Vyšlo na Lupě, 20.11.2018
Vytištěno z adresy: http://www.earchiv.cz/b18/b1120001.php3

Novou elektronickou občanku už jde používat i na dalších platformách

Softwarová podpora nových eOP  je dostupná už i pro macOS, linuxové Ubuntu, a také pro mobilní platformy Android a IOS. Pro ty ale potřebujete čtečku s Bluetooth. Na IPv6 se ale nikam nepřihlásíte.

Nové občanské průkazy, s podporou elektronické identifikace, jsou vydávány od počátku června letošního roku. Až donedávna se ale daly reálně používat jen na platformě Windows, protože pouze pro ni byly dostupné příslušné ovladače a obslužné aplikace (v podobě instalačního balíčku s příhodným názvem „eObčanka“). Podpora pro vybrané další platformy byla původně slibována na září (letošního roku).

Nakonec se to trochu protáhlo, ale první listopadový den vnitro oznámilo, že podpora pro další vybrané platformy už je k dispozici: konkrétně pro dvě mobilní platformy (Android a iOS), a pro dvě další „pevné“ platformy (macOS a linuxové Ubuntu).

Řekněme si hned na úvod, jaká to má omezení:

  • Linuxová verze eObčanky je určena jen pro 64bitové Ubuntu, a to ve verzích 17.10 a 18.04 LTS. Ohledně možnosti využití jinde se v instalační příručce dočteme: „Možnost spuštění software eObčanka na jiných distribucích není vyloučena, zprovoznění na jiných distribucích je však plně v rukou uživatele. Technická podpora je poskytována pouze pro distribuci Ubuntu.“
  • eObčanka pro OS X/macOS je určena pro verze 10.11 El Capitan, 10.12 Sierra a 10.13 High Sierra
  • eObčanka pro Android je dle popisu na Google Play určena pro verze 4.3 a vyšší (dle uživatelské příručky pro verze 4.4 a vyšší)
  • eObčanka pro iOS je určena pro verze 10.0 a vyšší a lze ji instalovat i na iPadu
 
Dvě nově nainstalované aplikace na platformě Ubuntu a macOS
 
  • verze pro Ubuntu a macOS (stejně jako verze pro Windows, podrobněji popisovaná v tomto článku) obsahují kromě ovladačů dvě relativně samostatné aplikace: eObčanka – identifikace, která zprostředkovává funkce elektronické identifikace, a eObčanka – správce karty, pro správu číselných kódů a certifikátů. Obě verze pro mobilní platformy (tj. Android i iOS) však zahrnují jen první z nich, tj. aplikaci pro potřeby identifikace. Nezahrnují tedy aplikaci pro správu karty.
  • pro mobilní verze potřebujete jednu ze dvou podporovaných bezdrátových čteček (přes Bluetooth), které nejsou zrovna nejlevnější ani snadno dostupné.

Vše, včetně instalačních a uživatelských příruček, je ke stažení z této stránky na informačním webu NIA portálu. Pochopitelně kromě aplikací pro Android a iOS, které jsou distribuovány přímo z Google Play, resp. z Apple AppStore.

Jak to funguje?

Princip fungování nových občanek je i na dalších platformách v zásadě stejný jako na platformě Windows, pro kterou jsem vše podrobněji popisoval v tomto článku z počátku července: uživatel používá svůj browser. Když se potřebuje přihlásit k nějaké konkrétní službě (např. k Portálu občana, viz následující obrázek), je nejprve přesměrován na NIA portál coby prostředníka. Ten mu nabídne všechny možnosti přihlášení k dané službě – a pokud je mezi nimi přihlášení pomocí eOP a uživatel tuto možnost zvolí, jeho browser si sám zavolá systémovou komponentu v podobě aplikace „eObčanka – identifikace“ (která se na počítač dostala při instalaci balíčku eObčanka).

Následně, pokud vše proběhne správně – tj. je nová eOP vložena do čtečky, má aktivované identifikační funkce, uživatel zadá správný kód IOK atd. – dojde k přihlášení, komponenta vrátí řízení zpět prohlížeči a ten se vrátí k požadované službě, ke které je uživatel již přihlášen.

Představu (pro Ubuntu a Mac) ukazuje následující obrázek.

 
Představa postupu přihlašování na
 

Samotnou komponentu „eObčanka – identifikace“ lze volat i jako samostatnou aplikaci a pak slouží hlavně pro diagnostiku – pro otestování „identifikační funkce občanského průkazu“ a také pro některá základní nastavení (hlavně kolem logování).

Příklad vidíte na následujícím obrázku s tím, že na Macu (ještě s OS X El Capitan) mi aplikace hlásila problém s registrací pro automatické spouštění. Nicméně to fungovalo tak, jak mělo, takže možná šlo jen o chybu diagnostiky.

