Legislativa v telekomunikacích
3. přednáška 24.2.2016
Obsah přednášky 24.2.2016 • ZoEP (http://www.ica.cz/Userfiles/files/Zakon_227_2000.pdf) – http://www.earchiv.cz/b12/b0209001.php3 a další pokračování tohoto článku
• Datové schránky, elektronické podatelny – http://www.cak.cz/assets/30-32.pdf
• Příště – Elektronické smlouvy – Autorský zákon •
2
Pozn: pokud je v přednáškách zmíněn Občanský zákoník, jedná se o zákon č. 89/2012 Sb., občanský zákoník („nový občanský zákoník“)
LvT 2015/16, 3. přednáška 24.2.2016
Př.: Zákonem daná možnost nahrazení psaného textu textem v elektronické podobě
• Zákon o elektronickém podpisu z.č. 227/2000Sb. – Závaznost právního úkonu je vázána na podpis fyzické osoby, která tímto dává najevo (stvrzuje), že se ztotožňuje s daným textem a tento se pro ni stává právně závazný. – Upravuje elektronický podpis u elektronických právních úkonů pro oblast práva soukromého i veřejného.
– Např. http://www.zakonyprolidi.cz/cs/2014-64 • Zákon upravuje
– tvorbu elektronického podpisu – zajištění důvěryhodnosti elektronického podpisu, – elektronické značky při vyhotovování právních dokumentů v elektronické podobě, – poskytování certifikačních služeb poskytovateli usazenými na území ČR, – kontrolu povinností a sankce za porušení povinností stanovených tímto zákonem. 3
LvT 2015/16, 3. přednáška 24.2.2016
Podpis • Pojem podpis se v našem právním řádu vyskytoval ve více než 1000 dokumentech v počtu 2800 výrazů (z toho však jen 331 výrazů se nacházelo ve 101 zákonných předpisech) – stav k 1.1.2001 • Žádný zákon či jiný právní předpis pojem „podpis“ nijak nedefinují • Ze (striktně) právního hlediska lze rozlišovat – – – –
Podpis Vlastnoruční podpis Ověřený podpis Podpis vlastní rukou (např. čl 3 odstavce 1 sdělení 179/1996 Sb.) – Podpis na listině, který osoba uznala za vlastní (§74 zákona č.358/1992 Sb., tzv. Notářský řád) 4
LvT 2015/16, 3. přednáška 24.2.2016
ZoEP • V ZoEP č. 227/2000 Sb. nalezneme: – Účinnost a požadavky na jednotlivé subjekty a jejich odpovědnost (podepisující se osoba, osoba spoléhající se na elektronický podpis, organizace, veřejná moc, poskytovatel certifikačních služeb) – Typy elektronických podpisů (elektronický podpis, zaručený a kvalifikovaný elektronický podpis) – Typy poskytovatelů certifikačních služeb a certifikátů (PCS, kvalifikovaný certifikát, PCS vydávající kvalifikované certifikáty, akreditace PCS)
5
LvT 2015/16, 3. přednáška 24.2.2016
Zákon o elektronickém podpisu • Právní úprava v ČR zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (ZoEP) (poslední novela 2010) a související • Prováděcím předpisy
– Vyhláška č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb, o požadavcích na nástroje elektronického podpisu a o požadavcích na ochranu dat pro vytváření elektronických značek nařízení vlády 496/2004 z 25.8.2004 (zřízení e-podatelny k 1.1.2005 mají instituce veřejné moci (úřady státní správy, obce) za povinnost podle přijímat a „vypravovat“ elektronické úřední písemnosti). – Zákon č. 167/2012 Sb., kterým se mění zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů, zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění pozdějších předpisů, a další související zákony
6
LvT 2015/16, 3. přednáška 24.2.2016
Nezbytný úvod do problematiky elektronického podpisu obecně
• Elektronický podpis má zajistit (z pohledu ICT) následující bezpečnostní funkce – Integritu dat – Nepopiratelnost – Autenticitu
• Pojem elektronický podpis pojem ze ZOEP, v ICT pojem digitální podpis
7
LvT 2015/16, 3. přednáška 24.2.2016
Bezpečnost ICT • Informace jsou strategickým zdrojem
– ICT svěřujeme svoje know-how, soukromí, citlivé informace,… – na ICT je závislá řada obchodních procesů,… – požadavky na ochranu informací v rámci ICT jsou dány přímo ze zákona (ochrana osobních údajů, …)
• Základní bezpečností problémy
– porušení důvěrnosti, integrity, dostupnosti, autenticity (a dalších bezpečnostních funkcí) tak, jak se objevují v programech, operačních systémech, počítačových sítích, databázích atd.
