Hlavní navigace

Sedm hříchů datových schránek

2. 11. 2009
Doba čtení: 20 minut

Sdílet

Autor: 21971
Datové schránky oficiálně odstartovaly. Nikoliv ovšem s čistým štítem. Sedm hříchů datových schránek rekapituluje tento článek a hned připomíná: gigantický velkoprojekt je z IT pohledu ekvivalentem většího freemailu. Alespoň z takových projektů se mohly datové schránky poučit a neobtěžovat české podnikatele banálními hříchy...

Richard P. Feynman, americký teoretický fyzik, jeden z otců atomové bomby a nositel Nobelovy ceny, byl mimo jiné i talentovaným malířem. Vystupoval nicméně pod pseudonymem Ofey, ne pod svým vlastním jménem. Jsa tázán proč, odpověděl, že chce, aby lidé posuzovali jeho obrazy jenom pro ně samé, ne proto, že se od fyzika neočekává, že bude umět kreslit. Že nechce být mluvícím psem, kterého lidé obdivují – ne snad, že by mluvil tak dobře, ale je zázrak, že vůbec mluvit dokáže.

Většina informatických počinů státní správy v České republice je přesně takovým mluvícím psem. Většina chvály, která se snáší na elektronické rejstříky všeho druhu, na nahlížení do katastru nemovitostí a další služby realizované „prostřednictvím dálkového přístupu“, je ve skutečnosti vyjádřením úlevy, nikoliv obdivu. Úlevy, že i úřední šiml zaznamenal jedenadvacáté století, existenci datových sítí a Internetu a že „vůbec mluví“. Tato úleva zhusta zakrývá skutečnost, že mluví pomalu, nezřetelně a dost často se zakoktá.

Posuzována okem nezaujatým je většina úředních webových aplikací dosti ubohá. Mimo ghetto státní správy, v divoké džungli konkurenčního prostředí, by tyto aplikace byly často považovány za koncepcí a technickou implementací zastaralé, uživatelsky nepříjemné, esteticky odpuzující a celkově směšné a neschopné odolat konkurenci.

Konference Czech Internet Fórum 2009

Český Internet v kostce pro telekomunikační i marketingové odborníky, taková je konference CIF 2009, která proběhne v Praze 12. listopadu 2009. Přinese ohlédnutí za uplynulým rokem, který poznamenala krize na všech frontách.

Na CIFu mluví osobnosti Na panelové diskusi „Souboj titánů“ se sejdou šéfové největších českých portálů, o Internetu v roce 2019 promluví šéfka českého Google Taťána le Moigne a o tom, jak udělat z malé firmy obra a získat pro něj investora, bude mluvit Ondřej Tomek, někdejší šéf Centrum.cz. To nejsou jediná lákadla konference CIF, její kompletní program najdete zde.

Web CIF 2009 s cenami a registrací.

Tímto okem se chci v následujícím textu podívat na nejnovější počin v elektronizaci státní správy: na datové schránky. Ač se z hlediska legislativního a z hlediska státní správy jedná o revoluci, z hlediska technického jde o systém nepříliš složitý a o úkoly již mnohokrát řešené. Co do náročnosti jde o projekt srovnatelný s větším freemailem, kterých máme i v ČR několik.

V době psaní tohoto článku nás dělí od ostrého startu dva týdny a můžeme jenom předvídat, zda onen start bude úspěšný nebo nikoliv. Vědom si toho, že věštby v oboru informačních technologií své původce ze zpětného pohledu zpravidla ztrapňují, nebudu se o ně ani pokoušet. Namísto toho nabízím sedmero důvodů, na které můžeme případný neúspěch svést. Pokládám za nutné zdůraznit, že ač to tak z tohoto článku zřejmě nevypadá, jsem příznivcem projektu datových schránek a přeji jim úspěch. Už jenom proto, že jakkoliv nesnáším odfláknuté webové aplikace, ještě větší nenávist chovám k frontám na poštách.

