Hlavní navigace

Mobilní klíč českého eGovernmentu: ven ze slepé uličky

23. 11. 2020
Doba čtení: 13 minut

Sdílet

 Autor: Screenshot, Lupa.cz
Z dosavadního Mobilního klíče ISDS, kterým se dalo přihlašovat jen k datovým schránkám, se stal Mobilní klíč českého eGovernmentu. Umožňuje už i přihlašování přes NIA s úrovní záruky „značná“.

Možnosti přihlašování ke službám českého eGovernmentu se utěšeně rozrůstají. Naposledy, v polovině září, přibyla služba MojeID od sdružení CZ.NIC, a do dosud hodně uzavřeného světa konečně přinesla svěží vítr v podobě řešení, založených na otevřených standardech. A také tolik potřebnou osvětu a motivující kampaň na podporu prosazení nově dostupné možnosti.

Další vlnu publicity a osvěty si slibuji od příchodu bankovní identity počátkem nového roku. Zatím ale zprávy, přicházející z tábora kolem bankovní identity, naznačují spíše určitý rozkol mezi bankami, které chtěly postavit vše na jednom společném technickém řešení.

Vznikne tedy jen jedna SONIA? Nebo dvě? Nebo jich bude dokonce více? Uvidíme. Ale z pohledu koncových uživatelů, kteří se budou prostřednictvím bankovní identity přihlašovat ke službám eGovernmentu „přes NIA“ (a nikoli ke službám soukromoprávních subjektů, „přes SONIA“), to možná bude jedno. Pro ně může budoucnost vypadat podobně jako na následujícím obrázku (zatím jde o testovací prostředí). S opravdu bohatou nabídkou možností přihlášení, snad ještě bohatší než nabídka toho, kam se můžete přihlásit.


Jak také naznačuje tato zpráva o udělení akreditace prvnímu subjektu z bankovního sektoru (ČSOB), jednotlivé banky nejspíše budou nabízet více možností přihlášení, pomocí různých prostředků a s různými úrovněmi zabezpečení.

Dnes, v tomto článku, bych se ale rád podrobněji zastavil u nejnovějšího přírůstku (k možnostem přihlašování „přes NIA“), v podobě Mobilního klíče eGovernmentu. Na rozdíl třeba od MojeID přišla tato nová možnost naopak docela potichu, bez větší publicity. Sám jsem se o ní dozvěděl až skrze tweety a následnou aktualitu pana Zmeškala zde na Lupě.

Mobilní klíč ISDS se mění na Mobilní klíč eGovernmentu

Na první pohled by se mohlo zdát, že vlastně nejde o nic moc nového, ale jen o aktualizaci dosavadního mobilního klíče, jehož použití jsem zde na Lupě popisoval v červnu minulého roku. A že došlo jen ke změně názvu a loga aplikace. Ve skutečnosti jsou změny rozsáhlejší a zásadnější.

Již v loňském článku o mobilním klíči jsem se pozastavoval nad tím, že se jeho tvůrci vydali slepou uličkou, když vytvořili prostředek pro vcelku snadné, a přeci jen bezpečnější přihlašování – ovšem jen k datovým schránkám a „přes ně“ pak případně i někam dál. Tedy prostředek, pracující s identitním prostorem ISDS, zahrnujícím pouze uživatele datových schránek, a nikoli celou populaci.

Připomeňme si, že to bylo skoro přesně rok po startu nových elektronických občanek a NIA (národního bodu pro identifikaci a autentizaci), se státem garantovaným identitním prostorem, založeným na obsahu základního registru obyvatel, a zahrnující tedy všechny obyvatele ČR (kromě cizinců). Navíc, a na rozdíl od datových schránek a jejich identitního prostoru, již uzpůsobený nařízení eIDAS a našemu zákonu č. 250/2017 Sb., o elektronické identifikaci, s různými úrovněmi záruky atd. Tedy v době, kdy už bylo zřejmé, že budoucností je právě přihlašování „přes NIA“, a nikoli „přes datové schránky“.

Ostatně, ani resort vnitra se tím nijak netajil a naznačoval, že do budoucna dojde k „utlumení“ identitního prostoru ISDS (omezeného jen na uživatele datových schránek). Proč tedy v takovéto době ještě vznikalo něco nového pro přihlašování jen „přes datové schránky“, bez možnosti využití v rámci již existujícího nového řešení („přes NIA“)?

