Vyšlo na Lupě,, 13.7.2009
Vytištěno z adresy: http://www.earchiv.cz/b09/b0713001.php3

Stalo se: Česká pošta neradila správně

Česká pošta poskytla první údaje o počtu aktivovaných datových schránek a žádostí o jejich zřízení. Problém s neznámým certifikátem, který browsery hlásí při přístupu na web datových schránek, však moc šikovně nevyřešila. A ve svém doporučení zpočátku dokonce radila věci, před kterými by měla spíše varovat.

Minulý týden přinesl první statistiku o rozjezdu datových schránek:  ČTK publikovala informaci od České pošty, která říká, že za první týden si o zřízení datové schránky zažádalo na 2500 osob, a 220 datových schránek je již aktivováno.

Počet žádostí (2500) mi přijde docela vysoký, vzhledem k tomu že jde nutně o ty subjekty, které si schránku zřizují na žádost. Což jsou hlavně  fyzické osoby, ať již podnikající či nepodnikající, a pak již jen menší počet poměrně specifických právnických osob (zatímco drtivě většině právnických osob, stejně jako orgánům veřejné moci, jsou schránky zřizovány automaticky, aniž by o jejich zřízení musely či jen mohly žádat). Také si dovolím předpokládat, že jde o úspěšně přijaté žádosti, protože právě první týden po startu datových schránek byly s příjmem žádostí určité problémy (viz můj předchozí článek).

Jak se tedy zdá, i z uvedené statistiky, prvotní problémy s přijímáním žádostí přes CzechPointy se daří odstraňovat. Mohu to podpořit vlastní zkušeností, poprvé zmiňovanou již v předchozím článku: moje první návštěva na CzechPointu na Praze 13 ještě úspěšná nebyla, když ani na opakované pokusy se nepodařilo žádost odeslat do systému. Při mé druhé návštěvě na témže CzechPointu se to povedlo již na druhý pokus. Mimochodem, přitom jsem si všimnul, že po neúspěšném pokusu o odeslání musela obsluha celou žádost vždy vyplnit od začátku znovu (a také vytisknout a já podepsat). Na něco jako opakování neúspěšného pokusu prý v systému není pamatováno. No, to není příliš „user friendly“ vůči obsluze CzechPointu, která tím zbytečně ztrácí dost času.

Pokud jde o počet 220 již aktivovaných datových schránek, i to mi přijde jako relativně vysoké číslo. Samozřejmě s uvážením toho, že jde jen o první týden, kdy se teprve rozebíhalo samotné zřizování schránek (ať již ze zákona či na žádost) a rozesílání přístupových údajů. Bylo by zajímavé vědět, jak je toto číslo (220 aktivací) rozloženo mezi obě varianty, a kolik schránek bylo již zřízeno (a ne pouze aktivováno). Intuitivně tipuji, že většina z 220 aktivací připadá spíše na schránky zřizované na žádost, a že za nimi stojí „nadšenci“ (early adopters) z řad fyzických osob, kteří si chtějí vše co nejdříve vyzkoušet. Což je pro ně jistě snazší a jednodušší, než třeba pro orgány veřejné moci, které si nějaké experimentování moc dovolit nemohou – a tudíž s aktivací své schránky raději počkají až na nejzazší možný termín, kterým je přelom října a listopadu.

Nejméně jeden orgán veřejné moci však také aktivoval svou datovou schránku: veřejný ochránce práv, alias ombudsman. Jeho kancelář to oznámila v tiskové zprávě 7. července. U žádného jiného orgánu veřejné moci jsem takovéto oznámení nezaznamenal. Pravdou je ale asi i to, co jeden ze čtenářů připsal v reakci k příslušné zprávičce: že ombudsman je ve specifické situaci, vzhledem k charakteru své agendy, a využití datových schránek je pro něj relativně snadné a bezbolestné.

Jak na certifikáty od PostSignum CA?

Minulý týden se kolem datových schránek odehrála také jedna zajímavá „přestřelka“. Nakonec se sice vše urovnalo a samotný průběh přestřelky asi zaregistrovala jen relativně malá část uživatelů Internetu. Přesto považuji za potřebné, aby věcná podstata této přestřelky nezapadla. Ne snad kvůli nějakému ztrapňování těch, kteří nedocenili podstatu problému - ale právě kvůli tomu, aby si jeho podstatu uvědomila i širší uživatelská veřejnost a aby se zlepšovalo celkové povědomí o otázkách bezpečnosti v dnešním on-line světě. A také aby se celkové zabezpečení datových schránek spíše zlepšovalo, a ne dále zhoršovalo.