Hřích první: Zbytečně velký třesk

Prvním hříchem datových schránek je riskantní spouštění systému formou velkého třesku. Ač ISDS běží ve volitelném testovacím provozu již od 1. července 2009, v praxi jedinou činností, kterou je možno testovat je aktivace datové schránky. Vzhledem k tomu, že si dosud schránku aktivovalo zhruba 10 % subjektů, které jsou povinny tak učinit, zpravidla není komu psát, ani od koho obdržet odpověď.

Valná většina uživatelů z řad soukromých osob i orgánů veřejné moci čeká s aktivací schránky na poslední chvíli. Případně si datovou schránku nehodlá aktivovat vůbec a bude jim aktivována 1. listopadu z moci úřední. Troufám si odhadnout, že páně premiérova výzva1 orgánům veřejné moci k aktivaci schránek do 23. listopadu věci moc nepomůže a hlavně nebude znamenat zásadní rozdíl.

V pondělí druhého listopadu nastane velký třesk. Nepřipravené orgány veřejné moci budou povinně muset pomocí datových schránek komunikovat s taktéž nepřipravenými uživateli. Implementace stylem „hodíme je do vody a uvidíme, jak se naučí plavat“ je jistě možná, ale s ohledem na důsledky ji v tomto konkrétním případě nepokládám za šťastnou. Za mnohem rozumnější bych považoval povinnou aktivaci datových schránek ve vlnách. V čase T+0 umožnit volitelnou aktivaci schránek všem skupinám uživatelů, jako to bylo v testovacím provozu od 1. července.

V čase T+30 až T+60 dnů povinně aktivovat schránky orgánům veřejné moci. Zároveň jim uložit povinnost komunikovat mezi sebou pomocí nich a ostatním uživatelům dát toto právo. To by umožnilo zájemcům z řad soukromoprávních uživatelů datové schránky postupně začít používat (měli by komu psát) a zároveň OVM naučilo s datovými schránkami reálně zacházet. V čase přibližně T+90 až T+120 pak aktivovat schránky všem povinným subjektům a celý systém spustit naostro.

Lze jistě argumentovat tím, že zodpovědní uživatelé, ať už z řad OVM nebo ze soukromé sféry, mohli tento plán realizovat i bez biče zákona nad sebou. Že to – zejména OVM – neudělají, bylo ovšem od začátku přehledně jasné. Státní úředník nikdy nezmění jsoucí postup dobrovolně, aniž by ho k tomu něco nutilo2. To se ukázalo v nedávné historii v tomto oboru již několikrát a čekat, že v případě DS tomu bude jinak, je dle mého soudu optimismus hraničící s naivitou.

Hřích druhý: Nemožnost opravdového testování

Použití datových schránek bude pro všechny zúčastněné šokem též z toho důvodu, že neměli reálnou možnost si systém vyzkoušet. Pokud si zřídili účet v testovacím systému, zjistili, že s ním mohou udělat přesně to samé jako s tím ostrým: aktivovat ho a tupě zírat na prázdný seznam příchozích zpráv.

Ani ostrý ani testovací systém nenabídne uživatelům možnost vyzkoušet si, jak se vlastně s datovou schránkou pracuje, jak lze číst zprávy. Může si pravda vyzkoušet, jak se datové zprávy odesílají, má-li dostatek drzosti k tomu, aby je odesílal na náhodně vybrané adresy. Většina systémů pro předávání zpráv při založení účtu pošle uživateli nějakou „uvítací“ zprávu. Lze si také představit, že alespoň v testovacím systému bude existovat nějaká veřejně známá „testovací“ schránka s automatickou odpovědí, která mi na výzvu pošle zprávu. Zajímavé řešení nabízela historická první verze ISDS, která na žádost o testovací účet vytvořila účet pro několik typů osob, mimo jiné i pro OVM, takže si uživatel mohl poslat zprávu sám sobě. To v současné verzi není možné, testovací schránku lze založit jenom pro soukromoprávní subjekty, které si nemohou vzájemně posílat zprávy.

