Vyšlo na Lupě,, 12.8.2009
Vytištěno z adresy: http://www.earchiv.cz/b09/b0812001.php3

Datové schránky: přihlašujeme se s certifikátem

Základní varianta přístupu k datovým schránkám přes jejich webové rozhraní, jen na základě jména a hesla, je sice nejjednodušším možným řešením, ale také nejméně bezpečnou variantou. Jak vypadá a jak funguje bezpečnější varianta, využívající uživatelské certifikáty? Jaké má pravidla, a jaké jsou její úskalí a nástrahy?

Jedním z nejvíce kritizovaných aspektů datových schránek je nízká „síla“ zabezpečení přístupu k nim, jen na bázi jména a hesla. Samozřejmě existují „silnější“ (tj. bezpečnější) alternativy, které jsou dnes již standardem například u internetbankingu. Zejména v podobě mobilního klíče (neboli autentizacích SMS zpráv) či technik elektronického podpisu (přihlašování pomocí certifikátu). Jenže pro datové schránky mají obě tyto „silnější“ varianty svá úskalí: v případě certifikátů je to jejich relativní složitost a nízká úroveň povědomí o elektronickém podpisu obecně, nehledě na organizační náročnost vydání certifikátů tak velkému počtu uživatelů (kolik bude uživatelů datových schránek). A autentizační SMSky zase nejsou zdarma.

Naštěstí jménem a heslem to u datových schránek sice začíná, ale nemusí to jimi také končit. Volitelně lze využít i přihlašování prostřednictvím certifikátů. Ostatně, i „bezpečnostní desatero“ na informačním portálu datových schránek to říká celkem jasně:

Přihlašování jménem a heslem je pouze základní postup. Informační systém datových schránek podporuje zvýšení bezpečnosti přihlašování využitím certifikátu, uloženého na čipové kartě, USB tokenu nebo jiném technickém prostředku . To je doporučené řešení, které poskytne dostatečnou ochranu Vaší identitě.

Pojďme se tedy prakticky a názorně podívat na to, jak přihlašování prostřednictvím certifikátu funguje. Nejprve si ukážeme, jak jednoduché to je, když už máme vše připravené a „vyladěné“. A teprve pak si to zkomplikujeme tím, co je třeba udělat nejprve, a jaká úskalí je třeba překonat.

O jednom úskalí se však přesto musím zmínit již nyní: zaregistrovat uživatelský certifikát se mi podařilo jen z Firefoxu, zatímco z Internet Exploreru nikoli. Proto vám budu vše ukazovat právě na  příkladu Firefoxu.

Certifikát: nikoli místo jména a hesla, ale navíc …

Když už máme na svém počítači připraven správný certifikát, je jeho využití velmi jednoduché. Se svým přihlašováním však samozřejmě musíte začít na záložce určené pro přihlašování s certifikátem. Pak byste měli být vyzváni k volbě toho certifikátu, kterým se chcete přihlásit, viz obrázek. Přesněji za podmínky, že nastavení vašeho browseru požaduje, abyste byli pokaždé znovu dotazováni. V případě opačného nastavení vás browser nebude otravovat a protistraně  předloží předem určený certifikát.

Z konkrétního dotazu na výběr certifikátu, který vidíte na obrázku,  je patrná i totožnost protistrany, která vás vyzívá k identifikaci. Dále se vám ukazuje výčet certifikátů, které má vás browser momentálně k dispozici a které potenciálně připadají v úvahu (pokud jich máte více) – a vy si musíte vybrat ten správný. Jaký, k tomu se ještě dostaneme.

