Dajbych.net


Jak se podepisovat elektronicky?

, 24 minut čtení

Úřady nemají ve zvyku zveře­jňo­vat in­for­mace tak, že je dají na své we­bové stránky, ale tím, že je vytištěné na pa­píře vylepí na vs­tupní dveře. Může se vám tak snadno stát, že si na webu zjistíte, kdy má úřad otevřeno, a když tam do­razíte, zjistíte, že má zavřeno. Je proto prak­tičtější podá­vat a pode­piso­vat doku­menty elek­tron­icky. Tech­nicky to je poměrně kom­p­liko­vané, a jak to zpravidla bývá, ve státním prove­dení ještě kom­p­liko­vanější.

Co to je

Elek­tron­ický pod­pis (pro lidi mimo IT) zna­mená kde co. V podání fi­nanční správy se může jed­nat třeba jen o pouhou kom­pri­maci dat. Na po­datelnu ne­jdete s vy­pl­něným for­mulářem, ale s jeho kom­p­ri­movanou podobou. Přes­něji s jed­noz­načným iden­ti­fiká­torem elek­tron­icky vy­pl­něného a po­daného for­muláře. Celý pro­ces elek­tron­izace má vlastně 4 stupně, přičemž všechny z nich běží současně. Je to podobné, jako souběžná pod­pora op­er­ačních sys­témů Win­dows 7, 8, 8.1 a 10.

In­tu­i­tivně si můžete ušetřit spoustu práce tím, že přeskočíte 2. a 3. krok. Nicméně agilní přístup je dnes moderní. Zdá se, že jen zasvě­cení lidé ví, proč se nedělá servis le­tadel za letu, ale vždy na zemi v hangáru, kde provádění prací nemůže ohrozit žádné ces­tu­jící.

Osob­ním cer­ti­fikátem se dají pode­piso­vat emaily či doku­menty. Pod­pis je důvěry­hodný na­to­lik, nako­lik je důvěry­hodná cer­ti­fikační au­torita (CA), re­spek­tive všechny cer­ti­fikační au­tor­ity v řetězci. Od pod­pisů, které bude uzná­vat stát, bych čekal, že osobní cer­ti­fikáty pro státní účely bude vy­dá­vat státní CA. Takto to však postavené není. Stát něk­teré již zave­dené cer­ti­fikační au­tor­ity po­važuje za kval­i­fiko­vané (QCA). Ty vy­dá­vají kval­i­fiko­vané osobní cer­ti­fikáty. Zatímco běžným cer­ti­fikátem se vytvářejí běžné elek­tron­ické pod­pisy, kval­i­fiko­vaným cer­ti­fikátem se vytvářejí kval­i­fiko­vané elek­tron­ické pod­pisy. U státní správy s běžným (komerčním) elek­tron­ickým pod­pisem neus­pě­jete. (Nebo jedn­oduše pro geeky – v op­er­ačním sys­tému státní správy jsou nain­stalovány jen cer­ti­fikáty kval­i­fiko­vaných cer­ti­fikačních au­torit.)

Je národní tradicí, že Česko musí mít vždy něco ex­tra. Jak asi víte, cer­ti­fikát může mít různá rozšíření. Nás za­jímají dvě:

Po­dle in­for­mací české pošty se věc má tak, že něk­teré úřady české státní správy vyžadují to první rozšíření. Jenže zároveň EU nařizuje člen­ským státům, aby je­jich státní správa uzná­vala cer­ti­fikáty s příz­nakem druhým.

Je asi naivní myslet si, že naprosto každý vy­daný kval­i­fiko­vaný cer­ti­fikát v EU bude mít IK MPSV, že ano. Podle nařízení EU tedy te­o­ret­icky státní správa nesmí od­mít­nout žádný elek­tron­ický pod­pis cer­ti­fikátem od QCA z kteréhokoli člen­ského státu s rozšířením QSCD. Národní rozšíření, kterým IK MPSV, ne­j­sou povinná. V praxi však po­važuji za napros­tou ztrátu času dožadovat se něčeho takového.

