Nové e-občanky, co nejsou „e“

Elektronické občanky, vydávané od nového roku, mají být jak identifikačním průkazem, tak i elektronickou vstupenkou do informačních systémů veřejné správy. Jenže nejsou elektronické, a zatím s nimi nelze nikam vstoupit.

Nový rok 2012 přinesl řadu novinek a změn. Jednou z nich je i vydávání nových občanských průkazů, velikosti platební karty, kterým se (nesprávně) říká elektronické. Ve skutečnosti jsou totiž jen „strojově čitelné“, a to na optickém principu.

Stejně jako dosavadní občanky, budou i ty nové obsahovat strojově čitelnou zónu, tvořenou nápisy v písmu vhodném pro optické rozpoznávání  (OCR). Zde budou uvedeny takové údaje, jako číslo dokladu, jméno a příjmení, pohlaví, datum narození, státní občanství a různé kontrolní číslice (podrobný výčet).

Navíc, oproti dosavadním občankám, budou mít ty nové ještě jednu strojově čitelnou zónu, a to v podobě (opticky čitelného) 2D kódu. Zde měly původně být dva údaje, ale nakonec zde bude jen jediný údaj: číslo občanského průkazu. Dovolím si předpokládat, že „číslo dokladu“=”číslo občanského průkazu“, a že půjde o sériové číslo toho „kusu plastu“, který občan dostane do ruky.

Volitelně, za příplatek pro zájemce, bude nová občanka moci obsahovat i kontaktní elektronický čip. Jak si ale ještě upřesníme, samotné „fungování“ nové občanky se o tento čip nebude nijak opírat. Takže jeho přítomnost bude spíše jen pro ozdobu, a svou roli bude řádně plnit i nová občanka bez čipu. Tipuji, že tu (bez čipu) zvolí drtivá většina těch, kteří si novou občanku budou pořizovat. A budou ji moci používat zcela plnohodnotně, stejně jako dosavadní občanky, které samozřejmě zůstávají v platnosti (do konce jejich řádné platnosti), a žádný čip také nemají.

Jaká byla původní představa?

Zajímavé je, že na závazném vzoru nového občanského průkazu, tak jak jej obsahuje vyhláška č. 400/2001, první strojově čitelná zóna (ta s OCR písmem) není vůbec vyobrazena, a je zde pouze 2D kód.

Ukažme si proto ještě původní návrh podoby nové občanky, tak jak jej ministerstvo vnitra prezentovalo ještě v roce 2008. Protože zde jsou  obě strojově čitelné zóny dobře patrné.

A když už jsme u toho, ukažme si další součásti tehdejších představ, o použití zabezpečovacích prvků. Zda budou obsaženy i na skutečně vydávaných občanských průkazech, mi není známo. Prováděcí vyhláška se o nich nezmiňuje.

S původní představou o nových občankách, prezentovanou vedením resortu vnitra koncem roku 2008 (tedy za působení Ivana Langera v roli ministra a Zdeňka Zajíčka v roli jeho náměstka) byl spojen i termín poloviny roku 2010, coby začátku vydávání nových občanek.

Dnes již víme, že došlo k odkladu do konce loňského roku (2011), a ten navíc neměl být poslední: v polovině roku 2011 resort vnitra seznal, že na vydávání nových občanek nemá dost peněz. A tak chtěl začátek jejich vydávání znovu odložit, až na 1.1.2014. Jenže to se mu nepovedlo, a tak zůstal v platnosti původní odklad: jen na 1.1.2012. Proto se nové občanky začínají vydávat právě dnes.

V mezidobí se ale měnily i další části původní představy. Ta například počítala s tím, že na nových občankách nebude ani rodné číslo, ani bydliště či rodinný stav a rodinní příslušníci (manželka a děti). Některé z těchto údajů se ale nakonec na nové občanky “vrátily“, protože si to tak prosadili a odhlasovali  poslanci:

• rodné číslo zůstane do konce roku 2019 (ve smyslu: od 1.1.2020 už na nově vydávaných občankách nebude uváděno)
• bydliště zůstane do konce roku 2016 (ve smyslu: od 1.1.2017 bude uváděno volitelně)
• rodinný stav (či partnerství) zůstává, ale bude volitelný, na principu opt-out: standardně do občanky zapisován bude, ale občan si může vyžádat, aby do průkazu zapsán nebyl.
• údaje o manželce a dětech zapisovány nebudou.

