eIDAS
Vyšší bezpečnost
elektronické komunikace
v EU
Ing. Petr Budiš, Ph.D., MBA První certifikační autorita, a.s. 10. 11. 2015
První certifikační autorita, a.s. (I.CA) ▪ Od r. 2001 – poskytování certifikačních služeb (první v ČR) ▪ Akcionáři: ČSOB, Česká spořitelna, O2, Asseco, Státní tiskárna cenin ▪ Od r. 2002 – akreditace MV pro vydávání kvalifikovaných certifikátů ▪ Od r. 2006 - akreditace MV pro vydávání kvalifikovaných systémových certifikátů a kvalifikovaných časových razítek ▪ Od r. 2010 - poskytování prostředku pro bezpečné vytváření e-podpisu (jediní v ČR s hodnocením MV podle zákona o e-podpisu) ▪ V ČR pouze tři subjekty poskytující tyto služby, I.CA nabízí nejširší spektrum služeb, nejkomplexnější služby pro veřejnou správu i komerční sféru. ▪ Největší zákazníci: ČSOB, ČS, resort Ministerstva financí, resort MPSV ▪ I.CA působí rovněž na Slovensku (akreditace NBÚ SR) a poskytuje personalizované služby pro klienty v zahraničí (i mimo EU).
Evropská směrnice a český zákon Dosud: Směrnice Evropského parlamentu a Rady 1999/93/ES ze dne 13. prosince 1999 o zásadách Společenství pro elektronické podpisy (tj. pouze elektronické podpisy). V ČR: Zákon č. 227/2000 Sb., o elektronickém podpisu Obecně směrnice - povinnost transpozice, tj. promítnutí do vnitrostátního právního předpisu
Evropské nařízení a český zákon Nově: Nařízení Evropského parlamentu a Rady č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES. (Zkráceně: eIDAS) (tj. větší tematický záběr, více služeb) Doplní český „adaptační“ zákon – očekává se malý rozsah, pro poskytovatele i klienty však bude mít zásadní význam, proto je netrpělivě očekávána jeho definitivní podoba. Obecně nařízení - platí v každém ČS přímo, bez prováděcího vnitrostátního aktu
Nařízení eIDAS - termíny • uveřejněné v Úředním věstníku EU 28. srpna 2014 • vešlo v celé Evropské unii v platnost 17. září 2014 • bude použitelné/účinné od 1. července 2016 • jednotlivá ustanovení budou nabývat účinnosti postupně
v období let 2016 – 2018 • český adaptační zákon v gesci MV – pracovní název: zákon o službách vytvářejících důvěru pro elektronické transakce (návrh odchází v těchto dnech do meziresortního připomínkového řízení) • MV zřídilo několik pracovních skupin, I.CA se účastní, případný efekt této činnosti bude zřejmý až po přijetí adaptačního zákona.
eIDAS – tři oblasti úpravy 1. Elektronická identifikace 2. Služby vytvářející důvěru/ kvalifikované služby vytvářející důvěru – vyšší stupeň kvality 3. Elektronický dokument
I.CA a eIDAS Zákon o elektronickém podpisu je základní právní normou, kterou se I.CA řídí a podle které své služby poskytuje již od roku 2000 jako akreditovaný poskytovatel certifikačních služeb, a to jak v ČR, tak na Slovensku. Přijetí nové právní úpravy I.CA vítá, považuje ji za krok správným směrem pro dosažení - přeshraniční použitelnosti a uznávání jednotlivých služeb - rozšíření portfolia služeb - dosažení vyšší míry bezpečnosti.
Elektronická identifikace Elektronická identifikace - nový pojem – Používání osobních identifikačních údajů
v elektronické podobě. V ČR zatím není používáno, v EU nebude povinné. – Obdoba české služby „moje ID“. – Není „klasickou“ součástí certifikačních služeb. Řešení bude patrně navázáno na základní registry.
