楊士青提到的問題很重要的。
要提醒提案人,分數高是代表評審委員對這個很有興趣,將來這個題目被加成的機會是有可能。
因為分數我覺得還滿值得參考的,如果分數比較高的排前面一點,讓人家來看的時候,可以讓人家知道評審委員都喜歡這個題目,吸引提案人選這個 idea 就對了,這樣講解有清楚嗎?
我們剛剛的共識是都不要虛擬卡,全部用押金解決最簡單。
我們成人健檢的話,可以在檢驗所做完,然後在醫生這邊看報告,IC21跟IC23可以差到六個月,我剛剛突然忘記,那個影響很大,就是有藥局、復健所及檢驗所。
tokenization或者是虛擬副卡會有一個生命週期,可是健保制度下會變得非常複雜,時間越長當然就是越不安全、越短越安全,像我們有復健,一格健保卡可以做六次,時間就變成拉很長,就會提高冒用跟資安的風險。
大家好,我是開放文化基金會李柏鋒,開放文化基金會比較關心open source的問題及技術,之前跟政府單位,有跟eID有一些討論跟研究,所以跟健保卡也有一點關係,剛好我也是小兒科醫師,希望可以聽到各位的一些意見並跟各位分享。
簡處長口頭也是贊成要開放前幾道命令,大概就這樣子。
資管處的角色?
大家分頭研究一下知道各國的狀況,至少不要再被中華電信騙了(笑)。
我們現在就被鎖著,我也理解,但是那個是十幾年前的架構,那個是沒有手機的年代做出來的標準。
不好意思再麻煩你。
對。
沒有,臺權會比較厲害。
這個沒有解決,不要想下一步。
反正卡片已經發出去了,看如何讓大家用最簡單的方式開發出來,當然他公布了,還是不會有人開發,我必須很老實講,但這個是第一步。未來大家想要解決自然人憑證的話,至少質疑自然人憑證的這一個框架可以重新討論一下,大家可以蒐集各國的資料。我知道內政部一直很想把自然人憑證合到身分證裡。這有好、有壞,我相信臺權會反對。
那是因為他們不理我們才會告。
對,但是我怕國發會訂出來還是按照以前的。
我還可以舉例,像銀行的卡片跟自然人憑證是類似的,但他們現在又改一個device。
你說一張卡片是不是可以允許多功能,像我講的例子,那個網站就是這樣,如果來存取我的資料,當然我要同意,那個部會也要同意,所以兩方都要同意,這個就解決這個問題,我還是覺得綁在這個硬體怪怪的。
以前多卡合一的問題我也可以講一下,其實內政部一直想要把自然人憑證放進身分證裡面,其實這樣是不合理的事。
這個是國發會的事情,內政部是自然人憑證,但是標準是國發會的,他們就refer來refer去,我也被refer來refer去。
它複雜沒有關係,但是國家基礎建設,他們用這樣的小動作來綁住,我覺得是不好的事情,我覺得以後儘量不要有這一種事。
我在猜應該是這一個,我回去再研究一下。
跟 「行動自然人憑證」的計畫相同嗎?
GSMA 是不是 「自然人憑證雲端附卡」的計畫 (所使用的標準)?
不同的卡片的標準還不一樣。
私鑰是被鎖住的,可以做簽證的動作,但是私鑰是拿不出來的,我也是最近才知道,我不知道其他的國家,所以可能需要再問一下。
而且自然人憑證很誇張,它不能取出私鑰,那麼就不能轉移到手機,我覺得這個很扯,因此我覺得有必要檢討,但是我很怕,他們已經推十幾年了,我怕他們會覺得這個是正確的,因此有必要檢討自然人憑證是不是唯一網路或者是公文的認證方式,其實我覺得好像不太合理。我不知道臺灣為什麼這樣設計,可能有他的理由,但是光是這樣,手機就沒有辦法,難道要接讀卡機嗎?
其實我這幾年也才研究自然人憑證,我不知道其他國家,臺灣自然人憑證資料「私人鑰匙」是沒有辦法讀出來的,那就沒有辦法轉移,只能被綁住,現在都用手機了,難不成還要接讀卡機跟自然人憑證?這個是完全不合理的。好險有位朋友劉康民(gugod),他說荷蘭並不是這樣,身份認證是去一個網站就可以認證了,認證以後就是等於這一個網站承認這個人做身份認證的動作,只是以前的身份認證是在卡片上面,我們現在有很多網站,很多網站就是跟他作開放式認證 (Oauth),所以我不曉得李資訊局局長的想法怎麼樣?
