SlideShare a Scribd company logo
1 of 39
Letem světem elektronické identifikace
Jiří Peterka
10.6.2021
s jakými pojmy se seznámíme?
• elektronická identita vs. uživatelský účet
• atributy (elektronické identity)
• elektronická identifikace
• autentizace, autentizační faktory
• autorizace
• poskytovatel identity (IdP, Identity Provider)
• poskytovatel služeb (SeP, Service Provider)
• principy Same Sign On a Single Sign On
• federace identit
• systém elektronické identifikace
• kvalifikovaný systém (el. identifikace)
• kvalifikovaný správce
• prostředek elektronické identifikace
• kvalifikovaný prostředek
• úroveň záruky
• kvalifikovaný poskytovatel
• národní bod (pro identifikaci a autentizaci)
• Národní identitní autorita (NIA)
• zaručená identita
• bankovní identita, SONIA, BankID
fyzická vs. elektronická identita
• každá fyzická osoba existuje jen 1x
‒ naše fyzická identita je jen jedna ….
• ale: údaje o jednotlivých osobách mohou být obsaženy v mnoha různých evidencích,
kartotékách, rejstřících, databázích, ……
‒ každá evidence shromažďuje určitý rozsah dílčích údajů o jednotlivých osobách – tzv. atributů,
které dohromady tvoří (elektronickou) identitu příslušné osoby
• jedna fyzická identita se může „promítat“ do
mnoha různých elektronických identit
‒ každá může pracovat s různou sadou atributů
1x
Nx
Josef Novák 12.3.1987 ženatý
jméno, příjmení datum narození rodinný stav
fyzická identita elektronická identita (pokud je evidence vedena v elektronické podobě)
Jan Nováček 23.4.1990 rozvedený
Petr Novotný 31.5.2002 svobodný
elektronická identita vs. uživatelský účet
• reálný význam je velmi podobný:
‒ jsou to nějaké údaje, které se týkají konkrétní osoby … subjektu, držitele, …
‒ někde se to uchovává …. databáze
‒ někdo tu databázi zřizuje / naplňuje / vede / spravuje / …. správce
• elektronická identita
‒ je to právní (ale i technický) pojem
‒ souvisí s (elektronickou) identifikací
• a autentizací i autorizací
‒ nemusí být (přímo) přístupná svému držiteli
• např. identita v základních registrech
‒ při potřebě „ukázat a prokázat, že jsem držitelem“
právo používá pojem „prostředek“ (pro el.
identifikaci)
• uživatelský účet
‒ spíše technický (praktický) pojem
‒ souvisí s přihlašováním
• a s možností využívat konkrétní službu
‒ pro držitele by měl být vždy přístupný
‒ při potřebě „ukázat a prokázat, že jsem držitelem“
se používá spíše pojem „přihlašovací údaje“
prostředek
(pro elektronickou identifikaci)
( electronic identification
means …. )
přihlašovací údaje
(např. uživatelské jméno + heslo)
( credentials)
elektronická identifikace
• je to společné označení pro dvě různé věci:
‒ vytvoření (elektronické) identity
• (počáteční) naplnění atributů konkrétními
hodnotami
• důležité je:
– odkud jsou údaje získávány
– zda jsou získané údaje ověřovány
– jak jsou údaje aktualizovány
– ……..
‒ v praxi jde (nejčastěji) o:
• (jednorázovou) registraci
– vytvoření nového uživatelského účtu
‒ výběr (elektronické) identity
• výběr z již existujících (vytvořených)
elektronických identit
– elektronické identity jsou již vytvořeny
• i „naplněny“ konkrétními hodnotami svých atributů
– cílem je určit (vybrat) jednu konkrétní identitu
‒ v praxi jde (typicky) o:
• (opakované) přihlašování
– pod příslušnou identitou
Josef Novák U Kliky 1 Praha josef.novak@seznam.cz
jméno, příjmení adresa město email jan2
honza21
pepanovak
josef.n
jp58
uživatelskéjméno
?
pepanovak
registrace vs. přihlašování
• při (jednorázové) registraci:
‒ uživatel je „zaveden do systému“
• uvnitř systému vzniká jeho elektronická
identita/uživatelský účet
‒ uživatel získává své „uživatelské jméno“
• identifikátor pro svou nově vytvořenou
elektronickou identitu/uživatelský účet
– aby se následně mohl na svou identitu/účet odkazovat
• například (uživatelským jménem je):
– emailová adresa
• dobře se pamatuje …
– uživatelem zvolený řetězec (identifikátor)
– identifikátor přidělený systémem
• při (opakovaném) přihlašování:
‒ uživatel (pokaždé) deklaruje, pod jakou identitou
se přihlašuje
– zadání uživatelského jména je pouze
deklarací: „za koho se vydávám“
– možný problém:
• někdo se může vydávat za někoho jiného
(deklarovat, že je někým jiným)
Registrační formulář
Jméno a příjmení:
Bydliště:
Datum a místo narození:
uživatelské jméno: XYZ
Přihlaste se:
XYZ
Uživatelské jméno:
Přihlaste se:
XYZ
Uživatelské jméno:
Přihlaste se:
XYZ
Uživatelské jméno:
identifikace je odpovědí na otázku:
„o koho jde?“
identifikace vs. autentizace
• jde o dva termíny, které se velmi často pletou ….
‒ identifikace
• je odpověď na otázku: „o koho jde?“
• k identifikaci dochází:
– jednorázově při registraci
• při vytváření identity / účtu
– opakovaně při přihlašování
• při „použití“ (deklarování) identity / účtu
• možný problém:
– někdo se může vydávat za někoho jiného
• identifikovat se jako někdo jiný
– příklad:
• nezletilý syn se vydává za otce, aby mohl nakoupit
v eshopu alkohol ….
‒ autentizace
• je odpověď na otázku: „jde skutečně o toho, o
koho má jít?“
• lze chápat jako:
– ověření identity
• že ji deklaruje její skutečný držitel
• provádí se:
– něčím, co může udělat/poskytnout jen skutečný
držitel identity / účtu
– prostřednictvím tzv. autentizačních faktorů
• v nejjednodušším případě: heslem
• další možnosti (autentizační faktory): PIN,
soukromý klíč, otisk prstu, jednorázové heslo
(OTP) …
Ověření vaší identity:
*************
Heslo:
Přihlaste se:
XYZ
Uživatelské jméno:
autentizační faktory
• autentizačním faktorem může být něco, co konkrétní osoba:
‒ ví/zná: PIN, (opakovaně použitelné) heslo, jednorázové heslo (OTP) ….
‒ má/vlastní: „kus HW“ / nakonfigurovaná aplikace / soukromý klíč (mobilní telefon, token,
čipová karta, ….)
‒ čím je (biometrika): otisk prstu, (rozpoznání) obličeje, …..
• jednofaktorová autentizace:
‒ používá jen jeden autentizační faktor
• nejčastěji: PIN nebo heslo
• vícefaktorová autentizace:
‒ vyžaduje více faktorů současně
‒ například:
• jméno, heslo a SMS
• jméno, mobil + otisk prstu
• jméno, heslo, mobil + otisk prstu
• příklad:
‒ přihlašování k internetbankingu ČS
jednorázové heslo, zaslané přes SMS
identifikace 2-faktorová autentizace
tzv. mobilní klíč
3-faktorová autentizace
tzv. mobilní klíč
zadání uživatelského jména
= identifikace
má na čem
potvrdit
= 1. faktor
autentizace
otisk prstu
= 2. faktor
autentizace
tzv. mobilní klíč
příklad jednofaktorové autentizace
• (stále) nejrozšířenější způsob přihlašování k datovým schránkám
‒ jen pomocí uživatelského jména a opakovaně použitelného hesla
identifikace
pomocí
uživatelského
jména
říká, jako (v jaké roli)
chce uživatel
vystupovat
(i vůči které datové
schránce)
autentizace pomocí
hesla
znalostí hesla dokládám,
že „jsem to skutečně já“
další možnosti přihlášení: se stejnou
identifikací, ale jinou autentizací
další možnosti přihlášení: se stejnou
identifikací, ale jinou autentizací
další možnosti přihlášení: se stejnou
identifikací, ale jinou autentizací
není to moc spolehlivé
identifikace autentizace (1 faktor)
vícefaktorová autentizace
• je taková autentizace, při které je využíváno více „faktorů“ souběžně
‒ a tyto faktory jsou různého typu
• pochází z jiných zdrojů / jsou získávány a přenášeny jinak
• příklad: datové schránky
‒ 2. faktor (jednorázový
kód) je zasílán skrze
Premium SMS
• v ceně 3 Kč/zprávu
identifikace pomocí
uživatelského jména
stejného, jako při
1-faktorové
autentizaci
1. autentizační
faktor: heslo
stejné heslo, jako
při 1-faktorové
autentizaci
2. autentizační
faktor: SMS kód
zasílá poskytovatel na
mobil zákazníka
2-faktorová
autentizace
• příklad 2-faktorové autentizace: přihlášení k datovým schránkám pomocí eOP
vícefaktorová autentizace
1. faktor (eOP)
„něco co mám“
2. faktor (PIN/IOK)
„něco co vím“
výběr schránky&role pro
přihlášení
identifikace
(konkrétní „kus plastu“)
autentizace certifikátem
• ve skutečnosti: autentizačním faktorem je soukromý klíč
‒ prokazuji, že vládnu tím soukromým klíčem, ke kterému byl certifikát vydán
1. protistrana (ke které se přihlašuji), pošle
mému browseru „výzvu“
• (… nějaká data ….)
4. protistrana si ověří platnost podpisu na výzvě
– pomocí veřejného klíče v certifikátu
• a z platnosti podpisu pozná, že vládnu
soukromým klíčem (autentizace)
– obsah certifikátu může využít i k identifikaci
2. vyberu certifikát, kterým
se chci autentizovat
3. můj browser podepíše
výzvu odpovídajícím
soukromým klíčem
• a spolu s certifikátem ji
vrátí protistraně
+
autentizace aplikací (mobilním klíčem)
• jde o jiné (pro uživatele jednodušší) provedení autentizace pomocí certifikátu
‒ navíc s identifikací konkrétního uživatele
• představa:
‒ poskytovatel služby (např. banka) konkrétnímu uživateli vygeneruje párová data (soukromý
