Služba mojeID vstoupila do Evropy

V březnovém blogpostu jsem popisoval, jak probíhal proces notifikace (oznámení) systému elektronické identifikace mojeID v rámci nařízení eIDAS. Zmiňoval jsem tam také, že k plnému produkčnímu spuštění chybí dokončit ještě několik kroků. Jsem rád, že všechny zbývající kroky máme za sebou a mojeID se tak stalo prvním českým nestátním autentizačním prostředkem použitelným díky nařízení eIDAS v celé Evropě. S využitím mojeID je tedy nově možné se přihlašovat např. na daňové portály Slovenska, Belgie nebo Švédska, portál pro sociální zabezpečení Nizozemí, množství portálů evropských institucí nebo portálů pro správu domény Estonska nebo Dánska.

MojeID schváleno pro přeshraniční autentizaci v rámci nařízení eIDAS

V pondělí 21. února došlo k významnému posunu v procesu uznání služby mojeID pro přeshraniční přihlašování podle nařízení eIDAS. Na zasedání pracovní skupiny eIDAS Cooperation Network bylo schváleno rozhodnutí, které umožní uživatelům služby mojeID použít jí pro přihlášení na řadě zahraničních on-line služeb. Toto rozhodnutí je veřejné a každý se může přesvědčit, jaké jsou stanovené podmínky. Prostředek na úroveň záruky „vysoká“ prošel bez problémů. U prostředků na úroveň záruky „značná“ bude nutná drobná úprava.

Jak s mojeID zvýšit účast v nadcházejících volbách?

Volby do Poslanecké sněmovny, naplánované na 8. a 9. října, se nezadržitelně blíží, a jak už je zvykem, mnoho lidí řeší, jak to udělat, když se v tyto dny zrovna nebudou nacházet na místě svého trvalého bydliště. Někteří to bohužel vzdají a rozhodnou se na demokratickém procesu výběru svých zástupců nepodílet. Ti zodpovědnější využijí možnosti vyřídit si voličský průkaz a hlasovat tak na tom místě, kde se například zrovna nacházejí. Jenže jak to zařídit? Kde začít?

Služba mojeID v číslech a grafech

Na začátku června zorganizoval CZ.NIC konferenci věnovanou digitální identitě a zejména službě mojeID. Prezentace i videa jsou k dispozici na stránkách konference. Ve svojí prezentaci jsem se věnoval mimo jiné statistikám týkající se mojeID a slíbil jsem, že některá čísla budeme zveřejňovat automaticky. Za tímto účelem spouštíme dedikovanou stránku věnovanou právě statistikám souvisejícím se službou mojeID. Odkaz na ní je také přímo na hlavní stránce služby. Rádi bychom tím podpořili obecnou snahu sdružení CZ.NIC o transparentnost. V tomto článku bych některá z čísel uvedených v těchto statistikách rád okomentoval a přidal možná ještě pár dalších zajímavých údajů.

Využití FIDO klíče GoTrust IdemKey pro digitální podpis (…např. DNSSEC)

Před několika měsíci došlo ke spuštění možnosti využití mojeID pro přístup ke službám státní správy pomocí technologie FIDO. Velká část uživatelů může za tímto účelem použít FIDO klíč integrovaný do svého operačního systému, jako např. Windows Hello případně Android klíč na telefonu nebo tabletu. Jednoznačně se jedná o nejpohodlnější cestu k elektronickým službám státu – bez nutnosti pořizovat jakékoliv zařízení (čtečky, karty) nebo instalovat něco dalšího do svých zařízení (obslužný software, potvrzovací mobilní aplikace). Pro uživatele, kteří  možnost využití systémového klíče nemají, jsme chtěli nabídnout dostupnou alternativu v podobě externího klíče použitelného přes USB nebo NFC rozhraní, a to jak v počítači tak v telefonu. K tomuto účelu byl zvolen FIDO klíč GoTrust IdemKey, který si nyní každý může velice jednoduše pořídit. Tento klíč totiž není jen FIDO klíč určený pro potvrzení autentizačních transakcí, ale může také plnit roli čipové karty pro digitální podepisování dokumentů podobně jako např. elektronický občanský průkaz, nebo může fungovat jako HSM (Hardware Security Modul) pro podepisování DNS záznamů technologií DNSSEC.

