Hlavní navigace

Ptejte se Jaromíra Talíře, šéfa vývoje autentizační služby mojeID

Služba mojeID nedávno přišla s možností propojení ke službám eGovernmentu. K tomuto účelu musela zajistit možnost ověřeného propojení s NIA (Národního bodu pro identifikaci a autentizaci) a podporu certifikovaných tokenů FIDO2. Máte možnost se na technické detaily zeptat Jaromíra Talíře, šéfa vývoje autentizační služby mojeID.

V rozhovoru odpovídá

  • Jaromír Talíř

    (technický partner v CZ.NIC)

    Jaromír Talíř má v CZ.NIC na starosti především architekturu a další technické parametry systému správy domén a autentizační služby mojeID. Již při studiu informatiky na Matematicko-fyzikální fakultě Univerzity Karlovy v Praze začal Jaromír Talíř pracovat jako programátor v telekomunikační společnosti IPEX, a. s. na vývoji interního informačního systému. Na této pozici strávil osm let. Do sdružení CZ.NIC přišel v roce 2006. Na podzim roku 2016 byl jmenován jedním z vedoucích CENTR Technical Working Group. Mezi Jaromírovy koníčky patří sport (fotbal, volejbal), společenský tanec a zajímá se také o historii. Mluví plynně anglicky.

Rozhovor je uzavřen, nelze vkládat nové dotazy.

Dotazy

  • Ptá se Pavel

    Dobrý den,
    bude někdy možné se přes MojeID přihlásit do některé banky, spořitelny, pojišťovny apod.?

    Odpovídá Jaromír Talíř

    Dobrý den,
    pokud mezi pojišťovny počítáte i ty zdravotní, tak např. u OZP to je možné již nyní - https://www.ozp.cz/vkol/. Já se tam přes mojeID hlásím a sleduji např. kolik si za mě účtují zdravotnická zařízení. V seznamu všech služeb aktuálně napojených na NIA https://info.eidentita.cz/sep/ je i Raiffeisen stavební spořitelna. Na jejich stránkách se mi přihlášení přes NIA nepodařilo najít, takže nejspíš teprve implementaci připravují. Snad se brzy zapojí i další. Co se týká bank, tak tam si myslím, že se novelou AML trochu vyvlékli z povinnosti používat NIA a teď to záleží čistě na nich, zda-li přihlášení tímto způsobem umožní.

  • Ptá se Jan

    Plánujete službu, díky které by mohl uživatel ověřeného mojeID opatřit libovolný dokument (PDF) dosvědčeným podpisem? Něco na způsob MůjPodpis od Komerční banky?

    Odpovídá Jaromír Talíř

    Shodou okolností jsme obdobnou službu měli těsně před spuštěním před sedmi lety na doméně podepsano.cz, ale tenkrát jsme marně hledali někoho, kdo by jí aktivně využíval. I v tomto jsme nejspíš trochu předběhli dobu. Aktuálně zkoumáme, zda-li se nám podaří tento starý kód oživit.

  • Ptá se Honza

    Plánujete získat pro MojeID certifikaci na úroveň “vysoká”?

    Odpovídá Jaromír Talíř

    Rádi bychom. I proto jsme pro akreditaci zvolili právě technologii FIDO, která v sobě z principu nese možnost specifikace bezpečnostních parametrů na vysoké úrovni. V průběhu akreditace jsme se rozhodli ten proces rozdělit, dokončit akreditaci na úroveň Značná a otevřit prostor pro podrobnější debatu jaké mají mít tyto bezpečnostní parametry hodnoty pro úroveň Vysoká.

  • Ptá se Josef

    Mam v penezence 2 doklady: OP se strojove citelnymi udaji, a dale mojeiD card. Jaky je technicky rozdil a neslo by to nejak nekdy sloucit ve prospech lepsi technologie?

    Odpovídá Jaromír Talíř

    Co se týká papírové kartičky, kterou posíláme souběžně s ověřovacím kódem PIN3 při ověření korespondenční adresy, tak tam se asi nedá vůbec mluvit o nějaké technologii. Smyslem této kartičky bylo pomoci uživatelům se zapamatováním uživatelského jména, neboť v době jejího vzniku mnoho uživatelů převádělo do mojeID účty z doménového registru a uživatelské jméno nebylo úplně elegantní. To již díky možnosti slučování kontaktů v registru není problém, ale z nějakého důvodu se kartička uživatelům líbí, tak jsme neměli zatím důvod jí rušit.

  • Ptá se Michal

    Dobrý den,

    tato služba by se nám líbila i pro B2B, tedy ověřit identitu majitele firmy v rámci KYC procesu. Přemýšleli jse o tom? Pokud by byl proces dostatečně jednoduchý mohla by si služba získat pozornost firem.

