Single Sign-On přes datové schránky?
Jen asi 56% registrovaných uživatelů se vůbec kdy přihlásilo do své datové schránky. Pomocí certifikátu se přihlašuje jen necelá tisícovka uživatelů. Stát nabízí třetím stranám možnost jednotného přihlašování pomocí přihlašovacích údajů k datovým schránkám.
Letošní, v pořadí již 15. ročník konference Internet ve státní správě a samosprávě (ISSS) se asi nejvíce věnoval problematice základních registrů. Svůj názor na ně jsem zde na Lupě publikoval již minulý týden, a dnes bych se rád věnoval dalším zajímavým tématům, o kterých byla na letošním ISSS také řeč. Konkrétně:
- zajímavým číslům kolem datových schránek
- možnostem autorizace a re-autorizace datových zpráv
- plánované možnosti registrace elektronických dokumentů
- „státní SSO“, aneb: možnosti využití nového přístupového rozhraní datových schránek pro jednotné přihlašování aplikací třetích stran
Na datových schránkách se nešetří
Začnu možná tím, o čem se v souvislosti s datovými schránkami naopak nehovořilo: cenou za jednotlivé datové zprávy. Hrozící nedostatek „provozních“ peněz na eGovernment jako takový sice silně rezonoval celou konferencí ISSS, ale do záměrů s datovými schránkami se příliš nepromítnul.
Spíše naopak: v souvislosti se základními registry objem generovaných datových zpráv naopak výrazně vzroste, protože řada úkonů a výstupů ze základních registrů – prakticky všechny vůči firmám, a mnohé i vůči i občanům - se bude realizovat právě přes datové schránky. Tytam jsou ale dřívější snahy „udělat něco“ s dosavadním objemovým způsobem zpoplatnění, kdy stát platí opravdu nemalé peníze za každou jednotlivou datovou zprávu. Konkrétně snahy domluvit s Českou poštou paušální způsob zpoplatnění, o který usiloval ještě bývalý ministr vnitra Martin Pecina.
Paušál místo platby za každou zprávu bude ještě více zapotřebí i v nadcházející době, kdy se skrze datové schránky začne v masovém měřítku rozesílat řada dalších věcí, jako například veškeré informace o změně referenčních údajů (adresované komerčním subjektům), různé výpisy apod. Navíc náš stát chce vbrzku předat České poště ještě další aktivity, které pro něj bude zajišťovat – a stát jí za to bude platit.
Připomeňme si, že přesně v předvečer konference ISSS přeci jen došlo ke zlevnění datových zpráv, ze 13,36 Kč na 11,68 Kč (vše bez DPH), a to v důsledku dosažení hranice 66 milionů přenesených zpráv. Tato hranice byla překonána již 5. ledna 2012, ale náš stát se již dříve velkoryse zavázal k tomu, že nesníženou cenu bude platit ještě do konce celého kvartálu. Proto ono snížení až k 1.4.2012 a ne hned k 5.1.2012. V mezidobí bylo přeneseno 10 212 288 zpráv, což při rozdílu 1,68 Kč na jednu datovou zprávu dává něco přes 17 milionů Kč (bez DPH), vyplacených České poště navíc oproti situaci, kdy by ke snížení ceny došlo ihned po dosažení příslušné hranice.
Další snížení jednotkové ceny jsou také již naplánována: po 100 a po 123 milionech přenesených zpráv (opět ale: vždy až počátkem následujícího čtvrtletí). Po 123 milionech by cena za každou datovou zprávu měla klesnout na 8,32 Kč bez DPH – ale pak by už měla zůstat konstantní. Žádné další snižování již plánováno není.
Na jednu datovou schránku připadá v průměru 1.69 uživatele
Pojďme ale již k dalším zajímavým číslům ohledně datových schránek. Například:
- datových schránek bylo ke konci března 2012 celkem 461 693. Z toho 91% (418 372) jich bylo zřízeno ze zákona, a jen zbývajících 9% (43 591) bylo zřízeno na žádost
- z celkového počtu datových schránek jich připadá:
- 89% (409 698) na právnické osoby,
- 5% (24 452 ) na (nepodnikající) fyzické osoby
- 3% (15 577) na podnikající fyzické osoby
- 2% (8 599) na orgány veřejné moci
- 1% (3 437) na insolvenční správce
- uživatelů datových schránek bylo registrováno celkem 780 285.