+ veřejný klíč) a vystaví potřebný certifikát
• podle certifikátu následně poznává, o koho jde
‒ je nutná aktivace (počáteční individuální nastavení) aplikace
• do aplikace se „vloží“ soukromý klíč a certifikát uživatele
• princip fungování (již po konfiguraci aplikace)
QR kód
obsahuje výzvu
aplikace
podepíše výzvu
aplikace předává
podepsanou výzvu
služba si ověří
platnost podpisu na
výzvě (autentizace)
podle obsahu
certifikátu služba
určí uživatele
(identifikace)
+
+
autentizace bez identifikace
• neboli: autentizace s „nulovou“ identifikací (resp. bez identifikace)
‒ situace, kdy poskytovatel vůbec nezná svého zákazníka (neví nic o jeho identitě)
‒ ale: pro poskytování svých služeb potřebuje vždy vědět, že je to „ten samý zákazník“
• příklad: předplacená SIM karta od mobilního operátora
‒ je anonymní (při jejím zakoupení a používání není nutné sdělovat svou identitu)
• se SIM kartou je spojeno telefonní číslo
‒ anonymní zákazník se prokazuje (autentizuje)
schopností přijmout SMS zprávu na „své“
telefonní číslo
• může mít přiděleny přihlašovací údaje do
on-line portálu operátora
• a může provádět různé úkony
– objednávat/rušit služby
– dobíjet a čerpat kredit
identifikace bez autentizace
• v praxi velmi častá situace
‒ svou aktivitu (úkon, jednání, …) potřebuji adresovat někomu konkrétnímu
• například: poslat mu zprávu, vzkaz, soubor, ……
‒ musím určit (identifikovat) adresáta mé aktivity (úkonu, jednání, ….)
• jde o někoho jiného, než jsem já (jako „jednající strana“)
– nevydávám se za adresáta ……
‒ proto není zapotřebí (nepřipadá v úvahu, ani není možná) autentizace !!!
• příklady:
identifikace adresáta
(bez autentizace)
identifikace
autentizace
(1. faktor)
autentizace
(2. faktor)
autorizace
• je oprávnění ke konkrétnímu úkonu, činnosti, ….
‒ … zda něco mohu/smím (u)dělat
• příklad:
‒ autorizace uživatele v datových schránkách
• jde o jeho oprávnění pro konkrétní činnosti v datové schránce
autorizace
uživatele
je autorizován,
smí / může ….
není autorizován,
nesmí ….
není autorizován,
nesmí / nemůže ….
je autorizován,
smí / může ….
vývoj přihlašování k on-line službám
• tradiční řešení: vše „vlastními silami“
‒ poskytovatel on-line služby (např. eshop) vede uživatelům jejich uživatelské účty
‒ vytváří a udržuje elektronické identity (účty)
svých uživatelů
– v takovém rozsahu atributů, jaké potřebuje
k poskytování své služby
• chce vědět a pamatuje si (např.):
– jak se jmenují
– kde bydlí
– kdy se narodili
– ……
‒ vydává svým uživatelům vlastní prostředky pro
elektronickou identifikaci
• přihlašovací údaje (zde: jméno, heslo)
při registraci
uživatel získává
své uživatelské
jméno a heslo
‒ nevýhody pro uživatele:
• pro každou využívanou službu má samostatný (jiný)
uživatelský účet (samostatnou elektronickou identitu)
– i samostatnou sadu přihlašovacích údajů
• které by neměly být (ale bývají) stejné
• při každé změně svých údajů (např. bydliště) by měl
aktualizovat každý svůj uživatelský účet
elektronické identity
vývoj přihlašování k on-line službám
• modernější řešení: s rozdělením rolí ….
‒ poskytování služby (např. prodej zboží) je odděleno od vedení uživatelských účtů
‒ uživatelské účty zřizuje a vede jeden subjekt
• poskytovatel identity
– IdP, Identity Provider
– může být na tuto činnost specializován
• umí to, má to zabezpečené, …..
‒ služby poskytuje druhý subjekt
• poskytovatel služby
– SeP, Service Provider
– může se soustředit na „svůj byznys“
‒ výhoda pro uživatele: pomocí účtu u jednoho
poskytovatele identit (IdP) se může přihlašovat
k různým poskytovatelům služeb (SeP)
elektronických identit
vývoj přihlašování k on-line službám
• vznikli „velcí“ poskytovatelé služeb
‒ s velkým počtem uživatelů a jejich účtů (velkým rozsahem elektronických identit)
‒ s propracovaným řešením správy účtů, zajištění bezpečnosti, spolehlivosti, ……
• sami začali poskytovat více různých (vlastních) služeb
‒ a pro přihlašování k nim uživatelé využívají jeden (stejný) uživatelský účet
• časem umožnili využívat jejich uživatelské účty i pro přihlašování ke službám,
poskytovaným jinými („externími“) subjekty
„interní“ IdP „interní“ SeP
IdP, Identity Provider SeP, Service Provider
IdP, Identity Provider
SeP, Service Provider
Same Sign-On vs. Single Sign-On
• jde o dva různé způsoby využití „rozděleného řešení“ pro přihlašování
‒ kdy se uživatel přihlašuje k různým službám pomocí stejného účtu (identity)
‒ Same Sign-On (“stejné přihlášení“)
• ke každé službě se uživatel přihlašuje stejně
– ale vždy znovu
– znovu provádí jak svou identifikaci, tak i svou
autentizaci
• používá k tomu stejnou identitu, proto „Same ….“
‒ Single Sign-On („jediné přihlášení“)
• uživatel se přihlašuje jen k první službě
– a když pak přechází k další službě, už se
nepřihlašuje
• přechází jako již přihlášený uživatel
• nemusí se znovu identifikovat ani
autentizovat
přihlášení
přihlášení
přihlášení
přihlášení
…..
podporuje už i český
eGovernment
vývoj přihlašování k on-line službám
• většina poskytovatelů služeb dnes podporuje obě varianty:
‒ tradiční „řešení vlastními silami“
• nabízí uživatelům možnost zřídit si
„místní účet“
– účet vedený poskytovatelem služby
• umožňuje přihlašovat se „místním
účtem“
‒ modernější „rozdělené řešení“
• umožňuje přihlašovat se účtem u jiné
služby (“vzdálený účet“)
– obvykle: také vytvoří „místní účet“, ale naplní jej
podle „vzdáleného účtu“ a propojí s ním
první přihlášení
pomocí účtu u
Google
je vytvořen „místní účet“ (bez
hesla pro přihlášení), přihlašuje
se k němu přes účet u Google
přímý vs. nepřímý model el. identifikace
• pro celkové řešení elektronické identifikace připadají v úvahu dva různé modely
• přímý model:
‒ IdP komunikuje přímo se SeP
• IdP ví, kam se uživatel přihlašuje
• SeP ví, jak se k němu uživatel přihlašuje
‒ IdP identifikuje a autentizuje uživatele
• vede uživatelské účty
‒ IdP předává SeP údaje o uživateli
• jeho atributy
• IdP spravuje el. identitu uživatele
• nepřímý model:
‒ IdP nekomunikuje přímo se SeP
• ale jen přes prostředníka
– role a funkčnost prostředníka může být různá
‒ IdP identifikuje a autentizuje uživatele
• vede uživatelské účty
‒ a k čemu je prostředník?
• role prostředníka může být různá ….
IdP SeP
SeP
identifikace
autentizace
atributy
IdP
identifikace
autentizace ?
nepřímý model, „varianta NIA“
• model, zvolený (zákonem č. 250/2017 Sb. o elektronické identifikaci) pro
národní systém elektronické identifikace v ČR
‒ for the Czech National Electronic Identification Scheme
• prostředníkem je tzv. národní bod (pro identifikaci a autentizaci)
‒ je součástí Národní identitní autority (zkratkou: NIA)
• zjednodušeně: národní bod = NIA
‒ vzájemně odstiňuje IdP a SeP
• IdP neví, kam (k jakému SeP) se uživatel přihlašuje
• SeP neví, jak (přes jakého IdP) se uživatel přihlašuje
• národní bod „ví všechno“ – kdo, kam, kdy i jak se přihlašuje
• IdP
‒ zajišťuje identifikaci a autentizaci uživatele
• ten se přihlašuje ke svému účtu u IdP
• SeP
‒ informace o uživateli (jeho atributy)
získává od národního bodu, nikoli od IdP
IdP Národní
bod (NIA)
SeP
SeP
IdP
nepřímý model, „varianta NIA“
• dochází zde k oddělení uživatelských účtů a elektronické identity
• uživatelské účty
‒ vede a udržuje Identity Provider (IdP)
‒ využívá je k identifikaci a autentizaci (svých)
uživatelů
‒ národnímu bodu říká:
• o kterého uživatele jde (identifikace)
• že je to skutečně on (autentizace)
IdP
identifikace
autentizace
Národní
bod (NIA)
SeP
osoba XY jde o osobu, kterou
ty znáš jako MN
XY MN
XY
uživatelské
účty
převodní
tabulka
MN
předání atributů (je-li souhlas)
jméno
příjmení
datum n.
bydliště
******
******
******
******
elektronická identita (ROB)
• elektronická identita
‒ poskytuje ji prostředník (národní bod)
• ve smyslu: poskytovateli služeb (SeP) předává
„vlastní“ hodnoty atributů konkrétní osoby
– nikoli atributy, získané od IdP
‒ jde o jednotnou, státem garantovanou
elektronickou identitu
• vedenou v ROB-u (základním registru obyvatel)
terminologie právní úpravy el. identifikace
• vychází ze zákona č. 250/2017 Sb. o elektronické identifikaci
‒ týká se jen nepřímého modelu (ve „variantě NIA“)
kvalifikovaní poskytovatelé
(služeb)
SeP
IdP
kvalifikovaní správci
(kvalifikovaných systémů elektronické
identifikace)
národní bod
(soukromoprávní, nutná akreditace …)
(soukromoprávní, nutná zákonná
povinnost ztotožnění …..)
… a další
… a další
provozovatelem je
prostředky elektronické identifikace
• představa:
‒ každý IdP (kvalifikovaný správce) vydává svým uživatelům „klíče“ od jejich uživatelských účtů
• zákon tyto „klíče“ označuje jako prostředky elektronické identifikace
