Na konci září byl ukončen jeden z tzv. rozsáhlých pilotních projektů Evropské komise – projekt STORK 2.0 (Secure idenTity acrOss boRders linKed 2.0), jehož cílem bylo prakticky vyzkoušet možnosti přeshraničního uznávání elektronických identit, tedy věc, která by měla být dle nařízení eIDAS povinně zavedena od září 2018. Za Českou republiku se na realizaci tohoto projektu podílelo Ministerstvo vnitra a CZ.NIC se službou mojeID, která byla vybrána jako národní identita.
MojeID mluví více jazyky, naučilo se SAML a OpenID Connect
Služba mojeID byla od svého vzniku v roce 2010 úzce spjata s autentizačním protokolem OpenID 2.0. Tento protokol byl pro nás v té době nejlepší volbou, protože kombinoval jednoduchost implementace a dostupnost knihoven pro různé programovací jazyky. OpenID 2.0 ale není jediný autentizační protokol. O některých dalších, jako například o protokolu SAML nebo OpenID Connect, jsem psal i na našem blogu. Zejména protokolu OpenID Connect, jehož standardizace byla dokončena na začátku loňského roku, věští analytikové slibnou budoucnost. No a dobrou zprávou je, že mojeID již není „jednojazyčné“, ale dokáže se domluvit s poskytovateli služeb i těmito dalšími protokoly.
Nejvyspělejší e-Government mají v Jižní Korei, ČR stále více zaostává
Podle pravidelné hodnotící zprávy OSN zaměřené na e-Government je světovou jedničkou Jižní Korea. Česká republika naopak stále více zaostává. V letošním roce jsme si oproti roku 2012 pohoršili o celých sedm příček a s hodnotou tzv. e-Government Readiness Indexu 0,607 se naše země umístila až na 53. místě. To je dosud historicky nejhorší umístění, kdy jsme se hodnotou indexu dostali o deset let zpátky (viz. Graf).
Evropa má novou legislativu: ovlivní e-podpis, datové schránky i serverové certifikáty
Na konci července Rada ministrů EU schválila novou legislativu, pro kterou se za téměř tři roky příprav vžil název eIDAS. Nařízení o elektronické identifikaci a důvěryhodných službách pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES, jak zní celý oficiální název eIDAS, bylo před pár dny publikováno v Úředním věstníku a tak se můžeme podívat na to, jaké zásadní změny přináší a jak se dotkne elektronických služeb a Internetu v České republice.
MojeID má nakročeno do Evropy
S jednoduchým a pohodlným přihlášením přes mojeID se můžeme stále častěji setkat na nejrůznějších webech a portálech. Po elektronických obchodech, knihovnách a komunitních serverech se mojeID začalo zabydlovat rovněž na městech a obcích. Nyní udělalo významný krok k tomu, aby se stalo českým národním eID, který budete moci využívat v Evropě.
Brusel mírní návrh na regulaci SSL certifikátů
Je tomu již více než rok, co jsem zde psal o snaze Evropské komise regulovat pod hlavičkou revize rámce pro elektronické podpisy a eID (tzv. eIDAS) rovněž oblast certifikátů pro webové stránky, tzv. SSL certifikátů. O tom, že projednávání návrhu tohoto nařízení bude běh na dlouhou trať, svědčí mimo jiné to, že i po roce a půl od jeho představení jsme stále daleko od jeho schválení. To se v ideálním případě očekává až před volbami do Evropského parlamentu, tj. v květnu 2014, s tím, že v platnost by tato, pro členské státy přímo účinná, legislativa vstoupila v platnost 1. ledna 2015.
V rámci projednávání návrhu na půdě Rady byla Česká republika mezi těmi, kteří hned na úvod projednávání nesouhlasili s rozšířením současné regulace rovněž o SSL certifikáty s tím, že postupně se k nám přidaly další státy. V současné době litevské předsednictví dokonce navrhuje vypuštění textu, jisté zmírnění požaduje rovněž Evropský parlament, konkrétně výbor ITRE (Výbor pro průmyslu, dopravu, výzkum a energetiku). Ten na svém říjnovém zasedání navrhl (viz tučný text) zohlednit rovněž zapojení internetové komunity (skrývající se v euro-slangu pod pojmem stakeholders) a vypracování analýzy dopadu.
|
Article 37 Requirements for qualified certificates for website authentication
|
Ponechme nyní stranou, zda by evropská legislativa měla obsahovat spojení jako „nejlépe“ (preferably) a raději se zaměřme na zohlednění zájmu internetové komunity. Text totiž v tomto ohledu hovoří o jejím zapojení, na druhou stranu však Evropská komise „znovu vynalézá“ kolo, když se v příloze č. IV snaží definovat obsahové náležitosti SSL certifikátů. Na tomto místě by však měla být zohledněna práce IETF a již existující RFC (Request For Comments), které jsou v prostředí Internetu obdobou klasických standardů.
Zmiňovaným SSL certifikátům se věnuje zejm. RFC 5246 a RFC 3039, které definuje mj. obsah certifikátů, tj. tu samou věc, o kterou se Komise snaží v příloze IV. Na tuto skutečnost upozornil na svém říjnovém zasedání rovněž RIPE, který svoji pozici vyjádřil v dopise adresovaném Evropskému parlamentu.
V rámci nadcházejících jednání bude důležité, aby se členské státy za návrh Předsednictví postavily, při jednání s Evropský parlamentem i Komisí regulaci certifikátů jasně odmítly a podpořily tím principy správy Internetu i dosavadní práce na IETF.
Jiří Průša