Vyšlo na Lupě, 09.07.2018
Vytištěno z adresy: http://www.earchiv.cz/b18/b0709001.php3

Jak se přihlašuje pomocí nové elektronické občanky?

Už dnes se pomocí nové eOP můžete přihlašovat k ePortálu ČSSZ, k eReceptům i k nově spouštěnému Portálu občana. A také k NIA portálu, přes který veškeré přihlašování probíhá.

Minulý týden jsme se zde na Lupě začali podrobněji seznamovat s novými občanskými průkazy (eOP), vydávanými od počátku července letošního roku. Stihli jsme si popsat jejich pojetí a základní vlastnosti – ale k jejich konkrétnímu využití pro elektronickou identifikaci, což je u nich asi nejvýznamnější novinkou, se dostáváme až v tomto článku. A k jejich využití pro elektronické podepisování se dostaneme zase až v dalším článku.

Nejenom identifikace, ale i autentizace

Hned na úvod si řekněme, že nové elektronické občanky neslouží pouze k identifikaci (zjednodušeně: ke sdělení, kým jste, resp. k poskytnutí určitého rozsahu údajů o vás), ale také k autentizaci (k prokázání, že jste skutečně tím, za koho se vydáváte). Samozřejmě jen za předpokladu, že jste si příslušné funkce (prezentované jen jako identifikační) u své elektronické občanky nechali aktivovat – protože jak jsme si popisovali v předchozím článku, je to dobrovolné, a nikoli povinné.

Podrobnější vysvětlení obou pojmů – identifikace a autentizace – by si zasloužilo (nejméně) samostatný článek, proto jen malý příklad na ozřejmění: když si někdo bude objednávat po internetu alkohol (či cokoli jiného, kde je nějaká věková hranice), musí se prodejce (poskytovatel služby, alias SeP, Service Provider) dozvědět něco o svém zákazníkovi – minimálně kam má být zboží doručeno a že je zákazník starší než ona věková hranice. O tom je identifikace. A ta by měla být dostatečně spolehlivá, aby se prodejce mohl na získané údaje (včetně údaje o věku) spolehnout. Pamatujme si proto, že není identifikace jako identifikace, ale mohou mít různou „sílu“ (ve smyslu věrohodnosti a spolehlivosti).

Jenže: co když se kupující v rámci identifikace prezentuje jako pan Novák starší, s věkem dostatečným pro nákup alkoholu, ale ve skutečnosti se za něj vydává jeho nezletilý syn? Proto je nutná ještě autentizace jako ověření toho, že jedná skutečně ten, kdo se také identifikuje. Že je to skutečně pan Novák starší, a nikoli jeho nezletilý syn.

Jak to chodí v kamenném světě, asi netřeba podrobněji rozvádět: hospodský omrkne toho, kdo před ním stojí – a pokud má dostatečný věk, nalije mu. Pokud je na vážkách ohledně jeho věku, vyžádá si jeho občanku, případně jiný osobní doklad prokazující věk. Jenže v online světě je to komplikovanější, protože jednající strany zde nestojí jedna před druhou, nevidí na sebe a nemohou předkládat protistraně své osobní doklady (pomineme-li případné fyzické předávání zboží). Jednají spolu na dálku, obvykle přes internet – a tak se identifikace a autentizace musí řešit jinak.

Jak záhy zjistíme, nové elektronické občanky slouží k identifikaci, ale „největší kus práce“ odvádějí na poli autentizace: jednající osoba se autentizuje (prokazuje, že je to skutečně ona) dvěma tzv. autentizačními faktory současně:

  •  „něčím, co má“: zde samotným držením své občanky jako takové (jako hmotného předmětu)
  • „něčím co zná“: znalostí kódu IOK (identifikačního osobního kódu), jehož správným zadáním musí odsouhlasit každé jednotlivé „sáhnutí“ na údaje z čipu své občanky (viz minulý článek).

Ale i zde má každé řešení vždy jen určitou „sílu“ a není nikdy úplně dokonalé: kdyby se Novák junior úspěšně zmocnil občanky svého otce a znal jeho IOK, mohl by se za něj úspěšně vydávat, protože řešení s elektronickou občankou by podvod neodhalilo. Ale jiný způsob autentizace, třeba na bázi biometriky (otisku prstů, snímku rohovky apod.) by ho už odhalit mohlo – jenže to už by asi bylo neúnosně drahé a komplikované (pro „masové“ nasazení a rutinní používání).

