Konference Internet a Technologie (21)
Konference pokračují, covidu navzdory, alespoň online. Tentokrát přináším pár poznámek z konference Internet a Technologie (21) (ze dne 10. června 2021) věnované eIdentitám a autentizační službě mojeID. Za konferencí i za službou stojí sdružení CZ.NIC.
mojeID
Jak ten čas letí. Služba mojeID pro správu internetové identity a možností přihlášení, je tu s námi již od roku 2010. Účet jsem si tam zřizoval dávno (už nedohledám kdy), ale nebyla pro mě moc zajímavá. Pro registraci a přihlášení do různých služeb jsem používal převážně svůj google účet. Což se výrazně změnilo s eIdentitou, protože mojeID poskytuje prostředky pro elektronickou identifikaci s úrovní záruky „značná“.
O FIDO hardwarové klíči už jsem psal v Cyb3r Days 2020. MojeID rozdávali hardwarové tokeny „zdarma“. Už jich je 25 tisíc aktivovaných, 5 tisíc zatím stále ne. V podmínkách bylo, že je aktivovat musíte, ale zatím to nevypadá, že by je po vás chtěli vracet.
MojeID mělo svoji mobilní autentizační aplikaci, ta už dožívá (nově ji nejde přidat, ale stále funguje). Ovšem uvedli novou aplikaci MojeID Klíč pro dvoufaktorovou autentizaci od společnosti Wultra. Vřele doporučuji. Podle mě hlavní výhodou oproti hardwarovému tokenu GoTrust Idem Key je v to, že vidíte, jaký požadavek autorizujete a jen slepě nepotvrzujete. Samozřejmě se sluší přiznat, že jsem zaujatý, protože s Petrem Dvořákem spolupracuji na realizaci jejich řešení v bankovním sektoru.
Kdo se těšil na nativní FIDO do všech mobilních operačních systémů, bude zklamán, jelikož Apple zatím nemá certifikaci a není jasné kdy a zda ji získá či jestli o ni vůbec požádá.
eIdentita
Třeba někomu křivdím, ale české elektronické občanky jsem ze svého repertoáru vytěsnil. Manželka má občanku s čipem, netuší která bije (na úřadě prý „nějaký” pin zadávala, ale řekli jí, že je k ničemu). Protože jsem praštěný z předchozích projektů, tak mám čtečku, což je podmínka nutná, nikoliv dostačující. Čtvrt hodiny (to není omezení mojí linky) stahuju 167 MB middleware (milé překvapení, že vůbec funguje na Macu), abych zjistil, že „IOK není inicializován”.
S novými občankami je spojeno až šest různých číselných kódů (PINů).
Jaké jsou a jak fungují nové elektronické občanky? (Lupa.cz, Jiří Peterka)
Jak se kdo popasoval s eIdentitou? Pěknou zkušenost mám s Úřadem pro civilní letectví, kde jsem jim tedy jednu chybku hlásil.
Říkal jsem si, že bych se vrátil k RC modelům, tak jsem na registraci a testu pilota prubnul @eIdentitaCz přes @mojeID Úřadu pro civilní letectví to na první dobrou nefungovalo, ale díky panu Beranovi za vyřešení opravy.
— Luboš Račanský (@banterCZ) March 2, 2021
Prošel jsem, tak rovnou předletová příprava ;) pic.twitter.com/1VXyrfIKjC
Proč dochází k omezení v Nahlížení do katastru nemovitostí (Lupa.cz, Kamil Zmeškal). Nakonec asi i kvůli volbám politici couvli a zachovali i CAPTCHA. To je na delší debatu, ovšem přikláněl bych se pouze k eIdentitě (byť to má samozřejmě i nevýhody). Největší chybou byla pravděpodobně komunikace, chtělo to podobný článek publikovat v předstihu a zjednodušenou formu i v tisku pro laickou veřejnost.
Abychom nečpěli síru jen na stav IT české veřejné správy, tak jsem nedávno kontaktoval Das Bundesarchiv stylem: tisk PDF, podepsat, scan, poslat e-mailem. Nad eIDAS by jeden zaplakal.
Bankovní identita
Nejspíš za tím stojí moje paranoia, ale chci mít oddělený účet a přístup ke státní správě. Vedli jsme o tom s kolegy vášnivé diskuse, že k bance člověk musí mít důvěru, když u nich má peníze nebo půjčku (to paradoxně vyžaduje ještě mnohem větší důvěru, nebo by alespoň mělo). V každé případě bych rád minimalizoval ztráty. Nicméně vzhledem k uživatelské nepřívětivosti občanek (viz předchozí odstavec) je bankovní identita pro mnoho uživatelů dostupná a srozumitelná varianta.
Zatím se zdá, že nefunguje pro všechny. Bankovní identita je pro statisíce lidí nedosažitelná. Smůlu mají i Slováci (iDnes, paywall).
Můžete zkontrolovat, zda je mezi zapojenými bankami i ta vaše.
Letem světem elektronické identifikace
Pokud bych si měl z konference odnést jedinou věc, tak je to shrnutí Jiřího Peterky. Jeho články na Lupě jsou skvělé, i když tedy většinou vyžadují opakované hluboké čtení.
Prezentace Letem světem elektronické identifikace
Vypíchl by to, že česká eIdentita využívá nepřímý model identifikace, kdy IdP (Identity Provider) neví, kam se uživatel přihlašuje a SeP (Service Provider) neví, od jakého IdP uživatel přichází.
eIDAS
Filip Bílek (MVČR) hovořil o tom, že v Česku je v současné době 3,73 milionu aktivních prostředků. Je s tím spokojen. Já tedy moc ne, přijde mi to pořád málo. Chystá se revize nařízení Evropské unie eIDAS. To mám tedy trochu v mlze. Ale údajně se během covidu ukázala slabá místa, na která by to snad mohlo reagovat. Řeč byla i o digitální peněžence, ne tedy na peníze, ale na atributy. Že byste v hospodě mohli prokazovat svůj věk. Budiž, ale nijak revoluční mi to nepřijde. Komise navrhuje důvěryhodnou a zabezpečenou digitální identitu pro všechny Evropany.
iD Brána
Praktické použití elektronických podpisů je stále tristní. Otázka, zda za to můžou pouze občanky. Z projektu iD Brána mám ambivalentní pocity. Na jednu stranu jsem rád, že někdo přijde z řešením, jak podepisovat dokumenty online i bez elektronického podpisu, úspěch jim přeju. Na druhou stranu jsem smutný z toho, že takový systémový nedostatek se řeší na úrovni komerčního produktu.
Ta analogie bude kulhat minimálně na jednu nohu, ale přesto si ji neodpustím. Obávám se, že založit společnost s ručením omezeným stále není otázkou pár kliknutí, ale bývalo i hůř. Pamatuji doby, kdy existovaly firmy, které zakládaly prázdné společnosti. Vy jste jen zaplatili a přejmenovali. Ušetřilo vám to čas a nervy. Ne že bych někomu nepřál vydělanou korunu, ale byl bych býval raději, kdyby úřední proces fungoval lépe a lidské úsilí jsme mohli upřít na užitečnější cíle.
Závěr
Abych nekončil negativně. Podle mě eIdentita funguje. Bankovní identita ji může přiblížit běžným uživatelům. Já se je snažím držet oddělené. Elektronickou občanku ignoruju. Využívám mojeID se softwarovým a hardwarovým tokenem (ten se hodí i jinde). Elektronický styk je určitě kam posouvat.