Hlavní navigace

Jaké jsou a jak fungují nové elektronické občanky?

Autor: Ministerstvo vnitra
Jiří Peterka

S novými občankami je spojeno až šest různých číselných kódů (PINů). Podpora elektronické identifikace a elektronického podepisování je u nich dobrovolná.

Doba čtení: 11 minut

Nové občanské průkazy, vydávané od poloviny letošního roku (reálně od 2. 7. 2018), jsou vlastně již druhým pokusem o elektronickou občanku. Ten první se datuje již do roku 2012, a vycházel z úplně jiného pojetí toho, co znamená „elektronické“, resp. „elektronická občanka“ (či eOP nebo eID). Prvotní představou tehdy bylo to, že konkrétní údaje o držiteli průkazu jsou umístěny v základních registrech (a v tomto smyslu tedy „elektronicky“), zatímco samotný občanský průkaz je jen jakýmsi nosičem odkazu do základních registrů. Proto také drtivá většina průkazů byla jen pouhým „kusem plastu“ a neměla žádný čip.

Pokud na tom někdo opravdu trval, mohl si pořídit občanku i s čipem – ale musel si za ni připlatit 500 Kč. Navíc mu takováto občanka s (kontaktním) čipem nebyla moc k užitku: nedala se (v on-line světě) použít k tomu, k čemu by občanský průkaz měl sloužit především, tedy k (elektronické) identifikaci. Zákonodárci totiž nějak nedocenili rozdíl mezi kvalifikovaným a komerčním certifikátem, a umožnili nahrát na čip pouze kvalifikovaný certifikát. Tedy takový, který je určen pouze k podepisování, a naopak se nesmí používat k nejrůznějšímu přihlašování.

Takže tehdejší eOP s čipem byla vlastně jen čipovou kartou, využitelnou pro elektronické podepisování. Jako taková ovšem postrádala potřebnou certifikaci, takže se nejednalo o kvalifikovaný prostředek pro vytváření elektronických podpisů (QSCD), resp. podle tehdejší právní úpravy ještě „bezpečný prostředek“ (SSCD). Asi i proto si původní občanku s čipem pořídilo jen velmi málo lidí. Podle tohoto zdroje to bylo jen cca 32 000 zájemců a šlo cca o 0,38% všech vydaných eOP. Přitom skoro polovina eOP s čipem byla vydána již v roce 2012, zatímco v dalších letech zájem o ně rapidně klesal.

V čem se liší staré a nové eOP?

Nové občanské průkazy jsou z tohoto pohledu již skutečně elektronické – čipem jsou již vybavovány všechny, a tedy vlastně povinně. Jde přitom i nadále o čip kontaktní (nikoli bezkontaktní, jaký používají například v Německu). A mohou již sloužit i k elektronické identifikaci v on-line světě. Navíc si zachovávají svou schopnost fungovat jako čipová karta pro potřeby elektronické podpisu. Ovšem jen dobrovolně, pokud s tím držitel souhlasí (viz dále).

Rozdíl oproti předchozím občankám (s čipem) názorně vystihuje následující slide, pocházející z této prezentace Správy základních registrů.

Pomineme-li nezbytný plastový nosič, je základem všeho čip. U nových eOP by mělo jít o kontaktní čip M7892 G12 od společnosti Infineon, na kterém jsou nahrány tři applety (na předchozím obrázku prezentované jako aplikace) – zatímco u původních eOP to byly jen dva applety. Nově přidán byl applet pro elektronickou identifikaci a právě díky němu je možné používat nové eOP i pro to, k čemu se dosavadní eOP použít nedaly. Tedy pro elektronickou identifikaci.

Co je nahráno a co lze nahrát na čip nové eOP?

Původní představa byla taková, že nové eOP budou mít na čipu nahraný (již „od výroby“) autentizační certifikát držitele průkazu. Nakonec je ale na čipu nahrán jen identifikační certifikát průkazu jako takového, který obsahuje (sériové) číslo průkazu (coby „kusu plastu“), datum jeho vydání a konce platnosti i označení úřadu, který průkaz vydal.