Když potvrdíte výběr certifikátu, nelekněte se toho, že informační systém datových schránek po vás bude chtít ještě i jméno a heslo. Je to sice proti běžným zvyklostem, neboť certifikát jméno a heslo obvykle nahrazuje, místo toho aby je doplňoval. Autoři datových schránek to ale sami a záměrně prezentují jako „aditivní prvek“, neboli jako „přidání“ zabezpečovacího prvku, a nikoli jako náhradu (za jméno a heslo). A oporu k tomu mají v prováděcí vyhlášce (č. 194/2009), která to ve svém paragrafu č. 3 přímo přikazuje:

Přihlašuje-li se osoba oprávněná k přístupu do datové schránky prostřednictvím elektronického prostředku podle § 2, správce informačního systému datových schránek neumožní přihlášení bez současného zadání uživatelského jména a bezpečnostního hesla podle § 1.

Takže i po volbě správného certifikátu musíte znovu správně zadat své uživatelské jméno a heslo k datové schránce:

No a pokud jste vše zadali správně, tak jak to ISDS očekává, měli byste být již řádně přihlášeni.

Není browser jako browser

Pro uživatele ostatních browserů bude postup přihlašování analogický jako u Firefoxu. Jen konkrétní okna mohou (a budou) vypadat jinak – ale princip bude stále stejný: dostanete na výběr z dostupných certifikátů, z nich si vyberete, a pak zadáte jméno a heslo. Případně za vás certifikát vybere sám browser,  v závislosti na nastavení. Například Internet Explorer vás při výběru certifikátů nebude zatěžovat tolika detaily jako Firefox, a místo sériovými čísly v hexadecimálním tvaru (jako to dělá Firefox) vám je při nabízení popíše pomocí jejich popisných názvů (které si můžete nastavit sami, tak aby to pro vás bylo co nejsrozumitelnější).

Řekněme si ale rovnou o jedné nesmírně důležité skutečnosti: že dostupnost certifikátů velmi záleží na tom, jaký browser používáte. Alespoň na platformě MS Windows je to tak, že většina browserů zde používá vlastní (interní) úložiště certifikátů. Platí to mj. pro Internet Explorer i Firefox, které jsou na této platformě asi nejrozšířenější. V praxi to pak znamená, že když si přihlašovací certifikát nainstalujete do jednoho browseru, pro jiný browser nebude tento certifikát dostupný, a z tohoto jiného browseru se tudíž ke své schránce nepřihlásíte.

Řešením, vhodnějším i kvůli celkově vyšší bezpečnosti, je použití „externího“ úložiště certifikátů, v podobě čipové karty či USB tokenu, s certifikátem uloženým přímo v tomto úložišti. Pak může být váš certifikát dostupný pro každý browser,  který na daném počítači používáte – ovšem opět za splnění jednoho důležitého předpokladu. Tím je „zpřístupnění“ externího úložiště pro příslušný browser,  tak aby mohl využívat jeho služeb a obsahu. V praxi to znamená nainstalovat potřebné CSP knihovny či moduly u operačního systému, resp. příslušného browseru. A to bývá spojeno s mnoha různými nástrahami, které je vhodné ponechat zkušenějším uživatelům či správcům.

Příkladem konkrétního řešení, které je určeno právě  pro datové schránky a je postaveno na využití externího úložiště (v podobě USB tokenu iKEy 4000), je balíček s názvem „Bezpečný klíč k datové schránce“ od České pošty, resp. její certifikační autority PostSignum.

Podepisování datových zpráv?

Detailnější popis „Bezpečného klíče k datové schránce“ by mohl svádět k představě, že uživatel datové schránky může nějak podepisovat své vlastní zprávy:

Bezpečný klíč k datové schránce je připravovaný produkt České pošty, určený prioritně pro uživatele datových schránek umožňující zajistit nadstandardní stupeň bezpečnosti při přihlašování do datových schránek a opatřit dokumenty v elektronické podobě (datové zprávy) zaručeným elektronickým podpisem.

To ale není zcela přesné. I když se přihlásíte do webového rozhraní s pomocí přihlašovacího certifikátu, dostanete se do přesně stejného prostředí jako při přihlášení jen pomocí jména a hesla – a nemáte k dispozici žádné jiné či další možnosti, které by nebyly k dispozici při základním způsobu přihlašování.

