Euroopan Unioni/Lompakko

Kohteesta DigiWiki
< Euroopan Unioni
Versio hetkellä 27. tammikuuta 2022 kello 12.28 – tehnyt TUOMALA JUHA 10000350X (keskustelu | muokkaukset) (→‎Kritiikkiä)
(ero) ← Vanhempi versio | Nykyinen versio (ero) | Uudempi versio → (ero)
Siirry navigaatioon Siirry hakuun
Käyttäjä alustaa ja sitoo itse lompakon väestötietojärjestelmään. Osassa tapauksista käyttäjä käyttää ICAO-mukaista passia ja sen MRZ-kenttää ensitunnistamisessa. Ohjelmaa ei ole vielä olemassa eikä sen visuaalista ulkoasua tiedetä.

Euroopan Unionin Lompakko on 2021 kesäkuussa julkistettu EU-komission hanke tuottaa mobiililaitteisiin ohjelmistopohjainen digitaalinen tunnistautumisväline, jolla pystyisi myös maksamaan ja jossa voisi säilyttää virallisia dokumentteja kuten ajokorttia. Komissio pyytää jäsenmaita esittämään vaadittavat määrittelyt syyskuuhun 2022 mennessä ja aloittamaan vaadittavat tekniset työt heti[1].

Hankkeen motiiveita ovat:

  • epäilys ylikansallisten yritysten (Google, Microsoft, Amazon) luotettavuudesta tunnistautumis- ja asiointitietojen myöntäjänä ja tallentajana[2]
  • joidenkin jäsenmaiden jälkeenjääneisyys digitaalisten henkilötunnisteiden käyttöönotossa[2]
  • rajojen yli toimivien (EIDAS) henkilötunnisteiden toimimattomuus[2] (kuten Suomen sotku)

Hanke on osa komission digitaalinen kompassi -hanketta jonka tavoite on kiihdyttää digitalisaatiota vuoteen 2030 mennessä asetetuilla tavoitteilla.[1]


Yleistä

  • jokaisen jäsenmaan on pakko toteuttaa ja tarjota sovellus väestölleen[3]
  • lompakon toteuttaja voi olla julkisen tai yksityisen sektorin toimijaLähde puuttuu
  • lompakkototeutuksia voisi olla useita joka maassaLähde puuttuu
  • suunnattu julkisen ja yksityisen sektorin palveluille[4]
  • myönnettäisiin kaikille kansallisten henkilökorttien haltijoille[2] (ilmeisesti myös mekaaniset)
  • ohjelman asentaminen mobiililaitteeseen ja käyttöönotto on vapaaehtoista[1]
  • kohderyhmänä jäsenmaiden väestö ja yritykset[1]
  • EU-sääntely asettaa vaatimuksia isoille toimijoille kuten pankeille ja muille suuryrityksilleLähde puuttuu

Ominaisuudet

Ominaisuudet

Esitettyjä käyttötilanteita

Komissio esittää mahdollisiksi käyttökohteiksi palveluita[1] jotka ovat jo Suomessa käytössä. Osa käyttötilanteista olisi www-selaimessa.

  • käyntiasioinnit ja sähköinen asiointi verkossa
  • julkiset palvelut
  • pankkitilin avaaminen
  • veroilmoituksen täyttö
  • opiskelupaikan haku
  • reseptien - jotka toimisivat koko unionissa, tallennus
  • iän todistaminen
  • auton vuokraaminen
  • hotelliin kirjautuminen

Kritiikkiä

Mobiililaitteet ovat turvattomampia tietojenkäsittelylaitteita kuin perinteiset tietokoneet.
  • Asiantuntijoiden mukaan mobiililaitteet eivät ole turvallisia tietojenkäsittelylaitteita
  • Hanke vaatisi uudehkon mobiililaitteen, mikä rajaa osan väestöstä sen ulkopuolelle
    • pankkitunnuksia usein perustellaan niiden puhelinkäytöllä, koska kaikilla ei ole tietokonetta
  • Vastaava EU-laajuinen tunnistusratkaisu saavutettaiisin takaamalla kansalliset PKI-varmennehierarkiat EU:n toimesta
    • ratkaisu on jo käytössä, esim. Suomen varmenteet on taattu välitakausvarmenteilla (intermediate CA)
    • takaaminen olisi käytännössä ilmaista, "pelkkää matematiikkaa" virkatyönä, lopputuloksena EU-juurivarmenne ('CA Cert)
  • Lompakon käytön vapaaehtoisuus on omituinen väite, kun käyttäjät eivät voi itse päättää, millä tavalla palveluihin tunnistautuvat. Jos ratkaisun käyttö laajenee, käyttöönotto on käytännössä pakollista.
  • Lompakon ja asiointilaitteen (web-selain) välistä puuttuu turvallisuutta lisäävä tekninen kytkentä (kuten varmennekortissa on)
  • Esitetyt käyttötilanteet ovat jo monessa maassa käytössä. Osa niistä tuskin toteutuu koska ongelmat eivät ole tunnistamisessa:
    • Virossa kokeiltiin pankkitilien avaamista etänä, tunnistaminen ei ratkaise taustan selvitystä
    • Mikä pakottaisi pankit tai pienemmät toimijat laskemaan EU-lompakolla verkkopankkiin, kun mikään ei pakota niitä nytkään hyväksymään kuin pankkitunnukset?
    • Iän todistaminen ei ole tunnistusvälinekysymys vaan mitä lukee väestötietojärjestelmässä
  • Suomessa lompakko antaisi asioijasta palvelulle yksilöintitunnuksen, mikä tekisi siitä epäyhteensopivan nykyisten tunnistusvälineiden kanssa
  • Ajo-oikeuden tallentamisesta käyttäjän haltuun aiheutuu päivitysongelma koska se on kopio immateriaalisesta oikeudesta viranomaisten tietojärjestelmästä. Oikeus voidaan evätä vaikka ajokorttia/kopiota ei saada haltuun ja kuljettajia tarkastaessa alkuperäinen oikeus tulee silti tarkastaa tietojärjestelmästä. Pienempi vaiva olisi tunnistaa henkilö ja tehdä pelkkä oikeuden tarkastus tietojärjestelmästä.

