Konverze dokumentů z pohledu klienta eGovernmentu Jiří Peterka, 15.4.2010
připomenutí konverze z listinné do elektronické podoby konverze z elektronické do listinné podoby
(autorizovaná) konverze z moci úřední (autorizovaná) konverze na žádost 16. Sympozium EDI(FACT a eB), 15.4.2010
co velí zdravý rozum?
zachovat při konverzi co nejvíce informací !!!!!
přenést je z jedné podoby dokumentu do druhé
jistota „NE“
pochybnosti
konvertovat jen tam, kde je (rozumná) jistota o pravosti originálu (vstupu do konverze)
a splněny další náležitosti, požadované zákonem
nevím
konverze z elektronické do listinné podoby 16. Sympozium EDI(FACT a eB), 15.4.2010
jistota „ANO“
ad zachování informací při konverzi
při konverzi z listinné do elektronické podoby se snímá (a tím přenáší do el. podoby) i grafická podoba vlastnoručního podpisu, včetně eventuelního razítka
16. Sympozium EDI(FACT a eB), 15.4.2010
při konverzi z elektronické do listinné podoby se elektronický podpis jako takový nepřenáší do listinné podoby
jak se (z výstupu konverze) pozná, kdo dokument podepsal?
jak poznat, kdo originální dokument podepsal?
na konverzní doložce je uvedeno pouze číslo certifikátu a dále identita vystavitele certifikátu (certifikační autority)
nikoli jméno toho, komu byl vystaven použitý certifikát !!!
každý (podpisový) certifikát v sobě nese údaj o tom, komu byl vystaven
16. Sympozium EDI(FACT a eB), 15.4.2010
položka Common Name (CN) v údajích o subjektu
certifikát se přikládá k el. podpisu (do elektronického dokumentu) ale:
při konverzi se nepřenáší !!!!
jak poznat, kdo dokument podepsal?
je možné nějak jinak zjistit, komu patří (komu byl vystaven) certifikát, využitý při podpisu elektronického dokumentu? pro veřejné certifikáty: ano, pro neveřejné certifikáty: ne pohledem do evidence vydaných certifikátů příslušné CA
neveřejný certifikát (CA nezveřejňuje, komu ho vystavila) 16. Sympozium EDI(FACT a eB), 15.4.2010
otázka: kdy konvertovat?
připomenutí jistota „NE“
nevím
pochybnosti
jistota „ANO“
co patří do situací, kdy lze mít jistotu o nepravosti vstupního dokumentu v elektronické podobě?
například když je porušena integrita dokumentu
význam: dokument byl od podpisu pozměněn = jde už o jiný dokument!!
16. Sympozium EDI(FACT a eB), 15.4.2010
do 4.2.2010 bylo možné autorizovaně konvertovat i elektronický dokument s porušenou integritou
otázka: kdy konvertovat? jistota „NE“
konverze z listinné do elektronické podoby
nevím
pochybnosti
konverze z elektronické do listinné podoby:
zákon říká, že se nekonvertuje už při POCHYBNOSTECH ….
porušení integrity lze zjistit exaktně!!
č. 300/2008 Sb., §24/5/c: Konverze se neprovádí … jsou-li v dokumentu v listinné podobě změny, doplňky, vsuvky nebo škrty, které by mohly zeslabit jeho věrohodnost …
16. Sympozium EDI(FACT a eB), 15.4.2010
jistota „ANO“
tj. dozvídáme se s jistotou, zda dokument byl změněn či nebyl změněn
a jak této možnosti využívá zákon?
názor: nevyužívá
trocha teorie
připomenutí:
elektronický podpis je platný, pokud současně platí, že: není porušena integrita podepsaného dokumentu certifikátu, na kterém je el. podpis založen, ještě neskončila řádná doba jeho platnosti
1. 2.
certifikáty, používané pro el. podpis, se vystavují na 1 rok
certifikát, na kterém je el. podpis založen, nebyl v okamžiku vzniku el. podpisu revokován
3.
