Názory k článku Ochrana soukromí (nejen) v systémech s RFID čipy

Hlavně, že bezpečnostní experti celého světa slaví 11. září ;-)

http://www.slideshare.net/LittleBrother/cost-benefit-analysis

Výsledek auditu ? K dnešku 0.

Výsledek kontroly ÚOOÚ ? K dnešku 0.

turnikety se uzivaji v primestskych autobusech

Celkem mi překvapují emoce s jakými se o tomto projektu píše a diskutuje.

Prakticky shodné projekty existují po celé republice a jsou provozovány soukromými subjekty (svět zatím nechme stranou) a jejich provozovatelé sbírají téměř stejné informace (ČD, ČSAD-SVT, ....).
Odmyslíme-li si neuvěřitelné náklady na projekt opencard, je větším problémem skutečnost, že soukromé subjekty tyto projekty rozjely (protože jsou pro ně ekonomický výhodné) již před několika lety. Mnoho evidovaných údajů si vynucuje zákon (většinou nepřímo) a mnoho je evidováno z důvodu, že "vždycky evidovaly".

Vynechme opencard, vlastní systémy (ano systémy!) bezkontaktních karet používají i menší soukromý dopravci (menší proti DPP) i ve středočeském kraji. Vzhledem ke slovu soukromý se zde kontroluje každý nastupující cestující! Zde by už rozdíl v době odbavení a opotřebení byl vidět.

Doporučuji ještě jedno větší od doutníků na mobil (výpočet polohy pomocí triangulace už policie u zájmových osob používá).

Drobností v případě čarového kódu je skutečnost, že pokud s průkazkou nepracuje nějaká lidská obsluha, tak výroba kopie je velice jednoduchá (stačí kopírka).

No zkuste trochu prohrabat google:
a) klíče ke kartám classic létaji po drátech nebo
b) jsou uloženy ve čtečkách (stačí ji tedy ukrást),
c) klíč crypto1 má jen 6B a
d) agoritmus má algoritmus crypto1 a karta Classic má postranní kanál

.... a tak už to není až zas tak težké.

Úsměvné je, že čtečky Čínské výroby pro karty Calssic už nemají čipy od NXP, ale sw emulaci crypto1.

Co se týká železa - tedy fyzicky vlastní čtečky, tak jste mne přesvědčil, že optická čtečka bude složitější. To další okolo může být sw v PC a asi méně zajímavé. Nicméně u obou budeme v řádově tisících Kč.

Ctecka caroveho kodu musi obsahovat soustavu zrcadel + neco co s nima toci, popripade nejake zarizeni ktere vytvari +- stejne intenzivni svetlo na cele delce kodu + samozrejme fotocitlive prvky pro vyhodnoceni tohoto svetla.
Ctecka karet je jen antena + nejaky chip co moduluje nosnou na te antene + rozhrani do pocitace.
Mozna ze ta ctecka karet by mohla vyjit i levneji..

To bych chtel videt jak byste si nakopiroval kartu, od ktere neznate pristupove klice.
Na rozkodovani takove karty budete potrebovat neco kolem 1000 ctecich zarizeni + samozrejme 1 000 karet.
Bude vam to pri trose stesti trvat neco prez par let.
A to se bavime o beznych vecech jako jsou "Mifare Classic" nechtejte znat tyto hodnoty u karet s DES kodovanim.

Jde udelat to, ze si prectete jednu kartu, pak druhou, pak treti...
Je trosku problem, ze tech karet tam nemuze bejt 10, protoze to neutahne antena a zdroj v ni, ale pokud ano, neni problem precist i tech 10.
To ze automat zkusi odbavit kartu a nezkontroluje si zda je to opravdu ona, je spatne, ale diky tomu, ze mate vic karet je jeste jednodussi zjistit kdo jste

Zde byla zmíněna městská knihovna a ta sedí na "pevných" terminálech ve své síti. Tedy databáze je prakticky vždy dostupná, pokud nelehne server či síť. Čtečka čárového kódu je jednodušší zařízení, minimálně čte nezakódovanou informaci, nepotřebuje nahrávat žádné klíče. Ale nebudu se hádat jaký je skutečný rozdíl v ceně. Podstatné je, že ta zařizení musí být na terminálech oboje.

