1 Úvod k elektronickému podpisu

Bakalá ská práce

Ji í Horník

1 Úvod k elektronickému podpisu 1.1 Úvod práce Efektivní komunikace je jednou ze základních podmínek vzniku nové "informa ní" spole nosti. Množství informací, které je t eba p enášet, neustále roste a stejn tak rostou nároky na rychlost a bezpe nost komunikace. Není pochyb, že elektronická komunikace je velice efektivní. Sta í srovnat dobu za kterou dojde na druhý konec sv ta oby ejný papírový dopis, s dobou, za kterou tam dojde email. Tím by byla vy ešena rychlost komunikace, ale co bezpe nost? Klasická pošta si za staletí své existence vypracovala mechanismy, jak ur itou míru bezpe nosti zajistit. T mito mechanismy jsou poštovní obálka, s ní související poštovní tajemství a podpis. U pošty elektronické nám bezpe nostní funkce zajiš uje podpis elektronický spolu s mechanismy šifrování samotné zprávy. Navíc elektronický podpis není samoz ejm omezen jen na elektronickou poštu, ale umož uje nám podepsat jakoukoli digitální zprávu. O tom však dále. Jedná se bezpochyby o v c velmi užite nou. P esto se zdá být ob any této zem pon kud opomíjen. Stále nedochází k tak masovému rozší ení, aby každý ob an disponoval vlastním elektronickým podpisem. I když dlužno íci, že tento r st za íná již zvolna akcelerovat. Pro tedy již nedošlo k rozší ení elektronického podpisu? E-podpis totiž není n co, co by mohlo fungovat izolovan . Pot ebuje ke své existenci ur ité p íznivé spole enské prost edí. Rysy prost edí, které brání jeho rozší ení, m žeme nazvat bariéry rozší ení epodpisu. Možných bariér nás napadne celá ada. Od tzv. po íta ové (ne)gramotnosti p es cenu služeb, legislativní podmínky a informovanost ob an apod. po možnosti použití. N které z bariér pominou samy, n které musí vy ešit stát a n které se vy eší samy za podpory státu. V této práci se v podstat budu zabývat v tšinou bariér, ale ty které osobn považuji za fundamentální, jsou poslední zmín né možnosti použití. V podstat se budu snažit zodpov d t otázku: "Kde všude m žeme elektronický podpis využít, když si jej po ídíme". Cílem je najít co nejvíce možností, které eský trh skrývá. Od podepsání jednoduchého e-mailu po komunikaci se státní správou v podob nap . podání da ového p iznání. Samoz ejm nemohu za ít popisovat jednu aplikaci po druhé bez toho, abych alespo stru n vysv tlil, co vlastn elektronický podpis je, a na jakých principech je založen. Dále bych se cht l rovn ž pom rn stru n zmínit o legislativ , nebo ta je dalším podstatným prvkem zmín ného prost edí. Dalším tématem souvisejícím s možnostmi použití e-podpisu je trh v Tedy srovnání r zných poskytovatel certifika ních služeb a jejich produkt . Potom již p istoupíme k samotným možnostem využití e-podpisu v Pokusím se detailn popsat všechny možnosti použití.

R jako celek. eské praxi.

Dle statistik citovaných v [3] bychom mohli o malém rozší ení e-podpisu polemizovat, nebo se zde íká: "Certifika ní autority (CA) vydaly loni v R ádov n kolik set tisíc komer ních certifikát ". V lánku je ale dále vysv tleno, pro toto íslo není zvláštním d vodem k jásání. Tyto komer ní certifikáty byly vydány v tšinou pro klienty bank, kte í cht jí využívat n jaké formy homebankingu. Na tom by ješt nebylo nic tragického, nebýt -1-

Možnosti použití elektronického podpisu v R v roce 2004 toho, že takto vydaný certifikát je možno použít pouze ke komunikaci s danou bankou. Jinými slovy: e-mail si jím nepodepíšete. Dále je v [3] uveden názor, že klí em k tomuto problému je stát. Tedy využití kvalifikovaného elektronického podpisu p i komunikaci se státní správou. Pokud vznikne systém, ve kterém b žný ob an m že komunikovat s ú ady z domova, bude ho to motivovat k získání kvalifikovaného certifikátu. Pokud už takový certifikát bude mít, bude jej chtít využívat i v komer ních aplikacích. Banky a ostatní subjekty mu to d íve nebo pozd ji budou muset umožnit. Toto je stav do kterého bychom se cht li dostat. Stav kdy každý ob an vlastní sv j kvalifikovaný certifikát, který mu umožní vytvá et elektronické podpisy. Stav kdy každý má jeden elektronický podpis, který je s jeho osobou spojen tak jako podpis klasický. Jak už bylo e eno, na za átku tohoto procesu bude stát. Jeho cílem musí být co nejrychlejší zp ístupn ní svých agend elektronické komunikaci (vytvo ení e-agend).

-2-

Bakalá ská práce

Ji í Horník

1.2 Co je e-podpis a jeho význam Co to vlastn elektronický podpis je? Pro bychom m li o jeho zavedení do b žného života usilovat? To jsou otázky, na které odpoví tato kapitola. Elektronický podpis je n ím, co m že významn zm nit mnohé oblasti lidského života. K nejvýznamn jším zm nám, které se dotknou adového ob ana této zem pat í projekt tzv. e-governmentu. V n m jde o p em nu vnit ních i vn jších vazeb ve ejné správy za využití moderních informa ních a komunika ních technologií. Cílem e-governmentu je zefektivn ní proces probíhajících ve státní zpráv a zvýšení kvality služeb poskytovaných ve ejnosti. Jedním z pilí e-governmentu je dálkový p ístup ke správním agendám a s tím související elektronizace t chto agend. Pro ob any mají tyto snahy velký význam hned z n kolika d vod : 1. Nebudou muset vážit cestu na ú ad. 2. Nebudou se muset setkávat osobn s ú edníky. 3. Nebude prostor pro korupci. 4. Práci ú ad bude možno lépe organizovat. Na rutinní procesy bude nap . možné používat principy workflow, nebo ásti proces automatizovat což vytvo í ú edník m prostor v novat se netypickým p ípad m. Efektivní ú ad je pak koneckonc výhodou i pro ve ejnost. Další oblastí, kde se e-podpis uplatní, je elektronické obchodování (e-commerce). Již v úvodu jsem nazna il, že se zde elektronické podpisy využívají již delší dobu (bankovnictví). Nicmén problém je v nejednotnosti. Úloha státu je tedy dvojí. Jednak musí vytvo it legislativní prost edí, ve kterém se trh e-podpisu (resp. celý informa ní trh) bude moci sám rozvíjet. Jednak musí udávat krok ve tvorb aplikací. Komer ní sféra je totiž závislá na „kritické mase“. Za ne se rozvíjet až tehdy, když bude cítit dostate nou poptávku po daných produktech. Pro bezproblémové fungování jak e-governmentu tak e-commerce je nutná ur itá jistota v komunikaci. Jistota o tom, s kým jednáme a v tom, že náš partner nebude moci své jednání pozd ji pop ít. e eno odborn ji, pot ebujeme mít jistotu v: •

Identifikaci.

•

Autentifikaci.

•

Integrit zprávy.

•

Nepopiratelnosti odpov dnosti.

Tyto ty i funkce plní práv elektronický podpis. Konkrétní pojmy budou definovány v následující kapitole, ale v podstat jde o to, v d t, s kým jednáme (identifikace), mít jistotu, že je to opravdu daná osoba (po íta , program, firma) (autentifikace), že zpráva, kterou jsme si poslali, nebyla p i p enosu zm n na (integrita) a že partner nebude moci sd lení pozd ji pop ít (nepopiratelnost). Tyto funkce nám zajistí elektronický podpis. V ur itých situacích bychom také cht li zajistit utajení p ed t etími osobami. Tuto funkci sice e-podpis principiáln nezajiš uje, ale v konkrétních implementacích je s ní po ítáno a systémy provád jí šifrování zprávy.

-3-

Možnosti použití elektronického podpisu v R v roce 2004 Snad jsou toto dostate né d vody, pro usilovat o zavedení elektronického podpisu. Nyní bych rád stru n popsal, co elektronický podpis je. Podrobn ji jsou principy popsány v kapitole 2. Definice v zákon o elektronickém podpisu [4] íká, že elektronickým podpisem se rozumí: "údaje v elektronické podob , které jsou p ipojené k datové zpráv nebo jsou s ní logicky spojené a které slouží jako metoda k jednozna nému ov ení identity podepsané osoby ve vztahu k datové zpráv ". Dále rozlišuje tzv. zaru ený elektronický podpis, který má pon kud p ísn jší kritéria. Zákon nena izuje konkrétní zp sob provedení elektronického podpisu. D ležité tedy je, že e-podpis jsou údaje v elektronické podob . Mohli bychom to chápat jako digitální podobu, tedy posloupnost bit . Který z pojm „elektronický“ a „digitální“ je podmnožinou kterého, je t žké íci. Budeme tedy od tohoto místa dále chápat pojem elektronický podpis jako pr nik pojm elektronický a digitální. D ležité je, že se jedná o íslo, které závisí jak na zpráv , tak na podepisující osob . Tento podpis není na rozdíl od "klasického" podpisu vždy stejný. Ani to není cílem. Neexistují podpisové vzory. Pravost podpisu se zjiš uje na základ metod asymetrické kryptografie. Jeho zfalšování je prakticky nemožné a je proto bezpe n jší než podpis klasický.

-4-

Bakalá ská práce

Ji í Horník

1.3 Vysv tlení základních pojm 1.3.1 Elektronický podpis Elektronický ekvivalent vlastnoru ního podpisu dokumentu. Ve skute nosti elektronický (digitální) podpis zahrnuje více funkcí: identifikuje autora ( autenticita ) a podepisuje dokument ( integrita ). Je závislý na obsahu daného dokumentu, proto nem že být jiným dokumentem bez povšimnutí nahrazen. Obdobn , podepsaný dokument nem že být zam n n jiným. Následné ov ení podpisu odhalí tyto zásahy t etí stranou. www.uep.cz Údaje v elektronické podob , které jsou p ipojené k datové zpráv nebo jsou s ní logicky spojené a které slouží jako metoda k jednozna nému ov ení identity podepsané osoby ve vztahu k datové zpráv . Zákon 227/2000 sb. Tyto dv definice daný pojem vysv tlují velmi z eteln a není v podstat t eba k nim n co dodávat.

1.3.2 Zaru ený elektronický podpis Dle zákona 227/2000 sb. je to takový e-podpis, který je jednozna n spojen s podepisující osobou, umož uje její identifikaci ve vztahu k datové zpráv , byl vytvo en pomocí prost edk , které podepisující osoba kontroluje a umož uje ov it integritu dat. V této práci v tšinou pod pojmem elektronický podpis rozumím zaru ený elektronický podpis.

1.3.3 Public Key Infrastructure Soubor hardwarových a softwarových prost edk , osob, metod a postup pot ebných k vytvo ení, správ , distribuci a zneplat ování certifikát založených na asymetrické kryptografii.

1.3.4 Asymetrické šifrování Šifrovací (kryptografické) metody založené na páru klí . Ve ejný klí je všem dostupný a privátní klí je tajný. V závislosti na ú elu použití se jedním z klí zpráva zašifruje a potom m že být dešifrována jen druhým klí em z daného páru.

1.3.5 Hashovací funkce Matematické operace, které mají na vstupu posloupnost bit libovolné délky a vrací posloupnost bit konstantní délky - tzv. hash otisk. P i emž je relativn snadné vypo ítat hash otisk ze zprávy, ale je nemožné vypo ítat z otisku zprávu.

1.3.6 Certifikát Elektronická obdoba identifika ního pr kazu. Obsahuje osobní údaje držitele spolu s jeho ve ejným klí em. Je elektronicky podepsán d v ryhodnou t etí osobou, která ztvrzuje že data osoby a ve ejný klí k sob pat í. Kvalifikovaný certifikát je certifikát, který vydal kvalifikovaný poskytovatel certifika ních služeb, a který spl uje požadavky §12 zákona 227/2000 sb. nap . ozna en jako kvalifikovaný certifikát, osobní data podepisující osoby, platnost, omezení hodnot transakcí pro které se smí použít atd.

-5-

Možnosti použití elektronického podpisu v R v roce 2004

1.3.7 Poskytovatel certifika ních služeb Neboli certifika ní autorita (CA). Fyzická nebo právnická osoba, která vydává certifikáty, udržuje revoka ní seznamy, p ípadn poskytuje další služby s tím související. Kvalifikovaný poskytovatel certifika ních služeb - PCS, který vydává kvalifikované certifikáty (resp. kvalifikovaná asová razítka) a splnil ohlašovací povinnost podle zákona Akreditovaný poskytovatel certifika ních služeb - PCS jemuž byla dle zákona ud lena akreditace. Pro komunikaci se státní správou je nutné mít kvalifikovaný certifikát od akreditovaného poskytovatele.

1.3.8 Integrita Jistota, že zpráva nebyla p i p enosu nebo v ase zm n na.

1.3.9 Autenticita Jistota, že zprávu vytvo ila osoba, o níž si to myslíme. Autentifikace je proces zjiš ování, zda n kdo nebo n co je tím, za koho nebo za co se prohlašuje. Podrobn je tento pojem pojednán v lánku [8].

-6-

Bakalá ská práce

Ji í Horník

2 Základy techniky šifrování 2.1 Úvod V této kapitole se budu stru n v novat technologickému zázemí elektronického podpisu. Vysv tlíme si model podepsání datové zprávy, p enosu a následného ov ení podpisu a ov ení identity podepisujícího. Ješt p ed tím bude ú elné zmínit se o základních principech, které jsou v tomto modelu využity. Jedná se o hashovací funkce, asymetrické šifrovací algoritmy a certifikáty. Kombinace t chto metod zajistí všechny výše zmín né funkce elektronického podpisu, tedy: identifikace, autenticita, integrita, a neodmítnutelnost.