Názvosloví

Aby toho nebylo málo, Fi­nanční správa používá pro změnu po­jem zaručený elek­tron­ický pod­pis (ZAREP). Je to pod­pis vytvořený běžným (komerčním) osob­ním cer­ti­fikátem, který je rozšířen o IK MPSV. (Ten samý po­jem však používá i EU, ale myslí se tím něco úplně jiného.) Pokud je pod­pis vytvořený akred­i­to­vanou (kval­i­fiko­vanou) cer­ti­fikační au­tori­tou, jedná se o kval­i­fiko­vaný elek­tron­ický pod­pis (ne však z poh­ledu EU). Pokud je navíc kval­i­fiko­vaný cer­ti­fikát rozšířen o IK MPSV, jedná se o uzná­vaný elek­tron­ický pod­pis. Aby byl pod­pis kval­i­fiko­vaný i z poh­ledu EU, musí mít cer­ti­fikát příz­nak uložení soukromého klíče v kval­i­fiko­vaném prostředku (QSCD). Pokud ho nemá, jedná se (z poh­ledu EU) o (jiný) zaručený elek­tron­ický pod­pis (založený na kval­i­fiko­vaném cer­ti­fikátu). Pokud ho má, jedná se o (skutečný) kval­i­fiko­vaný elek­tron­ický pod­pis (QES – Qual­i­fied Elec­tronic Sig­na­ture).

V čem je zakopaný pes

K prob­lem­at­ice sou­vise­jící s eObčankou je sep­sáno mnoho kval­it­ních článků. Za sebe bych jen uvedl, že jakýsi příz­nak, kterého si všímáte jen když víte, že ho máte hle­dat, dělá rozdíl mezi tím, jestli dostanete skutečně cer­ti­fikát, se kterým můžete vytvářet kval­i­fiko­vané elek­tron­ické pod­pisy, nebo pouze zaručené elek­tron­ické pod­pisy, založené na kval­i­fiko­vaném cer­ti­fikátu. Kval­i­fiko­vaný elek­tron­ický pod­pis totiž musí být uložený na zařízení, ze kterého ne­jde ex­por­to­vat privátní klíč. A to zna­mená, že toto zařízení musíte použít ve chvíli, kdy vytváříte žá­dost o cer­ti­fikát. Po­dle logiky EU totiž může kval­i­fiko­vané elek­tron­ické pod­pisy vytvářet pouze Qual­i­fied Sig­na­ture Cre­ation De­vice (QSCD). Vy­plývá to z nařízení EU č. 910/2014 (eI­DAS). Takovým zařízením může být (ne však pouze) eOP.

Celé to na mě pů­sobí jako mar­ketin­gový trik na občany. Mys­lím si, že vytváření kval­i­fiko­vaných cer­ti­fikátů by mělo být možné jen s příz­nakem uložení na QSCD a také že by měl být každý kval­i­fiko­vaný cer­ti­fikát vystavený tuzem­skou cer­ti­fikační au­tori­tou rozšířený o IK MPSV. Ji­nak můžete ob­držet kval­i­fiko­vaný cer­ti­fikát, který neb­ude pro české úřady platný (ač je to v roz­poru s právním řá­dem EU).

K čemu to je

Pod­nika­jící fyz­ická osoba zvyklá pro­plou­vat by­rokrat­ickou džunglí jako le­do­borec le­dovým příkrovem to má jedn­oduché. Té nepři­jde nic zvláštní. (Ač je to vlastně smutné.) Nepod­nika­jící fyz­ické osobě bych vřele do­poručil za­jít na úřad, byť vzdálený něko­lik kilometrů, klidně pěšky. Bude to mít rych­le­jší. Elek­tron­ický pod­pis se hodí, nebo je dokonce k něk­terým úkonům povinný. Zdravotní po­jišťovny vyřešili elek­tron­ické podání sami už dávno a ČSSZ si vystačí s eOP (občan­ským průkazem s elek­tron­ickým čipem) i bez kval­i­fiko­vaného osob­ního cer­ti­fikátu.

