Digitální identita se dnes prodává jako technologický upgrade státu, který má občanům zjednodušit život. Jako pohodlí. Jako konec papírování.

Redukovat ji na odstranění formulářů je ale zásadní omyl. Nejde o komfort. Jde o moc.

Představte si jednoduchou situaci. Přihlásíte se do banky, do zdravotní aplikace, nebo na sociální síť pomocí své digitální identity. Vše funguje rychle a pohodlně. Jedno přihlášení, jeden účet, jeden identifikátor.

A pak přijde chyba. Nebo spor. Nebo změna pravidel.

Najednou je vaše identita zablokována. Ne bankovní účet. Ne konkrétní služba. Celá identita. Nemůžete se přihlásit nikam. V digitálním prostoru přestanete existovat, dokud vám státní úřad nevrátí přístup.

Technicky je to efektivní. Politicky je to naprostá koncentrace moci. Aniž si toho někdo všimne, aniž sněmovna přijme po dlouhém boji zákon “Špehujme všechny, všude a navždy” najednou má stát moc, o kterou možná ani vědomě nestál. Moc, která byla skrytá v zákoutích technického návrhu, kterému nikdo pořádně nerozuměl.

Účet, nebo důkaz?

A právě proto je dosavadní debata o digitální identitě neuspokojivá. A navrhovaná řešení ještě víc.

Zásadní otázka, zda má být digitální identita postavena na důvěře v centrální autoritu, nebo na decentralizovaných, matematicky ověřitelných důkazech, zůstává stranou.

Hrozí, že za pár let a několik stovek milionů korun později zjistíme, že systém funguje přesně tak, jak byl navržen. A že problém nebyl v implementaci.

Digitální identita nesmí být účet v databázi – státní, evropské ani korporátní. Účet existuje jen pokud to správce dovolí. To není identita. To je závislost.

Digitální identita musí být kryptografický důkaz pod kontrolou uživatele. Důkaz se neuděluje. Důkaz se ověřuje.

Všechno ostatní je kompromis.

Postavíme-li identitu jako účet, vytvoříme centrální bod, který lze napadnout, vypnout či zablokovat a tím i koncentraci moci, jaká v analogovém světě nikdy neexistovala.

Postavíme-li ji jako kryptografický důkaz, vznikne rovnováha mezi legitimní autoritou státu a svobodou občana.

Architektura není technický detail. Je to rozdělení moci.

Jednoduchý test digitální identity

Aby digitální identita neohrožovala vaši svobodu, musí stát na několika jednoduchých pravidlech. Nejde o složitou kryptografii. Jde o principy.

Má někdo kontrolu nad celým systémem a může vás centrálně vypnout?
Existuje jedno číslo, které vás propojuje napříč všemi službami?
Můžete prokazovat jen jeden konkrétní údaj bez odhalení celé identity?

Představte si cestovní doklad. Letištní kontrola nepotřebuje vlastnit jeho kopii. Potřebuje jen ověřit, že je platný a že ho drží oprávněná osoba. Platforma jako YouTube nepotřebuje znát vaše skutečné jméno. Potřebuje jen důkaz, že splňujete věkovou hranici.

Je celý systém otevřený a veřejně auditovatelný?

Je každé ověření dotazem do centrální databáze?

Představte si, že jste v baru. Ověří se věk, dostanete pivo. Zůstane v centrálním systému kopie záznamu o tom, že jste si tu noc ověřovali věk právě v tom baru na rohu? Nebo byl důkaz proveden lokálně, bez spojení s centrem?

Rozdíl mezi kopií a důkazem je zásadní. Kopie vytváří databázi. Databáze má správce.

Důkaz vytváří jen odpověď: ano, nebo ne.

Pseudonymita není chyba. Je to pojistka.

Dobře navržený systém umožňuje oddělit role. Jinou identitu používáte v bance, jinou na odborném fóru, jinou na sociální síti. To není trik. Je to základní bezpečnostní princip: oddělení kontextů.

Postoj, že soukromí nepotřebujete, protože „nemáte co skrývat“, je stejně naivní jako říct, že nepotřebujete svobodu slova, protože nemáte co říct.

Digitální identita by proto neměla automaticky prozrazovat „kdo jste“, ale jen to, co je v dané situaci nezbytné – věk, oprávnění, status. Bez povinného odhalení jména. Bez jednoho trvalého identifikátoru, který vás provází napříč všemi službami.

Jakmile všechny interakce odkazují ke stejnému číslu, vzniká možnost propojit je do jediného souvislého profilu. Nejde o to, zda to někdo dělá dnes. Jde o to, že to architektura umožňuje – a přitom by tomu měla bránit.

V takovém systému je pseudonymita jen dekorace. A pod ní se skrývá starý dobrý centrální registr.

Architektura rozděluje moc

Dnes se v Evropě formuje konkrétní podoba digitální identity. Není to abstraktní úvaha. Je to probíhající návrh.

Česká implementace eIDAS je sice posun, ale architektonicky zůstává zásadním kompromisem, který stále vychází z logiky centrálních registrů.

Země se světovou reputací v kyberbezpečnosti a kryptografii, která dala světu Avast i BIP39, by měla mít výrazně vyšší ambice a navrhnout architekturu, která se stane referenčním modelem pro Evropu a vývozním artiklem.

Taková cesta existuje. Nizozemský open-source projekt Yivi/IRMA ukazuje, že identita nemusí být databáze. Může být důkaz.

Evropský rámec nikoho nenutí stavět další centrální registry. Pokud řešení splní společné standardy a projde posouzením shody, musí být do systému začleněno.

Prostor pro decentralizovanou architekturu založenou na otevřeném kódu a moderní kryptografii tedy existuje. Otázka zní, zda ho využijeme.

Digitální identita se stane základní infrastrukturou digitálního prostoru – stejně samozřejmou jako dnes bankovní účet.

Půjde o centrální registr občanů s novou appkou?

Nebo o decentralizovaný protokol, který nedovolí koncentraci moci?

Zdánlivě je to technický problém.

Ve skutečnosti jde o politické rozhodnutí o rozdělení moci a o tom, zda bude svoboda systémovou vlastností, nebo jen politickým slibem.