Jde přitom o problém, o kterém se zde na Lupě psalo už počátkem června, a to v souvislosti s první demoverzí datových schránek  (viz článek: Datové schránky mají své demo). Už tehdy byl server, na kterém demo verze běžela, opatřen serverovým certifikátem od certifikační autority PostSignum, provozované Českou poštou. A jelikož kořenové certifikáty CA PostSignum nejsou obsaženy ve „standardní výbavě důvěryhodných certifikátů“ v žádném z běžně používaných browserů, při první návštěvě na uživatele vyskočilo varování, upozorňující na problém s neznámým serverovým certifikátem od neznámého vydavatele (u kterého browser nemá podle čeho posoudit jeho důvěryhodnost).

Již v onom článku jsem zmiňoval, že pro ostrou verzi má provozovatel informačního systému datových schránek dvě možnosti. Jednou z nich bylo pořídit si (zakoupit) serverový certifikát od některé z těch certifikačních autorit, které jsou standardně distribuovány spolu s běžně používanými browsery (jako je například CA Verisign apod.). V tomto případě by se hláška o problému s důvěryhodností uživatelům vůbec neobjevovala, protože browser by dokázal ověřit pravost serverového certifikátu (na základě znalosti a důvěryhodnosti certifikátu jeho vydavatele).

Druhou možností pak bylo ponechat serveru „vlastní“ serverový certifikát (tj. certifikát vystavený certifikační autoritou PostSignum, provozovanou Českou poštou), a uživatele dostatečně informovat o tom, v čem je problém (že browser nemá podle čeho ověřit tento serverový certifikát a usuzovat na jeho důvěryhodnost či nedůvěryhodnost, když sám nezná ani tento certifikát, ani jeho vydavatele).

Teoretickou třetí možnost – dostat kořenové certifikáty vlastní CA PostSignum do „výbavy“ většiny browserů – Česká pošta nestihla (pokud se o ni vůbec pokoušela). 

A tak byla nakonec realizována právě druhá možnost: server „ostré verze“ datových schránek je vybaven certifikátem, vydaným (kvalifikovanou) certifikační autoritou PostSignum. A uživatelé by měli být informováni o tom, co to znamená a jak by se měli chovat. Jenže právě ve způsobu informování byl problém.

První verze upozornění

Když se v prvních dnech někdo dostal na webové stránky, předřazené přes „ostrou verzi“ informačního systému datových schránek, neboli ISDS (tj. hlavně pokud přicházel přes informační server datovechranky.info), vyskočila na něj tato hláška:

Při pokusu o přihlášení do systému ISDS se může objevit varování, upozorňující na problém s bezpečnostním certifikátem stránky. Toto je způsobeno nepřítomností certifikátu ve standardní instalaci MS Windows či jiných operačních systémů. Upozornění je nutno ignorovat; vstup na stránku je zcela bezpečný neboť používaný certifikát je vydán kvalifikovanou českou certifikační autoritou. Volbou přidání certifikátů k důvěryhodným certifikátům či pokračováním na stránku ISDS nevzniká žádné bezpečnostní riziko.

Nechme nyní stranou to, že certifikáty jsou distribuovány v rámci browserů a nikoli v rámci operačních systémů. Skutečný problém je v něčem jiném. A aby to bylo srozumitelné, dovolím si podstatu tohoto problému ukázat na analogii:

Přestavte si, že jste se právě nastěhovali do nového bytu a ještě neznáte nikoho  ze svého nového okolí. Když tu někdo zazvoní na vaše dveře – a je to žena, oblečená jako poštovní doručovatelka. Pozdraví vás a řekne, že je vaší poštovní doručovatelkou. Nikdy předtím jste ji ale neviděli. Budete jí důvěřovat?

