Тестуємо додаток Дія

16 грудня 2019 стартував період бета тестування мобільної програми “Дія” на платформах Android і iOS, як елемент Сервісу державних послуг. Поглянемо який функціонал нам дає додаток.

Субєктивна думка: не варто використовувати з питнь захисту персональних даних.

Першим чином у додатку появилися елеткронні версії Посвідчення водія і Свідоцтва про реєстрацію транспортного засобу, інформація про них зберігається у Єдиному державному реєстрі МВС.

Такий спосіб юридично регламентований постановою Кабінету Міністрів України № 956 “Про реалізацію експериментального проекту щодо застосування електронного посвідчення водія та електронного свідоцтва про реєстрацію транспортного засобу” від 23 жовтня 2019 року.

На кінець 2019 року Єдиний державний реєстр МВС містить дані про 9,5 млн посвідчень водія, з них 2,5 млн з 2014 року і містять оцифроване фото особи – точно відобразяться у додатку. Якщо права видані в період 2006-2013 можуть підятянуся у додаток, фото за Вашою згодою може бути скопійовано з Демографічного реєстру (якщо ви виготовляли закордонний паспорт або ID карту) – ще 3 млн фото. Якщо права до 2006 року, то скоріш за все дані не підтянуться.

Авторизація у беті можлива тільки через додаток Приват24 або Монобанк. Додаток має бути встановлений на телефон. Дані, які передається з банку:

На головному скріні ми можемо бачити як додаток виглядає.
У мене права 2007 року і не відобразилися у додатку. Хоча при запуску Кабінету водія вони відображалися без фото. Зараз не відображаються.
При кліку на документ можна отримати розгорнуту інформацію. Для предявлення електронного документа генеруємо QR код (який зчитує, наприклад, представник поліції), генерування коду можливе тільки при наявності інтернет з’єднання. QR включає лінк який містить номер документу і токен доступу. Термін дії коду 3 хвилини.
https://diia.app/documents/vehicle-license/62000000/verify/dfac12ab-5678-abcd-ac93-1db0139f677c
При відсутності зв’язку QR не буде відображено.
При скануванні коду і переходу за лінком додаток перехоплює запит до домена diia.app і відображає на екрані дані документа.
Якщо документ не знайдено або термін дії токену вичерпано відображається нотифікація:
При скануванні токену прав
https://diia.app/documents/driver-licanse/62000000/verify/dfac12ab-5678-abcd-ac93-1db0139f677c
відображається фото, прізвище імя і по батькові українською, прізвище і імя англійською, дата народження, термін дії до, категорію, ким видано і номер ліцензії.
Дозволи додатку, нічого кримінального.
В додатку використовується шрифт e-Ukraine дизайнера Дмитро Растворцев (e-Ukraine-Regular.ttf). Інформація на сторінці fedoriv.com.
Висновок: корисний додаток, людина швидше забуде вдома гаманець, але телефон майже ніколи. Ідеальне рішення для сценарію: ви маєте електронне свідоцтво, а оригінал відали дружині.
UPD1: Після оновлення додатку з версії 1.0.2 до 1.2.0 в політику безпеки додали заборону робити скріншот додатку. Також підтянулися права і фото із ід карти, але поверх всього пише банер що оновіть ваші права.
UPD2: програму випущено у паблік. Завантажити: Google Play, App Store.
UPD3: в мене видає нотифікацію про необхідність звірки, тому що не змапило органу, який видав права. Можна залишити заявку Уточнення даних в реєстрі посвідчень водіїв у Електронний кабінет водія. Заявка подана 10.02.2020, чекаю оновлень.
24.02.2020 змінено статус заявки
Почали обробку

Вітаємо! Ми почали розглядати вашу заявку. Спробуємо знайти ваші дані в реєстрах, щоб оновити. 

Тримайте руку на пульсі – відслідковуйте процес опрацювання вашої заявки в е-кабінеті водія, в розділі «Електронні послуги» ➡ «Замовлені послуги». 

Про успішну обробку або причину відхилення ми повідомимо листом на пошту. Будьте уважні, бо вони можуть потрапити в папки «Спам» та «Промоакції».