Pravdou je, že již při startu původního Mobilního klíče ISDS (vloni v létě) vnitro naznačovalo, že časem upraví tento klíč tak, aby se dal používat i v rámci nového řešení (pro přihlašování „přes NIA“). A právě to je tím, co se stalo nyní, kdy se z „Mobilního klíče ISDS“ stal „Mobilní klíč eGovernmentu“.


Přidání, nikoli překlopení

Řekněme si ale hned, že nejde o „překlopení“, ale o přidání nové funkčnosti: původní možnost přihlašování „přes datové schránky“ zůstala zachována a přidána byla nová možnost přihlašování „přes NIA“. Obě možnosti mohou být dostupné současně, nebo může být dostupná jen jedna z nich.

Jinými slovy: Mobilní klíč eGovernmentu můžete mít nakonfigurovaný tak, aby umožňoval pouze přihlašování „přes datové schránky“, a tedy vlastně fungoval postaru. Pak vás ale nepustí „přes NIA“.


Nebo jej můžete mít nakonfigurovaný tak, aby umožňoval naopak pouze přihlašování „přes NIA“. Pak vás zase ale nepustí „přes datové schránky“.


Samozřejmě můžete mít nakonfigurované obě možnosti současně a mít možnost přihlašovat se oběma způsoby, resp. cestami „přes datové schránky“ i „přes NIA“.

Pozor ale na jednu zásadní odlišnost mezi oběma variantami přihlašování, související právě s oním „konfigurováním“: ve variantě „přes NIA“ se prostřednictvím mobilního klíče identifikujete jako jedna konkrétní fyzická osoba jako taková (jako jedna identita). Naproti tomu ve variantě „přes datové schránky“ se identifikujete jako konkrétní fyzická osoba v konkrétní roli (vztahu) vůči konkrétní datové schránce. Například jako oprávněná osoba k datové schránce XY, nebo jako pověřená osoba ke schránce ZW atd.

Významné je to v situaci, kdy máte takovýchto vztahů a rolí vůči datovým schránkám více. Pokud pro ně chcete používat mobilní klíč, musíte si jej nakonfigurovat pro každý z nich samostatně (propojit jej s každým svým účtem u ISDS). Proto se také toto propojení provádí až po přihlášení (v příslušné roli) do příslušné datové schránky, v rámci nastavení této schránky. Podrobněji viz dosavadní nápověda k datovým schránkám.

Naproti tomu pro přihlašování „přes NIA“ stačí nakonfigurovat váš Mobilní klíč eGovernmentu jen jednou – propojit jej s vaším účtem u NIA. Jak se to dělá, si ukážeme záhy.

Když se pak budete přihlašovat pomocí mobilního klíče do kterékoli datové schránky, do které máte přístup, systém si sám zjistí, které to jsou, a nabídne vám k výběru jejich výčet. Úplně stejně, jako když se do datové schránky přihlašujete („přes NIA“) jakýmkoli jiným způsobem (pomocí své eOP, pomocí MojeID atd.). 

Jak se používá nový klíč?

Princip fungování mobilního klíče je stále stejný: je to vlastně mobilní aplikace, dostupná pro platformy AndroidiOS. Jak jsme si právě řekli, nejprve ji musíte jednorázově „propojit“ se svým účtem u NIA (národního bodu pro identifikaci a autentizaci, říkejme mu jednoduše jen „národní bod“) a/nebo se svými účty u datových schránek (v systému ISDS). Pak už svůj mobilní klíč můžete (opakovaně) používat pro přihlašování.

Při každém jednotlivém použití se vždy musíte do aplikace přihlásit. To představuje další bezpečnostní faktor (vedle fyzického držení mobilního zařízení a nakonfigurované aplikace), potřebný pro úroveň „značná“. Možnosti přihlašování do aplikace jsou dány tím, jaké možnosti jsou dostupné na vašem koncovém zařízení (mobilu či tabletu): otiskem prstu, PINem, heslem, gestem atd.

