Děkuji za reakce. Kontaktoval jsem technickou podporu PO a zaslal jsem jim své otázky. Byl jsem příjemně překvapen rychlostí jakou mi odpověděli. Zde jsou odpovědi na otázky, které jsem obdržel:
1. Proč jsou některé služby (např. eRecept) dostupné pouze s přihlášením NIA?
Pokud se na Portál občana přihlašujete pomocí datové schránky (DS_FO/DS_PFO). Přesměrování z Portálu občana na jiné napojené portály, kde můžete využít jejich služby (např. Elektronický recept nebo ePortál ČSSZ ) není umožněno, protože přihlášení pomocí datové schránky z technických důvodů neumožnuje přecházet mezi portály bez opětovného přihlášení. Jinými slovy přihlašování přes informační systém datových schránek neumožnuje Single sign-on.
Tuto možnost v současné době umožnuje pouze přihlášení pomocí elektronického občanského průkazu, NIA ID na eidentita.cz, čipové karty Starcos nebo MojeID. Všechny tyto způsoby přihlášení ověřují vaši totožnost přes Národní bod pro identifikaci a autentizaci (NIA). Národní bod propojuje a zajištuje jednotné přihlašování mezi jednotlivými portály dostupnými na Portálu občana a umožnuje Vám na ně přecházet, aniž byste se musel znovu přihlásit.
Počty portálů umožňující přístup přes prostředky k prokázání elektronické identity přes Národní bod se postupně rozšiřují.
Seznam těchto portálů najdete zde: https://info.eidentita.cz/sep/
Seznam všech IdP NIA najdete zde: https://info.eidentita.cz/idp/
Na podzim tohoto roku budou možnosti přihlášení přes Národní bod také rozšířeny i o mobilní klíč NIA a v příštím roce i o bankovní identitu. Více na: https://www.bankovni-identita.cz/
2. Proč autentizace pomocí DS_FO nezpřístupní všechny služby PO?
Datová schránka slouží primárně jako nástroj pro zabezpečenou a ověřenou komunikaci s úřady veřejné správy, ale již nezajištují Single sign-on (Více v předchozím bodu). Datové schránky samy sice poskytují i vlastní systém identifikace a autentizace uživatelů, ten byl ale spuštěn ještě před zavedením elektronických občanských průkazů a vybudováním Národního bodu. Do budoucna se počítá s postupným rušením způsobů přihlašování přes datovou schránku, které budou v budoucnu zcela nahrazeny identitními prostředky NIA. Identitní prostředky NIA již nyní plně umožnují přihlašování do datové schránky, ale i jejich online založení.
3. Když si zřídím NIA ID ve formě jméno, heslo, SMS budu mít přístup ke všem ostatním službám PO, které nejsou dostupné pro přihlášení pomocí DS_FO?
V případě, že máte datovou schránku, ale nemáte elektronický občanský průkaz s aktivovaným čipem nebo jiný prostředek k prokázání elektronické identity . Máte možnost na https://www.eidentita.cz/ProfileRegistration si online založit uživatelský účet NIA ID, který si následně aktivujete pomocí datové schránky a nemusíte tak jít na nejbližší pobočku CzechPOINT. Více o aktivaci na: https://info.eidentita.cz/ups/UpsAktivace . Kompletní informace o uživatelském účtu NIA ID na eidentita.cz včetně jeho založení a aktivace najdete zde: https://info.eidentita.cz/ups/.
Po založení a aktivaci NIA ID se do Portálu občana, přihlásíte přes eidentita - jméno, heslo, SMS. Obecně přihlašování do Portálu občana prostřednictvím jména, hesla, SMS vám umožní přecházet na ostatní portály. Odesílání podání v Portálu občana již zajistí připojená datová schránka, kterou máte. Pokud ji uživatel nemá, může si ji v portálu založit. Na ostatních portálech po přesměrování, následném zvolení el. formuláře, jeho dovyplnění pro následnou autorizaci znovu potvrdíte jménem, heslem, SMS nebo jiným způsobem přihlášení, který vlastníte.
Obecně řečeno přístup k většině službám na PO a jiných portálech včetně založení a využití služeb datové schránky vám zajistí přihlašování přes národní bod (např. NIA ID). Zde tak stačí se přihlašovat pouze přihlašovacími nástroji na eidentita.cz místo přihlašovacích způsobů do datové schránky.
4. Existují v současnosti služby PO, které nejsou dostupné pomocí přihlášení DS_FO ani pomocí NIA ID (jméno, heslo, SMS) ale jsou přístupné pouze při přihlášení pomocí eObčanky?