Kde se vzala původní představa „elektronické“ občanky?

S původní představou, vzniklou ještě za dob působení Ivana Langera, nejspíše souvisí i označení nových občanek jako „elektronických“ , i když žádný čip obsahovat nebudou (a budou jen strojově čitelné, na optickém principu).

Nové občanky jsou totiž v jistém smyslu dvoudílné: kus plastu, velikosti platební karty, se strojově čitelnými zónami a s čipem nebo bez něj, je pouze prvním dílem průkazu. Tím druhým je obsah, uložený v základních registrech a v navazujících agendových informačních systémech. A jelikož tyto systémy (fakticky stojící v pozadí) jsou elektronické, zřejmě právě jim vděčí nové občanky za svůj „elektronický“ přívlastek.

Které údaje a kde?

Původní představa přitom byla taková, že první díl občanky bude „minimalizován“ co do údajů, které obsahuje, a bude sloužit jen pro nejzákladnější identifikaci svého držitele (jak se jmenuje, jak vypadá). Především ale bude sloužit jako ukazatel (index) do druhého dílu, kde už budou obsaženy detailnější údaje.

Ovšem s tím, jak se představa o údajích na samotném kusu plastu (prvním dílu občanky) měnila, a vracelo se tak i bydliště i rodinný stav atd., bude řada údajů stále vedena duplicitně, „na plastu“ i v elektronické podobě.

To, které údaje budou vedeny ve druhém díle nové občanky a kde konkrétně, se lze dočíst v §3a nového znění zákona č. 328/1999 Sb., o občanských průkazech:

• v základním registru obyvatel: jméno, příjmení, adresa místa pobytu, datum, místo a okres narození, státní občanství, čísla elektronicky čitelných identifikačních dokladů a záznam o zpřístupnění datové schránky. Údaje o adresách jsou fakticky vedeny jako odkazy do jiného základního registru (územní identifikace, adres a nemovitostí),
• v agendovém informačním systému evidence obyvatel: rodinný stav, vznik nebo zánik registrovaného partnerství, rodné číslo, zbavení nebo omezení způsobilosti k právním úkonům, ev. údaje o opatrovníkovi
• v evidenci občanských průkazů: digitální zpracování podoby občana a jeho podpisu, číslo občanského průkazu, datum vydání, datum skončení platnosti a označení úřadu, který jej vydal.

A co kontaktní čip?

Pokud jde o kontaktní čip, jeho obsah je v novelizovaném zákoně o občanských průkazech vymezen dokonce hned dvakrát, a to ne úplně stejně. Nejprve tak činí §3/6:

Do kontaktního elektronického čipu se zapíše číslo občanského průkazu a dále lze zapsat údaje, jejichž zápis a rozsah stanoví zvláštní právní předpis.

Základní podmínka, v podobě explicitního stanovení zvláštním právním předpisem, je zopakována ještě v §15a/4:

Do kontaktního elektronického čipu lze zapisovat pouze údaje stanovené zvláštním právním předpisem a se souhlasem držitele.

Snad tato dvě ustanovení nejsou ve vzájemném rozporu: souhlas držitele se zřejmě týká jen dalších údajů, zatímco u „prvotního“ údaje (čísla občanského průkazu), který by zřejmě měl být zapsán na čip již při výrobě průkazu, explicitní souhlas zapotřebí není (a je asi nahrazen tím, že držitel sám požaduje občanský průkaz s čipem).

Horší mi přijde, že v celém novelizovaném zákoně o občanských průkazech (č. 328/1999 Sb.) není žádné zmocnění pro resort vnitra, aby mohlo vydat takový právní předpis (nejspíše vyhlášku), který by řešil, co a jak smí být na kontaktní čip zapsáno. V daném zákoně sice jsou určitá zmocnění  k vydání prováděcího právního předpisu (v §26), ale ta nezahrnují kontaktní čip. Příslušnou vyhlášku (č. 400/2011 Sb.) vnitro ostatně již vydalo, a o obsahu čipu v něm skutečně nic není. 

