Vyšlo na Lupě, 27.10.2010
Vytištěno z adresy: http://www.earchiv.cz/b10/b1027001.php3

Jak funguje MojeID?

Sdružení CZ.NIC včera spustilo svou novou službu s názvem MojeID, založenou na technologii OpenID. Nabízí  dvě úrovně ověření identity uživatele a dává mu plnou kontrolu nad tím, jaké údaje jsou o něm předávány té službě, ke které se uživatel právě přihlašuje. Přihlašování k samotné službě MojeID je možné prostřednictvím jména a hesla, nebo s využitím certifikátu.

O tom, co je služba MojeID, jste se na stránkách Lupy mohli dočíst již počátkem října, v článku nadepsaném „Uspěje OpenID v českém kabátě?“. Proto jen velmi stručně, pro připomenutí: jde o službu, implementující standard OpenID, sloužící potřebám jednotného přihlašování. Samozřejmě to není první takováto služba, a to ani v ČR. Například Seznam zprovoznil svou vlastní implementaci OpenID pro své servery již koncem roku 2008.

Služba MojeID je ale unikátní hned v několika ohledech. Jednak tím, že nepracuje s anonymními identitami, ale jen s identitami ověřenými. A to dokonce na  dvou úrovních:

  • na úrovni „identifikovaného“ kontaktu, která se opírá o ověření tří kontaktních údajů: emailu, telefonního čísla a adresy pro listovní korespondenci (a to současně). Na této úrovni tedy služba ví, za koho se vydáváte, a má ověřeno, že příslušné kontakty na vás fungují.
  • na úrovni „validovaného“ kontaktu, která se opírá buďto o fyzické ověření  identity (žadatel/ka se musel/a osobně dostavit k poskytovateli služby a prokázat osobním dokladem), nebo  o ověření přes úředně ověřený podpis na žádosti o validaci (kdy identitu žadatele zkoumal notář atd.), či přes uznávaný elektronický podpis na takovéto žádosti (kdy za identitu ručí certifikační autorita). Na této úrovni tedy služba ví, že jste skutečně tím, za koho se vydáváte.

Druhým unikátním rysem služby MojeID je to, že za ní stojí (jako zřizovatel a provozovatel) sdružení CZ.NIC, které je správcem české národní domény. Čtenářům Lupy jej snad netřeba blíže představovat. Ale snad neuškodí si připomenout, že jde o neutrální subjekt, který tuto službu nezřizuje pro nějaké „své“ servery a služby (jako je tomu například u Seznamu), ale jako službu celé širší internetové komunitě. Navíc, jako neziskové sdružení, přitom nesleduje žádné komerční zájmy a cíle.

Pravdou je, že jako každý provozovatel služby na bází technologie OpenID se i CZ.NIC z podstaty věci dozví, kdo, kam a kdy se přihlašuje (když toto přihlašování zprostředkovává, skrze svou službu).  Případným obavám ze zneužití těchto údajů ale lze kontrovat jak absencí komerčních zájmů na straně CZ.NICu, tak i jeho celkovou reputací a způsobem fungování : CZ.NIC je otevřeným sdružením, ve kterém je zastoupena celá řada subjektů působících na českém Internetu (z řad registrátorů, ISP i držitelů domén), i orgány státu.

Nový účet: na zelené louce, nebo podle registru?

Přeci jen je ale pravdou, že i CZ.NIC má na službě MojeID určitý „vlastní zájem“. Jako provozovatel národní domény totiž eviduje i kontakty na držitele těchto domén – a s udržováním kontaktů na tyto držitele to opravdu není jednoduché. Proto CZ.NIC počítá s možností využití služby MojeID i v této oblasti, a slibuje si od toho celkové zlepšení evidence kontaktů na držitele domén. Třeba proto, aby je mohl včas varovat, že si mají prodloužit nějakou svou doménu. Včasné upozornění, ale zaslané na nefunkční kontaktní adresu, moc nepomůže.

Vazba na registr domén se projevuje i v existenci dvou přístupů k založení nového účtu v rámci služby MojeID. Když vyjdete z domovské stránky této služby (viz předchozí obrázek) a kliknete na „Založení účtu“, budou vám nabídnuty dvě varianty:

  • Vytvoření nového účtu „na zelené louce“
  • Vytvoření účtu podle registru domén

Rozdíl mezi těmito variantami je v tom, že ve druhém případě jsou kontaktní informace o vás převzaty z registru domén druhé úrovně (pod TLD .cz), který CZ.NIC provozuje. Pak již jen prokážete, že jste to vy atd. (procesem identifikace či validace, viz dále). Následně jsou  v samotném registru změněny kontaktní údaje tak, aby využívaly službu MojeID. Z registru domén je přitom převzato i jméno, které dostane váš nový účet v rámci služby OpenID, a nemáte možnost ho změnit. Což není moc šikovné.