Hřích třetí: Kolo, které drncá

Syndrom „not invented here3“ je rozšířený a pro aplikace zhusta smrtelný. Jsa sám programátorem, vím, že odolat vábení napsat si všechno znovu a sám je nelehké. Použití obecně standardizovaných technologií je poněkud méně vzrušující. Na druhou stranu je přívětivější k uživateli a lepší z hlediska dlouhodobé udržitelnosti.

Nic z toho, co jsem dosud viděl ze systému datových stránek, nevyžadovalo použití jiných než běžných webových technologií: HTTP, HTML a možná trocha JavaScriptu4. Přesto je masivně nasazen obskurní a světově unikátní systém 602XML. Datové schránky vyžadují instalaci specifického doplňku prohlížeče. Tento doplněk slouží k vykreslování a vyplňování formulářů. Tedy přesně k tomu, co celkem uspokojivě zvládá prohlížeč sám, bez jakéhokoliv pluginu. Objevujeme kolo.

Že se jedná o kolo naše, národní, české a světově jedinečné, je třeba chápat spíše jako okolnost přitěžující. I pokud bychom připustili nutnost používat nějaká zvláštní formulářový systém, existuje pro tento účel široce podporovaný, rozšířený a používaný formát: PDF. Ač původně vznikl pro předtiskovou přípravu dokumentů, rozvinul se v nástroj pro vytváření a zpracování formulářů, včetně digitálních podpisů a dalších pokročilých vlastností. Adobe Reader, tedy program pro práci s těmito daty, má dnes nainstalován prakticky každý a pro operace prováděné běžnými uživateli tato volně dostupná verze stačí.

Místo toho bylo zvoleno unikátní řešení v podobě českého formátu 602XML. Není mi známo, že by se tento formát používat ve větší míře mimo státní správu. Ač se jedná o technologii teoreticky univerzální, v praxi bude pracně nainstalovaný plugin využíván pouze pro úřední agendy. Použití jakéhokoliv pluginu, který je nutno zvlášť instalovat, představuje zdroj rozličných problémů. 602XML plugin nám je nabízí všechny a přidává ještě několik svých vlastních.

Pro instalaci nebo aktualizaci nestačí běžná uživatelská oprávnění, je třeba mít práva administrátora (superuživatele). To představuje problém zejména ve firemním prostředí, kde jsou práva uživatelů typicky omezena. Kvůli datovým schránkám bude tedy nezbytně nutné měnit firemní bezpečnostní politiky.

Ze stejného soudku je praktická nemožnost pracovat s datovou schránkou z veřejného počítače. Například na dovolené, v hotelu nebo internetové kavárně. Jistě lze namítat, že používat takový počítač pro citlivou operaci, jakou je práce s DS, není moudré. Zodpovědný uživatel ale nemusí mít jinou možnost. Pokud se od svého počítače vzdálí na více než deset dnů a chce na doručené zprávy reagovat, nic jiného mu nezbude. Papírovou poštu je možné nechat zasílat na dočasnou adresu, elektronickou nikoliv.

Nutnost instalace nějakého doplňku nutně omezuje platformy, na nichž bude daná aplikace použitelná. Ačkoliv jsou podporované kombinace5 bohatší než obvyklé „Windows a Internet Explorer“, omezují technologickou nezávislost a svobodu volby uživatele, aniž by k tomu vyvstala technologická nutnost.

Obzvláště pikantní je absence podpory prohlížeče Opera v souvislosti s kampaní, kterou společnost Opera Software rozjela proti Microsoftu u Evropské komise. Jedna část byrokratické mašinérie donutí Microsoft, aby znepřístupnil Internet Explorer a nabízel produkty své konkurence, a druhá část téže mašinérie tuto volbu drasticky omezí na jedinou alternativní položku, nadto vůči původnímu stěžovateli konkurenční.

Některé další problémy vyplývající z použití 602XML pluginu zmíním ještě dále.

Hřích čtvrtý: Zmatené uživatelské rozhraní

V běžném konkurenčním prostředí je často přívětivost uživatelského rozhraní faktorem, který rozhoduje o úspěšnosti a v důsledku i bytí a nebytí služby. Weby jako Amazon, Google nebo eBay nejsou populární jenom pro služby, jaké nabízejí. Nad konkurencí vyhrávají zpravidla ještě snadnou ovladatelností a pochopitelností pro běžné uživatele. Vědomy si jeho důležitosti, vynakládají firmy nemalé částky na uživatelské testování a sofistikovaný návrh uživatelského rozhraní.