Pro přístup ke všem aktuálním službám na Portálu občana postačí mít připojenou datovou schránku a přihlašovat se přes jméno, heslo, SMS a není pro jejich zpřístupnění nutně vyžadováno přihlašování přes eObčanku. Zde již záleží na uvážení uživatele jaký způsob přihlašování přes Národní bod mu vyhovuje nebo vlastní. Avšak některé služby jako například výpis z Registru osob vyžadují připojenou datovou schránku typu podnikající fyzická osoba (PFO). Tu je však možné si založit, pokud máte IČO a přihlásíte se přes NIA ID nebo eObčankou přes Národní bod.
Do budoucna však nelze vyloučit, že některé služby na Portálu občana nebo jiných portálech budou vyžadovat přístup přes eObčanku nebo jiný prostředek s vysokou úrovní záruky (LoA).
Výhodou eObčanky s aktivovaným čipem oproti ostatním ID prostředkům může být rezervní přístup do Portálu občana, datové schránky apod. v případě nedostupnosti jiných vlastněných identitních prostředků (ztráta telefonu, zapomenuté heslo…), ale i jejich efektivní správa (aktivace/deaktivace).
V neposlední řadě eObčanka splňuje náležitosti pro budoucí možnost přeshraničního přihlašování do portálů úřadů ostatních členských států EU.
Podrobnější informace o Portálu občana můžete najít v uživatelské příručce dostupné na tomto odkazu: https://obcan.portal.gov.cz/technicka-podpora
Problém je v tom, že ty dva kroky v tom propojení jsou propojené jen přes „slabší“ MojeID účet. Prokážu vlastnictví autentizačního prostředku slaběji zabezpečenému MojeID účtu, a pak ten slaběji zabezpečený MojeID účet na základě ověření totožnosti propojím s NIA. Jak píšete, když budu (logicky) očekávat, že někdo svou NIA identitu nedaroval jinému držiteli autentizačního prostředku, můžu se spolehnout na to, že když se někdo přihlásí přes MojeID + autentizační prostředek, je to ta správná NIA identita. Takže by člověk očekával, že to platí i opačně – že když se tímhle způsobem přihlásím, mám stejně silně zaručeno, že je to ta správná MojeID identita. Jenže tohle zaručené není. Nejvíc matoucí na tom je asi to, že propojit na NIA jde jenom MojeID účet, který má přiřazený autentizační prostředek, ale v okamžiku připojování se to vlastnictví autentizačního prostředku neověřuje.
Problémový případ tedy není ten, kdy bych svou NIA identitu spojil s autentizačním prostředkem někoho jiného. Problém bych viděl v tom, když si někdo k cizímu MojeID účtu připojí svůj autentizační prostředek a celé to následně propojí s NIA identitou.
A ještě k tomu „darování“ identity. Např. v PKI musí být každá žádost o certifikát podepsána privátním klíčem příslušným k veřejnému klíči, pro který se o certifikát žádá. Technicky to není potřeba a dá se to vyřešit přesně tou vaší odpovědí – pokud někdo požádá o svůj certifikát k privátnímu klíči, který vlastní někdo jiný, prakticky daruje svou identitu vlastníkovi privátního klíče. Je to jeho chyba. Ano, je. A právě proto, aby se pravděpodobnost téhle chyby snížila, musí být každá žádost o certifikát podepsaná.
Asi jsem se ztratil v srovnávání vazeb NIA-mojeID a mojeID-NIA.
Fakt je, že propojení je dvoukrokové - prokázání vlastnictví autentizačního prostředku a ověření totožnosti. Výsledkem je ztotožněný vlastník autentizačního prostředku. Váš komentář chápu tak, že zvažujete možnost, že druhý krok provede někdo jiný ("...že si teoreticky může spárovat MojeID účet někdo jiný"). Moje odpověď je, že pokud by to udělal někdo jiný, tak tím daruje vlastníkovi autentizačního prostředku svoji totožnost, čemuž obecně nelze zabránit, viz. popisované příklady.
Nejde o darování. Jde o to, že běžné MojeID přihlášení (třeba jméno, heslo, OTP) není považováno za dostatečné pro přihlášení k NIA – tj. předpokládá se, že by se tak mohl přihlásit někdo jiný. Z pohledu NIA je to vlastně stejné, jako kdybych nepřihlášený na webu vyplnil svůj MojeID identifikátor, pak bych byl přesměrován do NIA a tím by se ten identifikátor s NIA spároval. Chápu, že při tom párování s NIA je bezpečnostně důležité to přihlášení k NIA, ne k MojeID. Ale vždycky jsem nervózní, když je celé řešení na nějaké úrovni zabezpečení, a najednou je tam jeden prvek, který má tu úroveň nižší. Vazba MojeIDNIA je zajištěna víc, než vazba NIAMojeID. Bojím se, že si to někdo v budoucnosti neuvědomí a bude předpokládat, že ta vazba je oběma směry stejně bezpečná.
