S občanským průkazem je spojeno několik číselných kódů – každý z nich slouží k jinému účelu, každý chrání jinou funkci občanského průkazu. Pro správné používání elektronických funkcí občanského průkazu je třeba jednotlivé kódy rozlišovat. Pro uživatele může být počet a účel přístupových kódů poněkud matoucí; následující text je přehledem jednotlivých kódů.

Seznam přístupových kódů

Následující seznam uvádí přehled kódů, se kterými se držitel občanského průkazu může setkat:

• Deblokační osobní kód (DOK) – slouží k odblokování IOK.
  Používá se zřídka.
• Identifikační osobní kód (IOK) – slouží ke schválení elektronické identifikace a prvotnímu nastavení PUK.
  Používá se při každé identifikační operaci.
• Personal Identification Number (PIN) – slouží ke schvalování operací s kryptografickými klíči a certifikáty (vytváření klíčů, zápis certifikátů do čipu, mazání dat z čipu, autentizace atd.).
  Používá se při každé operaci správy certifikátů anebo při přihlášení certifikátem.
• PIN Unblocking Key (PUK) – slouží k nastavení či odblokování PIN a QPIN.
  Používá se zřídka.
• PIN pro kvalifikované elektronické podpisy (QPIN) – slouží ke schvalování kvalifikovaného elektronického podpisu.
  Používá se při každém vytváření kvalifikovaného elektronického podpisu.
• Bezpečnostní osobní kód (BOK) – umožňuje vyšší úroveň fyzického prokazování totožnosti
  Používá se zřídka, při osobním prokazování totožnosti.

Pro všechny uvedené kódy platí základní mechanismus ochrany: po opakovaném zadání chybné hodnoty se daný kód zablokuje. Většinu z uvedených kódů lze po zablokování odblokovat; podmínky se pro odblokování jednotlivých kódů liší.

Hierarchie přístupových kódů

Podle jednoho hlediska lze přístupové kódy rozdělit na:

• kódy pro schvalování operací: IOK, PIN, QPIN
• kódy pro odblokování či nastavení jiných kódů: DOK, PUK

Pomocí DOK lze odblokovat IOK a pomocí PUK lze odblokovat či nastavit PIN a QPIN. Kódy pro odblokování uživatel potřebuje pouze, když si zablokuje některý ze schvalovacích kódů opakovaným zadáním nesprávné hodnoty. Při běžné práci s elektronickými funkcemi občanského průkazu nejsou odblokovací kódy využívány. Při běžných úkonech jsou naopak využívány schvalovací kódy.

Podle jiného hlediska lze kódy přiřadit k elektronickým funkcím občanského průkazu:

• DOK a IOK jsou potřeba pro identifikační funkci. Pro schválení identifikace je třeba zadat IOK.
• PUK, PIN a QPIN jsou třeba pro funkci elektronického podepisování. Při kvalifikovaném podepisování je třeba zadat QPIN. Ostatní úkony s certifikáty je nutno schvalovat pomocí PIN.

Držitel občanského průkazu nemusí mít nastaveny všechny přístupové kódy. Pokud nehodlá využívat funkci elektronického podepisování, nemusí mít nastaveny kódy PUK, PIN a QPIN.

Z hierarchie kódů plyne, že prvotní nastavení PUK je třeba schválit pomocí IOK. Pro aktivaci funkce elektronického podepisování je tedy nejprve nutno aktivovat identifikační funkci, resp. nastavit hodnotu IOK.

Podrobnosti o přístupových kódech občanského průkazu

DOK – Deblokační osobní kód

Slouží k nastavení nové hodnoty IOK, resp. k odblokování zablokovaného IOK. Pokud se hodnota IOK zablokuje (trojnásobným chybným zadáním), lze hodnotu IOK znovu nastavit po zadání platné hodnoty DOK. Pomocí DOK lze také hodnotu IOK změnit, např. v případě, že si uživatel platnou hodnotu IOK nepamatuje.

První nastavení hodnoty DOK je třeba provést na úřadě obce s rozšířenou působností. O nastavení DOK lze požádat při převzetí občanského průkazu nebo kdykoli později.

• Pokud si držitel občanského průkazu přeje nastavit DOK už při převzetí (nového) občanského průkazu, provede se nastavení hodnot DOK a IOK jako součást aktivace elektronických funkcí při vydání dokladu.
• Jestliže držitel nechce aktivovat elektronické funkce při převzetí občanského průkazu, může zadání hodnot DOK a IOK odmítnout. Pokud se v budoucnu rozhodne tyto funkce využívat, musí se se dostavit na kterýkoli úřad obce s rozšířenou působností, a požádat o aktivaci spojenou s nastavením DOK a IOK. Při nastavení DOK a IOK musí držitel předložit občanský průkaz: pro ověření totožnosti a také pro zápis údajů DOK a IOK do čipu občanského průkazu.

