Wczoraj w sklepie Google Play opublikowana została aplikacja “eDO App”, wydana przez Polską Wytwórnię Papierów Wartościowych. W niniejszym artykule przyglądam jej się, nie mogąc jednak w pełni z niej skorzystać – nie mam jeszcze dowodu osobistego z “warstwą elektroniczną” czyli zaszytym w środku mikroprocesorkiem z anteną indukcyjną.
Nie bardzo wiadomo, czemu do obsługi elektronicznych funkcji dowodu osobistego potrzebujemy nowej aplikacji – świetnie nadawałby się przecież do tego mObywatel. Jeśli ktoś z czytelników zna odpowiedź, proszę o e-maila albo komentarz pod artykułem.
Co można zrobić przy użyciu nowej aplikacji? Otóż – niezbyt wiele. Jeśli do tej pory nie przykładałeś/aś dowodu osobistego do czytnika NFC podłączonego do komputera, to są spore szanse, że aplikacja eDO App zwyczajnie ci się nie przyda. Na stronie rządowej stronie o e-dowodzie można przeczytać, że w warstwie elektronicznej dowodu osobistego mogą znaleźć się cztery certyfikaty: do uwierzytelniania w usługach online (PIN 4-cyfrowy), do podpisywania dokumentów podpisem osobistym (PIN 6-cyfrowy), certyfikat potwierdzania obecności (bez PIN-u) i komercyjny certyfikat podpisu kwalifikowanego (jeśli kupimy go od komercyjnego dostawcy).
Aplikacja pozwala użyć pierwszych dwóch certyfikatów, w obu przypadkach uwierzytelnienie w aplikacji następuje poprzez wpisanie w aplikacji numeru CAN nadrukowanego na dowodzie osobistym oraz podaniu prawidłowego PIN-u. Te dane pozwolą na odblokowanie dostępu do warstwy elektronicznej dowodu przyłożonego do anteny NFC z tyłu telefonu, dzięki czemu aplikacja – w połączeniu z usługami online – użyje odpowiedniego certyfikatu z dowodu osobistego do złożenia podpisu cyfrowego pod wskazanym dokumentem lub komunikatem.
Brzmi jak coś skomplikowanego? Bo jest. O ile każdy rozumie, czym jest podpis odręczny, o tyle wiedza ta nie ma bezpośredniego przełożenia na podpis elektroniczny – tu występują takie pojęcia, jak klucz publiczny i prywatny, certyfikat, poświadczenie, funkcje skrótu, podpisy cyfrowe, urzędy certyfikacji i tak dalej. Do pełnego zrozumienia tematu wymagana jest znajomość matematyki dyskretnej i kryptografii na poziomie akademickim. Z tego powodu dla znakomitej większości użytkowników kwalifikowanego podpisu elektronicznego operacja “podpisu” sprowadza się do wetknięcia karty do czytnika oraz wbicia odpowiedniego PIN-u, jednak nie są oni w stanie wytłumaczyć, z czego może wynikać i co będzie oznaczać błędny wynik walidacji podpisu cyfrowego.
No ale konkretnie – co zrobimy w eDO App?
Po pierwsze – zalogujemy się do ePUAP-u, do którego do tej pory logowaliśmy się przy użyciu Profilu Zaufanego lub za pośrednictwem banku.
Po drugie – samodzielnie potwierdzimy Profil Zaufany, dzięki czemu nie będziemy już więcej potrzebować aplikacji eDO App (szach, mat).
Po trzecie – podpiszemy wniosek o wydanie karty tachografowej w serwisie info-car i to chyba na razie jedyny przykład integracji aplikacji firmy trzeciej z eDO App (do tej samej operacji nada się też Profil Zaufany)
Po czwarte – popiszemy podpisem zaufanym dokument PDF w tych wszystkich życiowych sytuacjach, gdy musimy złożyć taki podpis bez dostępu do komputera z internetem (i ePUAP-em, który daje od niedawna taką samą możliwość). [Dodano 23.12.2020: warto rzucić okiem na ten komentarz]
I to już wszystko. Nie wiem, czy i kiedy eDO App pozwoli na cokolwiek więcej, niż umożliwia obecnie ePUAP i Profil Zaufany. Informacji takiej nie znajdziemy na stronie www.edoapp.pl zaś witryna www.pwpw.pl w ogóle nie wspomina aplikacji eDO App.
Co jest w środku?
Przepis na wgląd w zawartość aplikacji dla Androida podałem w poprzednim tekście: APK Extractor, skopiowanie pliku, Apktool i jazda.