U služby, ke které se chcete přihlásit, zvolíte variantu přihlášení pomocí mobilního klíče. Pozor ale na to, že mnohde to jsou vlastně dvě možnosti, resp. cesty: jedna „přes datové schránky“ a druhá „přes NIA“. A to, kterou z nich se vydáte, může mít vliv na dostupnost konkrétních služeb, ke kterým se přihlašujete.

Ukázat si to můžeme na příkladu Portálu občana: pokud se k němu přihlásíte pomocí Mobilního klíče eGovernmentu cestou „přes NIA“, dostanete se z něj (prokliknete) k dalším službám, jako například k ePortálu ČSSZ, ke svému účtu u NIA (národního bodu) atd., viz následující obrázek. A to jako již přihlášený uživatel.


Pokud se ale k Portálu občana přihlásíte pomocí Mobilního klíče eGovernmentu cestou „přes datové schránky“, všechny tyto „prokliky“ pro vás budou nedostupné, viz následující obrázek.


Důvodem jsou úrovně záruky, které jsou při cestě „přes NIA“ jasně definovány a dány použitým prostředkem (tj. v případě Mobilního klíče eGovernmentu jde o úroveň „značná“). Naproti tomu při cestě „přes datové schránky“ nejsou úrovně záruky definovány, neboť celý systém datových schránek s nimi ještě nepracuje. A mimochodem, dominující přihlašování (k datovým schránkám) jen jménem a heslem by mohlo odpovídat nejvýše úrovni „nízká“.

Pokud tedy máte nakonfigurovaný svůj mobilní klíč (i) pro přihlašování přes NIA, je výhodnější jít při přihlašování touto cestou. Když ji zvolíte, je vám nabídnuta taková sada možností přihlášení přes NIA, jaká je právě dostupná pro konkrétní úroveň záruky (požadovanou ze strany té služby, ke které se chcete přihlásit). Přesněji: uvidíte tam jen ty prostředky, které mají požadovanou (či vyšší) úroveň záruky.

Takže pokud byste se přihlašovali k takové službě, která požaduje úroveň záruky „vysoká“ (například sem), mobilní klíč mezi nabízenými možnostmi nebude. Dnes tam bude jen eOP a karta Starcos od I.CA, protože to jsou dnes jediné dva prostředky, které mají úroveň „vysoká“. Ostatní mají jen úroveň „značná“ a podle této akreditace např. ČSOB chystá prostředek i s úrovní „nízká“.


Pokud se ale přihlašujete k takové službě, které stačí i úroveň „značná“, najdete v nabídce všechny aktuálně používané prostředky, které mají úroveň „vysoká“ nebo „značná“. A mezi nimi, dokonce hned na prvním místě, bude i Mobilní klíč eGovernmentu.


Pokud v rámci této nabídky zvolíte přihlášení pomocí mobilního klíče, zobrazí se vám jednorázový QR kód.


Ten musíte nasnímat ve své mobilní aplikaci (správně nakonfigurované pro právě používaný způsob přihlašování, viz výše), do které jste řádně přihlášeni. Pokud je vše v pořádku, další postup je již stejný jako u ostatních způsobů přihlašování „přes NIA“: musíte odsouhlasit předání požadovaných dat pro vaši identifikaci a pak už byste měli být přihlášeni k příslušné službě.

Pokud jste se právě přihlašovali do některé datové schránky, je vám nejprve nabídnut výčet těch, do kterých se můžete (v nějaké konkrétní roli) přihlásit.

Co je (ještě) nového?

Kromě zásadní novinky, kterou je možnost přihlašování přes NIA, přináší (staronový) Mobilní klíč eGovernmentu ještě jednu zajímavou a potenciálně užitečnou novinku v podobě dalších notifikací.

Připomeňme si, že i původní Mobilní klíč ISDS vás uměl informovat (notifikovat) o příchodu nové datové zprávy a o jejím obsahu (pokud jste si tuto možnost aktivovali). Pak jste se dozvěděli, od koho a o čem nová zpráva je, a nemuseli jste se honem přihlašovat do své datové schránky za účelem zjištění, zda se jedná o něco naléhavého, vyžadujícího rychlou reakci. V dnešní době nouzového stavu, kdy jsou datové schránky opět zapleveleny množstvím spamu, je to o to užitečnější.