Identifikační certifikát, který vydává Správa základních registrů, ale obsahuje i určité údaje o držiteli průkazu. Které konkrétně, to vymezuje § 3 odst. 2 písm. d) bod 3. zákona č. 328/1999 Sb., o občanských průkazech: jméno a příjmení, pohlaví, státní občanství, datum, místo a okres narození, rodné číslo, adresu místa trvalého pobytu a rodinný stav. Na žádost držitele pak mohou být do identifikačního certifikátu zapsány také údaje o titulech.

Jak si podrobněji popíšeme v dalším článku, do čipu nového eOP lze nahrát i další certifikáty – ať již autentizační certifikáty držitele, nebo jeho „podpisové“ certifikáty. Obojí si přitom nahrává držitel průkazu sám a jen v případě svého zájmu. Příslušné certifikáty si tedy musí nejprve opatřit (a zaplatit) sám. Původní představa ale byla taková, že i podpisové certifikáty (pochopitelně kvalifikované) budou na eOP již „od výroby“.

Přístup ke všem certifikátům, nahraným na čipu, zprostředkovávají příslušné applety:

  • přístup k identifikačnímu certifikátu (nahranému na čip „od výroby“) zprostředkovává applet pro elektronickou identifikaci
  • přístup k autentizačním a podpisovým certifikátům (které si na čip nahrává držitel) zprostředkovává podpisový applet. Mělo by se jednat o applet „IAS Classic V4.4 with MOC Server 1.1 on MultiApp V4“ od společnosti Gemalto, který má (v kombinaci s čipem M7892 G12) certifikaci na kvalifikovaný prostředek (podrobněji v dalším článku).

Dobrovolnost elektronických funkcí

Zdůrazněme si, že nové eOP jsou – stejně jako dosavadní občanky – kusem plastu, který na sobě nese určité penzum údajů o svém držiteli. Rozsah by měl být stejný jako u dosavadních průkazů (i vizuální podoba mi přijde úplně stejná). A jako „kus plastu“ jsou nové eOP samozřejmě vždy použitelné, stejně jako dosavadní občanky.

Zde nám jde o obě elektronické funkce, které nové eOP nabízí: podporu elektronické identifikace a podporu elektronického podepisování. Zdůrazněme si, že obě jsou dobrovolné.

V případě elektronické identifikace je na nové eOP již vše potřebné připraveno a držitel se jen rozhoduje, zda tuto funkčnost aktivuje, či nikoli. Může tak učinit při přebírání své nové eOP, nebo kdykoli později na úřadu kterékoli obce s rozšířenou působností. Sám (doma) si takovouto aktivaci provést nemůže, protože na to nemá potřebné nástroje (ani práva).

Také možnost využít novou eOP pro elektronické podepisování je dobrovolná – a držitel si ji už může (vlastně musí) aktivovat sám, vlastními silami. Sám si také musí získat (a nahrát na čip) klíče a certifikáty, které k tomu potřebuje. Reálně to tedy jde „až doma“, nikoli hned při přebírání nové eOP.

PINové šílenství

S aktivací obou právě popsaných (elektronických) funkčnost souvisí to, co bude nejspíše největším problémem kolem nových eOP: až šest různých PINů a dalších číselných kódů, které chrání přístup k jednotlivým prvkům v rámci obou funkčností.

Už jen popsat význam těchto šesti různých PINů není triviální – a tak se to pokusím udělat trochu zjednodušeně a srozumitelněji. Oficiální a podrobnější popis najdete například zde.

Jeden číselný kód, v rozsahu 4 až 10 číslic, je označovaný jako BOK (od: Bezpečnostní osobní kód), a je zřejmě zamýšlen jako další autentizační prvek pro takové situace, kdy někde jednáte osobně (fyzicky) a občanský průkaz nemáte s sebou vůbec, nebo i máte – ale nestačí k prokázání vaší totožnosti. Například proto, že se protistraně (úředníkovi) nezdá být vaše podoba v souladu s fotkou na průkazu. Pak vás může vyzvat k zadání BOKu.