 
Vymezení konceptu úrovně záruky v nařízení eIDAS
 

Úrovně záruky

Mimochodem, právě pro rozlišení „síly“ různých řešení identifikace a autentizace zavedlo nařízení eIDAS tři tzv. úrovně záruky: nízkou, značnou a vysokou. Jejich podrobnější popis by opět vydal nejméně na samostatný článek, proto jen velmi stručně: na úroveň „vysoká“ mají reálnou šanci státem garantovaná řešení a naše nové občanské průkazy (a vše „kolem nich“) by měly dosahovat právě této úrovně záruky.

 
Tři úrovně záruky v nařízení eIDAS
 

Úrovně „značná“ pak mohou dosahovat komerční řešení. U nás na tuto úroveň záruky (doufám) bude aspirovat systém MojeID se svými validovanými kontakty (vyžadujícími jednorázovou osobní přítomnost fyzické osoby na tzv. validačním místě a prokázání se platnými osobními doklady) a s dvoufaktorovou autentizací při přihlašování.

Pro ilustraci: úrovni „nízká“ by pak v rámci služby MojeID mohl odpovídat tzv. identifikovaný (tj. nikoli ještě validovaný) kontakt, u kterého došlo pouze k ověření emailu, čísla telefonu a poštovní adresy pro doručování (ale nikoli ještě k ověření fyzické existence osoby, podle jejích osobních dokladů).

A to nařízení eIDAS ještě nepočítá s úrovní „nulová“, která je v praxi (na internetu) možná nejčastější. V rámci služby MojeID by tato nulová úroveň záruky odpovídala tzv. částečně identifikovanému kontaktu, u kterého byl ověřen jen email a telefonní číslo. Snad netřeba dodávat, že obojí může být fakticky zcela anonymní.

Zpět ale k našim novým občanským průkazům, které by měly fungovat – a tedy poskytovat identifikaci a autentizaci – na úrovni záruky „vysoká“. Abychom ale správně pochopili jejich koncept, musíme si nejprve popsat dva principiální modely fungování občanských průkazů – které nařízení eIDAS obecně označuje jako tzv. prostředky pro elektronickou identifikaci (a předpokládá jejich využití pro autentizaci).  

 
Vymezení prostředku pro identifikaci v nařízení eIDAS
 

Přímý model

První variantu si dovolím označit jako „přímý model“. To proto, že poskytovatel služby (SeP, Service provider, například prodejce) zde komunikuje přímo s prostředkem pro elektronickou identifikaci. Jinými slovy: ten, kdo by po internetu nakupoval alkohol v nějakém e-shopu, by vložil svou občanku do čtečky na svém počítači (či tabletu, mobilu) a protistrana by z ní získala potřebné příslušné údaje. Samozřejmě jen v takovém rozsahu, jaký potřebuje a jaký držitel průkazu odsouhlasí.

Technicky to funguje například tak, že protistrana (poskytovatel služby, resp. SeP, Service Provider) zašle druhé straně (přihlašujícímu se klientovi, resp. jím používaným prostředkům) „něco“ – nějaký „kus dat“, tzv. výzvu. Ta je v rámci přihlašování podepsána s využitím soukromého klíče (který je umístěn na čipu občanského průkazu) a k podpisu je připojen odpovídající certifikát, ve kterém jsou určité údaje o jeho držiteli. Protistrana, které je takto podepsaná výzva vrácena zpět, si pomocí veřejného klíče (v certifikátu) ověří platnost elektronického podpisu – a pokud je platný, z dalších údajů v certifikátu se dozví, o koho by mělo jít (kdo si u ní právě chce něco koupit či poptává nějakou službu).

Tím je řešena jak identifikace (poskytnutí údajů o konkrétní osobě), tak i autentizace – protože vytvoření podpisu vyžaduje držení průkazu (karty s čipem) a zadání správného PINu pro přístup k jeho obsahu.

U našich nových občanských průkazů by se takto dal využít identifikační certifikát, který je na průkazu již „od výroby“. Má sice primárně identifikovat průkaz jako takový, ale díky ustanovení § 3 odst. 2 písm. d) bod 3. zákona č. 328/1999 Sb., o občanských průkazech, obsahuje i údaje o držiteli průkazu, jako je jeho jméno a příjmení, datum narození, bydliště, a dokonce i rodné číslo (viz minulý článek). Navíc jde o certifikát, vydaný státem (státní certifikační autoritou), takže může být považován za dostatečně důvěryhodný (i když není kvalifikovaný ve smyslu nařízení eIDAS).  

Jenže – a to je podstatné – s identifikačním certifikátem na nových občankách to takto nejde. Způsobem, který jsme si popsali, se použít nedá. Není k tomu určen a není ani zveřejněno žádné rozhraní (API), které by umožnilo ho takto využít. Lze se k němu „dostat“ jen přes identifikační část aplikace eObčanka, viz dále.