• V těchto oblastech je třeba určit
– co se může pokazit, – jak zabránit situacím způsobujícím škodu (prevence), – jak zmírnit následky situací, nad kterými nemůžeme mít úplnou kontrolu
8
LvT 2015/16, 3. přednáška 24.2.2016
Bezpečnost ICT • Bezpečnost je („well-being“) stav systému (systém = hw + sw + data), kdy je možnost úspěšné dosud nezjištěné krádeže, falšování, narušení informací a služeb udržována na nízké nebo přípustné úrovni. • Role – Alice a Bob – jsou legitimní (good guys) subjekty (osoby, procesy, počítače,…), označení poprvé použil Ron Rivest 1978 – Eve, Mallory, Oscar, Trudy – nelegitimní subjekt (bad guy), obecně útočník
9
LvT 2015/16, 3. přednáška 24.2.2016
Bezpečnostní funkce elektronického podpisu • Bezpečnostní funkce (cíle) elektronického podpisu - služby podporující a zvyšující bezpečnost datových procesů a přenosů v daném subjektu: – autenticita (autentication) - původ informací je ověřitelný. Autentizací se rozumí proces ověřování pravosti identity entity (tj. uživatele, procesu, systémů, informačních struktur apod.), – integrita (integrity) – aktiva smí modifikovat jen autorizované subjekty, – nepopiratelnost odpovědnosti (non-repudiation) nelze popřít účast na transakci.
10
LvT 2015/16, 3. přednáška 24.2.2016
Další bezpečnostní funkce – důvěrnost (confidentiality, utajení) - k aktivům (aktiva = data, sw, hw) mají přístup pouze autorizované subjekty, – dostupnost (accessibility, availability) - aktiva (data nebo služby) jsou autorizovaným subjektům dostupná, nedojde tedy k odmítnutí služby, kdy subjekt nedostane to na co má právo, – prokazatelnost odpovědnosti (accountability) - záruka, že lze učinit subjekty zodpovědné za své aktivity, ozn. také účtovatelnost, – spolehlivost (reliability) - konzistence zamýšleného a výsledného chování. – důvěryhodnost (trustworthy) - duvěryhodná entita je ta, o které se věří (je o tom podán důkaz), že je implementovaná tak, že splňuje svou specifikaci. Můžeme se na ni spolehnout, chová-li se tak, jak očekáváme, že se bude chovat. – autorizace (authorization) entity pro jistou činnost rozumíme určení, že je z hlediska této činnosti důvěryhodná. Udělení autorizace si vynucuje, aby se pracovalo s autentickými entitami.
11
LvT 2015/16, 3. přednáška 24.2.2016
Bezpečnostní mechanismy • Bezpečnostní mechanismy – implementují (zajišťují) bezpečnostní funkce, mechanismy navržené tak, aby detekovaly útoky (bezpečnostní incidenty), zabraňovaly jim, ev. pomohly zotavení se z útoků: – mohou mít charakter fyzického opatření, administrativní akce, může jimi být technické zařízení nebo logický nástroj (algoritmus), – Bezpečnostní protokoly (např. SSL), apod.
12
LvT 2015/16, 3. přednáška 24.2.2016
Kryptografický systém
• Jestliže k je různé od k’, hovoříme o dvojici klíčů, soukromém a veřejném.
13
LvT 2015/16, 3. přednáška 24.2.2016
Schéma pro podepisování na bázi ASK
• m je otevřený text, c je podepsaný text, • KSA je soukromý (podepisovací) klíč Alice, KVA je veřejný (ověřovací) klíč Alice • e je podepisovací algoritmus, d je algoritmus pro ověření podpisu 14
LvT 2015/16, 3. přednáška 24.2.2016
Rukopisný podpis • Je nepadělatelný: – dokument podepsal podepsaný a nikdo jiný
• Pravost podpisu nelze popřít: – lze ji dokázat (soudní znalec)
• Psaný dokument je nezaměnitelný: – po podepsání jej již nelze změnit.
• Je autentický: – podepsal jej podepsaný po zralé úvaze.
• Nelze jej použít vícekrát pro více dokumentů: – podepsaný podepisuje dokument, z kterého poté nelze podpis přenést na dokument jiný.
