Možnost mít MojeID na úrovni záruky Vysoká je jednou ze zásadních vlastností, která tuto službu odlišuje od ostatních digitálních identit. Konkurencí jsou v tomto smyslu pouze čipová karta Starcos od I.CA a čipová karta občanského průkazu. Obě nicméně vyžadují čtečku karet a instalaci obslužného programu do vašeho počítače nebo telefonu. V MojeID máte místo čipové karty jednoduchý USB bezpečností klíč, nepotřebujete žádnou čtečku a ani nemusíte do počítače nic dalšího instalovat. Máme jasného vítěze, že? V nabídce podporovaných USB bezpečnostních klíčů byl dlouho dobu pouze klíč IdemKey od tchajwanského výrobce GoTrust. Toto se nyní mění a MojeID přidává podporu pro vybrané modely z dílny švédské společnosti Yubico. Zároveň se průběžně zvyšuje počet služeb, kde se bez úrovně záruky Vysoká neobejdete a MojeID vám tedy může pomoci. Novinkou je možnost online vystavení kvalifikovaného certifikátu od Postsignum.
Když v roce 2021 služba MojeID získala akreditaci pro úroveň záruky Vysoká, podmínky dohodnuté s Ministerstvem vnitra zahrnovaly použití bezpečnostního klíče certifikovaného FIDO Alliancí na úroveň L2 a zároveň mající dostatečně vysokou certifikaci bezpečnostního čipu použitého v klíči. V té době byl na trhu jediný klíč, který tyto podmínky splňoval a to IdemKey od GoTrust. Loni nicméně došlo k tomu, že FIDO certifikaci L2 získaly také některé klíče firmy Yubico. Jak je vidět z oficiálního seznamu FIDO Alliance, jedná se o dvě produktové řady a to Yubikey FIPS a Security Key. Tyto klíče používají čip Infineon SLE 78, který má dostatečnou certifikaci CC EAL6+. Následně bylo nutné informovat agenturu DIA o tom, že podmínky akreditace splňují nové klíče, a pak již bylo možné přidat tyto klíče do interního seznamu klíčů pro úroveň záruky Vysoká. Jakýkoliv z těchto klíčů je možné objednat přes e-shop českého distributora Three s.r.o. Yubico Security Key je také k dispozici na e-shopu Alza.cz ve variantě s USB-A nebo USB-C.
Za poslední rok se také významně posunula k lepšímu podpora bezpečnostních klíčů ve webových prohlížečích. Dlouho dobu měli smůlu uživatelé, kteří chtěli tuto nejvyšší úroveň záruky využívat na prohlížeči Firefox v operačních systémech Linux a MacOS, kde chyběla možnost zadat PIN. To již neplatí a při používání bezpečnostního klíče není nutné Firefox opouštět. Jediné co Firefox zatím neumí, je nastavení PIN na klíči, což je podmínka pro jeho aktivaci pro úroveň záruky Vysoká. K tomu je stále třeba použít buď Chrome, nebo interního správce klíčů v rámci Windows Hello. U nových klíčů od Yubico je možné (ale nikoliv nutné) používat jejich vlastní aplikaci pro správu klíčů.
K čemu je dobré mít digitální identitu na této nejvyšší úrovni záruky? Oproti klasické digitální identitě tak, jak jí dnes nabízejí například banky, garantuje tato úroveň mnohem vyšší bezpečnost. Tyto prostředky lépe chrání před útoky jako phishing, vishing a smishing, které jsou nyní hlavní zbraní internetových podvodníků. Proto jsou tyto prostředky také vyžadovány tam, kde je bezpečnost klíčová. V České republice je tato úroveň záruky například nutná, pokud si chcete otevřít účet u Ministerstva financí pro správu státních dluhopisů. Úroveň záruky Vysoká můžete využít také v online systému Notářské komory, pokud například chcete bez návštěvy notáře založit firmu. Zákon o právu na digitální službu nabízí možnost online legalizace elektronického podpisu, kdy předpovídá existenci systému státní správy, kam nahrajete např. ručně podepsaný dokument, identifikujete se právě prostředkem na nejvyšší úrovni záruky a výsledkem bude dokument, který bude ekvivalentem úředně ověřeného podpisu vyžadovaného v mnoha jednáních se státem. Tento systém bohužel zatím neexistuje. Stát nedávno spustil jeho variantu, kterou je možné provést osobně na CzechPOINTech. O této variantě se můžete dočíst v článcích Jiřího Peterky na serveru Lupa.cz. Snad se online varianty dočkáme již brzy.