 
Ustanovení § 3 odst. 8 zákona č. 328/1999 Sb. o občanských průkazech
 

Nicméně právě popsaným způsobem půjde využít autentizační certifikát, který si na čip v novém občanském průkazu (i s odpovídajícím soukromým klíčem) může nahrát sám uživatel. Pamatuje na to § 3 odst. 8 zákona č. 328/1999 Sb., o občanských průkazech, který ovšem připouští pouze certifikáty od kvalifikovaných poskytovatelů. Což dnes nejsou například ani banky, které vydávají různé autentizační certifikáty svým zákazníkům pro účely přihlašování k internetbankingu. Prakticky je sice možné to obejít (sám jsem si na čip bez problémů nahrál i certifikát od nekvalifikovaného poskytovatele), ale to možná není až tak podstatné.

Za rozhodující považuji spíše to, že jde o řešení, o které se musí postarat sám uživatel, resp. držitel průkazu. Stát mu zde vyšel vstříc jen v tom, že mu poskytl nosič (občanku coby čipovou kartu), na který si může certifikát (i s odpovídajícím soukromým klíčem) nahrát. Navíc s již zmiňovaným (a formálně dosti podstatným) omezením jen na certifikáty od kvalifikovaných vydavatelů.

Uživatel má ale mnoho dalších možností, kde si takový „vlastní“ certifikát (i s klíčem) uchovávat – a je otázkou, zda právě varianta s občankou je tou nejšikovnější.  

Datové schránky jako příklad přímého modelu

Příklad přihlašování k datovým schránkám pomocí (komerčního) autentizačního certifikátu, umístěného (i se soukromým klíčem) na nové eOP, ukazuje následující obrázek. Zdůrazněme si, že protistranu (datové schránky) vůbec nezajímá, že na straně přihlašující se osoby je využit občanský průkaz. Stejně tak dobře by příslušný soukromý klíč a jemu odpovídající certifikát mohl být uložen jinak, resp. jinde. Na jiné čipové kartě, na USB tokenu, v systémovém úložišti počítače apod.

 
Přihlášení k datové schránce pomocí certifikátu, který je uložen na eOP
 

A navíc: o obsah certifikátu zde ani tolik nejde, protože uživatel (přihlášený ke své datové schránce jiným způsobem) stejně musí dopředu „nahlásit“ datovým schránkám, pomocí jakého certifikátu bude prokazovat svou totožnost příště. Jinými slovy: (autentizační) certifikát zde už neslouží k identifikaci, ale skutečně jen k autentizaci (jako jeden ze dvou autentizačních faktorů): datové schránky už daného uživatele znají a on se při každém přihlašování vždy znovu identifikuje svým uživatelským jménem. Pak už jen prokazuje, že je to skutečně on – zadáním správného hesla a oním (dopředu nahlášeným) certifikátem.

Mimochodem, právě na datových schránkách je dobře vidět základní vlastnost právě popisovaného „přímého modelu“: strana poskytující službu (SeP, Service Provider), v daném případě informační systém datových schránek (ISDS), zde „vidí“ způsob, jakým se k němu uživatel přihlašuje – a je to ona, kdo nabízí více variant přihlášení, které musí také všechny sama podporovat. To je ostatně patrné i z hlavní stránky ISDS, kde jsou nabízeny celkem čtyři varianty přihlášení.  

 
Možnosti přihlášení k datovým schránkám
 

K tomu si dodejme, že již delší dobu by zde měla být také možnost přihlašování pomocí občanských průkazů. Protože již koncem roku 2011, zřejmě v souvislosti s „novými“ občankami, vydávanými od roku 2012, bylo v zákoně č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi, novelizováno ustanovení jeho §9 odst. 3 vymezující možnosti přihlašování k datovým schránkám – a objevila se zde i možnost přihlašování pomocí „elektronicky čitelných identifikačních dokladů“.

 
Možnosti přihlašování k datovým schránkám dle zákona č. 300/2008 Sb.
 

Tato možnost ale dodnes nebyla naplněna – a domnívám se, že ani nebude naplněna tak, že by na vstupu do datových schránek přibyla nová (v pořadí již pátá) možnost přihlášení, pomocí eOP. To proto, že naše nové eOP – a vlastně veškerá identifikace v naší veřejné správě (v rámci našeho eGovernmentu) – se mezitím vydaly jinou koncepční cestou. Jinou, než je právě popsaný „přímý model“.

eOP jdou cestou nepřímého modelu

Podstatu toho, co je alternativou k přímému modelu – a co si dovolím označit jako nepřímý model – si můžeme ukázat na příkladu elektronických receptů, které jsem zde na Lupě podrobněji popisoval již v dubnu. Přesněji: na příkladu přístupu (přihlášení) k aplikaci (resp. službě) eRecepty, v roli pacienta (vstup zde).