15
LvT 2015/16, 3. přednáška 24.2.2016
Elektronický (digitální) podpis • Strana, která získá elektronický (digitálně) podepsaný elektronický dokument, chce být ubezpečena, že autorem dokumentu je označená osoba, že se seznamuje s přesným obsahem dokumentu, že může na základě takto získaného dokumentu konat a mít přitom určité záruky od autora dokumentu. • Jinými slovy je třeba zajistit u těchto dokumentů jejich – autenticitu, – integritu, – nepopiratelnost, 16
LvT 2015/16, 3. přednáška 24.2.2016
Digitální podpis na bázi ASK • Podpis v dodatku zprávy • Podepisovací schéma: A→B: C = M || EKSA [H(M)]
– Je zajištěna autenticita, integita i nepopiratelnost – Alice pošle Bobovi zprávu M, která je zřetězena s haší zprávy H(M), a tato haš je (před zřetězením) podepsaná Aliciným soukromým klíčem
• E je podepisovací (resp. šifrovací) algoritmus (např. RSA), D (na dalším slidu) je ověřovací (resp. dešifrovací) algoritmus • H je kryptografická hašovací funkce (např. KECCAK, nový SHA-3 algoritmus (NIST standard)), • KSA je Alicin soukromý (podepisovací) klíč, KVA je veřejný Alicin klíč (Bob ho použije pro ověření Alicina podpisu)
• Bezpečnost všech podpisových schémat spočívá v bezpečnosti soukromého klíče!!!! 17
LvT 2015/16, 3. přednáška 24.2.2016
Podpis v dodatku zprávy • Ověřovací schéma: • a • •
Bob oddělí doručenou zprávu M‘ od podepsané hashe spočítá H(M‘) Dále ověří podpis hashe DKVA [H(M)] a získá H(M) Porovná zda H(M‘)= H(M)
KVA
KSA
EKSA(H(M))
Podpis v dodatku ke zprávě 18
LvT 2015/16, 3. přednáška 24.2.2016
porovnej
Hašovací funkce • Kryptografické hašovací funkce (KHF) jsou důležitými nástroji pro kryptografické aplikace, protože zajišťují integritu a autentizaci. • Použití: – Přenos a uložení přihlašovacích hesel - nepřímo pomocí hašovacích hodnot, – digitální podpisy – …
• Jsou to jednocestné hašovací funkce odolné kolizím!
19
LvT 2015/16, 3. přednáška 24.2.2016
Jednocestná funkce • Jednocestná funkce (one-way function): Funkce f: XY se nazývá jednocestnou funkcí, jestliže je snadné spočítat f(x) pro všechna x∈X, ale v podstatě pro všechna y∈Y je výpočetně obtížné najít nějaké x∈X takové, že f -1(y) = x. • Co znamená „snadné“ a „výpočetně obtížné“? – „snadné“ – funkce je vyčíslitelná v polynomiálním čase – „výpočetně obtížné“ (těžké) – funkce je invertovatelná jen pro velmi zanedbatelnou část vstupů.
snadné p,q
N=p*q obtížné
20
LvT 2015/16, 3. přednáška 24.2.2016
Jednocestná hašovací funkce • Funkce H() se nazývá jednocestná hašovací funkce (JHF), jestliže splňuje následující vlastnosti: – – – –
21
Argument (zpráva) M může mít libovolnou délku. Funkce H() je jednocestná. Výsledek H(M) má pevnou délku (např. 224b a více). Funkci H() lze relativně snadno realizovat jak hardwarově, tak softwarově.
LvT 2015/16, 3. přednáška 24.2.2016
Jednocestná hašovací funkce odolná kolizím • Jednocestná hašovací funkce H() se nazývá jednocestná hašovací funkce odolná kolizím (JHFOK), jestliže splňuje následující vlastnosti: – funkce H(M) je odolná (preimage resistance, weak resistance) proti kolizím je-li pro daný vstup M a danou hodnotu H(M) je výpočetně těžké najít takové M’ (M ≠ M’), aby platilo H(M) = H(M’), – funkce H(M) je silně odolná (2nd preimage resistance, strong resistance) proti kolizím, je-li výpočetně těžké najít jakýkoliv pár M, M’ (pro M ≠ M’) takový, aby platilo H(M) = H(M’).
