Hlavní navigace

Názory k článku Pro jiné povinnosti, pro sebe výjimku. Vnitro selhává jako hybatel pokroku eGovernmentu

  • 24. 3. 2020 16:37

    Jiří Peterka

    Mám na celou věc trochu odlišný pohled: u eOP jako takových mi (už dnes) vadí spíše to, že vůbec obsahují obrázek vlastnoručního podpisu. Již dnes se při jejich vydávání pořizuje "digitalizovaná podoba občana a jeho podpisu", nově se bude přidávat ještě otisk prstu. Jenže zatímco podoba obličeje a otisk prstu (které vyžaduje unijní nařízení 2019/1157) jsou v novém návrhu považovány za biometrické prvky, a jako takové požívají příslušné ochrany, samotná digitalizovaná podoba křivky vlastnoručního podpisu, obvykle označovaná jako "biometrický podpis" (zde bez dynamiky) a v novém návrhu dost nešťastně jako "digitální podpis", není řazena mezi biometrické údaje a nepožívá tedy s tím spojené ochrany.

    Úplně nové IMHO není ani využití takovéhoto biometrického (nesprávně "digitálního") podpisu ke stvrzení (podepsání) žádosti o vydání či převzetí nového eOP - alespoň dle čl. 11 a 13 směrnice Ministerstva vnitra č.j. MV-27690-25/SC-2018.

    K samotným biometrickým podpisům (i dynamickým biometrickým podpisům) jsem osobně hodně skeptický, kvůli nevýhodám, které vyplývají z jejich principu: jde vlastně o vzorek (obdobně, jako je vzorkem třeba otisk prstu či podoba obličeje, vzorek sítnice, vzorek DNA atd.). Odebírá se (snímá) pomocí vhodné destičky, což vytváří iluzi podepisování něčeho konkrétního - což ale není pravdou, jde pouze o odběr vzorku, jehož "svázání" s něčím konkrétním dělá až někdo jiný (protistrana, resp. zde úřad) a až následně.

    Obecně je (podle mého názoru) největší problém (dynamických) biometrických podpisů v tom, že lze celkem spolehlivě určit, komu odebraný vzorek patří. Ale to, v jaké souvislosti (proč, kvůli čemu) byl odebrán, a co tím mělo být vyjádřeno, ze samotného vzorku nevyplývá - a dovozuje se z toho, co se vzorkem udělala druhá strana. Tomu, komu byl vzorek odebrán, nezbývá než doufat, že druhá strana s jeho vzorkem naložila korektně, protože svůj jednou odebraný vzorek už nemá ve své moci. Podrobněji jsem své výhrady k dynamickým biometrickým podpisům (a obecně k prostým elektronickým podpisům) nedávno shrnul zde.

    24. 3. 2020 18:11 upraveno moderátorem, důvod: Oprava odkazu.
  • 25. 3. 2020 10:00

    Jiří Peterka

    > si tyto subjekty našly vhodnou rovnováhu záruk a rizik a elektronizují s jeho využitím své procesy

    tyto subjekty možná ano, ale co druhá strana (jejich klienti)? Mají také oni možnost zvážit všechna pro a proti toho, že vlastně podepisují bianco šek? Navíc takový, který je zneužitelný vícekrát (nikoli jen jednou), a nelze ho nijak revokovat? Mají možnost se vůbec dozvědět, jak přesně s jejich velmi citlivým a snadno zneužitelným vzorkem nakládá protistrana?
    Mimochodem, s ochranou osobních údajů se to až přehání (viz GDPR atd). Ale tady se s nesmírně citlivým osobním údajem (oním biometrickým podpisem, případně i dynamickým) nakládá zcela mimo rámec ochrany osobních údajů!

    > Pojďme hledat jinou alternativu, která bude více bezpečná a možná jednoho dne místo pár tahů perem získáme obdobnou a hlavně široce použitelnou metodu, jak při osobním kontaktu nejen s úřadem, stvrdíme svou vůli.

    Stačilo by dodržet původní záměr s eOP: generovat v nich již při výrobě soukromý klíč a přidávat k němu vystavený kvalifikovaný certifikát ... Pak by se každý držitel (nové) eOP mohl řádně elektronicky podepisovat (kvalifikovaným elektronickým podpisem, když nová eOP je QSCD). Stačilo by na úřadě vložit eOP do čtečky a zadat správný PIN (resp. QPIN)

    > jaká je například metodika nebo technologie, kterou bude účastník řízení naplňovat své právo nahlížení do spisu?

    napadá mne jakýkoli kvalifikovaný prostředek (elektronické identifikace) s úrovní záruky "vysoká" (nebo možná i "značná", to je asi na zvážení).

