Jak funguje služba Certifikát Online od PostSignum?

Certifikační autorita PostSignum už umožňuje vydání kvalifikovaného certifikátu čistě na dálku. Vyžaduje to ale novou eOP s aktivovanými identifikačními funkcemi. Jiné prostředky s úrovní záruky „vysoká“ k tomu použít nelze.

Jedním z faktorů, které mohou odrazovat širší veřejnost od „řádného“ elektronického podepisování, formou kvalifikovaných či alespoň uznávaných elektronických podpisů, je nutnost se jednou (poprvé) zvednout a někam osobně dojít – na pobočku certifikační autority, resp. její tzv. registrační autoritu. V případě autority PostSignum, kterou provozuje Česká pošta, stačí zajít na některou z jejích poboček.  

A jen pro upřesnění: jde skutečně o jednorázovou osobní návštěvu, jejímž účelem je prokázat, že skutečně existujete a „jste to vy“. Protože jakmile již jednou kvalifikovaný certifikát pro elektronický podpis máte a blíží se konec jeho platnosti (jeho expirace), již nikam chodit nemusíte a vše potřebné můžete vyřídit na dálku. Můžete si požádat o vydání nového certifikátu (kterému se správně říká „následný“), a to postupem, který bývá nesprávně označován jako „obnova“ a je dostupný hodně dlouho, snad už od začátku vydávání kvalifikovaných certifikátů. Spočívá v tom, že žádost o vydání (nového, následného) certifikátu opatříte svým elektronickým podpisem, založeným ještě na předchozím, ale dosud stále platném certifikátu – a žádost necháte přenést (uploadovat) do certifikační autority. Ta díky vašemu podpisu ví, že žádáte skutečně vy, již vás zná, a tak vás již nežene k sobě na osobní návštěvu.

Mimochodem, právě v tomto smyslu PostSignum hovoří o své nově spuštěné službě Certifikát Online jako o službě, sloužící k vydání „prvotního“ certifikátu, a to online, neboli „na dálku“ a bez nutnosti (byť jen oné jedné) osobní návštěvy. I když to také není úplně přesné: může vám pomoci i v situaci, kdy zapomenete včas požádat o následný certifikát, a ten dosavadní vám mezitím již expiruje. Pak výše popsaný způsob „obnovy“ využít nemůžete – a dosud jste museli se svou žádostí o nový certifikát přijít osobně. Nově i zde pomůže nová služba Certifikát Online.

Navíc vám tato nová služba umožní uzavřít „na dálku“ i prvotní smlouvu s certifikační autoritou (vydavatelem certifikátu) o poskytování služeb, pokud ji ještě nemáte.

Jaká úroveň záruky je zapotřebí?

Dosavadní důvod pro osobní návštěvu, byť jen „tu první“, vycházel z požadavků na míru jistoty, kterou vydavatel kvalifikovaného certifikátu musí mít ohledně toho, komu certifikát vydává. S dostupností prostředků pro elektronickou identifikaci (i autentizaci) ale bylo jen otázkou času, kdy se podaří najít a prosadit takové řešení, které nebude vyžadovat osobní návštěvu a dokáže poskytnout srovnatelnou, resp. dostatečnou míru jistoty o žadateli.

Za zmínku určitě stojí, že během pandemie covidu-19 se našlo dočasné řešení, když dozorový orgán (MV ČR) povolil autoritám I.CA i PostSignum přijímat „prvotní“ žádosti o vydání kvalifikovaných certifikátů bez nutnosti osobní návštěvy, ale s identifikací a autentizací žadatele přes živé video. Bylo to ale skutečně jen dočasné řešení, pro překlenutí doby nouzového stavu. Podrobnější popis fungování tohoto dočasného řešení u I.CA najdete zde.

Důležitou otázkou přitom je, jaká míra jistoty by k vydání kvalifikovaného certifikátu měla být (za normálního, nikoli nouzového stavu) zapotřebí. Konkrétně jaká úroveň záruky, ve smyslu nařízení eIDAS: nízká určitě ne, ale co třeba značná? Nebo by měla být nutná až úroveň vysoká?

O žádné přímé odpovědi nevím, ale existuje alespoň několik nepřímých. Třeba právě ta, kterou dává zde popisovaná služba Certifikát Online, která požaduje úroveň „vysoká“ (viz dále). Stejně tak třeba zákon o právu na digitální služby, který pro něco velmi podobného (online legalizaci, resp. jednorázové „povýšení“ elektronického podpisu na úroveň kvalifikovaného elektronického podpisu, či dokonce úředně ověřeného podpisu) požaduje také úroveň „vysoká“.