certifikát lze tzv. revokovat (předčasně ukončit jeho platnost) jen v době jeho řádné platnosti
později by to nemělo smysl – certifikát je už tak jako tak neplatný
zdůraznění:
k tomu, aby elektronický podpis neplatil, stačí nesplnění jediné podmínky
a naopak: k tomu, aby elektronický podpis platil, musí být splněny všechny podmínky (současně)
porušená integrita stačí k neplatnosti elektronického podpisu
ale naopak: neporušená integrita nestačí k platnosti elektronického podpisu
16. Sympozium EDI(FACT a eB), 15.4.2010
co říká zákon?
podle toho, jak zákonu rozumím já:
platnost elektronického podpisu není nutnou podmínkou k autorizované konverzi (na žádost) z elektronické do listinné podoby
zákon požaduje pouze existenci elektronického podpisu, nikoli jeho platnost:
zákon neuvádí neplatnost podpisu mezi překážkami konverze
„Konverze se neprovádí …. nebyl-li dokument obsažený v datové zprávě podepsán uznávaným elektronickým podpisem …. toho, kdo dokument vydal nebo vytvořil“
naopak:
v požadavcích na obsah konverzní doložky zákon požaduje uvést
„údaj o tom, zda byl vstup podepsán platným uznávaným elektronickým podpisem nebo označen platnou uznávanou elektronickou značkou …“
16. Sympozium EDI(FACT a eB), 15.4.2010
má se konvertovat když „nevím“? jistota „NE“
jistota „ANO“
„Konverze se neprovádí …. nebyl-li dokument obsažený v datové zprávě podepsán uznávaným elektronickým podpisem …. toho, kdo dokument vydal nebo vytvořil“
jak ale toto rozhodnout?
existují kvalifikované certifikáty, vydané na pseudonym
pak není vůbec známo, kdo je podepsanou osobou
i když certifikát popisuje konkrétní osobu, tato nemusí být jednoznačně identifikována
pouhé jméno a příjmení nestačí
i když je držitel certifikátu jednoznačně identifikován, nemusí být známo, zda byl oprávněn dokument podepsat (vytvořit, vydat)
nevím
zákon říká:
pochybnosti
to by se dalo zjistit až z podpisových řádů příslušné organizace
„extrémní“ interpretace, pro interní elektronické podpisy:
připojením (interního) elektronického podpisu vzniká zcela nový dokument (má mj. jiný/nový otisk, resp. hash) pak: dokument vždy vytvořil ten, kdo k němu připojil (poslední) elektronický podpis
ergo: podmínka je splněna vždy a automaticky
16. Sympozium EDI(FACT a eB), 15.4.2010
otázka revokace použitého certifikátu jistota „NE“
pochybnosti
nevím
jistota „ANO“
možný scénář kompromitace soukromého klíče:
okamžik T0: dochází ke ztrátě/zkopírování soukromého klíče okamžik T1: držitel (oprávněná osoba) žádá svou CA o revokaci svého certifikátu, resp. k tomuto okamžiku dochází k revokaci okamžik T2: CA zveřejňuje nový seznam zneplatněných certifikátů (CRL), kde už je předmětný certifikát uveden jako předčasně zneplatněný (revokovaný) okamžik TX: útočník podepsal svůj elektronický dokument cizím (ukradeným) soukromým klíčem, a zároveň opatřil časovým razítkem okamžik TY: útočník žádá o provedení konverze svého dokumentu T0
T1
až 12 hodin (PostSignum, eIdentity) až 24 hodin (I.CA)
16. Sympozium EDI(FACT a eB), 15.4.2010
T2
možný scénář zneužití kompromitovaného certifikátu T2
T1
T0
útočník stihl podepsat svůj dokument (a opatřit ho časovým razítkem) ještě před okamžikem, ke kterému došlo k revokaci
TX
oprávněná osoba má smůlu již neprokáže, že jde o zneužití a o neplatný podpis,
T0
bez ohledu na to, kdy bude útočník žádat o konverzi (a zda vůbec)