Před nastavením DOK by si měl držitel občanského průkazu rozmyslet, jakou hodnotu DOK chce používat. Měl by zvolit hodnotu, kterou si bude dobře pamatovat. DOK je číselný kód délky 4–10 číslic. Hodnota DOK může být shodná s hodnotou IOK. V takovém případě ale DOK příliš dobře neplní roli pojistky při zablokování či zapomenutí IOK.

Pokud se hodnota DOK (desetinásobným chybným zadáním) zablokuje, lze o odblokování požádat na úřadě obce s rozšířenou působností. O odblokování DOK lze požádat opakovaně, počet odblokování není omezen.

V průběhu nastavení či odblokování hodnoty DOK se vždy zadává i nová hodnota IOK. Při prvotním zadání DOK i při odblokování DOK se tedy vždy zadává dvojice číselných kódů: DOK i IOK.

Držitel občanského průkazu si může hodnotu DOK kdykoli změnit, pokud zná platnou hodnotu DOK. Změnu DOK může držitel provést na PC, pomocí aplikace eObčanka - Správce karty.

IOK – Identifikační osobní kód

Pomocí IOK probíhá ověřování uživatele při každé identifikaci občanským průkazem. Prostřednictvím zadání IOK, který zná pouze držitel, občan potvrzuje, že kromě toho, že fyzicky drží svůj občanský průkaz, zná i přístupový kód k jeho funkci identifikace. Zadávání platné hodnoty IOK nelze vypnout, je podmínkou každého úspěšného procesu identifikace občanským průkazem.

Hodnotu IOK si držitel občanského průkazu nastaví vždy spolu s hodnotou DOK při aktivaci elektronických funkcí občanského průkazu na úřadu obce s rozšířenou působností. Držitel si může hodnotu IOK nastavit při převzetí občanského průkazu anebo kdykoli později.

IOK je číselný kód, v rozsahu 4–10 číslic. Držitel by si měl zvolit hodnotu IOK, kterou si bude dobře pamatovat a zároveň nebude snadno odhadnutelná (nikoli tedy např. 1111, 1234).

Hodnotu IOK si může uživatel kdykoli změnit po zadání platné hodnoty IOK. Změnu hodnoty IOK lze provést na PC uživatele pomocí aplikace eObčanka – Správce karty.

Pokud si uživatel hodnotu IOK nepamatuje nebo jej zablokoval chybným zadáním třikrát za sebou, lze IOK znovu nastavit. Nastavení IOK lze provést:

• Na PC uživatele, pokud uživatel zná platnou hodnotu DOK. Pro nastavení nové hodnoty IOK lze použít program eObčanka – Správce karty.
• Na úřadě obce s rozšířenou působností. Zde držitel občanského průkazu požádá o odblokování funkce elektronické identifikace (v tomto případě je nutno znovu nastavit obě hodnoty: DOK i IOK).

Hodnotu IOK lze nastavit či odblokovat opakovaně. Počet nastavení IOK není omezen. Při novém nastavení lze použít i dříve používanou hodnotu IOK. Není nutno při každém nastavení použít odlišnou hodnotu.

Zablokováním hodnoty DOK (opakovaným chybným zadáním) dojde automaticky i zablokování hodnoty IOK. Obě hodnoty lze odblokovat na úřadě obce s rozšířenou působností.

Kromě ověřování identifikace přes internet má hodnota IOK ještě jednu specifickou funkci: po zadání IOK lze v občanském průkazu nastavit hodnotu PUK. Nastavení hodnoty PUK lze provést jen jednou, po nastavení PUK už IOK slouží výhradně k autorizaci identifikace.

PUK – PIN Unblocking Key

Kód sloužící k nastavení či odblokování PIN či QPIN.

• První zadání PIN a QPIN je nutno schválit zadáním PUK.
• Pokud se hodnota PIN či QPIN zablokuje (opakovaným chybným zadáním třikrát za sebou), lze nastavit novou hodnotu po zadání PUK.

Hodnotu PUK si každý držitel občanského průkazu nastavuje sám na svém PC pomocí aplikace eObčanka – Správce karty. PUK je číselný kód, v rozsahu 8–15 číslic (minimální délka PUK je tedy 8 číslic). Prvotní nastavení hodnoty PUK je nutno schválit zadáním platné hodnoty IOK. (Znamená to, že před nastavením PUK musí držitel občanského průkazu aktivovat v občanském průkazu kódy DOK a IOK.) Prvotní nastavení hodnoty PUK lze provést pouze jedenkrát. Pokud se hodnota PUK zablokuje (opakovaným zadáním chybné hodnoty), nelze PUK znovu odblokovat. Pokud uživatel zapomene hodnotu PUK, nelze PUK znovu nastavit. Proto by si pro PUK měl uživatel zvolit hodnotu, kterou si bude umět dobře zapamatovat.