22
LvT 2015/16, 3. přednáška 24.2.2016
Příklad hašovací funkce • Př.: Jednoduchý součet bajtů modulo 256, fixní osmibitový výstup. – Pro text „ahoj“ získáme 97+104+111+106 mod 256 = 162. – Tuto funkci je sice jednoduché spočítat, není to však dobrá (kryptografická) hašovací funkce, neboť nemá vlastnost bezkoliznosti. – h(„ahoj“) = h(„QQ“) = h(„zdarFF“) – je snadné nalézt kolizi
23
LvT 2015/16, 3. přednáška 24.2.2016
• Kolize existují, ale musí být těžké je najít (vygenerovat)!!!
Certifikát • Certifikát (certificate) je elektronický dokument sloužící k identifikaci jednotlivce, serveru, společnosti nebo jiné entity a spojuje tuto entitu s veřejným klíčem. • Na certifikát se lze dívat jako na řidičský průkaz, pas nebo jiný doklad dokazující identitu majitele. • Certifikát
– veřejný klíč uživatele podepsaný soukromým klíčem důvěryhodné třetí strany, – certifikát spojuje jméno držitele páru soukromého a veřejného klíče s tímto veřejným klíčem, a potvrzuje tak identitu entity, – poskytuje záruku, že identita spojená s vlastníkem daného veřejného klíče není podvržená, – případně také představuje doklad o tom, že totožnost držitele veřejného klíče byla ověřena.
24
LvT 2015/16, 3. přednáška 24.2.2016
Certifikát • Obsah certifikátu stručně – označení typu (běžný, kvalifikovaný…) – identifikace vydavatele a podepisující entity – unikátní číslo v rámci vydavatele (sériové číslo) – počátek a konec platnosti – volitelně: doplňkové atributy – volitelně: omezení použití – podpis vydavatele (digitální podpis CA) 25
LvT 2015/16, 3. přednáška 24.2.2016
algoritmu
podepsaný hash
26
Struktura certifikátu X.509v3 • X509 viz https://tools.ietf.org/html/rfc3280 • Verze - určuje verzi použitého certifikátu (1 – v1, 2 – v2, 3 – v3). • Sériové číslo - celé číslo, pomocí kterého může CA jednoznačně identifikovat daný certifikát. • Identifikátor algoritmu podpisu - obsahuje dvě části, název použitého algoritmu (pro podpis certifikátu) a související parametry. Význam této položky je zanedbatelný, protože stejné informace jsou součásti podpisu. • Jméno vydavatele (issuer name) - reprezentace význačného jména (X.500 jméno) CA, která vytvořila a podepsala daný certifikát. • Doba platnosti - skládá se ze dvou časových údajů určujících od kdy do kdy je certifikát platný. • Jméno vlastníka (subject name)- určuje pro koho byl certifikát vystaven. Certifikát potvrzuje, že entita identifikovaná tímto význačným jménem (X.500 jménem) je vlastníkem odpovídajícího soukromého klíče.
27
LvT 2015/16, 3. přednáška 24.2.2016
Struktura certifikátu X.509v3 • Identifikátor veřejného klíče - obsahuje veřejný klíč subjektu včetně informací o algoritmu, pro který je klíč určen a parametrech použitých k jeho vytvoření. • Identifikátor vydavatele - nepovinný údaj použitý k jednoznačné identifikaci vydavatele pro případ, že by jméno vydavatele (issuer name) bylo použito k identifikaci jiné entity. • Identifikátor vlastníka - je nepovinný údaj použitý k jednoznačné identifikaci vlastníka pro případ, že by jméno vlastníka (subject name) bylo použito k identifikaci jiné entity. • Rozšíření - obsahuje nejčastěji různé dodatečné informace o předmětu certifikátu. Může se jednat například o jeho detailní jméno, poštovní adresu, fotografii či další upřesňující informace. Rozšíření může také obsahovat informace vztahující se k CA. • Podpis - podpis všech ostatních položek certifikátu. Obsahuje hash ostatních položek, podepsaný soukromým klíčem CA a informace o algoritmu a parametrech použitých k jeho vytvoření.
28
LvT 2015/16, 3. přednáška 24.2.2016
Struktura certifikátu X.509v3 • Rozšíření - obsahuje nejčastěji různé dodatečné informace o předmětu certifikátu. Může se jednat například o vlastníkovo detailní jméno, poštovní adresu, fotografii či další upřesňující informace. Rozšíření může také obsahovat informace vztahující se k CA.