Oto wrażenia z eksploracji spisane w kolejności ich doświadczania:
- W pliku z manifestem nazwy niektórych ekranów opatrzone są odniesieniem do tekstów z zasobów aplikacji (dobrze), inne bezpośrednio w języku polskim (źle). No i teraz choćbym nie wiem jak próbował, to mimowolnie nastawiam się negatywnie, bo jest to efekt pośpiechu lub lekceważenia dobrych praktyk.
- Aplikacja napisana jest we frameworku Xamarin, który pozwala napisać aplikację w środowisku .NET jeden raz i wydać na obie platformy mobilne.
- Odnalezienie w zasobach webowej biblioteki highlight.js było pewnym zaskoczeniem, ale jest ku temu uzasadnienie – natywna biblioteka CodeView używa highlight.js do czytelnej prezentacji na ekranie plików XML
- W zasobach jest też plik HTML z regulaminem. Regulamin ma długość 20 stron znormalizowanego maszynopisu. Przeczytałem go w całości.
- W regulaminie stoi, że aplikacja pozwala na “weryfikację oryginalności i ważności e-dowodu”. Od teraz każdy, kto znajdzie dowód osobisty, będzie w stanie sprawdzić czy zguba została już zastrzeżona. Nie wiem, czy to dobrze.
- Regulamin informuje, że aplikacja nie zadziała na zrootowanych urządzeniach. Zadumałem się, czy zgadnę nazwę odpowiedniej metody w trzech próbach. Udało się już za pierwszym razem: typując “isroot” trafiłem jednocześnie
IsRootDetected
orazIsRootedOrDangerous
w pakiecieRootDetectionService
. - “Użytkownik w każdej chwili może wypowiedzieć umowę o świadczenie usług drogą elektroniczną przez odinstalowanie aplikacji eDO App ze swojego urządzenia mobilnego”. Ciekawe, jak taka forma wypowiedzenia umowy wygląda z punktu widzenia prawa, bo przecież usługodawca nie dowie się o fakcie odinstalowania aplikacji.
- “Użytkownik może skorzystać ze wzoru formularza odstąpienia od umowy, stanowiącego Załącznik nr 1 do regulaminu“ – nie może, żadna z kopii regulaminu (w aplikacji, na stronie WWW, w pliku PDF) nie ma załącznika
- W kontekście nieaktywnej (nieukończonej?) funkcji weryfikacji poprawności podpisu, w zasobach odnajdujemy odnośnik do adresu
https://192.168.22.2:8473/frontend012/Regulamin%20eDO%20Aplikacji.html
– wygląda to na jakieś developerskie proxy, analogiczny URL “produkcyjny” zaczyna się odhttps://uslugi.edoapp.pl/frontend012/
- Aplikacja korzysta z analityki i raportowania wywrotek z microsoftowego AppCenter, nie korzysta za to z bibliotek Facebooka ani usług pomocniczych Google
- Jeśli chodzi o nazwę aplikacji, to może się podobać lub nie, ale unikalna nie jest na pewno – w sklepie Google Play jest już aplikacja serwisu edoapp.it oraz aplikacja mobilna „My Edo App” do zamawiania posiłków w Japonii.
Tekst przerwę nagle i niespodziewanie w tym miejscu. Ciąg dalszy pojawi się, gdy tylko odbiorę swój e-dowód. Aktualizacja: Mam już swój e-dowód. Tutaj dowiesz się, czy udało mi się umieścić w warstwie elektronicznej dokumentu reklamę Informatyka Zakładowego: https://informatykzakladowy.pl/pierwszy-na-swiecie-dowod-osobisty-z-reklama-bloga/
O autorze: zawodowy programista od 2003 roku, pasjonat bezpieczeństwa informatycznego. Rozwijał systemy finansowe dla NBP, tworzył i weryfikował zabezpieczenia bankowych aplikacji mobilnych, brał udział w pracach nad grą Angry Birds i wyszukiwarką internetową Microsoft Bing.
22 odpowiedzi na “Rzut oka na aplikację eDO App”
Nie zdziwię się jak za jakiś czas w osobnym budżecie zrobią to w mObywatel – w zasadzie to w tej aplikacji powinno to być. A tak mamy kolejną aplikację.