Takže jedinou možností zřejmě zůstává to, aby nějaký jiný zákon explicitně řekl něco jako „do čipu se smí zapsat to a to“.

Na opačnou možnost, tedy na „neoprávněný“ zápis do kontaktního čipu, zákon o občanských průkazech  již pamatuje: pokutou  až 100 000 Kč pro fyzickou osobu a 1 milion pro právnickou a podnikající fyzickou osobu, viz §16a §16b.

Pokud je mi známo, zatím jediným „zvláštním prováděcím předpisem“, který nějak řeší zápis do kontaktního čipu, je zákon č. 227/2000 Sb., o elektronickém podpisu. Tomu k 1.1.2012 přibyl nový paragraf §17b, umožňující zapsat do kontaktního čipu kvalifikovaný certifikát a jemu odpovídající soukromý klíč. Podle článku 2 téhož paragrafu by tak měl činit („je k tomu oprávněn“) sám držitel občanského průkazu.

Jenže je zde ještě jeden zajímavý problém: někdo musí vybrat hodné technické řešení. Včetně stanovení toho, jak bude obsah kontaktního čipu strukturován (jaké bude moci obsahovat applety), v v jakém formátu se do těchto  appletů budou zapisovat jednotlivé údaje atd. Na to pak musí navázat vhodný middleware, který umožní s kontaktním čipem pracovat (těm aplikacích, které tak chtějí činit).

Technicky to není žádný problém, ale může to být nepříjemný problém právní – když vnitro nemá zmocnění k tomu, aby vydalo prováděcí předpis, kterým by tyto věci stanovilo. Ale stanovit je nějak musí, resp. již muselo. Již jen kvůli onomu „číslu občanského průkazu“, které se do kontaktního čipu zapisuje již při výrobě, dle výše zmiňovaného §3/6.

Podle zcela neoficiálních informací byla (či možná stále ještě je) představa  taková, že na čipu budou dva applety: jeden „podpisový“, který by obsahoval kvalifikovaný certifikát a jemu odpovídající soukromý klíč, a pak druhý applet, který by mohl obsahovat „vše ostatní“, co na čip půjde nahrát. Asi s výhradou onoho čísla občanského průkazu, které by si zřejmě zasloužilo nějaký samostatný applet, bez možnosti přepsání či smazání.

Nové občanky a elektronický podpis?

V médiích je možnost kontaktního čipu na nové občance obvykle prezentována v souvislosti s elektronickým podpisem: méně znalá média (věcně nesprávně) hovoří o možnosti uložení  elektronického podpisu na čip, a ta znalejší mluví o certifikátu a soukromém klíči.

K naplnění této možnosti je pochopitelně třeba, aby bylo zvoleno potřebné technické řešení, zahrnující jak „podpisový“ applet, tak i middleware a další náležitosti, jako je třeba generování párových dat (soukromého a veřejného klíče) přímo na čipu. Vlastně musí být vyřešeno vše, co je řešeno u běžné čipové karty – protože občanský průkaz s kontaktním čipem se fakticky bude chovat jako čipová karta. Zásadní odlišností ale bude to, že na kontaktní čip v občanském průkazu si nahrajete jen kvalifikovaný certifikát, protože pouze k tomu vás zmocňuje příslušný zvláštní právní předpis (výše citovaný zákon o el. podpisu).

Komerční certifikát si tedy do své občanky s čipem nenahrajete. A to znamená, že se s touto občankou nebudete moci přihlašovat nikde tam, kde je požadováno přihlášení pomocí certifikátu.

Jen pro upřesnění: kvalifikované certifikáty se pro přihlašování používat nesmí (podle certifikačních politik jejich vydavatelů), a má to velmi dobrý důvod: samotné přihlašování fakticky funguje tak, že přihlašující se osoba svým soukromým klíčem podepíše výzvu, kterou dostane to toho, ke komu se přihlašuje. Přitom ale nevidí, co vlastně podepisuje (a ani nemá možnost vidět, protože fakticky podepisuje pouze otisk/hash nějaké ho dokumentu či zprávy). Takže pokud by byl k přihlašování  použit soukromý klíč odpovídající kvalifikovanému certifikátu, byl by to vlastně podpis bianco šeku: protistrana by vás, v rámci přihlašování, mohla nechat podepsat úplně cokoli, co by chtěla. A vy byste ani netušili, co podepisujete.

