mojeID už funguje i s úrovní záruky "vysoká"
Služba mojeID konečně spouští podporu pro nejvyšší úroveň záruky: token FIDO2 s certifikací na úrovni L2 si již můžete aktivovat pro úroveň "vysoká". Jak se to dělá a k čemu se to dá využít?
Sdružení CZ.NIC získalo certifikaci na úroveň záruky „vysoká“ pro svou službu mojeID již 8. března 2021. Podmínky této certifikace přitom požadují, aby (kromě samotného účtu u služby mojeID, resp. zadání správného hesla) byl při přihlašování ke službám veřejné správy (tj. „přes NIA“) použit také token FIDO2 s certifikací na úroveň L2 (navíc založený na bezpečné platformě s dostatečnou certifikací dle FIPS či Common Criteria). Přístup k tomuto tokenu navíc musí být vázán na zadání správného PINu.
Získání akreditace (v březnu) ale bylo jen jedním z celé řady dílčích kroků, nikoli krokem posledním. Neznamená to, že by dnem udělení akreditace byla nová možnost využití také spuštěna a dala se reálně používat. To ostatně poznali na své kůži i držitelé takových tokenů (neboli bezpečnostních klíčů), které požadovanou certifikaci mají – ale až dosud se daly aktivovat (pro přihlašování „přes NIA“) jen na druhou nejvyšší úroveň záruky, tj. „značná“.
Jedná se hlavně o tokeny (bezpečnostní klíče) GoTrust Idem Key, které řada uživatelů získala zdarma v kampani #overenomojeid. Rozdáno jich bylo něco přes 9 tisíc.
Předposledním krokem bylo zapnutí podpory pro úroveň vysoká na straně služby mojeID. Tedy možnost aktivovat token (bezpečnostní klíč) potřebných parametrů pro přístup ke službám veřejné správy s úrovní „vysoká“. K tomuto již došlo a postup aktivace si dále popíšeme.
Posledním nutným krokem pak bude zařazení nové možnosti – tedy přihlášení „Moje ID – úroveň vysoká“ – do nabídky přihlášení, která se koncovým uživatelům zobrazuje při přihlašování „přes NIA“. K tomu by mělo dojít v nejbližších dnech, snad již zítra – a do té doby si můžete vše vyzkoušet alespoň na této testovací službě.
Než si ale popíšeme, jak konkrétně mají pro získání úrovně „vysoká“ postupovat držitelé tokenů potřebných parametrů, zastavme se nejprve stručně u toho, kolik úrovní záruky vlastně máme a k čemu je úroveň „vysoká“ vůbec dobrá. Kde je, či alespoň bude nutná, resp. kde bez ní nevystačíme.
Nízká, značná a vysoká
Začněme tím, že současná právní úprava elektronické identifikace, vycházející z unijního nařízení eIDAS a na něj navazujícího zákona č. 250/2017 Sb., zná tři úrovně záruky: nízkou, značnou a vysokou.
Každá z nich je určitým (celkovým) vyjádřením „bytelnosti“ přihlášení uživatele k nějaké službě. Tedy toho, jak moc si poskytovatel služby může být jist tím, co ví o uživateli (viz identifikace) a že vůči němu skutečně jedná tento uživatel, a ne někdo jiný, kdo se za něj jen vydává (viz autentizace).
Ačkoli ve hře je celá řada faktorů, velmi zjednodušeně si můžeme tyto tři úrovně rozlišit podle toho, co od nás (uživatelů) vyžadují: pro úroveň „nízká“ stačí i jen jméno a heslo neboli tzv. jednofaktorová autentizace (heslem). To pro úroveň „značná“ již je nutná dvoufaktorová autentizace, takže vedle hesla (případně jiného prvního faktoru) je nutný ještě nějaký (ale v zásadě jakýkoli) druhý faktor. No a pro úroveň záruky „vysoká“ je požadováno, aby druhý faktor byl „zadrátován“ v nějakém (certifikovaném) čipu, ze kterého nejde dostat ven.
Proto je úroveň záruky „vysoká“ dosud vázána na HW prostředky. A kvůli tomu ji dosud dosahovaly jen nové elektronické občanky (které již mají potřebný čip) a čipová karta Starcos (s autentizačním certifikátem) od I.CA. No a nyní se tedy přidává i služba mojeID, s druhým faktorem v podobě tokenu (bezpečnostního klíče) standardu FIDO2, s certifikací na úroveň L2 a technologií certifikovanou dle FIPS či Common Criteria. A ještě s ochranou tohoto tokenu PINem, jak požadují podmínky akreditace, udělené již v březnu ze strany MV ČR.
