Hlavní navigace

Evropské peněženky digitální identity budou průkazem i nosičem současně

27. 9. 2021
Doba čtení: 14 minut

Sdílet

 Autor: Evropská komise
Do budoucí evropské peněženky digitální identity si budete moci nahrávat jak různá pověření, tak elektronická potvrzení o atributech. Co si pod nimi představit a jaký je mezi nimi rozdíl?

V předchozích třech článcích jsme se začali věnovat novým návrhům Evropské komise na revizi nařízení eIDAS a změny v oblasti elektronické identifikace: nejprve tím, co je podstatou decentralizované (self-sovereign) identity, kterou by měly přinést nové evropské peněženky digitální identity. Poté jsme se zabývali očekávaným postupem při hledání technického řešení i „legislativního ukotvení“ a ve třetím článku pak představou „přeshraničního“ využití peněženek – již bez nutnosti průchodu přes specializované brány.

Dnes se konečně podíváme dovnitř budoucích evropských peněženek digitální identity (European Digital Identity Wallets): jaký obsah v nich najdeme již od jejich „výrobce“ a co si do nich budeme moci uložit sami?

Identifikační údaje, potvrzení a pověření

Když Komise představovala své nové návrhy, byla při tom zmiňována možnost nahrávat si do budoucích peněženek digitální identity širokou škálu elektronických dokumentů, dokladů, certifikátů či průkazů, přičemž explicitně byly jmenovány například řidičské průkazy, předpisy na léky, vysokoškolské diplomy a jiné doklady o studiu, platební karty či cestovní lístky. Z tohoto pohledu tedy peněženky budou určitým nosičem, resp. kontejnerem pro různé druhy obsahu.

Vedle toho ale budou peněženky digitální identity (samy o sobě) sloužit i jako „průkazy totožnosti“, pro online, ale také offline použití. Tedy jako prostředky elektronické identifikace, a to dokonce jako ty nejspolehlivější a nejdůvěryhodnější, s úrovní záruky „vysoká“. Jak již víme, mají fungovat na principu decentralizované (self-sovereign) identity, a tedy „mít vše potřebné v sobě“, tak aby se při prokazování totožnosti již nemusely spoléhat na žádného prostředníka (jakým je například náš národní bod, resp. NIA) a mohly komunikovat přímo s protistranou (poskytovatelem nějaké služby). Proto budou muset obsahovat určitou „základní“ sadu údajů, umožňujících identifikaci držitele peněženky i jeho autentizaci. Tedy tzv. osobní identifikační údaje (person identification data).

Jinými slovy a s určitým zjednodušením: přímo v peněžence již bude nějak „zadrátováno“ alespoň to, jak se jmenujete, kdy jste se narodili a případné další údaje z kategorie oněch osobních identifikačních údajů.Vedle nich si držitelé budou moci do svých peněženek sami přidávat další obsah pocházející z různých zdrojů. Nové návrhy jej rozdělují do dvou kategorií: na tzv. elektronická potvrzení atributů (electronic attestations of attributes) a elektronická pověření (credentials).

Co si ale pod těmito pojmy reálně představit? U osobních identifikačních údajů to není až tak těžké, viz již zmiňované jméno a příjmení, datum narození, případně místo narození, pohlaví apod. Ale co jsou „elektronická potvrzení“ a co „pověření“? Jaký je rozdíl mezi potvrzením a pověřením (v angličtině mezi „attestation“ a „credential“)? A jaký je rozdíl mezi „elektronickým potvrzením“ a „elektronickým potvrzením atributů“?

Není potvrzení jako pověření

Jak záhy uvidíme, nové návrhy si s přesnějším vymezením těchto pojmů a s možností praktického rozlišení mezi nimi moc hlavu nelámou. Problém je navíc i v určité nekonzistenci s obvyklou terminologií v „ne-právní“ oblasti, která s pojmem „attestation“ (potvrzení) příliš nepracuje – a místo toho používá právě pojem „credential“ (pověření) i pro to, co nové návrhy Komise chtějí označovat jako „attestation“ (potvrzení).  