Nezajdu tak daleko jako v případě většiny „elektronických úředních desek“, které jsou podle mého názoru úmyslně navržené tak, aby se prakticky nedaly použít. Zase takovou míru agresivního odmítání uživatelů ISDS nevykazuje. Troufám si nicméně tvrdit, že ISDS žádným uživatelským testování buďto neprošel, a nebo byly jeho výsledky ignorovány. Může si to dovolit, protože nemá konkurenci a jeho používání je uživatelům vnuceno pod hrozbou pokut, vězení a jiné perzekuce. Sen každého programátora.

Uživatelské rozhraní je zmatené a nekonzistentní. Místy je obtížné zjistit, zda vidím na obrazovce funkční ovládací prvek, nebo výplod grafické masturbace autora. Estetická úroveň webu je jistě věcí subjektivního vkusu, ale přesto považuji za vhodné připodotknout, že na používání defaultních photoshopových efektů je v profesionálních kruzích nahlíženo s opovržením.

Datové schránky jsou doprovázeny značnou mírou dokumentace, což je nepochybně dobře. Dokumentace je ale vhodná spíš jako kladivo na potížisty, které lze odkazem na ni zahnat do patřičných mezí. Aplikace pro masy, kterou není možné ovládat bez pročtení návodu, je prostě napsaná špatně – ať už použijeme jakkoliv sofistikovanou výmluvu.

Hřích pátý: Nedostatečné zabezpečení

Hned na úvod je nutné říct, že mi není známa žádná konkrétní chyba, která by vedla k bezprostřednímu ohrožení ISDS nebo jeho zodpovědně se chovajících uživatelů. Příliš mnoho aspektů systému je nicméně ponecháno právě na oné zodpovědnosti uživatelů nebo na čisté důvěře.

Takovou důvěru je příkladně nutno projevit při instalaci výše zmíněného 602XML pluginu. Abych mohl ISDS používat, musím svěřit naprostou kontrolu nad svým počítačem (instalace pod administrátorskými právy) zcela neznámé a principiálně nepříliš důvěryhodné aplikaci. Jsem jejím autorům ze Software 602 vydán na milost a nemilost. Instalace je náboženská zkušenost: musím důvěřovat jejich dobrým úmyslům a programátorským schopnostem stran bezpečnostních chyb, prověřit si je nemohu. Kód těchto doplňků je uzavřený a není mi známo, že by prošel nějakým nezávislým bezpečnostním testováním.

Soudě z chyby při ukládání zprávy z datové schránky je patrně tento doplněk nekompatibilní s „protected mode6“, který jako dodatečnou ochranu nabízí Microsoft Internet Explorer, nebo s „user account control“ funkcí systémů Windows Vista a Windows 7. Doporučení provozovatele ISDS tyto ochranné systémy vypnout pak hodnotím jako drzost a přímé navádění k porušení zákona, který uživateli datové schránky ukládá zachovat důvěrnost svých přihlašovacích ú­dajů.

Hřích šestý: Pozvánka pro podvodníky

Většina aktuálních bezpečnostních rizik a způsobů jejich zneužití dnes není směřována na počítačový hardware nebo software. Nejslabším článkem komunikace a tudíž nejsnazším a nejčastějším cílem útoků je uživatel. Dokážeme kvalitně zabezpečit tisíce kilometrů dlouhou vzdálenost mezi serverem a klientovým počítačem. Nedokážeme ale zabezpečit onu vzdálenost přibližně čtyřiceti centimetrů mezi obrazovkou a hlavou uživatele.Aktuální bezpečnostní hrozby – zejména phishing a phraud – nejsou hrozbami technologickými, ale psychologickými. Při dodržení bezpečnostních zásad uživateli by tyto hrozby neexistovaly a zodpovědný, inteligentní a patřičně vzdělaný uživatel jimi není ve větší míře ohrožen. Dodržování těchto zásad ve vztahu k ISDS uživatelům dokonce výslovně ukládá zákon. Což je z formálního hlediska jistě v pořádku a námitky poškozených uživatelů je obvykle možné s nadhledem odmítnout a zavalit nebohého stěžovatele výčitkami a citacemi příslušných zákonných ustanovení, která svou nedbalostí porušil.

