因為分數我覺得還滿值得參考的,如果分數比較高的排前面一點,讓人家來看的時候,可以讓人家知道評審委員都喜歡這個題目,吸引提案人選這個 idea 就對了,這樣講解有清楚嗎?
要提醒提案人,分數高是代表評審委員對這個很有興趣,將來這個題目被加成的機會是有可能。
楊士青提到的問題很重要的。
大家好,我是開放文化基金會李柏鋒,開放文化基金會比較關心open source的問題及技術,之前跟政府單位,有跟eID有一些討論跟研究,所以跟健保卡也有一點關係,剛好我也是小兒科醫師,希望可以聽到各位的一些意見並跟各位分享。
tokenization或者是虛擬副卡會有一個生命週期,可是健保制度下會變得非常複雜,時間越長當然就是越不安全、越短越安全,像我們有復健,一格健保卡可以做六次,時間就變成拉很長,就會提高冒用跟資安的風險。
我們成人健檢的話,可以在檢驗所做完,然後在醫生這邊看報告,IC21跟IC23可以差到六個月,我剛剛突然忘記,那個影響很大,就是有藥局、復健所及檢驗所。
我們剛剛的共識是都不要虛擬卡,全部用押金解決最簡單。
你覺得你這樣可以接受嗎?就是聽起來Open Source標準有一點困難,因為11月有一點趕。
假設目前做不到沒有關係,下一步要做的話,有沒有建議下一步要找哪一個窗口或者是單位?
我們假設要繼續推廣在政府有利標採用這個精神的話,不管是契約方面或者是施行細則,我們應該再找工程會比較好或者是有什麼建議?
看要訂在契約或者是法規?
我們可以公開,但是他們也要公開他們的,公平。
是工程會跟「眾開講」?
因為現在政府單位比較聰明,他們會跟廠商要 Source Code,我們就接到廠商的諮詢,詢問說,是不是有可能不要提供政府放原始碼,我只是提一下而已,這個要解決,不然他們還是會規避。
一定要在gov嗎?用現成的不行嗎?
就是說 gov 網站有 official announcement,但實際放哪裡不用管它?
對實際如何吸納、篩選進來的條文,有什麼意見嗎?
所以等通過之後再來討論嗎?
地方政府也需要。
這一些人才你們希望無給職或者是兼職?你們會希望怎麼樣的方式?是無給職的顧問嗎?
所以有打算一起解決這個問題?
我們比擔心顧問沒問題,顧問大家都願意幫忙—像我還好—但是有些人還是需要一些基本的生活,如果能夠幫他們一起解決的話會比較好,如果有的話是比較好;像小彭或者是以前他們進去都很複雜,就是雙層外包再進去。
如果方向願意解決就可以再討論,如果又像以前顧問職的話,也不錯,有總比沒有好,但是效用會比較小一點,因為畢竟滿多人需要養家活口的。
我們也擔心是不是開了一個漏洞,臺灣關說也滿盛行的,所以我們也不希望開一個漏洞,怎麼樣在合情、合法的情況下來做,開了漏洞之後,大老闆換了後帶一批人進來,我覺得這樣也不好。
會提到這個原因是,我們那時候是找何建明老師,我們問如果學 Code for America Fellowship 要怎麼做,他就建議在中央列一個清單,地方政府看到你們敢做就會跟著做,我只是提一下就對了。我知道地方自治,所以不能管他們,所以就提一下,我會提這個原因是何老師說中央做,他們就敢做,所以跟大家報告。
可以兼職嗎?我可以在政府當兼職嗎?
顧問的方式?比如約聘一年?
雖然想要解決,但是是很大的問題。
現在的框架下,有沒有辦法採購一年的顧問約嗎?
所以看起來很難?
不太可能。
對,我本來想要把時間留給他們,時間很快(笑)。這個很技術,但是的確遇到困難,反正我們想要自己玩玩看電子化政府的問題,第一個就卡在自然人憑證,我們去研究自然人憑證為什麼只能在Windows平台使用,我們發現中華電信前面有四個APDU被鎖住,一定要用自訂的 command 去初始化之後才能操作,我們以前跟國發會等都有講過,但是我覺得中華電信沒有講得很清楚,所以我只是想說是不是我們要再回去跟國發會他們講清楚或者是有什麼方法可以push?