Nové návrhy naopak vůbec nepracují s pojmem „tvrzení“ (claim), který je jakousi základní jednotkou toho, co má být potvrzeno (prokázáno, osvědčeno), ať již v rámci potvrzení, či pověření.

Na druhé straně nové návrhy činí rozlišení mezi potvrzeními (attestations) a pověřeními (credentials) velmi důležitým, protože se podrobněji zabývají pouze elektronickými potvrzeními atributů, zatímco existenci elektronických pověření jen letmo zmiňují (a to hlavně v souvislosti s peněženkami digitální identity, do kterých si jejich držitelé takováto pověření budou moci nahrávat).  

Jinými slovy: novelizované nařízení má „stanovit právní rámec“ pouze pro potvrzení atributů, ale nikoli již pro pověření. Což například znamená, že pouze u „potvrzení atributů“ půjde o služby vytvářející důvěru (přesněji: službou vytvářející důvěru má být jejich vytváření, ověřování shody a ověřování platnosti), zatímco u „pověření“ (credentials) se o služby vytvářející důvěru jednat nemá.

Pouze u potvrzení atributů se tak bude rozlišovat, zda mají, či nemají kvalifikovaný statut – zda jde o kvalifikované elektronické potvrzení atributů, nebo „jen“ o elektronické potvrzení atributů (bez kvalifikovaného statutu). Pouze kvalifikovaná elektronická potvrzení atributů pak mají mít definované právní účinky – stejné jako „zákonně vydaná potvrzení v tištěné podobě“ (správně spíše: v listinné podobě). A pouze pro kvalifikovaná elektronická potvrzení atributů bude požadováno, aby byla uznávána ve všech členských zemích EU.

U pověření (credentials) se takovéto rozlišení dělat nebude, kvalifikovaná (elektronická) pověření existovat nemají a jejich právní účinky ani uznávání nejsou nařízením nijak řešeny.

Vydávat kvalifikovaná elektronická potvrzení atributů budou moci pouze kvalifikovaní poskytovatelé služeb (vytvářejících důvěru). Jejich dosavadní výčet se proto má rozšířit o kvalifikované poskytovatele služeb vydávající kvalifikovaná elektronická potvrzení atributů. A to, zda některý konkrétní poskytovatel mezi ně patří, by se mělo poznat stejně, jako v jiných případech (jako je vydávání kvalifikovaných certifikátů, kvalifikovaných elektronických časových razítek či dalších kvalifikovaných služeb vytvářejících důvěru): jejich zařazením na tzv. trusted list (důvěryhodný seznam, resp. seznam důvěryhodných služeb).

To pak také znamená, že důvěru v kvalifikovaná elektronická potvrzení atributů bude možné dovozovat stejně jako důvěru v kvalifikované certifikáty, razítka atd.: z již zmiňovaného trusted listu. Přesněji: ze zastřešujícího seznamu LOTL (List of Trusted List), který zastřešuje jednotlivé národní důvěryhodné seznamy od jednotlivých členských zemí.

Naproti tomu vydávání pověření (credentials) není v rámci nových návrhů nijak upravováno. Jelikož se nebude jednat o službu vytvářející důvěru, nebudou existovat ani žádní poskytovatelé služeb (vytvářejících důvěru) vydávající elektronická pověření. Natož pak takovíto poskytovatelé s kvalifikovaným statutem. Čerpání důvěry v konkrétní vydavatele pověření a jejich „produkty“ (jednotlivá pověření) tak nebude moci vycházet z již zmiňovaných trusted listů (důvěryhodných seznamů), ale bude muset být řešeno „nějak jinak“.

Co je potvrzení (attestation)?