Ale samozřejmě nemám žádný příklad, kdy by se to dnes dalo nějak zneužít. Potřebné certifikace určitě nejsou jen tak pro parádu. Je to jen divný pocit, z nečekaného chování. To, že můžu přenést důvěru na jiné zařízení, aniž bych musel mít jedno zařízení poskytující oba způsoby autentizace, je užitečná vlastnost. Ale byl bych klidnější, kdybych obě strany autentizoval stejně silně.
S tím schvalovacím procesem u komentářů je to trochu jako meziplanetární komunikace. :) Možná by Lupa mohla po přihlášení validovaným účtem mojeID nastavit důveryhodný status automaticky.
Máte pravdu, obecně nejde zabránit situaci, kdy někdo chce darovat totožnost někomu jinému. To můžete zařídit jednoduše třeba tak, že někomu půjčíte eOP a řeknete mu PIN, nebo v rámci procesu napojení na NIA se přihlásite svými přihlašovacím údaji NIA ID, když budete spolu sedět spolu u jednoho počítače. Toto je stejný případ a asi není nijak specifický pro mojeID.
Ano, to mi mezitím došlo, že jsem v tu chvíli byl stále přihlášený k NIA přes eObčanku. Ale to spárování MojeID s NIA při nižší úrovni zabezpečení mi stále připadá divné. Na jednu stranu jsem si jen díky tomu mohl rozšířit přihlašování k NIA i na mobil. Na druhou stranu, umožnit spárování s nižší úrovní zabezpečení znamená, že si teoreticky může spárovat MojeID účet někdo jiný.
Je třeba si uvědomit že NIA má také svůj SingleSignOn a tím že jste ověřil totožnost přes NIA (eOP) tak jste z pohledu NIA přihlášený a dokud se z NIA neodhlásíte tak se můžete přistupovat na služby napojené na NIA. To ale není přihlášení přes mojeID. Přes mojeID se přihlásíte pouze na tom tom Androidu.
Trochu jsem se ztratil v tom procesu přihlašování a úrovních bezpečnosti. Výchozí stav – MojeID účet s dvoufaktorovou autentizací (OTP), není napojen na NIA. Napojení na NIA vyžaduje bezpečnostní klíč. Ten nemám u sebe, takže jsem zvolil variantu s Androidem – přihlásil jsem se k MojeID přes mobil a přidal jsem bezpečnostní klíč (otisk prstu). Pro spárování s NIA se ale musím přihlásit k NIA, volím eObčanku – a tou se zase nepřihlásím na mobilu (mám jen USB čtečku). Takže zpět na počítači, tam jsem přihlášen do MojeID jen přes OTP, jdu do propojení s NIA a po přihlášení eObčankou do NIA se účty propojily. V tu chvíli jsem byl ale do MojeID přihlášen jenom přes heslo+OTP, ne přes bezpečnostní klíč. Podle mne jsem v tu chvíli nesplňoval požadavek druhého faktoru pro NIA. A dál se můžu přes MojeID přihlásit do Portálu občana nebo k eIdentita.cz z počítače, kde nemám bezpečnostní klíč, ale jen OTP (a to ani nezadávám, protože na tomto počítači mám v MojeID zapnuté trvalé přihlášení).
No, pochybuju o tom, že by základní registr mohl něco "zahodit".
Za data v ROB (a taky ROS a RÚIAN) odpovídají editoři - u občanů ČR primární editor AIS EO a za doklady sekindární editoři AIS OP a AIS CD.
Za jméno a příjmení v ROB u českých občanů odpovídá AIS EO. Jak je pošle, tak jsou zapsané. Tak tomu vždy bylo, a pokud nedojde ke změně zákona 111/2009 o základních registrech, tak to bude platit i nadále.
Přihlašování pomocí datové schránky berte jako nesystémovou zastaralou věc, která bude postupem času zrušena. Nedá se tedy porovnávat s přihlašováním přes NIA. Přihlašování přes datové schránky si musel každý cílový systém naimplementovat sám a rozhodnout se, jak moc tomu bude věřit. Naproti tomu přihlašování přes NIA je dnes preferovaný způsob, jednou implementovnaé přihlašování přes NIA do cílového systému by automaticky mělo podporovat všechny způsoby přihlášení k NIA (i ty budoucí), a cílový systém si řekne, jakou úroveň zabezpečení vyžaduje, ale už neřeší, jak konkrétně je to implementováno.
Necítím se být kompetentní zodpovědět všechny Vaše dotazy. Odpovím jen na jeden:
"Když si zřídím NIA ID ve formě jméno, heslo, SMS budu mít přístup přes PO k eReceptům?"