S úřady jde také ko­mu­niko­vat po­mocí da­tových schránek. Vzh­le­dem k tomu, že až soud musel nařídit zveře­jnění je­jich bezpečnos­t­ního au­ditu a vzh­le­dem k tomu, že Česká pošta do těchto schránek odesílá spam i vzh­le­dem k tomu, že při pro­gramování klienta pro ně se mi při používání je­jich API v HTTP od­povědi ob­jevo­valy chy­bové hlášky z in­terní databáze, nesvěřil bych da­tové schránce ani rez­er­vaci lístku do kina, na­tož­pak ko­mu­nikaci s úřady. Neh­ledě na to, že jak­mile ji jed­nou máte, máte povin­nost ji použí­vat i k jiným úkonům (napřík­lad daňovému přiznání), které dříve bylo možné vyřídit pa­pírově v ka­menné pobočce státní správy. A ještě k tomu schránku nelze zrušit. Naproti tomu takový cer­ti­fikát vám prostě jed­noho dne nakrásně ex­piruje a úřadu řeknete jen: „Hm, smůla. Máte mě tu na po­datelně zas.“

Co budete potřebovat

Hardwarové vybavení

Občan­ský průkaz s elek­tron­ickým čipem, čtečku čipových karet, pár stovek na cer­ti­fikát, tiskárnu, něko­lik listů A4, propisku, emailovou adresu, pod­porovaný oper­ační sys­tém (větši­nou jsou pod­porované Win­dows, ma­cOS a Linux) a hezké počasí na procházku do Czech POINTu (či jiné kval­i­fiko­vané cer­ti­fikační au­tor­ity).

Rel­a­tivně důležitý je správný výběr čtečky. Z hlediska tech­nického je třeba, aby čtečka splňo­vala normu ISO/IEC 7816, pod­porovala pro­tokol CCID a ko­mu­nikační stan­dard PC/SC. Na Win­dows chcete také zařízení, je­hož ovladač je WHQL (Win­dows Hard­ware Qual­ity Labs). V neposlední řadě je v dnešní době vhodné, aby ovladač fun­go­val v režimu Mem­ory in­tegrityCore iso­la­tionDe­vice Se­cu­rity ve Win­dows Secu­rity (In­tegrita pamětiIzo­laci já­draZabezpečení zařízení v Zabezpečení Win­dows). Je také velice do­brý ná­pad mít zařízení, které má hard­warovou kláves­nici pro zadávání pinů. To má svůj bezpečnos­tní důvod. Pokud bude váš op­er­ační sys­tém na­paden key­loger­rem, neb­ude mu to nic platné. Pin, který zadáváte přímo do čtečky karet, totiž nev­idí op­er­ační sys­tém (pouze firmware čtečky) a tudíž ho nemůže od­poslech­nout li­bo­volná ap­likace, kterou máte zrovna spuště­nou (byť jen na pozadí). A o její in­sta­laci vlastně ne­musíte ani tušit.

Přeji vám hodně štěstí při hledání zařízení, které splňuje průnik všech bezpečnos­t­ních i tech­nických poža­davků. Za sebe mohu do­poručit Ge­malto IDBridge CT710 v kom­bi­naci s Win­dows 10 verze 20H2 build 19042.630 (v čase psaní to­hoto článku). Fun­guje mi i při zap­nuté in­tegritě paměti. (Měl jsem s tím prob­lém jen když jsem tu in­tegritu zapí­nal. Starší ovladače nebyly kom­pat­i­bilní. Stačilo jen zařízení odin­stalo­vat i s ovladači, zap­nout in­tegritu paměti, připo­jit zařízení znovu a nechat Win­dows Up­date dělat svoji práci.) Zařízení vidí Win­dows jako Ezio Shield Pin­Pad. Ezio je název pro­duk­tové řady Ge­malta. To nedávno koupil Thales Group.