Pro úplnost si ještě dodejme, že úrovně „vysoká“ dosahuje služba mojeID pouze v popisované kombinaci s uvedeným tokenem a s ochranou tokenu PINem. Nikoli v kombinaci s jinými (druhými) autentizačními faktory.
Takže například kombinace stejné služby (resp. uživatelského účtu u mojeID) s jednorázovým heslem, s nedávno představeným mojeID klíčem či s jiným tokenem (bezpečnostním klíčem) bez certifikace FIDO2 na L2 stále zůstávají jen na úrovni „značná“.
Navíc 31. května získalo sdružení CZ.NIC akreditaci i pro samotný účet služby mojeID, bez druhého faktoru (tedy jen pro kombinaci jméno a heslo), a to pro úroveň „nízká“. Dosud jediným (funkčním) prostředkem elektronické identifikace s úrovní „nízká“ je jméno a heslo v rámci bankovní identity od ČSOB.
V současné době, poté, co možnost přihlášení s úrovní „nízká“ zrušil Portál občana, ale není dostupná žádná služba, která by vystačila jen s touto nejnižší úrovní záruky. A pokud by existovala, mohla by být (po zavedení automatického zřizování datových schránek od 1. 1. 2023) svým způsobem dokonce nebezpečná. Protože ono automatické zřizování datových schránek při prvním použití elektronické identifikace není vázáno na žádnou úroveň záruky, mělo by „fungovat“ i s úrovní „nízká“. A někdo, kdo by měl (kvalifikovaný) prostředek elektronické identifikace jen s touto (nízkou) úrovní, by pak mohl mít problém se do své (automaticky zřízené) datové schránky vůbec dostat. Protože „tradiční“ přístupové údaje již automaticky nedostane (jen na explicitní žádost) a pro přihlášení do datové schránky pomocí prostředků elektronické identifikace je (dnes již) nutná alespoň úroveň „značná“.
Majetkový účet, legalizace podpisu či kvalifikovaný certifikát na dálku
Zpět ale k úrovni „vysoká“: k čemu je vůbec potřebná? Kde si bez ní nevystačíme?
V současné době je požadována jen u jedné služby, kterou je jednorázové založení majetkového účtu, vedeného v samostatné evidenci státních dluhopisů vedené Ministerstvem financí (např. pro koupi státních dluhopisů). Nicméně pokud takový majetkový účet již máte zřízený, pro přihlašování k němu stačí jen úroveň záruky „značná“.
Již brzy, konkrétně 15. prosince, ale přibude další služba vyžadující úroveň „vysoká“: žádost o vydání (prvotního) kvalifikovaného certifikátu u autority PostSignum, bez nutnosti osobní návštěvy žadatele, cestou služby s názvem Certifikát Online.
V polovině příštího roku pak přijde další služba, a to tzv. legalizace elektronických podpisů. Přesněji: její varianta dle § 6 odst. 1 písm. b) zákona č. 12/2020 Sb. o právu na digitální služby. Tedy takové ověření, které je realizováno „strojově“: svůj elektronický dokument nahrajete do příslušného informačního systému veřejné správy, do kterého se sami musíte přihlásit právě s úrovní záruky „vysoká“. Systém pak k dokumentu připojí svou doložku dosvědčující, že jste to byli skutečně vy, kdo projevil svou vůli – a výsledný celek (původní dokument s doložkou) pak bude použitelný i tam, kde je (v elektronické podobě) vyžadován váš uznávaný či kvalifikovaný elektronický podpis, nebo (v listinné podobě) úředně ověřený podpis.
Jak se dostat na úroveň „vysoká“?
Pojďme nyní již k tomu, jak v účtu u služby mojeID aktivovat token FIDO2 (s certifikací L2 atd.) na úroveň „vysoká“.
Postup má obecně tři kroky:
- samotné přidání tokenu (bezpečnostního klíče) k účtu u služby mojeID,
- nastavení PINu u tokenu,
- aktivace tokenu pro přístup ke službám veřejné správy s úrovní „vysoká“.
Prvním krokem se zde nebudeme zabývat, neboť je již dostatečně popsán v dokumentaci ke službě mojeID a různých návodech (např. zde). Zaměříme se na další dva kroky, jejichž provedení se ale trochu liší podle toho, jakou systémovou platformu uživatel používá. Naopak se neliší v závislosti na tom, zda již připojený token je, či není aktivován pro přístup ke službám veřejné správy s úrovní záruky „značná“.