Některé kontroverzní prvky novely zákonů zřizujících bankovní identitu

Novelou zákona č. 21/1992 Sb., o bankách (ZoB) a zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (ZoAML) schválenou letos na začátku roku si státní správa slibuje rozšíření možnosti elektronické identifikace občanů České republiky ke službám státu. Její schvalování nebylo bez problémů, ať už vzhledem k poměrně razantnímu přepsání při průchodu Poslaneckou sněmovnou tak i rozpačitým zakončením v Senátu. V Senátu tuto novelu jeden výbor, kterému bylo projednání návrhu přiděleno, schválil a druhý (ne) překvapivě zamítl. Při projednávání na plénu pak zazněla od některých senátorů ostrá slova poukazující na zbrklost v projednávání důležitého bodu a nakonec Senát k novele nepřijal žádné usnesení, čímž ji nicméně umožnil přijetí. Možná i tyto procesní peripetie nám dovolují označit tuto novelu jako nestandardní až kontroverzní. Stejně jako její obsah.

ID4me – jednotná identifikace a domény na německý způsob

V sídle německého doménového registru DENIC se 14. srpna sešlo přes 50 zástupců internetových společností, aby se zúčastnili prvního ročníku ID4me summitu. ID4me je aktuální název projektu, který pod názvem DomainID vznikl již loni, a zmínil jsem ho krátce v prezentaci na naší loňské konferenci IT 17.2. Za jeho vznikem stojí právě správce domény .DE spolu s významným německým registrátorem 1&1 a společností Open-Xchange, provozovatelem internetových kolaborativních nástrojů. Společností, které se aktivně hlásí jako podporovatelé, je ale více a nechybí mezi nimi například britský doménový registr Nominet. Cíle, které si projekt stanovil, jsou nám poměrně známé – redukovat množství hesel a registrací při pohybu uživatelů po Internetu. Podobně jako CZ.NIC s projektem mojeID, došli autoři ID4me k závěru, že doménový svět je právě tím místem, kde je možné pokusit se těchto cílů dosáhnout.

Přechod na eliptické křivky v doméně CZ

Historie nasazení technologie DNSSEC v doméně CZ je již víc než desetiletá a v jejím průběhu došlo k několika důležitým změnám. Vezměme například rok 2010, který byl z pohledu nasazení DNSSEC přímo nabitý událostmi. V první řadě proběhlo v červenci podepsání kořenové zóny a hned vzápětí také vůbec první rotace KSK klíče se změnou algoritmu mezi doménami nejvyšší úrovně, kterou jsme v doméně CZ provedli v srpnu. Po uplynutí osmi let si tento „double“ letos zopakujeme, jen v opačném pořadí. Na říjen je naplánována odložená první rotace KSK klíče kořenového zóny (bez změny algoritmu). No a v červnu provedeme v CZ doméně již avizovanou rotaci KSK klíče, opět se změnou algoritmu. Tentokrát ale jako první správci domény nejvyšší úrovně použijeme algoritmus ECDSA založený na eliptických křivkách.

Statická registrace pro poskytovatele služeb využívající OpenID Connect

Autentizační protokol OpenID Connect, který mohou již dva roky používat poskytovatelé služeb implementující přihlášení přes mojeID, přináší nejen celkové zjednodušení implementace, ale také vyšší úroveň zabezpečení. Starší protokol OpenID 2.0 využíval pro ověření návratové adresy tzv. XRDS dokument, který poskytovatel na svých stránkách zveřejňuje a návratovou adresu do něj vyplní. Poskytovatel identity (např. mojeID) si pak před přesměrováním uživatele na návratovou adresu tento dokument stáhne a ověří její správnost. Vlastní protokol ale toto ověření nevynucuje. Nevynucuje ani HTTPS spojení při stahování zmíněného dokumentu ani zabezpečení DNSSEC, a tedy nechává bezpečnost na libovůli poskytovatele služby. OpenID Connect na to jde úplně obráceně. Programátoři, kteří implementují do systémů poskytovatelů služeb přihlášení přes mojeID pomocí tohoto nového protokolu, se v tomto blogpostu dozví, jakou změnu jsme pro ně připravili.

Online validace mojeID pomocí datové schránky fyzické osoby

Validace mojeID účtu znamená fyzické ověření totožnosti uživatele, které provádíme buď přímo u nás v CZ.NIC nebo zprostředkovaně na validačních místech a na místech, kde probíhá notářské ověření. V průběhu loňského roku jsme začali také akceptovat žádost o validaci doručenou datovou schránkou se zapnutou identifikací odesílatele. Tento způsob se ukázal ve srovnání s ostatními metodami velice populární a tak jsme se rozhodli jít ještě dál a umožnit držitelům datových schránek plnou online validaci tak, aby se pro její dokončení stačilo přihlásit do systému datových schránek a potvrdit předání údajů.