Kysymyksiä ilman vastauksia

  • mitä toteutus vaatii palvelulta?
  • onko tunnistevälineen tekninen toteutus varmenne?
    • ilmeisesti on sen allekirjoitusten laatuvaatimusten (QSCD) takia.
    • olisiko varmenne SIM-kortilla, laitteen turvasirulla vai valtion palvelimella? Turvasiruja ei ole joka laitteessa.
  • ilmeisesti lompakko ei olisi QSCD-allekirjoitusväline eikä sillä voisi allekirjoittaa, tarkoitus allekirjoittaa palvelussa?

Keskustelua

Keskustelun kovaäänisin vastustaja näyttäisi olevan FiCom joka edustaa mm teleoperaattoreita. Uusi tunnistusväline uhkaa heidän Mobiilivarmenne-tunnisteen liiketoimintaa.

Katso myös

Lähteet

  1. 1,0 1,1 1,2 1,3 1,4 1,5 1,6 1,7 1,8 1,9 Commission proposes a trusted and secure Digital Identity for all Europeans European Digital Identity which will be available to all EU citizens, residents, and businesses in the EU. Use of the European Digital Identity wallet will always be at the choice of the user. Users in control of their data: The European Digital Identity wallets will enable people to choose which aspects of their identity, data and certificates they share with third parties, and to keep track of such sharing. User control ensures that only information that needs to be shared will be shared. The Commission invites Member States to establish a common toolbox by September 2022 and to start the necessary preparatory work immediately. This toolbox should include the technical architecture, standards and guidelines for best practices. The Commission's 2030 Digital Compass sets out a number of targets and milestones which the European Digital Identity will help achieve. For example, by 2030, all key public services should be available online, all citizens will have access to electronic medical records; and 80% citizens should use an eID solution. The right of every person eligible for a national ID card to have a digital identity that is recognised anywhere in the EU Viitattu: 2021-06-04
  2. 2,0 2,1 2,2 2,3 European Digital Identity Every time an App or website asks us to create a new digital identity or to easily log on via a big platform, we have no idea what happens to our data in reality. That is why the Commission will propose a secure European e-identity. One that we trust and that any citizen can use anywhere in Europe to do anything from paying your taxes to renting a bicycle. A technology where we can control ourselves what data is used and how. Today, only about 60% of the EU population in 14 Member States are able to use their national eID cross-border. Only 14% of key public service providers across all Member States allow cross-border authentication with an e-Identity system. Some services, like eSignatures, will be integrated into the wallet to facilitate their use. eSignature Expression in an electronic format of a person’s agreement to the content of a document. The function will be integrated into the wallet. Viitattu: 2021-06-05
  3. eur-lex.europa.eu - Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) No 910/2014 Article 6a: European Digital Identity Wallets, 1. For the purpose of ensuring that all natural and legal persons in the Union have secure, trusted and seamless access to cross-border public and private services, each Member State shall issue a European Digital Identity Wallet within 12 months after the entry into force of this Regulation. 2. European Digital Identity Wallets shall be issued: (a)by a Member State; (b)under a mandate from a Member State; (c)independently but recognised by a Member State. Viitattu: 2021-06-07
  4. 4,0 4,1 4,2 4,3 4,4 2021-06-01 retures.com: EU set to unveil plans for bloc-wide digital wallet The app will allow citizens across the EU to securely access a range of private and public services with a single online ID, according to the FT report on Tuesday. The digital wallet will securely store payment details and passwords and allow citizens from all 27 countries to log onto local government websites or pay utility bills using a single recognised identity. The EU-wide app can be accessed via fingerprint or retina scanning among other methods, and will also serve as a vault where users can store official documents like the driver's licence, the newspaper reported. Viitattu: 2021-06-03


Aiheesta muualla