2.2 Hash otisk dokumentu a hash funkce Základem elektronického podpisu je tzv. datová zpráva. Ta je tím, co chceme podepsat. Elektronickým podpisem m žeme podepsat cokoli od prostého textu o velikosti n kolika byt až po libovoln velké datové soubory. Jedinou podmínkou je, aby datová zpráva m la digitální podobu. Aby byla vyjád ena jako posloupnost bit . Protože podepisování celé zprávy by v krajním p ípad mohlo trvat velice dlouho a velikost vzniklého podpisu by byla závislá na velikosti p vodní zprávy, je nutné z posloupnosti bit prom nné délky dostat posloupnost bit o pevné délce. Toto nám umož ují tzv. hashovací funkce s jejichž pomocí vytvo íme tzv. otisk zprávy. Hash funkce p evád jí zprávu libovolné délky na hash hodnotu konstantní délky. Mají p edevším tyto vlastnosti: •

Jednosm rnost: Ze zprávy je snadné vypo ítat hash hodnotu, ale je nesnadné z hash hodnoty vypo ítat zprávu.

•

Unikátnost hash hodnoty: Také je nesnadné vytvo it jinou zprávu se stejnou hash hodnotou.

Typickými p edstaviteli jsou MD5 a SHA-1. Praktickou ukázku výpo tu m žeme vyzkoušet nap . na http://hashe.tvrdik.info. Algoritmus MD5 (message digest 5) je funkce vyvinutá Ronaldem Rivestem z RSA, aby odstranila nedostatky MD4. Je popsána v RFC1321 [13]. Algoritmus probíhá zjednodušen takto: 1. Zpráva je rozd lena do 512-bitových blok . Poslední blok je dopln n (padding) jedním bitem 1 a n-bity 0 až do délky 448 bit . V posledních 64 bitech je uvedena délka zprávy p ed paddingem. 2. Ur itým zp sobem se inicializují 4 32-bitové prom nné A,B,C,D. 3. Pro každý blok postupn prob hne hlavní cyklus, který má 4 kola. V každém kole prob hne 16 r zných operací se 3 ze 4 prom nných. Výsledek t chto operací je ješt ur itým zp sobem „promíchán“ se 4-tou prom nnou. Tento výsledek se uloží do jedné z prom nných a za ne další kolo. Toto se tedy stane m*4, kde m je po et blok a 4 reprezentuje ona 4 kola. 4. Dostáváme nové prom nné A,B,C,D po 32 bitech, které tvo í náš 128 (4*32)-bitový otisk zprávy. Na rozdíl od MD4 (rfc1320) je MD5 sice trochu pomalejší, ale za to o hodn bezpe n jší. Zm ny jsou v n kterých funkcích, jsou ty i kola místo t í, každý krok p idá výsledek p edchozího atd. -7-

Možnosti použití elektronického podpisu v R v roce 2004 Algoritmus SHA-1 (secure hash algorithm) byl vyvinut v NIST (National Institute of Standards and Technology). Je popsán v PUB 180-1 [14]. Je podobný MD5 (nap íklad padding probíhá stejn ). Op t se zde n jakým zp sobem “promíchávají” r zné v ci, až vzniknou ur ité prom nné, které tvo í otisk zprávy. Rozdíl je v tom, že SHA pracuje s 5-ti 32bitovými prom nnými, takže otisk má 160-bit . Tato metoda je považována za bezpe n jší. Existují zde dv možné cesty „promíchávání”, kterými se ale dojde ke stejnému výsledku. Takto získaná hash hodnota je tím, co nazýváme otisk zprávy. S tím se potom pracuje dále a použitím šifrovacích algoritm se vzniká z otisku samotný podpis.

-8-

Bakalá ská práce

Ji í Horník

2.3 Asymetrické šifrování Šifrování je proces skrývání informace tak, aby byla ne itelná bez zvláštní znalosti (viz encryption z [2]). Touto zvláštní znalostí m že být jednak znalost samotného algoritmu nebo znalost klí e. Šifry založené na utajení algoritmu jsou nazývány "klasické". Jde o to, že krom zú astn ných nikdo nezná postup, jakým byla zpráva zašifrována. Vyzrazením algoritmu je šifra prolomena. Moderní šifry znalost algoritmu p edpokládají. Postupy jsou zve ejn ny, ale je utajena sou ást, která do algoritmu vstupuje. Tato sou ást se nazývá klí . Ve skupin moderních šifer ješt rozlišujeme šifry se soukromým klí em (s jedním klí em, i symetrickým klí em) a šifry s ve ejným klí em (dv ma klí i, asymetrické šifry). Symetrické šifry jsou založeny na zve ejn ní algoritmu a utajení klí e. Klí zde existuje jeden a znají ho pouze zú astn ní. Zpráva je stejným klí em zašifrována a stejným rozšifrována. P edstaviteli jsou algoritmy DES, AES, nebo IDEA. Výhodou je rychlost algoritmu. Naopak nevýhodou je nutnost stejného klí e u odesílatele i adresáta. Pro lepší p edstavu jsem p ipravil následující obrázek.

obrázek 1 - Symetrické šifrování

Tento zp sob šifrování ale není vhodný pro elektronický podpis, protože je jednak nutné p enést n jakým zp sobem samotný klí . Druhý d vod je to, že by nemohla být zajišt na neodmítnutelnost odpov dnosti, protože ob strany mají stejný klí . Mnohem vhodn jší je použití n jakého asymetrického šifrovacího algoritmu. Charakteristickou vlastností asymetrického šifrování je existence dvou klí tajného (privátního) a ve ejného. Zprávu m žeme zašifrovat libovolným klí em, záleží však na ú elu. Pokud nám jde o potvrzení našeho autorství zprávy, šifrujeme privátním klí em (protože ten máme jen my a tak by jím nikdo jiný nemohl zprávu zašifrovat). Zprávu sice m že dešifrovat kdokoli, ale o utajení nám v tuto chvíli nejde. Pokud je naopak cílem utajení, šifrujeme zprávu ve ejným klí em (ne naším, ale klí em p íjemce). Ten m že zprávu dešifrovat pouze svým privátním klí em (nikdo jiný ho nemá).

-9-

Možnosti použití elektronického podpisu v R v roce 2004 Algoritmy, které mají tuto funkci jsou náro né nejen na provád ní, ale také na vymyšlení a jsou založeny na relativn složitých matematických operacích. Jejich bezpe nost je založena na obtížn ešitelných matematických problémech (faktorizace velkých ísel rozklad na prvo ísla apod.). P íkladem takových algoritm jsou RSA a DSA. Pokusím se je popsat pokud možno p ehledn bez složité matematiky. Pro milovníky matematiky jsou u nich odkazy na p esný popis. Algoritmus RSA [15] je pojmenován po svých tv rcích (Rivest, Shamir, Adleman). Vznikl ve 2. polovin 70. let na MIT a dlouho byl chrán n patentem. Je založen na modulární aritmetice (modulo = zbytek po celo íselném d lení). Jeho nejkomplikovan jší ástí je generování klí . Nejprve je nutno náhodn vygenerovat dv velká prvo ísla p a q (ta mají ádov stovky cifer, jejich délka by m la být blízká). Z nich dostaneme íslo n=p*q. Generujeme také íslo e takové, že nejv tší spole ný d litel e a (p-1)(q-1) je 1.Ze vztahu ed 1 mod((p-1)(q-1)) dostaneme íslo d. V tuto chvíli by ísla p a q m la být zni ena. íslo e je v tuto chvíli privátní klí (budeme jím zprávu zašifrovávat) a íslo d zve ejníme (slouží pro dešifrování). Šifrování i dešifrování je pak již jednoduché: c=me (mod n), kde c je zašifrovaná zpráva, m p vodní zpráva, e je klí pro zašifrování (tajný) a n je íslo, které vzniklo jako p*q. Dešifrování: m=cd (mod n), kde d je klí pro dešifrování (je zve ejn n spolu s n) Šifra bude prolomena pokud n kdo získá ísla p a q. Algoritmus DSA (Digital Signature Algorithm) [16] vznikl v roce 1991 v NISTu. Je to algoritmus pro digitální podpis. Rovn ž je založen na principech modulární aritmetiky. Generování ísel: Z parametr p, q a g (které jsou ve ejné) získáme soukromý klí x a ve ejný klí y. Podpis: Podepisující generuje náhodné íslo k. Z ísla k, parametr p, q, g, otisku zprávy a soukromého klí e x se vytvo í parametry r a s, které jsou podpisem. Podpis se p ipojí ke zpráv . Verifikace podpisu: Máme ísla r a s. Pomocí nich a ve ejných údaj p, q, g a y se matematickými funkcemi získá íslo v. íslo v porovnáváme s parametrem r. Pokud se v=r je podpis ov en. Pro detaily viz [16 str. 8-15].

- 10 -

Bakalá ská práce

Ji í Horník

2.4 X.509 - standard pro certifikáty Jak uvidíme dále, v modelu elektronického podpisu je t eba ješt jednoho prvku. Tento prvek nám zajiš uje d v ru v identitu podepisující osoby. Jinými slovy: d v ryhodn spojuje podepsanou osobu s jejím ve ejným klí em. Tento subjekt je vlastn obdobou notá e a nazývá se certifika ní autorita (CA). D v ru v totožnost osoby m žeme zajistit i jiným zp sobem. Jedná se o tzv. sí d v ry, ve které si svou identitu osv d ují uživatelé navzájem. Nejznám jší implementací sít d v ry je PGP (Pretty Good Privacy). Problémem tohoto systému je, že p edpokládá, že se vždy n kte í uživatelé mezi sebou znají, aby si mohli potvrdit svou identitu. Legislativa tento zp sob autentifikace nep ipouští. D vodem je také to, že CA je právnická osoba, jejíž innost se lépe reguluje a kontroluje, než by tomu bylo u sít d v ry. CA musí ru it za závazky vzniklé použitím jejích certifikát . Z d vodu nesouladu s legislativou se nebudu o PGP dále zmi ovat. Pro více informací viz [10]. eská legislativa p edpokládá tzv. centralizovaný systém d v ry. Ten je práv upraven standardem X.509. Dokument RFC k tomuto standardu [11] upravuje jednak formát certifikát a CRL (Certificate Revocation List), požadavky na PKI (Public Key Infrastructure - souhrn všech prvk systému, který podporuje spojení osoby s jejím ve ejným klí em), procedury vydávání certifikát atd. Dle tohoto systému CA vydává certifikát spojující ve ejný klí se jménem osoby (resp. e-mailovou adresou, nickem apod.). Svým e-podpisem tento certifikát podepíše a tím potvrdí údaje na n m uvedené. Zásadní význam má tzv. ko enový certifikát CA, který spojuje ve ejný klí CA se samotnou certifika ní autoritou. Nainstalováním ko enového certifikátu uživatel akceptuje všechny certifikáty vydané CA. P i jejich použití je ovšem nutné zkontrolovat jestli nefigurují na tzv. CRL, neboli seznamu zneplatn ných certifikát . To zajistí správn nastavený software. Jaké informace tedy certifikát X.509 obsahuje? Ve verzi 3 to jsou: •

Informace o certifikátu: Verze, sériové íslo, Algoritmus, Vydavatel, Platnost.

•

Informace o osob vlastnící ve ejný klí

•

Informace o ve ejném klí i: Algoritmus ve ejného klí e, samotný klí .

•

Podpis vydavatele.

Certifikáty jsou obvykle uloženy v souborech s koncovkami .cer, .der, .pem, .p7c, a .pfx Pokud je certifikát nutné zneplatnit d íve než uplyne doba, na kterou je vydán, vloží se na CRL. Uživatel je ze zákona povinen oznámit CA, pokud nastal d vod pro zneplatn ní. D vodem m že být nap .: vyzrazení soukromého klí e, nebo vydání certifikátu špatné osob apod.

- 11 -


2.5 Postup podepsání zprávy a ov ení podpisu Nyní, když jsme si popsali jednotlivé sou ásti modelu, m žeme si ukázat, jak to funguje celé dohromady. Celý model elektronického podpisu je zachycen na následujícím obrázku. Nutno dodat, že popisovaný model je založen na algoritmu RSA. DSA pracuje odlišným zp sobem.

obrázek 2 - Podepsání zprávy a ov ení podpisu

Pokud bychom tento obrázek m li popsat slovy, jednalo by se o následující posloupnost krok : 1. Odesílatel vytvo í zprávu, kterou chce elektronicky podepsanou bezpe n odeslat adresátovi. Aby ji mohl zašifrovat a zajistit tak její utajení p ed nepovolanými, bude pot ebovat také ve ejný klí adresáta. Klí získá od CA, která také zaru í, že odesílatel získá správný klí . 2. Pomocí klí e vytvo í zašifrovanou zprávu. 3. Protože chce také dát adresátovi jistotu, že zprávu vytvo il on, a že to pozd ji nebude moci pop ít, vytvo í ke zpráv také elektronický podpis. Nejprve na - 12 -

Bakalá ská práce

Ji í Horník

zprávu aplikuje jistou hash funkci, aby vytvo il její otisk. Otisk pak zašifruje svým soukromým klí em. Protože tento klí nikdo jiný nemá, je jisté, že otisk zašifroval práv odesílatel. Také je jisté, že otisk nemohl vzniknout z jiné zprávy (to vyplývá z vlastností hashovacích funkcí). 4. Zprávu spolu s podpisem odešle adresátovi 5. Adresát nejpozd ji v této chvíli získá od CA ve ejný klí odesílatele. Ten použije na rozšifrování p vodního hash otisku. 6. Samoz ejm musí svým privátním klí em dešifrovat samotnou zprávu a pomocí správné hashovací funkce vytvo it z této zprávy otisk. 7. Porovnáním obou otisk zjistí, zda zprávu podepsala osoba, jejíž ve ejný klí použil.

