Kategorie
Administracja publiczna Android

Rzut oka na aplikację eDO App

Wczoraj w sklepie Google Play opublikowana została aplikacja “eDO App”, wydana przez Państwową Wytwórnię Papierów Wartościowych. W niniejszym artykule przyglądam jej się, nie mogąc jednak w pełni z niej skorzystać – nie mam jeszcze dowodu osobistego z “warstwą elektroniczną” czyli zaszytym w środku mikroprocesorkiem z anteną indukcyjną.

Nie bardzo wiadomo, czemu do obsługi elektronicznych funkcji dowodu osobistego potrzebujemy nowej aplikacji – świetnie nadawałby się przecież do tego mObywatel. Jeśli ktoś z czytelników zna odpowiedź, proszę o e-maila albo komentarz pod artykułem.

Co można zrobić przy użyciu nowej aplikacji? Otóż – niezbyt wiele. Jeśli do tej pory nie przykładałeś/aś dowodu osobistego do czytnika NFC podłączonego do komputera, to są spore szanse, że aplikacja eDO App zwyczajnie ci się nie przyda. Na stronie rządowej stronie o e-dowodzie można przeczytać, że w warstwie elektronicznej dowodu osobistego mogą znaleźć się cztery certyfikaty: do uwierzytelniania w usługach online (PIN 4-cyfrowy), do podpisywania dokumentów podpisem osobistym (PIN 6-cyfrowy), certyfikat potwierdzania obecności (bez PIN-u) i komercyjny certyfikat podpisu kwalifikowanego (jeśli kupimy go od komercyjnego dostawcy).

Aplikacja pozwala użyć pierwszych dwóch certyfikatów, w obu przypadkach uwierzytelnienie w aplikacji następuje poprzez wpisanie w aplikacji numeru CAN nadrukowanego na dowodzie osobistym oraz podaniu prawidłowego PIN-u. Te dane pozwolą na odblokowanie dostępu do warstwy elektronicznej dowodu przyłożonego do anteny NFC z tyłu telefonu, dzięki czemu aplikacja – w połączeniu z usługami online – użyje odpowiedniego certyfikatu z dowodu osobistego do złożenia podpisu cyfrowego pod wskazanym dokumentem lub komunikatem.

Brzmi jak coś skomplikowanego? Bo jest. O ile każdy rozumie, czym jest podpis odręczny, o tyle wiedza ta nie ma bezpośredniego przełożenia na podpis elektroniczny – tu występują takie pojęcia, jak klucz publiczny i prywatny, certyfikat, poświadczenie, funkcje skrótu, podpisy cyfrowe, urzędy certyfikacji i tak dalej. Do pełnego zrozumienia tematu wymagana jest znajomość matematyki dyskretnej i kryptografii na poziomie akademickim. Z tego powodu dla znakomitej większości użytkowników kwalifikowanego podpisu elektronicznego operacja “podpisu” sprowadza się do wetknięcia karty do czytnika oraz wbicia odpowiedniego PIN-u, jednak nie są oni w stanie wytłumaczyć, z czego może wynikać i co będzie oznaczać błędny wynik walidacji podpisu cyfrowego.

No ale konkretnie – co zrobimy w eDO App?

Po pierwsze – zalogujemy się do ePUAP-u, do którego do tej pory logowaliśmy się przy użyciu Profilu Zaufanego lub za pośrednictwem banku.

Po drugie – samodzielnie potwierdzimy Profil Zaufany, dzięki czemu nie będziemy już więcej potrzebować aplikacji eDO App (szach, mat).

Po trzecie – podpiszemy wniosek o wydanie karty tachografowej w serwisie info-car i to chyba na razie jedyny przykład integracji aplikacji firmy trzeciej z eDO App (do tej samej operacji nada się też Profil Zaufany)

Po czwarte – popiszemy podpisem zaufanym dokument PDF w tych wszystkich życiowych sytuacjach, gdy musimy złożyć taki podpis bez dostępu do komputera z internetem (i ePUAP-em, który daje od niedawna taką samą możliwość).

I to już wszystko. Nie wiem, czy i kiedy eDO App pozwoli na cokolwiek więcej, niż umożliwia obecnie ePUAP i Profil Zaufany. Informacji takiej nie znajdziemy na stronie www.edoapp.pl zaś witryna www.pwpw.pl w ogóle nie wspomina aplikacji eDO App.

Co jest w środku?