Druhý a třetí krok jsou uživateli dostupné pouze v případě, že již má ke svému účtu připojen alespoň jeden bezpečnostní klíč s potřebnými parametry (FIDO2 s certifikací na L2 atd.). Teprve pak se mu v nabídce objevuje možnost „Získat úroveň vysoká“, viz následující obrázek.
V případě MS Windows obecně platí, že pro druhý krok (nastavení PINu k tokenu) je nutná alespoň verze 10 operačního systému. V nižších verzích totiž tento PIN nastavit nejde.
Vlastní nastavení na platformě MS Windows je přitom nutné provést na úrovni operačního systému: jít do Nastavení, zde do části Účty, pak do Možností přihlášení, a zde do části věnované bezpečnostním klíčům. Zde se již dá PIN nastavit.
Na jiných systémových platformách je pro nastavení PINu vhodné využít browser Chrome, který umožňuje nastavení PINu k tokenu skrze své nastavení (v jeho Nastavení je třeba jít do Ochrany soukromí a zabezpečení, dále Zabezpečení, a zde zvolit „Spravovat bezpečnostní klíče“).
Třetí a poslední krok může být nejpracnější. Vyžaduje totiž nové ověření totožnosti uživatele, nutné pro úroveň vysoká. Nestačí, aby uživatel byl již ověřen na úroveň „značná“ – a bez dalšího „povýšil“ na nejvyšší úroveň záruky („vysokou“). Je skutečně nutné nějaké další ověření a v úvahu zde připadají dvě základní možnosti:
- použít jiný prostředek elektronické identifikace s úrovní záruky „vysoká“. Reálně připadá v úvahu buď přihlášení novou elektronickou občankou (s aktivovanými identifikačními funkcemi), nebo kartou Starcos s autentizačním certifikátem od I.CA).
- osobní návštěva na CzechPOINTu s formulářem, jehož potřebný obsah služba mojeID již tradičně připraví a předvyplní.
Podle informací, které zazněly na nedávné konferenci IT 21.2 (konkrétně v této přednášce) připravuje CZ.NIC řešení i pro ty držitele tokenů Idem Key z akce #overenomojeid, kteří se již jednou ověřovali na CzechPOINTu, ale jen pro dosud dostupnou úroveň záruky „značná“. Ani je nelze bez dalšího „povýšit“ na úroveň „vysoká“ – ale aby nemuseli na CzechPOINT znovu, chystá se pro ně varianta s doručením jednorázového ověřovacího kódu, jehož zadáním by provedli potřebné dodatečné ověření.
No a pokud se jedna či druhá varianta dodatečného ověření (případně ta chystaná třetí) podaří, měl by být token aktivován pro přístup ke službám veřejné správy již s úrovní „vysoká“.
Celý postup zadání PINu a aktivace na úroveň „vysoká“ si můžete prohlédnout i na tomto instruktážním videu (pro platformu MS Windows). Začíná v situaci, kdy je vhodný token již přidán k účtu u služby mojeID.
Nejenom vysoká, ale i značná
Na závěr ještě malá poznámka: když si u svého tokenu aktivujete úroveň „vysoká“, získáte tím současně (resp. zůstane vám) i úroveň „značná“. Přesněji: možnost přihlašovat se i s úrovní „značná“.
K čemu je to ale dobré – když obecně platí, že ke každé službě, která vyžaduje alespoň úroveň „značná“, se můžete přihlásit i s úrovní vyšší, tedy i „vysoká“?
Výhodou je určité zjednodušení na vaší straně: jelikož úroveň „značná“ není vázána na použití PINu k tokenu, můžete se s ním přihlašovat bez jeho zadávání. A ještě jedna výhoda, která může přijít vhod uživatelům na platformě Linuxu: zdejší Firefox totiž nepodporuje zadávání PINu k tokenu, takže pro přihlašování s úrovní „vysoká“ (stejně jako pro celou aktivaci klíče, včetně nastavení PINu) musíte použít jiný browser (např. Chrome nebo jiný na jeho bázi). Ale pro přihlašování s úrovní „značná“ můžete využít (na Linuxu) i Firefox.
Jak ale ovlivníte to, kdy se jedním tokenem (aktivovaným pro úroveň „vysoká“) přihlašujete s tou kterou úrovní záruky? Tím, že si v nabídce přihlášení vyberete příslušnou variantu přihlášení přes mojeID, jako na následujícím obrázku.