Softwarové vybavení

Ap­likace eObčanka – iden­ti­fikace slouží jako prostředek mezi we­bovým proh­lížečem a ovladačem čtečky čipových karet (smart card reader). Je psaná v .NETu, což mě pří­jemně přek­va­pilo. V Mi­crosoft Store ji ne­na­jdete, takže ji ak­tu­al­izu­jete jak pit­o­mci a musíte pe­ri­od­icky kon­trolo­vat www vy­da­vatele, jestli náhodou nevy­dal novější verzi. (Kla­sické pře­ne­sení od­pověd­nosti z posky­to­vatele služby na kon­cového uži­vatele.) Uži­va­tel­ské rozhraní je pěkné. Za mě 4,5 hvězdiček z 5 (půl hvězdičky za to, že není v Mi­crosoft Store).

Ap­likace eObčanka – správce karty je z tech­nického hlediska podobná. Slouží k ovládání eOP – zo­brazení uložených cer­ti­fikátů, je­jich im­portu i mazání, změnu přís­tupových pinů a podobně. Pokud vaše čtečka pod­poruje hard­warové zadání pinu a máte správné ovladače, nezadává se pin přes tuto ap­likaci, ale přes čtečku. Jak se dále dočtete, není to bo­hužel samozře­j­most. Za mě jedno velké mínus za to, že když tato ap­likace chce za­dat IOK, na hard­warovou čtečku napíše, že chce za­dat PIN. Po ně­jaké době si na to totiž zvyknete, a až po vás jiná ap­likace bude chtít skutečný PIN, budete zadá­vat IOK. Občanku si tak můžete po třech neúspěšných zadání snadno zabloko­vat.

Podání žádosti

Podání žá­dosti (CSR – cer­tifi­cate sign­ing re­quest) je spo­jené s not­nou by­rokrat­ickou omáčkou. Po­dle mého ná­zoru úplně zbyteč­nou.

Tato část je speci­fická pro konkrétní cer­ti­fikační au­toritu. Já jsem si zvo­lil společnost PostSignum, pro­tože jsem chtěl dát státu (a jeho stát­ním společnos­tem) šanci zlepšit si u mě rep­utaci. Dopadlo to však s naprosto opačným efek­tem. Příště si raději při­platím a využiji jistě kval­it­nějších služeb I.CA či eI­den­tity. Tento postup bych do­poručil také uži­vatelům ma­cOS, nebo těm, kteří použí­vají svoji oblíbe­nou lin­ux­ovou dis­tribuci, ať už je jakáko­liv.

To hlavní, v čem se dá všechno úplně zpackat, je čtení návodů. Nes­míte se řídit návo­dem od Post­Signum, ani se nes­míte řídit tím, jak vás navádí samotná ap­likace iSignum. Pokud totiž při gen­erování žá­dosti necháte zaškrtnuté pole Zálo­ho­vat privátní klíč a zároveň je vy­brán kval­i­fiko­vaný prostředek, ap­likace se vás zeptá, jestli chcete odes­lat žá­dost i přes to, že ne­jde zálo­ho­vat privátní klíč. Dělá to do­jem, že je záloha privát­ního klíče hrozně důležitá. Jenže ve skutečnosti se jedná právě o to, o co z bezpečnos­t­ního hlediska určitě nesto­jíte. Chcete mít z občanky QSCD. Správné nas­tavení je tedy toto:

eIDAS
eIDAS

I když to uděláte ji­nak, v reálu se nic neděje. České úřady to nepotře­bují. Pro ně je kval­i­fiko­vaným cer­ti­fikátem i cer­ti­fikát bez příz­naku uložení na QSCD, což je to, co dostanete, když klíč vy­generuje niko­liv to­hoto zařízení, ale váš op­er­ační sys­tém. Vlastně to ne­musíte chá­pat jako bug, ale fea­ture. Cer­ti­fikát s ge­ograficky omezenou plat­ností je něco, co je v elek­tron­ickém světě skutečný unikát.