- z toho se ale jen 440 458 uživatelů (cca 56%) vůbec někdy (alespoň 1x) přihlásilo k datové schránce
Posledně zmiňovaný údaj vypadá na první pohled velmi podezřele – ale na druhý pohled už nikoli. Musíme si totiž uvědomit, že na jednu datovou schránku může připadat více než jeden uživatel, ať již v roli oprávněné či pouze pověřené osoby. Například u právnických osob jsou oprávněnými osobami všichni jednatelé či členové představenstva. A tak příslušná datové schránka může být řádně „živá“ a v rutinním provozu, i když se k ní přihlásil jen jeden z jednatelů (třeba jen jedenkrát, aby zřídil administrátora či pověřenou osobu), zatímco ostatní jednatelé se ke stejné schránce ještě nikdy nepřihlásili.
Pokud vztáhneme počet všech registrovaných uživatelů na počet schránek, vyjde z toho cca 1,69 uživatele na jednu datovou schránku. A naopak, pokud vztáhneme počet uživatelů, kteří se alespoň 1x přihlásili, k celkovému počtu zřízených datových schránek, vyjde z toho poměr 0,954 uživatele na jednu schránku. Což opět dává smysl například díky tomu, že řada fyzických osob působí jako jednatel či člen představenstva ve více právnických osobách současně, případně v roli pověřené osoby vůči více datovým schránkám atd.
Oba tyto poměry (1,96:1 a 0,954:1) jsou ale zajímavým argumentem pro vyvrácení jednoho tradičního dogmatu, prezentovaného v souvislosti s datovými schránkami: že mezi nimi a jejich držiteli platí vztah 1:1. I v tom smyslu, že když víme, ze které datové schránky bylo něco odesláno, víme díky tomu, která konkrétní osoba byla odesilatelem. Že jistota o odesílající datové schránce nám dává i jistotu o odesilateli.
Jak by to ale mohlo platit, když počty schránek a počty uživatelů jsou různé? Vztah 1:1 neplatí ani pro datové schránky fyzických osob, kde je sice vždy jen jeden uživatel v roli oprávněné osoby, ale právo používat tuto datovou schránku (i pro odesílání datových zpráv, a tím i pro činění úkonů) může mít (apriorně neomezený) počet dalších subjektů v roli pověřených osob. Ostatně, kvůli tomu se také rozlišují identifikátory datových schránek jako takových a identifikátory uživatelů, kteří s datovými schránkami pracují.
Přesto je na uvedeném předpokladu (o vztahu 1:1) založena i tzv. fikce podpisu, podle které když nějaké podání (vůči orgánu veřejné moci) učiníte z datové schránky, bere se jako podepsané. Ale kým podepsané, když mezi schránkami a uživateli není poměr 1:1? Když odesílat z jedné schránky může více různých uživatelů!
Podle zatím neoficiálních zpráv by se již v brzké době k odesílaným zprávám mohla automaticky (tj. povinně) přidávat i informace o tom, který konkrétní uživatel je odesilatelem. Dosud tomu tak není, a pouze necelý rok existuje takováto možnost jako dobrovolná.
Zpět ale ke statistikám: další zajímavé údaje se týkají toho, jak se uživatelé ke svým datovým schránkám přihlašují. Tedy z těch 440 458, kteří tak učinili alespoň jednou: podle očekávání se většina přihlašuje pouze pomocí jména a hesla. Ale už možná mimo veškerá očekávání je míra: činí tak prakticky všichni – a jen 977 uživatelů se přihlašuje pomocí certifikátu. Pouze 315 uživatelů pak využívá možnost přihlašovat se pomocí jednorázového hesla (ať již v podobě SMS či z elektronického klíče), zavedenu vloni v létě.
Přitom z těch, kteří se přihlašují jen pomocí hesla, jich má cca 26% vypnutou pravidelnou změnu hesla po 90 dnech.
Autorizace a reautorizace datových zpráv
Kromě povinného přidávání informace o odesilateli by fungování datových schránek mohlo v brzké době doznat i dalších změn. O jedné změně, která již nastala, jsem zde na Lupě nedávno psal (viz článek „Datové schránky na cestě k dlouhověkosti“). Jde konkrétně o možnost tzv. autorizace datových zpráv. Fakticky jde o přidávání dalšího časového razítka, již v novějším formátu, jako samostatného (archivního) razítka.