Protože svět daleko před ČR a používá tedy výrazně starší technologie.
Např. systémy karet hromadné dopravy amerických a zápaevropských měst jsou založeny na kartách Mifare Classic, které není problém klonovat (zejména, pokud se použije pouze identifikace číslem čipu).
Pravděpodobně nejmodernější systém pracuje proto překvapivě v Moskvě založený na bezkontaktních kartách JCOP a Mifare Ultralight-C, který pokrývá jak časové tak jednotlivé jízdenky. Podobné systémy jsou budovány v Číně.

Čtečka karty stojí zhruba stejně jako čtečka čarového kódu a databáze není pro vždycky dostupná on-line např. v autobuse nebo tunelu metra.

Podle mne takto OC využívá městská knihovna, která ze svého původního průkazu čte jen číslo. Čte ho opticky čtečkou na čárový kód, takže odpálení bomby nehrozí.-)
Analogicky od uživatelů OC zpracovává jen číslo (nelevnou čtečkou) a údaje o čtenářích má nadále ve svých databázích podle jejich předpisů. Jde jen o to, zda přece jen nepředavá do datového centra nadbytečnou informaci, kdo je čtenář.

není jednodušší, opravdu mít na kartě jen číslo, a každý, kdo má s tím co do činění, si na základě toho čísla sáhne do vlastní databáze pro potřebné informace...

proti "sledování čísel a odpálení bomby" se pak stačí obránit např. tím, že místo požadavku na číslo vydá čtečka nějaké číslo jako požadavek kartě, ta ho zpracuje nějakou sofistikovanou funkcí, která na stejný podnět dává postupně různé výsledky (nejsem kryptař) a vrátí jiné číslo, podle kterého se už poznají...

takový protokol by byl imho daleko jednodušší a hlavně univerzální (možnost mít jedinou čipovku a smazání několika nevýhod)

Anonymní OC nebyla plánována od začátku ani náhodou. V tom má autor článku pravdu.

Doma se mi válí elegantní kovové pouzdro na vizitky...zjevně pro něj bude nové využití. :-D

"Přijde mi ironické, když se zvedají vlny, že může být zjistitelný můj pohyb metrem a kde jsem kdy parkoval, když u sebe nosím neustále zapnutý mobil,"

- můžete ho vypnout na libovolně dlouho, záleží na Vás,

"používám platební karty,"

- záleží na Vás, můžete pouze jednou týdně vybírat z bankomatu u bydliště a platit v hotovosti,

"jezdím či chodím městem plným kamer,"

- systémy pouličních kamer a zpracování obrazů nejsou schopné automaticky rekognoskovat Vaši tvář a tak vytvářet trasy vašeho pohybu. Rozpoznání SPZ na autech a záznamy jsou technicky možné, ale dosud vesměs protiprávní. Systém kamer by v zásadě měl být pouze nějaký zpětný backlog záznamu (týden apod.) a analýza kritických situací, kde se něco stalo atp.

"mé údaje kolují v tisících databází atd."

- kromě státních evidencí a registrů opět záleží jen na Vás, do jaké databáze o sobě necháte údaje zapsat, a také jaké druhy údajů.

"Koneckonců i Lupa má informace, které lze zasadit do mozaiky mých osobních údajů a část této informace volně zveřejňuje přímo u příspěvku."

- to je pravda, ale a) nemusíte na lupa.cz přispívat, b) můžete použít anonymizér (obojí je Vaše svobodná volba).

Kritika Open Card zde směřuje k tomu, že jste státem (zde obcí) nucen k vyšší míře odhalování soukromí, než je pro danou aplikaci objektivně nutné. Rozdíl mezi situací, kdy se dobrovolně vzdáváte svého soukromí (za pohodlí nebo jiné výhody) a situací, kdy Vás k témuž nutí veřejná moc, by měl být zřejmý.

Je dulezite si uvedomit, ze prazsky magistrat dnes se chova stejne jako se choval za velke koalice. Je dulezite si uvedomit, ze KSC se rozpadla jen formalne na nekolik frakci, ktere ted predvadeji wrestling - navenek boj, v soukromi spoluprace.