  • 26. 3. 2020 21:23

    Filip Jirsák

    V porovnání s vlastnoručním podpisem je na tom biometrický podpis hůř. V případě papíru je podpis s obsahem spojen automaticky, a útočník musí záměrně provést nějakou neplechu, když chce podpis dostat jinam. Biometrický podpis můžete přilepit k něčemu jinému i omylem. Přenesení vlastnoručního podpisu jinam pořád zanechává nějaké stopy – třeba u nejklasičtějšího způsobu, napodobení, pořád můžete zkoumat charakteristiky unikátní pro každý podpis. Ostatně písmoznalci to tak dělají věky. Biometrický podpis k dokumentu připojujete až dodatečně, takže existuje biometrický podpis jako takový, bez podkladu, který bez jakékoli stopy připojíte k libovolnému dokumentu.

    Prezenční elektronické podání řeší jen problém úřadu, nikoli problém klienta – takže by se to mohlo v brzké době vyřešit. Já chci s úřadem komunikovat elektronicky především proto, abych na ten úřad nemusel. Takže mne prezenční elektronické podání trochu děsí, protože už vidím, jak budou úřady elektronizovat komunikaci právě tímhle prezenčním způsobem.

    No a když už teda z nějakého důvodu na ten úřad opravdu musím, můžu se tam podepsat klidně vlastnoručně. Mně to nijak nepomůže, že se podepíšu na destičku, spíš naopak. Pomáhá to akorát úřadu, který se tím zbaví papíru (možná).

    Pokud bych šel na úřad dobrovolně, aby mi s podáním třeba poradili, nepotřebuju ho podepisovat hned na místě. Naopak bych chtěl, aby mi úřad poslal to, co jsme tam vytvořili, já si to doma v klidu znovu projdu, zkonzultuju, upravím, a pak teprve to elektronicky podám. Slušné firmy vás také nenutí podepsat smlouvu hned na místě, ale dají vám ji domů k prostudování.

    Mimochodem, je hezké, že píšete o investicích do systému pro biometrický podpis – ale ten hlavní problém je přece v tom, že ten systém zajišťuje právě jedna ze smluvních stran. Nedívejte se na to z pohledu banky nebo úřadu, ale z pohledu toho podepisujícího klienta. „Tady na tu destičku se nám podepište a věřte nám, že je to bezpečné.“ Můžete do toho investovat třeba miliardy, a stejně to vždy skončí touhle větou. A já vám můžu věřit, že ta investice za tou destičkou je, ale také nemusím.

  • 26. 3. 2020 17:29

    Filip Jirsák

    Pro tenhle účel (podpis na úřadě) bych používal ten certifikát MV, který na eOP je. Kvalifikovaný certifikát pro to není možné použít, protože nevidím, co podepisuju. A tuhle výsadu kvalifikovaných certifikátů musíme udržet za každou cenu – stačí jedno místo, kde se bude podepisovat naslepo, a kvalifikované podpisy přestanou být důvěryhodné. Při použití autentizační certifikátu MV bych měl jistotu, že se tím něco autentizuje maximálně po dobu, kdy je eOP ve čtečce, ale ty podpisy už nepůjde přenést nikam jinam.

    Obávám se, že biometrické podpisy jsou „bezpečné“ jenom proto, že se zatím používají málo. Pro nějaké potvrzení, že jsem převzal balíček za 300 Kč asi budou stačit, ale jak se budou postupně rozšiřovat, začnou si snad bezpečnostní odborníci uvědomovat, že ten podpis na tabletu kurýra se vzápětí může objevit pod smlouvou o hypotéce v bance a že tedy není možné těmhle podpisům důvěřovat, když o něco jde.

  • 25. 3. 2020 9:41

    Lol Phirae

    Až budou všechny spisy elektornizované, jaká je například metodika nebo technologie, kterou bude účastník řízení naplňovat své právo nahlížení do spisu?

    No, jednoduše - skočíte si na úřad/soud no a tam vám to za poplatek vytisknou. :-D

  • 25. 3. 2020 8:06

    LRA

    Ano, "biometrický" podpis má celou řadu problémů a i komerční subjekty se k jeho implementacím staví různě zodpovědně. I přes všechny problémy se zdá, že při zvážení všech pro a proti, s podporou písmoznalců, s podporou alespoň částečně formalizovaného posouzení návrhu a zabezpečení systémů pro sběr biometrického podpisu, si tyto subjekty našly vhodnou rovnováhu záruk a rizik a elektronizují s jeho využitím své procesy.

    V této době "přechodné" (přechod od nedigitální k plně digitální společnosti) jde o jediný nástroj, který má v očích úplně obyčejného člověka celkem zásadní váhu. I "neelektronizovaní" lidé si uvědomují, že když se někde podepíší, k něčemu se zavázali. Toto vnímání je dle mého jednou ze zásadních vlastností tohoto způsobu projevení vůle.

    Pojďme hledat jinou alternativu, která bude více bezpečná a možná jednoho dne místo pár tahů perem získáme obdobnou a hlavně široce použitelnou metodu, jak při osobním kontaktu nejen s úřadem, stvrdíme svou vůli.

