Elektronický podpis

Z Wikipedie, otevřené encyklopedie
Skočit na: Navigace, Hledání

Elektronický podpis (též digitální podpis, oficiálně kvalifikovaný certifikát[1]) je v informatice označení specifických dat, které v počítači nahrazují klasický vlastnoruční podpis, respektive ověřený podpis. Je připojen k datové zprávě nebo je s ní logicky spojen, takže umožňuje ověření totožnosti podepsané osoby ve vztahu k datové zprávě. Elektronický podpis je prostředek k tomu, jak v anonymním světě internetu ověřit totožnost odesílatele.

Elektronický podpis je vytvořen pro konkrétní data a je možné pomocí počítače ověřit, zda je platný a zda jsou data v té podobě, ve které byla podepsána. Součástí elektronického podpisu je identifikace toho, kdo podpis vytvořil. Ověření elektronického podpisu zahrnuje kromě matematických operací i přenos důvěry z důvěryhodné třetí strany na tvůrce podpisu a následně na důvěryhodnost elektronicky podepsaného dokumentu. K tomu se využívá digitální certifikát a certifikační autorita nebo síť důvěry.

V České republice existují v současnosti (2014) pouze tři subjekty oprávněné vydávat elektronický podpis.[2] Podle evropského nařízení eIDAS bude zavedena elektronická identita.[3]

Vlastnosti elektronického podpisu[editovat | editovat zdroj]

Elektronický podpis umožňuje ověřit několik skutečností:

Autenticita
Autenticita znamená, že lze ověřit identitu subjektu, kterému patří elektronický podpis. Autenticita je realizována pomocí přenosu důvěry (viz dále).
Integrita
Pomocí integrity lze prokázat, že od vytvoření elektronického podpisu nedošlo k žádné změně v podepsaném dokumentu, tj. že dokument (podepsaný soubor) není úmyslně či neúmyslně poškozen.
Nepopiratelnost
Nepopiratelnost znamená, že autor nemůže tvrdit, že elektronický podpis příslušný k dokumentu nevytvořil. Důvodem je fakt, že pro vytvoření elektronického podpisu je potřeba privátní klíč, který je těsně svázán s veřejným klíčem, pomocí kterého dochází k matematickému ověření elektronického podpisu. Bez přístupu k privátnímu klíči nelze elektronický podpis vytvořit a ověření elektronického podpisu může být provedeno jen veřejným klíčem, který k němu patří.
Časové ukotvení
Elektronický podpis může obsahovat časové razítko, které prokazuje datum a čas podepsání dokumentu. Časové razítko vydává důvěryhodná třetí strana, a protože je součástí elektronického podpisu, lze ji ověřit stejným postupem, jako elektronický podepsaný dokument.

Princip funkce[editovat | editovat zdroj]

Podepsání a ověření elektronického podpisu (s použitím kryptografie s veřejným klíčem)

Princip elektronického podpisu vychází z existence nějaké soukromé informace, kterou vlastní jenom podepisující osoba a nikdo jiný, a tato informace reprezentuje jeho schopnost vytvořit elektronický podpis pod určitým dokumentem. Toto číslo je tajnou informací – daty pro vytvoření elektronického podpisu. U elektronického podpisu podepisování probíhá velmi podobně jako na papíru, přičemž místo papírového dokumentu je k dispozici elektronický dokument (v podstatě jedno velmi velké číslo) a místo podpisové schopnosti existuje druhé číslo – tajné podepisovací číslo. Určitým matematickým spojením těchto dvou čísel vzniká číslo nové, a tím je právě elektronický podpis. Ten je možné připojit k podepisovanému dokumentu, přenášet jej s ním na dálku – např. e-mailem, uložit podepsaný dokument na jakékoliv médium umožňující digitální záznam apod.

Podepsání elektronického dokumentu probíhá tak, že se „prožene“ speciálním programem, který vygeneruje z obsahu dokumentu a ze soukromého klíče určitou posloupnost znaků, kterou připojí ke zprávě jako její digitální podpis. Takto podepsaná zpráva je odeslána příjemci. Příjemce použije druhý klíč, komplementární k předchozímu – tzv. veřejný klíč, pomocí nějž může ověřit pravost podpisu (tj. provést identifikaci a autentizaci odesilatele) a neporušenost obsahu (integritu) zprávy.