 
Výsledky diagnostiky na Mac-u s OS X
 

Na IPv6 to nefunguje

Výše popsaný způsob fungování nových elektronických občanek bohužel funguje jen tam, kde je k dispozici „běžná“ konektivita pomocí IPv4 (protokolu IP verze 4).

 
DIagnostika na počítači, který má k dispozici IPv4 i IPv6 konektivitu
 

Pokud budete vše zkoušet na počítači, který má jen IPv6 konektivitu (tj. pouze protokol IP verze 6), podpora nových eOP fungovat nebude.

 
DIagnostika na počítači, který má k dispozici jen IPv6 konektivitu
 

Důvodem je už jen to, že protokol IPv6 nepodporuje samotný Portál NIA, na kterém běží ty servery, se kterými by „eObčanka – identifikace“, běžící na straně uživatele, potřebovala komunikovat. Navíc to není jen samotná NIA a její jednotlivé části, ale i samotný Portál občana – ani ten není připraven na IPv6.

 
Výsledky testu dostupnosti po IPv6
 

Považuji to za dost nešťastné zejména proto, že jak NIA, tak i Portál občana jsou zcela novými službami, které za sebou netáhnou žádnou zátěž zastaralých technických řešení – a proto by na podporu IPv6 měly pamatovat už zcela samozřejmě, samy od sebe. Ne pouze proto, že jim to nařizuje letité usnesení vlády (č. 727 z 8. června 2009, které požaduje zajistit ke všem veřejným službám eGovernmentu i po IPv6, a to do 31. 12. 2010).  

Kromě toho není Portál občana, nedávno oceněný za své moderní technické řešení, zabezpečen ani pomocí DNSSEC (což zmiňované usnesení vlády požaduje také). A s jeho HTTPS podle testů také není vše zcela v pořádku. To NIA v tomto ohledu přeci jen dopadla lépe (tedy až na podporu IPv6).

 
Výsledky testu zabezpečení
 

Na mobilní platformě jen s bezdrátovou čtečkou

Pojďme nyní konkrétněji k podpoře nových eOP na mobilních platformách. Zde je zásadní rozdíl ve volbě čtečky: zatímco na „pevných“ platformách (Windows, macOS a Ubuntu) je podporována většina „běžných“ čteček, připojovaných k USB portu, a uživatel tak má poměrně široký výběr, na mobilních platformách je to složitější. Především kvůli tomu, že zde nemůžete použít svou stávající „drátovou“ čtečku, kterou nejspíše již máte a běžně používáte. I když máte na svém mobilu či tabletu USB port a redukci s USB OTG (On The Go), stejně budete potřebovat bezdrátovou čtečku, komunikující s vaším zařízením přes Bluetooth.

Nemůže to ale být jakákoli takováto BT čtečka, nýbrž jen jedna z několika konkrétních, které software eObčanka na příslušné platformě explicitně podporuje. Proč tomu tak je, vysvětluje ministerstvo vnitra v reakci na jednu recenzi na Google Play.

 
Vysvětlení toho, proč je podporováno jen tak málo čteček
 

A které čtečky to – v současné době – jsou? Pokud se podíváme do uživatelské příručky (společné pro Android a iOS), najdeme zde uvedené tři čtečky, stejně jako na webu NIA:

  • ACR 3901 U – S1 (výrobce: ACS, podporováno na: Android 4.3 a vyšší, iOS 5.0 a vyšší, Windows a Mac OS)
  • bR301 BLE – c45 (výrobce: Feitian, podporováno na Android a iOS)
  • CT 1100 (výrobce: Gemalto, podporováno na iOS)
 
Takto vypadají podporované čtečky
 

Volba čtečky tedy závisí i na platformě, na které ji chcete používat: pro Android máte na výběr ze dvou (ACS a Feitian), pro iOS máte na výběr ze všech tří (navíc i CT 1100 od Gemalto). A pokud si vyberete čtečku od ACS, můžete ji využít i na Windows a macOS místo své „drátové“ čtečky. Pochopitelně do budoucna se situace může měnit a mohou přibývat další podporované čtečky.

S dostupností podporovaných bezdrátových čteček na našem trhu je to ale zatím dosti problematické. Sám jsem si ještě stihl pořídit čtečku ACR 3901 U – S1 od Mironetu za 1263 Kč i s DPH, ale teď už ji stejný prodejce v nabídce nemá. Dnes už ji vidím jen v této nabídce za 2417,58 Kč vč. DPH. Čtečku CT 1100 od Gemalto (fungující ale jen s iOSem) jsem našel v nabídce společnosti Suntech, za 2104 Kč s DPH. Ale to je tak vše (při letmém porozhlédnutí se po tuzemském trhu, nikoli po důkladnějším průzkumu).

