Názory k článku Využití FIDO klíče GoTrust IdemKey pro digitální podpis, například DNSSEC

Vy jste vy. Ale vaše živnost nejste vy.

Já nemám živnost. V osobních údajích mam své jméno, příjmení, datum narození, tvralé bydliště. Také tam mám záznam, že jsme z totožněn v registru obyvatel. Schránka se jmenuje taky jako já.

A výsledek ověření totožnosti pro mojeid?

Identifikace žádosti:
FAIS / ISDS - Re: Žádost o poskytnutí / odvolání poskytnutí údajů jiné osobě

Výsledek:
CHYBA

Popis:
Službu nelze žádat ze schránky právnické osoby.

Já nejsem právnická osoba, dokonce to v té datovce je výslovně napsáno, že jsem fyzická osoba. Takže já jsem já.

Jde tedy o schránku FO nebo PFO?

Ne, nemáte teď mít žádnou třetí datovou schránku. Účet v NIA (pro přihlašování k orgánům veřejné moci) s datovou schránkou nijak nesouvisí, v žádném případě se kvůli němu nezřizuje nová datová schránka. Datová schránka fyzické osoby je jenom jeden ze způsobů, jak NIA účet ověřit.

Od vzniku datových schránek platí, že každý subjekt má jednu datovou schránku – neexistuje žádná datová schránka, kterou by sdílelo více subjektů. Takže když budete stoprocentní vlastník 4 s. r. o., bude mít každá tato s. r. o. svoji samostatnou schránku. Když máte živnost jako fyzická osoba, můžete si pro tuto živnost také zřídit datovou schránku. A můžete si zřídit datovou schránku i pro sebe jako pro fyzickou osobu, občana, člověka. Že do každé takové datové schránky potřebujete extra přihlašovací údaje, to je špatně. Ale že jsou ty datové schránky oddělené, to je správně.

Důvody jsem popisoval výše. Pokud si vše jako živnostník děláte sám, tak tu výhodu neoceníte, ale ten systém musí být připraven na všechny situace. Na to, že si na řízení živnosti někoho najmete, ale nebudete chtít, aby vám ten samý člověk vrtal v soukromém životě. Musí být připraven i na to, že zemřete – pak zanikne subjekt fyzická osoba, ale subjekt podnikající fyzická osoba může dál existovat.

Žádný problém v tom nevidím, pokud si někdo umí zřídit datovou schránku PFO, určitě zvládne i zřízení datové schránky FO. Jediná nepohodlná věc je ta nutnost používání různých přístupových údajů. A pak samozřejmě jsou nesmyslné celé datové schránky, ale to je jiná písnička – nebezpečné, proprietární, výrazně zdržely digitalizaci veřejné správy.

Stejně tak ale bude potřebovat jiný bankovní účet (banky obvykle neumožňují používat osobní účet pro podnikání), pokud bude mít doma provozovnu, bude ji muset označit živností (vedle jména, které má na zvonku) atd. V tuto chvíli mu to nic nepřináší, ale pokud by se jeho živnost rozrostla, má možnost zaměstnat další lidi, kterým dá přístup jenom do podnikatelské datové schránky. Holt státní správa musí pokrýt všechny možnosti. Třeba v autoškole také děláte test i na malou motorku a na jízdu s přívěsem, i když plánujete jezdit jenom autem a bez přívěsu. No a rozlišit, jestli něco posílám jako soukromá osoba nebo jako podnikatel, to snad není takový problém.

Stejně tak ale bude potřebovat jiný bankovní účet

Nebude. Některé banky (hlavně ty velké) se sice snaží klienty přesvědčit, že jako OSVČ nutně potřebují "podnikatelský účet", protože je to produkt, který bývá u těchto bank extrémně předražený (zejména pokud je používán jen málo), ale zákon nic takového nenařizuje. Zákon neříká nic o "podnikatelském účtu", takže si lze zaregistrovat jakýkoli běžný účet. Neříká nic ani o tom, že by OSVČ (obecně) musela vůbec nějaký účet mít registrovaný, takže je klidně možné používat stejný účet pro soukromé účely i živnost (jestli je to praktické, to je jiná otázka) nebo fungovat na čistě hotovostní bázi (jsou-li s tím partneři srozuměni a nepotřebuje-li přijímat nebo odesílat platby nad zákonný limit).