Smutnou skutečností ovšem je, že většina uživatelů není zodpovědná a patřičně vzdělaná7. Jsou tedy vynakládány nemalé prostředky na vytváření takové architektury aplikací, aby i uživateli nevzdělanému a nezodpovědnému bylo pomoženo tyto problémy překlenout. V případě ISDS tyto prostředky vynaloženy nebyly, což lze sice vnímat svým způsobem pozitivně z fiskálního hlediska, ale já osobně to považuji spíše za problém.

Problém si lze snadno ukázat na modelovém příkladu. Do mé datové schránky je doručena nová zpráva, o čemž jsem informován elektronickou poštou. Přijde mi čistě textová zpráva, v níž je důkladně zdůrazněno, že neobsahuje žádné internetové adresy a odkazy. To je sice svým způsobem chvályhodné, nicméně dosti nezvyklé. Chci-li si zprávu přečíst, musím si tedy vzpomenout na adresu ISDS. Je to jednoduché, něco s datovými schránkami, to si přece každý zapamatuje… Takže zkouším www.datovaschran­ka.cz, www.datova-schranka.cz, www.datoveschran­ky.cz, www.datove-schranky.cz. Neúspěšně. Ani jedna z cest nevede k cíli. Všechny shora uvedené intuitivní domény jsou zabrány spekulanty.

Moment! Někde byla přece taková ta divná doména info… Takže ještě jedno kolečko: www.datovachran­ka.info, www.datova-schranka.info, www.datoveschran­ky.info, www.datove-schranky.info. Heuréka, dvě z nich jsou ty správné, ostatní jsou zabrané spekulanty8. Klikám na odkaz „Přihlášení do datové schránky“. Aha! Ona ta správná adresa je www.mojedatovas­chranka.cz, to si budu pamatovat9. Tedy správná… prohlížeč mi zobrazuje jakési důrazné varování. Ale tomu se budu věnovat za chvíli.

Smutnou skutečností je, že většinu logicky znějících domén (kromě výše uvedených platí totéž i pro TLD .com, .eu, .net a další) zabrali spekulanti. Nebo abych jim nekřivdil: zaregistroval se je někdo jiný než stát nebo Česká pošta. Pokud tedy po paměti napíšete nějakou adresu, máte velkou šanci, že skončíte na doméně, která není ve správných rukou. V tomto okamžiku jsou na těch „nesprávných“ doménách jenom výpisy z vyhledávačů, ale možnosti pro útočníky jsou nepřeberné.

Většina komerčních firem již v dnešní době ví, že chce-li se vyhnout podobným trapasům, měla by před veřejným oznámením nové značky zaregistrovat patřičné domény. Lze pochopit, že to stát „nestihl“ s ohledem na dlouhý plánovací proces. Neodpustitelným šlendriánem nicméně je, že doména mojedatovaschran­ka.cz nebyla registrována ani v době, kdy MVČR tuto adresu oficiálně oznámilo. Doména byla zaregistrována až o den později10.

Jedním z nezodpovězených tajemství všehomíra zůstává, proč se v této „konkurenci“ stát rozhodl pro zaměnitelnou, genericky znějící doménu. Za nejlogičtější volbu bych považoval nějakou subdoménu pod gov.cz – třeba adresu www.schranky.gov­.cz. Kromě předcházení konfliktů s názvem by se vyřešil i další problém: obecnou doménu .cz, .info atd. si může zaregistrovat kdokoliv. Ale doména gov.cz je pod kontrolou státu a adresy v ní jsou tedy už na první pohled důvěryhodnější.