Pokud by tato služba vycházela z přímého modelu, bylo by zde několik možností přihlášení, jako je tomu u datových schránek. Nicméně u eReceptů najdete jen jednu možnost přihlášení. A pokud ji zvolíte – když jinou možnost stejně nemáte – dostanete se na webové stránky jiného subjektu, který zde funguje jako určitý prostředník. Tím je Národní bod pro identifikaci a autentizaci (zkratkou NIA, dříve od: Národní identitní autorita), který ve svém §20 zavedl nově účinný zákon č. 250/2017 Sb., o elektronické identifikaci. 

 
Představa nepřímého modelu a prostředníka
 

Teprve na stránkách tohoto prostředníka (konkrétně na NIA portálu, na adrese eidentita.cz) najdete výčet těch variant přihlášení, které pro daný případ připadají v úvahu. Tomu je třeba rozumět tak, že pro každou konkrétní službu může být vyžadována jiná úroveň záruky – a když poskytovatel služby (SeP, Service Provider) přeposílá zájemce o přihlášení za prostředníkem, samozřejmě ho o požadované úrovni záruky informuje. Takže prostředník (zde NIA portál) pak nabídne jen takové možnosti přihlášení, které odpovídají požadované (či vyšší) úrovni záruky.

Když jsem přihlašování k eReceptům popisoval v dubnu, kdy ještě nebyly vydávány nové elektronické občanky, nabízela NIA jen jednu možnost přihlášení k eReceptům v roli pacienta, a to pomocí jména a dvou hesel – jednoho opakovaně použitelného a jednoho jednorázového, zasílaného pomocí SMS.

Dnes jsou tedy k dispozici dvě možnosti přihlášení, protože nově přibyla i možnost přihlášení právě pomocí nové eOP. Ukažme si tedy, jak probíhá.

 
Postup přihlašování, s volbou přihlášení pomocí eOP
 

Když zvolíte možnost přihlášení přes novou elektronickou občanku, projdete nejprve přes disclaimer – že toto přihlášení smí používat jen osoby starší 15 let (důvod je ten, že identifikační funkce eOP si nemohou aktivovat osoby mladší 15 let).

Následně jste vyzváni k aktivaci „přihlašovací komponenty“, která prostředníkovi (NIA portálu) zprostředkuje přístup k identifikačnímu certifikátu na vaší elektronické občance. Dnes máte jedinou možnost, a to použít k tomuto účelu aplikaci „eObčanka – identifikace“. Vzhledem k celkové koncepci zvoleného řešení to i do budoucna má být jediná možnost – jak pro vás jako uživatele (že nebudete mít na výběr z dalších aplikací, resp. „komponent“), tak i ve smyslu toho, že ona jediná aplikace bude ochotna komunikovat jen s NIA portálem (a tedy zprostředkovávat přístup k identifikačnímu certifikátu jen příslušnému serverovému modulu na NIA portálu a nikomu jinému).

 
Výběr komponenty pro přístup k eOP
 

Pokud tedy odsouhlasíte výběr (jediné dostupné) komponenty, zjistí si tato komponenta, zda je pro ni dostupný váš nový občanský průkaz. Máte-li právě připojenou vhodnou čtečku a v ní svou novou občanku, můžete pokračovat. Mimochodem, komponenta správně rozpozná i původní (starou) občanku s čipem, ale samozřejmě vám neumožní ji použít pro elektronickou identifikaci (protože tu staré občanky ještě nepodporovaly).

 
Detekce dostupnosti nové eOP
 

Pak už přichází na řadu odsouhlasení konkrétní „identifikační“ operace, resp. „sáhnutí“ na váš čip a na zde (od výroby) umístěný identifikační certifikát. Jak již víme, toto odsouhlasení provedete zadáním správné hodnoty kódu IOK (identifikačního osobního kódu), viz minulý článek.

 
Zadán kódu IOK
 

Jak vidíte z obrázku, samotná komponenta vám neposkytne tu nejpodstatnější informaci – ke komu (k jakému poskytovateli a službě) se přihlašujete. Jak si záhy řekneme, ona sama to ani neví. Kromě aktuálního data a času vám proto sděluje jen číslo transakce, které vám ale (v danou chvíli, pro účely udělení souhlasu) asi moc k užitku není.

Pokud jste tedy vše odsouhlasili (a zadali správný IOK), pokračuje se dál. Protože vaše přihlášení k požadované službě ještě zdaleka není hotové.