Kryptografická technologie[editovat | editovat zdroj]

Pro elektronické podpisy se dnes používá především metody asymetrické kryptografie, tedy metody používající dvou klíčů – tajného (soukromého) a veřejného. K vytvoření elektronického podpisu může posloužit i symetrická kryptografie, pak jde ovšem o arbitrovaný protokol; aplikace asymetrických algoritmů je výrazně pomalejší než užití algoritmů symetrických, což vyplývá z matematického principu metody. Proto se mnohdy při tvorbě podpisu nešifruje soukromým klíčem odesilatele celá zpráva, ale nejprve se na obsah elektronického dokumentu použije takzvaná hashovací funkce. Jde o jednosměrnou transformaci, která z dokumentu vytvoří určitou jí reprezentující hodnotu (textový řetězec) pevné délky – tzv. hash hodnotu (opačný postup, tedy z hash hodnoty vytvořit původní dokument, není možný), což je poměrně krátké číslo (typicky několik stovek bitů). Ta se zašifruje některým asymetrickým algoritmem s použitím soukromého klíče podepisující osoby. Výsledkem je elektronický podpis, který splňuje stejná bezpečnostní kritéria jako podpis celého dokumentu, provedení však trvá nesrovnatelně kratší dobu.

Kontrola digitálního podpisu zprávy u příjemce probíhá tak, že ke zprávě je podle dohodnutého algoritmu samostatně dopočítána nová hash hodnota. Poté je pomocí veřejného klíče autora podpisu dešifrován obsah elektronického podpisu a výsledek je porovnán s vypočteným hashem zprávy. Pokud jsou obě hodnoty hashe stejné, je podpis z matematického hlediska platný. V tuto chvíli však není možné považovat platný elektronický podpis za zcela důvěryhodný, protože není jisté, kdo je majitelem veřejného klíče, pomocí kterého došlo k matematickému ověření podpisu.

Přenos důvěry[editovat | editovat zdroj]

Důvěryhodnost platného elektronického podpisu je nutné zjistit pomocí principu přenosu důvěry z důvěryhodné třetí strany na údaj o majiteli veřejného klíče, pomocí kterého došlo k úspěšnému matematickému ověření platnosti elektronického podpisu (viz minulý odstavec). K tomu je využíván digitální certifikát, který vydává důvěryhodná certifikační autorita. Digitální certifikát je vlastně elektronicky podepsaný veřejný klíč, ke kterému jsou připojeny identifikační údaje jeho majitele. Pokud věříme, že certifikační autorita podepsala veřejný klíč teprve poté, že jeho majitel prokázal svoji totožnost (například občanským průkazem) můžeme po ověření matematické platnosti elektronického podpisu certifikační autority, který je umístěn pod veřejným klíčem (viz minulý odstavec), přenést důvěru v certifikační autoritu na identifikaci majitele, která je ve zkoumaném veřejném klíči uvedena. Ovšem v tomto okamžiku se dostáváme do stejné situace jako na začátku odstavce, protože k ověřování elektronického podpisu certifikační autority potřebujeme veřejný klíč certifikační autority, avšak abychom důvěru mohli přenést, musíme si být jisti, že údaje o certifikační autoritě jsou správné (tj. že věříme správně certifikační autoritě a ne podvodníkovi, který se za certifikační autoritu jen vydává).

Úložiště certifikátů[editovat | editovat zdroj]

Při kontrole údajů ve veřejném klíči certifikační autority můžeme opět využít elektronický podpis, protože za pravost údajů by se mohla zaručit „vyšší“ certifikační autorita. Ovšem tak bychom se dostali do nekonečného ověřování dalších a dalších elektronických podpisů a veřejných klíčů (tj. digitálních certifikátů). Proto v počítačích existuje úložiště certifikátů, ve kterém jsou shromážděny tak zvané kořenové certifikáty, což jsou veřejné klíče „nejvyšších certifikačních autorit“. Pokud uživatel počítače bude důvěřovat, že má v úložišti nezfalšované kořenové certifikáty, může tuto důvěru pomocí postupného ověření elektronických podpisů přenést na veřejné klíče uvedené výše v tomto textu a nakonec až na elektronicky podepsaný dokument.