Manželka si včera vyřizovala roční šalinkartu v Brně a chtěli po ní osobní údaje, prý kvůli vydání náhradní karty po její ztrátě. Nepříjde mně to moc smysluplné, ale je to možné.

Nevěř tomu. Není strojek jako strojek.

Za znovuzavedením turniketů může právě stát snaha sledovat lidi. Mohli by to lehce zavést už teď, ale pomocí turniketů se tato činnost (instalace i provoz), snadněji zamaskuje.

Na druhou stranu, já mám ve šrajtofli 3 bezkontaktní karty (Praha, dráhy, Kladno) a hromadu kontaktních. Když v autobusu, nebo ve vlaku zkusím přímo ke čtečce přiložit celou šrajtofli, namísto vytažené jedné konkrétní karty, tak se většinou strojek pomate, zabliká LEDkami a nekomunikuje. Předpokládám, že kdyby mě někdo zkusil "přečíst" na dálku, tak si ani neškrtne ...
Nechci se OpenCard zastávat, o celém "projektu" si myslím, že je to penězovod Družba, ale bezpečnostní tragedii bych z toho nedělal.

O znovuzavedení turniketů se mluví již leta letoucí, ale v dnešní době by to znamenalo tak výraznou investici, že na to nevěřím. Když jenom pitomé karty stály 3/4 miliardy ...

Anonymní OC ještě nutně neznamená přenosnou jízdenku! Pokud si dnes necháte vystavit klasickou papírovou tramvajenku (a to stále lze), tak pouze vyplníte údaje a dáte fotku. Žádné ověřování dokladů se nekoná!!! V tom spatřujte tu anonymitu a ochranu soukromí.

Dobrý den a díky za reakci.

Co se týče obsahu - problém je, že titulek sliboval trochu něco jiného než je obsahem. Očekával jsem (a to tím spíše, že ještě Lupu považuju spíše za technicky zaměřený server), že článek se bude zabývat rozborem toho, co a jak uložit na RFID, jak číst, jak propojit s databází atd. z pohledu ochrany soukromí. Nečekal jsem polemiku s OpenCard - v titulku o tom nebylo ani slovo a měl jsem z toho pocit, že jsem skočil na špek. Není-li titulek vaše dílo, ale stejně jako anketa to spáchala redakce, padá kritika na jejich hlavu.

Ohledně anonymní karty - já bych jí radši říkal přenosná. Z jednoho důvodu. V době, kdy jsem četl první články o vzniku OpenCard a plánech na jeho využití i jako kuponu na MHD, dočetl jsem se tam i o tom, že by OC měla sloužit jako kupony klasické i přenosné, čili mi z toho vyplynulo to, že je plánováno vydávání OC bez osobních údajů.

Nechci vám nijak upírat, že vaše snahy a vaše "šťourání do projektu" (v dobrém slova smyslu) přinesly změny, které jsou užitečné a na které se předtím někdo evidentně vykašlal (volně čitelné jméno atd.). Tenhle druh tlaku na větší odpovědnost výrobce/provozovatele/státu/doplňtedalšídlepotřeby je velice žádoucí a potřebný. Stejně jako vydavatel OC (či čehokoli jiného) si musí uvědomovat bezpečností rizika a ochranu osobních údajů, je potřeba také na straně kritiků vidět dál než jen na svůj píseček.

Přijde mi ironické, když se zvedají vlny, že může být zjistitelný můj pohyb metrem a kde jsem kdy parkoval, když u sebe nosím neustále zapnutý mobil, používám platební karty, jezdím či chodím městem plným kamer, mé údaje kolují v tisících databází atd. Koneckonců i Lupa má informace, které lze zasadit do mozaiky mých osobních údajů a část této informace volně zveřejňuje přímo u příspěvku.

Co se týče mé situace s cestováním v MHD, berte to jen jako určitý modelový příklad. Přenosné kupony využívají také různé firmy pro své zaměstnance a přenosný kupon má i několik dalších rodin, které znám. To, co je třeba pro vás příliš vysoká cena za anonymitu OC, je pro mne, i pro zmíněné známé naopak výhodná cena, která umožňuje v rámci rodiny sdílet jediný kupon bez potřeby kupovat kupon každému zvlášť nebo nějak často jezdit za jízdenky. Jeho cena je vyšší pouze o zhruba 30 % (no jo, to je ten váš skoro dvojnásobek - 4750 vs. 6100, resp. 6300, pokud započítáte i 200 Kč za vydání anonymní OC - viz http://www.dpp.cz/jizdne-na-uzemi-prahy/).