Než se tak stane, je nutné ke stejnému účelu používat kvalifikované osobní certifikáty vydávané certifikačními autoritami. Pokud si takový certifikát přes portál občana uložíte ke svému záznamu v registru obyvatel, má jakýkoliv dokument podepsaný s využitím tohoto certifikátu váhu úředně ověřeného podpisu. Pionýrem v poskytování těchto certifikátů online s využitím digitální identity je certifikační autorita Postsignum, která svojí službu CertifikátOnline spustila před dvěma lety. Implementovala tak možnost danou evropským nařízením eIDAS, které ve svém článku 24 popisuje, za jakých podmínek je možné kvalifikovaný certifikát vzdáleně vydat. Při spuštění této služby splňoval podmínky pro využití digitální identity pro tyto účely pouze elektronický občanský průkaz. Po oficiální notifikaci MojeID dle nařízení eIDAS v polovině roku 2022 začalo tyto podmínky splňovat, alespoň podle nás, i MojeID. Bohužel zmiňovaný text nařízení eIDAS, a jeho interpretace, se následně stal předmětem dlouhých diskuzí mezi CZ.NIC, Ministerstvem vnitra a zejména Evropskou komisí. Podstatné je, že jsme se na jeho interpretaci nakonec shodli a nyní je již konečně možné pro online získání kvalifikovaného certifikátu v rámci služby CertifikátOnline využít také MojeID.
Celý proces je detailně popsán na stránkách služby. V tuto chvíli je omezen pouze na osobní certifikáty a není možné jej použít pro zaměstnanecké certifikáty. Začíná ověřením totožnosti pomocí MojeID. Je třeba použít MojeID účet pro fyzickou osobu ověřený na úroveň záruky Vysoká, tedy se zaregistrovaným odpovídajícím USB bezpečnostním klíčem a ověřený buď na CzechPOINTu nebo pomocí jiného prostředku na úrovni záruky Vysoká.
Dalším krokem je odsouhlasení smlouvy o vystavování certifikátu, případně vybrání smlouvy, podle které se bude certifikát vydávat. K dispozici jsou dvě varianty podle toho, zda-li certifikát pořizujete jako fyzická osoba podnikající nebo nepodnikající. Součástí smluvního svazku je také odsouhlasení, že vám bude vygenerován identifikátor MPSV. Odsouhlasení smlouvy proběhne přes SMS kód zaslaný na telefonní číslo.
Následuje vygenerování žádosti o certifikát. K tomu je možné použít tři cesty. Webový formulář přímo vyzývá k použití aplikace iSignum, která je ale bohužel pouze pro operační systém Windows. Alternativou (nezmíněna ve formuláři) je použít aplikaci iSignum v mobilním telefonu s OS Android. Výsledný certifikát se soukromým klíčem pak je možné exportovat a nahrát zpět do počítače. Poslední možností je vytvořit si žádost o certifikát manuálně třeba pomocí OpenSSL a nahrát jí do systému pomocí speciálního webu. Ve všech třech případech je výstupem generováni číslo žádosti, které vložíte do formuláře.
Posledním krokem je zaplacení, kdy je možné využít jak platební kartu, tak online platbu, kterou nabízí většina českých bank. Po zaplacení je během chvilky vystaven požadovaný certifikát.
Jak je zmíněno výše, abyste vaše podpisy s využitím tohoto certifikátu měly váhu úředně ověřeného podpisu, nezapomeňte si certifikát nahrát na příslušném místě v portálu občana. Do portálu občana se samo sebou přihlásíte opět s MojeID.
MojeID na úroveň záruky Vysoká nemá využití jenom v českém prostoru. Díky notifikaci je možné tyto prostředky využívat i přeshraničně. Některé Evropské země jsou v tomto smyslu přísnější než my a například Rakousko pro přístup k jejich státnímu portálu vyžaduje pouze prostředky s úrovní záruky Vysoká. Již brzy nás v Evropském digitálním prostoru čeká velká revoluce v podobě Evropské peněženky digitální identity. Více o ní se můžete dozvědět například v prezentaci věnované tomuto tématu na LinuxDays. Podstatné je, že pokud budete mít k dispozici digitální identitu na úrovni záruky Vysoká jako třeba právě MojeID, nebudete pro aktivaci této peněženky muset nikam chodit a provedete ji z pohodlí domova. Finální legislativa se bude schvalovat v Evropském parlamentu teprve v příštích týdnech, ale s pravděpodobností hraničící s jistotou bude v případě aktivace pomocí prostředku s nižší úrovní záruky vyžadováno dodatečné ověření totožnosti, například někam zajít nebo provést jiný odpovídající úkon. Aktivujte si tedy MojeID na úrovni záruky Vysoká už teď, využijte jeho potenciál a buďte připraveni na budoucnost :-).