Používané algoritmy[editovat | editovat zdroj]

Pro elektronický podpis se používají tyto algoritmy:

Zaručený a uznávaný elektronický podpis[editovat | editovat zdroj]

V české legislativě je definován zaručený elektronický podpis, který vyhovuje uznávání státní správou (zákon č. 227/2000 Sb., o elektronickém podpisu). Zákon rozlišuje elektronický podpis, který identifikuje fyzickou osobu, a právnickou osobu, která se prokazuje elektronickou značkou čili elektronickou pečetí (obdoba firemního nebo úředního razítka). Zaručený elektronický podpis umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě a je k ní připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat.

Protože ale zaručený elektronický podpis v podstatě pouze ověřuje, že byl daný dokument podepsán, existuje ještě uznávaný elektronický podpis, z něhož již jde díky soukromému klíči poznat, která konkrétní osoba jej doopravdy podepsala. To dokáží poznat certifikační autority, které vystavily příslušný certifikát.

Poskytovatelé certifikačních služeb[editovat | editovat zdroj]

Podle zákona je touto stranou poskytovatel certifikačních služeb, což je soukromoprávní subjekt, poskytující službu spočívající v propojení fyzické osoby s jejím veřejným klíčem prostřednictvím tzv. certifikátu. Certifikátem zaručuje, že veřejný klíč patří opravdu tomu, kdo je označen jako jeho vlastník. Certifikát je tedy také elektronický dokument, který k tomu, aby mohl sloužit svému účelu, musí být elektronický podepsán poskytovatelem certifikačních služeb. (Tím je chráněn jeho obsah proti zásahu podobně, jako jiné podepsané elektronické dokumenty.)

Může dokonce existovat více certifikátů, má-li osoba více dvojic klíčů, určených pro různé příležitosti. Jeden jako soukromá osoba, jeden jako statutární představitel firmy, jeden jako člen zájmového spolku apod. Certifikát může obsahovat i pověření osoby nebo limit transakcí, které lze takto podepsat.

Akreditované certifikační autority[editovat | editovat zdroj]

Subjekty v této skupině mají pro nás největší význam. Ten vyplývá ze skutečnosti, že při komunikaci se státní správou je vyžadován kvalifikovaný certifikát vydaný akreditovaným poskytovatelem certifikačních služeb. Tyto certifikáty, které mohou pochopitelně vydat pouze akreditované subjekty, mají nejširší možnost použití. Samostatný proces akreditace nám zaručuje velice dobrou jistotu zejména o bezpečnosti takových certifikátů a o tom, poskytovatel disponuje dostatečnými prostředky na krytí případných škod. Lze říci, že certifikáty akreditovaných poskytovatelů jsou nejjistější. Akreditovaný poskytovatel musí splnit určité podmínky, které se na ostatní poskytovatele nevztahují. Zejména se jedná o § 10 ZoEP a vyhlášku č. 366/2001 Sb. Úřadu pro ochranu osobních údajů.

Veřejné CA[editovat | editovat zdroj]

Do další skupiny spadají certifikační autority, které sice nemají akreditaci, ale nabízejí své certifikační služby veřejnosti. Těchto společností je na trhu více než v případě první skupiny. Zajímavou certifikační autoritou byla do roku 2011 CA Czechia, která měla poměrně široké portfolio služeb. Byla dceřinou společností brněnské firmy ZONER software, a. s.

Soukromé CA[editovat | editovat zdroj]

Soukromých certifikačních autorit existují v ČR desítky až stovky. V podstatě může být takovou CA každý, kdo má potřebné know how (když jej nemá může ještě využít nějaké nabídky jako např. Globe internet). Pro velké a známé organizace je tato cesta levnější, než pořizování certifikátů od externí certifikační autority. Organizace zaručuje certifikáty svým jménem. Typické je, že tyto autority nevydávají certifikáty široké veřejnosti. Nefungují jako na trhu komerční subjekty. Certifikáty jsou vydávány pro potřeby organizace, nebo jejich partnerů klientů apod. Soukromé CA jsou většinou provozovány univerzitami, provozovateli webhostingu a podobných služeb nebo velkými podniky.