2.6 2.6.1

asové razítko a elektronická zna ka asové razítko

Dává zpráv asový rozm r, neboli je potvrzením toho, že daný dokument existoval v ur ité dob . P edpokladem je, že existuje n kdo, kdo nezávisle potvrdí existenci dokumentu v ase. To je TSA (Time Stamping Authority). Funkci TSA m že prakticky vykonávat i certifika ní autorita. D ležité je, aby tato osoba spl ovala r zné požadavky (nap . d v ryhodný zdroj asu atd.). Ud lení asového razítka postupuje podle TSP (Time Stamping Protocol): 1. Subjekt odešle žádost o p id lení asového razítka s Hash hodnotou zprávy, které se má razítko p id lit. 2. TSA vytvo í tzv. Time Stamping Token (TST), který obsahuje údaje o ase, hash hodnotu zprávy p íp. ješt další, ale ne údaje identifikující osobu, která požádala o asové razítko. TST podepíše svým digitálním podpisem. 3. Odešle odpov , která obsahuje TST. P enos TST lze uskute nit v zásad jakkoli (e-mail, soubor, TCP, http …).

2.6.2 Elektronická zna ka Je vlastn elektronický podpis. Technologie je založena na stejných principech a rozdíly jsou spíše legislativní. Charakteristické rysy jsou tyto 1. M že ji použít i právnická osoba resp. organiza ní složka státu. 2. M že být využívána automatizovan . 3. Stejné ú inky jako elektronický podpis.

- 13 -


3 Elektronický podpis v legislativ

R

3.1 Legislativa EU jako pramen eské úpravy Všichni víme, že eská republika je od 1. kv tna letošního roku lenem Evropské unie. Harmonizace naší legislativy s evropskou je však jedním s cíl našeho zákonodárství mnohem déle. Stejn tak i v zákon 227/2000 sb. je tato snaha vyjád ena již v prvním paragrafu: "Tento zákon upravuje v souladu s právem Evropských spole enství používání elektronického podpisu …". Zákon dále odkazuje na sm rnici 1999/93/ES Evropského parlamentu a Rady ze dne 13. prosince 1999 o zásadách Spole enství pro elektronické podpisy. Jaká je tedy úloha Evropské legislativy ve vztahu k národním úpravám zemí Evropské unie? To bude naprosto jasné po p e tení této podkapitoly. Za n me tedy od za átku. Tvorbou legislativy je v EU pov ena EESSI (European Electronic Signature Standardization Initiative). Ta byla vytvo ena na popud European ICT Standards Board a Evropské komise a je složena z r zných expert jak z pr myslu tak z ve ejného sektoru. Více o EESSI na [19]. EESSI vypracovala v ervnu roku 1999 záv re nou zprávu [20] na jejímž základ vznikla a 13.12.1999 byla Evropským parlamentem p ijata sm rnice 1999/93 ES o zásadách spole enství pro elektronické podpisy [5]. Tyto dva dokumenty jsou základem evropské legislativy o elektronickém podpisu. Záv re ná zpráva byla "odrazovým m stkem" pro tvorbu legislativy. Jejím cílem bylo ur ení celkové strategie pro vytvá ení dalších norem a definuje innosti, které budou muset následovat. Nejd ležit jší záv ry jsou shrnuty na prvních dvou stranách zprávy. Pat í mezi n nap .: •

Legislativa má být spíše rámcová než detailní. Pro detailní popis budou p evzaty pr myslové normy. • Preferují se odkazy na existující standardy (využití existujících) p ed vytvá ením nových. • Standardy musí projít testem shody a certifikaci musí provést akreditovaný orgán podle EN 45000 (akredita ní postup EU) • Musí být vytvo en technický rámec pro elektronické podpisy využívající asymetrické kryptografie a ov ování založeném na certifikátech. • Poskytovatelé certifika ních služeb musí vyhovovat následujícím standard m (doporu ení) o BS7799 (ISO-17799) obecné zásady bezpe nosti. o FIPS 140-1 pro d v ryhodné systémy o RFC2527 jako základ certifika ní politiky apod. M la by být podporována interoperabilní (schopné spolupráce - univerzální) ešení u jednotlivých poskytovatel . A další záv ry. Cílem sm rnice 1999/93 je vytvo ení jasného rámce k elektronickým podpis m. Obsahuje pouze body nezbytné pro harmonizaci a není závislá na konkrétní technologii. Neobsahuje žádné detailní technické specifikace. Obsahuje 28 základních východisek, 15 lánk a 4 p ílohy. Základní východiska se týkají cíl , ú elu a dalších základních bod sm rnice.

- 14 -

Bakalá ská práce

Ji í Horník

Jednotlivé lánky pak hovo í o p sobnosti ( l.1), definují se v nich základní pojmy jako nap . elektronický podpis = data v elektronické podob , která slouží jako metoda autentizace, kvalifikovaný elektronický podpis (jednozna nost, integrita, identifikace), podepisující osoba, data a prost edky pro vytvo ení a ov ení podpisu apod. ( l.2). Dále hovo í o p ístupu na trh – týká se to poskytovatel certifika ních služeb - PCS, dohled nad nimi ( l.3 a 4), právních ú incích elektronického podpisu (staví jej na rove vlastnoru nímu podpisu, p ijímají se jako d kaz v soudním ízení, PCS zodpovídá za ur itých podmínek za škody vzniklé osobám, které se spolehly na kvalifikovaný certifikát) ( l.5 a 6) atd. V p ílohách nalezneme obecné požadavky na: 1. 2. 3. 4.

Kvalifikované certifikáty PCS vydávající kvalifikované certifikáty Prost edky pro bezpe né vytvo ení podpisu Bezpe né ov ení podpisu Krom t chto dvou základních norem vznikají detailní standardy. Tyto standardy vznikají ve dvou nezávislých pracovních skupinách ETSI (European Telecomunications Standards Institute) a CEN (Comité Européen de Normalisation). ETSI má na starosti standardy týkající se asových razítek, kvalifikovaných certifikát , politiky PCS (CA) a formátu a syntaxe el. podpisu zatímco CEN požadavky na d v ryhodné systémy, proces vytvá ení podpisu a proces jeho ov ování. Nyní tedy m žeme odpov d t na otázku: "Jaký je vztah eské a Evropské legislativy?". eská republika jako ostatní lenové EU vytvá í svou legislativu v souladu s evropskou. Z toho vyplývá i úloha evropské legislativy. Není pro lenské zem mustrem, ale spíše relativn širokým rámcem, který ponechává národním zákonodárc m ur itou volnost. Má p sobit spíše jako sjednocující prvek.

- 15 -


3.2 Zákon o elektronickém podpisu Základním pramenem eské právní úpravy elektronického podpisu je zákon 227/2000 Sb., o elektronickém podpisu a o zm n n kterých dalších zákon . První verze tohoto zákona byla vyhlášena ve sbírce zákon dne 26.7.2000. P vodní zákon byl v roce 2002 dvakrát novelizován. A to zákonem 226/2002 ze dne 4.6.2002 a 517/2002 ze 14.11.2002. Zm ny v t chto dvou novelizacích nebyli nijak revolu ní. S postupem uvád ní elektronického podpisu do praxe byly v zákon zjišt ny ur ité nedostatky, které v dob jeho tvorby nebyly z etelné. Jednalo se zejména o absenci asových razítek a elektronických zna ek, nebo nap . možnost použít v R zahrani ní certifikáty. Z t chto d vod byla provedena rozsáhlá novelizace ZoEP (zákon o elektronickém podpisu). Novelizace nabyla ú innosti 1. íjna 2004. Dále se budeme zabývat práv touto novelizací. Plný text je k dispozici na [4]. V zákon jsou nejprve vymezeny klí ové pojmy. Nejd ležit jší z nich jsem uvedl v kap. 1.3. Pojmy asové razítko a elektronická zna ka jsou popsány v jiné ásti tohoto textu. Elektronická podatelna je dle zákona pracovišt státní správy ur ené k p ijímání a odesílání el. dokument . Z pojmu elektronické zna ky vyplývá rozdíl mezi podepisující a ozna ující osobou. Ten spo ívá v tom, že podepisovat m že pouze fyzická osoba, zatímco ozna ovat i osoba právnická resp. organiza ní složka státu. Ostatní pojmy lze chápat docela intuitivn , proto je podle m není t eba konkretizovat. Co tedy zákon íká ve vztahu k podepisující (ozna ující) osob ? 1. Platí vyvratitelná právní domn nka, že pokud je zpráva opat ena elektronickým podpisem, je podepisující osoba seznámena s jejím obsahem. 2. Je povinna zacházet s prost edky a daty pro vytvá ení EP tak, aby nedošlo k jejich neoprávn nému použití. Pokud takové nebezpe í nastane, musí neprodlen uv domit PCS (poskytovatel certifika ních služeb). 3. Za škodu vzniklou porušením povinností (odst.2) odpovídá, pokud neprokáže, že ten komu škoda vznikla, neprovedl vše, aby si ov il, že je certifikát platný (i kontrola CRL) 4. Obdobné povinnosti má i ozna ující osoba. Kvalifikovaný poskytovatel certifika ních služeb je povinen: 1. Ujistit se o identit toho, komu vystavuje certifikát. 2. Mít zam stnance s pot ebnou kvalifikací (bezpe nost, ml enlivost, práce s osobními údaji atd.). 3. Používat bezpe né systémy. 4. Mít finan ní zdroje na provoz a p ípadn krytí odpov dnosti za škodu. 5. Písemn (i elektronicky) zve ej ovat podmínky a omezení služeb, nebo informace o p ípadném zrušení akreditace. 6. Informovat MI R (ministerstvo informatiky) o poskytování kvalifikované certifika ní služby.

- 16 -

Bakalá ská práce

Ji í Horník

7. Uchovávat ur ité dokumenty (smlouvy, certifikáty, nejmén 10 let.

asová razítka apod.)

8. Zajistit, aby certifikáty obsahovaly pravdivé a aktuální informace o jejich držitelích. Aby data pro ov ení EP (ve ejný klí ) odpovídala dat m pro vytvo ení (privátní klí ). Vytvo it a udržovat CRL a zajistit, aby bylo p esn možno zjistit as, kdy byl certifikát zneplatn n. 9. Zneplatnit certifikát, pokud je o to požádán držitelem, nebo se dozví, že osoba zem ela, nebo zanikla její zp sobilost k právním úkon m. Musí to provést neprodlen . 10. P i ukon ení innosti musí PCS: a. sv j zám r oznámit MI R alespo 3 m síce p edem, informovat každou podepisující osobu (svého klienta). b. p edat svou evidenci jinému PCS, nebo MI R. Zákon dále upravuje další záležitosti. Ochrana osobních údaj se ídí zákonem 101/2000 Sb., o ochran osobních údaj . Ministerstvo informatiky vykonává dozor a ud luje akreditaci poskytovatel m certifika ních služeb. Akreditaci m že v p ípad nedodržení zákona odejmout, nebo m že ud lovat pokuty až do výše 10 000 000 K . Zákon dále stanovuje náležitosti kvalifikovaného certifikátu a kvalifikovaného asového razítka. Pokud jde o uznávání zahrani ních certifikát , platí následující pravidla. Kvalifikované certifikáty vydané PCS sídlícími v EU jsou u nás považovány za kvalifikované stejn jako kvalifikované certifikáty vydané jinde, pokud PCS spl uje podmínky práva EU a byl v n kterém stát EU akreditován, nebo za n ho p evezme odpov dnost n který z evropských poskytovatel . Certifikát je také rovnoprávný, jestliže to vyplývá z mezinárodní smlouvy.

- 17 -


3.3 Další prameny v R 3.3.1 Bílá kniha elektronického obchodu Bílá kniha se nev nuje pouze elektronickému podpisu, ten je jen jedním z témat (vedle nap . zajišt ní cenové dostupnosti internetu, nebo nutných úprav v jiných zákonech – 40/1964, ob anský zákoník apod.) tohoto strategického dokumentu. Cílem Bílé knihy je identifikovat bariéry rozvoje elektronického obchodování a navrhnout jejich odstran ní. Základní principy uvedené v Bílé knize jsou: • • •

Rozvoj je stimulován soukromým sektorem Ú ast na n m je umožn na všem subjekt m Existence stabilního právního prost edí, zásahy státu jsou technologicky nezávislé a pr hledné • Elektronický obchod je nadnárodní (pot eba mezinárodní koordinace tvorby pravidel) Je zde mj. zmín na sm rnice 1999/93/EC jako základní dokument EU. Lze tedy íci, že Bílá kniha tvo í jakýsi legislativní “most” mezi právem EU a R (pokud jde o oblast ecommerce). Dále identifikuje problémy podoby zákona 227/2000 o elektronickém podpisu p ed novelizací. Je to nap íklad nejasnost v §5 týkající se odpov dnosti podepisující osoby; §12, který vyžaduje vydání kvalifikovaného certifikátu v R, m že být se vstupem R do EU chápán jako p ekážka volného pohybu služeb; pot eba zakotvení a ošet ení asového razítka. Vláda vzala Bílou knihu na v domí usnesením .474 ze dne 19.5.2003 [8] a uložila ministru informatiky do 31.12.2003 p edložit novelu zákona 227/2000 sb., která eší zmi ované problémy.