沒有關係。
這個我們等一下可以講,如果還有時間的話。
我們等一下可以講,我完全不贊成自然人憑證的方法,但是要先解決現在的問題,我們國家已經被自然人憑證綁住了,我們要往前進。
不是。如果是短期內的話要告訴我們如何操作,長期是不能用這一個專屬的格式。因為一個簽證裡面都有讀取都有標準的command,不用前面這四道卡住,不可以,如何措詞我們可以跟國發會討論,以後新的卡片不可以,我覺得不可以,當然我們可以去「眾開講」討論。
對,我就是要自己開發,而且前面要有四道程序才能做。
第一,他們要講自訂的command參數是怎麼樣,因為一定有很多參數,這一些參數是如何操作,為何那四道就可以開始初始化,至少告訴我們要如何操作,我們現在是用側錄去猜那個command,他要去解釋這四個。第二,為什麼用這個鎖住,大家想也知道為什麼,他也不用解釋,希望以後如果他們招標的話,不可以用這個,他號稱是符合標準,但是這個標準裡面是自訂格式,每一次都講合標準,我不太接受這一個事,我的希望是國發會在招標的話,不可以採用這一種自訂格式。
長期目標是減少自然人憑證卡片的問題,最終是希望臺灣在網路上身份辯識的基礎建設,不要被鎖在這個硬體上,昨天劉康民(gugod)也有提荷蘭的例子。所以是不是用網站來做身份認證,而不是鎖在硬體上,不過這個是另外一個議題,目前短期的目標是中華電信是不是可以釋出 (APDU 的規格)。
沒有去聯絡,但是有聯絡到另一個側錄的朋友,他說那個很簡單,就是前面四道程序以後,後面就跟標準程序一樣,這個問題我們找何老師,何老師有介紹台大的教授,反正我們發現就這四道程序被鎖住,因此我們短期的訴求是中華電信應該要釋出這四道專屬 APDU command 是什麼意思?這個是國家基礎建設,為什麼要用專屬很奇怪的東西鎖住,我不太能夠接受;如果不釋出沒有關係,就公開講不釋出,我們跟大家講說你有做這一件事,沒有關係,就讓社會公評,我希望讓中華電信釋出,讓大家開發,這個是短期的目標。
我們有跟內政部談過,但是事實上最後有轉到國發會資管處楊蘭堯科長,因為官方憑證最上層的法規跟標準訂定是國發會資管處訂定的,承辦是國發會楊蘭堯科長處理,我們有跟他講,但是就停在那一步,沒有下一步解釋。他們有來解釋,但是解釋說他們就是這樣。我自己很訝異臺灣自然人憑證整個都被鎖住,而且還被中華電信鎖住,因為我們如果沒有透過他的API的話—我們這是側錄出來才能存取—其實是要透過他的API,他有一個DLL檔,要有才能往下,我自己很訝異,我就卡關,我不曉得下一步要怎麼辦,我們繼續再找國發會討論。
對,我本來想要把時間留給他們,時間很快(笑)。這個很技術,但是的確遇到困難,反正我們想要自己玩玩看電子化政府的問題,第一個就卡在自然人憑證,我們去研究自然人憑證為什麼只能在Windows平台使用,我們發現中華電信前面有四個APDU被鎖住,一定要用自訂的 command 去初始化之後才能操作,我們以前跟國發會等都有講過,但是我覺得中華電信沒有講得很清楚,所以我只是想說是不是我們要再回去跟國發會他們講清楚或者是有什麼方法可以push?
不太可能。
所以看起來很難?
現在的框架下,有沒有辦法採購一年的顧問約嗎?
雖然想要解決,但是是很大的問題。
顧問的方式?比如約聘一年?
可以兼職嗎?我可以在政府當兼職嗎?
會提到這個原因是,我們那時候是找何建明老師,我們問如果學 Code for America Fellowship 要怎麼做,他就建議在中央列一個清單,地方政府看到你們敢做就會跟著做,我只是提一下就對了。我知道地方自治,所以不能管他們,所以就提一下,我會提這個原因是何老師說中央做,他們就敢做,所以跟大家報告。
我們也擔心是不是開了一個漏洞,臺灣關說也滿盛行的,所以我們也不希望開一個漏洞,怎麼樣在合情、合法的情況下來做,開了漏洞之後,大老闆換了後帶一批人進來,我覺得這樣也不好。
如果方向願意解決就可以再討論,如果又像以前顧問職的話,也不錯,有總比沒有好,但是效用會比較小一點,因為畢竟滿多人需要養家活口的。
我們比擔心顧問沒問題,顧問大家都願意幫忙—像我還好—但是有些人還是需要一些基本的生活,如果能夠幫他們一起解決的話會比較好,如果有的話是比較好;像小彭或者是以前他們進去都很複雜,就是雙層外包再進去。
