Elektronický podpis
Elektronický podpis (též digitální podpis) je v informatice označení specifických dat, které v počítači nahrazují klasický vlastnoruční podpis, respektive ověřený podpis. Je připojen k datové zprávě nebo je s ní logicky spojen, takže umožňuje ověření totožnosti podepsané osoby ve vztahu k datové zprávě. Elektronický podpis je prostředek k tomu, jak v anonymním světě internetu ověřit totožnost odesílatele.
Z právního hlediska je elektronický podpis definován jako data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena a která podepisující osoba používá k podepsání[1].
Elektronický podpis je vytvořen pro konkrétní data a je možné pomocí počítače ověřit, zda je platný a zda jsou data v té podobě, ve které byla podepsána. Součástí elektronického podpisu je identifikace toho, kdo podpis vytvořil. Ověření elektronického podpisu zahrnuje kromě matematických operací i přenos důvěry z důvěryhodné třetí strany na tvůrce podpisu a následně na důvěryhodnost elektronicky podepsaného dokumentu. K tomu se využívá digitální certifikát, vydaný certifikační autoritou, nebo síť důvěry.
V České republice existuje několik kvalifikovaných poskytovatelů služeb vytvářejích důvěru, kteří jsou oprávněni mimo jiné vydávat i certifikáty pro elektronické podepisování. Takové poskytovatele označujeme jako akreditované certifikační autority.
Vlastnosti elektronického podpisu
Elektronický podpis umožňuje ověřit několik skutečností:
- Autenticita
- Autenticita znamená, že lze ověřit identitu subjektu, kterému patří elektronický podpis. Autenticita je realizována pomocí přenosu důvěry (viz dále).
- Integrita
- Pomocí integrity lze prokázat, že od vytvoření elektronického podpisu nedošlo k žádné změně v podepsaném dokumentu, tj. že dokument (podepsaný soubor) není úmyslně či neúmyslně poškozen.
- Nepopiratelnost
- Nepopiratelnost znamená, že autor nemůže tvrdit, že elektronický podpis příslušný k dokumentu nevytvořil. Důvodem je fakt, že pro vytvoření elektronického podpisu je potřeba privátní klíč, který je těsně svázán s veřejným klíčem, pomocí kterého dochází k matematickému ověření elektronického podpisu. Bez přístupu k privátnímu klíči nelze elektronický podpis vytvořit a ověření elektronického podpisu může být provedeno jen veřejným klíčem, který k němu patří.
- Časové ukotvení
- Elektronický podpis může obsahovat časové razítko, které prokazuje datum a čas podepsání dokumentu. Časové razítko vydává důvěryhodná třetí strana, a protože je součástí elektronického podpisu, lze ji ověřit stejným postupem, jako elektronický podepsaný dokument.
Princip funkce
Princip elektronického podpisu vychází z existence nějaké soukromé informace, kterou vlastní jenom podepisující osoba a nikdo jiný, a tato informace reprezentuje jeho schopnost vytvořit elektronický podpis pod určitým dokumentem. Toto číslo je tajnou informací – daty pro vytvoření elektronického podpisu. U elektronického podpisu podepisování probíhá velmi podobně jako na papíru, přičemž místo papírového dokumentu je k dispozici elektronický dokument (v podstatě jedno velmi velké číslo) a místo podpisové schopnosti existuje druhé číslo – tajné podepisovací číslo. Určitým matematickým spojením těchto dvou čísel vzniká číslo nové, a tím je právě elektronický podpis. Ten je možné připojit k podepisovanému dokumentu, přenášet jej s ním na dálku – např. e-mailem, uložit podepsaný dokument na jakékoliv médium umožňující digitální záznam apod.
Podepsání elektronického dokumentu probíhá tak, že se „prožene“ speciálním programem, který vygeneruje z obsahu dokumentu a ze soukromého klíče určitou posloupnost znaků, kterou připojí ke zprávě jako její digitální podpis. Takto podepsaná zpráva je odeslána příjemci. Příjemce použije druhý klíč, komplementární k předchozímu – tzv. veřejný klíč, pomocí nějž může ověřit pravost podpisu (tj. provést identifikaci a autentizaci odesilatele) a neporušenost obsahu (integritu) zprávy.