3.3.2 E-podatelny Elektronické podatelny velice s elektronickým podpisem souvisí. Jednak tím že jsou jako pojem definovány v ZoEP, ale p edevším tím, že jsou to místa, kam budeme p i styku se státní zprávou odevzdávat naše podání (opat ená elektronickým podpisem). Postupy orgán státní správy, jak s t mito podáními nakládat, upravuje vyhláška 496/2004 o elektronických podatelnách. Zpráva dostupná elektronické podateln se považuje za doru enou danému orgánu. Uznávaný (certifikát je vydán akreditovaným PCS) elektronický podpis nebo zna ka jsou ukládány spolu se zprávou. Zpráva se ozna í identifikátorem podatelny, který má funkci podacího razítka. Orgán podepíše a odešle potvrzení o p ijetí (tím je zajišt na nepopiratelnost na obou stranách.). Dále je upraveno i odeslání zprávy orgánem. Vyhláška nabude ú innosti 1. ledna 2005. Vyhlášce MI R p edcházelo na ízení vlády 495/2004. To nabude ú innosti také 1. ledna 2005. Na ízení ukládá orgán m ve ejné správy z ídit e-podatelnu (nebo dohodnout s jiným orgánem, že bude p ijímat jemu ur ená podání), organiza n zajistit její provoz a informovat o p ijímání elektronických dokument .

3.3.3 Další p edpisy v R Vyhláška . 366/2001 [23] ú adu pro ochranu osobních údaj ze dne 3.10.2001 up es uje podmínky §6 (požadavky na PCS) a §17 (prost edky pro bezpe né vytvá ení a ov ování el. podpisu) zákona 227/2000. - 18 -

Bakalá ská práce

Ji í Horník

Dokumenty, kterými poskytovatel dokládá spln ní povinností §6 zákona 227/2000, jsou: certifika ní politika; certifika ní provád cí sm rnice; celková a systémová bezpe nostní politika; plán zvládání krizových situací a plán obnovy; odhad dostate nosti finan ních zdroj a doklady, že jimi disponuje. Vyhláška stanovuje obsah t chto dokument , p ípadn odkazuje na další zdroje (v stník ÚOOS; SN ISO/IEC 15408; Vyhláška 339/1999 sb., o objektové bezpe nosti; SN ISO/IEC 13335 – sm rnice pro ízení bezpe nosti IT) V p ílohách stanovuje r zné kombinace asymetrických kryptografických algoritm , jejich parametr , metod paddingu (p ipojení náhodného et zce bit k p vodní zpráv ), hašovacích funkcí, algoritm generování klí , metod generování náhodných ísel. R zné kombinace tvo í tzv. podpisová schémata. K této vyhlášce existují výklady, které ji up es ují a vysv tlují [24]. Dalšími dokumenty jsou seznam nástroj ve shod s §8 odst. 3 vyhlášky 366/2001, p ehled autorizovaných PCS, seznam ú t z ízených za ú elem placení správních poplatk v souvislosti se zákonem 227/2000. Odkazy na tyto a další dokumenty k e-podpisu nalezneme odkazy na stránkách ministerstva informatiky [25].

- 19 -


4 Situace na informa ním trhu v R 4.1 P ehled CA 4.1.1

eské CA obecn

K tomu, abychom mohli vytvá et zaru ené elektronické podpisy, pot ebujeme tzv. certifikát. Z p edchozích kapitol je z ejmé, že certifikát je n co, ím prokazujeme sv j vztah ke svému ve ejnému klí i, tedy i ke svému elektronickému podpisu. Také byla již d íve vysv tlena úloha certifika ních autorit jako n koho, kdo potvrzuje správnost a aktuálnost certifikátu. Jde o obdobu notá e z "kamenného" sv ta. Zákon ukládá certifika ním autoritám povinnost ru it za škody vzniklé použitím certifikát . Tato povinnost se ale týká pouze certifikát kvalifikovaných. Na eském informa ním trhu se pohybují r zné certifika ní autority, které se ovšem liší nejen cenami svých produkt , ale také možnostmi využití certifikát a mírou "záruk" které v certifikátu máme. Pro ú ely této práce jsem certifika ní autority (CA = PCS) rozd lil do t í skupin na akreditované, neakreditované ve ejné, neakreditované soukromé. Jiným systém m d v ry (nap . výše zmín né PGP) se zde nebudu podrobn v novat. D íve, než za nu psát o konkrétních typech CA, je myslím užite né obecn popsat služby, které nám mohou tyto CA nabídnout. Jedná se p edevším o certifikáty a asová razítka. Certifikáty m žeme d lit jednak na komer ní a kvalifikované (hlavním rozdílem je cena a možnosti využití), nebo na osobní a serverové. Osobní potvrzují totožnost osoby, zatímco serverové potvrzují, d v ryhodnost serveru. V tšinou jsou využívány v kombinaci s SSL (Secure Socket Layer), kdy potvrzují, že komunikace se serverem je šifrovaná. N kdy se využívají když stahujete n jaký soubor, jako potvrzení, že se nejedná o škodlivý kód. Serverové certifikáty nejsou poskytovány jako kvalifikované. Další úrove podle které se dají certifikáty d lit je zabezpe ení. Máme certifikáty "softwarové" a "hardwarové". Toto ozna ení by se mohlo zdát zavád jící, nebo certifikát má vždy podobu souboru. Záleží ovšem na médiu. V p ípad softwarových certifikát máme tyto certifikáty jako soubory v po íta i, které lze libovoln exportovat (maximáln mohou být ochrán ny heslem). Exportovaný soubor obsahuje data jak pro ov ení, tak pro vytvo ení epodpisu. Softwarové ešení tedy nabízí menší zabezpe ení. Hardwarové využívá jako nosi bu ipovou kartu nebo USB token. Z t chto nosi nelze data snadno kopírovat a jejich použití je tak závislé na držb nosi e. Nabízejí v tší úrove ochrany. Nevýhodou je zde ale vyšší cena a v p ípad ipových karet pot eba speciální te ky. Autority také mohou poskytovat testovací certifikáty. U nich není pot eba postupovat jako p i získávání jiných certifikát (viz p íloha 1). M žeme je získat b hem n kolika minut e-mailem a zdarma. Mají omezenou dobu platnosti (max. 1 m síc) a slouží pouze pro vyzkoušení technologie.

- 20 -

Bakalá ská práce

Ji í Horník

4.1.2 Akreditované certifika ní autority P estože v sou asné dob p sobí na našem trhu pouze jedna akreditovaná certifika ní autorita, dovolím si používat množné íslo a mluvit o certifika ních autoritách místo o certifika ní autorit . D vodem je to, že chci aby bylo z ejmé, kdy hovo ím obecn o skupin akreditovaných certifika ních autorit a kdy o jedné konkrétní firm . Dalším d vodem je to, že se eský trh v krátké dob pravd podobn rozší í o další akreditované poskytovatele certifika ních služeb. Subjekty v této skupin mají pro nás nejv tší význam. Ten vyplývá ze skute nosti, že p i komunikaci se státní správou je vyžadován kvalifikovaný certifikát vydaný akreditovaným poskytovatelem certifika ních služeb. Tyto certifikáty, které mohou pochopiteln vydat pouze akreditované subjekty, mají nejširší možnosti použití. Jednoduše e eno: "co je dost dobré pro stát je dost dobré i pro další využití". Naopak to ovšem leckdy neplatí. Samotný proces akreditace nám zaru uje, velice dobrou jistotu zejména o bezpe nosti takových certifikát a o tom, že poskytovatel disponuje dostate nými prost edky na krytí p ípadných škod. M žeme íct, že certifikáty akreditovaných poskytovatel jsou nejjist jší. Tím ovšem nechci v žádném p ípad snižovat význam ostatních poskytovatel . Akreditovaný poskytovatel musí splnit ur ité podmínky, které se na ostatní poskytovatele nevztahují. Zejména se jedná o §10 ZoEP a vyhlášku 366/2001 ú adu pro ochranu osobních údaj . Jak jsem již d íve poznamenal, v sou asnosti na našem trhu p sobí jediný akreditovaný poskytovatel certifika ních služeb (certifika ní autorita). Jedná se o spole nost První certifika ní autorita, a.s. (www.ica.cz). Dalším subjektem, který usiluje o akreditaci je eská Pošta s.p. (www.postsignum.cz), která by m la za ít vydávat kvalifikované certifikáty do konce roku. První certifika ní autorita, a.s. za ala kvalifikované certifikáty vydávat 25.3.2002. Jedná se o dce inou spole nost PVT a.s.. Mezi její další akcioná e pat í nap . SOB, eská spo itelna, nebo Eurotel. Krom eské republiky p sobí tato spole nost také na Slovensku. Se statisíci vydaných (p evážn komer ních) certifikát je nejv tším tuzemským poskytovatelem certifika ních služeb. Její certifikáty lze získat v registra ních autoritách na všech pobo kách SOB. Mezi její produkty pat í všechny myslitelné druhy certifikát (osobní, serverové, komer ní, kvalifikované, hardwarové i softwarové) a asová razítka. Také jsou poskytovány testovací certifikáty. Jejich p ehled s cenami m žeme vid t v tabulce 1. Firma

Kvalifikovaný certifikát HW SW

Komer ní certifikát

1728K /1.rok 752 K www.ica.cz 752K /další

1556K /1.rok 580 K 580K /další

www 1. CA

HW

SW

asová razítka

Testovací certifikát Cena Dny

Individuáln . Zdarma

14

Server

1 931 K

tabulka 1 - Ceny služeb I.CA v etn 19% DPH

Všechny ceny v této tabulce jsou uvedeny v etn DPH a jsou za rok. Ceny v prvním roce u hardwarových certifikát zahrnují také ipovou kartu.

- 21 -


4.1.3 Další ve ejné CA Do této skupiny spadají certifika ní autority, které sice nemají akreditaci, ale nabízejí své certifika ní služby ve ejnosti. T chto spole ností je na trhu více než v p ípad první skupiny. P ehled cen jejich služeb je zpracován do tabulky 2 (je vynechán sloupec kvalifikovaný certifikát, nebo ho tyto firmy nenabízejí). U každé firmy je v tabulce odkaz na www stránky ze kterých byli erpány konkrétní informace. Firma

Komer ní certifikát

www

HW

SW

Czechia

190 + 1990 K

190 K

NE

www.caczechia.cz

AEC

NE

Zdarma

1 m síc

1 190 K

415 K / 1190 K

Zdarma

Zdarma

14

1 785 K

NE

550 K /1.rok 440 K / další

NE

Zdarma

1 m síc

1 850 K

NE

Do 31.12. Zdarma

NE

NE

NE

Individuál

NE

Individuál pouze zákazníci Globe

NE

www.postsignum.cz

Globe internet.

Server

Dny

ca.kpnqwest.cz

eská Pošta

Testovací certifikát Cena

www.trustport.cz

eIdenity

asová razítka

www.ca.cz

Zdarma - 2 m síce Pouze pro pouze ezákazníky mail servery.cz

tabulka 2 - Neakreditované CA

Projd me si tedy stru n jednu CA po druhé. Velice zajímavé ceny nabízí certifika ní autorita Czechia, ta má také pom rn široké portfolio služeb. Je dce inou spole ností známé brn nské firmy Zoner software. Nevýhodou oproti konkurenci je pouze neposkytování služeb TSA (Time Stamping Authority). Jako jediná z této skupiny také nabízí hardwarové ešení komer ního certifikátu pomocí USB tokenu iKey. Díky cenám, portfoliu služeb i profesionáln vyhlížející a p ehledné webové prezentaci by Czechia mohla být v p ípad akreditace velice dobrou alternativou I.CA (p íp. Postsignu). Bohužel se mi nepoda ilo zjistit, zda o akreditaci usiluje. Osobn se domnívám, že ne. K akreditaci je totiž z ejm t eba velkých finan ních prost edk (které zákon u kvalifikovaných certifikát vyžaduje). Sv d í o tom jak akreditace I.CA (za kterou stojí nap . SOB, S apod.), tak známé ucházení se o akreditaci postsignem ( eská pošta). Myslím, že i když je Zoner software s.r.o. dob e známá firma na eském IT trhu, nem že disponovat tak astronomickými prost edky jako výše zmín né banky, i pošta. Jsou to samoz ejm pouze spekulace, ale jsem p esv d en, že jestli se Czechia n kdy bude ucházet o akreditaci a možnost poskytovat kvalifikované certifikáty, bude se muset spojit s partnerem, který poskytne jednak pot ebné finan ní rezervy a také vybudovanou sí pobo ek (protože je pot eba fyzicky ov ovat identitu osob). Zatím ji trh k takovému kroku nenutí (o kvalifikované certifikáty je totiž zatím malý zájem). - 22 -

Bakalá ská práce

Ji í Horník

Druhou CA v tabulce 2 (po adí v tabulce je náhodné) je CA Trustport spole nosti AEC s.r.o. AEC je p ední spole ností na eském trhu bezpe nosti dat. Krom antivir a firewall renomovaných výrobc nabízí také originální ešení bezpe nostních algoritm . Zajímavá je také tím, že je dodavatelem ešení elektronických podatelen (www.epodatelny.cz). Jak vidíme v tabulce, Trustport nenabízí standardn HW ešení, ale oproti CA Czechia poskytuje službu TSA. Ceny jsou o n co vyšší, ale stále jsou konkurencí pro ICA. Cena 415 K odpovídá certifikátu class 2 (což jsou všechny ostatní srovnávané také). Za 1190 K m žeme dostat class 3 certifikát, který nabízí robustn jší bezpe nost zajišt nou v tší délkou klí e. Dále m žeme zdarma získat testovací certifikát (osobní i pro servery) na 14 dn . Webové stránky jsou podle mého názoru mén p ehledné než u konkurence. Naopak pom rn "user friendly" (až na ob asné nelogické provázání stránek odkazy) jsou stránky www.eIdentity.cz stejnojmenné CA. Majitelem této CA je firma eIdentity a.s.. EIdentity nahradila CA KPNQwest Czechia s.r.o.. Na trhu pat í spíše k dražším spole nostem. Postsignum eské pošty je žhavým adeptem na rozší ení trhu akreditovaných poskytovatel certifika ních služeb. Je evidentn zam eno na v tší firmy, které budou nakupovat certifikáty ve velkém. Smlouva p edpokládá vytvo ení jakýchsi oprávn ných osob, které budou komunikovat s CA a za izovat certifikáty podle jednotlivých politik pro ostatní zam stnance podniku. eská pošta má dobré p edpoklady k poskytování kvalifikovaných certifikát , protože má velký potenciál kontaktních míst (výhledov možná na každé pošt ). Také je p edpoklad, že takový ob í podnik disponuje dostate nými finan ními prost edky pro krytí p ípadné odpov dnosti za škodu. Je jen logické, že akreditaci usiluje. Globe internet obsadilo se svou certifika ní autoritou domény jako c-a.cz, certifikacniautorita.cz, resp. ca.cz. ekal bych proto velice aktivní p ístup k poskytování certifika ních služeb a snahu o jejich rozvoj. Pravdou ale je, že Globe internet je na pomezí, mezi ve ejnou a soukromou CA. Certifikáty jsou s výjimkou e-mailového (který je tak na úrovni testovacího certifikátu) vydávány pouze registrovaným klient m Globe internet resp. servery.cz. Systém úhrady služeb prost ednictvím kvót je pro lov ka "z venku" pon kud nepochopitelný. Na druhou stranu Globe poskytuje klient m možnost vytvo it vlastní certifika ní autoritu a vydávat vlastní certifikáty.

