Mobile navigation is open Mobile navigation is close
Search icon

Veřejná správa – úroveň „vysoká“

Účet ověřený na vysokou úroveň záruky umožňuje přístup ke všem elektronickým službám veřejné správy, včetně těch vyžadujících nejsilnější zabezpečení (např. založení a administrace majetkového účtu pro správu státních dluhopisů). Pomocí vysoké úrovně záruky můžete také získat osobní kvalifikovaný certifikát online. Současně s úrovní „vysoká“ získáváte automaticky i úroveň „značná“.

Majetkový účet a nákup spořících státních dluhopisů je zatím určen pouze pro občany ČR.

Jak ji získám:

1. Vysokou úroveň záruky je možné získat pouze při použití počítače a vybraných fyzických bezpečnostních klíčů s FIDO certifikací minimálně na úrovni L2 a FIPS či certifikací L2 a CC EAL6+.

Bezpečnostní klíč musí mít nastaven PIN kód. Podporované klíče pro úroveň Vysoká jsou GoTrust Idem Key a některé klíče od firmy Yubico (YubiKey 5 FIPS Series with NFC a Security Key NFC).

Bezpečnostní klíč GoTrust Idem Key lze zakoupit zde nebo zde. Klíče společnosti Yubico je možné sehnat zde .

Přihlašování ke službám s úrovní záruky „vysoká“ je pak nutné provádět v prohlížeči, který podporuje zadání PIN během použití bezpečnostního klíče.

2. Dále je nutné ověřit svou totožnost (na pracovišti Czech POINT, prostřednictvím eObčanky nebo či I.CA identity s kartou Starcos).

1. Vysokou úroveň záruky je možné získat pouze při použití počítače a vybraných fyzických bezpečnostních klíčů s FIDO certifikací minimálně na úrovni L2 a FIPS. Pro použití s úrovní „vysoká“ musí být klíč ještě speciálně schválen Ministerstvem vnitra.

Bezpečnostní klíč musí mít nastaven PIN kód. Podporovaný klíč pro úroveň Vysoká je zatím pouze GoTrust Idem Key. Dle použitého prohlížeče je klíč označen přesným názvem jako GoTrust Idem Key U2F Authenticator nebo GoTrust Idem Key FIDO2 Authenticator.

Bezpečnostní klíč GoTrust Idem Key lze zakoupit zde nebo zde.

Přihlašování ke službám s úrovní záruky „vysoká“ je pak nutné provádět v prohlížeči, který podporuje zadání PIN během použití bezpečnostního klíče.

2. Dále je nutné ověřit svou totožnost (na pracovišti Czech POINT, prostřednictvím eObčanky nebo či I.CA identity s kartou Starcos).

Doporučujeme PIN přidávat na stolním počítači či notebooku s aktualizovaným operačním systémem Windows 10, Windows 11 nebo Linux. Mobilní zařízení nelze použít.

Postup pro Chrome (pro OS Linux, Mac):

  • V menu prohlížeče Chrome klikněte na Nastavení Ochrana soukromí a zabezpečení Zabezpečení Spravovat bezpečnostní klíče Vytvoření kódu PIN a zvolte si PIN (4 až 8 znaků). Pečlivě si, prosím, zapamatujte kód PIN k bezpečnostnímu klíči
    • Případně zkopírujte následující odkaz a otevřete ho v adresním řádku Chrome, čímž se dostanete přímo do nastavení bezpečnostních klíčů: chrome://settings/securityKeys
    • Přes odkaz chrome://settings/securityKeys lze PIN ke klíči nastavit například v prohlížeči Vivaldi.

Postup pro Windows Hello (pro OS Windows 10 a 11):

  • Na počítači s Windows Hello klikněte na Start Nastavení Účty Možnosti přihlášení Klíč zabezpečení Spravovat Přidat PIN kód bezpečnostního klíče.

Doporučujeme mít vždy aktualizovaný operační systém a poslední stabilní verzi prohlížeče Chrome.

Na některých starších OS (Windows 7 atd.) či mobilních zařízeních se můžete setkat s tím, že PIN k bezpečnostnímu klíči nepůjde nastavit. V takovém případě je jedinou cestou použít místo mobilního zařízení vhodný počítač nebo notebook s operačním systémem umožňujícím PIN ke klíči nastavit.

Jak změním PIN k bezpečnostnímu klíči

Pokud již máte PIN ke klíči nastaven, PIN si pamatujete a chcete jej změnit, použijte jeden z následujících postupů:

Postup pro Google Chrome

  • V menu prohlížeče Chrome klikněte na Nastavení Ochrana soukromí a zabezpečení Zabezpečení Spravovat bezpečnostní klíče Vytvoření kódu PINzadejte svůj původní PIN a následně dvakrát PIN nový (4 až 8 znaků). Pečlivě si, prosím, zapamatujte kód PIN k bezpečnostnímu klíči
    • Případně zkopírujte následující odkaz a otevřete ho v adresním řádku Chrome, čímž se dostanete přímo do nastavení bezpečnostních klíčů: chrome://settings/securityKeys

Postup pro Windows Hello:

  • Klikněte na Start Nastavení Účty Možnosti přihlášení Klíč zabezpečení Spravovat Změnit. Nejprve zadejte svůj původní PIN ke klíči a poté 2x PIN nový.