Kryptografická technologie
Pro elektronické podpisy se dnes používá především metody asymetrické kryptografie, tedy metody používající dvou klíčů – tajného (soukromého) a veřejného. K vytvoření elektronického podpisu může posloužit i symetrická šifra, pak jde ovšem o arbitrovaný protokol; aplikace asymetrických algoritmů je výrazně pomalejší než užití algoritmů symetrických, což vyplývá z matematického principu metody. Proto se mnohdy při tvorbě podpisu nešifruje soukromým klíčem odesilatele celá zpráva, ale nejprve se na obsah elektronického dokumentu použije takzvaná hashovací funkce. Jde o jednosměrnou transformaci, která z dokumentu vytvoří určitou jí reprezentující hodnotu (textový řetězec) pevné délky – tzv. hash hodnotu (opačný postup, tedy z hash hodnoty vytvořit původní dokument, není možný), což je poměrně krátké číslo (typicky několik stovek bitů). Ta se zašifruje některým asymetrickým algoritmem s použitím soukromého klíče podepisující osoby. Výsledkem je elektronický podpis, který splňuje stejná bezpečnostní kritéria jako podpis celého dokumentu, provedení však trvá nesrovnatelně kratší dobu.
Kontrola digitálního podpisu zprávy u příjemce probíhá tak, že ke zprávě je podle dohodnutého algoritmu samostatně dopočítána nová hash hodnota. Poté je pomocí veřejného klíče autora podpisu dešifrován obsah elektronického podpisu a výsledek je porovnán s vypočteným hashem zprávy. Pokud jsou obě hodnoty hashe stejné, je podpis z matematického hlediska platný. V tuto chvíli však není možné považovat platný elektronický podpis za zcela důvěryhodný, protože není jisté, kdo je majitelem veřejného klíče, pomocí kterého došlo k matematickému ověření podpisu.
Přenos důvěry
Důvěryhodnost platného elektronického podpisu je nutné zjistit pomocí principu přenosu důvěry z důvěryhodné třetí strany na údaj o majiteli veřejného klíče, pomocí kterého došlo k úspěšnému matematickému ověření platnosti elektronického podpisu (viz minulý odstavec). K tomu je využíván digitální certifikát, který vydává důvěryhodná certifikační autorita. Digitální certifikát je vlastně elektronicky podepsaný veřejný klíč, ke kterému jsou připojeny identifikační údaje jeho majitele. Pokud věříme, že certifikační autorita podepsala veřejný klíč teprve poté, co jeho majitel prokázal svoji totožnost (například občanským průkazem), můžeme po ověření matematické platnosti elektronického podpisu certifikační autority, který je umístěn pod veřejným klíčem (viz minulý odstavec), přenést důvěru v certifikační autoritu na identifikaci majitele, která je ve zkoumaném veřejném klíči uvedena. Ovšem v tomto okamžiku se dostáváme do stejné situace jako na začátku odstavce, protože k ověřování elektronického podpisu certifikační autority potřebujeme veřejný klíč certifikační autority, avšak abychom důvěru mohli přenést, musíme si být jisti, že údaje o certifikační autoritě jsou správné (tj. že věříme správně certifikační autoritě a ne podvodníkovi, který se za certifikační autoritu jen vydává).
Úložiště certifikátů
Při kontrole údajů ve veřejném klíči certifikační autority můžeme opět využít elektronický podpis, protože za pravost údajů by se mohla zaručit „vyšší“ certifikační autorita. Ovšem tak bychom se dostali do nekonečného ověřování dalších a dalších elektronických podpisů a veřejných klíčů (tj. digitálních certifikátů). Proto v počítačích existuje úložiště certifikátů, ve kterém jsou shromážděny tak zvané kořenové certifikáty, což jsou veřejné klíče „nejvyšších certifikačních autorit“. Pokud uživatel počítače bude důvěřovat, že má v úložišti nezfalšované kořenové certifikáty, může tuto důvěru pomocí postupného ověření elektronických podpisů přenést na veřejné klíče uvedené výše v tomto textu a nakonec až na elektronicky podepsaný dokument.
Používané algoritmy
Pro elektronický podpis se používají tyto algoritmy:
- RSA (Rivest-Shamir-Adleman)
- DSA (Digital Signature Algorithm)
- jednosměrné kryptografické hašovací funkce:
Úrovně elektronických podpisů
Česká legislativa rozeznává několik úrovní elektronického podpisu [2]:
- Kvalifikovaný elektronický podpis
- Uznávaný elektronický podpis
- Zaručený elektronický podpis
- Jiné typy elektronických podpisů
Státní správa je povinna při výkonu své činnosti používat kvalifikované elektronické podpisy s vloženými kvalifikovanými časovými razítky. Fyzické a právnické osoby komunikující se státní správou prostřednictvím elektronického podpisu jsou povinny používat alespoň uznávaný elektronický podpis. Použití úrovní elektronických podpisů mezi právnickými a fyzickými osobami není dále nijak upraveno a mohou tedy použít cokoli, na čem se vzájemně dohodnou.
Zaručený elektronický podpis
Jedná se o elektronický podpis, který je vytvořen na základě soukromého klíče a k němu náležícímu certifikátu. Použitý certifikát nemusí splňovat žádné speciální náležitosti a může tedy být vydán jakoukoli certifikační autoritou, nebo může být tzv. self-signed.