Problémem vašeho článku vašeho článku nejsou ani tak nepřesnosti, to jsou spíše drobosti. Problém je, že jste tam smíchal hrozně moc věcí, které spolu souvisí jen nepřímo a hlavně - je to kritika OC, nikoli "Ochrana soukromí (nejen) v systémech s RFID čipy", jak je napsáno v titulku. Prostě Pejsek a Kočička smíchali, co se dalo a nazvali to dortem. Bohužel je z toho jen břichabol spousty dobrých věcí, se kterými se samostatně těžko polemizuje a pohromadě jsou těžko uchopitelné.

Přeji hezký večer,
co se týče kvality článku - bohužel to lépe neumím :). Jeho smyslem vůbec nebylo mluvit o technologii RFID, to jsem odbyl dvěma odkazy. Snažil jsem se ukázat, že problém opencard je v návrhu a práci s technologií, nikoliv v technologii samé. Osobně považuji RFID za malý (doslova i přeneseně) technický zázrak.

Co se týče ankety, směřujte svoji kritiku na redakci Lupy, nepatří do článku. Mně osobně přijde zajímavá.

Že jezdíte s manželkou každý zvlášť je jistě skvělé pro vaši peněženku, zcela běžné to však podle mého názoru i tradičního pohledu na rodinu není. Uznávám, že přenosný kupón se vám pak jistě vyplatí - není dvojnásobně drahý, jen skoro :).

K rozhodování finančních úřadů o tom co je a co není daňový náklad se nedokážu vyjádřit, nejsem ani účetní, ani ekonom.

Ad kritika článku - je pravda, že neznám úplné detaily projektu. Veřejné specifikace k dispozici nejsou, dokonce ani původní rozpočet už není nikde k nalezení, ačkoliv byl na úřední desce, a jednání jsme se zástupci projektu vedli jen dvakrát. Jednou se dostavil tiskový mluvčí, právník a o čtyřicet pět minut později technik společnosti Haguess. Podruhé už jednání proběhlo zcela bez technika.

Z výše zmiňovaných jednání jsme měli dojem, že anonymní karta je odpovědí na naše výhrady, stejně jako bylo předtím reakcí na naše výhrady odstranění zbytečných osobních dat v nezašifrované podobě (pokud máte pochybnosti, pošlu vám přepis jednání na magistrátu). Je ale možné, že se mýlím - jak jsem již uvedl, záměry, jednotlivé kroky, náklady a koneckonců i samotný smysl projektu nám nejsou známy. Hodnotit můžeme pouze výsledek.

Pokud jste v článku narazil na nějaké další nepřesnosti, ocenil bych, kdybyste mi je sdělil, abych se nad nimi mohl minimálně zamyslet. Každopádně děkuji za zatím jediný příspěvek, který ode mne vyžadoval reakci - ostatní dosud došlé jsem vnímal více méně jako souhlasné.

S úctou a pozdravem
Marek Tichý
Iuridicum Remedium

Pomiňme kvalitu článku, kde se velmi často mísí nepochopení s principem "přání otcem myšlenky" a který místo toho, aby objektivně mluvil o technologii RFID, se stal (politickou?) polemikou s OpenCard...

Mrzí mne na anketě, že stále není možné hlasovat pro více možností najednou, protože autor ankety nemá dostatečnou představivost.

Nemám trvalé bydliště v Praze, ovšem v Praze pracuji a velkou část života zde strávím. Mám dvě OpenCard - normální (osobní) a anonymní (neboli přenosnou). Normální využívám většinou jako průkazku do městské knihovny, na anonymní mám roční kupon na MHD a využívám ji buď já nebo manželka - je to levnější než mít roční kupon oba, když společné jízdy MHD provozujeme minimálně. Většinou jede jen jeden z nás.