– slouží pro identifikaci a autentizaci uživatele vůči IdP (kvalifikovanému správci) – nikoli vůči národnímu bodu
‒ každý IdP (kvalifikovaný správce) může vydávat více různých druhů/typů prostředků
prostředky el. identifikace
kvalifikovaní správci
úroveň záruky (LoA, Level of Assurance)
• vztahuje se k prostředku pro elektronickou identifikaci
‒ jde o výsledné hodnocení celkové „kvality“ tohoto prostředku a jeho fungování/používání
• ve smyslu jeho: spolehlivosti, bezpečnosti, jednoznačnosti a úplnosti určení osoby, ……
• představa:
‒ jde o hodnocení „nejslabšího článku“ v celém řetězci faktorů kolem tohoto prostředku
• úroveň „nízká“
‒ stačí jen jméno a heslo
‒ …..
‒ aktuálně:
• „rychlý přístup“ od ČSOB
• úroveň „vysoká“
‒ musí být HW token/karta a „hard“ certifikát
‒ prostředek je předán „z ruky do ruky“
‒ ……..
‒ aktuálně:
• eOP, karta Starcos, token Idem Key
získání atributů
předání prostředku
použití prostředku
revokace …
vydání nového prostředku
• úroveň „značná“
‒ musí být 2 fakt. autentizace
• nestačí jen jméno a heslo
‒ …..
‒ aktuálně:
• … vše ostatní …..
úrovně záruky vs. poskytované služby
• praktický důsledek:
‒ uživateli jsou při přihlašování nabídnuty jen ty prostředky, které mají stejnou či vyšší úroveň
záruky
• obecně:
‒ každá služba, ke které se uživatel přihlašuje, by měla
(musí) deklarovat, jakou úroveň záruky požaduje
‒ úroveň záruky je vztahována
k prostředku pro el. identifikaci
• dle zákona č. 250/2017 Sb.
o elektronické identifikaci
jsou nabízeny jen možnosti
přihlášení s úrovní „vysoká“
jsou nabízeny možnosti přihlášení
alespoň s úrovní „značná“
jsou nabízeny
možnosti
přihlášení i s
úrovní „nízká“
úroveň „nízká“
kvalifikované systémy
• kvalifikovaný systém (elektronické identifikace)
‒ je dílčí část „celého řešení“ elektronické identifikace dle zákona č. 250/2017 Sb.
‒ má kvalifikovaného správce (kvalifikovaného systému)
• který (v rámci kvalifikovaného systému) vydává jeden nebo více prostředků el. identifikace
‒ musí:
• vycházet z nepřímého modelu ve variantě „NIA“ – musí podporovat národní bod
‒ v rámci jednoho kvalifikovaného systému
může jeden kvalifikovaný správce vydávat prostředky s různou úrovní záruky
+
kvalifikovaný
správce
vydávaný prostředek
elektronické identifikace
kvalifikovaný systém jméno heslo
+ +
jméno + heslo SMS
+
+
jméno
+
+ PIN
jméno heslo
+ úroveň „nízká“
úroveň „značná“
kvalifikovaný systém
úroveň záruky není předepsána
kvalifikovaný systém elektronické identifikace
• kvalifikované systémy, kvalifikovaní poskytovatelé a národní bod (dohromady) vytváří celý
systém elektronické identifikace (dle zákona č. 250/2017 Sb.)
‒ pozor: kvalifikovaný systém (elektronické identifikace) je jednou ze součástí systému elektronické identifikace !!
národní bod
státem garantovaná
elektronická identita
(v základním registru obyvatel)
jméno
heslo
………
soukromoprávní
kvalifikované
systémy
systém elektronické identifikace
kvalifikovaný systém kvalifikovaní poskytovatelé
soukromoprávní
poskytovatelé
… a další
… a další
scheme
výhody a nevýhody (našeho systému el. identifikace)
• výhody:
‒ je to univerzálnější řešení
• mohou přibývat noví IdP
– musí se pouze správně napojit na NIA
– nemusí se přizpůsobovat novým SeP
• vlastně o nich vůbec neví
• mohou přibývat noví SeP
– musí se pouze správně napojit na NIA
– nemusí se přizpůsobovat novým IdP
• vlastně o nich vůbec neví
• nevýhody (koncepční):
‒ je to komplikované
‒ má to single point of failure
• stojí a padá s NIA
‒ NIA ví o všem
• zaznamenává všechny transakce, ví kdo, kdy,
odkud a kam se přihlašoval
• nevýhody („právní“):
‒ je to uzavřený systém
• není otevřený pro soukromoprávní
poskytovatele služeb (SeP)
– např. eshopy, utility, operátory, ….
• zřejmě: stát nechce riskovat odpovědnost za
případné škody v důsledku chybné identifikace
paradox: v „kamenném“ světě se lidé mohou
prokazovat svými doklady (které jim vydal stát,
např. OP) vůči všem subjektům, včetně ryze
komerčních.
V elektronickém světě to stát nechce dovolit ……
historie přihlašování
účet uživatele u NIA
omezení v (národním) systému elektronické identifikace
• kvalifikovaní správci (IdP), kteří jsou bankami, mohou poskytovat své identitní služby pouze
těm kvalifikovaným poskytovatelům (SeP), kteří „jsou státním orgánem nebo orgánem
územního samosprávného celku“.
‒ týká se jen nepřímého modelu ve „variantě NIA“
kvalifikovaní poskytovatelé
(služeb)
kvalifikovaní správci
(kvalifikovaných systémů elektronické
identifikace)
(soukromoprávní, nutná akreditace …)
(poskytovatel není státním orgánem nebo orgánem
územního samosprávného celku)
… a další
… a další
(banky)
§ 38ad odst. 3 zákona č. 21/1992 Sb., o bankách,
nástrahy (právní) terminologie
• právní terminologie občas „trochu přehání“
‒ nebo používá pojmy, které úplně nekorespondují s tím, co mají označovat
• zde hlavně:
‒ (nadměrné) používání přívlastku „kvalifikovaný“ v souvislosti s elektronickou identifikací
• nařízení eIDAS: „kvalifikované“ je to, co má nejvyšší možnou kvalitu, co je na škále vlastností
nejvýše ….
• kvalifikovaný prostředek
‒ legislativní zkratka pro „prostředek elektronické
identifikace, vydaný v rámci kvalifikovaného
systému elektronické identifikace“
‒ problém:
• nevypovídá nic o „kvalitě“ prostředku
– kvalifikovaným prostředkem je také takový, který má
úroveň záruky „nízká“
• zaručená identita, přístup se
zaručenou identitou …..
‒ legislativní zkratka pro přístup s
využitím kvalifikované prostředku ….
‒ problém:
• může jít i o prostředek s úrovní
„nízká“, který zaručuje identitu jen v
nízké míře …
nepřímý model, „varianta SONIA/BankID“
• řešení, připravované bankami, vychází také z nepřímého modelu
• ale s odlišnostmi od „varianty NIA“
‒ na straně SeP: kdokoli
• řešení je otevřené všem komerčním
subjektům
‒ na straně IdP: jen banky
• zapojené do projektu
– který zajišťuje spol. Bankovní identita, a.s.
‒ prostředníkem je „společné rozhraní bank“
• původně označované jako SONIA (Soukr. NIA)
• dnes označované jako BankID
‒ role prostředníka je odlišná oproti „variantě NIA“
• nedochází zde k rozdělení uživatelských účtů
a elektronických identit
– obojí zůstává u jednotlivých bank (jako IdP)
• banky jsou skutečnými IdP
• prostředník funguje jen jako
„výhybka“ mezi IdP a SeP
– uživatelům umožňuje vybrat si, přes kterou banku
se chtějí přihlásit
– a pak zprostředkuje předání atributů od IdP k SeP
IdP
identifikace
autentizace
BankID
(SONIA)
SeP
osoba XY
XY
jméno
příjmení
datum n.
bydliště
******
******
******
******
prostředník je „prázdný“
(sám nemá žádná data o uživatelích)
zobecnění: federace identit
• … společné řešení pro více subjektů, které si vzájemně důvěřují …..
• příklad: edu.id (společné řešení pro akademické subjekty (školy …..)
‒ cílem je, aby se uživatelé z různých škol mohli přihlašovat ke službám jiných škol
• stejným způsobem, jako se přihlašují ke službám své vlastní školy
• princip fungování
‒ jednotlivé školy mají „své lidi“
– studenty, zaměstnance, …..
• znají „své lidi“
– vedou jejich elektronické identity
• vedou databázi (svých) lidí
– dokáží je autentizovat
• přesvědčit se, že jsou to skutečně oni
• dokáží fungovat jako IdP
• jako poskytovatelé identity
– ale jen pokud jde o „jejich lidi“
‒ jednotlivé školy poskytují „své“ služby
– a jsou ochotny je poskytovat i „cizím“
• důvěřují „cizím lidem“
– pokud za jejich identitu ručí jiná škola v rámci federace
• nevedou databází „cizích“ lidí
• fungují jako SeP
• jako poskytovatelé služeb, a to nejenom pro „své lidi“
‒ prostředníkem je operátor federace
studenti zaměstnanci
IdP SeP
operátor
federace
– organizuje členy federace …
– pro uživatele zajišťuje vhodný
„rozcestník“ (WAYF)
zobecnění: federace identit
• federace sdružuje určitý počet subjektů (organizací), např. škol
• každá organizace:
‒ může poskytovat služby / fungovat jako SeP
• může poskytovat více služeb, jednu službu, nebo také
žádnou službu (N / 1 / 0)
‒ může poskytovat služby identifikace a autentizace / fungovat
jako IdP (pro „své“ lidi)
• nemusí – ale pokud poskytuje, stačí jí jen 1x IdP
• ve federaci je určitý počet organizací
‒ které vzájemně důvěřují identifikaci a autentizaci, kterou
provedla jiná organizace ve federaci ….
IdP
SeP SeP SeP
SeP
IdP
IdP
ke službě, poskytované jinou
organizací, se uživatel přihlašuje
stejně, jako v rámci své organizace
(i „skrze“ svou organizaci)
organizace
IdP
IdP
IdP
IdP
SeP
SeP SeP
SeP
SeP
SeP
příklad: přihlášení ke službě FileSender
organizace
ve
federaci
(jako
IdP)
přihlášení v rámci
vlastní organizace (IdP)
uživatel je
přihlášen ke službě
souhlas s
předáním údajů
WAYF
(Where Are You From?)
předání údajů
o uživateli
děkuji za pozornost
tuto přednášku najdete v archivu autora
(na adrese https://earchiv.cz/IT21)