Pokud však nechcete být v zahraničí za bl­bce, je do­bré mít vše správně. Stalo se mi totiž, že mi v Londýně ne­fun­go­val bio­met­rický pas. Pravděpodobně proto, že byl vy­daný před polovi­nou roku 2008 a elek­tron­ický čip v něm ještě neob­sa­ho­val dig­itální otisky prstů. Pokud vám totiž české úřady něco vy­dají, nez­na­mená to ještě, že to splňuje stan­dardy běžné ve vyspělých zemích.

Nezapomeňte si zažá­dat o IK MPSV. To se zase pro přeh­led­nost vy­plňuje jinde, a sice na listině Údaje pro vy­dání cer­ti­fikátů. Pokud by váš cer­ti­fikát IK MPSV neměl a privátní klíč by byl vy­gen­erován na kval­i­fiko­vaném prostředku, měl byl být elek­tron­ický pod­pis te­o­ret­icky platný ve všech člen­ských státech EU. Tedy i v Česku. Te­o­ret­icky. Když neu­važu­jeme státní im­ple­mentaci, na­tož prováděcí před­pisy, že ano.

eIDAS
eIDAS

Nezapomeňte také požá­dat o kval­i­fiko­vaný cer­ti­fikát. Te­o­ret­icky by měl Fi­nanční správě stačit komerční cer­ti­fikát s IK MPSV, ale jiné státní úřady se mo­hou zase cítit před­pisy EU více vázány a kval­i­fiko­vaný cer­ti­fikát vyžadovat.

eIDAS

Každý vy­daný cer­ti­fikát se musí zveře­jnit, ji­nak není důvěry­hodný. Pro­tože však z prin­cipu musí ob­sa­ho­vat vaše osobní údaje, potře­buje k tomu CA váš souh­las. Za­jí­mavé však je, když ji ten souh­las nedáte. Co se stane pak, nikdo neví. Státní správa totiž musí ak­cep­to­vat i takový pod­pis, který byl vytvořený certi­fikátem, který není veře­jně dos­tupný.

Přestože je možné Sm­louvu o posky­tování cer­ti­fikačních služeb uzavřít i na dobu neurči­tou, vy­h­nul bych se tomu. Když každý cer­ti­fikát jed­nou ex­piruje, tak proč by sm­louvy neměly?

Narozdíl od I.CA nebo eI­den­tity, u Post­Signum ne­jde vy­gen­erovat a poslat žá­dost přes we­bový proh­lížeč. Post­Signum inzeruje pro­pri­etární ap­likaci jako tu ne­js­nazší možnost. Pře­dem upo­zorňuji, že to první, co budete muset po spuštění této ap­likace udělat, je zjis­tit, kam se au­to­mat­icky nain­stalo­vala, změnit její chování tak, aby DPI řídil OS a pak ji znovu spustit, abyste v ní byli schopni něco přečíst. Toto umístění si někam poz­namene­jte, pro­tože po je­jím použití ji ze sys­tému jedn­oduše neodin­stalu­jete. Nemá totiž kla­sický Mi­crosoft Win­dows In­staller, ale něco pro­pri­etárního, co kamsi kopíruje jakési soubory, které se pak spouští.

Nemožnost po­dat žá­dost přes we­bový proh­lížeč přitom nechápu, pro­tože je to možnost z prin­cipu mul­ti­plat­formní a CA tak ne­musí pro­gramo­vat ob­s­lužné ap­likace pro všechny mys­litelné op­er­ační sys­témy (Win­dows, ma­cOS, Linux) v kom­bi­naci se všemi možnými in­strukčními sadami (x86, x86-64, ARM, ARM64). To máte celkem 12 kom­bi­nací, na kterých si musíte oh­lí­dat funkčnost kryp­tografických kni­hoven. Paráda. Dočkáme se v bu­doucnu pod­pory ar­chitek­tur Power ISA či RISC-V? Nevím. Tuším ale, že Chromium na ně bude por­to­vané mno­hem dříve.