Pokud si tedy svůj Mobilní klíč eGovernmentu nakonfigurujete i pro přihlašování „přes datové schránky“, resp. pokud jej propojíte se svým účtem (či účty) u datových schránek, můžete takováto upozornění dostávat i nadále.

No a pokud si Mobilní klíč eGovernmentu propojíte s NIA, může vám posílat zase jiné notifikace – o všech přihlášeních (s vaší identitou) přes tento národní bod (NIA). A to bez ohledu na způsob, jakým se přes NIA přihlašujete. Takže i když se třeba přihlásíte pomocí své eOP, uvidíte toto přihlášení i na svém mobilním zařízení v aplikaci Mobilní klíč eGovernmentu.


Dozvíte se ale skutečně jen to, že k nějakému přihlášení došlo, a kdy. Co se už nedozvíte, je, kam přihlášení směřovalo (k jaké službě) ani jakým způsobem, resp. prostředkem bylo realizováno (zda pomocí eOP, MOjeID, mobilního klíče atd.).

K čemu to ale může být dobré? Možná k tomu, abyste vy sami měli přehled o tom, kdy jste se (někam) přihlašovali přes NIA. A hlavně asi pro odhalení případného zneužití vaší identity a prostředku pro přihlašování.

Nicméně: obdobně jako u notifikací došlých datových zpráv si musíte i tyto notifikace (o přihlášení) nejprve sami zapnout (aktivovat). Jenže zatímco notifikace týkající se datových schránek si můžete nastavit přímo v aplikaci mobilního klíče, pro nastavení notifikací o přihlašování („přes NIA“) musíte jít do svého účtu u NIA. Musíte se do něj přihlásit a vstoupit do části věnované správě vašich mobilních klíčů.


Zde najdete aktuální výčet těch vašich mobilních klíčů, které jsou propojeny s NIA (může jich být více), a také tlačítko pro nastavení notifikací. V něm pak musíte u příslušného mobilního klíče zaškrtnout svou volbu v kolonce „přihlášení k NB“ (tj. k národnímu bodu). Následně musíte svou volbu ještě potvrdit (nechat uložit).

Jak se Mobilní klíč eGovernmentu instaluje a aktivuje?

Aplikaci Mobilního klíče eGovernmentu si nejprve musíte stáhnout z příslušného obchodu, podle své mobilní platformy (z Google Play či Apple AppStore), buď jako zcela novou instalaci, nebo jako aktualizaci původního Mobilního klíče ISDS.

Osobně jsem vyzkoušel obě varianty, přičemž nová instalace proběhla bez problémů. Naproti tomu u aktualizace jsem (stejně jako další uživatelé, viz např. recenze na Google Play či diskuse na Twitteru) narazil na problémy, které se mi podařilo odstranit až úplným vymazáním dat dosavadní instalace.

Pokud jde o provozování samotné aplikace, ta vás při své instalaci sama upozorní na svá omezení: nesnáší například root Androidu.


Naopak vyžaduje zamykání obrazovky a varuje, že pokud byste jej vypnuli, můžete přijít o nastavení své aplikace, hlavně o její propojení s datovými schránkami a NIA. Pokud by to byl váš jediný přístup k těmto službám, už byste se k nim nedostali a museli byste si jej zařizovat celý znovu. Tak si prý máte včas udělat zálohu nastavení.


Osobně se mi to také už stalo – po dvou dnech od svého nakonfigurování a používání aplikace na mobilu zahlásila, že musím mít zapnutý zámek obrazovky, a dále nebyla ochotna se se mnou bavit. Na nastavení zámku jsem přitom nic neměnil, takže musela něco nesprávně detekovat.


Kromě toho nová verze mobilního klíče (stejně jako ta původní, z bezpečnostních důvodů) blokuje snímání obrazovky (dělání screenshotů). Proto mají také některé obrázky v tomto článku nižší kvalitu, protože jsem je musel nasnímat optickou cestou.

Pokud vás nic z toho všeho neodradí od používání aplikace, musíte ji nejprve propojit s NIA, a také (a nebo) se svými účty u datových schránek (viz výše).