Zkusme se nyní podívat konkrétněji do formulace nových návrhů, jakým způsobem ony vymezují výše popisované pojmy a zda přeci jen neumožňují určité rozlišení.

Začít můžeme pojmem „elektronické potvrzení“ (electronic attestation), protože s ním už určitým způsobem pracuje i dosavadní právní rámec (nařízení eIDAS). Konkrétně když vymezuje, co je certifikát pro elektronický podpis:

„certifikátem pro elektronický podpis“ [se rozumí] elektronické potvrzení, které spojuje data pro ověřování platnosti elektronických podpisů s určitou fyzickou osobou a potvrzuje alespoň jméno nebo pseudonym této osoby;
‘certificate for electronic signature’ means an electronic attestation which links electronic signature validation data to a natural person and confirms at least the name or the pseudonym of that person;

Certifikát (pro elektronický podpis) je tedy příkladem obecnějšího pojmu „elektronické potvrzení“, nikoli ještě konkrétnějšího („užšího“) pojmu „elektronické potvrzení atributů“. Zde konkrétně jde o potvrzení vztahu mezi soukromým klíčem a identitou fyzické osoby. Zjednodušeně: o vyjádření toho, komu soukromý klíč patří.

Nicméně už z tohoto příkladu si můžeme odnést některé důležité poznatky. Například to, že každé potvrzení má svého vydavatele („toho, kdo potvrzuje“, resp. vyjadřuje nějaké tvrzení, v angličtině: issuer). Je vystavováno někomu (pro jeho potřeby), kdo je držitelem potvrzení (anglicky holder). A když je zapotřebí, potvrzení se předkládá nějaké třetí straně, která si ověřuje jeho pravost i platnost a následně z toho dovozuje určité důsledky. Proto se tato třetí strana označuje také jako ověřovatel (verifier).

Konkrétně třeba u certifikátů pro elektronický podpis je vydavatelem „potvrzení“ (certifikátu) certifikační autorita, držitelem podepisující osoba a ověřovatelem tzv. spoléhající se strana (příjemce elektronicky podepsaného dokumentu, který si na základě přiloženého certifikátu ověřuje platnost podpisu a z ní dovozuje konkrétní důsledky pro samotný dokument).

Vydavatel, držitel a ověřovatel tak vytváří určitý trojúhelník, který se v jiných kontextech označuje jako „trojúhelník důvěry“ (trust triangle). Můžeme se s ním setkat i u decentralizované (self-sovereign) identity či v souvislosti s „ověřitelnými pověřeními“ (verifiable credentials). V těchto jiných kontextech (než jsou nové návrhy Komise) se ale vesměs nepracuje s pojmem „potvrzení“ (attestation), nýbrž s pojmem „pověření“ (credential).

Povšimněme si ale také toho, že anglické pojmy „attestation“ i „credential“ jsou chápány jako podstatné jméno (substantivum), a označují tedy nějaký objekt, který má nějakou podobu (elektronickou) a můžeme s ním nějak manipulovat jako s celkem. Například ho přenášet, někam ukládat, kopírovat, mazat atd. Nejde o sloveso, které by označovalo určitou činnost („potvrzování“). Přesto, jak záhy uvidíme, s nimi oficiální české překlady nových návrhů pracují jako se slovesy.

Co jsou atributy? A co osobní identifikační údaje?

Pojďme nyní již k jedné konkrétní podmnožině „elektronických potvrzení“, resp. k jejich speciální variantě, „zúžené“ tak, aby se potvrzení týkalo atributů osob. Zde si ale musíme nejprve upřesnit, jak je vnímán samotný pojem „atribut“. Ten je v návrhu vymezen takto:

„atributem“ [se rozumí] prvek, rys nebo vlastnost fyzické nebo právnické osoby nebo subjektu v elektronické podobě;
‘attribute’ is a feature, characteristic or quality of a natural or legal person or of an entity, in electronic form

Jen pro přesnost: toto vymezení je (i v češtině) třeba číst tak, že zmínka o „elektronické podobě“ se vztahuje k atributu, a nikoli k subjektu. Jinými slovy: o atributech se hovoří jen v souvislosti s elektronickou podobnou (nikoli v neelektronickém světě) a jsou to vlastně jakési elektronické obrazy oněch prvků, rysů či vlastností osob či subjektů z neelektronického světa.