– Identifikátor veřejného klíče CA, – Identifikátor veřejného klíče subjektu, – Použití klíče – vyznačení účelu, ke kterému může být certifikovaný veřejný klíč použit, – Certifikační politiky – skupina dokumentů vydaných certifikační autoritou – Základní omezení – vyznačení toho, zda se jedná o certifikát CA nebo koncového uživatele (zamezí se tomu, aby se uživatel tvářil jako CA a vydával certifikáty), – Distribuční místa odvolaných certifikátů,…
29
LvT 2015/16, 3. přednáška 24.2.2016
Reprezentace certifikátu
30
LvT 2015/16, 3. přednáška 24.2.2016
31
Význačné jméno • Certifikát spojuje entitu s jejím veřejným klíčem. K identifikaci entity (vydávající i vlastnící certifikát) se používá tak zvané význačné jméno (distinguished name, DN). • DN je řetězec reprezentující jméno entity a má podobu posloupnosti názvu atributů a hodnot. DN vychází ze stromové struktury, definované standardem X.500. • Uzly mají libovolný počet následníků, ale jediného předchůdce, přičemž existují listy - uzly, které nemohou mít následníky. • Každý uzel obsahuje alespoň jeden pár atribut-hodnota, pomocí kterého lze uzel identifikovat, například c=CZ. • Uzel je jednoznačně identifikovatelný pomocí cesty vedoucí od kořene k tomuto uzlu, například c=CZ, l=Ostrava, o=VSB. • Dále může uzel obsahovat dodatečné atributy, které nesou dodatečnou informaci související s daným uzlem. • CA musí zajistit, aby DN bylo jednoznačné. 32
LvT 2015/16, 3. přednáška 24.2.2016
Význačné jméno c=CZ, l=Ostrava, o=VSB, ou=Department of Computer Science, cn=Internet Technologies,
[email protected]
33
LvT 2015/16, 3. přednáška 24.2.2016
Význačné jméno • Nejobvyklejší atributy Atribut cn c l o ou email
34
Význam Common name – jméno entity, pro kterou je certifikát vystaven. Country - země, kde entita „leží“. Jde o kód země podle ISO 3166, například CZ, US, FI, …. Locality - umístění (sídlo) entity. Většinou jde o jméno místa, kde je entita oficiálně registrována nebo kde se nejčastěji zdržuje. Organization – název organizace. Organization unit - organizační jednotka v rámci organizace. Například fakulta, katedra,… Adresa elektronické pošty, pomocí které lze s entitou komunikovat.
LvT 2015/16, 3. přednáška 24.2.2016
Infrastruktura veřejných klíčů - PKI • PKI (public key infrastructure) – soustava technických a organizačních opatření spojených s vydáváním, správou, používáním a odvoláváním platnosti kryptografických klíčů a certifikátů. • Součásti PKI – certifikační autorita - poskytovatel certifikační služby, vydavatel certifikátu, – registrační autorita - registruje žadatele o vydání certifikátu a prověřuje jejich identitu, – adresářová služba - prostředek pro uchovávání a distribuci platných klíčů a seznam odvolaných certifikátů. – autorita časových razítek
35
LvT 2015/16, 3. přednáška 24.2.2016
Certifikační autorita • Organizace, která se zabývá vydáváním certifikátů se nazývá certifikační autorita (certificate authority, CA). • Potvrzuje identitu entit, jímž vydává certifikáty. Metody použité k potvrzování identity se různí a závisí na zásadách jednotlivých CA, CA je musí zveřejnit. • CA zejména provádí registraci uživatelů certifikátů, vydávání certifikátů k veřejným klíčům, odvolávání platnosti certifikátů, vytváření a zveřejňování seznamu certifikátů, vytváření a zveřejňování zneplatněných certifikátů CRL (Certificate Revocation List), – správu klíčů po dobu jejich platnosti (životního cyklu), – dodatkové služby - např. poskytování časových razítek (time-stamping). – – – – –
36
LvT 2015/16, 3. přednáška 24.2.2016
Registrační autorita • Registrační autorita (RA) – nepovinná složka – vytváří vazbu mezi klientem a CA v souladu s popisem postupů při poskytování certifikačních služeb – přijímá žádosti o certifikace – ověřuje pravdivost uvedených údajů – předává certifikát CA k podpisu – podepsaný certifikát předá klientovi
