Názor k článku Digitální občanský průkaz v mobilu se blíží aneb Jak budou fungovat české eDoklady od LRA - Tyto detaily technického řešení Agentura (prozatím?) nezveřejnila. Předpokládejme,...

Tyto detaily technického řešení Agentura (prozatím?) nezveřejnila. Předpokládejme, že návrhu se v Agentuře soudní lidé a použijí technologie, které podobná rizika řeší.

Podle vyjádření zástupců Agentury budou nějakým způsobem využívány technologie budoucí Evropské peněženky digitální identity (EUDIW). Pro EUDIW je navrhováno využití technologie Verifiable Credentials (VC) a souvisejících standardů pro vydávání (Open ID for Verifiable Credentials Issuance, Open ID for Verifiable Presentati*n).

EUDIW zjednodušeně to funguje tak, že peněženka (aplikace eDoklady) je v rámci inicializace vybavena privátním klíčem, který leží v HW úložišti (ověřováno pomocí atestačních certifikátů). Vydavatel vydává VC (stejnopis) pro konkrétní peněženku (v podepsané/pečetěné části credential je zahrnut veřejný klíč peněženky). Při prezentaci VC je předložena nejen prostá kopie VC, ale obsahuje také výzvu a/nebo nonce (obrana proti replay) a podpis vytvořený klíčem peněženky (uložen v HW). Pro použití klíče peněženky je vynucováno odemknutí úložiště použitím zámku obrazovky (pin, lokální biometrie).

Takto je zajištěno, že vydané VC (stejnopisy) nejsou prezentovatelné z jiného zařízení, než pro které byly vydány.