Notes on Digital ID

นั่งอ่านเรื่อง Digital ID มาบ้าง ขอโน้ตเอาไว้ตรงนี้ก่อน

เกาหลีใต้นับเป็นชาติที่ก้าวหน้าที่สุดมานาน ออก cert ใช้กันเป็นวงกว้าง (ออกไปแล้ว 15 ล้านใบ) แต่บทเรียนคือเกาหลีเลือกอิมพลีเมนต์ประหลาด ทำให้ต้องใช้ ActiveX/Java หน่วยงานราชการไม่อัพเดต สร้างปัญหาระยะยาว แทนที่จะปลอดภัยดันสร้างอันตรายหนักกว่าเดิม คนจะใช้งานต้องไปลง Antivirus เพิ่ม

สุดท้ายเกาหลีใต้ยอมแพ้ เปิดให้เอกชนออก digital cert แทน ปล่อยให้เก็บค่าธรรมเนียมได้ คิดว่าหวังว่าเอกชนจะแข่งกันเอง ไม่ดองระบบให้ล้าสมัยแบบรอบที่แล้วอีก แถมช่วงแรกทุกเจ้าที่เปิดมาฟรีหมด

ออสเตรเลีย ไปท่าคล้ายๆ เกาหลีใต้ในปัจจุบัน ออกมาตรฐาน TDIF กำหนดว่าผู้ให้บริการยืนยันตัวตนต้องทำอะไรบ้าง ตอนนี้ผู้ให้บริการหลักมีสองรายคือ myGovID และ Digital iD ของไปรณีย์ออสเตรเลีย (โดนวิจารณ์ว่าทำไมรัฐบาลต้องทำสองอันแข่งกันเอง) แม้ไปรษณีย์ออสเตรเลียจะกึ่งๆ เอกชนแต่ก็ถือว่าเป็นของรัฐอยู่ดี เลยกลายเป็นว่ารัฐทำสองอัน

อ่าน TDIF แบ่งออกเป็น 4 หน้าที่ IdP เก็บข้อมูล, CSP ยืนยันตัวตน (งงว่าแยกทำไม paper ก็บอกว่ารวมกันกับ IdP ได้), IDX น่าจะคล้ายๆ NDID บ้านเรา, ASP คนเติมข้อมูล เช่น มหาวิทยาลัยสามารถส่ง transcript แนบไปกับตัวตนได้ แนวทางแบบนี้ทำให้เห็นชัดว่าใครจะเข้าไปต่อตรงไหนบ้าง ล่าสุด DocuSign ไปร่วมกับ Digital iD ยืนยันตัวตนในระดับสำคัญได้แทนที่จะใช้แค่อีเมล

สิงคโปร์ใช้ท่าแบบเกาหลีใต้เดิม คือรัฐเหมาคนเดียวเป็นแบบ SingPass เหมาเรียบทุกอย่าง เดิมออกแบบมาเป็น single sign-on ของรัฐ (ทำ IdP+CSP) ทำไปทำมาเพิ่ม MyInfo รวม ASP เข้าไปในตัว แถมเปิดบริการเซ็นเอกสาร กลายเป็น DocuSign เรียบร้อย แต่ก็เปิดให้เอกชนใช้งานด้วย ธนาคารดึงข้อมูลกันได้แล้ว

 

lewcpe

CTO at MFEC PLC. Chief Editor at Blognone.com