Navíc lze anonymní OpenCard využívat jako firemní prostředek uznatelný do nákladů - bohužel běžný, osobní kupon některé finanční úřady odmítají uznat jako nákladovou položku v účetnictví. Sice chápu jejich přístup, ale je to presumpce viny - pro mne to třeba prostředek k podnikání je, protože za zábavou do centra nemám důvod jezdit. Jezdím výhradně za klienty (nepotřebuji tahat noťas ani horu papírů, takže auto využívám v centru minimálně).

Jak teď po sobě čtu příspěvek, měl jsem v úmyslu brblat jen nad anketou, ale vidím, že kritiku lze v plné míře vztáhnout i na článek samotný, který (jak jsem už řekl v úvodu) místo rozebírání technolgie snáší spoustu kritiky na OpenCard, přičemž autor mnoho věcí z projektu naprosto nepochopil - týká se ho např. anonymních karet, která jednak nepřišla po kritice, ale byla plánována od začátku mimo jiné jako přenosný kupon na MHD a jednak není záplatou, ale plánovanou věcí.

A není to jediná blbost v článku. :(

A nebylo by to v ve výsledku levnější

Ze by vetsi zivotnost a spolehlivost bezkontaktniho cteni?

Nechapu hlavne vyznam bezkontakniho cipu v opencard. Muze tam byt klasicky cip. Je jedno jestli revizor kartu prilozi nebo zastrci, ne? Ci u nastupu do primestskeho busu. Takhle se da ale lepe sledovat pohyb uzivatele. Dale jsem myslel, ze revizori budou mit ctecky napojeny na server, na karte bude jen kod a data o zaplaceni na serveru. Takhle po nakupu na eshopu se stejne karta musi fyzicky nabit. Takze nevidim vyhodu oproti tistene jizdence, kterou bych si po objednani musel vyzvednout. Nj, boj proti falesnemu terorismu. Kamery, cipy. Zvykani lidi na cipy. Kam to dospeje?

Ne, to je o tom, ze pokud u sebe budete mit jakykoliv podobny "cip" (a takovych lidi bude dostatecne mnozstvi) tak nekomu zacne stat za to, monitorovat na nekterych mistech vyskyt vsech cipu, ktere projdou okolo. A vznikne mu jiste zajimava a velmi (zne)uzitelna databaze. To je jako spyware, ktery take nechce utocit zrovna na Vas konkretne.

Samozřejmě, že projektu předcházela studie a byla firmě, ketrá ji provedla, řádně a včas zaplacena. Tak přímočaře cesta nevede. Navíc u IT projektů a jim podobným, se těžko (nebo naopak lehko) zdůvodňují náklady i použité postupy či technologie, protože projekty jsou velmi často unikátní.

No to je sice pravda, ale kdyby projektu předcházela rešerše, tak by byly diskuze zase plné toho, jak někdo vyhazuje peníze a přihrává veřejné peníze svým kamarádům přes nějaké rešerše a konzultace. :-)

Diskutované problémy nejsou přeci specificky české nebo Pražské. Nechápu proč před rozhodnutím o výběru systému nebyla provedena rešerže. Na základě technických a ekonomických parametrů se dalo předejít sporům a nevyhazovat zbrkle finance. Nebo jsme opravdu zkorumpovana zem?

Proc by to EK resila, kdyz ji to v zasade vyhovuje...?

Ano, ale před zásahem, mimo jiné sdružení Iuridicum Remedium, bylo na kartě volně čitelné jméno a příjmení. Místo toho tam je nyní jen datum narození nově jako nutné pro slevu MHD. Je to jediný údaj kromě ID karty a snad už je konečně alespoň dostatečně zašifrovaný a to nikoloiv jen továrním klíčem. Ostatní údaje si vedou jednotlivé "aplikace" a šifrují svým klíčem.

Výlev bez jakýchkoliv konkrétních údajů o čemkoliv.

Jestli jsem to správně pochopil, z toho důvodu autor zmiňuje možnost potisku plastiku podobiznou, ale to je záležitost DP nikoliv radnice si tohle ošetřit

No mě to přijde naopak zcela logické stejně jako na horách jsou jízdenky do týdne přenosné, ty sezónní už obvykle nikoliv, kdyby ano, okamžitě by někdo začal podnikat tím, že by nakoupil sezónní jízdenky a pak je po týdnech půjčoval. A podobně by se dalo zacházet přenosnými jízdenkami MHD.

