Jak s mojeID zvýšit účast v nadcházejících volbách?

Volby do Poslanecké sněmovny, naplánované na 8. a 9. října, se nezadržitelně blíží, a jak už je zvykem, mnoho lidí řeší, jak to udělat, když se v tyto dny zrovna nebudou nacházet na místě svého trvalého bydliště. Někteří to bohužel vzdají a rozhodnou se na demokratickém procesu výběru svých zástupců nepodílet. Ti zodpovědnější využijí možnosti vyřídit si voličský průkaz a hlasovat tak na tom místě, kde se například zrovna nacházejí. Jenže jak to zařídit? Kde začít?

Služba mojeID v číslech a grafech

Na začátku června zorganizoval CZ.NIC konferenci věnovanou digitální identitě a zejména službě mojeID. Prezentace i videa jsou k dispozici na stránkách konference. Ve svojí prezentaci jsem se věnoval mimo jiné statistikám týkající se mojeID a slíbil jsem, že některá čísla budeme zveřejňovat automaticky. Za tímto účelem spouštíme dedikovanou stránku věnovanou právě statistikám souvisejícím se službou mojeID. Odkaz na ní je také přímo na hlavní stránce služby. Rádi bychom tím podpořili obecnou snahu sdružení CZ.NIC o transparentnost. V tomto článku bych některá z čísel uvedených v těchto statistikách rád okomentoval a přidal možná ještě pár dalších zajímavých údajů.

Využití FIDO klíče GoTrust IdemKey pro digitální podpis (…např. DNSSEC)

Před několika měsíci došlo ke spuštění možnosti využití mojeID pro přístup ke službám státní správy pomocí technologie FIDO. Velká část uživatelů může za tímto účelem použít FIDO klíč integrovaný do svého operačního systému, jako např. Windows Hello případně Android klíč na telefonu nebo tabletu. Jednoznačně se jedná o nejpohodlnější cestu k elektronickým službám státu – bez nutnosti pořizovat jakékoliv zařízení (čtečky, karty) nebo instalovat něco dalšího do svých zařízení (obslužný software, potvrzovací mobilní aplikace). Pro uživatele, kteří  možnost využití systémového klíče nemají, jsme chtěli nabídnout dostupnou alternativu v podobě externího klíče použitelného přes USB nebo NFC rozhraní, a to jak v počítači tak v telefonu. K tomuto účelu byl zvolen FIDO klíč GoTrust IdemKey, který si nyní každý může velice jednoduše pořídit. Tento klíč totiž není jen FIDO klíč určený pro potvrzení autentizačních transakcí, ale může také plnit roli čipové karty pro digitální podepisování dokumentů podobně jako např. elektronický občanský průkaz, nebo může fungovat jako HSM (Hardware Security Modul) pro podepisování DNS záznamů technologií DNSSEC.

Některé kontroverzní prvky novely zákonů zřizujících bankovní identitu

Novelou zákona č. 21/1992 Sb., o bankách (ZoB) a zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (ZoAML) schválenou letos na začátku roku si státní správa slibuje rozšíření možnosti elektronické identifikace občanů České republiky ke službám státu. Její schvalování nebylo bez problémů, ať už vzhledem k poměrně razantnímu přepsání při průchodu Poslaneckou sněmovnou tak i rozpačitým zakončením v Senátu. V Senátu tuto novelu jeden výbor, kterému bylo projednání návrhu přiděleno, schválil a druhý (ne) překvapivě zamítl. Při projednávání na plénu pak zazněla od některých senátorů ostrá slova poukazující na zbrklost v projednávání důležitého bodu a nakonec Senát k novele nepřijal žádné usnesení, čímž ji nicméně umožnil přijetí. Možná i tyto procesní peripetie nám dovolují označit tuto novelu jako nestandardní až kontroverzní. Stejně jako její obsah.

ID4me – jednotná identifikace a domény na německý způsob

V sídle německého doménového registru DENIC se 14. srpna sešlo přes 50 zástupců internetových společností, aby se zúčastnili prvního ročníku ID4me summitu. ID4me je aktuální název projektu, který pod názvem DomainID vznikl již loni, a zmínil jsem ho krátce v prezentaci na naší loňské konferenci IT 17.2. Za jeho vznikem stojí právě správce domény .DE spolu s významným německým registrátorem 1&1 a společností Open-Xchange, provozovatelem internetových kolaborativních nástrojů. Společností, které se aktivně hlásí jako podporovatelé, je ale více a nechybí mezi nimi například britský doménový registr Nominet. Cíle, které si projekt stanovil, jsou nám poměrně známé – redukovat množství hesel a registrací při pohybu uživatelů po Internetu. Podobně jako CZ.NIC s projektem mojeID, došli autoři ID4me k závěru, že doménový svět je právě tím místem, kde je možné pokusit se těchto cílů dosáhnout.