- 23 -


4.1.4 Soukromé CA Soukromých certifika ní autorit existují v R desítky až stovky. V podstat m že být takovou CA každý, kdo má pot ebné know-how (když jej nemá m že ješt využít n jaké nabídky jako nap . Globe internet). Pro velké a známé organizace je tato cesta levn jší, než po izování certifikát (nap . serverových) od externí certifika ní autority. Organizace zaru uje certifikáty svým jménem. Typické je, že tyto autority nevydávají certifikáty široké ve ejnosti. Nefungují jako na trhu jako komer ní subjekty. Certifikáty jsou vydávány pro pot eby organizace, nebo jejích partner klient apod. Soukromé CA jsou v tšinou provozovány univerzitami, provozovateli webhostingu a podobných služeb, nebo velkými podniky. Na trhu existují balíky pro CA management ( ízení certifika ní autority), není t eba vyvíjet pro každý subjekt p vodní ešení. P íkladem takového balíku je Secude CA management (http://www.uep.cz/products/pki/ca_management_c.php). Pro p íklad neve ejné certifika ní autority nemusím chodit daleko. Jedna taková je provozována p ímo na VŠE (ca.vse.cz). Zde jsou vydávány serverové certifikáty class 2 podle standardu X.509 verze 3. Dalším dobrým p íkladem m že být Komer ní banka a.s., která vydává svým klient m (podobn jako jiné banky) vlastní certifikáty. Rozdíl oproti jiným bankám je v tom, že KB se snaží, aby klienti mohli certifikáty použít i jinde. Tato strategie by mohla signalizovat, že KB bude v budoucnu usilovat o pozici na trhu certifika ních služeb.

- 24 -

Bakalá ská práce

Ji í Horník

4.2 Možnosti použití Možnostem použití elektronického podpisu se v nuji relativn nejpodrobn ji, nebo je spolu s nedostate ným pov domím ve ejnosti a po íta ovou (ne)gramotností považuji za základní limit rozší ení elektronického podpisu v eském prost edí. Teoreticky existuje pom rn mnoho t chto možností. To je umožn no zm nou legislativy, která v podstat zrovnopráv uje elektronický podpis s vlastnoru ním. Mohli bychom íct, že m žeme elektronický podpis všude tam, kde jsme doposud používali vlastnoru ní podpis. Teoretické možnosti jsou popsány v lánku [6]. Realita má ale r zná úskalí. V této kapitole se budu snažit popsat ty možnosti, které p ipadají v úvahu pro reálné využití. Základním pohledem bude pohled b žného ob ana (nepodnikatele), který zvažuje po ízení kvalifikovaného certifikátu. To by ale po et p íležitostí k využití elektronického podpisu podstatn snižovalo. Také proto, že i p es snahy vlády o opak, v této zemi existuje stále n kolik stovek tisíc podnikatel (resp. osob majících živnostenské oprávn ní), nesmíme opomenout ani pohled fyzické osoby - podnikatele ani firmy. Pokud nebude uvedeno jinak, budu p edpokládat využití kvalifikovaného certifikátu (I.CA). I když je pravdou, že n které možnosti dovolují použít i komer ní certifikáty, nebo naopak n kdy ani obecný kvalifikovaný certifikát nesta í. Možnosti použití jsem pro v tší p ehlednost rozd lil do t í skupin (podkapitoly 4.2.14.1.3). K tomu bych cht l poznamenat, že hranice mezi nimi nemusejí být p íliš ostré. Nap . podepisovat e-mail m že nepodnikatel, podnikatel i ú edník, ale tato možnost bude popsána pouze v jedné z kapitol.

4.2.1 Soukromé možnosti Tato podkapitola by spíše mohla nést název "soukromá možnost", než možnosti. V podstat jsem spadají vztahy, kde ob ma ú astníky jsou soukromé osoby. Mám na mysli podepisování a šifrování korespondence. Sice je to možnost jediná, ale obzvlášt z hlediska budoucnosti pom rn významná. Není tajemstvím, že p i sou asných protokolech internetu, které nemají implementovány žádné bezpe nostní mechanismy, není nejmenším problémem zfalšovat emailovou adresu odesílatele. Zatímco p i telefonování nám pom rn dob e poslouží íslo volajícího a v p ípad kdy se s ním známe i rozeznání jeho hlasu, v p ípad elektronické pošty není problém abychom dostali e-mail, který bude mít v hlavi ce libovolnou adresu. Nem žeme se samoz ejm spolehnout ani na jiný znak (písmo, obsah mailu apod.) Vzpomínám si na vlastní zkušenost z dob, kdy jsem toho o po íta ové bezpe nosti mnoho nev d l. Tenkrát mi p išel e-mail s .exe p ílohou. Samoz ejm jsem byl i tehdy opatrný a takový mail bych za normálních okolností nikdy neotev el (resp. jeho p ílohu). Jenže náhoda tomu cht la, že e-mail se rozesílal tak, že falšoval e-mailové adresy odesílatele. Z mého pohledu se jevil jako pošta od mého dobrého známého, který je navíc programátor. Kombinace tohoto faktu a sou asn mého podivného zatm ní mozku (vzkaz byl v angli tin ) zp sobila, že jsem si ekl: "Co to ten kluk zase naprogramoval". Pak už jen zbývalo p einstalovat Windows a být p íšt opatrn jší. Pokud by bylo zvykem podepisovat všechny e-maily tak jak je to b žné u klasických dopis , tento p íb h bych nemusel vypráv t, protože by se nestal. Ovšem je jasné, že - 25 -

Možnosti použití elektronického podpisu v R v roce 2004 podepisování veškeré korespondence je hudbou budoucnosti. Nicmén s tím, jak roste internet roste i po et lidí, kte í na n m cht jí vyd lat (n kdy etickým, ale asto také neetickým zp sobem). Takže stejn bude nutné hledat r zné bezpe nostní mechanismy, které p em ní internet ze sít založené na p edpokladu etického chování (to vyplývá z akademických ko en internetu) na sí odolnou proti realit dnešního sv ta. Další výhodou elektronického podepisování korespondence je neodmítnutelnost. Již v d ív jších kapitolách bylo zmín no, že zpráva kterou n kdo elektronicky podepíše je neomyln spojena s jeho osobou. Šifrování souvisí s elektronickým podepisováním tak, že se jedná (v p ípad RSA) o tentýž proces, jen s opa ným použitím klí . D vodem pro jeho použití jsou op t zejména nezabezpe ené protokoly sou asného internetu. Odposlechnout zprávu je sice složit jší, než zfalšovat e-mailovou adresu, ale existuje mnoho lidí, kte í to umí. Potom jde pouze o to jak moc si ceníte d v rnosti vaší korespondence. Samo podepisování a šifrování není nijak složité a nezabírá tém žádný as navíc (dv tla ítka v e-mailovém klientu). Z tohoto hlediska není d vod, pro by se nem lo využívat. Pro konkrétní postup viz p ílohu II. Soukromé možnosti využití dnes nejsou samy o sob d vodem k po izování certifikátu natož kvalifikovaného. Svou poštu m žeme zabezpe it podstatn levn ji nap . využitím PGP. Soukromé možnosti tedy nastupují ve chvíli, kdy už certifikát máme z jiného d vodu. Podobn lze uvažovat o podepisování jiných dokument nap . smluv, ale to už pat í do další kapitoly.

- 26 -

Bakalá ská práce

Ji í Horník

4.2.2 Komer ní Do této skupiny jsem za adil ty vztahy ve kterých jako jeden ze subjekt vystupuje n jaká korporace. Jde tedy o vztahy B2C a B2B. V této skupin je již více možností, než v p edchozí. Podíváme se postupn na jednu po druhé. 4.2.2.1 Elektronické bankovnictví Elektronické bankovnictví je pom rn široký pojem. Zahrnuje krom home bankingu a internet bankingu také GSM banking a phone banking. K tomu abychom mohli využít elektronického bankovnictví nepot ebujeme nutn po íta , ale sta í nám k tomu telefon (resp. mobilní telefon). P vodní široký pojem si dovolím zúžit pouze na první dva p ípady. Rozdíl mezi home a internet banking spo ívá v použití speciální aplikace v p ípad home bankingu, zatímco pro p ístup k internet bankingu sta í www prohlíže . Zdá se, že internetové bankovnictví je sou asným trendem. Sv d í pro to skute nost, že homebanking nabízí v R mén bank, než internet banking. Navíc všechny banky nabízející homebanking nabízejí také internetové bankovnictví. Dalším problémem home bankingu je, že komunikace neprobíhá p es TCP/IP, ale v tšinou jde o propojení modem-modem. To znamená, že aplikace se nep ipojuje p es stávající internetové p ipojení. Pokud tedy máte n jaké paušální p ipojení k internetu, nem žete jej využít (krom SOB HomeBanking 24)[28]. Vzhledem k jednoduchosti internetového bankovnictví a srovnatelné bezpe nosti obou ešení je trend ústupu home bankingu logický. U home bankingu je elektronický podpis v tšinou použit. Bezpe nost je dále ešena pomocí symetrického šifrování, p istupováním jménem a heslem do aplikace a také vylou ením internetu. Problémem z stává to, že banky v tšinou akceptují pouze své certifikáty. Jen SOB využívá certifikát I.CA (protože je jejím vlastníkem). Výhoda tohoto ešení z stává zachována pro firmy, nebo software pro home banking disponuje rozhraním pro napojení do ekonomického systému firmy. Jinak je home banking na ústupu ve prosp ch internetového bankovnictví. Služby internetového bankovnictví jsou ur ené nejširší ve ejnosti. Výhody jsou p edevším v použití pouze prohlíže e na stran klienta a využití internetu jako p enosového kanálu. Bezpe nost je obecn zajišt na SSL, osobním certifikátem a systémem uživatelské jméno/heslo, nebo PINem. Zajímavá je také možnost zasílání unikátního klí e pro každou transakci p es SMS. Problém zde z stává stejný jako u home bankingu, každá banka vydává své vlastní certifikáty. U v tšiny bank je možné si aplikace vyzkoušet na demonstra ních stránkách. Elektronické bankovnictví je velmi pohodlnou aplikací. Usnad uje život klient m bank a samotným bankám šet í náklady. Z našeho hlediska (hledáme využití pro kvalifikovaný certifikát) není bohužel p íliš významné, nebo každá banka akceptuje pouze vlastní certifikáty. Obávám se, že ani do budoucna se tato situace p íliš nezm ní. I když bankám v principu nic nebrání akceptovat certifikáty r zných autorit. To, že by banka uznávala certifikáty více (nap . všech akreditovaných certifika ních autorit) je spíše zbožné p ání. Na druhou stranu banky vydávají své certifikáty asto zdarma, nebo je cena zahrnuta ve z izovacím poplatku k dané služb . 4.2.2.2 Komunikace se zdravotní pojiš ovnou V této podkapitole se budu v novat p evážn aplikaci Portál zdravotních pojiš oven (PZP). Jde o projekt nejv tších eských zdravotních pojiš oven (CNZP, OZP, ZP Škoda,