Využití uznávaného elektronického podpisu[editovat | editovat zdroj]

  • při podání přehledu o příjmech a výdajích OSVČ
  • u přihlášky a odhlášky k nemocenskému pojištění
  • u přiznání k DPH
  • při elektronické komunikaci se státní správou
  • při elektronické komunikaci s krajskými a městskými úřady
  • při elektronické komunikaci se zdravotními pojišťovnami
  • při žádosti o sociální dávky
  • při podávání žádostí o dotace EU
  • při použití datové schránky
  • při podepisování faktur
  • jako elektronický podpis PDF dokumentů

Legislativa[editovat | editovat zdroj]

Legislativa ČR[editovat | editovat zdroj]

V České republice byl zákon o elektronickém podpisu přijat v roce 2000 a ČR se tak stala třetí zemí, kde vstoupil v platnost zákon upravující užívání elektronického podpisu. Úřad pro ochranu osobních údajů udělil První certifikační autoritě, a. s., akreditaci pro výkon činnosti akreditovaného poskytovatele certifikačních služeb ve smyslu zákona č. 227/2000 Sb., o elektronickém podpisu, s účinností od 18. března 2002. Tím byla prakticky zahájena éra využívání a legalizace zaručeného elektronického podpisu v Česku. Zákon vychází ze směrnice Evropského parlamentu a Rady 1999/93/ES.

Český zákon o elektronickém podpisu (ZoEP-ČR) definuje elektronický podpis jako „údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené, a které slouží jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě“, což je v podstatě rozšířená definice daná směrnicí.

Legislativa EU[editovat | editovat zdroj]

Ve většině legislativ zemí EU je zřejmá snaha o zrovnoprávnění vlastnoručního podpisu a jisté formy elektronického podpisu v rámci jeho znatelnosti při právních úkonech v souladu s příslušným článkem směrnice. V legislativě původních členských států EU (15) jsou jasná pravidla pro uznávání kvalifikovaných certifikátů vydaných zahraničními poskytovateli certifikačních služeb. V nových a přistupujících zemích je podle situace komplikovanější. Počet sledovaných a akreditovaných CA vydávajících kvalifikované certifikáty se v jednotlivých zemích výrazně liší. V několika zemích není dokonce vůbec žádný akreditovaný poskytovatel certifikačních služeb a v mnoha pouze jeden. V zemích, kde je vydáváno větší množství kvalifikovaných certifikátů, se tak zpravidla děje na popud a pro potřebu státních institucí. V podstatě až na výjimky neexistuje poptávka po certifikačních službách pro širší využití. Výjimky jsou téměř bezvýhradně spojeny s použitím elektronického podpisu v bankovních aplikacích a v aplikacích používaných veřejnou správou.

Odkazy[editovat | editovat zdroj]

Reference[editovat | editovat zdroj]

  1. http://www.postsignum.cz/kvalifikovane_certifikaty.html
  2. http://www.mvcr.cz/clanek/prehled-kvalifikovanych-poskytovatelu-certifikacnich-sluzeb-a-jejich-kvalifikovanych-sluzeb.aspx
  3. http://www.earchiv.cz/b14/b1006002.php3 - Jaká bude naše národní elektronická identita?

Literatura[editovat | editovat zdroj]

  • BUDIŠ, Petr; ŠTĚDROŇ, Bohumír. Elektronické komunikace. 1. vyd. Slovakia : Magnet Press, 2008. 110 s. ISBN 978-80-89169-11-5.  
  • HORNÍK, Jiří. Elektronický podpis [online]. [cit. 2011-01-25]. Dostupné online.  
  • RYBKA, Michal; MALÝ, Ondřej. Jak komunikovat elektronicky. 1. vyd. Praha : Grada, 2002. 92 s. ISBN 80-247-0208-8.  
  • SMEJKAL, Vladimír. Internet a §§§. 2 aktualizované. vyd. Praha : Grada, 2001. 284 s. ISBN 80-247-0058-1.  
  • ŽEMLIČKA, Michal. E-mail, chat, sms : praktický průvodce elektronickou komunikací. 1. vyd. Brno : Computer Press, 2003. 110 s. ISBN 80-7226-928-3.  
  • Zákon č. 227/2000 Sb., o elektronickém podpisuDostupné online. (Alternativní odkaz)

Související články[editovat | editovat zdroj]

Externí odkazy[editovat | editovat zdroj]