03.03.2020 прийшла відмова, хоча в додаток підтянулася категорія B і С.

Ваша заявка на верифікацію документа відхилена

Вітаємо! Ми намагалися знайти та перевірити всі дані з Вашої заявки в реєстрі та в інших джерелах інформації. Однак ми вимушені відмовити. 

Причина: Під час перевірки інформації за відповідними реєстрами та базами даних виявлено її невідповідність інформації, що міститься в електронній заяві. Зверніться до територіального сервісного центру МВС, щоб оновити дані. 
Примітка оператора: НЕВІДПОВІДНІСТЬ КАТЕГОРІЙ. ДЛЯ ОНОВЛЕННЯ ІНФОРМАЦІЇ ЗАПРОШУЄМО У ТСЦ ДЛЯ ЗАМІНИ ПОСВІДЧЕННЯ ВОДІЯ 

Рекомендуємо дослухатися до порад, щоб користуватися цифровими документами.

Дані, які передаються у кабінет водія через BankID:

UPD 2021: Дія Підпис: По підписанню документів я щось не зрозумів, що мається під “розподіленим ключем”, бо з опису виходить що є два ключі: один зберігається на пристрої, і ОС гарантує його збереження (Android: EncryptedSharedPreferences, не SEService, якщо у вас Samsung перенесіть додаток у захищену папку (knox)). І ним підписується дані документу, а далі на серверній частині відбувається звіряння фото із камери і фото з паспорта/ів, перевірка ключа пристрою, і відбувається підписання ключем на сервері. Також не відображено де генерується закритий ключ який зберігається на пристрої.

UPD: Появився функціонал запиту EU Digital COVID Certificate у форматі QR коду. Від містить прізвище, імя, дату народження, дату вакцинації, тип вакцини. Дані запаковані і підписані цифровим підписом.

"FhciF/j3plg=": {
    "serialNumber": "7904c820b5908787040000001600000021000000",
    "subject": "O=State enterprise \\\"DIIA\\\", CN=\\\"DIIA\\\". Green Certificate DSC 2, 2.5.4.5=22, C=UA, L=Kyiv",
    "issuer": "O=State enterprise \\\"DIIA\\\", CN=\\\"DIIA\\\". Green Certificate CSCA, 2.5.4.5=UA-43395033-2021, C=UA, L=Kyiv, 2.5.4.97=NTRUA-43395033",
    "notBefore": "2021-08-17T21:00:00.000Z",
    "notAfter": "2023-08-17T20:59:59.000Z",
    "signatureAlgorithm": "ECDSA",
    "fingerprint": "6564fadb714a0f3c3e23c7a3db814d9e059b4156",
    "publicKeyAlgorithm": {
      "hash": {
        "name": "SHA-256"
      },
      "name": "ECDSA",
      "namedCurve": "P-256"
    },
    "publicKeyPem": "MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEd22zt56DQx1ao5dd4u6jU3KPELJdcWfl0+FJ6cVhCb8s0SmQleFtS9m5RQqVzbBr/JnUfqVZjvrPFzwpbgdMeQ=="
  }

Публічний ключ для верифікації

Algo ECDSA
Format X.509
ASN1 Dump
EC Public Key [c1:63:f2:30:70:f9:4c:24:3b:d0:0a:2a:86:fe:64:c0:28:4b:03:fc]
X: 776db3b79e83431d5aa3975de2eea353728f10b25d7167e5d3e149e9c56109bf
Y: 2cd1299095e16d4bd9b9450a95cdb06bfc99d47ea5598efacf173c296e074c79

На початку розробники записували дату народження у невірному форматі, перепутали місцями ім’я і прізвище, не привели до формату ICAO – через що деякі додатки країн Євросоюзу повідомляли про підроблений код.

Можна перевірити чи був відкликаний попередній сертифікат. Тому варто заново перегенерувати сертифікат.

Відповідь Національної служби здоров’я України (НСЗУ) як отримати QR без Дія.підпіс.

У iOS 15 тестують електронее посвідчення водія.

Використання фотографій або текстового контенту на інших ресурсах без клікабельного індексованого посилання заборонено.