Prý je ještě „lepší“ možností vy­gen­erovat si žá­dost sám a donést ji na poštu na úložišti s USB sběr­nicí (od typu použité paměti li­dově nazý­vaného jako flashka). Pokud tak učiníte, použi­tou flashku rov­nou vy­hoďte. Po návratu z pošty není bezpečné ani její připo­jení k op­er­ačnímu sys­tému za účelem zfor­má­tování. Leda že byste vlast­nili speciální hard­ware, který neumí nic jiného než for­má­tování flashek. Pokud se dom­níváte, že pře­háním, přečtěte si, čím byl Stuxnet.

Počí­tačovou síť České pošty totiž nelze po­važo­vat za bezpeč­nou prostě už jen z toho důvodu, že je vůbec možné k počí­tači v její síti připo­jit flashku od­kud­koli zvenčí. Si­tu­ace je možná vážnější, než si něk­teří lidé připouští.

Instalace certifikátu

Certifikát s příznakem uložení na QSCD

K im­portu cer­ti­fikátu od QCA (veře­jná část cer­ti­fikátu bez privát­ního klíče) jde použít eObčanka – správce karty. Ne­jprve si ji musíte přep­nout do rozšířeného zo­brazení a poté můžete k již vy­gen­erovanému privát­nímu klíči im­por­to­vat vys­tavený cer­ti­fikát.

Pokud jste vy­gen­erovali žá­dost po­mocí ap­likace iSignum, stačí v ní po převzetí cer­ti­fikátu kli­knout na tlačítko Stažení cer­ti­fikátu, poté na Zkon­trolo­vat vy­dané cer­ti­fikáty a nově nalezený cer­ti­fikát na eOP nain­stalo­vat touto ces­tou. Je to vlastně hodně snadné a pokud cer­ti­fikát jen ob­novu­jete, vy­gen­erování nového cer­ti­fikátu tímto způ­sobem zabere jen minutu. Musíte však mít s Českou poš­tou plat­nou sm­louvu o posky­tování cer­ti­fikačních služeb.

Certifikát k privátnímu klíči uloženému ve Windows

Pokud vám stačí mít cer­ti­fikát uložený ve Win­dows, stačí ho jen nain­stalo­vat. Je však lepší mít cer­ti­fikát na eOP, pro­tože to zaručí, že bude chráněn dalším heslem a bude přís­tupný pro op­er­ační sys­tém jen po dobu, kdy je eOP fyz­icky ve čtečce.

Pře­sun privát­ního klíče z Win­dows do eOP je velice snadný. Ap­likace iSignum to zvládne za vás. Stačí ex­port privát­ního klíče z Win­dows do souboru (for­mát PKCS#12, přípona souboru PFX) a jeho následný im­port do eOP.

Al­ter­na­tivně můžete použít pro ex­port mmc.exe, při­dat modul snap-in Cer­ti­fikáty pro uži­va­tel­ský účet, na­jít váš cer­ti­fikát a ten ex­por­to­vat i s privát­ním klíčem. K im­portu můžete použít ap­likaci eObčanka – Správce karty.

Po úspěšném im­portu nezapomeňte cer­ti­fikát z Win­dows smazat. Mys­lím tím jak od­s­tranění cer­ti­fikátu z úložiště cer­ti­fikátů ve Win­dows, tak i od­s­tranění souboru s privát­ním klíčem (samozře­jmě ne jeho pouhé pře­sunutí do koše).

Pointa všeho je mít privátní klíč v zařízení, od­kud už ne­jde ex­por­to­vat. Nicméně zase ho musíte v ap­likaci zareg­istrovat do op­er­ačního sys­tému. To je z toho důvodu, aby měl op­er­ační sys­tém vůbec přeh­led o tom, jaké cer­ti­fikáty jsou hy­potet­icky dos­tupné. To se dělá v ap­likaci eObčanka – Správce karty.