Przepis na wgląd w zawartość aplikacji dla Androida podałem w poprzednim tekście: APK Extractor, skopiowanie pliku, Apktool i jazda.

Oto wrażenia z eksploracji spisane w kolejności ich doświadczania:

  1. W pliku z manifestem nazwy niektórych ekranów opatrzone są odniesieniem do tekstów z zasobów aplikacji (dobrze), inne bezpośrednio w języku polskim (źle). No i teraz choćbym nie wiem jak próbował, to mimowolnie nastawiam się negatywnie, bo jest to efekt pośpiechu lub lekceważenia dobrych praktyk.
  2. Aplikacja napisana jest we frameworku Xamarin, który pozwala napisać aplikację w środowisku .NET jeden raz i wydać na obie platformy mobilne.
  3. Odnalezienie w zasobach webowej biblioteki highlight.js było pewnym zaskoczeniem, ale jest ku temu uzasadnienie – natywna biblioteka CodeView używa highlight.js do czytelnej prezentacji na ekranie plików XML
  4. W zasobach jest też plik HTML z regulaminem. Regulamin ma długość 20 stron znormalizowanego maszynopisu. Przeczytałem go w całości.
  5. W regulaminie stoi, że aplikacja pozwala na “weryfikację oryginalności i ważności e-dowodu”. Od teraz każdy, kto znajdzie dowód osobisty, będzie w stanie sprawdzić czy zguba została już zastrzeżona. Nie wiem, czy to dobrze.
  6. Regulamin informuje, że aplikacja nie zadziała na zrootowanych urządzeniach. Zadumałem się, czy zgadnę nazwę odpowiedniej metody w trzech próbach. Udało się już za pierwszym razem: typując “isroot” trafiłem jednocześnie IsRootDetected oraz IsRootedOrDangerous w pakiecie RootDetectionService.
  7. Użytkownik w każdej chwili może wypowiedzieć umowę o świadczenie usług drogą elektroniczną przez odinstalowanie aplikacji eDO App ze swojego urządzenia mobilnego”. Ciekawe, jak taka forma wypowiedzenia umowy wygląda z punktu widzenia prawa, bo przecież usługodawca nie dowie się o fakcie odinstalowania aplikacji.
  8. Użytkownik może skorzystać ze wzoru formularza odstąpienia od umowy, stanowiącego Załącznik nr 1 do regulaminu“ – nie może, żadna z kopii regulaminu (w aplikacji, na stronie WWW, w pliku PDF) nie ma załącznika
  9. W kontekście nieaktywnej (nieukończonej?) funkcji weryfikacji poprawności podpisu, w zasobach odnajdujemy odnośnik do adresu https://192.168.22.2:8473/frontend012/Regulamin%20eDO%20Aplikacji.html – wygląda to na jakieś developerskie proxy, analogiczny URL “produkcyjny” zaczyna się od https://uslugi.edoapp.pl/frontend012/
  10. Aplikacja korzysta z analityki i raportowania wywrotek z microsoftowego AppCenter, nie korzysta za to z bibliotek Facebooka ani usług pomocniczych Google
  11. Jeśli chodzi o nazwę aplikacji, to może się podobać lub nie, ale unikalna nie jest na pewno – w sklepie Google Play jest już aplikacja serwisu edoapp.it oraz aplikacja mobilna „My Edo App” do zamawiania posiłków w Japonii.

Tekst przerwę nagle i niespodziewanie w tym miejscu. Ciąg dalszy pojawi się, gdy tylko odbiorę swój e-dowód. Aktualizacja: Mam już swój e-dowód. Tutaj dowiesz się, czy udało mi się umieścić w warstwie elektronicznej dokumentu reklamę Informatyka Zakładowego: https://informatykzakladowy.pl/pierwszy-na-swiecie-dowod-osobisty-z-reklama-bloga/



O autorze: zawodowy programista od 2003 roku, pasjonat bezpieczeństwa informatycznego. Rozwijał systemy finansowe dla NBP, tworzył i weryfikował zabezpieczenia bankowych aplikacji mobilnych, brał udział w pracach nad grą Angry Birds i wyszukiwarką internetową Microsoft Bing.

14 odpowiedzi na “Rzut oka na aplikację eDO App”

Ten eDO robiony jest przez PWPW… pewnie mają jakąś „wyłączność” na tego typu rzeczy 😉 I za osobną opłatą będzie to też kiedyś wdrożone w mObywatel

Weryfikacja dowodu może być przydatna przy transakcjach sprzedaży i wynajmu nieruchomości lub samochodów.
Dodatkowo każda firma pożyczkowa lub bank będzie mógł lepiej sprawdzić na ile przedstawiony dowód jest „kolekcjonerski”.

