Celem konferencji z 29 września 2010 było przedstawienie aktualnego stanu projektu PL.ID zarówno od strony organizacyjnej, prawnej jak i technicznej. Na konferencji było sporo prezentacji ściśle technicznych - w tym pierwsza, poświęcona podpisowi elektronicznemu z mediatorem oraz prezentacje producentów kart kryptograficznych (Infineon, Giesecke & Devrient, Gemalto, Oberthur). Przemysław Kubiak (PWr) opisywał wyniki prac zespołu Mirosława Kutyłowskiego nad potencjalnym zastosowaniem w PL.ID algorytmów podpisu elektronicznego z mediatorem (dobry opis mediated RSA można znaleźć na stronie Łukasza Klimka). Mechanizm ten znalazłby zastosowanie w podpisie osobistym, który ma być jedną z usług oferowanych przez PL.ID. Mediatorem podpisu byłby publiczny wystawca nowych dowodów osobistych, co dawałoby znacznie większą kontrolę nad wykorzystaniem podpisu zwłaszcza w zakresie anulowania certyfikatów lub wymiany algorytmów kryptograficznych, znakowania czasem czy wykrywania prób klonowania kart. Wykorzystany miałby być algorytm BLS (Boneh-Lynn-Sacham, 2001) z RSA-PSS, zaś podpis mediatora byłby kontrasygnowany przez użytkownika podpisu za pomocą ECDSA.
Wykład Marka Ujejskiego (Narodowy Fundusz Zdrowia) był poświęcony głównie przyszłości Rejestru Usług Medycznych (RUM II), w którym PL.ID ma znaleźć zastosowanie. Celami biznesowymi w tym przypadku są:
- identyfikacja i uwierzytelnienie prawa do ubezpieczenia społecznego - karta PL.ID miałaby taki dowód ubezpieczenia stanowić,
- uwierzytelnienie opisu zdarzenia medycznego przez pacjenta i personel medyczny - tu kartą PL.ID pacjent potwierdzałby swoją obecność w gabinecie lekarza oraz wykonanie danego świadczenia,
- uwierzytelnienie pacjenta uzyskującego dostęp do własnej historii leczenia w systemie (przez portal NFZ).
</ul>
Warto zwrócić tutaj uwagę na drugi punkt - jednym z celów projektu RUM jest zmniejszenie ilości masowych oszustw, polegających na pobieraniu przez lekarzy pieniędzy z NFZ za fikcyjne świadczenia czy sprzedaż leków refundowanych na czarnym rynku. W scenariuszu z PL.ID pacjent miałby potwierdzać - przy pomocy karty PL.ID - swoją wizytę u lekarza. Autor podał tutaj interesujące przykłady ze Śląska, gdzie od dawna funkcjonuję śląska karta ubezpieczenia medycznego (START) oraz Wielkopolski, gdzie w ciągu dwóch miesięcy projektu pilotażowego i udostępnieniu pacjentom historii ich świadczeń otrzymano od nich prawie 4 tys. zgłoszeń o niezaistniałych zdarzeniach medycznych.
W kolejnej prezentacji Remigiusza Kaszubskiego (Związek Banków Polskich) padł postulat ujednolicenia terminologii związanej z identyfikacją, dokumentami i uwierzytelnieniem w polskich przepisach. Dotychczasowa chaotyczna i resortowa legislacja w tym zakresie powoduje szereg problemów interpretacyjnych. W ZBP trwają pracę grupy Forum Technologii Bankowych do spraw identyfikacji i uwierzytelnienia, która buduje spójny słownik tej terminologii.
Częściowej odpowiedzi na ten postulat udzielił Marek Grajek (Centrum Projektów Informatycznych MSWiA), który poinformował, że MSWiA pracuje obecnie nad standardowym katalogiem pojęć takich jak "dokument" czy "pismo", który będzie starało się wprowadzić jako standardowy element legislacji.
Prezentacje Elżbiety Włodarczyk (Krajowa Izba Rozliczeniowa) i Andrzeja Rucińskiego (Unizeto) były wobec PL.ID dość sceptyczne - np. tabelka porównująca cechy podpisu osobistego i certyfikatu kwalifikowanego niedwuznacznie sugerująca, że ten ostatni jest generalnie lepszy. Przedstawiciele centrów wskazali natomiast na możliwe problemy z wdrożeniem PL.ID:
- długi okres nasycenia rynku nowym dowodem osobistym zwłaszcza, że jego wymiana nie jest obowiązkowa i w przypadku dotychczasowych dowodów może potrwać nawet 10 lat; równocześnie bez efektu skali cały projekt spali na panewce
- wrażliwość podpisu osobistego na aspekty technologiczne (pisałem o tym także tutaj)
- uzależnienie podpisu osobistego od konieczności zakupu czytnika kart kryptograficznych, co w przypadku osób prywatnych jest poważną barierą samą w sobie. </ul> Prezentacje producentów kart dotyczyły z kolei niskopoziomowych aspektów technicznych. Z ciekawszych rozwiązań można wspomnieć o "ograniczonej identyfikacji" czyli mechanizmie, który pozwala obywatelowi udowodnić fakt posiadania PL.ID bez ujawniania swojej tożsamości.