Zapomněl jsem PIN k bezpečnostnímu klíči

Bezpečnostní klíč umožňuje 5 pokusů o zadání kódu PIN.

V případě, že PIN zapomenete a opakovaným chybným zadáváním si klíč zablokujete, je možné jej resetovat pomocí prohlížeče Chrome nebo pomocí Windows Hello.

Postup pro Chrome:

  • V menu prohlížeče Chrome klikněte na Nastavení Ochrana soukromí a zabezpečení Zabezpečení Spravovat bezpečnostní klíče Resetovat bezpečnostní klíč a potvrďte reset dotykem prstu na klíči.
    • Případně zkopírujte následující odkaz a otevřete ho v adresním řádku Chrome, čímž se dostanete přímo do nastavení bezpečnostních klíčů: chrome://settings/securityKeys

Postup pro Windows Hello:

  • Na počítači s Windows Hello klikněte na Start Nastavení Účty Možnosti přihlášení Klíč zabezpečení Spravovat.

VAROVÁNÍ: Resetováním klíče je vymazáno veškeré jeho nastavení. Celý proces propojení klíče a vašeho účtu MojeID na služby veřejné správy je pak po resetu klíče nutné provést znovu, a to včetně ověření totožnosti (např. návštěvou pracoviště Czech POINT).

Pokud již máte PIN ke klíči nastaven, PIN si pamatujete a chcete jej změnit, použijte jeden z následujících postupů:

Postup pro Google Chrome

  • V menu prohlížeče Chrome klikněte na Nastavení Ochrana soukromí a zabezpečení Zabezpečení Spravovat bezpečnostní klíče Vytvoření kódu PINzadejte svůj původní PIN a následně dvakrát PIN nový (4 až 8 znaků). Pečlivě si, prosím, zapamatujte kód PIN k bezpečnostnímu klíči
    • Případně zkopírujte následující odkaz a otevřete ho v adresním řádku Chrome, čímž se dostanete přímo do nastavení bezpečnostních klíčů: chrome://settings/securityKeys

Postup pro Windows Hello:

  • Klikněte na Start Nastavení Účty Možnosti přihlášení Klíč zabezpečení Spravovat Změnit. Nejprve zadejte svůj původní PIN ke klíči a poté 2x PIN nový.

Bezpečnostní klíč umožňuje 5 pokusů o zadání kódu PIN.

V případě, že PIN zapomenete a opakovaným chybným zadáváním si klíč zablokujete, je možné jej resetovat pomocí prohlížeče Chrome nebo pomocí Windows Hello.

Postup pro Chrome:

  • V menu prohlížeče Chrome klikněte na Nastavení Ochrana soukromí a zabezpečení Zabezpečení Spravovat bezpečnostní klíče Resetovat bezpečnostní klíč a potvrďte reset dotykem prstu na klíči.
    • Případně zkopírujte následující odkaz a otevřete ho v adresním řádku Chrome, čímž se dostanete přímo do nastavení bezpečnostních klíčů: chrome://settings/securityKeys

Postup pro Windows Hello:

  • Na počítači s Windows Hello klikněte na Start Nastavení Účty Možnosti přihlášení Klíč zabezpečení Spravovat.

VAROVÁNÍ: Resetováním klíče je vymazáno veškeré jeho nastavení. Celý proces propojení klíče a vašeho účtu MojeID na služby veřejné správy je pak po resetu klíče nutné provést znovu, a to včetně ověření totožnosti (např. návštěvou pracoviště Czech POINT).

Tato hláška se vám zobrazí v případě, že při přihlášení na úroveň „vysoká“:

  • Použijete klíč GoTrust Idem Key, který nemá nastavený PIN.
  • Použijete jiný klíč, který není podporován a nesplňuje podmínky pro úroveň „vysoká“.

Ověření totožnosti je možné provést buď pomocí již existujícího prostředku s úrovní „vysoká“ (tzn. pomocí eObčanky či I.CA identity s kartou Starcos), nebo s dokladem totožnosti osobně na pracovišti Czech POINT. Jiné způsoby ověření totožnosti (např. pomocí datové schránky, NIA ID či Mobilního klíče eGovermentu) nejsou povoleny, protože nesplňují podmínky pro úroveň „vysoká“.

Přístup ke službám veřejné správy přes MojeID je určen pro nepodnikající občany České republiky s trvalým pobytem v ČR a cizince s trvalým či přechodným pobytem na území ČR.

Přihlašování na služby s úrovní „vysoká“:

Pro přihlášení je třeba vždy používat pouze klíče napojené na úroveň „vysoká“ a prohlížeč umožnující zadání kódu PIN k bezpečnostnímu klíči během přihlášení. Doporučujeme používat prohlížeč Chrome. Přihlášení je nutné provádět na počítači. Prohlížeče v mobilních zařízeních nepodporují zadání PIN kódu a přihlášení na „vysokou“ úroveň v nich tedy není možné.

