Prostředky pro elektronickou identifikaci – Terminologie

Následující příspěvek je úvodem do terminologie z oblasti prostředků pro elektronickou identifikaci (electronic identification means), což zahrnuje např. prostředky pro vytváření bezpečných elektronických podpisů (secure signature creation devices) atp. Článek navazuje na předchozí terminologická témata: Identifikace osob; RFID, NFC, Bluetooth; Informační a komunikační technologie. Text vychází zejména z dokumentů technických komisí ISO/ IEC JTC 1, CEN TC 224 a nařízení (EU) eIDAS.

Směrnice [1999/93] o zásadách Společenství pro elektronické podpisy (on a Community framework for electronic signatures)

Definice souvisejících termínů jsou uvedeny v každé směrnici a nařízení EU. V dokumentu 1999/93 jsou uvedeny např. tyto (zjednodušeno):

• elektronický podpis (electronic signature) – údaj v elektronické podobě, který je připojen či logicky spojen s jinými elektronickými daty a který slouží jako metoda ověření pravosti;
• zaručený elektronický podpis (advanced electronic signature) – elektronický podpis, který splňuje dále specifikované požadavky;
• podepisující osoba (signatory) – jakákoli osoba, která má prostředek pro vytváření podpisu a která jedná na svůj účet nebo na účet fyzické či právnické osoby nebo subjektu, které zastupuje;
• data pro vytváření podpisu (signature- creation data) – jedinečná data, jako jsou kódy nebo soukromé šifrovací klíče, které podepisující osoba používá k vytvoření elektronického podpisu;
• prostředek pro vytváření podpisu (signature-creation device) – konfigurovaný softwarový nebo hardwarový prostředek pro využití dat při vytváření podpisu;
• prostředek pro bezpečné vytváření podpisu ( secure-signature-creation device) – prostředek pro vytváření podpisu, který splňuje dále specifikované požadavky;
• data pro ověřování podpisu (signature- verification-data) – data jako kódy nebo veřejné šifrovací klíče, které se používají pro ověřování elektronického podpisu;
• prostředek pro ověřování podpisu (signature-verification device) – konfigurovaný softwarový nebo hardwarový prostředek pro využití dat při ověřování podpisu.

Zákon č. 227/2000 Sb., o elektronickém podpisu, implementuje směrnici 1999/93 pro používání elektronického podpisu, elektronické značky, poskytování certifikačních služeb a souvisejících služeb. Zákon rozšiřuje sadu definic ze směrnice 1999/93, např:

• elektronická značka – údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené; později přejmenovano na elektronickou pečeť ( electronic seal).

Technika kryptografie s veřejným klíčem (public key cryprography) je používána pro proces podepsání a ověření dokumentu, viz obr. 1.

Nařízení [910/2014] eIDAS (electronic IDentification, Authentication and trust Services), o elektronické identifikaci a službách vytvářejících důvěru (on electronic identification and trust services)

Nařízení 910/2014 proti směrnici 1999/93 rozšiřuje zásady společenství na:

• elektronické podpisy (electronic signatures),
• elektronické pečetě (electronic seals),
• elektronická časová razítka (electronic time stamps),
• elektronické dokumenty (electronic documents),
• elektronické doporučené doručování (electronic registered delivery servises),
• certifikované služby pro autentizaci webových stránek (certificate services for website authentication).

Nařízení 910/2014 rozšiřuje sadu definic ze Směrnice 1999/93, např:

• elektronická identifikace (electronic identification) ‒ postup používání osobních identifikačních údajů v elektronické podobě, které jedinečně identifikují určitou fyzickou či právnickou osobu nebo fyzickou osobu zastupující právnickou osobu;
• prostředek pro elektronickou identifikaci (electronic identification means) ‒ hmotná či nehmotná jednotka obsahující osobní identifikační údaje, která se používá k autentizaci pro účely on-line služby;
• osobní identifikační údaje ( person identification data) ‒ soubor údajů umožňujících určit totožnost fyzické či právnické osoby nebo fyzické osoby zastupující právnickou osobu;
• poskytovatel služeb vytvářejících důvěru (trust service provider) ‒ fyzická nebo právnická osoba, která poskytuje jednu či více služeb vytvářejících důvěru buď jako kvalifikovaný, nebo jako nekvalifikovaný poskytovatel služeb vytvářejících důvěru;
• elektronická pečeť (electronic seal) ‒ data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena s cílem zaručit jejich původ a integritu;
• elektronické časové razítko (electronic time stamp) ‒ data v elektronické podobě, která spojují jiná data v elektronické podobě s určitým okamžikem a prokazují, že tato jiná data existovala v daném okamžiku.

Nařízení 2014/910 je přímo použitelným předpisem, který je upravován pro ČR předpisy:

• zákon č. 297/2016 Sb., o elektronickém podepisování a pečetění,
• zákon č. 250/2017 Sb., o elektronické identifikaci.

Technická komise CEN/TC 224 vydala v návaznosti na směrnici 1999/93 a nařízení 2014/910 řadu dokumentů, např:

• ČSN EN 14890 Aplikační rozhraní pro čipové karty používané jako zařízení pro vytváření bezpečného podpisu (Application Interface for smart cards used as Secure Signature Creation Devices);
• ČSN EN 419212 Aplikační rozhraní pro prvky zabezpečení pro elektronickou identifikaci, autentizaci a důvěryhodné služby (Application Interface for Secure Elements for Electronic Identification, Authentication and Trusted Services).

Jako prvky zabezpečení (secure elements) lze použít např:

• arty s kontakty (Cards with contact), ISO/IEC 7816;
• USB tokeny (USB tokens), ISO/IEC 7816-12;
• bezkontaktní karty (contactless integrated circuit cards), ISO/IEC 14443.

Elektronický občanský průkaz, e-OP (Czech Republic electronic identification card) je znám ve dvou verzích:

• od roku 2012 se strojově čitelnými údaji (podle zákona č. 328/1999 Sb.);
• od roku 2018 obsahuje kontaktní čip integrovaného obvodu (podle nařízení eIDAS).

Verze 2018 nabízí elektronické aplikace (které lze dodatečně aktivovat), např:

• podepisování,
• identifikaci.

Pro aktivaci elektronické komunikace je nutné zakoupit čtečku čipových karet (Chip Card Interface Device) a instalovat příslušné ovladače.

Autentizační kódy související s e-OP:

• BOK, bezpečnostní osobní kód,
• PIN (Personal Identification Number), pro autentizaci operací s certifikáty,
• QPIN, pro autentizaci podepisování kvalifikovaným certifikátem,
• PUK (Personal Unblocking Code), pro odblokování PINu nebo QPINu,
• IOK, identifikační osobní kód (ověřování identity)
• DOK, deblokační osobní kód (odblokování IOKu).