Třeba v autoškole také děláte test i na malou motorku a na jízdu s přívěsem, i když plánujete jezdit jenom autem a bez přívěsu.

Nevím jak vy, ale já jsem zcela určitě v autoškole žádný test na jízdu s přívěsem ani na malou motorku nedělal. Tedy aspoň ne praktický - otázky v teoretickém testu jsou něco jiného, ale to tam byly třeba i otázky na maximální délku vozidla nebo jízdní soupravy, přestože jsem dělal obyčejné "béčko" a ne C, D nebo E, kterých se to skutečně týká.

No a rozlišit, jestli něco posílám jako soukromá osoba nebo jako podnikatel, to snad není takový problém.

Určitě? Tak co třeba daňové přiznání u OSVČ, která je zároveň zaměstnancem a má (a) 100% příjmů ze zaměstnání, (b) 70% příjmů ze zaměstnání, (c) 50% příjmů ze zaměstnání, (d) 70% příjmů z podnikání, (e) 90% příjmů z podnikání?

Námět k zamyšlení: pokud je tak striktně oddělena FO a PFO, jak tvrdíte, proč nesmí ta PFO zaměstnat příslušnou FO, přičemž právní zdůvodnění je, žese jedná o stejnou osobu a jakákoli smlouva se musí uzavírat mezi různými subjekty?

Lépe bych to nenapsal. Mám OSVČ jako vedlejší činnost a přesně tak jak píšete funguji a fungovat budu. Stát mě vidí jako jeden subjekt. Při řidičáku mě nikdo na skútr nedával, s vozíkem jsem se musel naučit sám. Prostě kdyby to fungovalo jako v soukromé firmě, máme hezké UI, jednotné přihlášení a přehled. Takto je to slátanina a skoro nikdo tomu nerozumí.

Michal Kubeček: Zkuste se ještě jednou pořádně soustředit na spojení „banky obvykle neumožňují“. Jsem přesvědčen, že na druhý pokus odhalíte, že tam není řečeno nic o zákonu. Teoretický test je pro získání řidičáku stejně nutnou součástí, jako praktická zkouška. Myslím, že otázky na délku jízdní soupravy a další, které se netýkají skupiny B, už v dnešních testech nejsou – proto jsem raději tento příklad neuváděl.

Daňové přiznání je speciální případ, kdy to jedním dokumentem podáváte za víc subjektů.

V námětu k zamyšlení píšete o osobě a pak najednou o subjektu – docela by mne zajímalo, jak to zdůvodnění zní doopravdy.

Ano, je to tak. SZR ve svých identitních prostředcích může použít ověření totožnosti prostřednictvím datové schránky PFO, protože využívá přímý přístup do základních registrů. CZ.NIC tuto možnost nemá, takže je omezen jen na použití datové schránky FO u výše popsaného mechanismu.

Kdo má posuzovat, zda jste se přihlásil opravdu vy? Má to být vaše referentka na finančním úřadu, která si prostuduje specifikaci tokenu a podle toho usoudí, zda se za vás někdo nemohl jen vydávat?

Já si musím zaregistrovat konkrétní token (ať už fyzický, softwarový nebo něco mezi), takže by měla být moje zodpovědnost a moje volba, na základě čeho se rozhodnu konkrétnímu tokenu důvěřovat. Kdo věří na certifikace, může se řídit podle nich, to je jeho volba. A jak státní správa, tak CZ.NIC mohou klidně vydat doporučení, že se má věřit určité certifikaci nebo vybírat z nějakého seznamu. Ale mělo by to být jen doporučení.

Jenže tady nejde o to, čemu důvěřujete vy, ale čemu důvěřuje CZ.NIC. Když se přihlašujete přes MojeID, je to CZ.NIC, kdo se státu zaručuje, že jste to vy. A CZ.NIC si určitě nevezme na triko to, že vy si vyberete bezpečný token.

Hm... ale to, jestli ten token nechám někde ležet a ani si toho měsíc nevšimnu, nebo jestli si heslo nenapíšu na post-itku, kterou budu mít v práci na monitoru, si "na triko" vezme? V čem je rozdíl? Proč by si některé nezodpovědné chování "na triko" vzít nemohl a jiné ano?

Když necháte token někde ležet a heslo si napíšete na lísteček, budete jediný, kdo si stěžuje, že se jeho jménem hlásí někdo jiný. CZ.NIC pak snadno obhájí, že chyba není na jeho straně a že jste vy porušil podmínky. Pokud těch uživatelů budou stovky, bude to systémové selhání a problém bude na straně CZ.NICu.

Podobně se to řeší všude možně. Auto musí být vybaveno bezpečnostními pásy, ale vy samozřejmě můžete porušit zákon a pás si nezapnout.

Mimochodem, na základě čeho byste se vy rozhodoval, že je nějaký token bez certifikace bezpečný? Že má jeho výrobce dobrou pověst, dobře se o něm píše na Rootu, na Twiteru, chválil ho někdo na InstallFestu? Ve skutečnosti ani ti lidé, kteří se v problematice orientují, by se nerozhodovali zodpovědně, ale jen na základě dojmů. A řádově víc by bylo těch, kteří by na tržnici nakoupili květák, token a boty adddidas a pak by prohlásili, že tomu tokenu plně důvěřují. Autentizace je i o obecné důvěře a kdyby se nějaký případ prolomení autentizace objevil každý den, bylo by pak marné vysvětlovat lidem, že to ale všechno byla chyba uživatelů.

Jinak řečeno, právě jste nechtěně potvrdil, že rozdíl v tom není naprosto žádný. Tedy kromě toho, že v jednom případě má stát možnost mi do toho mluvit, a tak ji využívá, a ve druhém (nebezpečnějším) ne, tak to holt nechá jen jako doporučení (což by měl udělat v obou případech).

Na rozdíl od vás nemám slepou víru v oficiální autority, ať už se jedná o naši dřívější diskusi na téma web of trust vs. PKI, nebo třeba o FIDO2 tokeny. Takže stejně tak jako podstatně víc důvěřuji web of trust kolem kernel.org než pochybným autoritám, které jsou oficiální jen proto, že si zaplatily, aby jejich certifikáty byly předinstalované v prohlížečích, ale v praxi se od Upřímného Achmeda liší jen tím, že nejsou tak upřímné, stejně tak jsou pro mne relevantnější faktory jako open source firmware s veřejně dostupným a auditovatelným zdrojákem a možnost ho updatovat, když se objeví problém, nebo review od lidí, kterým mám důvod důvěřovat, než razítko od nějaké aliance, která jen těžko může něco skutečně auditovat.

Ne, rozdíl je v tom, co dokáží lidé reálně posoudit. Že nemají nechávat heslo napsané na papírku chápou snad všichni, kdo diskutují zde na Rootu. Posoudit, jestli je nějaký FIDO2 token bezpečný, podle mne nedokáže posoudit nikdo z této diskuse.

Já nemám slepou víru v oficiální autority. Akorát na rozdíl od vás tuším, jaké jsou reálné schopnosti drtivé většiny lidí. Jinak celou dobu se tu bavíme o komunikaci se státem, takže vaše argumentace lidmi kolem kernel.org je dost zavádějící. Raději si jako příklad znalostí o bezpečnostních technologiích představte vaši referentku na finančním úřadě. Protože nakonec to bude ona, která musí posoudit, jestli jste to daňové přiznání s částkou 100 milionů Kč, kterou máte zaplatit na dani z příjmu (a začnou vám z toho běžet úroky, když to nezaplatíte v termínu), podal vy.