Národní eID a mobilní ID: komfort versus ochrana soukromí

Marek Bielik

Národní eID a mobilní ID: o co jde a proč na tom záleží

Elektronické identifikační prostředky (eID) a jejich mobilní ekvivalenty (mobilní ID/identitní peněženky) se staly „vstupenkou“ k digitálním službám státu i soukromého sektoru. Přinášejí rychlost a komfort – zároveň však soustřeďují sílu identifikace a atributů na jediném místě. Tento článek rozebírá architektury, hrozby, regulační rámce a praktická doporučení, jak vyvážit pohodlí s ochranou soukromí.

Terminologie: eID, mobilní ID, atributové služby a peněženky

  • eID (card-based) – fyzická karta s čipem (PKI), často s kvalifikovaným podpisem. Vyžaduje čtečku nebo NFC.
  • Mobilní ID – identita vázaná na smartphone (aplikace + bezpečné úložiště/SE/TEE), případně na SIM/eSIM (Mobile Connect, sim-based).
  • Identitní peněženka – kontejner pro verifiable credentials (VC), které reprezentují tvrzení (věk > 18, řidičské oprávnění, studentský status). Umožňuje selektivní zveřejnění.
  • Atributová služba (Attribute/Claims Provider) – poskytuje ověřené údaje o subjektu (adresa, distanční vzdělávání, zdravotní pojištění).

Architektonické modely a jejich dopad na soukromí

  • Centralizovaný identitní broker (státní IdP) – jednoduchá integrace, ale riziko korelace (centrální bod ví, kde a kdy se přihlašujete). Vyžaduje přísné logické oddělení a pairwise pseudonymous identifiers (PPID).
  • Federovaný model (více IdP, stát + banky) – snižuje koncentraci moci, ale otevírá heterogenní rizika a složitější správu souhlasů a souladu.
  • SSI/VC (self-sovereign + verifiable credentials) – uživatel drží tvrzení lokálně v peněžence a sdílí minimum údajů (např. pouze „plnoletost“). Nejlepší potenciál pro privacy-by-design, ale vyžaduje standardy (DID, VC), důvěryhodné vydávání a masivní adopci ověřovatelů.

Komfort: kde mobilní ID exceluje

  • Okamžitý onboarding do státních portálů a bankovnictví; odpadá potřeba čtečky karet.
  • NFC a biometrie – přirozené uživatelské prostředí pomocí otisku prstu nebo obličejové biometrie (s on-device zpracováním).
  • Offline prokazování – přenos vybraných atributů přes QR/NFC i bez sítě (např. prokazování věku).
  • Podpisováníremote signing nebo kvalifikovaný podpis přes zabezpečený modul/klienta.

Hlavní rizika: korelace, sledování a „single point of failure“

  • Korelace transakcí – pokud identitní služba přiděluje globální identifikátory, vzniká clickstream napříč portály.
  • Rozšiřování účelu (function creep) – postupné „přetékání“ identity do nových oblastí (zdravotnictví → doprava → školství).
  • Závislost na zařízení – ztráta/krádež telefonu, SIM-swap, malware a side-loading.
  • Biometrická rizika – únik šablon (při uložení mimo zařízení), nátlakové odemykání, spoofing při nedostatečné kontrole živosti (LPA).
  • Vendor lock-in – proprietární SDK a nedostatečná interoperabilita.

Hráči a motivace: kdo co vidí

  • Stát/IdP – motivace pro evidenci přístupů (audity, bezpečnost). Z pohledu soukromí klíčové je minimalizovat eventové logy a používat PPID.
  • Ověřovatel (verifier) – vyžaduje spolehlivý důkaz a co nejméně treních v UX. Je třeba jej omezit jen na „co potřebuji pro daný účel“.
  • Držitel (uživatel) – preferuje pohodlí, často podceňuje sdílení nadbytečných dat.
  • Útočník – od phishingu až po škálovanou korelaci pseudonymů přes prohlížečové otisky a síťové metadata.