Když to uděláte, je trošku ma­toucí, že se pak Win­dows tváří jako když je privátní klíč uložený na pevném disku vašeho PC (což je hrů­zos­trašná před­s­tava). Ve skutečnosti ale není. Pokud si ho však ně­jaká ap­likace vyžádá, je tento poža­davek přes­měrován na přís­lušný hard­ware (tj. kval­i­fiko­vaný prostředek). Nicméně pro­tože je tento prostředek připo­jen větši­nou přes USB, může k němu ap­likace přis­tupo­vat přímo a úložiště cer­ti­fikátů ve Win­dows obe­jít. Oba způ­soby jsou možné. V praxi je tedy zareg­istro­vání cer­ti­fikátu do Win­dows potřeba jen kvůli tomu, aby mohly elek­tron­ický pod­pis použí­vat i ty ap­likace, které umí číst cer­ti­fikáty jen z úložiště cer­ti­fikátů ve Win­dows. Takovou ap­likací je napřík­lad Mi­crosoft Out­look.

Použití v aplikacích Daňového portálu Finanční správy

Pokud jste chtěli vůči fi­nanční správě elek­tron­icky pode­piso­vat, až do 1. 9. 2020 jste museli mít In­ter­net Ex­plorer a do­pl­něk Ac­tiveX. Pod­pis jste re­al­i­zo­vali otevřením souboru s vaším privát­ním klíčem přímo v proh­lížeči. Pod­pora to­hoto proh­lížeče však skončí k 9. 3. 2021. Pa­trně i z to­hoto důvodu vy­dala Fi­nanční správa ap­likaci ePod­p­isFS. Na první poh­led by možná bylo před­mětem údivu proč až teď, ale ve srovnání s Jižní Ko­reou na tom ne­jsme zas tak špatně. I ona se totiž zbav­ila závis­losti je­jich dig­itál­ního ID na do­plňku postaveném na Ac­tiveX až v tomto roce. Nicméně vzh­le­dem k tomu, že Ac­tiveX je z roku 1996, je to min­imálně po­zoruhodné.

Již umiňo­vaná ap­likace ePod­p­isFS je psaná v Javě. Po je­jím spuštění je ihned k dis­pozici její test. Kliknutím na tlačítko Spustit test proběhne hledání těch osob­ních cer­ti­fikátů ve vašem op­er­ačním sys­tému, které jsou kval­i­fiko­vané a ne­j­sou ex­pirované či zne­plat­něné. Během testu se dokonce kon­troluje, jestli je současná verze ap­likace stále ak­tuální.

eIDAS

Ap­likace má nor­mální in­stalá­tor, takže jde i nor­málně odin­stalo­vat. Verze pro Win­dows je zatím jen 32bitová, i když od­s­tavec s pod­porovanými op­er­ačními sys­témy tvrdí něco jiného. Za­jí­malo by mě, kdy se dočkáme verze pro ARM64. Ap­ple před­s­tavil svůj pro­ce­sor M1 přede­včírem a Mi­crosoft svůj SQ1 už více jak před rokem. Myslete tedy při výběru svého počí­tače na to, že někdy také můžete chtít platit daně.

Do Daňového portálu se jde po­mocí této ap­likace a kval­i­fiko­vaného cer­ti­fikátu i přih­lásit. Potíž je však v tom, že portál nezná váš IK MPSV. Je škoda, že si portál sám neh­lídá sez­namy vy­daných kval­i­fiko­vaných cer­ti­fikátů. Věděl by z nich, které IK MPSV má spárovat se svými uži­va­tel­skými účty. Ne­jprve je nutné se do Daňového portálu přih­lásit kliknutím na Přih­lásit NIA. Což zna­mená přes Portál národ­ního bodu pro iden­ti­fikaci a au­t­en­ti­zaci.

Přih­lašování a pode­pisování jsou dvě naprosto odlišné op­er­ace. Když už ale máte čtečku čipových karet a OP s kon­tak­t­ním čipem, můžete se přes NIA přih­lásit jím. K tomu cer­ti­fikát potřeba není. Ten je potřeba jen k pod­pisu.