Poštovní doručovatelky nejčastěji roznáší dopisy. Teď si ale představujme spíše opačný případ: že byste naopak vy měli této osobě zaplatit nějakou vyšší finanční částku (a neřešme za co, proč atd.). Podstatná je nyní otázka: můžete důvěřovat osobě, která právě stojí před vašimi dveřmi, vydává se za poštovní doručovatelku, ale vy ji vidíte poprvé v životě – a máte jí svěřit něco důležitého. Jak poznáte, že jde o skutečnou poštovní doručovatelku, a ne o nějakou podvodnici, která se za doručovatelku jen vydává (a chce od vás například vylákat peníze)?  

Pokud vám v této chvíli Česká pošta tvrdí že „naše poštovní doručovatelky jsou naprosto čestné a spolehlivé“ (resp. „naše stránky jsou zcela bezpečné“), můžete s tím sebevíce souhlasit, ale v daném kontextu je vám to úplně k ničemu: ani podle této informace nepoznáte, zda před vámi stojí skutečná, čestná a spolehlivá poštovní doručovatelka, nebo nějaká podvodnice se zlými úmysly (resp. zda se skrze svůj browser právě díváte na skutečné stránky České pošty / ISDS, nebo na nějaké jiné stránky, které za stránky České pošty / ISDS jen vydávají).

O čem si myslíte, že by vám mohlo pomoci, je požádat dotyčnou o nějaký služební průkaz (jako analogii serverového certifikátu). Ona vám ochotně vyhoví a ukáže vám průkaz, na kterém je napsáno „Česká pošta“ (serverový certifikát si také můžete rozkliknout a podívat se, zda je na něm napsáno „PostSignum“).

V kamenném světě byste asi neuvěřili takovému průkazu, který by byl ušmudlaným kouskem papíru, na kterém by bylo rukou napsáno „Česká pošta“. Nad kvalitnějším provedením byste asi přemýšleli méně – ale stále byste neměli jistotu, že nejde o falsifikát. Vyrobit padělek dnes není nemožné. A vystavit si třeba vlastní certifikát a napsat do něj cokoli (třeba: „vystavila CA PostSignum“) je také velmi snadné.

Jestliže vám ale v tuto chvíli Česká pošta tvrdí, že „všechny naše doručovatelky pečlivě prověřujeme, než ji vydáme služební průkaz“ (v analogii: naše stránky jsou bezpečné, neboť používaný certifikát je vydán kvalifikovanou českou certifikační autoritou), je to v dané situaci pro vás opět „prázdná“ informace: ani ona vám neumožní rozhodnout, zda před vámi právě stojí skutečná poštovní doručovatelka s pravým služebním průkazem, nebo podvodnice s padělaný služebním průkazem.

Abyste se mohli spolehlivě rozhodnout, potřebovali byste si spolehlivým způsobem ověřit služební průkaz (certifikát), který vám předkládá osoba stojící před vašimi dveřmi (který vám předkládá navštívený server), a který také vidíte poprvé v životě (který váš browser nezná,ani nezná jeho vydavatele).

Asi sami tušíte, že nemá smysl ptát se osoby, stojící před vašimi dveřmi, zda její služební průkaz je pravý či nikoli. Pokud pravý není, stejně vám to neřekne a naopak bude potvrzovat jeho pravost. Takže nezbývá než použít nějaký jiný, dostatečně spolehlivý způsob ověření. Třeba zajít na Českou poštu, nebo tam alespoň zavolat a ověřit si, že dotyčná skutečně je jejich zaměstnankyní.

A teď zpět k certifikátům a vstupu na stránky ISDS: v situaci, kdy vám browser hlásí, že nezná certifikát právě navštíveného serveru ani jeho vydavatele, už není rada „upozornění je nutno ignorovat“ jen nějakou „prádnou informací“, která sice nic nového neřekne - ale také neublíží, neuvede nikoho v omyl, resp. nezvýší riziko. Tady už jde, alespoň podle mého názoru, o zcela zásadní chybu, resp. velmi zavádějící informaci, jdoucí proti všem zásadám a pravidlům bezpečnosti v on-line světě. Stejně jako konstatování, že „Volbou přidání certifikátů k důvěryhodným certifikátům či pokračováním na stránku ISDS nevzniká žádné bezpečnostní riziko“. V analogii s doručovatelkou by to vše odpovídalo radě: „věřte tomu, kdo stojí před vašimi dveřmi“.