Techniky, které chrání soukromí (a lze je implementovat dnes)

  • Pairwise Pseudonymous Identifiers (PPID) – unikátní ID pro každou službu; znemožňuje webům korelovat uživatele napříč doménami.
  • Selektivní zveřejnění – kryptografické důkazy vlastností bez odhalení hodnot (např. zk-SNARKs/zk-credentials pro „věk ≥ 18“).
  • Minimalismus atributů – místo rodného čísla pouze „plnoletost“, místo adresy jen „rezident SR“.
  • On-device biometrie – šablony zůstávají v zabezpečeném elementu; IdP nikdy nevidí biometrická data.
  • Souhlas s účelem + TTL – explicitní účel a time-to-live pro sdílené atributy; po uplynutí platnosti se atribut zneplatní.
  • Transakční kvitance – peněženka uchovává lokální záznam, IdP pouze agregované metriky bez kontextu služby.

Životní cyklus identity: slabiny a „best practices“

  1. Enroll/Proofing – fyzická verifikace + liveness; oddělit registraci od vydávání credentialů (specializované autority).
  2. Vázání na zařízení – klíče v SE/TEE; device binding proti klonování, atestace integrity.
  3. Obnova a revokace – více kanálů (osobně, pošta, video-KYC), cooling-off období a upozornění na všech registrovaných zařízeních.
  4. Rotace klíčů – plánovaná i reaktivní, bez ztráty UX (přenos credentialů mezi zařízeními šifrovaným kanálem).
  5. Incident response – seznam kroků pro uživatele (blokace, revokace, audit), pro IdP (forenzika, oznamovací povinnost, postmortem).

Regulační zásady a soulad „privacy by design“

  • Minimalizace – zprvu žádejte méně: „co je nezbytné pro účel?“
  • Oddělení rolí – IdP ≠ atributový poskytovatel ≠ ověřovatel; brání koncentraci dat.
  • Transparentnost – srozumitelné obrazovky se sdílenými atributy, účelem a dobou platnosti.
  • Práva dotčených osob – přístup, oprava, vymazání, omezení, přenositelnost, námitka, auditovatelné logy.
  • Bezpečnostní základ – kryptografie s moderními křivkami, pinning, atestace aplikace, detekce root/jailbreak s „graceful degradation“.

Model hrozeb pro mobilní ID

Vektor Pravděpodobnost Dopad Mitigace
SIM swap střední vysoký oddělit SIM od autentizace, preferovat FIDO2/OTP v aplikaci
Malware/side-loading nízká–střední vysoký Certifikace ze Storu, anti-tamper, omezení debug módů
Phishing/Consent spoofing vysoká střední QR s doménovým pinningem, „verifier name + logo + EV“
Korelace u IdP střední vysoký PPID, anonymizační proxy, diferencované logy
Ztráta zařízení střední střední remote wipe, vícefaktorová obnova, revokace a notifikace

Digitální průkazy a řidičské průkazy v mobilu: specifika

Mobilní řidičské průkazy (mDL) a občanské průkazy v mobilní peněžence posouvají „fyzický“ doklad do softwaru. Klíčové je, aby kontrolor (policie, revizor) vždy požadoval pouze atribut (věk/držitel oprávnění), nikoli celý profil. Offline režim musí kryptograficky zajistit, že kontrolor nevytváří trvalý záznam s plnou identitou občana.

Interoperabilita a „vendor risk“

  • Otevřené standardy – OIDC pro vydávání/prezentaci verifiable credentials, DID, ISO standardy pro mDL; kvalifikované pečeti pro vydavatele.
  • Portabilita credentialů – uživatel musí umět přenést údaje mezi peněženkami bez ztráty platnosti.
  • Audit a certifikace – nezávislé penetrační testy, kryptografické audity, compliance testbed pro ověřovatele.