Přechod na eliptické křivky v doméně CZ

Historie nasazení technologie DNSSEC v doméně CZ je již víc než desetiletá a v jejím průběhu došlo k několika důležitým změnám. Vezměme například rok 2010, který byl z pohledu nasazení DNSSEC přímo nabitý událostmi. V první řadě proběhlo v červenci podepsání kořenové zóny a hned vzápětí také vůbec první rotace KSK klíče se změnou algoritmu mezi doménami nejvyšší úrovně, kterou jsme v doméně CZ provedli v srpnu. Po uplynutí osmi let si tento „double“ letos zopakujeme, jen v opačném pořadí. Na říjen je naplánována odložená první rotace KSK klíče kořenového zóny (bez změny algoritmu). No a v červnu provedeme v CZ doméně již avizovanou rotaci KSK klíče, opět se změnou algoritmu. Tentokrát ale jako první správci domény nejvyšší úrovně použijeme algoritmus ECDSA založený na eliptických křivkách.

Statická registrace pro poskytovatele služeb využívající OpenID Connect

Autentizační protokol OpenID Connect, který mohou již dva roky používat poskytovatelé služeb implementující přihlášení přes mojeID, přináší nejen celkové zjednodušení implementace, ale také vyšší úroveň zabezpečení. Starší protokol OpenID 2.0 využíval pro ověření návratové adresy tzv. XRDS dokument, který poskytovatel na svých stránkách zveřejňuje a návratovou adresu do něj vyplní. Poskytovatel identity (např. mojeID) si pak před přesměrováním uživatele na návratovou adresu tento dokument stáhne a ověří její správnost. Vlastní protokol ale toto ověření nevynucuje. Nevynucuje ani HTTPS spojení při stahování zmíněného dokumentu ani zabezpečení DNSSEC, a tedy nechává bezpečnost na libovůli poskytovatele služby. OpenID Connect na to jde úplně obráceně. Programátoři, kteří implementují do systémů poskytovatelů služeb přihlášení přes mojeID pomocí tohoto nového protokolu, se v tomto blogpostu dozví, jakou změnu jsme pro ně připravili.

Online validace mojeID pomocí datové schránky fyzické osoby

Validace mojeID účtu znamená fyzické ověření totožnosti uživatele, které provádíme buď přímo u nás v CZ.NIC nebo zprostředkovaně na validačních místech a na místech, kde probíhá notářské ověření. V průběhu loňského roku jsme začali také akceptovat žádost o validaci doručenou datovou schránkou se zapnutou identifikací odesílatele. Tento způsob se ukázal ve srovnání s ostatními metodami velice populární a tak jsme se rozhodli jít ještě dál a umožnit držitelům datových schránek plnou online validaci tak, aby se pro její dokončení stačilo přihlásit do systému datových schránek a potvrdit předání údajů.

Druhá fáze automatizované správy DNSSEC klíčů

Na červnové konferenci IT 17 jsme informovali o spuštění nového způsobu správy DNSSEC klíčů v registru domény CZ. Jak je výstižně popsáno v blogpostu Ondřeje Filipa, naším cílem je co nejvíce minimalizovat administrativu spojenou se zavedením DNSSEC pro držitele CZ domén. S využitím nového způsobu správy DNSSEC klíčů stačí, aby správce DNS při použití správného nástroje pouze zapnul DNSSEC, nastavil jeho parametry a o nic víc se nemusí starat. Při startu projektu jsme rozdělili domény do tří skupin – na domény bez DNSSEC, na domény, které jsme novým způsobem převedli do automatizované správy, a na domény, které již DNSSEC nastaven měly.  Na konferenci jsme oznámili spuštění podpory automatizované správy DNSSEC klíčů pro první dvě skupiny domén s tím, že třetí skupinu zapojíme do projektu později. Dnes tedy plníme tento slib a spouštíme druhou fázi se zapojením také zmíněné třetí skupiny domén.

Nové přírůstky do rodiny uživatelů registračního systému FRED

Náš open source registrační systém FRED se v loňském roce uchytil v Togu, Argentině a Malawi. Zejména Argentina jakožto osmá největší země světa nás hodně potěšila. Argentina je tedy nyní největší doménový registr, který systém FRED kromě nás používá. Jelikož máme informace ze zemí, které náš systém již delší čas testují, bylo pro nás celkem překvapení, když se na začátku letošního roku ozvali z Macaa, že bez problémů zvládli instalaci, migraci a již brzy plánují produkční provoz. Registr domény .MO je tedy první asijská destinace našeho produktu. Krátce poté jsme se dozvěděli o dalším registru v Africe, který zvládl přechod na FRED. Je jím malá země Lesotho používající doménu .LS. Podívejme se na tyto nové přírůstky do komunity uživatelů systému FRED podrobněji.