 
Identifikace a autentizace pomocí eOP proběhla úspěšně, přihlašování pokračuje
 

Zatím totiž proběhla hlavně vaše autentizace – a tedy potvrzení toho, že jste skutečně tím, za koho se vydáváte. Nebo, abychom byli přesní a vzali do úvahy i reálná omezení, plynoucí z různé „síly“ konkrétních řešení: prokázali jste, že jste tím, „kdo má“ příslušný občanský průkaz a „kdo zná“ odpovídající kód IOK. Vzpomeňme si na výše uváděný příklad s otcem Novákem a jeho synem, který se zmocnil otcovy občanky a zná jeho IOK. Ale může to být i někdo, kdo vám vaši občanku ukradl a nějakým způsobem se dozvěděl (nebo uhádl, v rámci tři možných pokusů) správnou hodnotu vašeho kódu IOK – a teď se vydává za vás. O to více důvod, proč si svůj IOK chránit (a také vhodně nastavit). A samozřejmě i důvod si chránit také samotnou občanku.

Předání údajů od prostředníka

Poté, co jste na svém počítači správně zadali svůj IOK, by už prostředník (NIA) měl vědět, kým jste (viz identifikace) i že jste to skutečně vy (viz autentizace).

Kým jste, by měl poznat již z toho, kterým konkrétním prostředkem pro elektronickou identifikaci (zde: kterým konkrétním občanským průkazem) jste se prezentovali. Přesněji z jeho identifikátoru (čísla), který si (skrze onu „přihlašovací komponentu“) NIA nechá na dálku přečíst z identifikačního certifikátu na čipu vaší občanky. Samozřejmě přes zabezpečené spojení a po vzájemném ověření obou komunikujících stran. A že jste to skutečně vy, plyne z toho, že se načtení na dálku, přes komponentu, skutečně podařilo – což znamená, že na vaší straně musel být použit váš „pravý“ občanský průkaz a zadán správný IOK.

Prostředníkovi (NIA) skutečně stačí znát pouze identifikátor, resp. číslo vašeho občanského průkazu (nebo i jiného použitelného prostředku pro elektronickou identifikaci, viz dále). Protože konkrétní údaje o vás si podle něj už prostředník získá sám.

NIA, alias Národní bod pro identifikaci a autentizaci, má totiž (ze zákona) přístup do základního registru obyvatel, do základního registru práv a povinností, do agendového informačního systému evidence obyvatel i do evidence cizinců. A tak vlastně má k dispozici celou vaši „státní“ elektronickou identitu (viz dále). Zná také identifikátory (čísla) všech vydaných prostředků pro elektronickou identifikaci (což nemusí být jen občanky, viz dále) a identifikátory jejich držitelů. A tak si dokáže dát „dvě a dvě dohromady“ a spárovat použitý prostředek s vámi (s vaší identitou).

Navíc může mít NIA k dispozici i některé další údaje o vás, pokud jste jí je sami sdělili – jako například email či telefon, na který vám má něco zasílat, například jednorázová hesla. Podrobněji viz článek o přihlašování k eReceptům z dubna.

NIA coby prostředník tak právě popsaným způsobem získá ty údaje o vás, které v danou chvíli požaduje ten poskytovatel služeb (SeP, Service Provider) a ta konkrétní služba, ke které se právě přihlašujete. Než jim je ale předá, potřebuje váš souhlas.

 
Souhlas s předáním údajů
 

Vy jako přihlašující se osoba tak máte nad předáním údajů od prostředníka (NIA) k poskytovateli služby „poslední slovo“: můžete si zkontrolovat, jaké údaje (v jakém rozsahu a s jakými hodnotami) jsou předávány. A můžete toto předání odsouhlasit buď jednorázově (tj. příště budete dotazováni znovu), nebo trvale (tj. příště již dotazováni nebudete). Nemůžete ale předávané údaje nijak editovat, resp. měnit. Ani doplnit.

 
Úspěšně dokončené přihlášení
 

Můžete ale předání jako takové odmítnout – pak ovšem bude vaše přihlášení k poskytovateli služby neúspěšné a požadovaná služba vám tak nebude moci být poskytnuta. 

Přednosti a nevýhody nepřímého modelu

Pojďme si nyní trochu obecněji popsat vlastnosti, i výhody a nevýhody, celého nepřímého modelu. Umožní nám to lépe pochopit celý koncept elektronické identifikace, který byl zvolen pro náš eGovernment – a který je (v návaznosti na unijní nařízení eiDAS) zakotven v zákoně č. 250/2017 Sb., o elektronické identifikaci (který nabyl účinnosti v nedávných dnech, k 1. 7. 2018). Jeho zjednodušenou představu ukazuje následující obrázek.

 
Představa nepřímého modelu a přihlašováním přes NIA
 

Asi nejvýznamnější charakteristikou zvoleného řešení je už jeho samotný nepřímý charakter, s existencí prostředníka ve výše popisovaném smyslu (v podobě NIA, resp. Národního bodu pro identifikaci a autentizaci). To má velkou výhodu v tom, co jsme si popsali na příkladu eReceptů a co platí pro všechny poskytovatele služeb (SeP, Service Providery), kteří se do tohoto modelu zapojí: nemusí řešit různé způsoby přihlašování, které mohou existovat již nyní či se stát dostupnými v budoucnu, ale stačí jim zřídit si jediné napojení na prostředníka (NIA). Protože je až na tomto prostředníkovi, aby se staral o nabídku možností přihlašování (které splňují konkrétní požadavky na úroveň záruky). A také aby ji do budoucna rozšiřoval o další možnosti přihlašování, pokud se takové stanou dostupnými.

Chcete být Identity Provider?

V tomto ohledu je celé řešení zvoleno jako otevřené: stát, který vše zaštiťuje (provozovatelem Národního bodu je Správa základních registrů), zde nabízí i soukromoprávním subjektům, aby se na dalších možnostech přihlašování podíleli. Konkrétně jim nabízí možnost stát se tzv. poskytovatelem identity (IdP, Identity Provider, v řeči zákona č. 250/2017 Sb., o elektronické identifikaci, tzv. kvalifikovaným správcem), vydávat vlastní prostředky pro elektronickou identifikaci (jako alternativu k elektronickým občankám) a umožňovat jejich použití při přihlašování ke konkrétním poskytovatelům služeb (SeP, Service Providerům) a jejich konkrétním službám na výše popsaném principu (nepřímého modelu, tedy přes NIA coby prostředníka). Samozřejmě po splnění konkrétních požadavků, které na takovéto subjekty klade zákon (což by zase bylo na podrobnější článek) – a s respektováním existence různých úrovní záruky.

Zde si jen zdůrazněme, že prostředkem pro elektronickou identifikaci nemusí nutně být „něco hmotného“, jako je nová elektronická občanka – ale může to být i něco nehmotného. Takže dveře by měly být (alespoň potenciálně) otevřeny možnostem přihlašování například pomocí mobilu, pomocí certifikátu, pomocí přístupu k bankovnímu účtu apod. Ostatně, na jedné z konferencí zaznělo od zástupců MV ČR, že vše již testují s 8 subjekty, které se zajímají o roli identity providera. Mají to být dvě velké banky, jeden telekomunikační operátor, dvě certifikační autority a tři další společnosti.    

Dnes, krátce po startu NIA i účinnosti nového zákona č. 250/2017 Sb., o elektronické identifikaci, jsou dostupní pouze dva poskytovatelé identit, resp. jimi vydávané prostředky:

  • již zmiňované nové občanské průkazy (s aktivovanou funkcí elektronické identifikace, nezapomínejme na její dobrovolnost) a
  • Identifikační prostředek Jméno, heslo a SMS, jak se formálně označuje možnost přihlašovat se přes vlastní účet u prostředníka (u NIA, resp. na jeho NIA portálu).

Mimochodem, tuto druhou možnost (tedy Identifikační prostředek Jméno, heslo a SMS) jsme si podrobněji popisovali v dubnovém článku o přihlašování k eReceptům, kdy jiná možnost (přes nové eOP) ještě neexistovala. Celkově je to asi nejjednodušší řešení pro takové služby, které nevyžadují vysokou úroveň záruky – protože tento prostředek úrovně „vysoká“ nedosahuje. Nicméně připadá v úvahu (a jako možnost je skutečně nabízena) jak pro přihlašování k eReceptům, tak i k ePortálu České správy sociálního zabezpečení, kterým stačí úroveň záruky „značná“.

Jak je to s ePortálem ČSSZ?

Když už jsme u ePortálu ČSSZ (který je mimochodem velmi užitečný, asi nejenom pro lidi blízko důchodového věku): jeho služby byly původně dostupné jen těm, kteří mají svou vlastní datovou schránku nepodnikající fyzické osoby. To proto, že jediný způsob přihlášení k ePortálu byl právě přes přihlášení k datové schránce – a tedy dostupný pro relativně málo lidí.