Metodika implementace: „privacy first“ v 8 krocích

  1. Define-min: definujte nejmenší soubor atributů pro každý případ použití.
  2. Decouple: oddělte role a denormalizujte identifikátory (PPID).
  3. Disclose-less: zapněte selektivní zveřejnění a prahové důkazy (≥18, rezident, platné povolení).
  4. Device trust: klíče v SE/TEE; certifikujte aplikaci i runtime prostředí.
  5. Recovery UX: víceúrovňová obnova s cool-off oknem a notifikacemi.
  6. Telemetry hygiene: minimalizujte serverové logy, používejte privacy budgets a k-anonymitu pro statistiky.
  7. Red team: simulujte SIM-swap, phishing a korelační útoky.
  8. Transparency: srozumitelné obrazovky souhlasu a export vlastní uživatelské aktivity.

Check-list pro zadavatele a regulátory

  • PPID a zákaz globálních identifikátorů mimo přísně stanovené výjimky.
  • „Default deny“ pro sdílení rodného čísla a úplné identity; preferujte atributy.
  • On-device biometrie s certifikovaným bezpečnostním prvkem; žádné centrální databáze biometrie.
  • Standardy a nezávislý audit kryptografie, aplikace a infrastruktury.
  • Práva uživatele: export lokálních záznamů, okamžitá revokace a informování o rizicích.
  • Silné consent UX: účel, rozsah, doba platnosti, offline/online režim, identita ověřovatele.

Praktické rady pro občany: jak získat pohodlí bez zbytečného rizika

  1. Uzamkněte zařízení (PIN + biometrie) a aktualizujte systém; vypněte odemykání „smart unlock“.
  2. Zálohujte a připravte obnovu (druhé zařízení, recovery kódy, bezpečné uložení).
  3. Minimalizujte sdílená data – pokud aplikace/peněženka nabízí selektivní zveřejnění, vždy jej používejte.
  4. Ověřujte ověřovatele – při prezentaci credentialu kontrolujte název a doménu; využívejte QR s doménovým pinningem.
  5. Oddělte profily – pracovní a osobní účely držte v samostatných peněženkách/profilů, pokud to platforma umožňuje.
  6. Zapněte upozornění – notifikace o nových zařízeních, revokacích, nestandardních přístupech.

Etické a společenské aspekty

Digitální identita je infrastruktura veřejného zájmu. Pokud je navržena nesprávně, urychlí chilling effect a může prohloubit nerovnosti (digitální propast, „ID-chudoba“). Veřejná kontrola, otevřené standardy a transparentní hodnocení dopadů na soukromí (PIA/DPIA) jsou proto stejně důležité jako kryptografie.

Vyvažování pohodlí a soukromí není kompromis, ale návrhová volba

eID a mobilní ID dokážou nabídnout vynikající uživatelský zážitek bez poškození soukromí – pokud se použijí pseudonymní identifikátory, selektivní zveřejnění, on-device biometrie a striktní minimalizace dat. Komfort a soukromí tedy nejsou protiklady: jsou výsledkem informovaných rozhodnutí v architektuře, správě a regulaci. Kdo je zvládne správně, získá důvěru – a důvěra je v identitě tou nejcennější měnou.

Súvisiace články

Pronájem marin a kotvišť

Pronájem marin a kotvišť zahrnuje správu specializovaných nemovitostí s riziky jako povětrnostní vlivy a legislativní požadavky. Ceny se odvíjejí od délky plavidla, zóny a služeb, smlouvy jsou sezónní, roční či krátkodobé s důrazem na detai

Burza a transparentnost kapitálového trhu

Transparentnost kapitálového trhu zajišťuje burza prostřednictvím standardizace, ověřování a distribuce informací o cenách, objemech a finančním zdraví emitentů, čímž snižuje informační asymetrii a podporuje efektivní přidělování kapitálu.