Podání a podepsání písem­nosti je možné učinit něko­lika způ­soby. Je­den z nich je:

eIDAS

Aplikace už vás pak navede. Ne­jprve vy­berete druh úložiště (op­er­ační sys­tém, nebo kval­i­fiko­vaný prostředek) a poté konkrétní cer­ti­fikát. Další kroky jsou závislé na konkrét­ním hard­waru, nicméně zadávání PINu přímo do čtečky fun­guje dle očekávání.

eIDAS

Pokud je PIN (a ten­tokrát se tím myslí opravdu PIN, niko­liv IOK) zadaný správně, čtečka vydá ap­likaci ePod­p­isFS privátní klíč k cer­ti­fikátu. Jím pak doku­ment pode­píše a odešle.

Shrnutí

Proč nemůže stát vy­dat občan­ský průkaz (OP) s již nain­stalo­vaným kval­i­fiko­vaným cer­ti­fikátem s IK MPSV s příz­nakem uložení na bezpečném prostředku (se zakázaným ex­portem privát­ního klíče), který by měl da­tum ex­pirace shodné s kon­cem plat­nosti průkazu? Vždyť naprostá většina kryp­tografických čipových karet dokáže gen­erovat privátní klíč v čipu samot­ném. Fyz­icky k tomu může docházet v mo­mentě, kdy si OP vyzvedáváte.

Zálo­hování privát­ního klíče, tedy ani jeho ex­port, by ne­musel být zapotřebí. Kdy­byste ztratili průkaz, nevadilo by to. Místo ob­novení cer­ti­fikátu ze zálohy byste prostě měli cer­ti­fikát nový. A jako bonus by mohl úřad hned při nahlášení ztráty OP au­to­mat­icky zne­plat­nit cer­ti­fikát, který je na něm uložený.

Mít ap­likace na Mi­crosoft Storu je z bezpečnos­t­ního hlediska dvousečné. Sice by se ap­likace ak­tu­al­i­zo­valy au­to­mat­icky, na druhou stranu by se musel Mi­crosoft zavázat, že je ze storu neod­s­traní bez souh­lasu vlády. Pro­tože kdyby se tak stalo, přestaly by fun­go­vat všechny elek­tron­ické po­datelny. Ob­dobné by to bylo u Applu a jeho Mac App Storu. Na druhou stranu verze těchto ap­likací pro Linux by fun­go­valy pořád, takže by si lidé v pří­padě nut­nosti nain­stalo­vali Linux a jeli by dál. Proto si mys­lím, že je pod­pora Lin­uxu důležitá. Bez vlád­ních ap­likací pro Linux není možné, aby se ob­jevily i v ob­chodech ap­likací svázaných s komerčním pro­pri­etárním op­er­ačním sys­tém.

Závěrem

Elek­tron­ické pod­pisy ne­j­sou ani zdaleka takové, jaké by měly být. Na celé věci mi při­jde ne­jtěžší ob­s­tarat si kval­i­fiko­vaný cer­ti­fikát a bezpečná ma­nip­u­lace s jeho privát­ním klíčem. Kdy­byste ho ob­drželi rov­nou s OP, kde vaši to­tožnost ověřují tak jako tak, bylo by vše mno­hem jedn­odušší. Ap­likace eObčanka a ePod­p­isFS mi při­j­dou dostatečně vyspělé a pokud půjde vývoj součas­ným tem­pem dál, třeba bude jed­nou stát ve spolupráci s EU pla­cení daní víc zjedn­odušo­vat než znepří­jemňo­vat. Současné přih­lašování osob­ním cer­ti­fikátem je však z doby ka­menné, možná i za hra­nou zákona. V cer­ti­fikátu totiž není uve­deno, že je možné ho takto použí­vat. Jak chce Fi­nanční správa chtít po daňových poplat­nících, aby neobcházeli zákony, když to sama dělá? Navíc z hlediska toho, co je na in­ter­netu běžné, to je naprosto nedůvěry­hodné. Osob­ním cer­ti­fikátem se totiž běžně přih­lašuje již ve fázi nava­zování spo­jení se serverem po­mocí TLS (trans­port layer se­cu­rity). Norma ke klientským cer­ti­fikátům je z roku 2008. Fun­guje všude. Proč ale dělat věci jedn­oduše, když to jde i složitě?