Dnes tedy přibylo přihlašování přes prostředníka (NIA), který nabízí dvě varianty přihlašování k ePortálu: prostřednictvím nových elektronických občanek a prostřednictvím výše zmiňovaného „Identifikačního prostředku Jméno, heslo a SMS“. Fakticky tedy prostřednictvím účtu u samotného NIA portálu.

Původně vyžadované „přihlašování k datovým schránkám“ dnes není poskytovatelem identity ve smyslu zákona č. 250/2017 Sb., o elektronické identifikaci, a prostředník (NIA) ho tedy jako možnost přihlášení nenabízí. A i kdyby bylo, stejně by jej NIA pro přihlášení k ePortálu nemohlo nabízet – protože k datovým schránkám se lze přihlásit i s jednofaktorovou autentizací (jen s využitím opakovaně použitelného hesla), což stačí jen na úroveň záruky „nízká“.

ePortál ČSSZ však očividně chtěl i nadále zachovat možnost původního přihlašování pomocí datových schránek, a tak musel poněkud „vybočit“ z výše popsaného nepřímého modelu a s ním spojených úrovní záruk. Když se k němu chcete přihlásit, dostanete na výběr ze dvou variant:

  • přes přihlášení do datových schránek (což odpovídá „přímému modelu“) a
  • přes NIA (což odpovídá nepřímému modelu).
 
Přihlašování k ePortálu ČSSZ
 

Státem garantovaná elektronická identita

Další významnou výhodou popsaného nepřímého modelu, s prostředníkem v podobě Národního bodu (NIA), je státem garantovaná správnost údajů o osobách, které se přes různé poskytovatele identit (IdP) přihlašují ke konkrétním poskytovatelům služeb (SeP, Service Provider) a jejich službám.

Je to možné díky tomu, že „vše jde přes prostředníka“ (NIA) a pouze ten poskytuje vaši elektronickou identitu – coby soubor konkrétních údajů (tzv. atributů) o vaší osobě. Tato vaše elektronická identita je tak umístěna v „back-office“ českého eGovernmentu (v základních registrech a některých dalších agendových informačních systémech), a je tak vlastně jen jedna. Což má své výhody: například když se přestěhujete (nebo se žena provdá a změní své příjmení apod.), stačí jedna změna, která se pak již automaticky promítne do všech transakcí.

Z tohoto pohledu je ovšem poněkud nepřesné výše zmiňované označení „poskytovatel identity“ (IdP, Identity provider), když jediným skutečným poskytovatelem (jediné elektronické) identity je prostředník – Národní bod pro identifikaci a autentizaci.

Jednotliví „poskytovatelé identity“ jsou proto ve skutečnosti spíše „poskytovateli autentizace“ – protože zajišťují právě autentizaci (coby ověření identity). Sami vydávají „prostředky pro elektronickou identifikaci“, které mohou být hmotné i nehmotné a které mají nějaký svůj identifikátor (číslo). A při vydání takovéhoto prostředku jednorázově nahlásí Národnímu bodu (NIA), které konkrétní osobě vydali tento konkrétní prostředek.

Je pak na konkrétním vydavateli tohoto prostředku, aby si sám volil způsob autentizace neboli prokazování, že s jím vydaným prostředkem v daném okamžiku nakládá právě ten, komu byl vystaven. Mimochodem, od způsobu vystavení prostředku i od „síly“ způsobu autentizace je pak odvozena i úroveň záruky, které se dosahuje při přihlašování takovýmto prostředkem.

Představujme si třeba, že poskytovatelem identity (IdP, Identity Provider) je už i služba MojeID (což dnes ještě není). Pak by prostředník (NIA) zájemcům o přihlášení k nějaké konkrétní službě nabízel i přihlášení přes účet u MojeID. A v závislosti na požadavcích poskytovatele služby (SeP, Service Providera) by připadaly v úvahu jen takové varianty účtů u MojeID a takové způsoby autentizace, které odpovídají požadované úrovni záruky. Například by mohl být vyžadován jen validovaný kontakt a dvoufaktorová autentizace (pomocí opakovaně použitelného hesla a jednorázového hesla, generovaného pomocí autentizační aplikace) – aby mohlo být dosaženo úrovně záruky „značná“.

Pokud by uživatel zvolil tuto možnost a úspěšně se přihlásil ke svému účtu u MojeID, pak si lze představit, že služba MojeID by prostředníkovi (NIA), samozřejmě po zabezpečeném přenosovém kanálu, sdělila něco ve smyslu: „právě proběhlo přihlášení a úspěšná dvoufaktorová autentizace k účtu číslo XYZ“. A jelikož prostředník by už věděl (z předchozího jednorázového „nahlášení“), komu byl účet s číslem XYZ vystaven, již by si sám zjistil, o koho jde – stejně jako i další údaje, které jsou o přihlašující osobě požadovány. Další postup (hlavně souhlas s předáním údajů poskytovateli služby) jsme si již popisovali.