Nicméně již se objevují i snahy spokojit se jen s úrovní „značná“: na letošní konferenci ISSS byl prezentován záměr vydávat kvalifikované certifikáty na dálku, na základě identifikace (a autentizace) pomocí bankovní identity. A to znamená s úrovní pouze „značná“, protože naše banky na úroveň „vysoká“ nejdou.

Osobně se domnívám, že pro vydávání kvalifikovaných certifikátů úroveň „značná“ nestačí a musí být vyžadována úroveň „vysoká“. Důvod spatřuji v nařízení eIDAS a jeho článku 27, odst. 1, podle kterého:

Členské státy nesmějí v případě přeshraničního využívání on-line služby poskytované subjektem veřejného sektoru vyžadovat elektronický podpis s vyšší zárukou bezpečnosti než kvalifikovaný elektronický podpis.

Pokud by ale pro získání kvalifikovaného certifikátu stačila jen úroveň „značná“, uživatel disponující pouze touto úrovní záruky (resp. prostředkem elektronické identifikace s touto úrovní) by se již mohl podepisovat formou kvalifikovaného elektronického podpisu a nic „vyššího“ by po něm již nemohlo být požadováno – což by reálně znamenalo, že pomocí úrovně záruky „značná“ se dostal úplně nejvýše, na nejvyšší možnou úroveň záruky. Tím by úroveň „značná“ vlastně splynula s úrovní „vysoká“, což by ale znamenalo popření celého systému úrovní záruky.

Jaký je princip fungování nové služby?

Pojďme nyní již k tomu, jak nová služba Certifikát Online konkrétně funguje. V prvním přiblížení si můžeme říci, že základem je „tradiční“ postup žádosti o vystavení certifikátu offline způsobem, pomocí aplikace iSignum. To, co je nové, je jakési „obalení“ tohoto dosavadního a tradičního postupu o nové online úkony, eliminující nutnost osobní návštěvy. A to jak pro (prvotní) uzavření smlouvy s poskytovatelem služeb, tak i pro identifikaci a autentizaci žadatele a možnost zaplacení online a okamžitého získání certifikátu.

Postup je takový, že v aplikaci iSignum vytvoříte příslušnou žádost, a to „tradičním“ offline způsobem. Při tom vám aplikace vygeneruje unikátní ID vaší žádosti.

A jen pro upřesnění: „žádostí“ se zde (v souvislosti s aplikací iSignum) rozumí žádost o vydání nového certifikátu v technickém, a nikoli „právním“ či „obchodním“ slova smyslu. V rámci této „technické“ žádosti dochází ke generování tzv. párových dat (dvojice tvořené soukromým a veřejným klíčem) a k vytvoření „kusu dat“, který je následně předán certifikační autoritě a slouží jí jako výchozí podklad pro vydání nového certifikátu.

Tento „kus dat“ obsahuje právě vygenerovaný veřejný klíč a je elektronicky podepsán právě vygenerovaným soukromým klíčem. Neobsahuje samotný soukromý klíč, který autorita nepotřebuje a ani nemá dostat (tento soukromý klíč zůstává jen u žadatele, kde byl vygenerován).

Aplikace iSignum přitom posílá do autority PostSignum právě (a pouze) tento „kus dat“, a to v kroku č. 3 dle předchozího obrázku (viz též: „Generování a odeslání žádosti na server PostSignum“). Autorita si pak tuto „technickou“ žádost spáruje s „právní“ žádostí, prováděnou skrze online formulář, právě přes ID (technické) žádosti, kterou vygeneruje aplikace iSignum a uživatel jej přepíše (resp. překopíruje přes schránku) do online formuláře.

Důležité je, že než můžete ID své „technické“ žádosti zadat do formuláře na předchozím obrázku, musíte se nejprve přihlásit k autoritě PostSignum s úrovní záruky „vysoká“. Díky tomu se vaše protistrana dozví, kým jste (i že jste to skutečně vy). Může se proto podívat do seznamu svých klientů a sama si najít, zda s ní již máte uzavřenu smlouvu (o poskytování služeb), ještě v rozlišení na podnikající a nepodnikající fyzickou osobu. A pokud smlouvu ještě nemáte, umožní vám jednoduché uzavření takovéto smlouvy.