More Related Content

What's hot

What's hot (20)

FIWARE Orion Context Broker コンテキスト情報管理 (Orion 3.7.0対応)
FIWARE Orion Context Broker コンテキスト情報管理 (Orion 3.7.0対応)FIWARE Orion Context Broker コンテキスト情報管理 (Orion 3.7.0対応)
FIWARE Orion Context Broker コンテキスト情報管理 (Orion 3.7.0対応)
 
[236] 카카오의데이터파이프라인 윤도영
[236] 카카오의데이터파이프라인 윤도영[236] 카카오의데이터파이프라인 윤도영
[236] 카카오의데이터파이프라인 윤도영
 
대용량 로그분석 Bigquery로 간단히 사용하기 (20170215 T아카데미)
대용량 로그분석 Bigquery로 간단히 사용하기 (20170215 T아카데미)대용량 로그분석 Bigquery로 간단히 사용하기 (20170215 T아카데미)
대용량 로그분석 Bigquery로 간단히 사용하기 (20170215 T아카데미)
 
概念モデルって難しいですよね
概念モデルって難しいですよね概念モデルって難しいですよね
概念モデルって難しいですよね
 
A5 SQL Mk-2の便利な機能をお教えします
A5 SQL Mk-2の便利な機能をお教えしますA5 SQL Mk-2の便利な機能をお教えします
A5 SQL Mk-2の便利な機能をお教えします
 
Spark + S3 + R3를 이용한 데이터 분석 시스템 만들기
Spark + S3 + R3를 이용한 데이터 분석 시스템 만들기Spark + S3 + R3를 이용한 데이터 분석 시스템 만들기
Spark + S3 + R3를 이용한 데이터 분석 시스템 만들기
 
Data pipeline and data lake
Data pipeline and data lakeData pipeline and data lake
Data pipeline and data lake
 
なぜリアクティブは重要か #ScalaMatsuri
なぜリアクティブは重要か #ScalaMatsuriなぜリアクティブは重要か #ScalaMatsuri
なぜリアクティブは重要か #ScalaMatsuri
 
Moq & Fakes Framework を使った実践的ユニットテスト - BuildInsider
Moq & Fakes Framework を使った実践的ユニットテスト - BuildInsiderMoq & Fakes Framework を使った実践的ユニットテスト - BuildInsider
Moq & Fakes Framework を使った実践的ユニットテスト - BuildInsider
 
Log design
Log designLog design
Log design
 
FORCAS presentation
FORCAS presentationFORCAS presentation
FORCAS presentation
 
Data Engineering 101
Data Engineering 101Data Engineering 101
Data Engineering 101
 
トランザクションをSerializableにする4つの方法
トランザクションをSerializableにする4つの方法トランザクションをSerializableにする4つの方法
トランザクションをSerializableにする4つの方法
 
データベース01 - データベースとは
データベース01 - データベースとはデータベース01 - データベースとは
データベース01 - データベースとは
 
イミュータブルデータモデル(入門編)
イミュータブルデータモデル(入門編)イミュータブルデータモデル(入門編)
イミュータブルデータモデル(入門編)
 
MongoDB very basic (Japanese) / MongoDB基礎の基礎
MongoDB very basic (Japanese) / MongoDB基礎の基礎MongoDB very basic (Japanese) / MongoDB基礎の基礎
MongoDB very basic (Japanese) / MongoDB基礎の基礎
 
스타트업 사례로 본 로그 데이터 분석 : Tajo on AWS
스타트업 사례로 본 로그 데이터 분석 : Tajo on AWS스타트업 사례로 본 로그 데이터 분석 : Tajo on AWS
스타트업 사례로 본 로그 데이터 분석 : Tajo on AWS
 
DBスキーマもバージョン管理したい!
DBスキーマもバージョン管理したい!DBスキーマもバージョン管理したい!
DBスキーマもバージョン管理したい!
 
強いて言えば「集約どう実装するのかな、を考える」な話
強いて言えば「集約どう実装するのかな、を考える」な話強いて言えば「集約どう実装するのかな、を考える」な話
強いて言えば「集約どう実装するのかな、を考える」な話
 
前処理のための前処理(Tokyo.R#45)
前処理のための前処理(Tokyo.R#45)前処理のための前処理(Tokyo.R#45)
前処理のための前処理(Tokyo.R#45)
 

Similar to Letem světem elektronické identifikace

Bezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeníchBezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeních
Petr Dvorak
 
MojeID - implementační principy
MojeID - implementační principyMojeID - implementační principy
MojeID - implementační principy
Ondřej Písek
 

Similar to Letem světem elektronické identifikace (17)

Má elektronický podpis identifikovat podepsanou osobu? A pokud ano: jak?
Má elektronický podpis identifikovat podepsanou osobu? A pokud ano: jak?Má elektronický podpis identifikovat podepsanou osobu? A pokud ano: jak?
Má elektronický podpis identifikovat podepsanou osobu? A pokud ano: jak?
 
Praktický pohled na elektronické podpisy a jejich fungování
Praktický pohled na elektronické podpisy a jejich fungování Praktický pohled na elektronické podpisy a jejich fungování
Praktický pohled na elektronické podpisy a jejich fungování
 
Co bychom měli vědět o elektronických podpisech
Co bychom měli vědět o elektronických podpisechCo bychom měli vědět o elektronických podpisech
Co bychom měli vědět o elektronických podpisech
 
Problém digitální kontinuity, alias dlouhověkost elektronických dokumentů
Problém digitální kontinuity, alias dlouhověkost elektronických dokumentůProblém digitální kontinuity, alias dlouhověkost elektronických dokumentů
Problém digitální kontinuity, alias dlouhověkost elektronických dokumentů
 
Naučíme se používat elektronický podpis? Nebo se za nás bude podepisovat někd...
Naučíme se používat elektronický podpis? Nebo se za nás bude podepisovat někd...Naučíme se používat elektronický podpis? Nebo se za nás bude podepisovat někd...
Naučíme se používat elektronický podpis? Nebo se za nás bude podepisovat někd...
 
