Ministerstvo vnitra odmítlo zpřístupnit veřejné elektronické klíče k eObčankám s odkazem na vnitřní předpisy a kybernetickou bezpečnost. Aktivisté z Paralelního Polisu tedy uspořádají v druhé polovině ledna hackaton s cílem veřejné klíče dopočítat, což při trochu větší námaze lze už dnes, a navrhnout služby, které by nový identifikační prostředek mohl poskytovat.
Česká republika zavádí nové elektronické průkazy (tzv. eObčanka), které jsou mimo jiné přístupovým nástrojem pro služby Portálu občana (informovali jsme v textu Občanka s čipem nebude stačit na některé státní online služby. Bude potřeba i další identifikátor). Vývoj portálu občana stál podle náměstka ministra vnitra Jaroslava Strouhala 90 milionů korun a vyvíjela jej Národní agentura pro komunikační a informační technologie (NAKIT).
Celý projekt však působí velmi rozpačitě. Už při jeho spuštění jsme upozorňovali na to, že nemá o moc víc funkcionalit, než systém datových schránek, pomocí níž může občan také zažádat o výpis z bodového konta a využít dalších ne-mnoha elektronických služeb státu. Podle informací uveřejněných na serveru Paralelní Polis stávající technické řešení i komunikace okolo něj snižují důvěryhodnost nového nástroje, který má přitom potenciál významně zjednodušit komunikaci se státem a ulehčit řadu povinností identifikace uživatelů internetových a finančních služeb. „Namísto otevření software pro další vývoj na straně uživatelů však stát odmítá zveřejnit i údaje, které by ze své podstaty veřejné být měly,“ uvádí se v blogu Paralelního Polisu.
Podle autora článku Jana Hubíka s požadavkem na zpřístupnění veřejných klíčů se na Ministerstvo vnitra ČR obrátil v polovině září tohoto roku Karel Kyovský. „Zpřístupnění uvedených certifikátů široké veřejnosti umožní občanům i soukromému sektoru efektivnější využití vlastností nových občanských průkazů a umožní nezávislé ověření pravosti,“ uvedl Kyovský v odůvodnění žádosti o zpřístupnění veřejných klíčů.
Architektura řešení je podle Hubíka hrubě nedotažená a postrádá logickou strukturu, ale i některé základní bezpečnostní náležitosti. Při rozkrývání technického provedení se pak objevil zcela nepochopitelný problém na straně vydavatele, který odmítl zveřejnit veřejné klíče pro ověření autenticity certifikátů a jejich vydavatele (certifikační autority).
Ministerstvo vnitra však žádost zamítlo s odkazem na sérii předpisů, které údajně znemožňují veřejné klíče poskytnout, a samotné zveřejnění označilo za bezpečnostní riziko. „Poskytnutí požadovaných certifikátů považujeme za možné riziko pro bezpečnost systému elektronické komunikace,“ uvedl František Varmuža, ředitel Odboru centrálních informačních systémů Ministerstva vnitra ve své odpovědi.
Podle Hubíka buď ministerstvo vnitra buď nerozumí základům kryptografie a bezpečnosti, nebo jde o skrytý záměr, jehož cílem je vytvoření role centrálního ověřovatele (prostor pro další zakázky). „Veřejné klíče k e-dokladům přitom bez problémů zpřístupnilo například Slovensko nebo Estonsko, kde žádné bezpečnostní riziko neidentifikovali,“ podivuje se nad postupem českého ministerstva Hubík.
Nechcete nám klíče dát? „Hekneme“ je
Hubík však upozorňuje, že veřejné klíče české eObčanky lze ovšem z certifikátů nahraných na eObčance dopočítat. „Metodiku výpočtu představili konzultanti v oblasti kryptografie Ondřej Vejpustek a Andrew Kozlik. Bližší metodologie je popsaná například v dokumentu Elliptic Curve Cryptography. Odmítnutím zveřejnit veřejné klíče k certifikátům stát vytváří umělou monopolní situaci a prostor pro korupci, kdy pouze jím určené osoby s přístupem k certifikátům mohou využít nové vlastnosti občanských průkazů s čipem a vytvářet další aplikace pro širší a smysluplnější využití eObčanky,“ píše ve svém textu Hubík.
Zástupci Paralelního Polisu se proto rozhodli ministerstvu ukázat, že lidé zajímající se o kyberbezpečnost a programování jsou schopni si poradit i bez něj. Na třetí lednový víkend tedy připravují akci s názvem Hackathon eObčanka, který si klade za cíl otevřít platformu eObčanek, zkontrolovat jejich bezpečnost a přinést nové možnosti jejich využití.
Hackathonu se mohou zúčastnit skupiny i jednotlivci. Na akci se nehradí žádné startovné. K dispozici budou čtečky karet a příkladová JAVA knihovna pro komunikaci s eObčankou. eObčanku si musí účastníci zajistit sami. Po dobu hackathonu bude k dispozici občerstvení a výběrová káva z naší kavárny.
Cílem je vytvořit projekty v následujících oblastech:
- Knihovny pro obsluhu eObčanky pro různé platformy
- Aplikace pro iOS
- Extrakce software z karty, bezpečnostní audit – například z hlediska manipulace s privátním klíčem
- Prozkoumání a zdokumentování nezveřejněných funkcí systému
- Nová využití eObčanky pro komerční i nekomerční účely
Účastníci se nemusí omezovat pouze na tato témata a mohou přijít s vlastními zajímavými nápady. Kreativitě se meze nekladou. Projekty budou hodnoceny na základě pětiminutové prezentace a dema dle následujících kritérií:
- Užitečnost
- UX
- Originalita
- Kvalita dema
Podle organizátorů se mohou vítězné týmy těšit na nabídku práce na Ministerstvu vnitra ČR :). DVD s filmem Občan K a podíl na bitcoinové odměně
Zájemci o účast na hackathonu musí vyplnit krátký formulář, na základě kterého obdrží další informace.
Projekt Paralelní Polis v sobě spojuje umění, společenské vědy a moderní technologie. Je postaven na idejích svobody, nezávislosti a inovativního rozvoje společnosti. Jedním z hlavních konceptů je důsledná snaha zůstat „state-free“. Paralelní Polis funguje zcela bez účasti státu. Zároveň nečerpá žádné prostředky z veřejných financí, tedy z peněz, které získává státní monopol prostřednictvím nedobrovolných vynucovaných plateb – daní.
Jiří Reichl