Uznávaný elektronický podpis
Jedná se o zaručený elektronický podpis, k jeho vytvoření byl navíc použit tzv. kvalifikovaný certifikát. Takový certifikát vydávají za úplatu kvalifikované certifikační autority.
Kvalifikovaný elektronický podpis
Kvalifikovaný elektronický podpis je elektronický podpis, který je v souladu s nařízením EU č. 910/2014 (nařízení eIDAS) pro elektronické transakce na vnitřním evropském trhu. Umožňuje dlouhodobě ověřovat autorství prohlášení při elektronické výměně dat. Kvalifikovaný elektronický podpis lze považovat za digitální ekvivalent vlastnoručního podpisu.[3]
Podepisující musí disponovat kvalifikovaným certifikátem a dále musí disponovat kvalifikovaným prostředkem pro vytváření elektronických podpisů, na kterém je uložen soukromý klíč podepisujícího.[zdroj?!]
Jiné typy elektronických podpisů
Jedná se o takové elektronické podpisy, které nejsou vytvořeny dle principů asymetrické kryptografie, ale ze své podstaty jsou stále elektronické. V praxi se jedná např. o:
- biometrické podpisy,
- jméno a příjmení v patičce emailu,
- naskenovaný obrázek vlastnoručního podpisu, apod.
Poskytovatelé certifikačních služeb
Podle zákona je touto stranou poskytovatel certifikačních služeb, což je soukromoprávní subjekt, poskytující službu spočívající v propojení fyzické osoby s jejím veřejným klíčem prostřednictvím tzv. certifikátu. Certifikátem zaručuje, že veřejný klíč patří opravdu tomu, kdo je označen jako jeho vlastník. Certifikát je tedy také elektronický dokument, který k tomu, aby mohl sloužit svému účelu, musí být elektronicky podepsán poskytovatelem certifikačních služeb. (Tím je chráněn jeho obsah proti zásahu podobně, jako jiné podepsané elektronické dokumenty.)
Může dokonce existovat více certifikátů, má-li osoba více dvojic klíčů, určených pro různé příležitosti. Jeden jako soukromá osoba, jeden jako statutární představitel firmy, jeden jako člen zájmového spolku apod. Certifikát může obsahovat i pověření osoby nebo limit transakcí, které lze takto podepsat.
Akreditované certifikační autority
Subjekty v této skupině mají pro nás největší význam. Ten vyplývá ze skutečnosti, že při komunikaci se státní správou je vyžadován kvalifikovaný certifikát vydaný akreditovaným poskytovatelem certifikačních služeb. Tyto certifikáty, které mohou pochopitelně vydat pouze akreditované subjekty, mají nejširší možnost použití. Samostatný proces akreditace nám zaručuje velice dobrou jistotu zejména o bezpečnosti takových certifikátů a o tom, poskytovatel disponuje dostatečnými prostředky na krytí případných škod. Lze říci, že certifikáty akreditovaných poskytovatelů jsou nejjistější. Akreditovaný poskytovatel musí splnit určité podmínky, které se na ostatní poskytovatele nevztahují. Zejména se jedná o § 10 ZoEP a vyhlášku č. 366/2001 Sb. Úřadu pro ochranu osobních údajů.
V ČR jsou kvalifikovanými poskytovateli certifikačních služeb První certifikační autorita, Česká pošta a eIdentity.[4]
Veřejné CA
Do další skupiny spadají certifikační autority, které sice nemají akreditaci, ale nabízejí své certifikační služby veřejnosti. Těchto společností je na trhu více než v případě první skupiny. Zajímavou certifikační autoritou byla do roku 2011 CA Czechia, která měla poměrně široké portfolio služeb. Byla dceřinou společností brněnské firmy ZONER software, a. s.
Soukromé CA
Soukromých certifikačních autorit existují v ČR desítky až stovky. V podstatě může být takovou CA každý, kdo má potřebné know-how (když jej nemá může ještě využít nějaké nabídky jako např. Globe internet). Pro velké a známé organizace je tato cesta levnější, než pořizování certifikátů od externí certifikační autority. Organizace zaručuje certifikáty svým jménem. Typické je, že tyto autority nevydávají certifikáty široké veřejnosti. Nefungují jako na trhu komerční subjekty. Certifikáty jsou vydávány pro potřeby organizace, nebo jejich partnerů klientů apod. Soukromé CA jsou většinou provozovány univerzitami, provozovateli webhostingu a podobných služeb nebo velkými podniky.
Legislativa
Legislativa ČR
V České republice byl v roce 2000 přijat zákon č. 227/2000 Sb., o elektronickém podpisu a ČR se tak stala třetí zemí, kde vstoupil v platnost zákon upravující užívání elektronického podpisu. Tím byla prakticky zahájena éra využívání a legalizace zaručeného elektronického podpisu v Česku. Zákon vycházel ze směrnice Evropského parlamentu a Rady 1999/93/ES. V roce 2016 byl přijat zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce[2] doplňující evropské nařízení eIDAS. Zákonem 297/2016 Sb. byl původní zákon o elektronickém podpisu zrušen.