Nicméně i pokud by bylo nutné použít samostatnou doménu, byl by vhodnější nějaký „divný“ název, který by nesváděl k tomu „to je jednoduché, to si budu pamatovat“. Nabízí se doména isds.cz (ve vlastnictví České pošty, toho času zobrazuje chybové hlášení) nebo czebox.cz (ve vlastnictví MVČR, běží tam testovací verze ISDS).

Hřích sedmý: Pochybné SSL certifikáty

Abych mohl laskavému čtenáři vyjevit podstatu tohoto hříchu, je nutné jej seznámit se základy fungování SSL a serverových certifikátů, nedostalo-li se mu příslušného dobrodiní již dříve. Jedním z největších problémů bezpečnosti na Internetu je autentizace – rozpoznání a ověření totožnosti protistrany, se kterou komunikujeme. Zpravidla řešíme autentizaci klienta, tedy počítače nebo fyzického uživatele služby. Neméně důležitá je ovšem i autentizace serveru, poskytovatele služby.

Pokud by se někomu podařilo zajistit, aby při zadání byť správné adresy přihlašovacího rozhraní datových schránek uživatel navštívil server pod jeho kontrolou, mohl by od něj podvodně vylákat uživatelské jméno a heslo.

Proto je důležité, aby uživatel věděl, že komunikuje s oprávněným serverem. K tomuto účelu slouží technologie SSL/TLS11, serverové certifikáty a certifikační autority. Zjednodušeně lze funkci certifikační autority popsat jako důvěryhodnou třetí stranu (důvěryhodnou pro oba účastníky komunikace), která se zaručuje za totožnost jedné nebo obou stran. Důvěryhodnost certifikační autority je pro celý proces zcela zásadní. Dojde-li k její kompromitaci, je kompromitována veškerá komunikace. Proto onen proces prohlášení certifikační autority za důvěryhodnou není dobré podcenit nebo uspěchat. Technicky může CA provozovat kdokoliv a zhusta to také kdokoliv dělá12.

Některé certifikační autority jsou operačními systémy a webovými prohlížeči implicitně považovány za důvěryhodné. Jsou to CA sdružené v organizaci WebTrust. Pokud je serverový certifikát vydán takovou CA, je komunikace navázána bez jakýchkoliv problémů. Pokud je certifikát vydán jinou, nedůvěryhodnou CA, prohlížeč uživatele výrazně varuje, že se může jednat o problém:

Žádná z českých certifikačních autorit dosud nesplnila podmínky pro zařazení do skupiny WebTrust a tedy je nezbytné její certifikát ručně prohlásit za důvěryhodný. Klíčová otázka je, jak si mohu ověřit, že certifikát, který jsem obdržel, je skutečně certifikátem vydaným CA PostSignum. Že se nejedná o certifikát, který vytvořil útočník a jen do jeho hlavičky nezapsal falešné údaje.

Operační systém Windows mi v tom napomáhá tak, že při importu certifikátu zobrazí nezrušitelné upozornění, které ukazuje otisk (thumbprint, fingerprint) certifikátu. Na obrázku se jedná o ono dlouhé číslo AF3B…2D34.

Mám-li mít jistotu, že je daný certifikát důvěryhodný, musím kontaktovat příslušnou certifikační autoritu a získat od ní otisk jejího klíče, který se musí shodovat. Z hlediska bezpečnosti je zásadní, aby toto ověření bylo realizováno jiným komunikačním kanálem, než jakým byl získán certifikát (klíč) samotný. Protože pokud by útočník ovládal komunikační kanál, může podvrhnout jak certifikát, tak jeho thumbprint.