Pokud smlouvu již máte, v dalším kroku se již dostanete k formuláři s možností zadání ID vaší žádosti (viz dřívější obrázek). Ten vás také poučí o tom, jak máte postupovat pro vydání „technické“ žádosti pomocí aplikace iSignum (končící vygenerováním ID žádosti).

Další postup je pak již vcelku standardní: dostanete možnost zkontrolovat si údaje, které budou obsaženy v novém certifikátu, můžete si vybrat mezi certifikátem na jeden rok či tři roky a dostanete možnost uplatnit případný slevový kupon. Pak už jen obvyklým způsobem (online) zaplatíte, načež je vám nový certifikát ihned vystaven, můžete si ho nainstalovat a začít ho používat.

Celý postup ukazuje následující video.

K tomuto průběhu jedna poznámka: obě činnosti, tedy generování „technické“ žádosti v aplikaci iSignum i vyplňování online formuláře můžete dělat v různém pořadí. Nemusí to nutně probíhat tak, jak to ukazuje video a jak předpokládá i samotný formulář: že nejprve začnete online, pak si „odskočíte“ do offline aplikace iSignum, načež se s vygenerovaným ID své žádosti vrátíte zpět do online formuláře. Můžete klidně provést nejprve vše potřebné v aplikaci iSignum a teprve pak začít s online formulářem.

Je to možné takto „prohodit“ i díky tomu, že aplikace iSignum nepřebírá údaje o vás, které poskytnete skrze své přihlášení ke službě, ale chce je po vás znovu. Konkrétně vaše jméno a příjmení (resp. to, co o vás má být uvedeno v certifikátu) a email. Certifikační autorita si pak tyto údaje nejspíše jen porovná s údaji, které o vás již má, resp. získá skrze přihlášení.

A ještě jedna poznámka: nová služba Certifikát Online je prezentována jako služba pro vydávání prvotních kvalifikovaných certifikátů. Zkoušel jsem ji ale i pro vydávání komerčních certifikátů, a měla by fungovat i pro ně (byť jsem žádost nedotáhl úplně do konce, skončil jsem před zaplacením).

A mimochodem, na tu volbu tříletého certifikátu jen za 250 Kč mi nešlo kliknout (v žádném browseru).

Není „vysoká“ jako „vysoká“

Pojďme nyní již k tomu, co na nové službě Certifikát Online tak úplně standardní není: samotné přihlašování s úrovní záruky „vysoká“.

Základním charakteristickým rysem našeho národního systému elektronické identifikace, založeného na nepřímém modelu a s prostředníkem v podobě tzv. národního bodu (zjednodušeně: NIA), je vzájemná nezávislost a důsledné oddělení obou „stran“, mezi kterými stojí onen prostředník (NIA).

Jinými slovy: poskytovatel služeb (SeP, zde: PostSignum) pouze vznese požadavek na úroveň záruky, jakou se k němu mají uživatelé přihlašovat, ale nepředepisuje jim, přes který kvalifikovaný systém (IdP, resp. poskytovatele identity) se mají přihlašovat. Dokonce se ani sám nedozví, který z nich si uživatel vybral, protože tuto informaci mu prostředník (NIA) nepředává.

Ještě jinými slovy: uživatel se může přihlásit kterýmkoli prostředkem elektronické identifikace, který má požadovanou úroveň záruky (nebo vyšší), a poskytovatel služby se ani nedozví, který konkrétní prostředek (a od kterého poskytovatele identity) to byl. Výčet těchto prostředků sestavuje a uživateli nabízí sám prostředník.

Zde konkrétně, když požadavkem je přihlášení s úrovní záruky „vysoká“, by (aktuálně) připadaly v úvahu tři možnosti, resp. využití tří prostředků elektronické identifikace:

• elektronické občanky (s aktivovanými identifikačními funkcemi)
• karta Starcos s identitním certifikátem od I.CA
• služba mojeID s FIDO tokenem s certifikací na L2

Nabídka prostředků pro přihlášení, s úrovni „vysoká“, by proto měla vypadat takto:

Jenže v konkrétním případě služby Certifikát Online, poskytované autoritou PostSignum, nabídka prostředků takto nevypadá. Vlastně ani žádná není, protože pro tuto službu je možné přihlášení pouze pomocí elektronické občanky. Ostatní dva prostředky, které také mají úroveň záruky „vysoká“, použít nemůžete.