Není podpis jako podpis, aneb: jak se vyznat v různých variantách elektronick...
Není podpis jako podpis, aneb: jak se vyznat v různých variantách elektronick...Není podpis jako podpis, aneb: jak se vyznat v různých variantách elektronick...
Není podpis jako podpis, aneb: jak se vyznat v různých variantách elektronick...
 
Jak rozumět dynamickým biometrickým podpisům?
Jak rozumět dynamickým biometrickým podpisům?Jak rozumět dynamickým biometrickým podpisům?
Jak rozumět dynamickým biometrickým podpisům?
 
Biometrie
BiometrieBiometrie
Biometrie
 
Bankovní identita - zkušenosti z pilotních projektů
Bankovní identita - zkušenosti z pilotních projektůBankovní identita - zkušenosti z pilotních projektů
Bankovní identita - zkušenosti z pilotních projektů
 
Informační bezpečnost
Informační bezpečnost Informační bezpečnost
Informační bezpečnost
 
Bezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeníchBezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeních
 
Ujasněme si základní pojmy
Ujasněme si základní pojmyUjasněme si základní pojmy
Ujasněme si základní pojmy
 
Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizikaMobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizika
 
Martina Macek: Digitální dokumenty a elektronické transakce v EU
Martina Macek: Digitální dokumenty a elektronické transakce v EUMartina Macek: Digitální dokumenty a elektronické transakce v EU
Martina Macek: Digitální dokumenty a elektronické transakce v EU
 
Bezpečnost na internetu
Bezpečnost na internetuBezpečnost na internetu
Bezpečnost na internetu
 
MojeID - implementační principy
MojeID - implementační principyMojeID - implementační principy
MojeID - implementační principy
 
Bezpečnost na internetu
Bezpečnost na internetuBezpečnost na internetu
Bezpečnost na internetu
 

More from Jiří Peterka

More from Jiří Peterka (20)

Jaké byly hlavní milníky čtvrtstoletí Internetu v ČR? Jak Internet vypadal kd...
Jaké byly hlavní milníky čtvrtstoletí Internetu v ČR? Jak Internet vypadal kd...Jaké byly hlavní milníky čtvrtstoletí Internetu v ČR? Jak Internet vypadal kd...
Jaké byly hlavní milníky čtvrtstoletí Internetu v ČR? Jak Internet vypadal kd...
 
Internetová archeologie: jak Internet vypadal kdysi dávno
Internetová archeologie: jak Internet vypadal kdysi dávnoInternetová archeologie: jak Internet vypadal kdysi dávno
Internetová archeologie: jak Internet vypadal kdysi dávno
 
Přístup vs. připojení, aneb mají se zákony vyjadřovat přesně?
Přístup vs. připojení, aneb mají se zákony vyjadřovat přesně?Přístup vs. připojení, aneb mají se zákony vyjadřovat přesně?
Přístup vs. připojení, aneb mají se zákony vyjadřovat přesně?
 
Potřebujeme síťovou neutralitu?
Potřebujeme síťovou neutralitu?Potřebujeme síťovou neutralitu?
Potřebujeme síťovou neutralitu?
 
Počítačové sítě II, lekce 11: Broadband a síťová neutralita
Počítačové sítě II, lekce 11: Broadband a síťová neutralitaPočítačové sítě II, lekce 11: Broadband a síťová neutralita
Počítačové sítě II, lekce 11: Broadband a síťová neutralita
 
Počítačové sítě II, lekce 10: Mobilní komunikace
Počítačové sítě II, lekce 10: Mobilní komunikacePočítačové sítě II, lekce 10: Mobilní komunikace
Počítačové sítě II, lekce 10: Mobilní komunikace
 
Počítačové sítě II, lekce 9: xDSL, FTTx, PON
Počítačové sítě II, lekce 9: xDSL, FTTx, PONPočítačové sítě II, lekce 9: xDSL, FTTx, PON
Počítačové sítě II, lekce 9: xDSL, FTTx, PON
 
Počítačové sítě II, lekce 8: POTS, ISDN a xDSL
Počítačové sítě II, lekce 8: POTS, ISDN a xDSLPočítačové sítě II, lekce 8: POTS, ISDN a xDSL
Počítačové sítě II, lekce 8: POTS, ISDN a xDSL
 
Počítačové sítě II, lekce 7: Telekomunikační přenosové technologie
Počítačové sítě II, lekce 7: Telekomunikační přenosové technologiePočítačové sítě II, lekce 7: Telekomunikační přenosové technologie
Počítačové sítě II, lekce 7: Telekomunikační přenosové technologie
 
O aktuálních otázkách (a také o tom, co jsme kdysi s panem Sovou provedli ČTÚ)
O aktuálních otázkách (a také o tom, co jsme kdysi s panem Sovou provedli ČTÚ)O aktuálních otázkách (a také o tom, co jsme kdysi s panem Sovou provedli ČTÚ)
O aktuálních otázkách (a také o tom, co jsme kdysi s panem Sovou provedli ČTÚ)
 
Co je kybernetická bezpečnost?
Co je kybernetická bezpečnost?Co je kybernetická bezpečnost?
Co je kybernetická bezpečnost?
 
O čem je síťová neutralita?
O čem je síťová neutralita?O čem je síťová neutralita?
O čem je síťová neutralita?
 
Počítačové sítě II, lekce 6: sítě WLAN II
Počítačové sítě II, lekce 6: sítě WLAN IIPočítačové sítě II, lekce 6: sítě WLAN II
Počítačové sítě II, lekce 6: sítě WLAN II
 
Počítačové sítě II, lekce 2: Internetworking II
Počítačové sítě II, lekce 2: Internetworking IIPočítačové sítě II, lekce 2: Internetworking II
Počítačové sítě II, lekce 2: Internetworking II
 
Počítačové sítě II, lekce 1: Internetworking
Počítačové sítě II, lekce 1: InternetworkingPočítačové sítě II, lekce 1: Internetworking
Počítačové sítě II, lekce 1: Internetworking
 
Historie a současný stav české mobilní telefonie
Historie a současný stav české mobilní telefonieHistorie a současný stav české mobilní telefonie
Historie a současný stav české mobilní telefonie
 
Rodina protokolů TCP/IP, téma 9: Transportní protokoly
Rodina protokolů TCP/IP, téma 9: Transportní protokoly Rodina protokolů TCP/IP, téma 9: Transportní protokoly
Rodina protokolů TCP/IP, téma 9: Transportní protokoly
 
Rodina protokolů TCP/IP, téma 8: Protokol IPv6
Rodina protokolů TCP/IP, téma 8: Protokol IPv6Rodina protokolů TCP/IP, téma 8: Protokol IPv6
Rodina protokolů TCP/IP, téma 8: Protokol IPv6
 
Rodina protokolů TCP/IP, téma 7: IP adresy verze 6
Rodina protokolů TCP/IP, téma 7: IP adresy verze 6Rodina protokolů TCP/IP, téma 7: IP adresy verze 6
Rodina protokolů TCP/IP, téma 7: IP adresy verze 6
 
Rodina protokolů TCP/IP, téma 5: Protokol IPv4
Rodina protokolů TCP/IP, téma 5: Protokol IPv4Rodina protokolů TCP/IP, téma 5: Protokol IPv4
Rodina protokolů TCP/IP, téma 5: Protokol IPv4
 