Ciężko porównywać mobywatela z edoappem. Mobywatel jest do podrobienia w paincie czy innym narzędziu z animowaniem hologramu, zeby było wiarygodniej. Edoapp działa z nowym dowodem i potwierdza za pomocą pinu, więc sama weryfikacja że dowód nie został zastrzeżony nie wydaje się być niepokojąca. Podobno kryptografia nie do złamania, ale nie widzę gdzie tego można w ogóle używać.
BTW jak mozna testowac aplikację bez posiadania dowodu elektronicznego? To jak testowanie auta bez jazdy próbnej i konkluzji „auto jest do dupy, ale nie jechałem nim bo nie mam prawa jazdy”

spójrz na zakończenie tekstu: „ciąg dalszy pojawi się, gdy tylko odbiorę swój e-dowód” – co powinno mieć miejsce w najbliższych dniach

powodzenia, mam edowod i zainstalowałem apke, ale na razie nie ma szału. Zresztą czekam na recenzję

Coż mogę powiedzieć – skoro nie działa na rootach na pewno nie skorzystam. Gorzej tylko gdy państwo jużnie-polskie postanowi kiedyś, że przyjmuje jedynie wnioski podpisane eDO lub Profilem Zaufanym i znów utrudni lub uniemożliwi dostęp do urzędu tradycyjnego. Należy zauważyć, że gdy nie korzystamy z telefonu zrootowanego, wszystkim co robimy, gdzie wysyłamy wnioski – każdy nasz ruch – jest rejestrowany przez amerykańską firmę Google lub Apple. Dane więc trafiają poza EOG/EU.

Tak to wygląda przynajmniej po części od strony prawnej – sytuację zamknięcia urzędów już mieliśmy w marcu 2020, przez co obywatele nie mogli się przepisać między innymi na głosowanie w inny sposób niż przez Profil Zaufany lub poprzez podpis elektroniczny. Informacja o możliwości skorzystania z art. 28 Kodeksu Wyborczego nie była nigdzie wskazana jako możliwa i że można to w tym trybie (powołując się na konkretny artykuł) zrobić listownie. Można to było znaleźć dopiero na forach, po tym jak ktoś przeanalizował Kodeks Wyborczy i wrzucił pismo do wypełnienia – tak o nas dba nasz rząd.

Czy ktoś w końcu zrobi porządek z burdelem zwanym polskimi podpisami elektronicznymi. Dla kolegi pytam 😀 podpis kwalifikowany płatny, profil zaufany, e-dowod na cholerę tego tyle….

Problemem jest to, że urzędy nie chcą przyjmować dokumentów podpisanych elektronicznym podpisem zaufanym. Generalnie to jak wypełnię dokument i podpiszę go podpisem osobistym to powinienem móc go wysłać do urzędu np poprzez maila. Okazuje się że jak urząd ma udostępniony profil zaufany to tylko przyjmują dokumenty za pomocą profilu zaufanego.

Użyłem aplikacji do podpisania wniosku o urlop oraz zaświadczenie do urzędu skarbowego. Było to trochę karkołomne, bowiem napisałem pisma na PC. Przekopiowałem do telefonu z NFC i tam podpisałem, udostępniając na swoją pocztę e-mail. Dobrze, aby ta apka była na PC-ty np. w sklepie Google (lub Windows Store), a telefon mógł służyć za czytnik, bowiem coraz więcej smartfonów posiada NFC, a zakup odrębnego czytnika do kilku podpisów w roku nie kalkuluje się. Jednakże profil zaufany (podpisałem w sumie około 8000 dokumentów) pomimo zalet, ma też wady. W Urzedach Skarbowych nie honorują go. W 2014 złożyłem wniosek o kopię PITU za 2013! (KTÓRY ZŁOŻYŁEM PRZEZ PLATFORMĘ ePODATKI – BEZ PODPISU – WERYFIKACJĄ BYŁ DOCHÓD za 2012 – absurd). Pismo z „odręcznym podpisem” zeskanowałem i dołączyłem do treści w ePUAP (prócz identycznej treści w okienku). PO 3 dniach zostałem wezwany – pani przedłożyła papier wydrukowany z PDF i kazała podpisać… odręcznie.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *