Národní elektronická identifikace a mobilní ID

Frederik

Národní eID a mobilní ID: o co jde a proč na tom záleží

Elektronické identifikační prostředky (eID) a jejich mobilní ekvivalenty (mobilní ID/identitní peněženky) se staly „vstupenkou“ k digitálním službám státu i soukromého sektoru. Přinášejí rychlost a komfort – zároveň však soustřeďují sílu identifikace a atributů na jediném místě. Tento článek rozebírá architektury, hrozby, regulační rámce a praktická doporučení, jak vyvážit pohodlí s ochranou soukromí.

Terminologie: eID, mobilní ID, atributové služby a peněženky

  • eID (card-based) – fyzická karta s čipem (PKI), často s kvalifikovaným podpisem. Vyžaduje čtečku nebo NFC.
  • Mobilní ID – identita vázaná na smartphone (aplikace + bezpečné úložiště/SE/TEE), případně na SIM/eSIM (Mobile Connect, sim-based).
  • Identitní peněženka – kontejner pro verifiable credentials (VC), které reprezentují tvrzení (věk > 18, řidičský průkaz, studentský status). Umožňuje selektivní zveřejnění.
  • Atributová služba (Attribute/Claims Provider) – poskytuje ověřené údaje o subjektu (adresa, distanční vzdělávání, zdravotní pojištění).

Architektonické modely a jejich dopad na soukromí

  • Centralizovaný identitní broker (státní IdP) – jednoduchá integrace, ale riziko korelace (centrální bod ví, kde a kdy se přihlašujete). Vyžaduje přísné logické oddělení a pairwise pseudonymous identifiers (PPID).
  • Federovaný model (více IdP – stát + banky) – snižuje koncentraci moci, ale otevírá heterogenní rizika a složitější správu souhlasů a souladu.
  • SSI/VC (self-sovereign + verifiable credentials) – uživatel drží tvrzení lokálně v peněžence, sdílí minimum údajů (např. jen „plnoletost“). Nejlepší potenciál pro privacy-by-design, ale vyžaduje standardy (DID, VC), důvěryhodné vydávání a masivní adopci ověřovatelů.

Komfort: kde mobilní ID exceluje

  • Okamžitý onboarding do státních portálů a bankovnictví; odpadá potřeba čtečky karet.
  • NFC a biometrie – přirozené uživatelské rozhraní přes otisk/tvář (s on-device zpracováním).
  • Offline prokazování – QR/NFC přenos vybraných atributů i bez sítě (např. prokázání věku).
  • Podpisováníremote signing nebo kvalifikovaný podpis přes zabezpečený modul/klienta.

Hlavní rizika: korelace, sledování a „single point of failure“

  • Korelace transakcí – pokud identitní služba přiděluje globální identifikátory, vzniká clickstream napříč portály.
  • Rozšiřování účelu (function creep) – postupné „vtírání“ identity do nových domén (zdravotnictví → doprava → školství).
  • Závislost na zařízení – ztráta/krádež telefonu, SIM-swap, malware a side-loading.
  • Biometrická rizika – únik šablon (pokud by byly mimo zařízení), nátlakové odemykání, spoofing při nedostatečné liveness kontrole.
  • Vendor lock-in – proprietární SDK a nedostatečná interoperabilita.

Hráči a motivace: kdo co vidí

  • Stát/IdP – má incentivu evidovat přístupy (audity, bezpečnost). Z pohledu soukromí je klíčové minimalizovat eventové logy a používat PPID.
  • Ověřovatel (verifier) – potřebuje spolehlivý důkaz a co nejmenší tření v UX. Je třeba jej udržet v hranicích „co potřebuji pro daný účel“.
  • Držitel (uživatel) – preferuje pohodlí, často podceňuje sdílení nadbytečných dat.
  • Útočník – od phishingu až po škálovanou korelaci pseudonymů přes prohlížečové otisky a síťová metadata.

Techniky, které chrání soukromí (a lze je zavést dnes)

  • Pairwise Pseudonymous Identifiers (PPID) – unikátní ID pro každou službu; znemožňuje webům korelovat uživatele napříč doménami.
  • Selektivní zveřejnění – kryptografické důkazy vlastností bez odhalení hodnot (např. zk-SNARKs/zk-credentials pro „věk ≥ 18“).
  • Minimalismus atributů – místo rodného čísla jen „plnoletost“, místo adresy „rezident ČR“.
  • On-device biometrie – šablony zůstávají v zabezpečeném elementu; IdP nikdy nevidí biometrická data.
  • Souhlas s účelem + TTL – explicitní účel a time-to-live pro sdílené atributy; po uplynutí platnosti je atribut neplatný.
  • Transakční kvitance – peněženka uchovává lokální deník, IdP pouze agregované metriky bez kontextu služby.

Životní cyklus identity: slabiny a „best practices“

  1. Enroll/Proofing – fyzická verifikace + liveness; oddělte registraci od vydávání credentialů (specializované autority).
  2. Vazba na zařízení – klíče v SE/TEE; device binding proti klonování, atestace integrity.
  3. Obnova a revokace – více kanálů (in-person, pošta, video-KYC), cooling-off perioda a upozornění na všech registrovaných zařízeních.
  4. Rotace klíčů – plánovaná i reaktivní, bez ztráty UX (přenos credentialů mezi zařízeními šifrovaným kanálem).
  5. Incident response – seznam kroků pro uživatele (blokace, revokace, audit), pro IdP (forenzika, oznamovací povinnost, postmortem).

Regulační zásady a soulady „privacy by design“

  • Minimalizace – přednastaveně požadujte méně: „co je nezbytné pro účel?“
  • Oddělení rolí – IdP ≠ atributový poskytovatel ≠ ověřovatel; zabraňuje koncentraci dat.
  • Transparentnost – srozumitelné obrazovky se sdílenými atributy, účelem a dobou platnosti.
  • Práva dotčených osob – přístup, oprava, vymazání, omezení, přenositelnost, námitka, auditovatelné logy.
  • Bezpečnostní standard – kryptografie s moderními křivkami, pinning, atestace aplikace, detekce root/jailbreak s „graceful degradation“.

Model hrozeb pro mobilní ID

Vektor Pravděpodobnost Dopad Mitigace
SIM swap střední vysoký oddělit SIM od autentizace, preferovat FIDO2/otp v aplikaci
Malware/side-loading nízká–střední vysoký Store attestation, anti-tamper, omezení debug módů
Phishing/Consent spoofing vysoká střední QR s doménovým pinningem, „název ověřovatele + logo + EV certifikát“
Korelace u IdP střední vysoký PPID, anonymizační proxy, diferenční logování
Ztráta zařízení střední střední remote wipe, vícefaktorová obnova, revokace a notifikace

Digitální průkazy a řidičák v mobilu: specifika

Mobilní řidičské průkazy (mDL) a občanské průkazy v mobilní peněžence posouvají „fyzický“ doklad do softwaru. Klíčové je, aby kontrolor (policie, revizor) vždy vyžadoval pouze atribut (věk/držitel oprávnění), nikoliv celý profil. Offline režim musí kryptograficky zajistit, že kontrolor nevytváří trvalý log s plnou identitou občana.

Interoperabilita a „vendor risk“

  • Otevřené standardy – OIDC pro vydávání/předkládání verifiable credentialů, DID, ISO standardy pro mDL; kvalifikované pečetě pro vydavatele.
  • Portabilita credentialů – uživatel musí umět přenést údaje mezi peněženkami bez ztráty platnosti.
  • Audit a certifikace – nezávislé penetrační testy, kryptografické audity, compliance testbed pro ověřovatele.

Metodika implementace: „privacy first“ v 8 krocích

  1. Define-min: definujte nejmenší soubor atributů pro každý případ použití.
  2. Decouple: oddělte role a denormalizujte identifikátory (PPID).
  3. Disclose-less: zapněte selektivní zveřejnění a prahové důkazy (≥18, rezident, platné povolení).
  4. Device trust: klíče v SE/TEE; atestujte aplikaci i runtime.
  5. Recovery UX: vícestupňová obnova s cool-off oknem a notifikacemi.
  6. Telemetry hygiene: minimalizujte serverové logy, používejte privacy budgets a k-anonymitu pro statistiky.
  7. Red team: simulujte SIM-swap, phishing a korelační útoky.
  8. Transparency: srozumitelné obrazovky souhlasu + export vlastní uživatelské aktivity.

Check-list pro zadavatele a regulátory

  • PPID a zákaz globálních identifikátorů mimo přísně stanovených výjimek.
  • „Default deny“ pro sdílení rodného čísla a kompletní identity; preferujte atributy.
  • On-device biometrie s certifikovaným zabezpečeným prvkem; žádné centrální databáze biometrie.
  • Standardy a nezávislý audit kryptografie, aplikace a infrastruktury.
  • Práva uživatele: export lokálních deníků, okamžitá revokace a informování o rizicích.
  • Silné consent UX: účel, rozsah, doba, offline/online režim, identita ověřovatele.

Praktické rady pro občany: jak získat pohodlí bez zbytečného rizika

  1. Uzamkněte zařízení (PIN + biometrie) a aktualizujte systém; vypněte odemykání „smart unlock“.
  2. Zálohujte a připravte obnovu (druhé zařízení, recovery kódy, bezpečné uložení).
  3. Minimalizujte sdílené údaje – pokud aplikace/peněženka nabízí selektivní zveřejnění, používejte ho vždy.
  4. Ověřujte ověřovatele – při předkládání credentialu kontrolujte název a doménu; využívejte QR s doménovým pinningem.
  5. Oddělte profily – pracovní a osobní účely mějte v samostatných peněženkách/profilách, pokud platforma umožňuje.
  6. Zapněte upozornění – notifikace o nových zařízeních, revokacích, neobvyklých přístupech.

Etické a společenské aspekty

Digitální identita je infrastruktura veřejného zájmu. Pokud je navržena nesprávně, může urychlit chilling effect a prohloubit nerovnosti (digitální propast, „ID-poverty“). Veřejná kontrola, otevřené standardy a transparentní hodnocení dopadů na soukromí (PIA/DPIA) jsou proto stejně důležité jako kryptografie.

Vyvažování pohodlí a soukromí není kompromis, ale projektová volba

eID a mobilní ID mohou přinést vynikající UX, aniž by ohrozily soukromí – pokud se použijí pseudonymní identifikátory, selektivní zveřejnění, on-device biometrie a striktní minimalizace údajů. Komfort a soukromí tedy nejsou protiklady: jsou výsledkem informovaných rozhodnutí v architektuře, správě a regulaci. Kdo je vykoná dobře, získá důvěru – a důvěra je v identitě tou nejcennější měnou.

Súvisiace články

Live kasinové hry

Kasina a bookmakeři sdílejí negativní očekávanou hodnotu a vysokou volatilitu, liší se však v mechanice: kasina mají fixní house edge, zatímco bookmakeři operují s dynamickou marží na základě tržních kurzů a informací.

Behaviorální aspekty zadlužení

  • Drmi
  • 26. júla 2024
  • 0

Dluhové chování je ovlivněno psychologickými mechanismy jako časové diskontování, averze ke ztrátě, kognitivní únava a sociálními normami. Efektivní zvládání zadlužení vyžaduje transformaci emocí, automatizaci finančních rozhodnutí a elimin