37
LvT 2015/16, 3. přednáška 24.2.2016
Proces vystavení certifikátu • Příprava identifikačních údajů - doložení dokladů • Generování klíčových dat - pomocí dostupného SW, HW, provede uživatel nebo CA • Předání klíčových dat a identifikačních údajů RA žadatel předá CA/RA data spolu s doklady o jejich pravosti • Ověření informací – CA/RA si ověří, že lze vydat certifikát • Tvorba certifikátu - CA vytvoří podepsaný certifikát • Předání certifikátu - certifikát je předán žadateli a zveřejněn
38
LvT 2015/16, 3. přednáška 24.2.2016
Odvolání certifikátu • Odvolání certifikátu – Přijdete-li o soukromý klíč, bude důležitá rychlost, jakou zašlete CA žádost o odvolání (zneplatnění) certifikátu – elektronicky, telefonicky (CA může entitě vystavit jednorázové heslo pro odvolání certifikátu), … – Může vypršet jeho platnost. – Držitel požádá CA o odvolání. – Odvolá CA sama (např. CA obdrží žádost o vydání certifikátu s veřejným klíčem stejným, jako má již existující vydaný certifikát). 39
LvT 2015/16, 3. přednáška 24.2.2016
Odvolání certifikátu • CRL – CA vydává seznam neplatných certifikátů, obsahuje sériová čísla odvolaných certifikátů. • Definice CRL je podobná definici certifikátu. • CA vydává CRL v pravidelných intervalech, zveřejňuje je např. na webu. • Alternativa k CRL: OSCP (Online Certificate Status Protocol, RFC 2560) – protokol typu klient/server pro zjištění platnosti certifikátu. 40
LvT 2015/16, 3. přednáška 24.2.2016
ZoEP - pojmy • § 2 Vymezení některých pojmů - pro účely tohoto zákona se rozumí : – datovou zprávou - elektronická data, která lze přenášet prostředky pro elektronickou komunikaci a uchovávat na záznamových médiích, používaných při zpracování a přenosu dat elektronickou formou, – podepisující osobou - fyzická osoba, která má prostředek pro vytváření podpisu a jedná jménem svým nebo v zastoupení jiné fyzické či právnické osoby
41
LvT 2015/16, 3. přednáška 24.2.2016
ZoEP - pojmy • § 2 Vymezení některých pojmů - pro účely tohoto zákona se rozumí : – daty pro vytváření elektronických podpisů jedinečná data, která podepisující osoba používá k vytváření elektronického podpisu, – daty pro ověřování elektronických podpisů jedinečná data, která se používají pro ověření elektronického podpisu, – prostředkem pro vytváření elektronických podpisů - technické zařízení nebo programové vybavení, které se používá k vytváření elektronických podpisů, který splňuje požadavky stanovené tímto zákonem. 42
LvT 2015/16, 3. přednáška 24.2.2016
ZoEP - typy podpisů • Elektronický podpis • Zaručený elektronický podpis • Zaručený elektronický podpis založený na certifikátu (nepřímo) • Zaručený elektronický podpis založený na kvalifikovaném certifikátu • Uznávaný podpis • Kvalifikovaný podpis (nepřímo) • Elektronická značka • Kvalifikované časové razítko • (Digitální podpis – technologie, která umožňuje realizovat předchozí typy podpisů) 43
LvT 2015/16, 3. přednáška 24.2.2016
ZoEP - typy podpisů • Obecně lze pod pojem EP chápat i text na konci e-mailu či digitalizovaný vlastnoruční podpis • Ale ZoEP rozlišuje: – EP – zaručený EP – zaručený EP založený na kvalifikovaném certifikátu – zaručený EP založený na kvalifikovaném certifikátu od akreditovaného PCS
44
LvT 2015/16, 3. přednáška 24.2.2016
ZoEP – pojem podpisu • §2a - elektronický podpis - údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které umožňují ověření totožnosti podepsané osoby ve vztahu k datové zprávě, • §2b - zaručený elektronický podpis - elektronický podpis, který splňuje následující požadavky:
– je jednoznačně spojen s podepisující osobou, – umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě, – byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou, – je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat.
