Vlákno názorů k článku Digitální občanský průkaz v mobilu se blíží aneb Jak budou fungovat české eDoklady od LRA - Nejde o čistou náhradu plastové kartičky a nejde...

Nejde o čistou náhradu plastové kartičky a nejde jen o totožnost. OP je jen jedním z možných dokladů, který může být v mobilu uložený a nikde v návrhu není žádný konkrétní doklad zmiňován.

Celkem zajímavou možností je předložit jen nezbytnou informaci např. stát potvrzuje, že držitel stejnopisu je starší 18 let. Žádné další informace.

Doufám, že jednoho dne si s použitím nějaké takovéhle aplikace zaplatím u samoobslužné pokladny i nákup s lahví vína bez toho, aby se mi musela věnovat obsluha.

Já bych se na soudnost těch lidí nespoléhal (vzhledem k dosavadním zkušenostem s digitální agendou). Vazba na zařízení jen komplikuje situaci v případe ztráty (rozbití) mobilu.
A znamená to také nucení občanů k tomu, aby si dávali do mobilu cosi, co je potenciálně vysoce zneužitelné. V naprosté většině případů s daleko horšími důsledky než "průměrná" ztráta (odcizení) mobilu nyní.

Tyto detaily technického řešení Agentura (prozatím?) nezveřejnila. Předpokládejme, že návrhu se v Agentuře soudní lidé a použijí technologie, které podobná rizika řeší.

Podle vyjádření zástupců Agentury budou nějakým způsobem využívány technologie budoucí Evropské peněženky digitální identity (EUDIW). Pro EUDIW je navrhováno využití technologie Verifiable Credentials (VC) a souvisejících standardů pro vydávání (Open ID for Verifiable Credentials Issuance, Open ID for Verifiable Presentati*n).

EUDIW zjednodušeně to funguje tak, že peněženka (aplikace eDoklady) je v rámci inicializace vybavena privátním klíčem, který leží v HW úložišti (ověřováno pomocí atestačních certifikátů). Vydavatel vydává VC (stejnopis) pro konkrétní peněženku (v podepsané/pečetěné části credential je zahrnut veřejný klíč peněženky). Při prezentaci VC je předložena nejen prostá kopie VC, ale obsahuje také výzvu a/nebo nonce (obrana proti replay) a podpis vytvořený klíčem peněženky (uložen v HW). Pro použití klíče peněženky je vynucováno odemknutí úložiště použitím zámku obrazovky (pin, lokální biometrie).

Takto je zajištěno, že vydané VC (stejnopisy) nejsou prezentovatelné z jiného zařízení, než pro které byly vydány.

Jestli tomu rozumím dobře, tak ověřující získá údaje držitele včetně pečeti prokazující jejich správnost. Toto stačí k prokázání totožnosti. Co ověřujícímu zabrání si tyto údaje uložit a v rámci jejich platnosti je zneužil? Může je zaslat je jinému ověřujícímu a vydávat se tak za držitele.
Bylo by potřeba, aby se držitel vůči ověřujícímu nějakým způsobem autentizoval, o tom se ale v článku ani v návrhu zákona nepíše.

Jde o náhradu „plastové kartičky“, tj. fyzického dokladu totožnosti (ať už je to pas nebo občanský průkaz). Do budoucna by se tam mohly přidávat i jiné doklady (např. řidičák, průkaz OZP – ponechme teď stranou, že řidičák už nebude v ČR potřeba).

Ano, omezení dostupných informací (např. věk, zletilost, svéprávnost) je zajímavá možnost, která by ovšem byla teoreticky řešitelná i s fyzickými kartičkami – akorát byste těch občanek měl víc a vybral byste tu, kde jsou jen požadované údaje.

Doufám, že jednoho dne si s použitím nějaké takovéhle aplikace zaplatím u samoobslužné pokladny i nákup s lahví vína bez toho, aby se mi musela věnovat obsluha.
Ne, to s touhle aplikací nikdy nepůjde (pokud se do ní neintegruje úplně jiná služba). Tahle aplikace je náhrada fyzického dokladu, tj. musí tam být někdo, kdo ověří identitu oproti dokladu.

To, co byste chtěl vy, je autentizace – a to řeší NIA. Která je ovšem zatím dostupná jen pro veřejnou správu. Kdyby byla rozšířena i pro soukromý sektor, mohlo by to fungovat tak, že se přihlásíte přes NIA (pomocí MojeID, BankID apod.) na svém mobilu k nějaké aplikaci té prodejny, která by si na základě přihlášení ověřila váš věk a třeba pomocí QR kódu naskenovaného vaším mobilem z té pokladny byste ten nákup alkoholu odblokoval.

Každopádně jsou to dvě zcela odlišné služby a nemůžete je míchat dohromady jenom proto, že v tom vystupuje mobil.

V prvním případě (elektronická občanka) potřebuje důvěryhodnou aplikaci ten, kdo ověřuje totožnost, a vy mu jen potřebujete nějak doručit do té aplikace data – navrženo je to QR kódem zobrazeným v mobilu, ale ten QR kód by klidně mohl být vytištěný. Ten, kdo ověřuje totožnost, pak musí na základě zobrazených údajů (především fotky) posoudit, zda mu předkládáte opravdu svůj doklad totožnosti.

Ve druhém případě (autentizace, NIA) máte naopak důvěryhodnou aplikaci vy a víte, že jí můžete sdělit tajné údaje (PIN, otisk prstu apod.). Děláte to ve svém prostředí (na svém počítači či mobilu), kterému důvěřujete. Tím, že zadáte ty tajné údaje, potvrzujete, že jste to vy, takže protistrana už to nemusí ověřovat podle fotky; dokonce se to klidně může udělat na dálku. Ale je tam to omezení, že to musíte dělat na svém zařízení, kterému důvěřujete.

Zkombinovat to nejde, protože např. policista nemůže při kontrole totožnosti důvěřovat tomu, že to, co mu ukazujete na svém mobilu, je skutečně nějaká důvěryhodná státní aplikace. Můžete mít opravenou aplikaci nebo upravený mobil – proto v tomhle případě mobil slouží jenom jako nosič dat. Naopak v tom obchodě nemůžete zadávat svůj PIN k BankID nebo otisk prstu k MojeID do pokladny, protože vy nemůžete vědět, co s tím ta pokladna udělá a zda na pozadí neposílá vaším jménem pokyn do banky, že se mají všechny peníze z vašeho účtu převést na účet obchodu.

Jde o náhradu plastové kartičky. Takže doložení totožnosti bude v obou případech vypadat stejně a zabezpečení je stejné jako zabezpečení proti tomu, aby se někdo prokazoval cizí plastovou kartičkou. Ten, kdo totožnost ověřuje, uvidí fotku a osobní údaje, a na základě toho posoudí, zda doklad totožnosti opravdu patří té osobě, která ho předkládá.

Jste poněkud ve sporu s panem Jirsákem, který naopak horuje pro zahrnutí všech občanů.
Toto vaše tvrzení jistě snadno doložíte odkazem na některý můj komentář.

Líto by vám mělo být spíš toho, že nerozumíte ani velmi jednoduchým českým větám. Konstatování, že je něco dostupné pro všechny, neznamená ani že bych horoval, že to má být pro všechny, ani to neznamená, že to všichni používají. Když napíšu, že si všichni mohou koupit rohlík, neznamená ani že všichni mají rohlík, ani že horuju pro rohlíky.

Mimochodem, i experiment může být pro všechny.

Nikde jsem neviděl ani zmínku o tom, že by byl někdo nucen používat digitální doklad. Naopak, ve všech zdrojích je zdůrazněna dobrovolnost.

Ono by to mělo jít u té samoobslužné pokladny už dneska, poměrně jednoduše, všechny tyhle obchody co je mají,, rovněž vydávají vlastní zákaznické aplikace, kde to datum narození je rovněž uvedeno.

Jak se zabrání tomu, aby aplikaci "na rodiče" měl ve smartphonu i patnáctiletý syn?

Jste poněkud ve sporu s panem Jirsákem, který naopak horuje pro zahrnutí všech občanů.
Druhá věc je, že mnohé průšvihy začaly tím, že to na začátku bylo "dobrovolné". I EU řadu nesmyslů, zaváděných údajně dobrovolně, mění časem na povinnost.

V případě využití aplikace DoKapsy navíc nakupujete anonymně. Jen v případě incidentu si pověřená osoba provozovatele může vyžádat kontaktní údaje.

Především: BankID je určené pro banku - a použití mimo (NIA...) je jen taková z nouze ctnost při neexistenci jiného vhodného řešení.
Já osobně mám použití mimo banku vypnuté - byť to znamená, že co pár měsíců musím potvrdit, že to navenek používat opravdu nechci.