Jinými slovy: pokud se chcete elektronicky podepisovat, samozřejmě můžete – ale samotné dokumenty, které vkládáte do datových schránek. Datové zprávy jako takové podepisuje (automaticky a ze zákona) až sám ISDS.

Takže máte-li k dispozici vhodný certifikát (a privátní klíč) k podepisování, ať již získaný jako součást výše popisovaného balíčku od České pošty či jakkoli jinak, musíte ho využít již při tvorbě dokumentu, v rámci příslušného programu – a již podepsaný dokument pak pouze vložíte do datové zprávy, jako jeho přílohu. Na to by měly pamatovat například všechny právnické osoby, za které jedná více jednatelů současně (a také akciovky jednající více členy představenstva): pro ně neplatí zákonná fikce elektronického podpisu při odesílání skrze datovou schránku. V jejich případě musí být již samotný dokument opatřen vícenásobným podpisem (všech osob, které jsou k tomu potřeba), a to ještě před svým vložením do datové zprávy. Teprve pak může být dokument vložen do datové zprávy a odeslán z datové schránky příslušného subjektu (s.r.o. či akciovky), aby podání mělo potřebné náležitosti.

Jak si zaregistrovat uživatelský certifikát?

Pojďme nyní již k tomu, jak své datové schránce sdělíme, že se chceme přihlašovat pomocí certifikátu. I to je jednoduché – stačí jít na stránku „Nastavení“, a zde zvolit „Otevřít správu certifikátů“.

K výběru zde dostanete hned několik možností pro instalaci certifikátů, ale našeho účelu (přímému přihlašování koncového uživatele k webovému rozhraní schránky) slouží jen jedna z nich, a to „Zaregistrovat  uživatelský certifikát“.

Pokud ji navolíme, měl by nám právě použitý browser nabídnout výčet těch certifikátů, které jsou pro něj dostupné a připadají v úvahu. Mezi nimi si stačí jen vybrat ten správný.

Pokud je vše v pořádku a vybrali jste ten správný certifikát, systém vás ještě vyzve k zadání vašeho přihlašovacího jména a hesla.

Teprve pak vám úspěšné zaregistrování certifikátu potvrdí.

A jaký certifikát že je „ten správný“? Ačkoli by se mohlo předpokládat, že by to měl být „silnější“ kvalifikovaný certifikát, není tomu tak – a potřebný je certifikát komerční. Ten bývá sice lacinější, ale hlavně může být využit i k jiným účelům, než kvalifikovaný certifikát. Typicky se kvalifikovaný certifikát používá pro podepisování, a komerční pro šifrování přenášených dat (což dále souvisí i s nastavením jejich atributů).

Tipuji, že právě různé možnosti využití jsou důvodem pro požadavek na komerční certifikát (pro přihlašování), a ne nějaké „mastění si kapsy“ certifikačních autorit, které vám samozřejmě raději (ale za více peněz) vydají oba certifikáty místo jednoho. Kvalifikovaný certifikát pak potřebujete pro (eventuelní) podepisování odesílaných dokumentů. Proto třeba také již zmiňovaná balíček od České pošty („Bezpečný klíč k datové schránce“) má tři varianty: podpisovou (s kvalifikovaným certifikátem), přístupovou (s komerčním certifikátem) a kompletní (s oběma certifikáty).

Pokud byste se pokoušeli zaregistrovat ke své datové schránce kvalifikovaný certifikát místo komerčního, systém to odmítne, viz obrázek.

A jiné než komerční certifikáty by vám zase neměl k registraci nabídnout již váš browser.

Pravidla používání certifikátů

Příjemné je, že i když si  u své datové schránky zaregistrujete uživatelský certifikát pro přihlašování, můžete ho zase kdykoli odregistrovat a přihlašovat se bez něj. Samotné odregistrování je triviální: kliknete na „Smazat uživatelský certifikát“.