Nejjednodušší (a stejné jako u původního Mobilního klíče ISDS) je to v případě datových schránek: pokud máte k čemu se připojit, musí jít o účet, ke kterému už nějaký přístup máte. Takže se přihlásíte, přejdete do nastavení, možností přihlášení a zde do části „Přihlášení mobilním klíčem“.

Po navolení možnosti „Přidat mobilní klíč“ se vám zobrazí QR kód, který nasnímáte aplikací mobilního klíče, běžící na vašem mobilním zařízení.


V případě propojení s NIA může být situace obdobná, pokud již máte nějakou možnost připojit se k NIA (a tím i účet u tohoto národního bodu). Stačí přitom úroveň „značná“, takže může jít jak o eOP či kartu Starcos od I.CA (s úrovní „vysoká“), tak i o ostatní možnosti s úrovní „značná“: tzv. NIA ID (jak se nově říká původnímu prostředku „Jméno, heslo a SMS“) či MojeID.

Sama aplikace vám v tomto ohledu poradí, jak na to.


Konkrétně že v případě propojení s NIA, pokud jej provádíte přes nějaký počítač, se máte přihlásit do klientského portálu Národního bodu. Pokud snad nevíte, na jaké adrese tento portál sídlí, pak vězte, že jde o https://www.eidentita.cz/, stejně jako https://www.narodnibod.cz.


Pokud se úspěšně přihlásíte, měli byste pokračovat (i podle návodu na předchozím obrázku) do části „Připojení Mobilního klíče“.


V mém případě toto šlo pouze tehdy, pokud jsem se k NIA přihlásil prostřednictvím své eOP či NIA ID. I když ve druhém případě mi portál NIA vůbec nenabídl možnost správy mobilních klíčů, ale pouze připojení nového. Pokud jsem se přihlásil k NIA ostatními způsoby (jak pomocí karty Starcos od I.CA, tak pomocí MojeID či již připojeného mobilního klíče), můj pokus o vstup do části „Připojení mobilního klíče“ skončil odmítnutím s hláškou naznačující nedostatečné oprávnění. Úrovní záruky to ale nejspíše nebude, protože při přihlášení s kartou Starcos a úrovní „vysoká“ to dopadlo stejně, a naopak s využitím NIA ID (s úrovní značná) připojit nový klíč šlo. Že by si tedy různé prostředky se stejnou úrovní záruky nebyly před NIA všechny rovny?


Pokud ale úspěšně projdete až do části „Připojení mobilního klíče“, je další postup obdobný jako v případě propojování s účtem u datových schránek: zobrazí se vám QR kód, který načtete svou aplikací mobilního klíče.


Pak už jen odsouhlasíte na obou stranách (na počítači a na svém mobilním zařízení) nové propojení i stejné číselné kódy, párující obě strany – a máte propojeno (resp. připojeno).


Ještě ale zbývá jedna věc: na svém mobilním zařízení, v rámci aplikace Mobilní klíč eGovernmentu, musíte nejprve odsouhlasit následující právní disclaimer.


Celý tento postup, nakolik se může zdát komplikovaný, byl ještě zjednodušen tím, že jsem již měl účet u NIA a mohl se k němu přihlásit. Jinými slovy: měl jsem k dispozici jiný prostředek, kterým jsem se mohl ke svému účtu u NIA přihlásit a provést popsané propojení. Pokud v takovéto situaci nejste, tj. pokud žádný prostředek pro přihlašování přes NIA dosud nemáte (a tudíž ani účet u NIA), musíte nejprve na CzechPOINT – jak vám ostatně radí i návod na jednom z předchozích obrázků.

BRAND Early

Podle tohoto návodu můžete aplikaci zadat své telefonní číslo, na které vám přijde jednorázový kód – a s ním pak navštívíte CzechPOINT a necháte si zřídit účet u NIA (zřejmě včetně NIA ID).


No a pokud naopak máte více prostředků pro přihlašování k NIA, můžete je všechny spravovat ze svého účtu u národního bodu. Například je zase odpojovat, pokud je třeba přestanete používat či pokud by hrozilo jejich zneužití.


Autor článku

Autor byl dlouho nezávislým konzultantem a publicistou, od 8.6.2015 je členem Rady ČTÚ. 35 let působil také jako pedagog na MFF UK v Praze.