Ještě bych doplnil, že je to navázané na BankID a ne na NIA (protože na NIA se soukromý subjekt v tuto chvíli navázat nemůže (pokud nemá dost ostré lokty)). Tj. takto předaná identita je soukromoprávně garantovaná bankou, ale není to identita, kterou by automaticky uznal stát. Pokud by došlo ke sporu, tak asi banka dostatečně jasně prokáže, že jste to byl vy. Cílem je, aby to byla identita, kterou automaticky musí uznat každý stát EU. Jako je to s kvalifikovanými elektronickými podpisy – ty také musí uznávat všichni v jurisdikci EU, čímž se podstatně liší od běžných elektronických podpisů založených třeba na certifikátu vydaném bankou, kterým může důvěřovat banka a spřátelené instituce, ale kdokoli jiný může říct, že ho takový podpis nezajímá.

Pak mě prosím omluvte, špatně jsem vás pochopil.

Jde o náhradu „plastové kartičky“, tj. fyzického dokladu totožnosti (ať už je to pas nebo občanský průkaz). Do budoucna by se tam mohly přidávat i jiné doklady (např. řidičák, průkaz OZP – ponechme teď stranou, že řidičák už nebude v ČR potřeba).

Ano, v tuto chvíli je zákon koncipován tak, že jde o náhradu plastové kartičky a má být používána v prezenčním kontaktu.

Ano, omezení dostupných informací (např. věk, zletilost, svéprávnost) je zajímavá možnost, která by ovšem byla teoreticky řešitelná i s fyzickými kartičkami – akorát byste těch občanek měl víc a vybral byste tu, kde jsou jen požadované údaje.

V podobě, jak je navržen a v důvodové správě popsán eDoklad ano. V podobě a jak je popsán v ARF EU Wallet nikoli. A k EUDIW míří ta zmínka o "nějaké podobné aplikaci".

Pomocí protokolů pro selective disclsure je možné dynamicky zpřístupňovat jen vybrané části potvrzení atributů. Pravda je, že tahle část není ve standardech tak docela rozpracovaná a nejsnazší implementace je "rozkouskování" informací.

To, co byste chtěl vy, je autentizace – a to řeší NIA. Která je ovšem zatím dostupná jen pro veřejnou správu. Kdyby byla rozšířena i pro soukromý sektor, mohlo by to fungovat tak, že se přihlásíte přes NIA (pomocí MojeID, BankID apod.) na svém mobilu k nějaké aplikaci té prodejny, která by si na základě přihlášení ověřila váš věk a třeba pomocí QR kódu naskenovaného vaším mobilem z té pokladny byste ten nákup alkoholu odblokoval.

Ne, autentizace je přesně to, co nechci. To, že chci doložit, že je mi 18 neznamená, že někomu předložím svou kompletní identitu. Chci předložit důvěryhodným způsobem nějakou konkrétní informaci, která se prokazatelně váže k mé osobě. Shodou okolností jednou z těch informací může být moje identita a pak, pokud informace předložím dostatečně důvěryhodně, budu provádět autentizaci. Nebo to může být nějaká úplně jiná informace - zletilost, dospělost, přítup ke konkrétní VPN ... cokoli.

NIA, ať už použije libovolný způsob autentizace, je centrální službou pro ověření identity. To, kam nakukuje eDoklad a kam míří EU Wallet nabázi Self Sovereing Identity a připojených Verifiable Credentials, je jiný svět, kde identita a další informace jsou striktně v držení jejich majitele. Totožnost/identita je jedna z mnoha informací, které o sobě mohu chtít důvěryhodným způsobem sdělit. Současná architektura centralizovaného ověření identity je jen jednou z variant, jak problém důvěryhodného sdělení informace řešit (v případě NIA jen o identitě a pár souvisejících atributech). eDoklak (trochu) a EU Wallet (zcela) je způsob druhý, decentralizovaný, bez nutnosti zatahovat do procesu centrální službu. Pokud EUDIW uspěje, je pravděpodobné, že tahle centralizovaná varianta do budoucna vymizí nebo bude hrát jen marginální roli záložního způsobu obnovy identitní peněženky mimo jiné právě proto, že neumožňuje soukromoprávní užití.

Každopádně jsou to dvě zcela odlišné služby a nemůžete je míchat dohromady jenom proto, že v tom vystupuje mobil.

Je to jedna služba - důvěryhodného předání informací o držiteli. Lišit se může kontext a případ užití (prezenčně, na dálku, online, offline), ale pořád je to tatáž služba - předání informace tak, že se její příjemce může spolehnout na několik zásadních atributů: údaje nikdo nezměnil, údaje mají prokázaný původ, údaje předkládá jejich oprávněny držitel, předložení údajů je autentické.

Mobil je v tomto případě je nástroj, který má schopnosti eliminovat nutnost používat centralizované služby. Identita se z rukou centrální služby přesune do tohoto nástroje (pokud člověk bude chtít a bude věřit více OS mobilu, než centrálnímu státnímu/bankovnímu serveru) a pak jde o jednu jedinou službu - důvěryhodné předání libovolné informace o držiteli peněženky - jedno jestli identity nebo čehokoli jiného.

