K čemu je mi občanka s čipem?
Tak už jsem si také pořídil nový občanský průkaz. Ano, ten menší, velikosti kreditní karty, protože jiné se už dnes ani nevydávají. Platnost staré občanky mi končila v dubnu, takže jsem si ji vyměnit musel tak jako tak. Ale udělal jsem to s určitým předstihem i kvůli tomu, abych si novou občanku v praxi vyzkoušel. Hlavně její "elektronické" funkce. A tak jsem si připlatit 500 Kč za verzi s čipem. Jenže, jak jsem záhy zjistil, čip v nové občance se nedá využít k tomu, co bych od něj očekával především.
Schválně: k čemu má občanský průkaz sloužit? K vaší identifikaci (neboli: ke sdělení, kým jste), i k vaší autentizaci (stvrzení, že jste skutečně tím, za koho se vydáváte). V "kamenném" světě tak občanky skutečně fungují: ten, komu ji předložíte, si z ní přečte vaše jméno, případně další údaje, a porovná si vaši podobu s tou, která je na občanském průkazu. A pak může hodnotit, zda jste to skutečně vy a ne někdo jiný, kdo vám občanku ukradl a je vám aspoň trochu podobný. Jistě, není to zcela spolehlivé, ale "nějak" to funguje.
Nové občanské průkazy ale měly za cíl ještě něco dalšího: umožnit identifikaci a autentizaci i "na dálku". I v situacích, kdy nemůžete svou občanku někomu fyzicky předložit. Což je typické například na Internetu a v celém on-line světě. A to je právě ten problém: jak tomuto záměru vychází nové občanky vstříc?
Pro identifikaci se dá využít například sériové číslo občanky. Ale jak s autentizací? Jak prokážete, že jste to skutečně vy, a ne někdo, komu jste jen odkoukali číslo jeho občanky?
Na to nové občanky pamatují tzv. bezpečnostním osobním kódem (BOKem), který je něčím jako PINem u platební karty: jde o číslo (tvořené max. deseti číslicemi), které si při vyzvedávání nové občanky sami určíte.
Jenže "síla" takovéto autentizace, skrze zadání správného BOKu, je velmi nízká. Na něco banálního, kde by případné zneužití nenapáchalo větší škody, to asi může stačit. Ale na důležitější věci nikoli.
Možná ale, že to autoři nových občanek mysleli jinak: že k autentizaci "na dálku" (a pro jiné než "banální" účely) má sloužit právě onen elektronický čip, dostupný za příplatek. Mělo by to svou logiku: autentizace pomocí vhodného certifikátu (a soukromého klíče), nahraného na takovýto čip, už může být dostatečně "silná" i pro bankovní transakce, či pro přihlašování k datovým schránkám apod.
Existují přitom dva hlavní druhy certifikátů: komerční a kvalifikované. Pro autentizaci jsou určeny ty komerční - a právě s nimi se již dnes lze přihlašovat k datovým schránkám, či ke službám internetbankingu atd. Naproti tomu kvalifikované certifikáty jsou určeny pouze k právně platnému podepisování, zatímco k autentizaci (v rámci přihlašování) se používat dokonce nesmí. A to z dobrého důvodu: v rámci přihlašování vám totiž protistrana posílá zprávu, kterou vy podepisujete a vracíte zpět. Pokud byste přitom využili svůj kvalifikovaný certifikát a jemu odpovídající soukromý klíč, vlastně byste protistraně platně podepsali cokoli, co by vám podstrčila. Například nějakou směnku.
Teď ale: který certifikát si na čip ve své občance smíte nahrát? To je dokonce stanoveno zákonem: ano, pouze ten kvalifikovaný. Tedy právě ten, který se pro přihlašování a autentizaci použít nesmí. Naopak komerční certifikát, který se k tomu používat může, si na čip v občance nahrát nesmíte. Porušili byste zákon.