Jak ale zaznělo až na letošním ISSS, připravena (pro případ potřeby) má být i tzv. re-autorizace. Tedy řešení, které by mohlo být využito v sice velmi nepravděpodobném, ale přesto principiálně možném případě kompromitace certifikační autority (jako se již stalo v Nizozemí, viz kauza DigiNotar). Fakticky by se jednalo o to, že ISDS (informační systém datových schránek) by se již nemohl spoléhat na značku a razítka přímo na samotné datové zprávě, ale podle svých záznamů (otisků a dalších atributů) by posoudil pravost a neporušenost datové zprávy a znovu ji označkoval a opatřil časovým razítkem od nějaké jiné autority.
Vzhledem k tomu, že ISDS si neuchovává celé zprávy, ale jen jejich otisky, je ale i tato možnost časově omezena, do doby než zastarají algoritmy použité pro původní otisky a kolizní zprávy k původním datovým zprávám bude možné najít v únosně krátkém čase. V souvislosti s tím si dovolím připomenout, že není veřejně známo, jak konkrétně ISDS v tomto ohledu postupuje a jaké otisky a případné další kontroly používá. Takže není známa ani „síla“ toho, na čem je autorizace a re-autorizace založena.
Registrace dokumentů
S tím souvisí i další zajímavá zmínka, která zazněla i v rámci prezentace o nových službách ISDS (která na webu ISSS dosud není dostupná): že mají být vytvořeny „předpoklady pro dlouhodobou archivaci“. Podle mého názoru by to mělo souviset s plánovanou možností „registrace dokumentů“, o které se zmiňuje smlouva na „Uvedení (CzechPointů) do souladu s legislativou“, požadující:
návrh řešení a integraci zajištění možnosti registrace dokumentů v elektronické podobě tak, aby bylo možné po expiraci certifikátů, na nichž jsou založeny kvalifikované elektronické podpisy a kvalifikovaná časová razítka, které se nacházejí v dokumentu, ověřit autenticitu a integritu těchto dokumentů na základě uložené ověřovací doložky. Ověřovací doložka bude dokládat stav dokumentu při jeho registraci. Obsah dokumentu není při registraci ukládán.
Již dnes můžete využít „archivačních“ schopností ISDS tak, že nějaký svůj dokument „protáhnete“ skrze datovou schránku: že jej vložíte do datové zprávy a odešlete z nějaké (jakékoli) datové schránky do nějaké jiné datové schránky. ISDS si z této datové zprávy udělá svůj otisk či otisky (způsobem který znají jen jeho autoři), a následně je dokáže využít pro pozdější potvrzení pravosti a neporušenosti datové zprávy, kterou mu někdo předloží, či pro výše popisovanou autorizaci, případně re-autorizaci.
Zmíněnou „registraci“ dokumentů si představuji jako obdobnou možnost, ale na úrovni samotných dokumentů a nikoli zpráv. V zásadě by se jednalo o určitou obdobu „elektronického notáře“, provozovaného státem: uživatel by mu v jednom okamžiku ukázal nějaký svůj dokument, stát by si jej ověřil (sestavil a uchoval ověřovací doložku i otisky), a kdykoli později by na žádost uživatele potvrdil, zda nově předložený dokument je či není shodný s původně předloženým.
Opět: po technické stránce by to mohlo fungovat jen do doby zastarání algoritmů, použitých pro uchovávané otisky. Protože bez původního dokumentu nebude možné vytvořit nové otisky, podle „silnějších“ algoritmů, resp. hashovacích funkcí.
Navíc by to muselo být vhodně „podepřeno“ i právně, tak aby ověřovací doložka a další výstupy budoucího „elektronického notáře“ měly potřebnou právní relevanci. Nic takového ale není na obzoru. Ani v aktuální novele zákona č. 499/2004 Sb. o archivnictví a spisové službě, která mění i zákon č. 227/2000 Sb. o elektronickém podpisu, a která právě prošla Sněmovnou a je na cestě do Senátu, není o něčem takovém ani stopy.
Celkově mám z těchto aktivit dojem, že náš stát si už začíná uvědomovat problém s „dlouhověkostí“ elektronických dokumentů (s tím, aby byly použitelné a právně průkazné i po delší sobě), který sám notně eskaloval skrze zavedení datových schránek a doručování v elektronické podobě. Ale že se snaží vyhnout standardní cestě řešení tohoto problému, přes časová razítka a koncept tzv. dlouhodobě ověřitelných elektronických podpisů (LTV, Long Term Validation). Možná i v důsledku názoru řady lidí, že celá problematika elektronického podpisu je relativně složitá.