Příklad vidíte na následujícím obrázku:

V prvním případě, kdy nový účet MojeID vzniká „na zelené louce“, naopak zadáváte všechny kontaktní údaje vy sami. A případnou změnu v registru domén, pokud nějaké držíte, pak také musíte iniciovat sami.

Na druhou stranu si u této varianty můžete sami zvolit své uživatelské jméno v rámci služby MojeID tak, jak chcete. Samozřejmě pokud je syntakticky přípustné  a dosud volné.

Identifikace

Pro zřízení nového účtu musíte dále zadat své jméno a příjmení, adresu trvalého bydliště, a funkční email. Na ten vám přijde první PIN (PIN1).

Dále musíte uvést i funkční telefonní číslo. To by mělo být mobilní, protože na něj vám přijde SMSkou druhý ze tří PINů, potřebných k aktivaci účtu.

Již s využitím těchto dvou PINů můžete svůj účet aktivovat a s určitým omezením i používat, protože stále ještě není plně aktivován. Ještě ale nemůžete editovat údaje o sobě.

K tomu, aby účet byl plně aktivován (a to na úrovni „identifikovaného kontaktu“), je ještě nutné zadat třetí PIN. Ten vám přijde listovní poštou na zadanou adresu trvalého bydliště.  Už kvůli tomu musí být uvedené jméno a příjmení reálné, aby vám příslušná listovní zásilka s PINem3  dorazila a vy jste jej mohli správně zadat.

Validace

Pokud chcete dostat svůj účet u služby MojeID na vyšší úroveň ověření vaší identity, musíte projít procesem validace. Její princip je jednoduchý: ze svého účtu si vytisknete žádost o takovouto validaci, a s ní pak můžete zajít osobně do CZ.NICu (v Praze) a zde se prokázat potřebným osobním dokladem. Do budoucna bude takovýchto místo pro osobní návštěvu více, ale samozřejmě již dnes existuje i korespondenční varianta, a to listinná i elektronická.

V listinné podobě musíte žádost opatřit svým úředně ověřeným podpisem, a pak poslat. V elektronické formě musíte žádost podepsat svým uznávaným elektronickým podpisem (byť samotná žádost hovoří nesprávně jen o „elektronickém podpisu“).

Správa účtu

Když už je váš účet u služby OpenID řádně aktivován, můžete do něj vkládat ještě další údaje, které nejsou požadovány při samotném zřízení účtu. Tedy: můžete, ale nemusíte. Ale třeba datum narození je údaj, který je vyžadován pro možnost validace.

Na úrovni „identifikovaného  kontaktu“  služba MojeID ještě nemusí vědět, kolik je vám let. Nebo to vědět může (když jí to sami řeknete), ale nemá to jako ověřený údaj. To potřebuje vědět až pro vyšší úroveň (validaci, resp. validovaný kontakt), a proto je také údaj o datu narození obsažen v žádosti o validaci (a samotná žádost tak nemůže být vygenerována dříve, než ve svém profilu uvedete datum svého narození).

Z tohoto rozdílu ihned vyplývá i možnost praktického využití obou úrovní: pokud se prostřednictvím služby MojeID budete přihlašovat k nějaké službě, která potřebuje (spolehlivě) znát váš věk – například nějaká služba jen pro dospělé – pak vy budete potřebovat úroveň validovaného kontaktu. Pouhá úroveň identifikovaného kontaktu by zde nestačila.

Ale nemusí jít zdaleka jen o otázku věku: záleží na konkrétní službě, ke které se pomocí MojeID budete přihlašovat, zda bude akceptovat jen nižší úroveň (identifikovaného kontaktu), nebo zda bude vyžadovat vyšší úroveň (validovaný kontakt). Jsou služby, které nepotřebují mít jistotu, kým jste (ale stačím jim jistota, že jste to stále vy).

Třeba nějaký eshop, který vám něco prodá na dobírku, nepotřebuje  vědět kolik vám je let (pokud zrovna neprodává zboží jen pro dospělé), a je pro něj podstatné hlavně to, aby „seděly“ vaše kontaktní údaje. Naproti tomu nějaké bankovní služby (třeba mikroplatební apod.) by asi měly trvat na ověřené identitě (validovaném kontaktu).