V prvním případě (elektronická občanka) potřebuje důvěryhodnou aplikaci ten, kdo ověřuje totožnost, a vy mu jen potřebujete nějak doručit do té aplikace data – navrženo je to QR kódem zobrazeným v mobilu, ale ten QR kód by klidně mohl být vytištěný. Ten, kdo ověřuje totožnost, pak musí na základě zobrazených údajů (především fotky) posoudit, zda mu předkládáte opravdu svůj doklad totožnosti.

Ve druhém případě (autentizace, NIA) máte naopak důvěryhodnou aplikaci vy a víte, že jí můžete sdělit tajné údaje (PIN, otisk prstu apod.). Děláte to ve svém prostředí (na svém počítači či mobilu), kterému důvěřujete. Tím, že zadáte ty tajné údaje, potvrzujete, že jste to vy, takže protistrana už to nemusí ověřovat podle fotky; dokonce se to klidně může udělat na dálku. Ale je tam to omezení, že to musíte dělat na svém zařízení, kterému důvěřujete.

Zkombinovat to nejde, protože např. policista nemůže při kontrole totožnosti důvěřovat tomu, že to, co mu ukazujete na svém mobilu, je skutečně nějaká důvěryhodná státní aplikace. Můžete mít opravenou aplikaci nebo upravený mobil – proto v tomhle případě mobil slouží jenom jako nosič dat. Naopak v tom obchodě nemůžete zadávat svůj PIN k BankID nebo otisk prstu k MojeID do pokladny, protože vy nemůžete vědět, co s tím ta pokladna udělá a zda na pozadí neposílá vaším jménem pokyn do banky, že se mají všechny peníze z vašeho účtu převést na účet obchodu.

Přesně jste popsal, jak bude fungovat identitní peněženka. Přesně tahle kombinace je žádoucí a tam míří EUDIW. Budete mít na svém mobilu a ve své moci (do té míry, do které věříte producentovi OS/HW mobilu) svou peněženku, které věříte pro zadání vašich credential (otisk, pin). Policista (nebo kdokoli jiný) bude mít svou variantu aplikace pro ověřování. Každý věří právě té své aplikaci a zbytek zařídí standardní komunikační protokoly a procesy akreditace těch aplikací. V době, kdy budete prokazovat vybrané údaje ze své peněženky, nemusí do procesu vstupovat třetí strana. Povídají si ty dvě akreditované aplikace standardním protokolem a důvěra je ustavena pomocí kryptografie na základě toho, co si obě aplikace načetly z rejstříků, které jsou součástí ekosystému a kde lze bez ohledu na konkrétní scénář ověření získat důvěryhodné kotvy pro ověření všech používaných kryptografických klíčů.

Policista bude důvěřovat pouze těm informacím, které jsou vydané orgány státu. Vy budete věřit tom, že vás "legitimuje" policista, protože vaše aplikace vám sdělí identitu, kterou předložila jeho aplikace.

Auto ve vlastnictví půjčovny bude věřit digitálnímu klíči uloženému v akreditované peněžence, který vydala do zákazníkovy peněženky půjčovna.

A co se týka zkopírování QR kódu, tak oblíbeném v době aplikace Tečka, tak to není díky navrhovaným protokolům možné (u EDIW - o eDokladech to není známo), protože pro každé předložení musí být vytvořen podpis zahrnující unikátní data (výzvy, čas apod.).

Pomocí protokolů pro selective disclsure je možné dynamicky zpřístupňovat jen vybrané části potvrzení atributů.
Vzhledem k tomu, že množství údajů na občance je konečné, vždycky můžete teoreticky vytvořit všechny možné kombinace a ty připravit předem (a vytisknout je na plastovou kartičku). Že by to bylo nepraktické je jiná věc.

Podstatné je to, že principiálně ta aplikace není nic jiného, než nosič informací, přičemž ty informace jsou zabezpečené tak, aby bylo možné ověřit jejich pravost (což je jediný rozdíl oproti plastové občance, kde jsou ochranné prvky součástí přímo nosiče).

Ne, autentizace je přesně to, co nechci. To, že chci doložit, že je mi 18 neznamená, že někomu předložím svou kompletní identitu.
Ale autentizace neznamená, že někomu předložíte svou kompletní identitu. Při autentizaci přes NIA vybíráte, které údaje se mají cílovému systému předat. Klidně by tam mohla být volba „předat jenom věk“, nebo dokonce „předat zletilost“ či „svéprávnost“.