Letem světem elektronické identifikace

  • 1. Letem světem elektronické identifikace Jiří Peterka 10.6.2021
  • 2. s jakými pojmy se seznámíme? • elektronická identita vs. uživatelský účet • atributy (elektronické identity) • elektronická identifikace • autentizace, autentizační faktory • autorizace • poskytovatel identity (IdP, Identity Provider) • poskytovatel služeb (SeP, Service Provider) • principy Same Sign On a Single Sign On • federace identit • systém elektronické identifikace • kvalifikovaný systém (el. identifikace) • kvalifikovaný správce • prostředek elektronické identifikace • kvalifikovaný prostředek • úroveň záruky • kvalifikovaný poskytovatel • národní bod (pro identifikaci a autentizaci) • Národní identitní autorita (NIA) • zaručená identita • bankovní identita, SONIA, BankID
  • 3. fyzická vs. elektronická identita • každá fyzická osoba existuje jen 1x ‒ naše fyzická identita je jen jedna …. • ale: údaje o jednotlivých osobách mohou být obsaženy v mnoha různých evidencích, kartotékách, rejstřících, databázích, …… ‒ každá evidence shromažďuje určitý rozsah dílčích údajů o jednotlivých osobách – tzv. atributů, které dohromady tvoří (elektronickou) identitu příslušné osoby • jedna fyzická identita se může „promítat“ do mnoha různých elektronických identit ‒ každá může pracovat s různou sadou atributů 1x Nx Josef Novák 12.3.1987 ženatý jméno, příjmení datum narození rodinný stav fyzická identita elektronická identita (pokud je evidence vedena v elektronické podobě) Jan Nováček 23.4.1990 rozvedený Petr Novotný 31.5.2002 svobodný
  • 4. elektronická identita vs. uživatelský účet • reálný význam je velmi podobný: ‒ jsou to nějaké údaje, které se týkají konkrétní osoby … subjektu, držitele, … ‒ někde se to uchovává …. databáze ‒ někdo tu databázi zřizuje / naplňuje / vede / spravuje / …. správce • elektronická identita ‒ je to právní (ale i technický) pojem ‒ souvisí s (elektronickou) identifikací • a autentizací i autorizací ‒ nemusí být (přímo) přístupná svému držiteli • např. identita v základních registrech ‒ při potřebě „ukázat a prokázat, že jsem držitelem“ právo používá pojem „prostředek“ (pro el. identifikaci) • uživatelský účet ‒ spíše technický (praktický) pojem ‒ souvisí s přihlašováním • a s možností využívat konkrétní službu ‒ pro držitele by měl být vždy přístupný ‒ při potřebě „ukázat a prokázat, že jsem držitelem“ se používá spíše pojem „přihlašovací údaje“ prostředek (pro elektronickou identifikaci) ( electronic identification means …. ) přihlašovací údaje (např. uživatelské jméno + heslo) ( credentials)
  • 5. elektronická identifikace • je to společné označení pro dvě různé věci: ‒ vytvoření (elektronické) identity • (počáteční) naplnění atributů konkrétními hodnotami • důležité je: – odkud jsou údaje získávány – zda jsou získané údaje ověřovány – jak jsou údaje aktualizovány – …….. ‒ v praxi jde (nejčastěji) o: • (jednorázovou) registraci – vytvoření nového uživatelského účtu ‒ výběr (elektronické) identity • výběr z již existujících (vytvořených) elektronických identit – elektronické identity jsou již vytvořeny • i „naplněny“ konkrétními hodnotami svých atributů – cílem je určit (vybrat) jednu konkrétní identitu ‒ v praxi jde (typicky) o: • (opakované) přihlašování – pod příslušnou identitou Josef Novák U Kliky 1 Praha josef.novak@seznam.cz jméno, příjmení adresa město email jan2 honza21 pepanovak josef.n jp58 uživatelskéjméno ? pepanovak
  • 6. registrace vs. přihlašování • při (jednorázové) registraci: ‒ uživatel je „zaveden do systému“ • uvnitř systému vzniká jeho elektronická identita/uživatelský účet ‒ uživatel získává své „uživatelské jméno“ • identifikátor pro svou nově vytvořenou elektronickou identitu/uživatelský účet – aby se následně mohl na svou identitu/účet odkazovat • například (uživatelským jménem je): – emailová adresa • dobře se pamatuje … – uživatelem zvolený řetězec (identifikátor) – identifikátor přidělený systémem • při (opakovaném) přihlašování: ‒ uživatel (pokaždé) deklaruje, pod jakou identitou se přihlašuje – zadání uživatelského jména je pouze deklarací: „za koho se vydávám“ – možný problém: • někdo se může vydávat za někoho jiného (deklarovat, že je někým jiným) Registrační formulář Jméno a příjmení: Bydliště: Datum a místo narození: uživatelské jméno: XYZ Přihlaste se: XYZ Uživatelské jméno: Přihlaste se: XYZ Uživatelské jméno: Přihlaste se: XYZ Uživatelské jméno: identifikace je odpovědí na otázku: „o koho jde?“
  • 7. identifikace vs. autentizace • jde o dva termíny, které se velmi často pletou …. ‒ identifikace • je odpověď na otázku: „o koho jde?“ • k identifikaci dochází: – jednorázově při registraci • při vytváření identity / účtu – opakovaně při přihlašování • při „použití“ (deklarování) identity / účtu • možný problém: – někdo se může vydávat za někoho jiného • identifikovat se jako někdo jiný – příklad: • nezletilý syn se vydává za otce, aby mohl nakoupit v eshopu alkohol …. ‒ autentizace • je odpověď na otázku: „jde skutečně o toho, o koho má jít?“ • lze chápat jako: – ověření identity • že ji deklaruje její skutečný držitel • provádí se: – něčím, co může udělat/poskytnout jen skutečný držitel identity / účtu – prostřednictvím tzv. autentizačních faktorů • v nejjednodušším případě: heslem • další možnosti (autentizační faktory): PIN, soukromý klíč, otisk prstu, jednorázové heslo (OTP) … Ověření vaší identity: ************* Heslo: Přihlaste se: XYZ Uživatelské jméno:
  • 8. autentizační faktory • autentizačním faktorem může být něco, co konkrétní osoba: ‒ ví/zná: PIN, (opakovaně použitelné) heslo, jednorázové heslo (OTP) …. ‒ má/vlastní: „kus HW“ / nakonfigurovaná aplikace / soukromý klíč (mobilní telefon, token, čipová karta, ….) ‒ čím je (biometrika): otisk prstu, (rozpoznání) obličeje, ….. • jednofaktorová autentizace: ‒ používá jen jeden autentizační faktor • nejčastěji: PIN nebo heslo • vícefaktorová autentizace: ‒ vyžaduje více faktorů současně ‒ například: • jméno, heslo a SMS • jméno, mobil + otisk prstu • jméno, heslo, mobil + otisk prstu • příklad: ‒ přihlašování k internetbankingu ČS jednorázové heslo, zaslané přes SMS identifikace 2-faktorová autentizace tzv. mobilní klíč 3-faktorová autentizace tzv. mobilní klíč zadání uživatelského jména = identifikace má na čem potvrdit = 1. faktor autentizace otisk prstu = 2. faktor autentizace tzv. mobilní klíč
  • 9. příklad jednofaktorové autentizace • (stále) nejrozšířenější způsob přihlašování k datovým schránkám ‒ jen pomocí uživatelského jména a opakovaně použitelného hesla identifikace pomocí uživatelského jména říká, jako (v jaké roli) chce uživatel vystupovat (i vůči které datové schránce) autentizace pomocí hesla znalostí hesla dokládám, že „jsem to skutečně já“ další možnosti přihlášení: se stejnou identifikací, ale jinou autentizací další možnosti přihlášení: se stejnou identifikací, ale jinou autentizací další možnosti přihlášení: se stejnou identifikací, ale jinou autentizací není to moc spolehlivé identifikace autentizace (1 faktor)
  • 10. vícefaktorová autentizace • je taková autentizace, při které je využíváno více „faktorů“ souběžně ‒ a tyto faktory jsou různého typu • pochází z jiných zdrojů / jsou získávány a přenášeny jinak • příklad: datové schránky ‒ 2. faktor (jednorázový kód) je zasílán skrze Premium SMS • v ceně 3 Kč/zprávu identifikace pomocí uživatelského jména stejného, jako při 1-faktorové autentizaci 1. autentizační faktor: heslo stejné heslo, jako při 1-faktorové autentizaci 2. autentizační faktor: SMS kód zasílá poskytovatel na mobil zákazníka 2-faktorová autentizace
  • 11. • příklad 2-faktorové autentizace: přihlášení k datovým schránkám pomocí eOP vícefaktorová autentizace 1. faktor (eOP) „něco co mám“ 2. faktor (PIN/IOK) „něco co vím“ výběr schránky&role pro přihlášení identifikace (konkrétní „kus plastu“)
  • 12. autentizace certifikátem • ve skutečnosti: autentizačním faktorem je soukromý klíč ‒ prokazuji, že vládnu tím soukromým klíčem, ke kterému byl certifikát vydán 1. protistrana (ke které se přihlašuji), pošle mému browseru „výzvu“ • (… nějaká data ….) 4. protistrana si ověří platnost podpisu na výzvě – pomocí veřejného klíče v certifikátu • a z platnosti podpisu pozná, že vládnu soukromým klíčem (autentizace) – obsah certifikátu může využít i k identifikaci 2. vyberu certifikát, kterým se chci autentizovat 3. můj browser podepíše výzvu odpovídajícím soukromým klíčem • a spolu s certifikátem ji vrátí protistraně +