- 27 -

Možnosti použití elektronického podpisu v R v roce 2004 RBP, ZP metal aliance). Krom PZP lze ješt využít certifikát I.CA pro komunikaci s VZP a Hutnickou zam stnaneckou pojiš ovnou, které eší svou komunikaci odd len od portálu ZP. Portál je ur en pro léka e a zdravotnická za ízení stejn jako pro zam stnavatele a zam stnance. Pro komunikaci je vyžadován kvalifikovaný certifikát I.CA a registrace do portálu. Možnost využití se liší podle vztahu k ZP. Nejmenší má pojišt nec, který prost ednictvím portálu m že pouze posílat obecná podání pojiš ovnám. Naopak nejširší má léka , což odpovídá i tomu, že léka i komunikují se ZP nej ast ji (zasílání faktur apod.). Funkce portálu je možno si vyzkoušet prost ednictvím demonstra ních stránek. Obecná podání lze také posílat e-mailem na adresy elektronických podatelen (lze zasílat podepsané i bez podpisu). P edpokládám, že funkce portálu i po et zú astn ných pojiš oven se budou rozši ovat (nap . klient bude moct zkontrolovat, kte í léka i zasílali faktury na jeho ú et apod.). Potom by tato aplikace byla velmi užite ná. Pro používání portálu VZP m žeme využít kvalifikovaný certifikát I.CA pro podepisování a komer ní certifikát pro p ístup k portálu. Portál nabízí r zné funkce, uživatelé jsou rozd leni do skupin podobn jako u PZP, ale funkcí je dostupných více. Pro více informací odkazuji na www.vzp.cz. Nejlépe vy ešena je podle mne elektronická p epážka HZP ke vstupu sta í komer ní certifikát CA Czechia, který HZP nabízí svým klient m zdarma. M žeme také využít kvalifikovaný certifikát I.CA, který klienti HZP získají za zvláštní cenu, nebo certifikáty Komer ní banky a autority Trustport. Vstup je dále chrán n p ístupovým jménem a heslem. Portál je p ehledný, jednoduchý a nabízí mnoho užite ných funkcí i pro pojišt nce. Ze všech portál zdravotních pojiš oven p sobí nejvíce d v ryhodným dojmem. 4.2.2.3 Registrovaná elektronická pošta REP je obdobou elektronické doporu ené zásilky. Odesílatel i adresát mají u eské pošty, která tuto službu poskytuje, z ízené elektronické schránky. Odesílatel vloží zásilku do své schránky (prost ednictvím software) a ta je doru ena do schránky adresáta. Je vytvo ena jakási doru enka. Všechny stavy kterými zásilka prochází jsou evidovány. Systém zajiš uje d v rnost, integritu i nepopiratelnost zprávy. Zásilka je opat ena také asovými razítky. Je založen na certifikátech Postsignum (pro p ístup do P.O.boxu). Pro podepisování doru enek je také možné využít kvalifikované certifikáty. Služba je poskytována v n kolika variantách, které se liší po tem uživatel , možnostmi integrace s jinými systémy a samoz ejm cenou. Ceny se pohybují v ádech tisíc korun ro n v závislosti na variant služby. Nevýhodou oproti b žnému e-mailu, který je podepsaný a zašifrovaný, je to, že zásilku je možné poslat pouze dalším uživatel m REPu. Proto se nep edpokládá, že by tuto službu využíval b žný ob an. Využití (i vzhledem k cen ) p ipadá v úvahu pro firmy, které opakovan posílají elektronické zásilky stejným partner m s nimiž si používání REPu domluvili. 4.2.2.4 Cenné papíry Do této podkapitoly jsem za adil t i aplikace kterým se chci v novat spíše okrajov . Jedná se o korespondenci s Komisí pro cenné papíry (KCP), výpis z registru emitenta St ediska cenných papír (SCP) a systém I-zákazník RM systému (RMS).

- 28 -

Bakalá ská práce

Ji í Horník

V p ípad KCP je ešení opravdu jednoduché. Jde o zasílání elektronické pošty na adresu [email protected]. Zejména u povinných hlášení, které jsou podány elektronickou poštou je vyžadován podpis založený na kvalifikovaném certifikátu I.CA. Pokud není podání takto podepsáno, vyžaduje se ješt listinná podoba. SCP nabízí prozatím jedinou službu s využitím certifikátu I.CA. Jedná se o výpis z registru emitenta. Portfolio služeb poskytovaných s využitím certifikátu I.CA bude SCP dále rozši ovat. Spole nost RM-Systém a.s. nabízí svým klient m n kolik možností jak obchodovat p es internet. První možností je status W-zákazníka. Ta nás ale nezajímá, protože bezpe nost této služby je ešena unikátním sms klí em pro každou transakci. Zajímav jší je pro nás I-zákazník. Ten se od W-zákazníka liší tím, že nepracuje s webovým rozhraním, ale s aplikací, kterou si instaluje do po íta e. Pro zadávání obchod je využit certifikát, který je zákazníkovi vydán p i registraci. Podrobn jší informace jsou k dispozici na: http://www.rmsystem.cz/inf/inf_zakint.asp.

- 29 -


4.2.3 Ve ejnoprávní Do skupiny ve ejnoprávních možností využití jsem za adil ty ve kterých na jedné stran vystupuje stát. Jedná se o vztahy B2G (business to government) a vztahy, které bychom mohli analogicky pojmenovat jako C2G (vztahy ob an-stát). Toto ozna ení se však b žn nevyužívá. Nejp esn jší z ejm bude, když tyto možnosti pojmenujeme jako e-government. Tedy jako elektronická státní správa. Pro nás jsou aplikace e-governmentu ve kterých je využit zaru ený elektronický podpis založený na kvalifikovaném certifikátu nejd ležit jší. Z hlediska rozší ení elektronického podpisu mohou být zásadním impulsem, který rozhýbe trh. Jak jsme vid li v p edchozí podkapitole, komer ní subjekty asto vydávají certifikáty, které nejsou jinde použitelné. D lají to i p es to, že by pro n z technického hlediska nebyl problém akceptovat více certifikát najednou. K tomu ale z ejm bude t eba v tšího tlaku ve ejnosti, která bude chtít za certifikát zaplatit pouze jednou a využívat jej na veškeré elektronické podepisování. V tšina aplikací e-governmentu je nyní využívána firmami. Je to naprosto logické, protože firmy mají s ú ady relativn astý a pravidelný styk, který v tšinou vyplývá ze zákona. Podnikatel u iní b hem roku n kolik podání na ú ad, zatímco b žný ob an se snaží styku s ú ady vyhýbat. Je jasné, že náklady na kvalifikovaný certifikát se podnikateli spíše vrátí. Aby byl však tento proces k n emu, musí být podnikateli postupn elektronicky zp ístupn ny všechny agendy. Podívejme se tedy nyní konkrétn , jaké aplikace již fungují a jaké jsou plánovány. 4.2.3.1 Portál ve ejné správy Na adrese http://www.portal.gov.cz nalezneme užite nou aplikaci, která pomáhá ob an m orientovat se v asto nep ehledné komunikaci. Portál obsahuje platnou legislativu, adresy ú ad a také velmi užite nou sekci, která radí v konkrétních situacích. Nás ale z celého portálu nejvíce zajímá sekce "podání". V ní jsou shromážd ny informace o elektronických službách poskytovaných ve ejnou správou. V budoucnu by m lo být možno ke všem aplikacím p istupovat p es PVS (portál ve ejné správy). Ten se stane centrálním místem, kde bude docházet k elektronickému styku osob s ve ejnou správou. V sou asné dob je však aplikace elektronická podání v pilotním provozu a jeho služby jsou dostupné pouze vybraným subjekt m. 4.2.3.2 Elektronické podatelny Další možností jak komunikovat z ve ejnou správou na obecné úrovni jsou elektronické podatelny. Každý ú ad by m l na adrese posta@domena_uradu.cz p ijímat elektronicky podepsané zprávy. Ú ady také musí být schopny odpov d t na takové podání resp. potvrdit jeho p ijetí. Tato odpov musí být ú adem elektronicky podepsaná. Podle pr zkumu SÚ z února 2004 nabízí elektronické podatelny na svých webových stránkách 100% krajských ú ad , 85% orgán úst ední státní správy a 72% obcí s rozší enou p sobností. Podatelna v tšinou spo ívá v uve ejn ní e-mailové adresy na kterou je možno zaslat dopis, p ípadn kontaktní formulá , který je možné vyplnit. Existují softwarové balíky, které tyto innosti podporují. P íkladem m že být podatelna Trustport, zmín ná v jedné z p edchozích kapitol. Na e-podatelnu je tedy možné zasílat jakákoli podání. Elektronický podpis je vyžadován pouze v p ípad , že by p i stejném podání provedeném "papírovou" cestou byl požadován - 30 -

Bakalá ská práce

Ji í Horník

podpis vlastnoru ní. Ú ady musí tyto v ci vy izovat stejným zp sobem jako by byly podány na papí e. 4.2.3.3 Ministerstvo financí Obzvlášt pro firmy jsou e-agendy ministerstva financí nejzajímav jší aplikací. Za rok 2003 bylo u in no p es 4000 podání k r zným daním elektronicky. Je také nutné po ítat s tím, že nap . ú etní firmy mohou elektronicky podat více p iznání najednou. Takže skute ný po et elektronických da ových p iznání m že být v tší. Aplikaci Elektronická podání pro da ovou správu nalezneme na adrese http://adis.mfcr.cz/adis/jepo/index.html. Aplikace umož uje zpracovat p iznání on-line, nebo do ní lze importovat údaje z jiných systém . K tomuto ú elu je zve ejn na struktura v jaké jsou data p ijímána. Dále provádí automatickou kontrolu, která okamžit odhalí formální chyby. Nejprve musíme v menu podání vybrat druh písemnosti, který chceme vytvo it. K dispozici jsou následující: •

DPH

•

Da z p íjmu fyzických a da z p íjmu právnických osob.

•

Da z nemovitosti

•

Da silni ní

•

Oznámení a obecné podání

Dále si vybereme, zda chceme zpracovat on-line formulá , nebo vložit data ze souboru. Po vypln ní on-line formulá e m žeme nejprve údaje zkontrolovat a dopo ítat ty, které se po ítají automaticky. Podání lze pak uložit a dopravit ho správci dan libovolným zp sobem (e-mail, disketa), nebo jej m žeme podat on-line. On-line podání je umožn no jak se zaru eným podpisem tak bez n ho (v tom p ípad musí být ješt podání dopraveno na ú ad vytišt né s vlastnoru ním podpisem). S aplikací m žeme pracovat také off-line, pokud si ji k tomuto ú elu nainstalujeme. Do p sobnosti ministerstva financí pat í také elektronické celní ízení. Tato aplikace je ur ena celním deklarant m, kte í ji hojn využívají. Dle statistik uve ejn ných na www.cs.mfcr.cz/ECR po ty p enesených soubor neustále rostou. Pro ECR je možné využít komer ní, nebo kvalifikovaný certifikát I.CA. 4.2.3.4 Ministerstvo práce a sociálních v cí M že se zdát trochu paradoxní, že ministerstvo práce a sociálních v cí má takto propracovaná elektronická podání. V tšinou se totiž jedná o žádosti o dávky státní sociální podpory. Paradox spo ívá v tom, že u lidí, kte í o podobné dávky musí žádat lze jen t žko po ítat s tím, že mají po íta p ipojený na internet, nebo dokonce že by každý rok platily za kvalifikovaný certifikát. Nicmén MPSV je evidentn pokrokový orgán, který chce jít s dobou. Snad se asem najdou uživatelé t chto aplikací. Dlužno íci, že n které aplikace jsou z ejm užite né nap . r zná potvrzení, která nám mohou být vystavena elektronicky a která musí n kte í ob ané nosit na ú ad. Nap . elektronické potvrzení o studiu bych osobn velmi ocenil. Bohužel bych ale stejn musel do školy pro papírové, nebo potvrzení je možné zaslat vybraným ú ad m, ale ne do banky, dopravních podnik apod. - 31 -

Možnosti použití elektronického podpisu v R v roce 2004 Myslím, že nyní nebude až tak ú elné vyjmenovávat o co všechno m žeme žádat. P ípadní zájemci najdou seznam formulá na http://forms.mpsv.cz. Formulá e m žeme nejen on-line posílat, ale také vytisknout opat it vlastnoru ním podpisem a doru it osobn , což nám také ušet í alespo cestu pro samotný formulá . 4.2.3.5 Ministerstvo spravedlnosti Ministerstvo spravedlnosti vy ešilo celou v c docela šalamounsky. Sice poskytuje možnost žádat o výpis z rejst íku trest elektronicky. Samoz ejm se zaru eným elektronickým podpisem. Ovšem zárove s tím v pom rn dlouhém textu uvádí, že žádné takové žádosti není možno vyhov t, protože na základ kvalifikovaného certifikátu není možné osobu jednozna n identifikovat. Ministerstvo doufá, že tento legislativní nedostatek bude brzy odstran n a že bude moci za ít žádostem vyhovovat. 4.2.3.6 eská správa sociálního zabezpe ení Zákon nov ukládá firmám odevzdávat eské správ sociálního zabezpe ení tzv. Eviden ní listy d chodového pojišt ní za všechny své zam stnance jedenkrát ro n . Aby bylo možné takové množství písemností zpracovat (dle [29] se jedná cca o 3,5 mil. tiskopis navíc) p istoupila SSZ k vytvo ení možnosti podávat ELDP elektronicky. Na internetových stránkách http://www.cssz.cz jsou k dispozici PDF obrazy formulá , které m žeme vyplnit a dopravit na p íslušný ú ad fyzicky. Zajímavé je to, že SSZ nebude mít aplikaci ve které by se formulá e on-line zpracovávali. Dala se cestou zve ejn ní formátu dat, který bude p ijímat a doufá, že tuto podporu zapracují výrobci ekonomického softwaru do svých produkt . Potom by m lo být možné vyexportovat ELDP a dopravit ho na SSZ bu fyzicky (na disket ), nebo on-line p es portál ve ejné správy. Nevím, jak chce SSZ motivovat lidi, aby jí dodávali ELDP v této podob , když to pro n bude znamenat po ízení minimáln aktualizací jejich softwaru. Další problém, zmín ný v [29] je to, že portál ve ejné správy z ejm nebude provád t kontrolu dat a ta bude p enechána k vy ešení výrobc m softwaru. Organizace musí pov it pracovníka, který bude za ELDP odpov dný (to m že delegovat i na externí subjekt). Ten musí být vybaven kvalifikovaným certifikátem, nebo certifikátem SSZ - ešení pro subjekty, které nemají kvalifikovaný certifikát (vydán zdarma na t i roky). Pracovníka pak musí zaregistrovat na p íslušné správ sociálního zabezpe ení. Krom této možnosti by m l být v budoucnu umožn n p ístup do registru pojišt nc a do individuálních kont pojišt nc na základ elektronického podpisu. Samoz ejm také m žeme využít e-podatelny. 4.2.3.7 Další možnosti Z dalších aplikací, kde se bude elektronický podpis využívat jmenujme projekt E-vláda, který má za cíl efektivn jší využití informa ních technologií p i innosti vlády. Vzhledem k tomu, že se týká vládních dokument a ne ob an z stanu pouze u jeho zmín ní. Další aplikací, která stojí za zmínku je nahlížení do katastru nemovitostí. To je http://www.cukz.cz k dispozici i bez elektronického podpisu, v tomto p ípad není možné po izovat výpisy z katastru. K tomu slouží aplikace "dálkový p ístup". Jedná se o placenou službu pro registrované uživatele. P i komunikaci jsou využívány certifikáty I.CA.