Přitom podvrhnout nějaký server (postavit někomu před dveře falešnou poštovní doručovatelku) není až tak nemožné. Stačí na to klasický útok zvaný „Man in the middle“ (doporučuji přečíst alespoň tento krátký text o něm na Wikipedii), případně další varianty „spoofing“ útoků. Stejného efektu se však dá dosáhnout i pomocí méně sofistikovaných metod, využívaných také v oblasti phishingu: stačí zprovoznit falešné stránky ISDS na některé „podobně znějící“ internetové doméně (podobné k mojedatovaschranka.cz) a čekat, až se někdo uklikne. Podobně znějící domény se přitom dají koupit, třeba v aukci.

A když už jsem u toho:  zřejmě „nejpodobnější“ (a tudíž i nejvíce "nebezpečnou") doménu mojedatoveschranky.cz jsem při psaní jednoho z předchozích článků (o tom, jaká bude „ostrá“ doména) raději preventivně zaregistroval sám na sebe a veřejně nabídnul  k bezúplatnému převodu na zřizovatele datových schránek, hned jak o to projeví  zájem (viz tento článek).  Bohužel zájem zatím projeven nebyl.

Druhá verze upozornění

Zpět ale k problému se serverovým certifikátem: došla na něj řeč i během internetového chatu na serveru Podnikatel.cz, krátce po spuštění datových schránek (2.7.2009). Diskutováno to bylo i na dalších místech na Internetu, jako například zde. A provozovatel systému ISDS na tyto výtky určitým způsobem zareagoval, když 7. července změnil původní citovanou hlášku na následující:

Při pokusu o přihlášení do systému ISDS se může objevit varování, upozorňující na problém s bezpečnostním certifikátem stránky. Toto je způsobeno nepřítomností certifikátu ve standardní instalaci MS Windows či jiných operačních systémů. I když je možné upozornění ignorovat, protože vstup na stránku je zcela bezpečný a používaný certifikát je vydán kvalifikovanou českou certifikační autoritou, doporučujeme však uživatelům, aby si na počítač nainstalovali certifikáty kořenové a podřízené certifikační autority PostSignum. Postup instalace je uveden zde. Po jejich nainstalování se již upozornění na nedůvěryhodnost stránky nebude ve webovém prohlížeči objevovat.

Tato formulace už je korektnější v tom, že přeci jen radí nainstalovat raději kořenové certifikáty certifikačních autorit, které serveru vystavily jeho certifikát – protože podle nich pak browser dokáže ověřit všechny jimi vydané serverové certifikáty. A také přináší alespoň nějaký náznak toho, jak by se takové kořenové certifikáty měly správně instalovat (skrze tento odkaz) – byť vůbec neakcentuje další nesmírně důležitý faktor: potřebu zachování důvěryhodnosti při instalaci certifikátů.

Ale hlavně: stále setrvává na zásadně chybném (a nebezpečném i zavádějícím) předpokladu, že „lze věřit osobě, která stojí před vašimi dveřmi“ (když říká, že „je možné upozornění ignorovat“).

Třetí verze upozornění

Již následující den, 8. července večer, se na webu ISDS objevuje přeci jen korektnější hláška, která již nenabádá k bezhlavému klikání a ignorování bezpečnostního varování („k důvěřování osobě, stojící přede dveřmi“):

Při pokusu o přihlášení do systému ISDS se může objevit varování, upozorňující na problém s bezpečnostním certifikátem stránky. Nejde však o vyjádření toho, že by stránky ISDS byly nedůvěryhodné: váš prohlížeč vám pouze dává najevo, že není schopen ověřit, zda vám ukazuje skutečné stránky ISDS a nikoli nějaké podvržené stránky, které by se za stránky ISDS jen vydávaly. Aby toho byl váš prohlížeč schopen, musíte mu dodat (nainstalovat do něj) potřebné certifikáty kořenové a podřízené certifikační autority PostSignum, podle kterých již dokáže stránky ISDS spolehlivě identifikovat. Postup instalace certifikátů je popsán zde. Po jejich nainstalování se již upozornění na nedůvěryhodnost stránky nebude ve webovém prohlížeči objevovat. Při instalaci certifikátů nezapomeňte na ověření jejich pravosti.

