju istu radnu uniformu. A. Morita mu je uz malo nelagode objasnio da nakon II sv. rata, Japan je bio toliko razoren da njihovi radnici prakticno nisu imali sta da obuku. Tako da je Sony onda uveo te radnje uniforme. Jobs je to probao da uvede u Apple, i bio je ismejan takoreci. Jedna od retkih stvari koja m
  • Slavo: Jobs je htio uvesti u Apple nošenje “uniformi” tj nekog univerzalnog odjevnog predmeta kao što to imaju japanci, ili su imali u to vrijeme. Zato je išao kod Miyakia, tražio ga je dizajn tih uniformi. Iako se to nikad nije ostvarilo, njemu je dizajnirao tu prepoznatljivu dolčevitu. Eto, malo iz knjige po sjećanju ;-)
  • Soffoklo: "Jedan propust slomio je sve slojeve sigurnosti u MacOS-u" - Monterey je jedino pokrpan - [link]
  • Kloba: Sorry - isprika - nisam čitao pa uletio ko budala. Klasika već - sve znate ;)
  • Kloba: Aha
  • ping: @Kloba ova crna T-shirt ti je crna jabučnjak majica sa likom Jobsa. Zato je trebalo pojašnjenje od Davora da ni bi netko pomislio da Jabučnjak ima love za Miyakea.
  • Kloba: Ovo dolje znači da mislim da su mu te majice ipak Fruit of the Loom bile, isprika :)
  • Kloba: arno FOTL a da je Miyake napravio kombinaciju svega - ne znam sada više
  • Kloba: Pitao Guglo :)
  • Kloba: nebitno, zgodan podatak pa reko da podijelim
  • Kloba: Tako da Davor ipak ima tu pravo - iako sam i ja prvo mislio da nema kao i Smayoo
  • Kloba: Issey Miyake - on je odredio tu turtleneck crnu za Jobsa, ne znam o kakvoj kratkoj majci se piše. Sjećam se da je bilo neko ime iz knjige kada je umro, prvo sam mislio Fruit of the Loom (hlače Levis, tene New Balance) - ali nije - majica je ovaj lik
  • Riba: To je i meni palo na pamet. Ali to je zato jer nisi connoisseur!
  • smayoo: Mislim... to mi je kao da mi sad kažeš da je netko dizajnirao bijeli zid u hodniku neke uredske zgrade... :D
  • smayoo: Jobsovu crnu majicu je netko dizajnirao? :)
  • dpasaric: Umro modni dizajner Issey Miyake, među ostalim poznat i po dizajnu Jobsove crne majice.
  • mbp2009: ne pase ti vent?
  • jura22: E da, nema ventirlator. 2.500kn i ventilator su prevagnuli u koris Air-a umjestp Pro-a.
  • jura22: puni. Jedino mu se ispravljac dosta grije.
  • jura22: Moj MBA M1 po ovim vrucinama, kada i iPhone gori, ostaje mlaki. Najvise se ugrije kada se
  • mbp2009: btw ios16 pb2 je dosta stabilna, nadam se da ce izaci brzo i pb3, jer dev beta ima postotak baterije u status baru
  • mbp2009: vjerojatno je ok za ljude koji ce ga koristit casual, ali dat tolike novce za nesto sta ce mi pocet stekat nakon 5-6 minuta rendera na fcp mi nema smisla
  • andy: nisam se htio kockati s laptopom bez aktivnog hladenja ma koliko god mi se svidio
  • mbp2009: ja uopce ne razumijem logiku iza te odluke
  • andy: al ventilator je ventilator
  • andy: ja sam skoro uzeo MBA M2 jer mi je ljepsi od MBP
  • drlovric: Ja sam kupio MBP 16" M1 PRO jer je 95% vremena na stolu. Da mi treba za putovanja, isao bi na 14" ili jos vjerojatnije Air. Ovo je tesko, debelo, glomazno :)
  • JOHN: bolje je uložiti na veći ssd, minimalno na 512 jer je verzija sa 256 poprilično sporija od verzije Aira sa M1 procesorom. 8/8 procesor, 1 Tb SSD, 16 Gb Ram bi bio moj osobni odabir. Mada bi radije išao na Macbook pro 14"
  • JOHN: malo sam gledao testove novog Air i ispada da je pametnija opcija Aira sa 8 jezgrenim grafičkim procesorom nego sa 10. Naime prilikom usporavanja (thermal throttling) dolazi do većeg usporavnja kod verzije sa 10 jezgri nego kod one sa 8. Isto tako napucavanje radne memorije nije toliko učinkovito kao što bi trebalo biti.
  • dpasaric: Dodao sam MacBook Air M2 BTO konfiguracije u Voćarnu! :) [link]
  • jura22: Da.
  • Riba: Emoji?
  • jura22: Bio je palac gore Davoru ali ispali su upitnici.
  • jura22: ????
  • jupi: Pasaricu svaka ti cast! Pridruzujem se cestitkama!
  • smayoo: želji
  • smayoo: Pridružujem se čestitci i lijepoj
  • JOHN: iz tvojih usta u Boźje uši
  • dpasaric: Neka nam životi koje su branitelji dali za domovinu budu zalog da pametnije i ljepše upravljamo ovom našem lijepom zemljom!
  • JOHN: Čestitam svima Dan pobjede i domovinske zahvalnosti i Dan hrvatskih branitelja
  • dpasaric: Danas sam isporučio prvi Mac Studio s M1 Ultra procesorom, mislim da je prvi koji je došao do nas. Željno čekam feedback kolege! :) [link]
  • andy: ups, ipak nemaju hrvatski layout
  • andy: možeš naručiti s bilokojim layoutom, ja sam uzeo US
  • jura22: Na mobitelu. Jesam. Mada imam dioptriju i dislekeiju.
  • Borisone: Dok si to pisao, da li si gledao u tipkovnicu?
  • jura22: Mani nije opcija u AT jer zelim tipkovnicu s nasim znakovima a ne zelim lijepiti naljepnice.
  • andy: možda nekome nešto znači - naručio sam built-to-order macbook na apple.com/at prije dva tjedna i već ga danas mogu preuzeti u Beču
  • Borisone: Pretpostavljam "ništa ne prodajem, samo se hvalim".
  • dpasaric: Build-to-order zeleni iMac jedan je od ljepših modela! [link]

Za vikanje moraš biti prijavljen.

Prijava

Novo na Jabučnjaku

Teme

Poruke

Oglasi

Anketa

Kupujete li profesionalni Mac?

Čekam novi modularni Mac Pro - 48.5%
Novac nije problem, kupujem iMac Pro - 0.7%
Kupujem Valjak, baš je lijep i tih! - 0%
Kupujem polovni Mac Pro tower - 11.8%
Nadogradit ću postojeći Mac Pro tower - 2.9%
Običan iMac 27" mi je dovoljan za posao - 5.9%
Skromnih sam potreba, Mac mini je zakon! - 7.4%
Radim na terenu, mora biti MacBook Pro - 3.7%
Ne diram ništa, stari Mac služi me odlično - 10.3%
Kupujem PC kantu i prelazim na Windowse! - 8.8%

Ukupno glasova: 136
Anketa je završena dana: 08 Svi 2018 - 12:17
Page Speed 1.16 Seconds

Provided by iJoomla SEO