Hodnotu PUK může uživatel kdykoli změnit, po zadání platné hodnoty PUK. Změnu hodnoty PUK lze provést na PC uživatele pomocí aplikace eObčanka – Správce karty.

Po nastavení hodnot PIN a QPIN je další fungování kódů PIN a QPIN nezávislé na kódu PUK. Pokud uživatel zná platné hodnoty PIN/QPIN, může je používat, i pokud si nepamatuje PUK nebo je PUK zablokovaný. Pokud se hodnota PUK zablokuje, nelze nastavit ani odblokovat hodnoty PIN a QPIN.

PIN – Personal Identification Number

PIN je kód pro správu certifikátů a kryptografických klíčů v čipu občanského průkazu. Pomocí PIN se schvaluje velká část operací s klíči a certifikáty:

• vytvoření nových kryptografických klíčů v čipu
• zápis klíčů a certifikátů
• smazání klíčů a certifikátů
• použití kryptografických klíčů (kromě klíčů kvalifikovaných certifikátů)

Z uvedeného seznamu vyplývá, že hodnota PIN se zadává při většině operací s uživatelskými certifikáty a klíči. PIN může být zadáván také při přihlašování autentizačním certifikátem na webové stránky a při dalších operacích vázaných na certifikáty uložené na čipu občanského průkazu. Výjimkou ze seznamu operací autorizovaných pomocí PIN je vytvoření kvalifikovaného elektronického podpisu. Pro vytvoření kvalifikovaného elektronického podpisu musí být zadán QPIN. Programy, které pracují s certifikáty, samy rozpoznají, zda má uživatel zadat PIN anebo QPIN. Před zadáním příslušného kódu program uživatele upozorní a vyžádá si od něj hodnotu příslušného kódu.

PIN je číselný kód, v rozsahu 5–15 číslic. Uživatel si nastavuje hodnotu PIN na svém PC. Pro prvotní nastavení PIN je třeba zadat platnou hodnotu PUK. Hodnotu PIN lze nastavit pomocí aplikace eObčanka – Správce karty. Pokud se hodnota PIN (opakovaným chybným zadáním) zablokuje, lze ji odblokovat po zadání PUK – opět pomocí aplikace eObčanka – Správce karty. Hodnotu PIN lze změnit i odblokovat opakovaně, počet změn není omezen. Uživatel si může nastavit nový PIN i na hodnotu, kterou používal dříve (hodnoty se mohou opakovat).

Platnost PIN není závislá na stavu hodnot QPIN a PUK. Uživatel může používat PIN (pokud zná jeho hodnotu) i v případě, že je PUK či QPIN zablokovaný.

QPIN – PIN pro práci s kvalifikovanými certifikáty

Pomocí QPIN držitel občanského průkazu schvaluje vytvoření kvalifikovaného elektronického podpisu prostřednictvím kvalifikovaného certifikátu, který si uložil na čip občanského průkazu. QPIN se zadává před každým vytvořením kvalifikovaného podpisu (dokumentu, e-mailu apod.). Zadáním QPIN uživatel schvaluje použití příslušného kryptografického klíče a vytvoření kvalifikovaného podpisu.

QPIN je číselný kód, v rozsahu 5–15 číslic. Uživatel si nastavuje hodnotu QPIN na svém PC. Pro prvotní nastavení QPIN je třeba zadat platnou hodnotu PUK. Hodnotu QPIN lze nastavit pomocí aplikace eObčanka – Správce karty. Pokud se hodnota QPIN (opakovaným chybným zadáním třikrát za sebou) zablokuje, lze ji odblokovat po zadání PUK - pomocí aplikace eObčanka – Správce karty. Hodnotu QPIN lze změnit i odblokovat opakovaně, počet změn není omezen. Uživatel si může nastavit nový QPIN i na hodnotu, kterou používal dříve (hodnoty se mohou opakovat).

Platnost QPIN není závislá na stavu hodnot PIN a PUK. Uživatel může používat QPIN (pokud zná jeho hodnotu) i v případě, že je PUK či PIN zablokovaný.

BOK – Bezpečnostní osobní kód

Kód pro identifikaci občana při osobním prokazování totožnosti. Zvolení hodnoty BOK (4–10 číslic) je povinností při převzetí občanského průkazu i v případě, že si občan neaktivuje elektronické funkce občanského průkazu. Zadávání BOK bude vyžadováno při ověřování totožnosti na úřadě např. v případě, kdy má úředník pochybnost o shodě podoby držitele s průkazovou fotografií. Využití BOK při osobní komunikaci s úřady se předpokládá postupně v dalších letech. Na rozdíl od všech ostatních kódů tedy hodnota BOK tedy není přímo spjata s čipem občanského průkazu. Pro ověření hodnoty BOK nemusí být občanský průkaz k dispozici.