Ani tato verze však není úplně ideální, protože sice zmiňuje potřebu ověření pravosti instalovaných certifikátů, ale už neříká, co je dostatečně spolehlivým ověřením pravosti. Tím rozhodně není pouhé stažení těchto certifikátů přímo z webu, bez další kontroly. To je znovu přesně stejný problém, na jaký jsme už narazili dříve: že bychom důvěřovali tomu, kdo stojí před našimi dveřmi (resp. tomu průkazu / certifikátu, který nám tato osoba/server předkládá).

Co je a co není dostatečně spolehlivé?

Dostatečně spolehlivé je to, když si pro kořenové certifikáty CA PostSignum (i jejích dceřiných certifikačních autorit) zajdeme přímo na pracoviště samotné certifikační autority PostSignum – protože zde snad  již můžeme předpokládat, že nám dají (nakopírují na naše USB či CD apod.) skutečné své certifikáty. Podobně bychom mohli zajít na nějakou provozovnu České pošty.

Ostatně, tak to konstatuje i sama CA PostSignum na svých stránkách (jen musíte rozkliknout javascriptový odkaz „Opravdu musím provádět ověření pravosti certifikátů autorit?“):

Za (dostatečně) důvěryhodný můžete považovat certifikát autority, který vám osobně předá operátorka na pracovišti České pošty.

Případně by se vše dalo zvládnout i bez návštěvy České pošty či CA PostSignum, pokud by Česká pošta distribuovala kořenové certifikáty svých CA spolu s přihlašovacími údaji k datovým schránkám, na nějakém malém CDčku, vloženém do obálky se žlutým pruhem. Ale to nedělá.

Existují však i další řešení, také nevyžadující „fyzickou“ návštěvu nějaké provozovny. Příslušné certifikáty se dají i stáhnout z webu, z nějakého dosud neověřeného zdroje – za podmínky, že následně dojde k dostatečně spolehlivému ověření jejich pravosti. Tím je  porovnání otisku (tzv. hashe) certifikátů, stažených z webu, s hodnotou získanou z dostatečně spolehlivého zdroje. Takovým by mohla být opět tzv. PIN zásilka, alias obálka se žlutým pruhem, skrze kterou Česká pošta rozesílá přístupové údaje k nově zřízeným datovým schránkám.

Kdyby na to v České poště včas mysleli, mohli tam příslušnou hodnotu hashe natisknout. Pro koncové uživatele by to sice bylo podstatně méně pohodlné než distribuce certifikátů na nějakém malém CD, už jen kvůli potřebě výpočtu hashe staženého certifikátu (například pomocí programu DataHash, který nabízí odsud ke stažení MV CR). Leč nestalo se, alespoň prozatím, a ani hodnota hashe rozesílána není.

Bohužel za zcela spolehlivé není možné považovat ani získání příslušné hodnoty hashe z webu samotné certifikační autority PostSignum (pro potřeby porovnání s vypočteným hashem stahovaného certifikátu) či z webu dozorového orgánu nad certifikačními autoritami, kterým je dnes MV ČR (zde). Nikoli snad kvůli tomu, že by tyto weby nebyly dostatečně důvěryhodné – ale z přesně stejného důvodu, jaký zde diskutujeme už od začátku: když otisk stahujete, máte jistotu, zda jej stahujete ze skutečných stránek PostSignum či MV ČR a ne z nějakých podvržených stránek? Pokud ne, pak nemáte ani jistotu, že stahujete správnou hodnotu hashe, se kterou se chystáte něco srovnávat.

Jak to tedy udělat?

Pokud vám předchozí řádky přišly už příliš paranoidní, a raději byste chtěli slyšet nějaký rychlý a maximálně jednoduchý návod, jak problém s certifikáty vyřešit, pak vás asi zklamu. Nic jednoduššího (a současně dostatečně spolehlivého) než návštěvu České pošty, resp. pracoviště CA PostSignum, vám zde nenabídnu.

Snad jen odkaz na seznam kontaktních míst CA PostSignum, což by zřejmě měly být všechny pošty vybavené CzechPointy. A pak také připomenutí toho, že i když jste již jednou nějaký certifikát do svého počítače (browseru) nainstalovali, třeba nějakým méně důvěryhodným způsobem, zase se dá odinstalovat a nahradit instalací certifikátu, který již získáte dostatečně důvěryhodným způsobem.