  • 13. autentizace aplikací (mobilním klíčem) • jde o jiné (pro uživatele jednodušší) provedení autentizace pomocí certifikátu ‒ navíc s identifikací konkrétního uživatele • představa: ‒ poskytovatel služby (např. banka) konkrétnímu uživateli vygeneruje párová data (soukromý + veřejný klíč) a vystaví potřebný certifikát • podle certifikátu následně poznává, o koho jde ‒ je nutná aktivace (počáteční individuální nastavení) aplikace • do aplikace se „vloží“ soukromý klíč a certifikát uživatele • princip fungování (již po konfiguraci aplikace) QR kód obsahuje výzvu aplikace podepíše výzvu aplikace předává podepsanou výzvu služba si ověří platnost podpisu na výzvě (autentizace) podle obsahu certifikátu služba určí uživatele (identifikace) + +
  • 14. autentizace bez identifikace • neboli: autentizace s „nulovou“ identifikací (resp. bez identifikace) ‒ situace, kdy poskytovatel vůbec nezná svého zákazníka (neví nic o jeho identitě) ‒ ale: pro poskytování svých služeb potřebuje vždy vědět, že je to „ten samý zákazník“ • příklad: předplacená SIM karta od mobilního operátora ‒ je anonymní (při jejím zakoupení a používání není nutné sdělovat svou identitu) • se SIM kartou je spojeno telefonní číslo ‒ anonymní zákazník se prokazuje (autentizuje) schopností přijmout SMS zprávu na „své“ telefonní číslo • může mít přiděleny přihlašovací údaje do on-line portálu operátora • a může provádět různé úkony – objednávat/rušit služby – dobíjet a čerpat kredit
  • 15. identifikace bez autentizace • v praxi velmi častá situace ‒ svou aktivitu (úkon, jednání, …) potřebuji adresovat někomu konkrétnímu • například: poslat mu zprávu, vzkaz, soubor, …… ‒ musím určit (identifikovat) adresáta mé aktivity (úkonu, jednání, ….) • jde o někoho jiného, než jsem já (jako „jednající strana“) – nevydávám se za adresáta …… ‒ proto není zapotřebí (nepřipadá v úvahu, ani není možná) autentizace !!! • příklady: identifikace adresáta (bez autentizace)
  • 16. identifikace autentizace (1. faktor) autentizace (2. faktor) autorizace • je oprávnění ke konkrétnímu úkonu, činnosti, …. ‒ … zda něco mohu/smím (u)dělat • příklad: ‒ autorizace uživatele v datových schránkách • jde o jeho oprávnění pro konkrétní činnosti v datové schránce autorizace uživatele je autorizován, smí / může …. není autorizován, nesmí …. není autorizován, nesmí / nemůže …. je autorizován, smí / může ….
  • 17. vývoj přihlašování k on-line službám • tradiční řešení: vše „vlastními silami“ ‒ poskytovatel on-line služby (např. eshop) vede uživatelům jejich uživatelské účty ‒ vytváří a udržuje elektronické identity (účty) svých uživatelů – v takovém rozsahu atributů, jaké potřebuje k poskytování své služby • chce vědět a pamatuje si (např.): – jak se jmenují – kde bydlí – kdy se narodili – …… ‒ vydává svým uživatelům vlastní prostředky pro elektronickou identifikaci • přihlašovací údaje (zde: jméno, heslo) při registraci uživatel získává své uživatelské jméno a heslo ‒ nevýhody pro uživatele: • pro každou využívanou službu má samostatný (jiný) uživatelský účet (samostatnou elektronickou identitu) – i samostatnou sadu přihlašovacích údajů • které by neměly být (ale bývají) stejné • při každé změně svých údajů (např. bydliště) by měl aktualizovat každý svůj uživatelský účet elektronické identity
  • 18. vývoj přihlašování k on-line službám • modernější řešení: s rozdělením rolí …. ‒ poskytování služby (např. prodej zboží) je odděleno od vedení uživatelských účtů ‒ uživatelské účty zřizuje a vede jeden subjekt • poskytovatel identity – IdP, Identity Provider – může být na tuto činnost specializován • umí to, má to zabezpečené, ….. ‒ služby poskytuje druhý subjekt • poskytovatel služby – SeP, Service Provider – může se soustředit na „svůj byznys“ ‒ výhoda pro uživatele: pomocí účtu u jednoho poskytovatele identit (IdP) se může přihlašovat k různým poskytovatelům služeb (SeP) elektronických identit
  • 19. vývoj přihlašování k on-line službám • vznikli „velcí“ poskytovatelé služeb ‒ s velkým počtem uživatelů a jejich účtů (velkým rozsahem elektronických identit) ‒ s propracovaným řešením správy účtů, zajištění bezpečnosti, spolehlivosti, …… • sami začali poskytovat více různých (vlastních) služeb ‒ a pro přihlašování k nim uživatelé využívají jeden (stejný) uživatelský účet • časem umožnili využívat jejich uživatelské účty i pro přihlašování ke službám, poskytovaným jinými („externími“) subjekty „interní“ IdP „interní“ SeP IdP, Identity Provider SeP, Service Provider IdP, Identity Provider SeP, Service Provider
  • 20. Same Sign-On vs. Single Sign-On • jde o dva různé způsoby využití „rozděleného řešení“ pro přihlašování ‒ kdy se uživatel přihlašuje k různým službám pomocí stejného účtu (identity) ‒ Same Sign-On (“stejné přihlášení“) • ke každé službě se uživatel přihlašuje stejně – ale vždy znovu – znovu provádí jak svou identifikaci, tak i svou autentizaci • používá k tomu stejnou identitu, proto „Same ….“ ‒ Single Sign-On („jediné přihlášení“) • uživatel se přihlašuje jen k první službě – a když pak přechází k další službě, už se nepřihlašuje • přechází jako již přihlášený uživatel • nemusí se znovu identifikovat ani autentizovat přihlášení přihlášení přihlášení přihlášení ….. podporuje už i český eGovernment
  • 21. vývoj přihlašování k on-line službám • většina poskytovatelů služeb dnes podporuje obě varianty: ‒ tradiční „řešení vlastními silami“ • nabízí uživatelům možnost zřídit si „místní účet“ – účet vedený poskytovatelem služby • umožňuje přihlašovat se „místním účtem“ ‒ modernější „rozdělené řešení“ • umožňuje přihlašovat se účtem u jiné služby (“vzdálený účet“) – obvykle: také vytvoří „místní účet“, ale naplní jej podle „vzdáleného účtu“ a propojí s ním první přihlášení pomocí účtu u Google je vytvořen „místní účet“ (bez hesla pro přihlášení), přihlašuje se k němu přes účet u Google
  • 22. přímý vs. nepřímý model el. identifikace • pro celkové řešení elektronické identifikace připadají v úvahu dva různé modely • přímý model: ‒ IdP komunikuje přímo se SeP • IdP ví, kam se uživatel přihlašuje • SeP ví, jak se k němu uživatel přihlašuje ‒ IdP identifikuje a autentizuje uživatele • vede uživatelské účty ‒ IdP předává SeP údaje o uživateli • jeho atributy • IdP spravuje el. identitu uživatele • nepřímý model: ‒ IdP nekomunikuje přímo se SeP • ale jen přes prostředníka – role a funkčnost prostředníka může být různá ‒ IdP identifikuje a autentizuje uživatele • vede uživatelské účty ‒ a k čemu je prostředník? • role prostředníka může být různá …. IdP SeP SeP identifikace autentizace atributy IdP identifikace autentizace ?
  • 23. nepřímý model, „varianta NIA“ • model, zvolený (zákonem č. 250/2017 Sb. o elektronické identifikaci) pro národní systém elektronické identifikace v ČR ‒ for the Czech National Electronic Identification Scheme • prostředníkem je tzv. národní bod (pro identifikaci a autentizaci) ‒ je součástí Národní identitní autority (zkratkou: NIA) • zjednodušeně: národní bod = NIA ‒ vzájemně odstiňuje IdP a SeP • IdP neví, kam (k jakému SeP) se uživatel přihlašuje • SeP neví, jak (přes jakého IdP) se uživatel přihlašuje • národní bod „ví všechno“ – kdo, kam, kdy i jak se přihlašuje • IdP ‒ zajišťuje identifikaci a autentizaci uživatele • ten se přihlašuje ke svému účtu u IdP • SeP ‒ informace o uživateli (jeho atributy) získává od národního bodu, nikoli od IdP IdP Národní bod (NIA) SeP SeP IdP
  • 24. nepřímý model, „varianta NIA“ • dochází zde k oddělení uživatelských účtů a elektronické identity • uživatelské účty ‒ vede a udržuje Identity Provider (IdP) ‒ využívá je k identifikaci a autentizaci (svých) uživatelů ‒ národnímu bodu říká: • o kterého uživatele jde (identifikace) • že je to skutečně on (autentizace) IdP identifikace autentizace Národní bod (NIA) SeP osoba XY jde o osobu, kterou ty znáš jako MN XY MN XY uživatelské účty převodní tabulka MN předání atributů (je-li souhlas) jméno příjmení datum n. bydliště ****** ****** ****** ****** elektronická identita (ROB) • elektronická identita ‒ poskytuje ji prostředník (národní bod) • ve smyslu: poskytovateli služeb (SeP) předává „vlastní“ hodnoty atributů konkrétní osoby – nikoli atributy, získané od IdP ‒ jde o jednotnou, státem garantovanou elektronickou identitu • vedenou v ROB-u (základním registru obyvatel)
  • 25. terminologie právní úpravy el. identifikace • vychází ze zákona č. 250/2017 Sb. o elektronické identifikaci ‒ týká se jen nepřímého modelu (ve „variantě NIA“) kvalifikovaní poskytovatelé (služeb) SeP IdP kvalifikovaní správci (kvalifikovaných systémů elektronické identifikace) národní bod (soukromoprávní, nutná akreditace …) (soukromoprávní, nutná zákonná povinnost ztotožnění …..) … a další … a další provozovatelem je
  • 26. prostředky elektronické identifikace • představa: ‒ každý IdP (kvalifikovaný správce) vydává svým uživatelům „klíče“ od jejich uživatelských účtů • zákon tyto „klíče“ označuje jako prostředky elektronické identifikace – slouží pro identifikaci a autentizaci uživatele vůči IdP (kvalifikovanému správci) – nikoli vůči národnímu bodu ‒ každý IdP (kvalifikovaný správce) může vydávat více různých druhů/typů prostředků prostředky el. identifikace kvalifikovaní správci