我們有跟內政部談過,但是事實上最後有轉到國發會資管處楊蘭堯科長,因為官方憑證最上層的法規跟標準訂定是國發會資管處訂定的,承辦是國發會楊蘭堯科長處理,我們有跟他講,但是就停在那一步,沒有下一步解釋。他們有來解釋,但是解釋說他們就是這樣。我自己很訝異臺灣自然人憑證整個都被鎖住,而且還被中華電信鎖住,因為我們如果沒有透過他的API的話—我們這是側錄出來才能存取—其實是要透過他的API,他有一個DLL檔,要有才能往下,我自己很訝異,我就卡關,我不曉得下一步要怎麼辦,我們繼續再找國發會討論。
沒有去聯絡,但是有聯絡到另一個側錄的朋友,他說那個很簡單,就是前面四道程序以後,後面就跟標準程序一樣,這個問題我們找何老師,何老師有介紹台大的教授,反正我們發現就這四道程序被鎖住,因此我們短期的訴求是中華電信應該要釋出這四道專屬 APDU command 是什麼意思?這個是國家基礎建設,為什麼要用專屬很奇怪的東西鎖住,我不太能夠接受;如果不釋出沒有關係,就公開講不釋出,我們跟大家講說你有做這一件事,沒有關係,就讓社會公評,我希望讓中華電信釋出,讓大家開發,這個是短期的目標。
長期目標是減少自然人憑證卡片的問題,最終是希望臺灣在網路上身份辯識的基礎建設,不要被鎖在這個硬體上,昨天劉康民(gugod)也有提荷蘭的例子。所以是不是用網站來做身份認證,而不是鎖在硬體上,不過這個是另外一個議題,目前短期的目標是中華電信是不是可以釋出 (APDU 的規格)。
第一,他們要講自訂的command參數是怎麼樣,因為一定有很多參數,這一些參數是如何操作,為何那四道就可以開始初始化,至少告訴我們要如何操作,我們現在是用側錄去猜那個command,他要去解釋這四個。第二,為什麼用這個鎖住,大家想也知道為什麼,他也不用解釋,希望以後如果他們招標的話,不可以用這個,他號稱是符合標準,但是這個標準裡面是自訂格式,每一次都講合標準,我不太接受這一個事,我的希望是國發會在招標的話,不可以採用這一種自訂格式。
對,我就是要自己開發,而且前面要有四道程序才能做。
不是。如果是短期內的話要告訴我們如何操作,長期是不能用這一個專屬的格式。因為一個簽證裡面都有讀取都有標準的command,不用前面這四道卡住,不可以,如何措詞我們可以跟國發會討論,以後新的卡片不可以,我覺得不可以,當然我們可以去「眾開講」討論。
我們等一下可以講,我完全不贊成自然人憑證的方法,但是要先解決現在的問題,我們國家已經被自然人憑證綁住了,我們要往前進。
這個我們等一下可以講,如果還有時間的話。
沒有關係。
其實我這幾年也才研究自然人憑證,我不知道其他國家,臺灣自然人憑證資料「私人鑰匙」是沒有辦法讀出來的,那就沒有辦法轉移,只能被綁住,現在都用手機了,難不成還要接讀卡機跟自然人憑證?這個是完全不合理的。好險有位朋友劉康民(gugod),他說荷蘭並不是這樣,身份認證是去一個網站就可以認證了,認證以後就是等於這一個網站承認這個人做身份認證的動作,只是以前的身份認證是在卡片上面,我們現在有很多網站,很多網站就是跟他作開放式認證 (Oauth),所以我不曉得李資訊局局長的想法怎麼樣?
而且自然人憑證很誇張,它不能取出私鑰,那麼就不能轉移到手機,我覺得這個很扯,因此我覺得有必要檢討,但是我很怕,他們已經推十幾年了,我怕他們會覺得這個是正確的,因此有必要檢討自然人憑證是不是唯一網路或者是公文的認證方式,其實我覺得好像不太合理。我不知道臺灣為什麼這樣設計,可能有他的理由,但是光是這樣,手機就沒有辦法,難道要接讀卡機嗎?
私鑰是被鎖住的,可以做簽證的動作,但是私鑰是拿不出來的,我也是最近才知道,我不知道其他的國家,所以可能需要再問一下。
不同的卡片的標準還不一樣。
GSMA 是不是 「自然人憑證雲端附卡」的計畫 (所使用的標準)?
跟 「行動自然人憑證」的計畫相同嗎?
我在猜應該是這一個,我回去再研究一下。
它複雜沒有關係,但是國家基礎建設,他們用這樣的小動作來綁住,我覺得是不好的事情,我覺得以後儘量不要有這一種事。
這個是國發會的事情,內政部是自然人憑證,但是標準是國發會的,他們就refer來refer去,我也被refer來refer去。