Místo toho se náš stát snaží za každou cenu jít vlastní cestou, přes „protahování“ elektronických dokumentů skrze datové schránky či přes jejich registraci. Jenže už zapomíná na to, že takovouto cestu musí také správně „podepřít“ odpovídající právní úpravou. Možná ale, že to nedělá kvůli tomu, že by pak bylo ihned a na první pohled patrné, jak se stáváme zcela nekompatibilní se zbytkem světa i s unijní legislativou a tím, jaké řešení celého problému očekává ona.
Státní Single Sign-On
Další zajímavou věcí, která se na letošním ISSS začala vyjasňovat, je skutečný význam nedávno přidaného paragrafu 14a v zákoně č. 300/2008 Sb., který mluví o zpřístupnění „správcovského rozhraní“ datových schránek:
(1) Ministerstvo může na žádost osoby poskytující své služby na internetu, jež jsou přístupné prostřednictvím jí provozovaných individuálních uživatelských účtů adresátů těchto služeb (dále jen „poskytovatel internetových služeb“), povolit využívání rozhraní informačního systému datových schránek, které slouží pro správu přístupových údajů a identity osob oprávněných k přístupu do datových schránek a vazby přístupových údajů těchto osob na přístupové údaje k individuálním uživatelským účtům (dále jen „přístupové rozhraní“). Součástí žádosti je popis způsobu využití přístupového rozhraní.
Původně to bylo prezentováno jako řešení pro přístup aplikací třetích stran k samotným datovým schránkám a jednotlivým zprávám. Nyní to ale bylo prezentováno spíše opačně, jako řešení ve smyslu jednotného přihlašování: aplikace třetích stran, které s datovými schránkami nemusí mít vůbec nic společného, si nebudou muset vytvářet vlastní systémy registrace a přihlašování svých uživatelů, ale budou moci využít přihlašování přes datové schránky (ve stejném smyslu, v jakém funguje například OpenID či přihlašování přes účet na Facebooku apod.): uživatel, který se bude chtít přihlásit do takovéto aplikace třetí strany tak učiní skrze přihlášení ke své datové schránce. A jelikož informační systém datový schránek, který takovéto přihlášení zprostředkuje, má o každém uživateli více informací - například o jeho doručovací adrese apod. - může je prý třetí straně poskytovat také. Za roční poplatek 100 Kč na jednoho uživatele, jak je přímo zakotveno v zákoně. Vše pod dohledem MV ČR, které bude stanovovat podmínky a schvalovat všechny žádosti o využití takovéto služby – a také bude zveřejňovat všechny subjekty v roli poskytovatelů, kteří této možnosti využívají.
Zajímavé je to i v souvislosti s tím, že stejný zákon (č. 300/2008 Sb.) požaduje rozšířit možnosti přihlašování k datovým schránkám o použití „elektronicky čitelných identifikačních dokladů“, což by měly být i nové občanské průkazy (včetně těch bez čipu). Zatím to není implementováno. Jak ale zaznělo v jiné přednášce, zřejmě se nebude jednat jen o kombinaci sériového čísla občanky a tzv. BOKu (bezpečnostního ochranného kódu), protože to by bylo příliš „slabé“. Místo toho asi bude vyžadováno ještě jednorázové heslo, ať již zaslané skrze SMSku či vypočítané elektronickým klíčem (příklad viz zde).
Jen mne ale napadá: pokud se najde nějaký zájemce o takovouto službu („státního“ single sign-on), bude tato služba fungovat jen pro ty osoby, které mají datovou schránku (které jsou oprávněnou či pověřenou osobou vůči alespoň jedné schránce), nebo bude fungovat pro všechny osoby, které mají „elektronicky čitelný identifikační doklad“? Což by měly být jak všechny nové občanky, tak i ty původní (ke kterým také bude možní přiřadit již zmiňovaný BOK).
A hlavně: jak bude vše zabezpečeno proti případnému zneužití? Docela se obávám, že i zde se půjde stejnou cestou, jako u většiny dosavadních řešení. Tedy na principu „security through obscurity“ (česky též: „je to tak zabezpečené, že vám ani nemůžeme říci jak“). A to není dobře.