Takže zatímco v tradičním (neelektronickém) světě se fyzické osoby nějak jmenují (mají nějaké jméno a příjmení), někdy a někde se narodily (mají určité datum a místo narození), někde pobývají (mají nějakou adresu), mají dokončené vzdělání určitého stupně, jsou, či nejsou očkovány proti covidu, jsou držiteli osobních dokladů konkrétních sériových čísel atd., u jejich elektronických identit jde o jejich atributy (jméno, příjmení, adresu, datum narození atd.) a jejich konkrétní hodnoty.

A když už jsme u atributů: v budoucích evropských peněženkách digitální identity najdeme kromě elektronických potvrzení o atributech a elektronických pověření také již jednou zmiňované osobní identifikační údaje (person identification data). Ty jsou přitom chápány jako určitá podmnožina atributů (sloužících k identifikaci). Některé konkrétní atributy, resp. jejich hodnoty – jako například jméno (a příjmení), datum narození, místo pobytu apod. – tak jsou osobními identifikačními údaji, zatímco jiné (jako například to, zda konkrétní osoba je, či není očkována) osobními identifikačními údaji nejspíše nejsou. Ale vymezení nějaké přesnější hranice opět chybí.

Co jsou elektronická potvrzení atributů? A co pověření?

Zatímco v tradičním (neelektronickém) světě se konkrétní „prvky, rysy či vlastnosti“ prokazují různými (listinnými) doklady – například občanským průkazem, rodným listem, VŠ diplomem, očkovacím certifikátem apod. – v elektronickém světě by k obdobnému účelu měla sloužit právě ona elektronická potvrzení atributů. Tomu odpovídá i anglické vymezení nově navrhovaného pojmu electronic attestation of attributes:

‘electronic attestation of attributes’ means an attestation in electronic form that allows the authentication of attributes;

Oficiální český překlad v návrhu novelizovaného nařízení ale (aspoň podle mého názoru) není úplně správný:

„elektronickým potvrzováním atributů“ [se rozumí] potvrzování v elektronické podobě, které umožňuje ověřování atributů;

Chybou je už překlad samotného „attestation“ jako slovesa, resp. činnosti (tj. jako „potvrzování“), a nikoli jako podstatného jména (tj. „potvrzení“). Také anglické „allows the authentication of attributes“ do češtiny přeložil spíše jako prokazování, dokládání či potvrzování atributů, ve smyslu autoritativního sdělování jejich hodnoty, stavu či znění (což jsou také možné významy anglického „to authenticate“), než ve smyslu ověřování (které se obvykle používá v kontextu zjišťování jejich platnosti či pravosti).

Schválně si to srovnejme s tím, jak je v nových návrzích definováno pověření (credential):

‘credential’ means a proof of a person’s abilities, experience, right or permission;

Oficiální český překlad (podle mého názoru) opět není úplně nejlepší, protože anglické „credential“ nepřekládá jako „pověření“, ale jako „pověřovací údaj“, což evokuje představu jediného údaje (jako kdyby jich v rámci pověření nemohlo být obsaženo více).

„pověřovacím údajem“ [se rozumí] doklad o schopnostech, zkušenostech, právu nebo povolení osoby;

Hlavně ale: je dostatečně jasný rozdíl mezi „prvkem, rysem nebo vlastností“ na straně jedné (aby šlo o atributy, resp. potvrzení o atributech) a „schopnostmi, zkušenostmi, právu nebo povolení“ na straně druhé (aby šlo o pověření)?