Nevýhody zvoleného modelu

Celé řešení elektronické identifikace a autentizace, které jsme si právě popsali a které je založeno na nepřímém modelu, má kromě výhod pochopitelně i své nevýhody a potenciálně problematická místa.

Sami autoři popisují své řešení tak, že: „IdP neví, ke komu (k jakému SeP) se kdo přihlašuje. A SeP neví, jak (přes jakého IdP) se k němu konkrétní uživatel přihlásil“.  Mimochodem, právě to je důvodem, proč vám „přihlašovací komponenta“ na vašem počítači není schopna říci, kam se právě přihlašujete.

K tomu je vhodné dodat, že když „vše jde přes prostředníka“, pak tento prostředník (NIA, Národní bod pro identifikaci) „ví všechno“ a také si to může pamatovat. Podle § 21 odst. 2 písm. c) zákona č. 250/2017 Sb., o elektronické identifikaci, se v Národním bodu jako provozní údaj povinně uchovává mj. „záznam o využití údaje z národního bodu“. A pokud se podíváme do důvodové zprávy k zákonu a příslušnému ustanovení, najdeme zde konstatování, že

V národním bodu pro identifikaci a autentizaci jsou vedeny také údaje provozního typu, a to za účelem dohledání historických transakcí s údaji vedenými v národním bodu pro identifikaci a autentizaci, jejichž potřeba náhledu by se mohla v budoucnu vyskytnout. V odstavci se stanoví minimální penzum provozních údajů, jejichž vedení je správce národního bodu pro identifikaci a autentizaci povinen zajistit. Vedení dalších provozních údajů je na jeho úvaze, pochopitelně při respektování jiných právních předpisů, zejména právní úpravy ochrany osobních údajů.

Na druhou stranu to může být i výhodou – třeba pokud je v nějakém soudním sporu potřeba prokázat, kdo, kdy a kam se přihlašoval.

Za další nevýhodu zvoleného řešení považuji to, že zatímco role IdP je otevřená i pro komerční subjekty (pokud splní příslušné požadavky), pro roli poskytovatele služby (SeP, Service Providera) to už neplatí. Ti se mohou – až na jednu výjimku, viz dále – rekrutovat jen z veřejnoprávního sektoru. Musí tedy jít o služby veřejného sektoru.

Pokud správně čtu zákon (č. 250/2017 Sb., o elektronické identifikaci), omezení na veřejnoprávní subjekty zde není. Ale sám NIA portál dnes hovoří jen o subjektech z veřejné správy.

 
Omezení SeP jen na služby veřejné správy
 

Ale třeba příručka pro poskytovatele služeb už naznačuje, že by mělo jít jen o dočasný stav:

Aktuálně je funkcionalita pro kvalifikované poskytovatele přístupná pouze pro orgány veřejné moci (OVM).

Onou výjimkou – s šancí stát se poskytovateli služeb (SeP, Service Providery, v řeči zákona č. 250/2017 Sb. tzv. kvalifikovanými poskytovateli) a využívat služeb NIA – by měly být takové soukromoprávní subjekty a s takovými službami, pro které jim nějaký zákon ukládá povinnost ověření totožnosti zákazníka. Mohly by to tedy být například banky pro zřizování nových bankovních účtů, certifikační autority při vydávání kvalifikovaných certifikátů pro elektronický podpis apod.

 
Aktuální nabídka poskytovatelů služeb (SeP)
 

Nicméně dnes je na seznamu dostupných poskytovatelů služeb (SeP, Service Provider) jen velmi málo položek. Jednou z nich i sám portál NIA (pro přístup uživatele k jeho zdejšímu účtu, pokud si ho zřídil). Dalším jsou výše popisované eRecepty a ePortál ČSSZ. No a včera k nim přibyl i nově spuštěný Portál občana. Ten nabízí jak přihlašování na bázi nepřímého modelu (přes NIA, pomocí nových eOP i pomocí „Identifikačního prostředku Jméno, heslo a SMS“), tak i na bázi přímého modelu (přes přihlašování do datových schránek). 

¨
 
Možnosti přihlašování k novému Portálu občana
 

Snad ale budou rychle přibývat další užitečné služby, ke kterým bude možné se přihlašovat jak novými elektronickými občanskými průkazy, tak třeba i dalšími způsoby. Protože k čemu by nám jinak byly sofistikované systémy elektronické identifikace, propracované systémy back-office a státem garantované elektronické identity, kdyby je nebylo k čemu využít?