T2
T1 TX
útočník stihl podepsat svůj dokument (a opatřit ho časovým razítkem) až po okamžiku, ke kterému došlo k revokaci
útočník má smůlu
oprávněná osoba může prokázat, že jde o zneužití a o neplatný podpis,
16. Sympozium EDI(FACT a eB), 15.4.2010
situace z pohledu konverzního pracoviště (dokument ke konverzi je opatřen časovým razítkem)
TY TX
žadatel přichází se žádostí o konverzi v čase TY
se žádostí o konverzi dokumentu, který vznikl v čase TX (podle časového razítka)
obsluha konverzního pracoviště nemá podle čeho poznat, zda jde o útočníka (někoho, kdo zneužil cizí podpis)
obsluha nezná časy T1 (kdy došlo k ev. předčasnému zneplatnění / revokaci certifikátu)
+12/24 hodin
tudíž nezná ani dobu T2, kdy bude informace o revokaci zveřejněna, formou CRL (seznamu zneplatněných certifikátů) nedokáže porovnat doby T1 a T2 s dobami TX a TY
proto:
obsluha konverzního pracoviště získá jistotu až v okamžiku TX+12 hodin (pro PostSignum a eIDentity), resp. TX+24 hodin (pro I.CA)
kdy nejpozději musí dojít ke zveřejnění seznamů CRL
16. Sympozium EDI(FACT a eB), 15.4.2010
situace z pohledu konverzního pracoviště (dokument ke konverzi je opatřen časovým razítkem)
TY TX
+12/24 hodin
informace o eventuelním zneplatnění je již k dispozici
obsluha konverzního pracoviště má jistotu, že předkládaný dokument byl podepsán před zneplatněním použitého certifikátu
TY TX
+12/24 hodin informace o eventuelním zneplatnění ještě nemusí být k dispozici
obsluha konverzního pracoviště nemá jistotu, že nedošlo k revokaci certifikátu ještě před podpisem předkládaného dokumentu tuto jistotu získá teprve když počká zbývající dobu (do TX+12/24 hodin) důsledek: v okamžiku TY ještě nelze ověřit platnost elektronického podpisu na dokumentu a pokud je přesto provedena konverze, konverzní doložka nemůže konstatovat, že podpis byl ověřen jako platný !!!
16. Sympozium EDI(FACT a eB), 15.4.2010
situace z pohledu konverzního pracoviště (dokument ke konverzi není opatřen časovým razítkem)
žadatel o konverzi přichází v čase TY
předkládaný dokument není opatřen časovým razítkem nelze tedy (spolehlivě) určit, kdy dokument vznikl (okamžik TX)
nezbývá než položit TX = TY !!
tj. pracovat s dokumentem, jako kdyby vznikl teprve v okamžiku podání žádosti o konverzi !!!!
TY = TX
+12/24 hodin
informace o eventuelním zneplatnění ještě nemusí být k dispozici
obsluha konverzního pracoviště nemá jistotu, že nedošlo k revokaci použitého certifikátu ještě před okamžikem podání žádosti o konverzi tuto jistotu získá teprve, když počká 12/24 hodin (do garantovaného vydání nového CRL) důsledek: stejný jako na předchozím slidu
16. Sympozium EDI(FACT a eB), 15.4.2010
možné řešení: „konverzní úschova“
idea: dokumenty ke konverzi nejprve uložit do garantované „konverzní úschovny“ na min. 12/24 hodin
a teprve pak žádat o jejich konverzi
„z úschovny“
obsluha konverzního pracoviště by tak měla jistotu ohledně stavu revokace použitého certifikátu
vložení do úschovny
žádost o provedení konverze
min. 12/24 hodin max. 12/24 hodin informace o eventuelním zneplatnění je již k dispozici
16. Sympozium EDI(FACT a eB), 15.4.2010
děkuji za pozornost Jiří Peterka mailto:
[email protected] http://jiri.peterka.cz tuto přednášku najdete v mém archivu, na adrese www.earchiv.cz, v sekci „přírůstky“