45
LvT 2015/16, 3. přednáška 24.2.2016
ZoEP – pojem podpisu • Kvalifikovaný podpis - §3 Použití zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu a vytvořeného pomocí prostředku pro bezpečné vytváření podpisu umožňuje ověřit, že datovou zprávu podepsala osoba uvedená na tomto kvalifikovaném certifikátu. • Uznávaný podpis vzniká použitím zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu, který vydal akreditovaný poskytovatel certifikačních služeb. Obsahuje údaje, které umožňují jednoznačnou identifikaci podepisující osoby. 46
LvT 2015/16, 3. přednáška 24.2.2016
ZoEP - typy certifikátů • • • •
47
Certifikát kvalifikovaný certifikát kvalifikovaný systémový certifikát (novela 2004) kvalifikovaný certifikát vydaný akreditovaným poskytovatelem certifikačních služeb
LvT 2015/16, 3. přednáška 24.2.2016
ZoEP - typy certifikátů • Certifikační autorita (CA) = poskytovatel certifikačních služeb (PCS) dle zákona 227/2000 Sb. • Zákon rozlišuje – PCS - libovolný subjekt vydávající certifikáty – kvalifikovaný PCS - podléhá pouze oznamovací povinnosti – akreditovaný PCS - ručí za vztah konkrétní fyzické osoby a příslušného veřejného klíče, musí mít akreditaci ÚOOÚ – Viz např. http://www.postsignum.cz/certifikaty_.html
48
LvT 2015/16, 3. přednáška 24.2.2016
ZoEP – §12 kvalifikovaný certifikát • Kvalifikovaný certifikát musí obsahovat – označení, že je vydán jako kvalifikovaný certifikát podle tohoto zákona, – obchodní jméno poskytovatele certifikačních služeb a jeho sídlo, jakož i údaj, že certifikát byl vydán v České republice, – jméno a příjmení podepisující osoby nebo její pseudonym s příslušným označením, že se jedná o pseudonym, – zvláštní znaky podepisující osoby, vyžaduje-li to účel kvalifikovaného certifikátu, – data pro ověřování podpisu, která odpovídají datům pro vytváření podpisu, jež jsou pod kontrolou podepisující osoby, 49
LvT 2015/16, 3. přednáška 24.2.2016
ZoEP – §12 kvalifikovaný certifikát – zaručený elektronický podpis poskytovatele certifikačních služeb, který kvalifikovaný certifikát vydává, – číslo kvalifikovaného certifikátu unikátní u daného poskytovatele certifikačních služeb, – počátek a konec platnosti kvalifikovaného certifikátu, – případně údaje o tom, zda se používání kvalifikovaného certifikátu omezuje podle povahy a rozsahu jen pro určité použití, – případně omezení hodnot transakcí, pro něž lze kvalifikovaný certifikát použít. 50
LvT 2015/16, 3. přednáška 24.2.2016
Novela zákona č. 227/2000 Sb., o EP • Kvalifikovaný systémový certifikát – je obdoba kvalifikovaného certifikátu s tím, že může identifikovat fyzickou osobu, právnickou osobu nebo organizační složku státu. Užívá se pro ověřování, vytváření elektronických značek.
51
LvT 2015/16, 3. přednáška 24.2.2016
Novela zákona č. 227/2000 Sb., o EP • Dne 26. července 2004 nabyla účinnosti novela zákona o elektronickém podpisu (č. 440/2004 Sb.). Tento předpis nově zavádí pojem kvalifikované časové razítko, které prokazuje existenci elektronického dokumentu v čase. • Je to datová zpráva, kterou lze přenášet prostředky elektronické komunikace a uchovávat na záznamových mediích. • Kvalifikované časové razítko je garancí, že předmětná data existovala někdy před časovým okamžikem, s nímž jsou kvalifikovaným časovým razítkem spojena. • Např. pokud si necháme doručenou poštu označit časovým razítkem, zlepšíme důkazní situaci tak, že budeme schopni prokázat, že příslušný e-mail nám byl doručen před časovým okamžikem uvedeným v razítku. Znemožní případné antidatování elektronického podpisu.
52
LvT 2015/16, 3. přednáška 24.2.2016
Novela zákona č. 227/2000 Sb., o EP • Další novinkou v novele je možnost používat „elektronické značky“. • Elektronickou značkou může označovat data právnická osoba nebo organizační složka státu a používat k tomu automatizované postupy.
– Jsou to údaje v elektronické podobě, které jsou připojeny k elektronické zprávě a blíže identifikují původce zprávy tím, že uvádí za kterou fyzickou nebo právnickou osobu je právní úkon činěn. – Elektronická značka (elektronické razítko) je z technického hlediska totéž jako elektronický podpis s tím rozdílem, že zatímco e-podpis je určen pro fyzické osoby jako jejich projev vůle, tak elektronická značka je určena především pro právnické osoby. – Lze ji přirovnat k otisku úředního razítka.