  • 27. úroveň záruky (LoA, Level of Assurance) • vztahuje se k prostředku pro elektronickou identifikaci ‒ jde o výsledné hodnocení celkové „kvality“ tohoto prostředku a jeho fungování/používání • ve smyslu jeho: spolehlivosti, bezpečnosti, jednoznačnosti a úplnosti určení osoby, …… • představa: ‒ jde o hodnocení „nejslabšího článku“ v celém řetězci faktorů kolem tohoto prostředku • úroveň „nízká“ ‒ stačí jen jméno a heslo ‒ ….. ‒ aktuálně: • „rychlý přístup“ od ČSOB • úroveň „vysoká“ ‒ musí být HW token/karta a „hard“ certifikát ‒ prostředek je předán „z ruky do ruky“ ‒ …….. ‒ aktuálně: • eOP, karta Starcos, token Idem Key získání atributů předání prostředku použití prostředku revokace … vydání nového prostředku • úroveň „značná“ ‒ musí být 2 fakt. autentizace • nestačí jen jméno a heslo ‒ ….. ‒ aktuálně: • … vše ostatní …..
  • 28. úrovně záruky vs. poskytované služby • praktický důsledek: ‒ uživateli jsou při přihlašování nabídnuty jen ty prostředky, které mají stejnou či vyšší úroveň záruky • obecně: ‒ každá služba, ke které se uživatel přihlašuje, by měla (musí) deklarovat, jakou úroveň záruky požaduje ‒ úroveň záruky je vztahována k prostředku pro el. identifikaci • dle zákona č. 250/2017 Sb. o elektronické identifikaci jsou nabízeny jen možnosti přihlášení s úrovní „vysoká“ jsou nabízeny možnosti přihlášení alespoň s úrovní „značná“ jsou nabízeny možnosti přihlášení i s úrovní „nízká“ úroveň „nízká“
  • 29. kvalifikované systémy • kvalifikovaný systém (elektronické identifikace) ‒ je dílčí část „celého řešení“ elektronické identifikace dle zákona č. 250/2017 Sb. ‒ má kvalifikovaného správce (kvalifikovaného systému) • který (v rámci kvalifikovaného systému) vydává jeden nebo více prostředků el. identifikace ‒ musí: • vycházet z nepřímého modelu ve variantě „NIA“ – musí podporovat národní bod ‒ v rámci jednoho kvalifikovaného systému může jeden kvalifikovaný správce vydávat prostředky s různou úrovní záruky + kvalifikovaný správce vydávaný prostředek elektronické identifikace kvalifikovaný systém jméno heslo + + jméno + heslo SMS + + jméno + + PIN jméno heslo + úroveň „nízká“ úroveň „značná“ kvalifikovaný systém úroveň záruky není předepsána
  • 30. kvalifikovaný systém elektronické identifikace • kvalifikované systémy, kvalifikovaní poskytovatelé a národní bod (dohromady) vytváří celý systém elektronické identifikace (dle zákona č. 250/2017 Sb.) ‒ pozor: kvalifikovaný systém (elektronické identifikace) je jednou ze součástí systému elektronické identifikace !! národní bod státem garantovaná elektronická identita (v základním registru obyvatel) jméno heslo ……… soukromoprávní kvalifikované systémy systém elektronické identifikace kvalifikovaný systém kvalifikovaní poskytovatelé soukromoprávní poskytovatelé … a další … a další scheme
  • 31. výhody a nevýhody (našeho systému el. identifikace) • výhody: ‒ je to univerzálnější řešení • mohou přibývat noví IdP – musí se pouze správně napojit na NIA – nemusí se přizpůsobovat novým SeP • vlastně o nich vůbec neví • mohou přibývat noví SeP – musí se pouze správně napojit na NIA – nemusí se přizpůsobovat novým IdP • vlastně o nich vůbec neví • nevýhody (koncepční): ‒ je to komplikované ‒ má to single point of failure • stojí a padá s NIA ‒ NIA ví o všem • zaznamenává všechny transakce, ví kdo, kdy, odkud a kam se přihlašoval • nevýhody („právní“): ‒ je to uzavřený systém • není otevřený pro soukromoprávní poskytovatele služeb (SeP) – např. eshopy, utility, operátory, …. • zřejmě: stát nechce riskovat odpovědnost za případné škody v důsledku chybné identifikace paradox: v „kamenném“ světě se lidé mohou prokazovat svými doklady (které jim vydal stát, např. OP) vůči všem subjektům, včetně ryze komerčních. V elektronickém světě to stát nechce dovolit ……
  • 33. omezení v (národním) systému elektronické identifikace • kvalifikovaní správci (IdP), kteří jsou bankami, mohou poskytovat své identitní služby pouze těm kvalifikovaným poskytovatelům (SeP), kteří „jsou státním orgánem nebo orgánem územního samosprávného celku“. ‒ týká se jen nepřímého modelu ve „variantě NIA“ kvalifikovaní poskytovatelé (služeb) kvalifikovaní správci (kvalifikovaných systémů elektronické identifikace) (soukromoprávní, nutná akreditace …) (poskytovatel není státním orgánem nebo orgánem územního samosprávného celku) … a další … a další (banky) § 38ad odst. 3 zákona č. 21/1992 Sb., o bankách,
  • 34. nástrahy (právní) terminologie • právní terminologie občas „trochu přehání“ ‒ nebo používá pojmy, které úplně nekorespondují s tím, co mají označovat • zde hlavně: ‒ (nadměrné) používání přívlastku „kvalifikovaný“ v souvislosti s elektronickou identifikací • nařízení eIDAS: „kvalifikované“ je to, co má nejvyšší možnou kvalitu, co je na škále vlastností nejvýše …. • kvalifikovaný prostředek ‒ legislativní zkratka pro „prostředek elektronické identifikace, vydaný v rámci kvalifikovaného systému elektronické identifikace“ ‒ problém: • nevypovídá nic o „kvalitě“ prostředku – kvalifikovaným prostředkem je také takový, který má úroveň záruky „nízká“ • zaručená identita, přístup se zaručenou identitou ….. ‒ legislativní zkratka pro přístup s využitím kvalifikované prostředku …. ‒ problém: • může jít i o prostředek s úrovní „nízká“, který zaručuje identitu jen v nízké míře …
  • 35. nepřímý model, „varianta SONIA/BankID“ • řešení, připravované bankami, vychází také z nepřímého modelu • ale s odlišnostmi od „varianty NIA“ ‒ na straně SeP: kdokoli • řešení je otevřené všem komerčním subjektům ‒ na straně IdP: jen banky • zapojené do projektu – který zajišťuje spol. Bankovní identita, a.s. ‒ prostředníkem je „společné rozhraní bank“ • původně označované jako SONIA (Soukr. NIA) • dnes označované jako BankID ‒ role prostředníka je odlišná oproti „variantě NIA“ • nedochází zde k rozdělení uživatelských účtů a elektronických identit – obojí zůstává u jednotlivých bank (jako IdP) • banky jsou skutečnými IdP • prostředník funguje jen jako „výhybka“ mezi IdP a SeP – uživatelům umožňuje vybrat si, přes kterou banku se chtějí přihlásit – a pak zprostředkuje předání atributů od IdP k SeP IdP identifikace autentizace BankID (SONIA) SeP osoba XY XY jméno příjmení datum n. bydliště ****** ****** ****** ****** prostředník je „prázdný“ (sám nemá žádná data o uživatelích)
  • 36. zobecnění: federace identit • … společné řešení pro více subjektů, které si vzájemně důvěřují ….. • příklad: edu.id (společné řešení pro akademické subjekty (školy …..) ‒ cílem je, aby se uživatelé z různých škol mohli přihlašovat ke službám jiných škol • stejným způsobem, jako se přihlašují ke službám své vlastní školy • princip fungování ‒ jednotlivé školy mají „své lidi“ – studenty, zaměstnance, ….. • znají „své lidi“ – vedou jejich elektronické identity • vedou databázi (svých) lidí – dokáží je autentizovat • přesvědčit se, že jsou to skutečně oni • dokáží fungovat jako IdP • jako poskytovatelé identity – ale jen pokud jde o „jejich lidi“ ‒ jednotlivé školy poskytují „své“ služby – a jsou ochotny je poskytovat i „cizím“ • důvěřují „cizím lidem“ – pokud za jejich identitu ručí jiná škola v rámci federace • nevedou databází „cizích“ lidí • fungují jako SeP • jako poskytovatelé služeb, a to nejenom pro „své lidi“ ‒ prostředníkem je operátor federace studenti zaměstnanci IdP SeP operátor federace – organizuje členy federace … – pro uživatele zajišťuje vhodný „rozcestník“ (WAYF)
  • 37. zobecnění: federace identit • federace sdružuje určitý počet subjektů (organizací), např. škol • každá organizace: ‒ může poskytovat služby / fungovat jako SeP • může poskytovat více služeb, jednu službu, nebo také žádnou službu (N / 1 / 0) ‒ může poskytovat služby identifikace a autentizace / fungovat jako IdP (pro „své“ lidi) • nemusí – ale pokud poskytuje, stačí jí jen 1x IdP • ve federaci je určitý počet organizací ‒ které vzájemně důvěřují identifikaci a autentizaci, kterou provedla jiná organizace ve federaci …. IdP SeP SeP SeP SeP IdP IdP ke službě, poskytované jinou organizací, se uživatel přihlašuje stejně, jako v rámci své organizace (i „skrze“ svou organizaci) organizace IdP IdP IdP IdP SeP SeP SeP SeP SeP SeP
  • 38. příklad: přihlášení ke službě FileSender organizace ve federaci (jako IdP) přihlášení v rámci vlastní organizace (IdP) uživatel je přihlášen ke službě souhlas s předáním údajů WAYF (Where Are You From?) předání údajů o uživateli
  • 39. děkuji za pozornost tuto přednášku najdete v archivu autora (na adrese https://earchiv.cz/IT21)