Chci předložit důvěryhodným způsobem nějakou konkrétní informaci, která se prokazatelně váže k mé osobě.
Tomu se jedním slovem říká „autentizace“.

Je to jedna služba - důvěryhodného předání informací o držiteli.
Ne, není. Občanka nepředává informace o držiteli. Když vezmu svou občanku a dám ji do ruky vedle stojícímu člověku, občanka změnila držitele, ale informace, které předává, se nezměnily.

Mobil je v tomto případě je nástroj, který má schopnosti eliminovat nutnost používat centralizované služby.
Plastová občanka žádnou centralizovanou službu nepotřebuje, přesto poskytuje stejné informace, jako elektronická občanka, a poskytuje důvěryhodné informace – o někom. Jestli o držiteli nebo o někom jiném, to nevíme. K tomu je potřeba dodatečné ověření, třeba podle té fotky (což není moc spolehlivé, ale zatím se to běžně používá).

údaje předkládá jejich oprávněny držitel
Viz výše, tohle právě občanka (fyzická ani elektronická) nezajišťuje.

Přesně jste popsal, jak bude fungovat identitní peněženka.
Napsal jsem nepřesně „zkombinovat to nejde“, ale myslel jsem, že to nejde zkombinovat do jednoho zařízení. Jinak to samozřejmě zkombinovat jde. To, že NIA dnes funguje centrálně, je víceméně implementační detail. Ostatně podobně dnes fungují třeba kvalifikované podpisy – privátní klíč máte na zařízení, které máte ve své moci; před použitím klíče se musíte tomu zařízení prokázat (prakticky se to obvykle dělá přes prostředníka, ale existují i nosiče privátních klíčů, které jsou chráněné např. otiskem prstu nebo PINem zadávaným přímo na klávesnici toho zařízení); přesto vám certifikační autorita vydá certifikát, kterým ona potvrzuje pravdivost údajů. Takže vy rozhodnete, kdy podpis použijete a co podepíšete, ale za údaje se zaručuje certifikační autorita.

Identitní peněženka je to samé v bledě modrém. Jenom je tam procesně doplněná bižuterie okolo, např. že si vy můžete ověřit, komu údaje poskytujete.

Ale podstatné je to, že tohle není ten digitální občanský průkaz, který vznikne v ČR od ledna 2024. To bude opravdu jen digitální kopie dokladu totožnosti, tj. autentizace se bude provádět stále porovnáním fotky a předlohou, případně ověřením toho, zda dotyčný zná údaje uvedené na občance, v lepším případě údaje, které by měla znát dotyčná osoba ale nejsou na občance uvedené.

U bezobslužných prodejen COOP už to tak funguje. Do prodejny se dostanete přes aplikaci, do které se přihlásíte Vaší bankovní identitou. Aplikace z Vašeho data narození dopočítá Váš věk a pustí Vás dovnitř pouze pokud je Vám 18+. V prodejně pak už můžete nakupovat cokoli včetně alkoholu a cigaret.

Ano. Přesně tak bychom to rádi začali bez odkladu programovat do našich pokladních systémů. A nejen to, dodáváme technologie pro 24/7 prodejny, nyní je vstup přes aplikaci navázanou na BankID. Proč dobrovolně neumožnit i vstup přes digitální doklad, tam je ověření věku také zásadní. Začneme sledovat legislativní proces a hledat popis API.

Ano, funguje. Ale proces, jak to zprovoznit, není úplně uživatelsky přívětivý.

Potřebuje to speciální aplikaci, jejímž vydavatelem je nějaká úplně jiná firma, než Coop. Vyžaduje bankovní identitu, skrze kterou předám do aplikace své osobní údaje.

Takže ano, funguje to, ale je to složité a docela by mě zajímalo, kolik lidí tuhle věc zprovoznilo.

Když podobnou službu bude chtít jiný supermarket, bude další aplikace.

Sem cíli EUDIW - jednotný standardizovaný otevřený systém (mimo jiné) pro tyto typy použití.

Dnes 15:43
Já: Bylo tu tvrzeno, že se to zavádí jen pro někoho
Vy: Nebylo.
Je mi líto, negace onoho zavádění jen pro někoho = pro všechny (alespoň časem.

V jiném příspěvku jste popřel, že je to experiment (který by byl také pouze pro nějakou omezenou skupinu, jako např beta testeři).

Ono by to mělo jít u té samoobslužné pokladny už dneska, poměrně jednoduše, všechny tyhle obchody co je mají,, rovněž vydávají vlastní zákaznické aplikace, kde to datum narození je rovněž uvedeno. Ale nezkoušel jsem to....