V Česku jsou používány dva základní typy certifikátů:[5]
- komerční certifikát – k bezpečné komunikaci (přihlašování, k šifrování, k elektronickému podepisování), obě strany musí akceptovat podmínky (způsob ověření) žadatele
- kvalifikovaný certifikát – k vytváření zaručeného elektronického podpisu uznávaného podle zákona (vydavatel musí být certifikován), tedy pro oficiální komunikaci se subjekty státní správy, s pojišťovnami apod.
Využití zaručeného elektronického podpisu
- při podání přehledu o příjmech a výdajích OSVČ
- u přihlášky a odhlášky k nemocenskému pojištění
- u přiznání k DPH
- při elektronické komunikaci se státní správou
- při elektronické komunikaci s krajskými a městskými úřady
- při elektronické komunikaci se zdravotními pojišťovnami
- při žádosti o sociální dávky
- při podávání žádostí o dotace EU
- při použití datové schránky
- při podepisování faktur
- jako elektronický podpis PDF dokumentů
Legislativa EU
V členských zemích Evropské unie je platné nařízení eIDAS, které je přímo účinné (tzn., že žádná národní legislativa s ním nesmí být v přímém rozporu). Přijetím nařízení eIDAS v EU fakticky dochází k harmonizaci národních legislativ na úrovni tzv. služeb vytvářejích důvěru, zahrnujících elektronické podepisování, elektronické pečetění, ověřování elektronických podpisů a pečetí a dlouhodobé uchovávání elektronických podpisů a pečetí, a elektronické identifikace.
Odkazy
Reference
- ↑ NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu (eIDAS). eur-lex.europa.eu [online]. 23.7.2014 [cit. 2020-09-20]. Dostupné online.
- ↑ a b Zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce. Zákony pro lidi [online]. 24.8.2016 [cit. 2020-09-20]. Dostupné online.
- ↑ Qualified Electronic Signature [online]. Bundesnetzagentur [cit. 2016-06-13]. Dostupné online. (anglicky)
- ↑ MV ČR: Přehled kvalifikovaných poskytovatelů certifikačních služeb a jejich kvalifikovaných služeb Archivováno 21. 4. 2021 na Wayback Machine.
- ↑ Jaký je rozdíl mezi kvalifikovaným a komerčním certifikátem?. Digitální podpis [online]. 2020-06-06 [cit. 2023-06-13]. Dostupné online.
Literatura
- BUDIŠ, Petr; ŠTĚDROŇ, Bohumír. Elektronické komunikace. 1. vyd. Slovakia: Magnet Press, 2008. 110 s. ISBN 978-80-89169-11-5.
- HORNÍK, Jiří. Elektronický podpis [online]. [cit. 2011-01-25]. Dostupné online.
- RYBKA, Michal; MALÝ, Ondřej. Jak komunikovat elektronicky. 1. vyd. Praha: Grada, 2002. 92 s. ISBN 80-247-0208-8.
- SMEJKAL, Vladimír. Internet a §§§. 2 aktualizované. vyd. Praha: Grada, 2001. 284 s. ISBN 80-247-0058-1.
- ŽEMLIČKA, Michal. E-mail, chat, sms : praktický průvodce elektronickou komunikací. 1. vyd. Brno: Computer Press, 2003. 110 s. ISBN 80-7226-928-3.
- Zákon č. 227/2000 Sb., o elektronickém podpisu. [cit. 2016-09-19]. Dostupné online. (Alternativní odkaz) Archivováno 27. 3. 2009 na Wayback Machine.
Související články
- Asymetrická kryptografie
- Digitální certifikát
- e-Government
- Datová schránka
- Narozeninový útok
- Služba vytvářející důvěru
Externí odkazy
- Elektronický podpis v České terminologické databázi knihovnictví a informační vědy (TDKIV)
- E-podpis na stránkách Ministerstva vnitra ČR
- Seznam certifikovaných certifikačních autorit (subjekty oprávněné přidělovat elektronický podpis) Archivováno 14. 7. 2009 na Wayback Machine.
- Jiří Peterka – volně dostupná kniha o elektronickém podpisu Archivováno 21. 1. 2012 na Wayback Machine.
- Rozbor judikátu, podle nějž se elektronické soudní podání nemusí doplňovat papírovým
- Datové schránky a elektronický podpis
- Elektronický podpis a jeho využití
Média použitá na této stránce
Autor: ToOb, Licence: CC BY-SA 3.0
Diagram ilustruje podepsání a ověření dat (dopisu) elektornickým podpisem.