A dlaczego tak nie jest, hmm, przypomina mi to równolegle usługi do epodpisu, mamy Profil Zaufany i mamy https://www.pkobp.pl/klienci-indywidualni/e-urzad/e-tozsamosc/
https://www.facebook.com/watch/live/?v=2714427712169469&ref=watch_permalink
Ten eDO robiony jest przez PWPW… pewnie mają jakąś „wyłączność” na tego typu rzeczy 😉 I za osobną opłatą będzie to też kiedyś wdrożone w mObywatel
Weryfikacja dowodu może być przydatna przy transakcjach sprzedaży i wynajmu nieruchomości lub samochodów.
Dodatkowo każda firma pożyczkowa lub bank będzie mógł lepiej sprawdzić na ile przedstawiony dowód jest „kolekcjonerski”.
[…] [PL] Rzut oka na aplikację eDO App wydaną przez PWPW […]
Ciężko porównywać mobywatela z edoappem. Mobywatel jest do podrobienia w paincie czy innym narzędziu z animowaniem hologramu, zeby było wiarygodniej. Edoapp działa z nowym dowodem i potwierdza za pomocą pinu, więc sama weryfikacja że dowód nie został zastrzeżony nie wydaje się być niepokojąca. Podobno kryptografia nie do złamania, ale nie widzę gdzie tego można w ogóle używać.
BTW jak mozna testowac aplikację bez posiadania dowodu elektronicznego? To jak testowanie auta bez jazdy próbnej i konkluzji „auto jest do dupy, ale nie jechałem nim bo nie mam prawa jazdy”
spójrz na zakończenie tekstu: „ciąg dalszy pojawi się, gdy tylko odbiorę swój e-dowód” – co powinno mieć miejsce w najbliższych dniach
powodzenia, mam edowod i zainstalowałem apke, ale na razie nie ma szału. Zresztą czekam na recenzję
Coż mogę powiedzieć – skoro nie działa na rootach na pewno nie skorzystam. Gorzej tylko gdy państwo jużnie-polskie postanowi kiedyś, że przyjmuje jedynie wnioski podpisane eDO lub Profilem Zaufanym i znów utrudni lub uniemożliwi dostęp do urzędu tradycyjnego. Należy zauważyć, że gdy nie korzystamy z telefonu zrootowanego, wszystkim co robimy, gdzie wysyłamy wnioski – każdy nasz ruch – jest rejestrowany przez amerykańską firmę Google lub Apple. Dane więc trafiają poza EOG/EU.
Tak to wygląda przynajmniej po części od strony prawnej – sytuację zamknięcia urzędów już mieliśmy w marcu 2020, przez co obywatele nie mogli się przepisać między innymi na głosowanie w inny sposób niż przez Profil Zaufany lub poprzez podpis elektroniczny. Informacja o możliwości skorzystania z art. 28 Kodeksu Wyborczego nie była nigdzie wskazana jako możliwa i że można to w tym trybie (powołując się na konkretny artykuł) zrobić listownie. Można to było znaleźć dopiero na forach, po tym jak ktoś przeanalizował Kodeks Wyborczy i wrzucił pismo do wypełnienia – tak o nas dba nasz rząd.
Co do roota, to magisk rozwiązuje problem.
Czy ktoś w końcu zrobi porządek z burdelem zwanym polskimi podpisami elektronicznymi. Dla kolegi pytam 😀 podpis kwalifikowany płatny, profil zaufany, e-dowod na cholerę tego tyle….
Każda firma musi zarobić 🙂
Problemem jest to, że urzędy nie chcą przyjmować dokumentów podpisanych elektronicznym podpisem zaufanym. Generalnie to jak wypełnię dokument i podpiszę go podpisem osobistym to powinienem móc go wysłać do urzędu np poprzez maila. Okazuje się że jak urząd ma udostępniony profil zaufany to tylko przyjmują dokumenty za pomocą profilu zaufanego.
Użyłem aplikacji do podpisania wniosku o urlop oraz zaświadczenie do urzędu skarbowego. Było to trochę karkołomne, bowiem napisałem pisma na PC. Przekopiowałem do telefonu z NFC i tam podpisałem, udostępniając na swoją pocztę e-mail. Dobrze, aby ta apka była na PC-ty np. w sklepie Google (lub Windows Store), a telefon mógł służyć za czytnik, bowiem coraz więcej smartfonów posiada NFC, a zakup odrębnego czytnika do kilku podpisów w roku nie kalkuluje się. Jednakże profil zaufany (podpisałem w sumie około 8000 dokumentów) pomimo zalet, ma też wady. W Urzedach Skarbowych nie honorują go. W 2014 złożyłem wniosek o kopię PITU za 2013! (KTÓRY ZŁOŻYŁEM PRZEZ PLATFORMĘ ePODATKI – BEZ PODPISU – WERYFIKACJĄ BYŁ DOCHÓD za 2012 – absurd). Pismo z „odręcznym podpisem” zeskanowałem i dołączyłem do treści w ePUAP (prócz identycznej treści w okienku). PO 3 dniach zostałem wezwany – pani przedłożyła papier wydrukowany z PDF i kazała podpisać… odręcznie.