Jízdenky vs. diplomy

Zkusme si to představit na několika konkrétních příkladech toho, co si lidé budou moci nahrávat do svých budoucích peněženek digitální identity. Co třeba různé jízdenky, vstupenky a jiné „lístky“? Zde bych se osobně přikláněl v prvním přiblížení spíše k tomu, že jde o „pověření“, protože to souvisí s právem využít nějakou konkrétní službu, zdroj apod.

Navíc u jízdenek či vstupenek je asi předem daný (a omezený) jak okruh jejich vydavatelů, tak i jejich ověřovatelů (ve výše uvedeném smyslu trojúhelníku důvěry). Díky tomu je zřejmě možné požadovat, aby se tyto strany mezi sebou domluvily na tom, jak mají jejich jízdenky či vstupenky v elektronické podobě vypadat a fungovat – a není nutné jim to předepisovat cestou práva. Což je i případ pověření.

Nicméně: nemohlo by se přesto jednat o elektronická potvrzení o atributech? Například ve smyslu toho, že jsem držitelem ročního kuponu na MHD konkrétního čísla, s konkrétní platností od–do? Pokud by to bylo „jen“ elektronické potvrzení atributů, bez kvalifikovaného statutu, také by nebylo (cestou práva) předepsáno jeho provedení a fungování, resp. standardizace – stejně jako u pověření. Je vůbec hranice mezi elektronickými potvrzeními o atributech a elektronickými pověřeními ostrá?

Mimochodem, mezi „potvrzeními atributů“ a „pověřeními“ je ještě jeden zajímavý rozdíl, který by při tomto rozhodování mohl hrát roli: v případě elektronických potvrzení atributů totiž nové návrhy přichází se stejným požadavkem, jaký již dnes platí u elektronických podpisů, pečetí i dokumentů. A to, že nesmí být odmítány pouze z titulu své elektronické podoby. Jinými slovy: u elektronických potvrzení atributů se nesmí stát, že protistrana řekne něco ve smyslu: „elektronicky to nechci, musíte mi to dát na papíře“. Nicméně u elektronických potvrzení (credentials) žádný takovýto požadavek vznášen není.

Zkusme ale něco jiného: co třeba takový vysokoškolský diplom či nějaké potvrzení (např. o bezdlužnosti), nebo řidičský, pilotní či jiný průkaz? Zde dopředu nevíme, kterým třetím stranám (v roli ověřovatelů) budou předkládány. Ani zda to bude „doma“, či někde v zahraničí. Stejně tak nemůžeme předpokládat, že konkrétní třetí strana, které budeme něco předkládat, bude znát příslušného vydavatele a bude vědět, zda jeho potvrzení může důvěřovat. Zde tedy bude nutná jak určitá standardizace, tak i vhodný způsob zajištění důvěryhodnosti, resp. možnosti dovození důvěry v konkrétního vydavatele a jeho „produkty“.

Proto by se (alespoň podle mého názoru) v těchto případech (diplomů, průkazů atd.) mělo jednat o kvalifikovaná potvrzení o atributech (qualified electronic attestations of attributes). Připomeňme si, že pouze u nich mají být cestou práva (nového rámce evropské digitální identity, resp. novelizovaného nařízení eIDAS) vymezeny jejich právní účinky (stejné jako pro „zákonně vydaná potvrzení v tištěné podobě“) i jejich povinné uznávání (jako kvalifikovaných elektronických potvrzení atributů) ve všech členských zemích EU. Také u nich bude řešena otázka důvěryhodnosti (na bázi důvěryhodných seznamů, viz výše).

V neposlední řadě elektronická potvrzení atributů nesmí být odmítána jen proto, že mají elektronickou (a nikoli listinnou) podobu. I když toto poslední platí pro elektronická potvrzení atributů obecně, a tedy i pro ta, která nejsou kvalifikovaná.

Co musí splňovat kvalifikovaná elektronická potvrzení atributů?