Ano dostanete se tak přes PO k eReceptům. Tato forma autentizace má úroveň značná, můžete si tedy i přes ní přidat autorizovat nějaký FIDO klíč v mojeID. Další Vaše otázky jsou logické a nezodpovězené i pro mě.
Zdravím všechny diskutující.
Poměrně nedávno jsem si založil datovou schránku fyzické osoby (DS_FO), neb bych si rád vyzkoušel elektronickou komunikaci s úřady. Považuji se za začátečníka v oblasti eGovernmentu a stále nerozumím pár věcem, které byste mi snad mohli pomoci trochu osvětlit.
Datovou schránku mám založenu a plně funkční. eObčanku nevlastním a do výměny ještě pár let zbývá, takže se do ní dobrovolně nehrnu.
Ze zvědavosti jsem se přihlásil i na portál občana (PO) pomocí DS_FO. Některé výpisy nebyly ihned dostupné a požadovaly spárování DS_FO s PO. Párování proběhlo v pořádku a výpisy přes PO fungují.
Nyní přichází na řadu mé otázky.
Proč je dostupná služba Elektronický recept pouze s přihlášením NIA?
Když si zřídím NIA ID ve formě jméno, heslo, SMS budu mít přístup přes PO k eReceptům?
Proč autentizace pomocí DS_FO nezpřístupní všechny služby PO?
Jaký je rozdíl v bezpečnosti přihlášení pomocí NIA ID ve formě jméno, heslo a SMS vs. přihlášení DS ve formě jméno, heslo a SMS?
Může být příčinou nedostupnosti všech služeb PO při přihlášení přes DS_FO, že do mé DS mohou přistupovat i jiní uživatelé, kdežto přes NIA ID bych to měl být pouze já?
Děkuji za odpovědi
Ono je to opačně. V ISEO (IS Evidence obyvatel, primární zdroj dat pro ROB) jsou jména s velkými písmeny, teprve několik let zpět se tam začala vkládat normálně. ROB to snad původně „zahlazoval“, takže z ROBu bylo vše velkými písmeny. Pak se to změnilo, a ROB dává data tak, jak je dostane – tj. u většiny lidí velkými písmeny, ale děti už mají jméno správně.
Nejen, že je to jen pro účet Google, ale navíc to snad funguje jen ve Windows a prohlížeči Chrome. Nicméně máme informace, že Google na tom stále pracuje a to jak v podobě Bluetooth připojení (CaBLE), tak i pro možnost připojení telefonu USB kabelem. Novinky by se měli objevit v průběhu příštího roku.
Myslím, že nejde. Teda aspoň nešlo a byl to jeden z důvodů, proč jsem MojeID před lety zapověděl a s tím celý CZ.NIC. Nehledě na jejich divné chování, aroganci apod.
Z technického hlediska mi vadilo:
1. nemožnost zálohy druhého faktoru u jejich autentikátoru (MojeID applikace). Je to asi pohodlné pro používání, ale nešlo to zálohovat. To znamená, že pří ztrátě/rozbití telefonu se muselo znovu na poštu/úřad apod.
U OTP přes Google autentikátor jsem si klidně mohl vytisknout QR kód a znovu aktivovat na novém telefonu. Či přes jednorázové kódy. Takže obnova byla v mým rukou a nikam jsem nemusel.
Ale komfort používání nic moc.
2. nešlo zvolit kde 2FA používat. Jak píšete, delat na každém fóru je otrava.
A po ignoranci či aroganci na předmětná upozornění jsem to zabalil.
Jinak článek je super, ale spíš čekám na bankovní identitu, protože ta s druhým faktorem funguje jak očekávám. Pro běžné přihlášení OK, na vyšší úroveň mám eOP.
Takze desktopovy linux bez hw klice nic? To je docela skoda... Vite nekdo, jestli kdyz si nastavim 2FA u MojeID, musim ho pak pouzivat vzdycky, nebo si muzu nekde nastavit (nebo server vyzadat), jestli 2FA pouzit nebo ne?
Prislo by mi trochu hloupe muset pouzivat 2FA i kvuli hloupemu prihlaseni na diskuzni forum...
Díky za skvělý článek. Jen bych rád doplnil, že bezpečnostní klíče v Androidu teoreticky podporují i oddělenou autentizaci, kdy se prohlížeč na počítači spojí s bezpečnostním klíčem v Androidu pomocí Bluetooth a Android tak plnohodnotně emuluje bezpečnostní klíč s rozhraním Bluetooth. Google tuto funkci představil před více než rokem, avšak dosud, zřejmě kvůli chybějící standardizaci rozhraní, funguje pouze proti účtu Google.
Osobně doufám, že se nabídka konečně rozšíří i mimo Google účet, protože toto umožní používat FIDO2 masově, ne jen pro ty, kteří jsou ochotni investovat několik set korun za samostatné tokeny.