Nemůžete je použít už proto, že k tomu ani nedostanete příležitost. Jakmile se totiž rozhodnete přihlásit, nejste přesměrování do obvyklé nabídky všech možností přihlášení (jako na předchozím obrázku), ale jste přesměrováni rovnou („natvrdo“) na přihlášení pomocí nové eOP.

A ještě jedna zajímavost: v rámci vašeho přihlášení poskytovatel služby (autorita PostSignum) požaduje osobní údaje v rozsahu, který ukazuje následující obrázek.

Není mezi nimi rodné číslo (a ani nemůže být, protože státem vedená elektronická identita v základních registrech je nezahrnuje). Ale PostSignum vaše rodné číslo chce znát, a tak si jej alespoň napoprvé (při prvním přihlášení ke službě Certifikát Online) od vás vyžádá.

Na co si dát pozor

Na závěr ještě několik obecnějších doporučení pro zájemce o elektronické podepisování, které se týkají i služby Certifikát Online. Především: pokud generujete onu „technickou“ žádost o nový certifikát, dochází přitom k ukládání nově vygenerovaného soukromého klíče do úložiště u vás (u uživatele). Na správné volbě tohoto úložiště přitom hodně záleží.

Pokud se budete chtít podepisovat formou kvalifikovaného elektronického podpisu, musí oním úložištěm být tzv. kvalifikovaný prostředek (pro vytváření elektronických podpisů), zkratkou QSCD (z anglického Qualified Signature Creation Device). Pozor na to, že naše legislativa používá stejný pojem (kvalifikovaný prostředek) i pro něco úplně jiného, a to i pro „prostředek pro elektronickou identifikaci vydaný v rámci kvalifikovaného systému elektronické identifikace“ (což reálně může být i jen prostředek s úrovní záruky „nízká“, třeba jen jméno a heslo, jaké v rámci bankovní identity vydává ČSOB). V případě generování (technické) žádosti o nový certifikát proto musíte vždy zvolit umístění soukromého klíče na takovémto kvalifikovaném prostředku (pro vytváření elektronických podpisů). V případě aplikace iSignum se výběr úložiště provádí podle následujícího obrázku.

Důvodem je to, že pouze v případě, kdy je soukromý klíč generován přímo v kvalifikovaném prostředku (a navíc takovém, který příslušná autorita „zná“ a podporuje), bude ve výsledném kvalifikovaném certifikátu nastaven příznak o umístění soukromého klíče.

A pouze takový elektronický podpis, který je založen na certifikátu s takto nastaveným příznakem, bude kvalifikovaným elektronickým podpisem. Což je ten druh elektronického podpisu, který musí používat úředníci, pokud se elektronicky podepisují v rámci své úřední činnosti. Ale samozřejmě jej mohou používat i všichni ostatní.

Pokud tedy máte kvalifikovaný prostředek (pro vytváření elektronických podpisů), je určitě vhodné jej využít jako úložiště pro soukromý klíč a pak moci vytvářet kvalifikované elektronické podpisy. Pokud ale žádný kvalifikovaný prostředek nemáte, můžete jako úložiště použít systémové úložiště vašeho operačního systému (např. Windows). Vystavený certifikát pak ale nebude mít nastaven příslušný příznak a vámi vytvářené elektronické podpisy budou jen uznávanými elektronickými podpisy (přesněji: zaručenými elektronickými podpisy, založenými na kvalifikovaném certifikátu).

A ještě jedno upozornění: pokud jako úložiště použijete ono systémové ve svém operačním systému, je toto úložiště vázáno na daný počítač a také daného uživatele. Takže až vám bude nový certifikát vygenerován, musíte ho instalovat na stejném počítači (a jako stejný uživatel) – právě proto, aby se použilo to úložiště, kde je onen soukromý klíč.

V případě služby Certifikát Online toto doporučení asi není až tak kritické, protože vše probíhá v reálném čase a nejspíše během toho nepřejdete na jiný počítač. Ale při tradičním způsobu žádání o certifikát (nikoli v reálném čase, ale s prodlevami kvůli osobní návštěvě) je dobré na to pamatovat. I na vhodnost zálohování oné „technické“ žádosti o nový certifikát, pro případ nenadálých událostí.