Jak se MojeID používá?

Pojďme nyní již k tomu, jak se služba MojeID konkrétně používá. Základní princip je jednoduchý a vyplývá již ze samotné podstaty technologie OpenID, na které je tato služba založena: pokud se uživatel někde někam přihlašuje pomocí MojeID, je přesměrován na stránky poskytovatele této služby, kde se identifikuje, a pak zase vrácen zpět tam, kam se přihlašoval. Mezitím (na pozadí) proběhne předání jeho přihlašovacích údajů, tak aby jej „navštívená služba“ poznala a mohla sama přihlásit. Představu ilustruje následující obrázek:

Povšimněte si na tomto obrázku jeho prostřední části, v rámci které se uživatel přihlašuje u poskytovatele služby MojeID. Toto se může odehrávat prostřednictvím jména a hesla, ale také prostřednictvím certifikátu (pokud si jej uživatel ve svém profilu zaregistruje). Přitom je striktně vyžadován formát PEM, což znamená vyexportovat certifikát ve formátu X.509 a v kódování Base64.

Služba MojeID přitom pro přihlašování  (a to jak k „navštěvovaným“ službám, tak třeba i k profilu uživatele) akceptuje i kvalifikované certifikáty, což není zcela v souladu s jejich předpokládaným využitím (jen pro podpis). Správné by bylo trvat jen na komerčních certifikátech.

Hlavně si ale na přihlašování k nějaké „navštěvované“ službě povšimněte toho, že jako uživatelé jste dotazováni na to, jaké  údaje o vás mají být této službě předány.

Jako uživatel máte možnost se nejen seznámit s tím, o jaký rozsah údajů jde (i jaká je jejich hodnota), ale hlavně je tento rozsah „ve vaší moci“: můžete ho zúžit tak, jak považujete za potřebné, odškrtnutím příslušných položek. Je pak ale na vás, zda zůstane tolik údajů, kolik navštívená služba o vás potřebuje vědět. Přesněji: předávané údaje vidíte a máte možnost je ovlivnit, pokud si takovouto možnost ve svém nestavení nezrušíte.

Máte možnost si také zvolit, aby si služba MojeID vaši volbu (pro konkrétní službu) pamatovala. Dokonce takovýchto možností máte mnohem více, protože ve svém profilu můžete stanovit rozsah údajů, poskytovaných různým konkrétním službám, a pak i službám „známým“ a „neznámým“ („předdefinovaným“) službám.

Konečně v rámci svého účtu máte k dispozici i přehled toho, kam a jak jste se přihlašovali, resp. jaké aktivitu se odehrály kolem vašeho účtu.

Kde se dá MojeID využít

Pro úspěch právě spuštěné služby MojeID bude rozhodující to, zda a jak ji uživatelé budou používat. Což zase úzce souvisí s tím, kde všude se tato služba dá použít.

Dnes, při jejím startu, jde zatím jen o minimum služeb, které podporují přímo MojeID jako takové. Tedy alespoň v  tom smyslu, že jim nemusíte psát celý řetězec „uživatelské jméno.mojeid.cz“ (v mém případě peterka.mojeid.cz), ale jen samotné uživatelské jméno (peterka).  Jsou to vlastně jen tři služby: MalyObchod.cz, Svět Hostingu a RZ Technik.

Vedle toho ale existuje celá řada služeb (resp. serverů), které podporují přihlašování prostřednictvím OpenID jako takového – a díky tomu i pomocí služby MojeID. Seznam těchto služeb/serverů najdete zde. Patří mezi ně například servery a služby Seznamu (kromě samotného Seznamu.cz třeba Spoluzaci.cz, Lide.cz. Novinky.cz, Super.cz atd.). Stejně tak sem patří například také Stream.cz a další.

Co ale přesně znamená, že nějaká konkrétní služba, resp. server podporuje přihlašování prostřednictvím OpenID, resp. MojeID? To může mít dvojí význam.

První je ten, že na této službě již musíte mít nějaký svůj účet – a ten pak musíte „spárovat“ s účtem v rámci MojeID, protože navštívená služba vám takový účet sama nezaloží. Takto se chovají například servery Seznamu.

Jiné služby jsou v tomto ohledu vstřícnější, a při prvním přístupu přes OpenID/MojeID vám nový účet samy založí, na základě údajů které od OpenID získají.