Zvolit si (a poprvé zadat) svůj kód BOK musíte povinně, a to již při přebírání nové eOP. A to bez ohledu na to, zda si necháte aktivovat na své nové eOP elektronickou identifikaci, či nikoli. Sám jsem ho zadával poprvé v roce 2012, při přebírání tehdejší nové občanky s čipem, a od té doby jej nikdo ode mne nechtěl. Včera, při přebírání nové eOP, jsem si musel zvolit nový BOK (stejný, či jiný než původně, shoda se prý jinak nekontroluje).

Další dva číselné kódy jsou zapotřebí tehdy, pokud se rozhodnete aktivovat funkci elektronické identifikace na své nové eOP. Protože pak budete muset odsouhlasit každé „sáhnutí“ na identifikační certifikát a využití jeho obsahu. Toto odsouhlasení provedete správným zadáním číselného kódu, označovaného jako IOK (od: Identifikační osobní kód). Musí mít od 4 do 10 (desítkových) číslic, a pokud ho třikrát po sobě zadáte nesprávně, dojde k zablokování funkce elektronické identifikace.

Proto potřebujete ještě „záchranu“ v podobě dalšího kódu, který vám umožní odblokovat IOK a celou elektronickou identifikaci, aniž byste museli kvůli tomu běžet na úřad obce s rozšířenou působností a zde si nechali odblokování provést (zřejmě již za úplatu). Jde o tzv. deblokační osobní kód, zkratkou DOK, opět v rozsahu 4 až 10 číslic.

Takže pokud si necháte vydat novou eOP a rozhodnete se aktivovat její funkci elektronické identifikace, připravte si (raději dopředu a s rozmyslem) tři číselné hodnoty, v rozsahu od 4 do 10 číslic: pro BOK, IOK a DOK. Pokud si nenecháte aktivovat elektronickou identifikaci, budete potřebovat jen jednu hodnotu pro BOK. Pamatujte na to.

Ani tím ale výčet PINů a dalších číselných hodnot nekončí: pokud se (již doma) rozhodnete aktivovat si funkci elektronického podepisování, budete potřebovat další tři číselné hodnoty, pro tři další PINy. Tři proto, že autoři nové eOP se rozhodli rozdělit přístup k autentizačním a podpisovým certifikátům, které si na čip své nové eOP nahrajete – a pro každý přístup k jedné či druhé skupině certifikátů potřebujete jiný číselný kód, vždy v rozsahu 5 až 15 desítkových číslic:

  • PIN (Personal Identification Number) pro přístup k autentizačním certifikátům (v praxi: ke všem certifikátům, kromě těch kvalifikovaných)
  • QPIN (asi od Qualified PIN) pro přístup ke kvalifikovaným certifikátům

Pokud kterýkoli z těchto dvou PINů zadáte třikrát po sobě nesprávně, dojde k jeho zablokování – a proto potřebujete ještě další, v pořadí již šestý číselný kód, pro možnost odblokování PINu či QPINu. Tímto šestým číselným kódem je PUK (PIN Unblocking Key), který musí mít rozsah 8 až 15 desítkových číslic. Pokud byste ho zadali nesprávně celkem 5×, máte smůlu – dojde i k jeho zablokování a žádné odblokování PUKu už není možné. Nicméně eOP jako taková (i se svými identifikačními funkcemi) bude i nadále použitelná.

Obslužná aplikace „eObčanka“

Jak jsme si již uvedli, funkce elektronického podepisování je volitelná, a pokud se ji rozhodnete aktivovat, děláte to sami a „doma“. K tomu ale potřebujete vhodný nástroj, kterým je v daném případě aplikace „eObčanka“.

Tuto aplikaci si můžete stáhnout z webu Národní identitní autority (NIA). Již dnes je k dispozici pro platformu MS Windows, jako 32– i 64bitová aplikace, a na září (2018) jsou avizovány verze i pro Linux a MacOS. Stejně tak by (od září) měla být k dispozici i verze pro mobilní platformy – pro Android a iOS.

Fakticky se jedná o balíček se třemi hlavními součástmi:

  • ovladači čipové karty
  • aplikaci eObčanka – identifikace, která zprostředkovává funkci elektronické identifikace
  • aplikaci eObčanka – správce karty, pro správu číselných kódů a certifikátů

Postup instalace celého balíku v prostředí MS Windows je vcelku standardní (k dispozici je instalační příručka), kód je podepsán Správou základních registrů (a podpis je založen na certifikátu od společnosti Symantec).