Když tedy přihlašování pomocí občanky s čipem nepřipadá v úvahu, zbývá možnost řádného podepisování (vytváření elektronických podpisů). Zde si dovolím vyjádřit osobní názor na to, že k uchovávání soukromého klíče ke kvalifikovanému certifikátu je vhodnější „samostatná“ čipová karta, bez souběhu s funkcí občanky. Již jen kvůli odlišné manipulaci: občanku bych měl nosit stále u sebe, zatímco „podpisovou“ čipovou kartu sebou stále nosit nemusím (a budu ji chtít uchovávat jen na místech, kde ji skutečně používám, třeba jen zamčenou doma v šuplíku).

Pamatováno musí být i na případ ztráty, což souvisí se způsobem zabezpečení přístupu k soukromému klíči na čipu, resp. čipové kartě, i s možnostmi revokace kvalifikovaného certifikátu. V případě občanky s čipem je třeba mít na paměti i to, že za určitých okolností může být držiteli odebrán, čímž se také dostává do rukou dalších osob (viz§16/2).

Přihlašování? Jen pomocí čísla občanky a BOKu!

To, že nové občanské průkazy jsou nepoužitelné pro takové přihlašování, které vyžaduje použití certifikátu, ještě neznamená, že by – alespoň podle představ svých autorů – neměly sloužit právě k přihlašování. Jen toto přihlašování, a především v jeho rámci prováděná autentizace, nutně bude podstatně „slabší“, ve smyslu míry svého zabezpečení. Bude totiž založeno jen na (sériovém) čísle občanky a na 4 až 10 místném PINu, označovaném jako bezpečnostní osobní kód, zkratkou BOK.

Připomeňme si tuto představu na dobovém slidu ze stejné prezentace z roku 2008:

Takováto představa je také začleněna do aktuálně platné verze zákona o občanských průkazech (č. 328/1999 Sb.), konkrétně do jejího nového §8a, který řeší právě bezpečnostní osobní kód:

Bezpečnostní osobní kód, který slouží k autentizaci při elektronické identifikaci držitele občanského průkazu (dále jen „držitel“) při komunikaci s informačními systémy veřejné správy, je kombinací nejméně 4 a maximálně 10 číslic, kterou si občan zvolí při převzetí občanského průkazu uvedeného v § 2 odst. 2 písm. a) nebo b).

Určitou změnou oproti původní představě (ze slidu) i ze stávající podoby §8a zákona o občanských průkazech je to, že možnost změny BOKu nebude možné  realizovat na každém kontaktním místě veřejné správy (což je v současné době přes šest tisíc pracovišť CzechPointů), ale jen na obecních úřadech obcí  s rozšířenou působností, a také on-line, prostřednictvím „zvláštní elektronické aplikace, umožňující dálkový přístup“. Tak to alespoň předpokládá navrhovaná novela stávajícího zákona o občanských průkazech (zahrnutá do novely zákona o registrech), která již leží v eKlepu a čeká na připomínky.

Zajímavé je také zdůvodnění, které si dovolím ocitovat v plném znění:

Podle platného znění zákona o občanských průkazech se změna bezpečnostního osobního kódu provádí na kontaktním místě veřejné správy (notáři, krajské úřady, matriční úřady, obecní úřady, zastupitelské úřady, držitel poštovní licence a Hospodářská komora), což v současné době představuje 6.762 pracovišť Czech POINT. Vzhledem k tomu, že uvedená pracoviště nejsou vybavena potřebným zařízením, toto řešení by představovalo z důvodu nákupu BOKPADů, které umožní šifrování bezpečnostního osobního kódu, 47 334 000,- Kč (pořizovací cena 1 BOKPADu je cca 7 000,- Kč). Dále je třeba uvést, že od 29. listopadu 2011 dochází k rozšíření stávající sítě kontaktních míst veřejné správy o banky.