53
LvT 2015/16, 3. přednáška 24.2.2016
ZoEP - § 5 Povinnosti podepisující osoby • (1) Podepisující osoba je povinna – zacházet s prostředky, jakož i s daty pro vytváření zaručeného elektronického podpisu s náležitou péčí tak, aby nemohlo dojít k jejich neoprávněnému použití, – uvědomit neprodleně poskytovatele certifikačních služeb, který jí vydal kvalifikovaný certifikát, o tom, že hrozí nebezpečí zneužití jejích dat pro vytváření zaručeného elektronického podpisu, – podávat přesné, pravdivé a úplné informace poskytovateli certifikačních služeb ve vztahu ke kvalifikovanému certifikátu. 54
LvT 2015/16, 3. přednáška 24.2.2016
ZoEP - § 5 Povinnosti podepisující osoby • (2) Za škodu způsobenou porušením povinností podle odstavce 1 odpovídá podepisující osoba podle zvláštních právních předpisů. Odpovědnosti se však zprostí, pokud prokáže, že ten, komu vznikla škoda, neprovedl veškeré úkony potřebné k tomu, aby si ověřil, že zaručený elektronický podpis je platný a jeho kvalifikovaný certifikát nebyl zneplatněn. (Zákon 89/2012 Sb., občanský zákoník)
55
LvT 2015/16, 3. přednáška 24.2.2016
ZoEP - § 11 • (1) V oblasti orgánů veřejné moci je možné za účelem podpisu používat pouze zaručené elektronické podpisy a kvalifikované certifikáty vydávané akreditovanými poskytovateli certifikačních služeb (tj. „uznávaný elektronický podpis“). To platí i pro výkon veřejné moci vůči fyzickým a právnickým osobám. Pokud je uznávaný elektronický podpis užíván v oblasti orgánů veřejné moci, musí kvalifikovaný certifikát obsahovat takové údaje, aby osoba byla jednoznačně identifikovatelná. Strukturu údajů, na základě kterých je možné osobu jednoznačně identifikovat, stanoví ministerstvo prováděcím právním předpisem. • (2) Písemnosti orgánů veřejné moci v elektronické podobě označené elektronickou značkou založenou na kvalifikovaném systémovém certifikátu vydaném akreditovaným poskytovatelem certifikačních služeb nebo podepsané uznávaným elektronickým podpisem mají stejné právní účinky jako veřejné listiny vydané těmito orgány. • (3) Orgán veřejné moci přijímá a odesílá datové zprávy podle odstavce 1 prostřednictvím elektronické podatelny. 56
LvT 2015/16, 3. přednáška 24.2.2016
Je e-podpis vydaný v ČR platný i v jiných zemích EU a naopak? • ZEOEP: – Certifikát, který je vydán poskytovatelem certifikačních služeb usazeným v některém z členských států Evropské unie jako kvalifikovaný, je kvalifikovaným certifikátem ve smyslu tohoto zákona. – V případě certifikátů z dalších zemí musí být splněny ještě další podmínky: jejich vydavatel nemusí sídlit v EU, ale musí být v EU akreditován. Nebo se za jeho certifikáty musí zaručit někdo jiný, kdo je v EU akreditován. Případně může být uznávání certifikátů upraveno mezinárodní smlouvou.
57
LvT 2015/16, 3. přednáška 24.2.2016
Je e-podpis vydaný v ČR platný i v jiných zemích EU a naopak? • Rozhodnutí Evropské komise č. 2009/767/ES – od 28.12.2009 uznávané jako kvalifikované i „unijní“ certifikáty a zaručené elektronické podpisy, založené na certifikátech zahraniční provenience.
• Seznam důvěryhodných certifikačních služeb TSL (Trusted Services List) http://tsl.gov.cz/
58
LvT 2015/16, 3. přednáška 24.2.2016
ZoEP a praxe • Akreditovaní poskytovatelé (výdej a správa) kvalifikovaných certifikátů: – První certifikační autorita, a.s., http://www.ica.cz/ – Česká pošta, s.p. – PostSignumQCA, http://www.postsignum.cz/ – eIdentity, a.s., http://www.eidentity.cz/app
• Roční kvalifikovaný certifikát stojí okolo 500 Kč
59
LvT 2015/16, 3. přednáška 24.2.2016