Elektronický dokument
Nařízení se omezuje pouze na stručnou úpravu, žádné další požadavky neobsahuje: „Elektronickému dokumentu nesmějí být upírány právní účinky a nesmí být odmítán jako důkaz v soudním a správním řízení pouze z toho důvodu, že má elektronickou podobu.“
Služby vytvářející důvěru - oblasti • Elektronický podpis – vydávání certifikátů a bezpečných prostředků pro vytváření podpisů, ověřování platnosti podpisů, uchovávání podpisů, vytváření e-podpisu na dálku, podpis v mobilních zařízeních • Elektronická pečeť – obdobné služby jako
u elektronického podpisu; obdoba české elektronické značky • Časové razítko – v ČR běžně používáno • Služba elektronického doporučeného doručování - systém podobný datovým schránkám • Kvalifikované certifikáty pro autentizaci internetových stránek – snaha EU nahradit produkty Verisign, Thawte, Symantec a jiných mimoevropských firem.
Elektronická pečeť Z hlediska účelu obdoba elektronické značky upravené v českém zákonu o e-podpisu. ALE – elektronická pečeť podle eIDAS vykazuje několik odlišností, takže nelze stávající e-značky jednoduše „překlopit“ do režimu e-pečetí. U řady klientů - včetně veřejné správy - si vyžádá úpravy systémů a tedy i odpovídající investiční prostředky. Návrhy na zachování elektronických značek, ovšem uznatelných pouze v ČR, I.CA nepodporuje, neboť jdou proti smyslu eIDAS – přeshraniční uznatelnost elektronické komunikace.
Služby vytvářející důvěru • Služby vytvářející důvěru – může poskytovat kdokoliv, kdo splní základní podmínky eIDAS. • Kvalifikované služby vytvářející důvěru – může poskytovat kdokoliv, kdo – splní podmínky eIDAS pro „kvalifikované“ – projde vstupním a následnými audity – bude uveden v seznamech EU – bude pod trvalým dohledem státu (MV). • eIDAS – pamatuje na zachování kontinuity – platnosti certifikátů (nebudou s účinností nové legislativy zneplatňovány) – poskytování služeb akreditovaných (kvalifikovaných) poskytovatelů – 1 rok jim zůstává stávající statut. Pro poskytovatele poměrně náročný úkol, z hlediska klientů ovšem nezbytné.
eIDAS – koho se týká eIDAS, včetně služeb vytvářejících důvěru, se týká všech agend komerční sféry a veřejné správy, které jsou zajišťovány elektronicky, například z nejznámějších jmenujme: - Informační systém datových schránek a Czech POINTy - komunikace v oblasti daní, cel, sociálního zabezpečení atd. - správní řízení - elektronické bankovnictví - služby ve zdravotnictví – zdravotnická dokumentace, eRecept.
Priority I.CA podle požadavků zákazníků I.CA bude na základě dosavadních zkušeností s požadavky zákazníků rozvíjet zejména následující služby: – Ověřování elektronických podpisů – Čipové karty – MobileSign – LTV podpisy – Vytváření elektronického podpisu na dálku – Mandátní certifikáty Zachovány zůstanou „tradiční“ služby – vydávání různých typů certifikátů, časových razítek, tvorba aplikací podle požadavků zákazníků aj.
Ověřování elektronických podpisů Princip: Bez této služby musí každý příjemce ověřovat sám každý jednotlivý podpis – je otázka, jak kvalitně ověření probíhá (a zda vůbec). Nesprávné ověření může mít velmi nepříjemné důsledky (např. zpochybnění transakce). Výstupem služby je: Stav ověření (platný/neplatný podpis, nelze ověřit, důvod, proč nelze ověřit), čas, ke kterému se ověřovalo, zdroj času (čas obdržení požadavku, časové razítko, parametr zadaný uživatelem, data, na základě kterých bylo ověření provedeno – číslo CRL), hash ověřovaných dat. Formu výstupu lze volit (např. protokol).
