*Της Αγγελικής Λοΐζου

Στον αναπτυσσόμενο ψηφιακό κόσμο γίνεται συνεχώς ταυτοποίηση των στοιχείων μας ώστε να εκτελούμε πολλές από τις καθημερινές μας δραστηριότητες όπως για παράδειγμα να έχουμε πρόσβαση στους τραπεζικούς και οικονομικούς μας λογαριασμούς, να κάνουμε διαδικτυακές αγορές, να μπορούμε να εισέλθουμε σε ένα κτίριο, να οδηγήσουμε ένα αυτοκίνητο, να διασχίσουμε τα σύνορα και να αποδείξουμε πτυχές της κατάστασης της υγείας μας. Σε μερικές μάλιστα περιπτώσεις χρειαζόμαστε ακόμα και όνομα χρήστη και κωδικούς ασφαλείας για να ταυτοποιηθούμε, ενώ άλλες φορές καλούμαστε να αποδείξουμε την ταυτότητα μας.

Για να μπορέσει να αντιμετωπιστεί η παγκόσμια πανδημία και να επανέλθουμε στην «κανονική» ζωή, πολλές κυβερνήσεις απαιτούν αποδεικτικό εμβολιασμού για να μπορεί ο πληθυσμός να συμμετέχει σε εκδηλώσεις, να πηγαίνει σε εστιατόρια ή ακόμα και αρνητικούς ελέγχους για να μπορεί να εισέλθει στην χώρα. Η απόδειξη της ταυτότητας είναι ο ακρογωνιαίος λίθος για την επαλήθευση των πιστοποιητικών υγείας ή των αρνητικών ελέγχων.

Σε πολλές χώρες, η άδεια οδήγησης είναι επίσης ένα ευρέως καθιερωμένο νομικό έγγραφο το οποίο χρησιμοποιείται για να αποδεικνύεις την ταυτότητα σου. Η κοινή Τεχνική Επιτροπή των Διεθνών Οργανισμών Τυποποίησης IEC και ISO JTC1 και η οποία εκπονεί πρότυπα για τεχνολογίες πληροφορικής και συγκεκριμένα η υποεπιτροπή της SC17, η οποία εκπονεί πρότυπα για κάρτες και συσκευές ασφάλειας για ταυτοποίηση, έχει εκπονήσει πρόσφατα το ISO/IEC 18013-5, Personal identification - ISO-compliant driving licence - Part 5: Mobile driving licence (mDL) application. Ο Πρόεδρος της επιτροπής Phil Wennblom αναφέρει τα εξής για την εκπόνηση του συγκεκριμένου προτύπου: «Το πρότυπο ISO/IEC 18013-5 το οποίο υιοθετείται παγκοσμίως θα αποτελέσει τη βάση για άδειες οδήγησης στις κινητές εφαρμογές ενώ παράλληλα προβλέπουμε ότι το ίδιο πρότυπο θα εφαρμοστεί και στα ψηφιακά πιστοποιητικά εμβολιασμού ικανοποιώντας τις απαιτήσεις που έχει θέσει ο Παγκόσμιος Οργανισμός Υγείας».

Το πρότυπο ISO/IEC 18013-5 περιέχει τους μηχανισμούς οι οποίοι επιτρέπουν πρόσβαση στις προσωπικές πληροφορίες και διασφαλίζει όπως αυτοί που τις χρειάζονται έχουν εμπιστοσύνη στις εφαρμογές που χρησιμοποιούνται. Το πρότυπο περιγράφει τις προδιαγραφές διεπαφής (interface) για την εφαρμογή της άδειας οδήγησης σε κινητή συσκευή, με άλλα λόγια τις απαιτήσεις σύνδεσης μεταξύ της εφαρμογής mDL και του mDL reader (αναγνώστη).