Bo to nie Państwowa Wytwórnia Papierów Wartościowych tylko Polska Wytwórnia Papierów Wartościowych.
Gdy zauważymy tą niby subtelną różnicę, całość zacznie się układać sama.
Dzięki! Poprawiłem, cały czerwony…
Nie wymieniłeś najbardziej przydatnej funkcji. „Podpis osobisty może być wykorzystywany również w kontaktach z podmiotami innymi niż publiczne, ale tylko jeżeli obie strony wyrażą na to zgodę.” Czyli bez płacenia za czytnik i podpis kwalifikowany możemy zdalnie zawierać umowy. Stwierdzenie, że po potwierdzeniu profilu zaufanego nie potrzebujemy już eDo app jest nieprawdziwe, mnie też wprowadziłeś w błąd i gdybym nie szukał dalej to bym płacił za podpis kwalifikowany. Podpis osobisty w XXI wieku i w czasach covid świetna sprawa, tylko ciężko się o tym dowiedzieć. Na blogach są albo stare informacje, że potrzebny podpis kwalifikowany albo nieprawdziwe, jak u Ciebie, że podpis osobisty jest zbędny i robi to samo co podpis zaufany. Proszę o zweryfikowanie informacji i poprawienie wpisu.
Dzięki za opinię, w tekście dodałem bezpośredni link do tego komentarza
Tłumaczę założenia:
– aplikacja zapasowa bo jak wiemy mObywatel prowadzony jest przez innych ludzi i wydawcę
– eDO to aplikacja dla biznesu, możliwość bez pinu odbijania „kart” że jest się w pracy obniży koszt bo dowód trzeba mieć a działa bez pinu i jest to certyfikat
– podpis umów/dokumentów i prawne otwarcie dla osób 3. Do mObywatel nie mogę ale do eDO App już mogę
– liczyłem na mniejszą liczbę funkcji i lepsze działanie jak czytnik linii papilarnych. Może już jest. Ja nie mam jak sprawdzić bo mam SE pierwszej generacji ze względu na dostęp do wszystkich części i samodzielną wymianę baterii, w nowej jest to serializowane. #RightToRepair
– brak funkcji to brak skomplikowanego regulaminu do prowadzenia i też brak komunikatów a środowisko bardziej biznesowe więc i łatwiej wdrożyć.
– testy na mniejszej liczbie osób niektórych wewn. Protokołów (nowe elementy)
– wymagane dla grup zawodowych jak politycy, abw czy inne urzędy posiadające wyższy priorytet w działaniu (wysokie HA gwarantowane, nie że dzień przerwy czy brak działającej funkcji)
To dość dobitnie pokazuje że jest potrzeba tylko trzeba było wskazać realne punkty.
W nawiązaniu do komentarza https://informatykzakladowy.pl/rzut-oka-na-aplikacje-edo-app/#comment-2029 – obecnie można wyrobić sobie za darmo podpis kwalifikowany (QeS) zgodny z eIDAS i używać go do podpisywania umów, oświadczeń woli itp. ze _wszystkimi_ podmiotami. Warunek zdalnego wystawienia podpisu to posiadanie konta w odpowiednich bankach. Do podpisywania używana jest autoryzacja TouchID/FaceID. Ważność podpisu dwa lata, w Adobe Acrobat wyświetla się jako „This is a Qualified Electronic Signature according to EU Regulation 910/2014”. Dostawca to firma szwedzko-litewska z listy EUTL.
Działa to w jakimś polskim banku?
Już tak. Do niedawna nie działało i podejrzewałem nawet, że może nie będzie działało zbyt łatwo – bo sam musiałem to odpalić używając mojego „backupowego” konta bankowego z Belgii, gdzie używam fizycznego tokena challenge-response na kartę… więc podejrzewałem, że może to być nawet wymóg tego całego rozwiązania. Niemniej jednak, zaglądam do dostawcy QeS dzisiaj, a tam na liście po raz pierwszy widzę „Poland” i takie banki: Citi, Santander, ING, Pekao, iPKO, Alior, mBank, CreditAgricole, Inteligo, Getinbank – nie testowałem jeszcze, czy faktycznie któryś zadziała. Sprawdzę na małżonce 😉