Čipové karty • Princip: Bezpečnost elektronického podpisu je závislá na bezpečném uložení podepisovacího (soukromého) klíče. Klíč uložený v paměti PC je chráněný minimálně, klíč uložený na externím nosiči výrazně lépe. Nejbezpečnějším nosičem je kvalifikovaný prostředek pro vytváření elektronických podpisů, se kterým se vytváří kvalifikovaný elektronický podpis. I.CA je jediným poskytovatelem v ČR. Čipová karta Starcos 3.0 a 3.2, Kvalifikovaný prostředek pro vytváření e-podpisů
Čipové karty – pokračování eIDAS: „Kvalifikovaný elektronický podpis má právní účinek rovnocenný vlastnoručnímu podpisu.“ Nejedná se o novinku, vyplývá to už ze směrnice z roku 1999. Řada členských států stanovila povinné používání kvalifikovaných prostředků, někdy ve spojení s elektronickým OP. Povinné je například i na Slovensku. V ČR není eOP kvalifikovaným prostředkem; slouží pro ukládání soukromého klíče a kvalifikovaného certifikátu (v návrhu i komerční certifikát pro autentizaci) – I.CA jako jeden z poskytovatelů také zajišťuje. Česká republika při přípravě adaptačního zákona opět zvažuje obejití tohoto principu, nebo alespoň několikaletý odklad. Ocitáme se tak mezi státy s velmi nízkou úrovní bezpečnosti elektronické komunikace.
MobileSign Princip: K vytvoření elektronického podpisu není třeba PC nebo notebook, postačí mobilní telefon. Oceňují manažeři. • Řešení elektronického podpisu transakcí na smartphone (iOS, Android). Lze využít také jako náhradu OTP a SMS autorizace. • I.CA MobileSign poskytuje velký prostor pro customizaci a parametrizaci dle individuálních požadavků. • Klient pouze kontroluje pokyn a schválí zadáním PIN, což snižuje chybovost při autorizaci transakce a představuje výraznou úsporu nákladů. • Uplatnění zejména v bankovnictví. • EU řadí „podepisování prostřednictvím mobilních zařízení“ k inovačním řešením a shledává jej velmi perspektivním.
LTV podpisy Princip: Platnost elektronického podpisu lze běžnými prostředky ověřit pouze po určitou dobu. Proto se zavádějí LTV signatures (long term validation). Přestože EU normy nemají definitivní podobu, I.CA již vyvíjí a úspěšně testuje: • Automatické vkládání následných časových razítek a validačních dat do vnitřní struktury dokumentu. • Umožnění přímého ověřování dokumentů v reálném čase. • Uchovávání dokumentů po požadovanou dobu (10, 20 a více let). Zajištění plné ověřitelnosti dokumentu v průběhu celého období uložení. • Zpřístupňování dokumentů on-line.
Vytváření e-podpisu na dálku Princip: Podepisující osoba má možnost svěřit kvalifikované prostředky pro vytváření elektronických podpisů (včetně podepisovacího, tj. soukromého klíče) do péče třetí straně – kvalifikovanému poskytovateli. Předpoklad: Jsou zavedeny odpovídající mechanismy a postupy, které zajišťují, že podepisující osoba má výhradní kontrolu nad používáním svých podepisovacích dat a použitím tohoto prostředku jsou splněny požadavky na kvalifikovaný elektronický podpis. Bezpečnostně velmi náročné. EU předpokládá prudký rozvoj - ekonomická výhodnost pro uživatele, vyšší bezpečnost (největší riziko představuje uživatel).
Mandátní certifikáty Princip: Mandátním certifikátem prokazuje fyzická osoba – mandatář svoje oprávnění • jednat jménem mandanta, • jednat jako orgán veřejné moci • oprávnění vykonávat činnost nebo funkci. Na Slovensku může být mandátní certifikát vydaný jen pro taková oprávnění, která jsou evidovaná a publikovaná NBÚ SR v Seznamu oprávnění. V ČR nemá obdobu.
Závěr
Děkuji za pozornost.
[email protected]