    Mě, jako elektornizovaného, by uspokojilo například poslání vygenerovaného dokumentu do mobilu, kde ho plnohodnotně elektronicky podepíšu. I když ani na to nemám dnes široce dostupný nástroj.

    Základním problém, na který jsem se snažil upozornit je ten, že existují situace, kdy je potřeba při návštěvě úřadu potvrdit písemě informace, které úřadu předávám a tak i projevit vůli. Zároveň existuje snaha procesy elektronizovat.

    A zde je na místě upozornění "Mind the gap!". Jedná se o mezeru, nepokrytou oblast a minimálně bych očekával, že ji v rámci řešení eGovernemntu garant identifikuje, pojmenuje a třeba i po zralém zvážení řekně: "Nemáme rozumné řešení, podepisujte a skenujte papíry".

    Garant evidentně identifikoval a pojmenoval, ale malou domů si řešení usnadníl. Garant má i pro ostatní identifikovat problémy, nebo slyšet, ty, kteří je identifikovali, hledat řešení a dávat je k dispozici do celého aparátu.

    A uvedené dva příklady nejsou zdaleka osamocené. Až budou všechny spisy elektornizované, jaká je například metodika nebo technologie, kterou bude účastník řízení naplňovat své právo nahlížení do spisu?

  • 26. 3. 2020 22:42

    Martin Pištora

    Už to zde bylo v diskusi vyřešeno. "Destička" nemůže být v moci úřadu, ale toho, kdo podepisuje. Ten musí vidět co podepisuje ve vlastním softwaru, kterému důvěřuje. Pokud se spěchá tak, že to má být ihned na místě, tak mobil, jinak domácí počítač.

  • 25. 3. 2020 13:30

    LRA

    > ale co druhá strana (jejich klienti)? Mají také oni možnost zvážit všechna pro a proti toho, že vlastně podepisují bianco šek? Navíc takový, který je zneužitelný vícekrát (nikoli jen jednou), a nelze ho nijak revokovat? Mají možnost se vůbec dozvědět, jak přesně s jejich velmi citlivým a snadno zneužitelným vzorkem nakládá protistrana?

    Součástí vážení rizik u těch organizací, které to s tímto druhem podpisu myslí vážně, je i snaha o řešení tohoto problému. Chrání se tak před možným hromadným napadením důvěryhodnosti procesu podpisu.

    > Ale tady se s nesmírně citlivým osobním údajem (oním biometrickým podpisem, případně i dynamickým) nakládá zcela mimo rámec ochrany osobních údajů!

    Opět platí, že ti, kteří berou bezpečnost vážně, klasifikují tyto údaje jako speciální dle GDPR a vyžadují od klientů souhlas se zpracováním.

    > Stačilo by na úřadě vložit eOP do čtečky a zadat správný PIN (resp. QPIN)

    Ano, to je možné řešení, které minimálně díky vlastnostem QSCD zamezí možnému kopírování podpisů mezi dokumenty. Nicméně když půjdeme do důsledku, při téhle operaci vkládá držitel eOP svou důvěru v systém úřadu a v to, že skutečně podepíše, co podepsat má. Tento problém ma buď procesní řešení definované v zákoně o právu na digitální služby ve formě osvědčení o digitálním úkonu nebo technické řešení ve formě "Signature Creation Application" certifikované dle Common Criteria. Ale chybí metodika, jak na to.

    napadá mne jakýkoli kvalifikovaný prostředek (elektronické identifikace) s úrovní záruky "vysoká" (nebo možná i "značná", to je asi na zvážení).

    ... ano, ale .. opět k tomu chybí metodika např. v NSESSS, jednotný postup, jak by měly úřady postupovat.

  • 26. 3. 2020 18:11

    LRA

    Myslím, že v tomto případě je potřeba porovnávat alternativu "biometrického" podpisu s podpisem na papíru. V porovnání s plnohodnotným kvalifikovaným elektronickým podpisem neobstojí.

    V porovnání s obyčejným podpisem tužkou na papír a ještě v kombinaci s autorizovanou konverzí (tedy v podstatě prostým skenem) myslím "biometrický" podpis obstojí celkem dobře.

    Samozřejmě použít eOP a autentizační certifikát, je také validní. Problémem je, že eOP si aktivuje malé procento držitelů a ještě nějakou dobu potrvá (5+let), než nový eOP bude dostatečně rozšířený. Takže to není řešení, které pokrývá všechny.

    > Obávám se, že biometrické podpisy jsou „bezpečné“ jenom proto ... totéž je možné prohlásit o "papírovém" podpisu. Nicméně i pro tuto hrozbu poctivě navržený systém sběru "biometrického" podpisu poskytuje opatření. Jde jen o míru investice, jakou provozovatel systému vynaloží.

    A pořád platí hlavní myšlenka z článku - problém "prezenčního elektronického podání" existuje a vnitro ho neřeší systematicky.