Ochrana kódů

Přístupové kódy jsou vesměs určeny pro schvalování bezpečnostně citlivých operací občanského průkazu. Kódy jsou tedy ochranou elektronických funkcí občanského průkazu.

Uživatel by se měl maximálně snažit zabránit uhodnutí a zneužití kódů v případě ztráty či zcizeni občanského průkazu. Jako obranný mechanismus proti nežádoucímu uhodnutí je pro každý z kódů omezen počet opakování zadání chybných hodnot. Aby se snížila pravděpodobnost uhodnutí, je pro každý z kódů definována minimální délka (tzn. minimální počet číslic, které musí daný kód obsahovat).

Následující přehled uvádí pro jednotlivé kódy počet chybných zadání do zablokování, minimální a maximální délku:

• DOK – 10 chybných pokusů, délka 4–10 číslic
• IOK – 3 chybné pokusy, délka 4–10 číslic
• PUK – 5 chybných pokusů, délka 8–15 číslic
• PIN – 3 chybné pokusy, délka 5–15 číslic
• QPIN – 3 chybné pokusy, délka 5–15 číslic
• BOK – 3 chybné pokusy, délka 4–10 číslic

Uživatel si může – v uvedeném rozsahu – zvolit délku a hodnotu kódu, která mu vyhovuje. Nedoporučuje se používání hodnot, které lze snadno uhodnout, jako jsou 1111 či 12345.

Občan si musí své kódy pamatovat. Rozhodně se nedoporučuje hodnoty kódů zaznamenávat a např. nosit poznámky spolu s občanským průkazem. Pokud se uživateli zdají některé hodnoty obtížné k zapamatování, může si je změnit na jiné, které se budou pamatovat lépe.

Všechny uvedené kódy jsou osobní – občan hodnotu přístupových kódů nesmí nikomu sdělovat (ani nejbližším příbuzným či státním orgánům).

V případě podezření, že byl některý z kódů prozrazen, je třeba změnit hodnotu příslušného kódu na jinou. Prostřednictvím Digitální a informační agentury na lince podpory +420 227 023 444 lze také zablokovat identifikační funkci elektronického občanského průkazu (aby nemohlo dojít k jejímu zneužití). Po tomto zablokování není možné elektronické funkce občanského průkazu znovu aktivovat a je nutné požádat o nový občanský průkaz.

Nastavení a odblokování kódů

Jednotlivé kódy se liší v tom, kde a jakými nástroji si je může držitel občanského průkazu nastavit. Liší se také způsob, jakým lze jednotlivé kódy odblokovat po zablokování. Následující přehled pro jednotlivé kódy uvádí, jak a kde se provádí prvotní nastavení daného kódu a jak a kde lze kód odblokovat. Nastavení či odblokování kódů lze provést vždy po splnění nějaké podmínky, aby kódy nemohl změnit kdokoli (např. u zcizeného občanského průkazu). V přehledu jsou proto uvedeny i podmínky, za jakých lze kód nastavit, resp. odblokovat.

• DOK
• • Prvotní nastavení na úřadu obce s rozšířenou působností (vždy spolu s IOK) – po ověření totožnosti
  • Odblokování na úřadu obce s rozšířenou působností (vždy spolu s IOK) – po ověření totožnosti
• IOK
• • Prvotní nastavení na úřadu obce s rozšířenou působností (vždy spolu s DOK) – po ověření totožnosti
  • Odblokování na úřadu obce s rozšířenou působností (vždy spolu s DOK) – po ověření totožnosti nebo na svém PC, pomocí aplikace eObčanka – Správce karty – po zadání DOK
• PUK
• • Prvotní nastavení na svém PC, pomocí aplikace eObčanka – Správce karty – po zadání IOK
  • Odblokování NELZE provést
• PIN
• • Prvotní nastavení na svém PC, pomocí aplikace eObčanka – Správce karty – po zadání PUK
  • Odblokování na svém PC, pomocí aplikace eObčanka – Správce karty – po zadání PUK
• QPIN
• • Prvotní nastavení na svém PC, pomocí aplikace eObčanka – Správce karty – po zadání PUK
  • Odblokování na svém PC, pomocí aplikace eObčanka – Správce karty – po zadání PUK
• BOK
• • Prvotní nastavení na úřadu obce s rozšířenou působností – po ověření totožnosti
  • Odblokování na úřadu obce s rozšířenou působností – po ověření totožnosti

Nastavení přístupových kódů

Správce karty - představení