Pokud odregistrování dopadlo tak jak mělo, systém vám ho potvrdí.

Případně vám řekne, že jste žádný zaregistrovaný certifikát neměli. Nebo, jako snad každý informační systém, čas od času skončí chybou.

V závislosti na tom, zda právě máte – či naopak nemáte – zaregistrovaný uživatelský certifikát, vám ISDS umožní přihlášení jen přes jméno a heslo, nebo s certifikátem a jménem a heslem současně. V praxi je třeba správně rozlišit obě záložky na přihlašovací stránce. Pokud se spletete, systém vás na to upozorní.

Ale raději s tím neexperimentujte moc často, protože po pátém neúspěšném pokusu o přihlášení by přístup ke schránce měl být na hodinu zablokován (jak to požaduje článek 2 paragrafu 3 prováděcí vyhlášky). Z tohoto důvodu také není moc radno komukoli sdělovat vaše přihlašovací jméno, aby vám někdo se zlými úmysly tímto způsobem nezablokoval vaši schránku zrovna tehdy, když se do ní potřebujete dostat.

No, když jsem na své vlastní schránce zkoušel zadat chybné heslo (bez zaregistrovaného certifikátu), a to více než 10-krát, nic se nestalo. Přístup zablokován nebyl, a po správném zadání hesla jsem se bez problémů přihlásil. Ani žádné mailové varování o možném „pokusu o neoprávněné přihlášení“, jak to požaduje vyhláška, jsem nedostal. Asi to tedy ještě není implementované.

Další oprávněné osoby

A ještě jedna důležitá věc: jak je tomu s přihlašováním dalších oprávněných osob, když si  kdokoli z nich zaregistruje uživatelský certifikát?

Původně to mělo být tak, že když tak učiní jeden, musí tak učinit všichni. Dřívější verze přístupové vyhlášky to takto požadovaly:

Užívá-li některá z osob oprávněných k přístupu do datové schránky pro přihlašování elektronický prostředek, informační systém datových schránek neumožní žádné osobě přistupovat do této datové schránky pomocí uživatelského jména a hesla.

To možná bylo docela rozumné opatření: co je platné, když si většina oprávněných osob zvolí bezpečnější přístup přes certifikát, když bude existovat byť jen jedna oprávněná osoba, která zůstane u jména a hesla – a přes jejich kompromitaci se bude možné ke schránce dostat. Také by to na první pohled mohlo vysvětlovat požadavek na zadávání jména a hesla i v případě použití uživatelského certifikátu: pokud by tento byl nějak „společný“ pro všechny oprávněné osoby, pak by to dávalo jakýsi smysl. Jenže on „společný“ být nemůže. Musí být “osobní“ a nemůže sloužit potřebám přihlašování více různých osob (neb to zakazují už podmínky, spojené s jeho vydáním).

Dost možná, že původně to tak autoři datových schránek zamýšleli: že se všechny oprávněné osoby budou přihlašovat jedním společným uživatelským certifikátem – a tak do vyhlášky dali i požadavek na současné zadávání jména na hesla, aby se jednotlivé oprávněné osoby rozlišily. Jenže pak si asi někdo uvědomil, že osobní certifikáty takto používat nelze (musely by to zřejmě být podstatně dražší systémové certifikáty), a tak „souběh“ použití certifikátů u všech oprávněných osob z návrhu vyhlášky zase vypadl.  Už se ale zapomnělo na související požadavek ohledně jména a hesla – a ten zůstal.

Jak jsem si mohl na vlastní datové schránce empiricky ověřit, v praxi skutečně může každá oprávněná osoba zvolit takovou variantu, jakou uzná za vhodné – a nezávisle na volbě ostatních. Každá oprávněná osoba si může (ale nemusí) zaregistrovat vlastní uživatelský certifikát pro potřeby přihlašování. A  může to být jak jiný certifikát pro každou oprávněnou osobu, tak i stejný certifikát pro více osob (byť je to proti pravidlům jeho použití).