    Odpovídá Jaromír Talíř

    Dobrý den,

    Určitě o tom přemýšlíme. Celý koncept elektronické identity v rámci NIA je nicméně aktuálně postaven na totožnostech fyzických osob. Dalo by se asi využít nějakého rozhraní k obchodním rejstříkům ke zjištění zda existuje vztah ověřené fyzické osoby a dané právnické osoby. Nicméně ty vztahy mohou být tak komplikované (např. že za právnickou odobu vždy musí jednat dvě ze tří uvedených osob), že automatizace v tomto smyslu není úplně triviální.

  • Ptá se David

    Dobrý den, mám dotaz ohledně informačního systému města Brna, který je na adrese https://www.brnoid.cz/.
    Již před lety jsem jim navrhoval, ať nevymýšlí nějaké další "id", ale ať použijí již existující "mojeiD".
    Dodnes se tak bohužel nestalo.
    Nevíte jestli to náhodou nevázne na straně "mojeiD"?

    S pozdravem
    David Kříž z Brna.

    Odpovídá Jaromír Talíř

    Dobrý den,
    měli jsme s jejich zástupci jednání možná dva roky zpátky a jejich podmínka tehdy byla, aby měli přístup k podkladům které jsme použili pro ověření totožnosti. To víceméně popírá princip fungování služby, takže jsme se tenkrát nedohodli. V každém případě se případné spolupráci samozřejmě nebráníme a obecně souhlasím s tím, že asi je lepší spolupracovat než vytvářet další nová "ID" ať je již před "ID" napsáno cokoliv.

  • Ptá se Ondrej

    Uplne jsem nepochopil, jak funguje prihlasovani pomoci tokenu k eGov. Mam-li 2 tokeny, musim kazdy overovat na czechpointu zvlast, nebo staci overit jeden a ten druhy proste jen pridat v administraci mojeid? Proc nestaci OTP?

    Kdyz si zaregistruju fingerprint na mobilu, budu se moci timto otiskem prihlasit do eGov nejak i na pocitaci? Mate prosim nekde popsano, jak toto funguje?

    Dekuji

    Odpovídá Jaromír Talíř

    Pokud máte dva FIDO bezpečnostní klíče tak stačí ověřit totožnost na Czech Pointu při přidání prvního z nich. Při přidání druhého je pak možné ověřit totožnost tím prvním. Pro ověření totožnosti je vždy třeba použít prostředek, který je akreditovaný a to v tuto chvíli OTP není. Toto obecně bez problémů funguje u externích klíčů. U systémovych klíčů, které jsou svázány s konkrétním zařízením jako je právě otisk prstu v telefonu je to složitější, protože z jejich principu je možné je použít pouze na tom konkrétním zařízení. Tam je určitě nejjednodušší cesta mít ještě jeden externí klíč pro přenos. Ten může zároveň sloužit jako záloha.

  • Ptá se Ondřej

    Proč jsou jména a příjmení synchronizovaná ze základních registrů vždy velkými písmeny? Plánujete dát uživatelům možnost změnit velikost písmen i u účtu propojeného se základními registry?

    Odpovídá Jaromír Talíř

    Jména a příjmení jsou velkými písmeny právě protože jsou synchronizována ze základních registrů, kde je jméno a přijmení uloženo v této podobě. Nicméně reagujeme na zpětnou vazbu uživatelů, že se jim to takto nelíbí. Konzultovali jsme změnou jak s MVCR tak se SZR a nyní již je u nově připojených účtů jméno a příjmení překládáno do standardní podoby s prvním velkým písmenem. U již připojených účtů provedeme aktualizaci v krátké době.

  • Ptá se Ondřej

    Jaký má význam požadavek na certifikaci tokenů na úroveň 1, když tato úroveň vůbec nepožaduje zvláštní ochranu privátních klíčů a je tedy možné certifikovat i softwarový autentikátor, který ukládá tajemství jako obyčejné soubory na disku?

    Odpovídá Jaromír Talíř

    Původně jsme navrhovali akreditovat bezpečnostní klíč bez certifikace. Z našeho pohledu takový prostředek má stejnou bezpečnostní úroveň jako telefon přijímající potvrzovací SMS. Ministerstvo v rámci akreditačního procesu navrhlo požadovat alespoň základní FIDO certifikaci na úroveň 1 a my jsme tento návrh nakonec akceptovali. Není úplně pravda, že certifikace na úroveň 1 nic neřeší. Existuje celá řada požadavků, které musí certifikovaný prostředek splňovat a i když jsou tyto požadavky uvěřovány FIDO sekretariátem na základě poskytnuté dokumentace, výrobci jsou si vědomi toho, že lhaní by jim mohlo významně poškodit pověst. Navíc má výrobce povinnost informovat o případných zjištěných základních zranitelnostech. Pro nás toto má minimálně tu výhodu, že je jasná identifikace výrobce a tedy i komunikační kanál pro řešení případných problémů.