Přihlašování na služby s úrovní „značná“:

Lze použít i jiné prohlížeče a jiné fyzické (YubiKey, Feitian, ...) či systémové (Windows Hello, Android, ...) klíče napojené na úroveň „značná“. Při přihlášení není nutné zadávat PIN ke klíči. K přihlášení lze používat také mobilní aplikaci MojeID Klíč napojenou na úroveň „značná“.

S úrovní „vysoká“ se lze přihlásit i na služby vyžadující nižší úroveň ověření.

Zobrazuje se hláška Váš bezpečnostní klíč na tomto webu nelze použít

Tato hláška se vám zobrazí v případě, že při přihlášení na úroveň „vysoká“:

  • Použijete klíč GoTrust Idem Key, který nemá nastavený PIN.
  • Použijete jiný klíč, který není podporován a nesplňuje podmínky pro úroveň „vysoká“.

Jiné bezpečnostní klíče než GoTrust Idem Key, YubiKey 5 FIPS Series with NFC a Security Key NFC zatím není možné použít, bohužel ani v případě, že mají nastaven PIN.

Mobilní aplikace MojeID Klíč má akreditaci pouze na úroveň „značná“, nelze ji tak použít pro získání úrovně „vysoká“.

POZNÁMKA:

Při přidávání klíče GoTrust Idem Key může dojít v závislosti na prohlížeči k zobrazení certifikace pouze na úroveň 1. I v takovém případě lze klíč GoTrust Idem Key (s nastaveným PIN) použít pro získání úrovně „vysoká“.

VAROVÁNÍ:

Prohlížeč Chrome vám může zobrazit okno s hlášením:

  • Váš bezpečnostní klíč na tomto webu nejde použít
  • Web mojeid.cz pravděpodobně vyžaduje novější nebo jiný druh bezpečnostního klíče

Znamená to, že se pro úroveň „vysoká“ pokoušíte použít nesprávný klíč nebo nemá klíč nastaven PIN.

Pokud již máte účet napárovaný na úroveň „značná“ a máte připojen vhodný klíč, postupujte takto:

  1. V účtu v záložce Nastavení v sekci Přístup ke službám veřejné správy klikněte na NastavitZískat přístup pro klíč. Případně můžete v seznamu bezpečnostních klíčů kliknout na tlačítko Získat úroveň „vysoká“.
  2. Na rozcestníku ve sloupci Vysoká stiskněte Pokračovat.
  3. Nastavte PIN k bezpečnostnímu klíči.
  4. Stiskněte PokračovatPřihlásit sea použijte klíč a zvolený PIN.
  5. Zvolte metodu ověření totožnosti (lze použít eObčanku, I.CA identitu s kartou Starcos nebo ověření na pracovišti Czech POINT)
  6. Udělte jednorázový souhlas s výdejem údajů a dokončete proces propojení

O nastavení úrovně „vysoká“ jste informováni na záložce Nastavení  Přístup ke službám veřejné správy nebo v seznamu bezpečnostních klíčů (Nastavení dvoufaktorového přihlášení).

Pokud chcete přidat do svého účtu druhý či další nový fyzický klíč splňující podmínky pro úroveň „vysoká“, postupujte takto:

  1. Nově přidávaný klíč musí mít již nastaven PIN, viz kapitola Jak nastavím PIN k bezpečnostnímu klíči?
  2. V účtu v záložce Nastavení → Dvoufaktorové přihlášení → Seznam bezpečnostních klíčů klikněte na Přidat další bezpečnostní klíč.
  3. Na stránce Přidání bezpečnostního klíče zadejte název nového klíče. Nechte zaškrtnutou volbu Používat klíč pro přístup ke službám úrovně „vysoká“ a klikněte na Přidat.
  4. Dotkněte se nového klíče, poté povolte webové stránce přístup ke klíči. Znovu se dotkněte nového klíče a následně zadejte PIN ke klíči. Ještě jednou se dotkněte nového klíče a znovu povolte webové stránce přístup ke klíči.
  5. Poté potvrdíte přidání zadáním hesla a použitím původního klíče úrovně „vysoká“ včetně zadání PIN k původnímu klíči.

Jak se přihlašovat do služeb úrovně „vysoká“

K přihlášení ke službám s úrovní „vysoká“ použijte buď prohlížeč Google Chrome, Edge, Firefox či Operu. Tyto prohlížeče umožňují zadat během procesu přihlášení PIN k bezpečnostnímu klíči.

Prohlížeč Edge lze stáhnout (.deb i .rpm balíky) na: https://www.microsoft.com/en-us/edge

Známé problémy s prohlížeči

Bezpečnostní klíče GoTrust nefungují v prohlížečích s jádrem Chromium 96. Konkrétně jde o prohlížeče Chrome a Chromium verze 96.0.4664.45 a také prohlížeč Edge verze 96.

V případě jakýchkoliv dotazů a přípomínek k mojeID pište na e-mailovou adresu podpora@mojeid.cz nebo volejte technickou podporu sdružení CZ.NIC, správce registru domén, na čísle +420 731 657 660 nebo +420 222 745 111 (non-stop).