Má někdo ze čtenářů lepší informace o dostupnosti popisovaných čteček?

Jak se párují bezdrátové čtečky?

Pokud se vám přeci jen podaří nějakou podporovanou bluetoothovou čtečku sehnat, nenechte se zmást tím, že na úrovni operačního systému ji se svým zařízením nespárujete.

 
Na úrovni operačního systému se čtečky odmítají párovat
 

Ke spárování dochází až v rámci aplikace (tj. „eObčanka – identifikace“). A to buď dopředu, ještě než se někam začnete přihlašovat, nebo až v průběhu přihlašování.

Aplikace vám nabídne právě tolik možností, resp. různých čteček, kolik je na příslušné platformě podporováno. Tedy dvě na Androidu a tři na iOSu, jak dokládá i následující obrázek.

 
Nabídka podporovaných čteček se liší podle mobilní platformy
 

Když zvolíte jednu z podporovaných čteček, začne ji aplikace vyhledávat.

 
Vyhledávání podporované čtečky
 

Když ji najde, nabídne vám možnost si ji vhodně pojmenovat.

 
Možnost pojmenovat si konkrétní spárovanou čtečku
 

Takto můžete mít dopředu spárováno s aplikací ve svém zařízení i více čteček. A o každé z nich se můžete dozvědět i některé detaily.

 
S aplikací je možné spárovat i více čteček
 

Jak se přihlašuje na mobilu?

Připomeňme si znovu, že celá aplikace „eObčanka – identifikace“ je spíše systémovou komponentou než aplikací určenou k samostatnému používání. Můžete ji sice spustit samostatně, ale jediné, co se s ní takto dá dělat, je dopředu si s ní spárovat svou čtečku (viz předchozí obrázky). Při rutinním používání – tedy při přihlašování ke konkrétním službám – ji jako systémovou komponentu volá ten webový browser, pomocí kterého se uživatel ke službě přihlašuje.

Ukažme si nyní podrobněji, jak vše probíhá (byť je to v zásadě stejné jako na „pevných“ platformách). A to pro Android a čtečku ACR 3901, již spárovanou s aplikací. Pro ostatní čtečky i pro iOS je to obdobné.

Začněme tedy načtením Portálu občana v mobilním browseru. Naštěstí tento portál má responzivní design, stejně jako samotná NIA a eRecept. Ale třeba ePortál ČSSZ responzivní design nemá a na mobilu se s ním pracuje jen velmi obtížně.

 
Nabídka přihlášení na Portálu občana
 

Na Portálu občana je třeba navolit požadovaný způsob přihlášení. Zde tedy přes prostředníka v podobě Národního bodu pro identifikaci a autentizaci (NIA), který se prezentuje pomocí svého loga s adresou eidentita.cz.

Jakmile dojde k přesměrování na NIA portál (na adrese nia.eidentita.cz), jsou uživateli nabídnuty všechny možnosti přihlášení k Portálu občana, které tento prostředník má k dispozici a které mají požadovanou úroveň záruky. Zde tedy jsou možnosti dvě: přihlášení přes novou eOP, nebo přes prostředek „Jméno, heslo a SMS“.

 
Nabídka přihlášení na Portálu NIA
 

Po navolení první z obou možností následuje ještě upozornění na věk a na to, že přihlášení je možné jen s novými občankami, vydávanými po 1. 7. 2018.

 
Disclaimer a upozornění na věk při přihlašování pomocí eOP
 

Jakmile uživatel potvrdí, že se chce přihlásit prostřednictvím nové elektronické občanky, jeho browser si zavolá onu systémovou komponentu (v podobě aplikace „eObčanka – identifikace“).

Po odsouhlasení skrze volbu „Přihlásit“ si browser vyžádá spuštění oné systémové komponenty v podobě aplikace „eObčanka – identifikace“. Jakmile ta se dostane ke slovu, začne hledat některou ze spárovaných čteček – pokud nějaká byla již dříve spárována (pokud ne, odehrává se postup párování popsaný výše). Po nalezení dostupné čtečky následuje komunikace se samotným občanským průkazem, vloženým do čtečky.

 
Volání aplikace jako systémové komponenty
 

Následně je uživatel vyzván, aby zadal svůj kód IOK (Identifikační osobní kód) ke schválení právě probíhajícího úkonu elektronické identifikace.

 
Výzva k zadání kódu IOK
 

Pokud je vše v pořádku, je přihlášení dokončeno a systémová komponenta (aplikace „eObčanka – identifikace“) se souhlasem uživatele vrací řízení zpět webovému browseru. Ten pak načítá stránky poskytované služby, ke které je uživatel již úspěšně přihlášen.

 
Přesměrování již přihlášeného uživatele zpět na jím požadovanou službu