- 32 -

Bakalá ská práce

Ji í Horník

S použitím elektronického podpisu se ješt po ítá v oblasti archivování písemností v elektronické podob . Tato problematika však již p esahuje rámec této práce.

- 33 -


5 Postup p i zavád ní elektronického podpisu v R 5.1 Historie EP v R Principy elektronického podpisu byli v r zných aplikacích v R využívány již od konce devadesátých let. M žeme íci, že pr kopníky v této oblasti byly p edavším banky, které za ali poskytovat služby p ímého bankovnictví. V t chto službách byly využívány komer ní digitální certifikáty a totožnost uživatele byla ov ována práv mechanismy elektronického podpisu. V této dob se již také za ali využívat serverové certifikáty (v kombinaci nap . s SSL) k bezpe nému p ístupu k n kterým službám. K zajišt ní t chto aplikací mohli být využity soukromé certifika ní autority, ale vznikali i první subjekty poskytující certifika ní služby jiným subjekt m. Nap . PVT, z n hož se v roce 2001 odšt pila První certifika ní autorita. Vztahy mezi angažovanými subjekty však mohli být v t chto "pionýrských" dobách upraveny pouze na základ smluv. Subjekty, které cht li elektronicky komunikovat, si tak musely smluvn vymezit všechny možné podmínky. Uzav ení takové smlouvy byl pom rn náro ný proces, který vyžadoval pom rn rozsáhlé know-how v dané oblasti. Je nasnad , že nap . pro banku není až takový problém, zajistit konzulta ní firmu, která smlouvy p ipraví. Co má ale d lat malý podnik, nebo dokonce fyzická osoba? Další nevýhodou ešení tohoto problému smlouvami je to, že smlouvy platí vždy jen mezi smluvními stranami. lov k by tedy musel uzavírat pro každé použití elektronického podpisu zvláštní smlouvy. To samoz ejm zna n limitovalo možnosti použití. Ty spo ívali pouze v p ípadech, kdy byli mezi danými subjekty provád ny transakce opakovan . Odborná ve ejnost si za ala uv domovat první bariéru masového rozší ení elektronického podpisu - bariéru legislativní. Vznikla pot eba vytvo it zákon, který by elektronický podpis zrovnoprávnil s vlastnoru ním podpisem a umožnil tak jeho univerzální použití. Zákon byl p ipraven odborníky v roce 1999 a do legislativního procesu vstoupil 8.11.1999, kdy ho Vladimír Mlyná p edložil poslanecké sn movn . Legislativní proces trval p ibližn jeden rok a skon il 1.10.2000, kdy vstoupil v platnost zákon 227/2000 o elektronickém podpisu a zm n n kterých dalších zákon ze dne 26.7.2000. P ibližn o rok pozd ji (10.10.2001) nabyla ú innosti vyhláška 366/2001 ú adu na ochranu osobních údaj , která konkretizovala požadavky na poskytovatele certifika ních služeb stejn jako na technické prost edky používané jak PCS tak uživatelem p i vytvá ení a ov ování EP. Postupem asu se objevila ada nedostatk , které zákon ve své první verzi m l. P vodní zákon byl v roce 2002 dvakrát novelizován. A to zákonem 226/2002 ze dne 4.6.2002 a 517/2002 ze 14.11.2002. První novela ešila mén podstatné záležitosti (nap . nutnosti využívání kvalifikovaných certifikát od akreditovaných PCS v oblasti orgán ve ejné moci). Druhá novela p enesla pravomoc dozoru nad PCS z Ú adu pro ve ejné informa ní systémy na nov z ízené Ministerstvo informatiky. Zákon však m l stále zna né v cné nedostatky. Ty byly identifikovány v bílé knize elektronického obchodu z kv tna 2003. Jednalo se zejména o nekompatibilitu s právem EU, absenci úpravy asových razítek, absenci pojmu tzv. elektronických zna ek a nemožnost

- 34 -

Bakalá ská práce

Ji í Horník

používat zahrani ní certifikáty. Vláda vzala bílou knihu na v domí a uložila ministru Mlyná ovi p edložit do konce roku 2003 novelu, která tyto problémy eší. Tato novela byla provedena zákonem 440/2004 Sb. a nabyla ú innosti 1.10.2004. eší všechny podstatné problémy identifikované v Bílé knize. Navíc odd luje držitele certifikátu a podepisující osobu, což eší problém v p ípad , kdy držitelem je nap . právnická osoba za kterou podpis vždy vytvá í konkrétní osoba fyzická. Prozatím se tedy zdá legislativní bariéra rozší ení elektronického podpisu vy ešena. Je ovšem nutné po ítat s tím, že vn jší prost edí se neustále vyvíjí a mohou se objevit nové problémy, které budou vyžadovat další úpravy legislativy. M žeme jen doufat, že závažné problémy nebudou identifikovány p íliš brzy a že legislativa bude reagovat na nové požadavky velmi pružn . Dalším d ležitým historickým milníkem je ud lení první akreditace poskytovateli certifika ních služeb, kterou získala 1.CA 18.13.2002. Tím byla spln na nutná podmínka komunikace se státní správou. Jak vidíme historie elektronického podpisu v R je již relativn dlouhá. P estože n které významné kroky byly již u in ny ješt zbývá mnoho práce do budoucnosti.

- 35 -


5.2 Budoucnost EP v R Jak jsem napsal na konci p edešlé kapitoly, zbývá eské republice ješt pom rn mnoho práce, abychom se dostali k cíli, kterým by m la být integrace elektronického podpisu do reality b žného života. Nechci v této kapitole hled t do p íliš vzdálené budoucnosti, nebo ta bývá asto velice nevyzpytatelná. Úvahy o elektronických podpisech založených na principech biometrie, nebo o identifika ních pr kazech ve form jakýchsi "smart cards" jsou prozatím p íliš vzdálené na to, aby mohli mít konkrétní podobu. P enechám je proto zatím autor m sci-fi. Budu se zde v novat spíš bližší budoucnosti (horizont n kolika let), ve které nás eká n kolik zajímavých v cí. Po odstran ní legislativních p ekážek, jehož sv dky jsme práv v této dob (novelizace ZoEP, podzim 2004) zbývá ješt n kolik dalších bariér. Pokud jde o cenu, zde se názory pon kud liší. Podle jednoho názoru cena v blízké budoucnosti klesne v d sledku akreditace dalších subjekt . Osobn se spíše p ikláním k druhému názoru. Vzhledem k cenám certifika ních služeb v Evrop (class 2 certifikát za íná cca od 20 /rok - nap . http://www.globalsign.net/) se ceny služeb v R závratn nesníží. Náklady firem na získání akreditace, stejn jako hrozbu vzniku odpov dnosti za škodu bude nutné pokrýt vyšší cenou kvalifikovaných certifikát . M lo by dojít spíše k tomu, aby se držba certifikátu jeho držiteli vyplatila i p i cen okolo 500 K /Rok. Musí tedy docházet k neustálému zvyšování možností použití. To by m l zprvu iniciovat stát, zkvalitn ním komunikace se státní správou. Teprve po získání ur itého po tu držitel nastoupí s vytvá ením možností použití soukromý sektor. Pokud jde o vstup nových akreditovaných CA, m li bychom se v blízké budoucnosti n jakého do kat. Netroufám si však odhadnout kolik CA se na relativn malém eském trhu dokáže prosadit. Zajímavou možností z hlediska konkurence je využití certifikát zahrani ních certifika ních autorit. Do konce roku 2004 bychom se m li do kat minimáln jednoho dalšího poskytovatele. Na poli aplikací (možností použití) je z hlediska budoucnosti velice významná povinnost obcí z ídit elektronickou podatelnu. Také projekt MI R e-podpis obcím by m l relativn brzy p inést konkrétní výsledky. V blízké budoucnosti dojde k významnému rozší ení elektronických podání orgán m státní správy (e-agend). Bude rozši ována aplikace podání na portálu ve ejné správy apod. V oblasti po íta ové gramotnosti a popularizace informatiky by stát m l rovn ž hrát i nadále velkou roli. Krom probíhajících program po íta ové gramotnosti bude z ejm také kladen d raz na informování ob an o možnostech nejen elektronického podpisu. Ke zvýšení d v ry ve ejnosti v systémy tzv. e-agend rovn ž p isp je zavedení možnosti podání "nane isto" na jehož pot ebu odborníci poukazují. Na záv r této subkapitoly si dovolím malou p edpov . Myslím, že elektronický podpis v eské republice eká nesporn sv tlá budoucnost. K této "v štb " ale musím p ipojit malou výhradu: T žko íct, kdy se to stane a v jaké podob se elektronický podpis prosadí. Myslím si však, že když stát splní svou roli iniciátora a moderátora tohoto procesu, mohla by ona sv tlá budoucnost (v podob masového rozší ení) nastat relativn brzy. Možná již b hem n kolika p íštích let.

- 36 -

Bakalá ská práce

Ji í Horník

6 Zhodnocení

- 37 -


7 Zdroje [1]

I.CA: Principy šifrování, http://www.ica.cz/principy_sifrovani.html

[2]

Wikipedia, http://www.wikipedia.org

[3]

Aktuality FITPRO 08/2004, http://www.hkcr.cz/soubor.aspx?id=1081

[4]

Zákon 227/2000 sb., o elektronickém podpisu, http://www.micr.cz/files/1540/UZ-227_2000.pdf

[5]

Sm rnice 1999/93/EC, http://www.ict.etsi.org/EESSI/Documents/e-sign-directive.pdf

[6]

K emu je e-podpis?, www.kr-vysocina.cz/soubory/450008/procelpodpis.doc

[7]

Peterka J.: Kdy bude elektronický podpis? http://www.earchiv.cz/b00/b0210001.php3

[8]

Matyska L.: Je internet opravdu k ni emu?, http://www.ics.muni.cz/bulletin/issues/vol07num05/matyska/matyska_6.html

[9]

Vondrák I.: Jak funguje elektronický podpis, http://www.geocities.com/epodpis/epfunkce.htm

[10]

The international PGP home page, http://www.pgpi.org/

[11]

RFC3280: X.509, http://rfc.net/rfc3280.html

[13]

RFC1321: MD5, http://rfc.net/rfc1321.html

[14]

PUB 180-1: SHA-1, http://www.itl.nist.gov/fipspubs/fip180-1.htm

[15]

RFC2437: RSA cryptography spec. Ver. 2 - http://rfc.net/rfc2437.html

[16]

FIPS 186-2: Specifikace DSA, http://csrc.nist.gov/publications/fips/fips186-2/fips186-2-change1.pdf

[17]

RFC3161: TSP, http://rfc.net/rfc3161.html

[18]

ETSI Time stamping profile, http://docbox.etsi.org/EC_Files/EC_Files/ts_101861v010201p.pdf

[19]

Úvod k EESSI, http://www.ict.etsi.org/EESSI_introduction.htm

[20]

Záv re ná zpráva EESSI, http://www.ict.etsi.org/EESSI/Documents/Final-Report.pdf

[21]

Peterka J.: Elektronický podpis, verze 2.0 http://www.earchiv.cz/b03/b0822001.php3

[22]

Bílá kniha elektronického obchodu, http://www.micr.cz/files/274/Bila_kniha.pdf

[23]

Vyhláška 366/2001, http://www.micr.cz/files/565/366_2001.pdf

[24]

Výklady k vyhlášce 366/2001, http://www.micr.cz/scripts/detail.php?id=565

[25]

Stránky MICR, sekce e-podpis, http://www.micr.cz/epodpis/default.htm

[26]

Na ízení vlády 495/2004, http://www.micr.cz/images/dokumenty/e-podatelny.htm

[27]

Bezpe nost p edevším - použití SSL, http://interval.cz/clanek.asp?article=1241 - 38 -

Bakalá ská práce [28]

Ji í Horník

Nový, K.: Homebanking na tisíc zp sob , http://www.mesec.cz/clanky/home-banking-na-tisic-zpusobu/

[29]

Peterka, J.:Budou ELDP killer aplikací e-podpisu? http://www.lupa.cz/clanek.php3?show=3423

- 39 -


8 P íloha I - Získání e-podpisu V této p íloze si popíšeme postup jakým se certifikát získá. Nejde o nic složitého, ale je dobré v d t jaké kroky nás ekají. P edpokládejme, že chceme získat kvalifikovaný certifikát. To nám zna n usnadní práci p i výb ru certifika ní autority, nebo akreditovaná certifika ní autorita je zde pouze jedna. Budeme získávat certifikát typu Standard, tedy bez využití ipové karty. Tato volba není náhodná, nebo se jedná o certifikát, který nám zp ístupní všechny možnosti použití, ale zárove jde o levn jší verzi kvalifikovaného certifikátu. P edpokládám, že tato volba bude nej ast jší mezi ob any, kte í by cht li elektronicky komunikovat s orgány ve ejné správy. Tento postup budu popisovat bez p ímé praktické zkušenosti, protože cena certifikátu je nad mé sou asné možnosti. Chyb jící praktickou zkušenost se pokusím áste n vynahradit zkušeností se získáním testovacího certifikátu. Poskytovatele služby a typ certifikátu máme již vybrané. P ejdeme tedy k následujícímu kroku, kterým je vypln ní žádosti. Ješt p ed tím však musíme zkontrolovat konfiguraci našeho po íta e. I.CA vyžaduje Windows 95 a vyšší s Internet Explorerem 5.0 a vyšším - což jsou požadavky, které spl uje v tšina domácích po íta . P ed vypln ním žádosti musíme také nainstalovat ko enový certifikát CA pro správný typ certifikát . Pro oblast kvalifikovaných certifikát získáme ko enový na adrese: http://www.ica.cz/zisk.kva.standard.html v bod 1 klepnutím na tla ítko "instaluj". Soubor uložíme na disk a poklepáním otev eme. Klepnutím na tla ítko "nainstalovat certifikát" je daný ko enový certifikát nainstalován. Následuje vypln ní a generování žádosti o certifikát. Pozor, žádost musí být vygenerována na PC ze kterého budeme chtít certifikát používat. Do on-line formulá e vyplníme naše jméno, adresu, e-mailovou adresu pro kterou budeme certifikát využívat a heslo pro zneplatn ní certifikátu. Po vytvo ení žádosti systém vytvo í náš privátní klí a uloží jej v po íta i. Vygenerovanou žádost uložíme na disketu a navštívíme s ní kontaktní pracovišt , neboli registra ní autoritu. Pracovišt registra ních autorit jsou umíst na na pobo kách SOB, nebo pracovištích PVT a jejich seznam je na adrese: http://www.ica.cz/kontakty1.html. Na t chto pobo kách nám ov í žádost a naší identitu. K tomu jsou vyžadovány dva doklady: Ob anský pr kaz + doklad, který obsahuje celé naše ob anské jméno a k tomu bu fotografii, datum narození, rodné íslo, nebo adresu trvalého bydlišt . Druhým dokladem m že být nap . idi ský pr kaz, nebo pas. Pokud vše souhlasí, vydá nám registra ní autorita náš certifikát (na disket ). Ten doma zazálohujeme, nainstalujeme do aplikací a používáme. Použít jej m žeme krom elektronického podepisování také k šifrování.