Postup navrhovaný certifikační autoritou PostSignum (kdy si máme thumbprint ověřit na téže stránce, kde stahujeme certifikát sám) je tedy z bezpečnostního hlediska zcela bezcenný. S trochou nadsázky jej lze naopak prohlásit za přímo škodlivý, protože dává uživateli falešný pocit bezpečí a navádí k postupu snadno zfalšovatelnému a běžnými prostředky nezjistitelnému. Správný postup by byl umožnit uživateli ověření certifikátu jiným kanálem. Například jej vyzvat k tomu, aby zatelefonoval na infolinku certifikační autority a nebo provozovatele datových schránek, kde mu thumbprint nadiktují. Vzhledem k tomu, že všichni uživatelé datových schránek stejně dostanou papírové aktivační instrukce, pokládám za nejvhodnější postup pro ověření certifikátu zapsat přímo do nich, včetně onoho kritického thumbprintu. Jako jedinou alternativní metodu ISDS nabízel provozovatel osobní ověření na poště, lépe řečeno nahrání certifikátu přímo na přepážce pošty. Jedná se nepochybně o validní postup (získání certifikátu přímo z důvěryhodného zdroje mě zbavuje nutnosti dalšího ověřování). Jako zodpovědný a bezpečnosti dbalý občan jsem se tedy vydal na poštu13 a pokusil se získat root certifikát CA PostSignum nebo jeho kontrolní součet. Výsledek mne nepřekvapil, zato můj požadavek zaměstnankyně pošty ano. Nepříliš překvapivě jsem byl první, kdo s podobným požadavkem přišel. Výsledkem kolektivní poštovní inteligence („zkusíme zavolat Janu, ta byla na školení“, „zkusíme zavolat na jedničku, možná budou vědět“) byla rada, nechť si stáhnu certifikáty z Internetu, že tam budou určitě ty správné.

Nad rámec doporučení jsem iniciativně vyzkoušel ještě telefonické ověření thumbprintu certifikátu. První jsem vyzkoušel infolinku datových schránek 270 005 200. Po zhruba deseti minutách čekání jsem byl odkázán na infolinku České pošty, 840 111 244. Tam bylo čekání kratší a operátor mi bez zaváhání nadiktovaný thumbprint potvrdil a ověřil, že je certifikát skutečně jejich a správný.

Happy end? Bohužel, přesně naopak. Bylo mi poněkud podezřelé, že mne nechává recitovat onen dlouhý, čtyřicetiznakový identifikátor bez jakékoliv přípravy. To znamená, že by si ho musel buď pamatovat a nebo ho bez hledání bezprostředně před sebou vidět napsané. Proto jsem si část thumbprintu prostě vymyslel a nadiktoval mu několik číslic záměrně chybně. Přesto mi je bez zaváhání potvrdil. V případě fingerprintu není podstatné, jak moc se liší, musí se shodovat zcela a úplně.

Ze strany CA by tedy na místě byla maximální pozornost a obezřetnost: důkladná kontrola, že se nejedná o omyl, přeřeknutí nebo špatně přečtení a v případě že ne, zahájit vyšetřování. Protože jiný fingerprint certifikátu znamená téměř jistě pokus o útok (pravděpodobnost, že by se certifikát chybně stáhl a přesto byl formálně validní natolik, aby šel naimportovat, je extrémně nízká).

Tento postup – připomínám, že na oficiální infolince kvalifikované certifikační autority – představuje přímé a bezprostřední narušení bezpečnosti nejenom systému datových schránek, ale i celé struktury kvalifikovaných elektronických podpisů.

Výsledek pokusu o zodpovědný přístup je tedy tristní: ani já, se všemi svými odbornými znalostmi, nejsem reálně schopen ověřit si, že certifikát Post Signum QCA, který jsem si naimportoval, vydala skutečně tato certifikační autorita.

Původně jsem měl v úmyslu hrát si na hloupého uživatele, který prostě jen dělá, co mu Windows doporučí. Tuto hru jsem byl ale nucen ukončit po několika sekundách, protože bylo zřejmé, že tak bych se nikam nedostal a místo toho jsem projevil odborné znalosti a maximálně jsem spolupracoval a vysvětloval, co vlastně chci.