Επιπρόσθετα οι επαληθευτές, πέραν των αρχών που εκδίδουν τις mDL, όπως η αστυνομία, οι κυβερνητικές υπηρεσίες, ιστοσελίδες ή εφαρμογές, τα κτιριακά συστήματα πρόσβασης, διασφαλίζονται, μέσω της εφαρμογής και του προτύπου που εφαρμόζεται, ότι η φωτογραφία και τα δεδομένα του ατόμου που κατέχει την mDL είναι αυθεντικά και ως εκ τούτου αξιόπιστα.

Οι καταστάσεις που καλύπτονται σύμφωνα με το πρότυπο αφορούν:

  1. Περιπτώσεις όπου ένα πρόσωπο είναι παρόν για τον έλεγχο της ταυτότητας του κάτοχου της mDL όπως για παράδειγμα αστυνομικοί της τροχαίας κατά τη διάρκεια ελέγχων στους δρόμους, αλλά και
  2. Περιπτώσεις όπου δεν είναι παρόντα άτομα για τους ελέγχους όπως για παράδειγμα μηχανές πώλησης καπνού ή αλκοόλ.

Οι τεχνολογίες, οι οποίες ορίζονται στο πρότυπο και επιτρέπουν στον αναγνώστη της κινητής συσκευής να κάνει την επαλήθευση, περιλαμβάνουν οπτικούς κωδικούς QR, Bluetooth χαμηλής ενέργειας, επικοινωνία κοντινού πεδίου και Wi-Fi Aware.

Τουλάχιστον 14 χώρες, περιλαμβανομένου της Αυστραλίας, αρκετών χωρών στην Ασία, Ευρώπη, Βόρεια και Λατινική Αμερική χρησιμοποιούν τις εφαρμογές mDL, ενώ μεγάλος αριθμός καρτών εξακολουθεί να  κάνει δοκιμές. Το πρότυπο δημιουργήθηκε και περιέχει τα γενικά πρωτόκολλα για έγγραφα σε κινητές συσκευές και αναφέρεται λεπτομερέστερα στις άδειες οδήγησης σε κινητές συσκευές.

Η εκπόνηση του συγκεκριμένου προτύπου ξεκίνησε αρχικά ώστε οι άδειες οδήγησης να είναι διαθέσιμες σε κινητές συσκευές. Καθώς η επιτροπή εργαζόταν προς αυτή την κατεύθυνση αντιλήφθηκε ότι πρόκειται για ψηφιακό διαπιστευτήριο και ως εκ τούτου θα ήταν άσκοπο να δημιουργηθούν τα τεχνικά πρωτόκολλα για μια χρήση μόνο, όταν υπάρχουν τόσα άλλα ψηφιακά πιστοποιητικά.

Καθώς το πρότυπο αναπτυσσόταν με τέτοιο τρόπο ώστε τα πρωτόκολλα να μην επηρεάζονται από τον τύπο του εγγράφου, η επιτροπή κλήθηκε να κοιτάξει τη δυνατότητα να χρησιμοποιήσει το πρότυπο και για εφαρμογές πέραν των άδειων οδήγησης όπως τις άδειες εγγραφής των οχημάτων αλλά και των πιστοποιητικών εμβολιασμού.

Το πρότυπο είναι ευρέως γνωστό στον ψηφιακό κόσμο. Έχει υιοθετηθεί από τη βιομηχανία τεχνολογιών για ασφαλή ταυτοποίηση όπως επίσης και από τους παρόχους νέων εφαρμογών και wallets. Επίσης τόσο η Apple όσο και η Google το έχουν δεχθεί και παρέχουν υποστήριξη στο επίπεδο του λειτουργικού συστήματος. Η Apple έχει αποφασίσει να υποστηρίξει το mDL στο wallet της σύμφωνα με τις απαιτήσεις του ISO/IEC 18013-5 ενώ η Android έχει καθορίσει τη διεπαφή προγραμματισμού εφαρμογών επαλήθευσης ταυτότητας εφαρμόζοντας το πρότυπο για τις άδειες οδήγησης σε κινητές συσκευές αλλά και άλλου τύπου διαπιστευτηρίων σε κινητές συσκευές.