- 40 -

Bakalá ská práce

Ji í Horník

9 P íloha II - Použití e-podpisu v e-mailovém klientovi Pro popis konkrétního postupu jsem si vybral aplikaci Outlook Express verze 6. Jednak proto, že je to velmi rozší ený e-mailový klient a také proto, že jej sám používám a mám ho nainstalovaný na svém PC. P edpokládám, že jsme si nyní p inesli certifikáty z registra ní autority na disket . Pokud máme z ízeno více poštovních ú t , musíme certifikát p i adit k tomu z nich, který má stejnou e-mailovou adresu jako jsme uvedli na naší žádosti. Nastavení provedeme v menu Nástroje -> Ú ty -> Pošta -> Daný ú et -> Vlastnosti -> Zabezpe ení, kde zvolíme certifikát pro šifrování i pro digitální podepisování. Systém nám nabídne pouze certifikáty s odpovídající e-mailovou adresou.1 Nyní je certifikát kompletní a doporu uje se provést jeho zálohu v etn zálohy dat pro vytvo ení podpisu (privátního klí e), nebo ta jsou v tuto chvíli pouze v úložišti na našem PC. Zálohování m žeme provést bu to na disketu, nebo nap . vyexportovat certifikát i se soukromým klí em na pevný disk a vypálit na CD (což je podle mne bezpe n jší, ale jedná se o zdlouhav jší zp sob). Pokud zálohu nemáme a p ijdeme o privátní klí , musíme si zažádat o certifikát znovu a znovu ho také zaplatit. Zálohujeme takto: V MS Internet Exploreru -> Nástroje -> Možnosti Internetu -> Obsah -> Certifikáty -> Daný certifikát -> Exportovat. Spustí se pr vodce exportem. Zvolíme možnost "Ano, exportovat i soukromý klí ". Dále doporu uji zahrnout všechny certifikáty na cest k našemu certifikátu a ochránit soukromý klí heslem. Potom již sta í pouze zvolit, kam se má záloha vyexportovat a dané médium odpovídajícím zp sobem uschovat. Tato záloha nám umožní obnovit náš certifikát nap . po obnov opera ního systému, nebo jej instalovat na jiné po íta e. Samotné podepsání zprávy je velice jednoduché: P i tvorb nové zprávy sta í kliknout v horní lišt na tla ítko podepsat a o zbytek se postará systém. Pozor: zpráva v tuto chvíli není zašifrována, pro šifrování je nutné mít nainstalovaný certifikát p íjemce a klepnout na tla ítko šifrovat. Certifikát si m žete stáhnout od CA p íjemce, nebo ho získáte tak, že vám p ed tím p išla od p íjemce zpráva podepsaná pomocí daného certifikátu. Ov ení podpisu probíhá v e-mailovém klientovi také automaticky. Dostaneme od n j zprávu podepsáno a ov eno. Ješt musí být provedena kontrola CRL. Tu m žeme provést ru n , ale pohodln jší je ji nechat vykonat klienta. Nastavení je následující: Nástroje -> Možnosti -> Zabezpe ení -> up esnit -> Kontrola odvolání -> pouze p i práci on-line. Pokud p íjemce zprávy nepoužívá e-mailového klienta, ale p istupuje k webu p es www rozhraní, tak záleží na implementaci rozhraní. Nap . server veverka.vse.cz ov ení umož uje, zatímco webmail na www.centrum.cz zobrazí podpis jako p ílohu zprávy.

1

Tento odstavec je siln závislý na typu a verzi klienta. Zde: MS Outlook Express verze 6.

- 41 -


10 P íloha III - Použití e-podpisu v internetovém prohlíže i Pro pot ebujeme mít náš certifikát instalovaný ve webovém prohlíže i? Pomocí certifikátu (te mám na mysli osobní certifikát uživatele) m žeme prokazovat svou totožnost vzhledem k serveru. Je to jako bychom mu íkali: "Ano, jsem to skute n já, kdo od tebe n co chce.". Tato informace je využitelná tam, kde se nap . do klientské (neve ejné) ásti websitu nep ihlašujeme pomocí uživatelského jména a hesla, ale pomocí certifikátu. Tento zp sob p ihlášení je astý nap . p i vypl ování on-line formulá na websitech orgán státní správy. Vzhledem k tomu, že instalací do centrálního systémového úložišt v MS Windows je certifikát použitelný stejn pro webový prohlíže jako pro e-mailového klienta jsem instalaci a zálohování certifikátu popsal již v p íloze II. Pro tyto informace tedy viz p ílohu II. Jestliže jej ješt nemáme nainstalovaný v centrálním úložišti, m žeme k této instalaci využít .htm soubor dodaný s certifikátem. Ten sta í pouze spustit, klepnout na tla ítko instalovat a proklikat se ke konci nabízených menu. V podstat jediné, co nebylo zmín no v p edchozí p íloze je nastavení ú elu certifikátu. V menu MS Internet Explorer -> Nástroje -> Možnosti Internetu -> Obsah -> Certifikáty -> Daný certifikát -> Up esnit. M žeme zakazovat a povolovat r zné ú ely využití certifikátu. Jedná se zejména o: Zabezpe ení elektronické pošty, podpis kódu, ov ení serveru podepisování dokument apod. Certifikát m žeme samoz ejm využívat i v dalších aplikacích. Vždy je nutné hledat v nápov d k dané aplikaci. Nap . dokument v MS Wordu 2003 podepíšeme takto: Nástroje -> Možnosti -> Zabezpe ení -> Digitální podpisy -> P idat -> Vybrat daný certifikát -> OK.

- 42 -

Bakalá ská práce

Ji í Horník

11 P íloha IV - Využití serverového certifikátu Serverové certifikáty nebyly p edm tem zájmu této práce, p esto jsou z aplika ního hlediska pom rn zajímavé. Samoz ejm pouze v p ípad , že provozujeme n jaký www server na kterém pot ebujeme zajistit ur ité funkce. Jedná se zejména o: •

Šifrování komunikace mezi klientem a serverem (zvlášt s využitím SSL)

•

Vytvo ení "osobních stránek" klienta, nebo skupiny klient a povolení p ístupu k nim na základ certifikátu.

Ob možnosti n jakým zp sobem zvyšují pohodlí uživatele. První funkce zajiš uje, že není možné odposlechnout informace probíhající mezi klientem a serverem (nap . hesla, ísla ú t , PINy apod.). SSL (Secure Socket Layer) je nekomer ní otev ený protokol vyvinutý firmou Netscape v roce 1996. Funguje na p echodu mezi aplika ní a transportní vrstvou a není omezen pouze na protokol HTTP. Je možné jej použít nap . i s FTP, POP3, SMTP atd. P i použití SSL vždy p ibude v ozna ení protokolu písmeno S (HTTPS), které zna í práv SSL. Krom toho nás o použití SSL informuje také prohlíže (symbol zámku). Úloha certifikát je zde stejná jako u elektronického podpisu. Dává jistotu, že komunikujeme s partnerem (zde serverem) se kterým si myslíme, že komunikujeme. Podpis CA na serverovém certifikátu vylu uje možnost MIM2 útoku. Použit je algoritmus RSA podobn jako v p ípad e-podpisu, ale šifrování probíhá na dvou úrovních. Nejprve si server a klient (prohlíže ) vym ní ve ejný klí . Server pak vygeneruje klí spojení a pošle jej klientovi zašifrovaný jeho ve ejným klí em. Pro samotné spojení se pak z d vodu rychlosti používá symetrické šifrování. Podmínkou tohoto použití je aby server i prohlíže SSL podporovali. Postup, jak konkrétn instalovat serverové certifikáty a spoušt t podporu SSL na r zných serverech (Apache, IIS a další) by už p esahoval rámec této práce. Je možné jej nalézt v dokumentaci ke konkrétnímu produktu. V praxi se o to stará programátor webové aplikace a správce serveru. Z našeho (organiza ního) hlediska je d ležité v d t, že pokud nám jde o první možnost (šifrování komunikace), sta í nám k tomu serverový certifikát. Ten m žeme získat od eských CA (cesta za íná ko enovým certifikátem eské CA). Když ale naše služby využívají klienti z r zných konc sv ta, je výhodn jší využít certifikát n které globální CA (nap . Thawte). Tyto CA mají své ko enové certifikáty instalované p ímo do prohlíže . Jejich d v ryhodnost tak zašti uje výrobce browseru (nap . Microsoft). Klienti tak nemusí instalovat ko enové certifikáty CA z n jaké zem , kterou možná ani neznají. To zvýší d v ryhodnost systému. Globální certifikáty lze získat p es www stránky jejich poskytovatel (Thawte, Verisign), nebo od eských zprost edkovatel (nap . CA Czechia poskytuje certifikáty Thawte). Pokud bychom cht li zabezpe it ízení p ístupových práv do klientských sekcí websitu, musíme ješt využít osobních certifikát našich klient . T m je m žeme vydat sami, ale to bychom museli mít to, co jsem v p edchozích kapitolách této práce nazýval soukromá certifika ní autorita. Další možností je využití certifikát ve ejné certifika ní autority.

2

MIM = Man In the Middle. Model útoku, kdy úto ník zachycuje zprávy mezi ú astníky komunikace, pozm uje je a vydává pozm n né zprávy za p vodní. V tomto p ípad by MIM poslal sv j ve ejný klí a vydával se za jednoho z komunikujících.

- 43 -

Možnosti použití elektronického podpisu v R v roce 2004 Op t se nám nabízejí dv podúrovn možné aplikace. Bu chceme zajistit p ístup ve ejnosti, s tím že ale chceme v d t "s kým máme tu est", nebo že chceme povolit p ístup pouze "vyvoleným" osobám. První možnost je t eba objednávání v e-shopu, kdy chceme aby si mohl objednat každý, ale zárove musíme v d t, kdo objednávku u inil. Také je užite né, že to nebude moci pop ít. Zde se op t vracíme k elektronickému podpisu. Je z ejmé, že elektronické podepisování a certifikáty jsou velice provázány. Abychom zajistily možnost nákupu (nebo jiného využití našich služeb) všem potenciálním klient m, nebudeme se omezovat na certifikáty jednoho poskytovatele. P ípadn nabídneme alternativní možnost (nap . s certifikátem je možné zaplatit po dodání, p i nákupu bez n ho je nutné platit p edem). Nerad bych ale p íliš odbo oval od problematiky elektronického podpisu. Druhá (pod)možnost se nabízí nap . pro p ístup k firemnímu extranetu. Ten je samoz ejm také (jako všechny zmín né aplikace) zabezpe it pouze uživatelským jménem a heslem. Ale zabezpe ení certifikátem (p ípadn obojím) je podstatn bezpe n jší. V p ípad aplikace SSL je bezpe nost takového extranetu na velmi vysoké úrovni. V p ípad firemního extranetu tedy povolíme p ístup pouze s vybranými certifikáty, které mají naši zam stnanci. Bude vytvo en jakýsi seznam lidí, kte í mají ke stránkám p ístup. T mto lidem op t m žeme certifikáty vystavovat sami, nebo využijeme externího subjektu. Nejužší je p ípad, kdy máme aplikaci personalizovanou tak, že každý uživatel má na website sv j oddíl. P íkladem m že být elektronické bankovnictví a p ístup ke konkrétnímu ú tu prost ednictvím webové aplikace. Op t zde existují i jiné zp soby (nap . generování unikátního p ístupového kódu a jeho zasílání klientovi jiným kanálem - sms apod.). Certifikáty však mohou být použity bu to samostatn , nebo v kombinaci s jiným zp sobem. V každém p ípad budou celkovou bezpe nost ešení zvyšovat bez zvýšených nárok na uživatele (v p ípad , že ten již bude mít certifikát zakoupen a nainstalován k n jakému jinému ú elu).

- 44 -

1 Úvod k elektronickému podpisu

Recommend Documents