Aby elektronická potvrzení atributů mohla být kvalifikovaná, musí splňovat řadu konkrétních požadavků, které nové návrhy chtějí zavést – jako novou přílohu V novelizovaného nařízení. Jde přitom o požadavky, které jsou prakticky identické s požadavky kladenými (v přílohách II a IV) na kvalifikované certifikáty pro elektronické podpisy a elektronické pečeti.

Kromě nezbytných terminologických rozdílů (kdy se místo o „certifikátu“ hovoří o „potvrzení atributů“) je samozřejmě rozdíl v požadavku na obsah: zatímco certifikáty musí obsahovat veřejný klíč (a identifikovat jeho držitele), potvrzení o atributech obsahují příslušné atributy a jejich hodnoty (a také identifikují jejich držitele).

Další rozdíl je pak v tom, že (kvalifikované) certifikáty pro elektronický podpis či pečeť musí obsahovat informaci o uložení klíče na kvalifikovaném prostředku (pokud na něm je uložen). To u potvrzení atributů nemá obdobu, a tak zde takovýto požadavek není.

Naopak u kvalifikovaných certifikátů není zapotřebí udávat, z jakých standardů vychází (to je pevně dáno a tyto standardy jsou určeny prováděcími předpisy). U kvalifikovaných elektronických potvrzení atributů to ale možná nebude až tak „pevně dáno“ – možná zde bude více možností toho, jak budou tato potvrzení moci vypadat a fungovat, resp. z jakých standardů budou moci vycházet. Proto jeden z požadavků nechává otevřenou možnost pro to, aby potvrzení mohlo (ale nemuselo) samo o sobě říkat, z čeho vychází:

… a případně označení systému potvrzování, jehož je potvrzení atributů součástí;…

Opět jde o poněkud nepřesný překlad anglického „scheme of attestations“, obdobně jako u „schémat“ a „systémů“ elektronické identifikace: správný překlad by byl ve smyslu (koncepčního) schématu, který říká, jak se má něco dělat (např.: technického standardu pro elektronická potvrzení atributů), a nikoli ve smyslu konkrétního systému, který to již takto skutečně dělá.

Potvrzení atributů podobné certifikátu

Podobnost až prakticky úplná shoda požadavků na (kvalifikované) certifikáty a (kvalifikovaná) elektronická potvrzení atributů dává tušit, že tato potvrzení budou „něco jako certifikáty“. Ostatně, již dlouho existuje koncept tzv. atributových certifikátů, jen se zatím moc neprosadil do praxe. Je ale otázkou, zda budoucí elektronická potvrzení atributů budou skutečně atributovými certifikáty, nebo něčím jiným – to se teprve uvidí a možností třeba bude i více (viz výše zmiňovaná indikace toho, z jakého schématu potvrzení vychází).

KL22 hlasovani

Nicméně ať už budou (kvalifikovaná) elektronická potvrzení vycházet z čehokoli, stále budou mít mnoho podobného s (podpisovými) certifikáty. Požadavky, které na ně nové návrhy kladou, mj. předpokládají jejich vydávání jen na určitou omezenou dobu (od–do), s možností jejich předčasného zneplatnění (revokace). Také způsob ověřování aktuálního stavu nějakého pověření (zda nebylo revokováno) by měl být řešen na obdobném principu jako u (podpisových) certifikátů, a to kontrolou případné revokace přímo u jejich vydavatele, online způsobem a v aktuálním čase ověřování (aby se mohl zohlednit skutečně aktuální stav). To ale není příliš v souladu s požadavkem na to, aby budoucí evropské peněženky digitální identity mohly být používány i offline, bez přístupu k internetu.

No, uvidíme.

Autor článku

Autor byl dlouho nezávislým konzultantem a publicistou, od 8.6.2015 je členem Rady ČTÚ. 35 let působil také jako pedagog na MFF UK v Praze.