Nově navržený způsob provádění změny bezpečnostního osobního kódu prostřednictvím speciální aplikace Czech POINTu uspoří finanční prostředky nejen ze státního rozpočtu, ale i z rozpočtu obcí. Změna bude prováděna občanem prostřednictvím internetu z domova připojením ke speciální aplikaci, což je nepochybně pro občany větší komfort, vzhledem k tomu, že internetové připojení má v České republice již 62% domácností a tento počet se bude do budoucna zvyšovat.

K čemu se půjde přihlásit?

Hlavní otázkou by ale mělo být to, k čemu a jak se půjde přihlásit pomocí takto „slabého“ přihlášení, které pro autentizaci (stvrzení identity přihlašující se osoby) nevyužívá žádných prvků kryptografie, jako jsou klíče a certifikáty, ale využívá jen onoho BOKu.

Při absenci jakýchkoli  podrobnějších informací si totiž dovolím předpokládat, že by mělo jít o takové přihlašování „na dálku“ (on-line), které nebude vyžadovat fyzické držení samotné občanky, ale jen znalost jejího sériového čísla (pro identifikaci) a příslušného BOKu (pro autentizaci).

Protože kdyby bylo fyzické držení občanky zapotřebí, podle čeho by se vyhodnocovalo? Podle certifikátu (přesněji: držení soukromého klíče k němu) to nejde, viz výše, kvůli nemožnosti použít komerční certifikát. Pak ale kontaktní čip na občance nebude hrát při přihlašování roli – což ostatně dokládá i absence jakéhokoli omezení pro občanky bez čipu. Nikde se skutečně neříká, že BOK či možnost přihlašování budou omezeny jen na občanky s kontaktním čipem.

Takže by zbývalo snad jen nějaké snímání 2D kódu, který si ale každý dokáže okopírovat i na nejobyčejnější černobílé tiskárně. Nehledě na nutnost nějakých snímačů, které by uživatelé museli mít doma - pokud by se chtěli přihlašovat třeba jen k té „speciální aplikaci“, která jim umožní změnit si svůj BOK.

Zpět ale k původní otázce: k čemu se budeme moci přihlašovat takto velmi „slabým“ a málo zabezpečeným způsobem, který bude dosti jednoduché zneužít? Zde asi bude platit to samé, co pro zápis údajů na kontaktní čip: bude se muset najít konkrétní zákon, který řekne, že takto se dá přihlašovat k tomu a k tomu.

Zatím se takovéto ustanovení objevilo v novele zákona č. 300/2008 Sb., kde se týká přihlašování k datovým schránkám: nově má být možné  i „prostřednictvím elektronicky čitelných identifikačních dokladů“. Zatím ale není známo, jak by to mělo reálně fungovat, a zda si vnitro troufne nechat lidi přihlašovat k datovým schránkám skutečně jen pomocí čísla jejich občanky a BOKu.

Podle zatím neoficiálních informací je pravděpodobnější spíše takové řešení, kdy se BOK pouze jakoby přidá ke stávajícím možnostem přihlašování. Tedy například že ten, kdo si zvolí nové přihlašování pomocí „elektronicky čitelných dokladů“, bude nadále muset zadávat své jméno a heslo, ale k tomu ještě i BOK.

Další množnosti přihlašování se nejspíše objeví v souvislosti s ostrým startem základních registrů, který je plánován na 1.července letošního roku. Slibováno bylo mnohé, včetně možnosti nechat si vypsat, jaké údaje stát o vás vede a kdo o ně kdy žádal. Ale zda to bude skutečně implementováno, a jak to bude vyřešeno, se teprve ukáže.

Pro využití v soukromé sféře ale přihlašování pomocí nových občanek z principu nepřipadá v úvahu: privátní subjekty nebudou mít právo přístupu do základních registrů, a tak se nedostanou ani k BOKům, resp. k možnosti ověřit správnost zadaného BOKu.

Stejně tak jsem se nesetkal s žádným náznakem toho, že by něco takového mělo být poskytováno privátním subjektům jako nějaká služba. Ostatně, bránilo by tomu i vymezení BOKu v zákoně, které hovoří jen o autentizaci vůči informačním systémům ve veřejné správě.