Vyžadován je .NET Framework 4.7.1. Software (stejně jako karta) pochází od společnosti Monet+, a. s.

Po nainstalování jsou k dispozici dvě samostatné aplikace – pro identifikaci a správu karty. První z nich se využívá při skutečném použití nové eOP k elektronické identifikaci, kterou si necháme na samostatný (další) článek. Zde se zastavíme u aplikace pro správu karty.

Správce karty

Tato aplikace (eObčanka – správce karty) využívá řadu knihoven, viz následující obrázek, a podporuje i starší občanky s čipem (vydávané před 1. 7. 2018).

S pomocí této aplikace můžete měnit nastavení pěti číselných kódů (PINů, s výjimkou BOKu) a skrze kódy vztažené k elektronickému podepisování i aktivovat tuto funkčnost. Příklad stavu eOP bezprostředně po převzetí (s aktivovanou funkcí elektronické identifikace) vidíte na následujícím obrázku: nastaveny jsou hodnoty IOK a DOK. Naopak nenastaveny jsou PUK, PIN a QPIN. Stejně tak na obrázku vidíte „kapacitu“ karty pro uložení autentizačních a podpisových certifikátů a odpovídajících klíčů, samostatně pro párová data počítaná pomocí RSA i pomocí eliptických křivek (ECDSA).

Za zmínku stojí i typ karty: identifikuje se jako „eOP CZE v2.1“, zatímco původní občanka s čipem se prezentovala jako „eOP CZE v.1.0“. Srovnání, i s hodnotou ATR pro obě varianty, ukazuje následující obrázek.

Po nastavení PUKu, PINu a QPINu je aktivována podpora pro elektronické podepisování: můžete na kartu začít nahrávat své soukromé klíče a jim odpovídající certifikáty. S generováním párových dat přímo na čipu je to dnes ještě trochu složitější (ale mělo by to časem jít), a tak si tuto problematiku (i celé využití nové eOP k podepisování) necháme na samostatné pokračování tohoto článku. Stejně jako praktické využití elektronické identifikace s konkrétními příklady.

Příklad eOP s již aktivovanou podporou podepisování (a jedním uloženým soukromým klíčem a certifikátem) ukazuje následující obrázek.

Kolik stojí nová eOP?

Na závěr tohoto článku ještě několik praktických poznámek: novou eOP můžete získat standardně do 30 dnů, ale i zrychleně do 5 pracovních dnů, či dokonce do 24 hodin (v pracovní dny). Postup a ceny, přesněji správní poplatky, za jednotlivé varianty najdete v tomto oficiálním letáku.

Co v letáku nenajdete, nebo si to alespoň nemusíte domyslet z věty „ruší se vybírání správního poplatku 500 Kč za vydání občanského průkazu s čipem“, je to, že když měníte „čip za čip“ (tedy necháváte si vystavit novou eOP výměnou za starou s čipem), pak neplatíte žádné správní poplatky. A to ani když jde o zrychlené vydání do 5 dnů či do 24 hodin. Mělo by jít o důsledek tohoto přechodného ustanovení zákona č. 195/2017 Sb., které říká, že:

MIF18 tip v článku Michálek

Vydání občanského průkazu se strojově čitelnými údaji a s kontaktním elektronickým čipem namísto občanského průkazu se strojově čitelnými údaji a s kontaktním elektronickým čipem vydaného přede dnem nabytí účinnosti tohoto zákona nepodléhá správnímu poplatku.

Tak ať nedopadnete jako já: mne za vydání do 24 hodin nejprve na Praze 5 zkasírovali, a teprve při vyzvedávání (na pracovišti MV ČR) upozornili na to, že výměna „čip za čip“ je bez správního poplatku.

A ještě jedna poznámka: pokud máte vlastní datovou schránku (nepodnikající fyzické osoby), po převzetí nové eOP vám do ní přijde oznámení o změně referenčního údaje – protože číslo eOP je jedním z referenčních údajů, který je uchováván v základním registru obyvatel.

Našli jste v článku chybu?