Elektronický podpis – důvěra ve světě informačních technologií

19.04.2006 | , AEC
FIRMY


O elektronickém podpisu jste již určitě slyšeli. V českých médiích se o něm mluví zejména v souvislosti s elektronickou komunikací občanů se státní správou a podatelnami. Zkusme si dnes tedy vysvětlit alespoň základní principy fungování této zajímavé technologie.

Elektronický podpis představuje nástroj, který umožňuje bezpečně a spolehlivě určit identitu dané osoby. Je založen na principu asymetrického šifrování (viz předchozí díl seriálu). Díky němu můžeme v praxi zajistit např. nepopiratelnost autorství určitého elektronického dokumentu daleko spolehlivěji, než pomocí klasického vlastnoručního podpisu u dokumentu „papírového“.

Každá změna elektronicky podepsaného dokumentu má za následek porušení jeho podpisu. Bezpečně tedy poznáme jakékoliv nežádoucí zásahy do jeho obsahu. Navíc můžeme velice jednoduše kombinovat podpis se šifrováním a zajistit tak ochranu podepsaných dat před vyzrazením. S elektronickým podpisem úzce souvisí technologie časové značky, která důvěryhodně určuje okamžik, kdy data v konkrétní podobě existovala, nebo kdy byl podpis vytvořen a zabraňuje tak případným podvodům.

Jak se to dělá?
Samotný elektronický podpis vzniká tak, že se nejprve určí otisk podepisovaných dat (tzv. HASH), který se následně zašifruje soukromým klíčem dané osoby. Vycházíme z toho, že soukromý klíč má v držení pouze jediná osoba. Ověření platnosti podpisu na druhé straně potom probíhá tak, že se porovná otisk dat z podpisu (dešifruje se pomocí veřejného klíče) s aktuálním otiskem daného souboru. Pokud jsou oba otisky stejné, podpis platí. Pokud se liší, je zřejmé, že podpis (zašifrovaný otisk) k daným datům nepatří, nebo že data byla po podpisu změněna.

Aby bylo možné ověřit totožnost osoby, která elektronický podpis vytvořila, je třeba svázat veřejný klíč s osobními údaji. Proto je v technologii elektronického podpisu zaveden tzv. digitální certifikát, který vystavuje certifikační autorita. S trochou nadsázky bychom mohli říci, že digitální certifikát je něco jako elektronický občanský průkaz. Veřejný klíč se jednoduše doplní patřičnými osobními údaji (jméno, příjmení, bydliště, e-mail, telefon atd.) a certifikační autorita obě části spojí svým elektronickým podpisem. Tím se zaručuje za totožnost dané osoby a současně zajišťuje nezměnitelnost obsahu certifikátu (došlo by k porušení jeho podpisu).

Jak na to?
Pokud chcete používat elektronický podpis, musíte si nejprve vygenerovat klíčový pár. Soukromý klíč si uschováte tak, aby se k němu nemohl dostat nikdo nežádoucí (např. na čipovou kartu). Veřejný klíč doplníte o svoje osobní údaje do formy tzv. elektronické žádosti o vydání digitálního certifikátu. Všechno toto se děje v rámci dané aplikace na vašem počítači (speciální program, internetový prohlížeč). Žádost si poté uložíte na přenosné médium (CD, disketa, USB disk apod.) a společně se svými osobními doklady osobně doručíte do kanceláře vybrané certifikační autority. Pokud chcete elektronický podpis využívat ke komunikaci se státní správou, musí být tato certifikační autorita akreditována Ministerstvem informatiky ČR (Česká pošta, I. CA), pokud ne, postačí jakákoliv komerční certifikační autorita (např. TrustPort.cz). Úředník v kanceláři certifikační autority ověří pomocí osobních dokladů vaši totožnost, zkontroluje data v elektronické žádosti, uzavře s vámi písemnou smlouvu, vyinkasuje určitou částku a vystaví digitální certifikát, který obvykle platí jeden rok. Ten si přinesete zpátky k počítači, na kterém jste generovali klíčový pár a nahrajete jej do něj. Cílem je spárovat soukromý klíč s digitálním certifikátem. Kompletní klíčový pár je vhodné zpětně vyexportovat a zálohovat na bezpečném místě. K tomu, abyste mohli elektronicky podepisovat potřebujete vždy kompletní klíčový pár – samotný digitální certifikát je vám na nic (!). Proto je nevhodné si klíčový pár generovat např. v internetové kavárně.

Certifikační autorita má ze zákona (o elektronickém podpisu č. 227/2000 Sb. ve znění pozdějších novel) povinnost poskytovat některé služby, jako je např. zveřejňování vydaných digitálních certifikátů nebo poskytování tzv. seznamů zneplatněných certifikátů. Pokud vám někdo ukradne váš soukromý klíč, máte povinnost to bez prodlení oznámit autoritě, která obratem zneplatní váš certifikát uvedením jeho sériového čísla na tomto seznamu a dá tak všem najevo, že podpis vytvoření tímto klíčem není důvěryhodný.

Co k tomu potřebujete?
Pokud vlastníte funkční klíčový pár (soukromý klíč + digitální certifikát) nabízí se vám řada možností, jak jej využívat. V rámci internetového prohlížeče ho můžete používat k autentizaci přístupu na určité webové stránky, případně k šifrování komunikace. V rámci poštovního klienta (např. MS Outlook) zase můžete podepisovat a šifrovat e-maily apod. K využití elektronického podpisu není zpravidla třeba využívat žádné speciální aplikace. Již při generování klíčů na stránkách certifikační autority si vystačíte jen s Internet Explorerem. Pokud však budete chtít podepisovat jednotlivé soubory (např. dokumenty), je vhodné využívat k tomu nějakou samostatnou aplikaci (např. TrustPort eSign). Při výběru programu si dejte pozor především na to, aby podporoval současné kryptografické standardy a šifrovací algoritmy (zejména digitální certifikáty ve formátu X509v3). Některé levné nebo freewarové aplikace mohou mít právě s tímto značné problémy...

Seriál AEC

 
V dalším dílu seriálu s názvem Skartace dat – proč jen mazat nestačí se budeme věnovat problematice speciálních bezpečnostních nástrojů pro skartaci elektronických dat.

Seriál připravili specialisté z firmy AEC Data Security Company. Více informací o bezpečnosti se dozvíte na těchto stránkách.

Pro čtenáře Finance.cz jsme připravili speciální akci. Na této stránce se můžete zaregistrovat a získáte zdarma na jeden rok licenci na užívání softwaru TrustPort Workstation. V roletce Promo akce vyberte Finance.cz a zadejte heslo FIN1145PHOENIX0203WS.

Autor článku

Petr Nádeníček

Články ze sekce: FIRMY