Ale i na té anonymní kartičce bylo číslo - stejně jako na OpenCard (jen se nedalo přečíst vzduchem).
Pokud jsem pochopil, tak na Opencard nejsou uloženy osobní údaje, ale jen ID. Takže na dálku nejde zjistit "Ty jsi Franta Vomáčka, je ti tolik a tolik .... " To jde jen z nějaký databáze, kde jsou tyto údaje spojené.

Jinak souhlasím, že peněz to stálo příliš moc.

Nevadilo. Proč by to vadilo ? Mohl jsem si pořídit průkazku s názvem "občanská bez evidence" a na ni si de facto anonymně kupovat nepřenosné kupony. Ale to se stávající Anonymní kartou nejde - proto to začalo vadit.

Prenosna anonymni predplacena jizdenka byla drazsi i v papirove podobe predtim, to vam nevadilo?

A anonymne jste do te doby jezdil jak? Na jednotlive jizdenky? Ale to muzete i nadale...

Tvrzeni o zneuzivani take neberu, protoze DP je z velke casti financovan z dani. A jak znamo, kdo to plati, ten rozhoduje. DP do toho nema co mluvit, je zcela zavisly na pridelu nasich penez, a proto to bude tak jak si to preje platici vetsina.

Zajimave je, ze zrovna do tohoto pripadu se nepusti slavna Evropska komise. Ta musi zrejme resit pitomosti jako Windows bez WMP, na tom se vice zviditelni.

Jiz pred mnoha lety podobne karty na dopravu byli uz jinde. Drobny rozdil byl v tom, ze jsem si ji behem jedne minuty mohl kdekoli koupit a nemusel jsem pritom vyplnit jediny papir a posktynout jakykoli osobni udaj. Proc to nejde v CR?

O opencard nebyl zájem, dokud se nestala defakto povinností. To, že se na tom někdo napakoval je zcela evidentní.

Co mě teda vytáčí je, že jízdné na anonymní opencard je dražší než na běžnou. Tvrzení o zneužívání neberu. Většina lidí jezdí každý den MHD jako já, tak ji asi budu těžko někomu půjčovat .... to přirovnání s lyžováním opravdu sedí.

V době, kdy je město plné kamer je to stejně tak nějak jedno. Před dvaceti lety, kdy se o RFID (jakož i jiných) čipech maximálně zdálo pošahaným elektroinženýrům ve vlhkých snech, dokázal systém sledovat a špehovat kohokoliv si zamanul.
A ještě jedna věc - jestli mi něco neuniklo, tak červená karta se nestrká do turniketů (v metru ani žádné nejsou) a ke komunikaci s čipem dochází toliko při revizi jízdenek a dobíjení kuponu. Takže to, že jsem si vyrazil s milenkou metrem do divadla na Vinohradech se proflákne spíš tak, že mě/ji někdo v metru/divadle uvidí a pozná, než že by manželka porovnávala databáze dopravních podniků a městkých divadel pražských ...
Samosebou se to zneužít dá, o tom žádná. Zneužitelné je všechno.

Kdyz jsem o cipovych kartych cetl v clancich o Velkem bratrovi, ze je nikomu nebudou nutit, ale lide si je sami budou porizovat neveril jsem tomu, jenze jakmile jsem mel na vyber jezdit nadale anonymne nebo usetrit 1000,- za MHD hned jsem bezel do fronty na OpenCard...

Ten výlev je tady http://opencard.praha.eu/jnp/cz/aktuality/openblog/velky_bratr_se_myli.html

Mluvčí projektu má ve svém expresivním výlevu o analfabetismu jasno. Nad projektem koneckonc; bd9 tolik tolik kapacit: Za Opencard je spleť podnikatelských vztahů Ovšem nejlepší je chov domácích zvířat a poskytování souvisejících služeb, to tomu čipování lidí je tak nejblíž.

Skvělej článek, bezpečnostní analfabeti dostali konečně veřejně pořádně přes tlamu. Z jejich žvástů se mi někdy obracel kufr.

http://www.youtube.com/watch?v=0DI6u050PS4