Παράλληλα η επιτροπή έχει εκδώσει ένα έγγραφο που περιέχει τις κατευθυντήριες οδηγίες για τη δημιουργία εγγράφων σε κινητές συσκευές(mdoc) για την ηλεκτρονική υγεία το οποίο επεξηγεί πως εφαρμόζεται το πρότυπο για τα πιστοποιητικά εμβολιασμού.

Ένα από τα καίρια σημεία του προτύπου ISO/IEC 18013-5 είναι και το γεγονός ότι η ασφάλεια είναι αυξημένη για τους κατόχους των mDL σε σύγκριση με τις φυσικές κάρτες αφού πλέον επιτρέπεται στους χρήστες

  1. να μοιράζονται μόνο τα απαιτούμενα δεδομένα όπως π.χ. την πιστοποίηση ότι το άτομο είναι άνω των 18 ετών και όχι την πλήρη ημερομηνία γέννησης του,
  2. να συναινούν στα δεδομένα που μοιράζονται, αφού υπάρχουν ρυθμίσεις με τις οποίες ο κάτοχος mDL μπορεί να δείξει μόνο τα δεδομένα που χρειάζεται ο επαληθευτής και μόνο αφού του επεξηγηθούν οι λόγοι
  • η κινητή συσκευή παραμένει υπό τον έλεγχο του ιδιοκτήτη κάτι που δεν γινόταν με τις φυσικές κάρτες
  1. να γνωρίζουν πότε τα δεδομένα τους φυλάσσονται αφού υπάρχει σχετική ειδοποίηση όταν ο επαληθευτής επιθυμεί να κρατήσει δεδομένα
  2. δεν επιτρέπει την παρακολούθηση αφού ο σχεδιασμός περιέχει μηχανισμούς οι οποίοι αποτρέπουν την παρακολούθηση.

Σχετικά με τη χρήση των πιστοποιητικών εμβολιασμού μια σημαντική διαφορά ανάμεσα στο Ευρωπαϊκό Ψηφιακό Πιστοποιητικό COVID(EU DCC) και αυτό που εκπονήθηκε από την Τεχνική Επιτροπή είναι το γεγονός ότι στο EU DCC υπάρχει κωδικός QR ο οποίος περιέχει προσωπικά δεδομένα που σχετίζονται με το εμβολιασμό του ατόμου. Από την άλλη για τις κινητές συσκευές που προδιαγράφονται στο πρότυπο υπάρχει κωδικός QR ο οποίος επιτρέπει την ασφαλή σύνδεση και μπορεί ο αναγνώστης της κινητής συσκευής να ζητήσει συγκεκριμένα δεδομένα για χρήση και εφόσον ο χρήστης επιτρέψει τη δημοσίευση στοιχείων που χρειάζονται.

Το πρότυπο χρησιμοποιεί κρυπτογράφηση και μεθόδους ελέγχου ταυτότητας μηνυμάτων που προστατεύουν από την κλωνοποίηση, υποκλοπές και μη εξουσιοδοτημένες προσβάσεις. Με αυτό το τρόπο διασφαλίζεται η εμπιστευτικότητα, ακεραιότητα και γνησιότητα της ανταλλαγής δεδομένων μεταξύ του mDL και του αναγνώστη.

Η ανάπτυξη προτύπων στον τομέα των τεχνολογιών πληροφορικής αυξάνεται με γοργούς ρυθμούς και η τυποποίηση καλείται να ανταποκριθεί στις απαιτήσεις της σύγχρονης ψηφιακής εποχής. Για περισσότερες πληροφορίες για το πρότυπο και τις δραστηριότητες στον τομέα μπορείτε να απευθύνεστε στον Κυπριακό Οργανισμό Τυποποίησης. Ο Κυπριακός Οργανισμός Τυποποίησης είναι ο εθνικός φορέας τυποποίησης υπεύθυνος για την προώθηση των εθνικών, ευρωπαϊκών και διεθνών προτύπων.

*Η Αγγελική Λοΐζου εργάζεται ως Λειτουργός Τυποποίησης στον Κυπριακό Οργανισμό Τυποποίησης(CYS).