Výsledek na poště je hrozný. Doporučení stáhnout si bez dalšího certifikát z Internetu a ze stejného serveru si ověřit fingerprint je špatné, protože mne vystavuje potenciálnímu riziku. Nicméně výsledek na infolince Post Signum je tragický a měly by za něj padat hlavy, protože mne vystavil riziku nejenom potenciálnímu, ale zcela bezprostřednímu. Ještě smutnější ovšem je, že většina uživatelů pravděpodobně nebude podstupovat martyrium získání a ověřování certifikátu a prostě se smíří s tím, že pro přístup do schránky musí dvakrát klepnout na ten odkaz s červenou ikonkou a je vystaráno. Takový postup nicméně účinně podminovává veškeré bezpečnostní zásady a otevírá cestu útokům všeho druhu. Přitom datové schránky představují cíl nadmíru lákavý. Jednak svou hodnotou, ale také tím, že je používá masa nedostatečně proškolených uživatelů. Elektronické podpisy se v ČR hackerským hitem nestaly, protože byly málo rozšířené a mělo je jenom pár exotů, kteří navíc typicky alespoň trochu věděli, co dělají. Uživatelů datových schránek jsou statisíce a nevědí vůbec nic.

Bonusový hřích osmý: Špatná reklama

Je úlohou osvěty a školení, a také public relations, marketingu a komunikace, aby ti, kterých se bude existence ISDS týkat, věděli, co je čeká a co je nemine k 1. 7. 2009. Je potřeba, aby tito lidé spontánně říkali ostatním: „Bude to revoluce v komunikaci se státem a bude to dobrá revoluce.

Tento citát z brožury nazvané s typickým úředním smyslem pro malebnost jazyka Základní informace projektu Informačního systému datových schránek14 velmi přesně popisuje, co se nestalo. Osvěta v tomto případě hanebně selhala. Musíme osvětě přiznat ztíženou pozici v poslední době, kdy hysterická kampaň sociální demokracie principiálně plije na vše, co předchozí vlády udělaly či započaly. Nicméně ani za příznivější politické situace nebyla situace lepší.

Svůj díl na tom má i sedm zmíněných hříchů. Nezbývá nám než doufat, že to nebudou hříchy smrtelné.


1- Viz článek na Aktuálně.cz.

2- 19. října 2009 jsem zkoušel vyhledat následující instituce, se kterými mívám co do činění: VZP, Město Karlovy Vary, MČ Brno – Žabovřesky, MČ Praha 7, MČ Praha 3, FÚ a OSSZ/PSSZ ve všech čtyřech místech. Jediný úspěch jsem zaznamenal u MČ Praha 3.

3- „Nevymyšleno u nás“ je typický programátorský nešvar, kdy je odmítnuta existující a vyhovující obecná technologie a pod záminkou specifických požadavků se vytváří její lokální varianta.

4- Puristé by mohli namítat, že webová aplikace by měla fungovat i bez JavaScriptu. V ideové rovině souhlasím, ale v dnešní době lze myslím rozumné množství JavaScriptu a nutnost jeho podpory považovat za přijatelné.

5- Windows: MSIE, Firefox; SuSe a RedHat Linux: Firefox, MacOS X: Safari 4

6- Prohlížeč a jeho doplňky jsou spouštěny pod speciální identitou s omezenými právy, aby se minimalizovaly případně způsobené škody.

7- Otázku jejich inteligence ponechávám otevřenou s přihlédnutím k §§ 198 a 206 TrZ.

8- Která? To ponechám jako cvičení laskavému čtenáři. Zvládnete to zpaměti?

9- Nebudu, příště si to kolečko zopakuju zase. Mimochodem: hádejte, kdo má doménu moje-datova-schranka.cz.

10- Viz aktualita na Lupa.cz.

11- Secure Sockets Layer, Transport Layer Security.

12- Typické jsou například CA pro uzavřenou skupinu uživatelů nebo firmu; autor článku provozuje několik takových.

CIF24

13- Jména patřičných pracovníků i konkrétní poštu si nechám pro sebe, ale jednalo se o velkou poštu v krajském městě.

14- Ke stažení v PDF na http://www.da­toveschranky.in­fo/priloha/96/

Myslíte si, že jako uživatel (máte-li, nebo kdybyste měli) dokážete zajistit svou datovou schránku z bezpečnostní stránky?

Autor článku

Autor pracuje jako konzultant a hlavní softwarový architekt společnosti Altairis. Je Microsoft Most Valuable Professional pro ASP.NET a tvoří web aspnet.cz.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).