Budeme se jednou všichni podepisovat "elektronicky"? - 2. díl

Příspěvek je pokračováním článku, který má za cíl přiblížit základní princip digitálního podpisu a ujasnit základní pojmy. Dokud nebudou vytvořeny podmínky a motivace k používání digitálního podpisu a tento nebude veřejností hojně využíván, nemá cenu zabíhat do detailních podrobností, např. jak jednotlivé programy s digitálním podpisem pracují atd, protože mnoho čtenářů by nemělo představu o čem mluvím. 

 Použití šifrování při podpisu  v praxi

V praxi by šifrování celého digitálního záznamu přinášelo mnoho problémů, proto se šifruje jen tzv. HASH digitálního záznamu.

HASH je zkrácená (např. 128 nebo 160 bitů), ale zcela přesná charakteristika digitálního záznamu, získaná pomocí matematické funkce  - algoritmu. Tento algoritmus zajistí jednosměrný úkon, tedy výpočet HASH z digitálního záznamu a zamezí získání původního digitálního záznamu z HASH.

Pro lepší pochopení se nabízí velmi hrubé přirovnání ke komprimaci souboru (ZIP, RAR, ARJ). V komprimaci je však, vzhledem k účelu použit algoritmus, pro co největší zmenšení obsahu dat, bez bezpečnostních opatření. U HASH je výsledkem daný počet bitů, ovšem přesná charakteristika digitálního záznamu, tzn, změníme-li v původním digitálním záznamu třeba jen jeden bit, výsledný HASH je odlišný než u původního digitálního záznamu.

Rozvineme si trochu více minulé obrázky, pro pochopení šifrování při digitálním podpisu:

Strana autora digitálního záznamu a digitální podpis

Z digitální záznamu - souboru (1) pomocí příslušného softwaru získáme HASH (2).

Tento HASH zašifrujeme privátním klíčem autora (3).

Výsledkem je digitální podpis, který uložíme do samostatného souboru *.sgn (4).

Původní digitální záznam (1) spolu s digitálním podpisem digitálního záznamu (4) pošleme příjemci (5)

Strana příjemce digitálního záznamu a ověření autentičnosti

Po obržení digitálního záznamu spolu s jeho digitálním podpisem (6) je nutné provést dešifrování digitálního podpisu veřejným klíčem autora (7).

Výsledkem je HASH z digitálního podpisu (8).

Z digitální záznamu - souboru pomocí příslušného softwaru získáme HASH (9).

Posledním krokem je porovnání HASH z digitálního záznamu a z digitálního podpisu (10).

HASH je identický = potvrzení autentičnosti digitálního záznamu.

HASH je rozdílný = původní digitální záznam byl nežádoucně změněn, nebo připojený podpis nebyl autorův.

Certifikát

je komplet privátního a veřejného klíče, osobní data přesně identifikující majitele a toto vše je digitálně podepsáno privátním klíčem certifikační autority.

Vydaný certifikát nelze nikterak měnit či upravovat, ani do něj dodatečně něco zapisovat.

Rozlišujeme tři druhy certifikátů:

Osobní.

Serverové.

Pro programové kódy.

Dle komerční nabídky lze tyto dále dělit dle důvěryhodnosti zabezpečení:

Např. testovací, dle uložení privátního klíče atd.

Certifikační autorita

vydává certifikáty digitálního podpisu je garantem pravosti tohoto certifikátu.

Certifikační autorita ručí do stanovené výše za případné škody vzniklé svým pochybením.

Mezi certifikační autoritou a klientem je sepisována smlouva, která přesně definuje užívání a generování digitálních certifikátů.

Akreditace a legislativa

Akreditaci certifikační autoritě vydává ministerstvo informatiky, odbor elektronického podpisu po:

- splnění všech podmínek předepsaných zákonem v souladu s § 10 odst. 4 zákona č. 227/2000 Sb., (zákon o elektronickém podpisu).

- splnění podmínek a požadavků stanovených vyhláškou č. 366/2001 Sb., o upřesnění podmínek stanovených v § 6 a 17 zákona o elektronickém podpisu a o upřesnění požadavků na nástroje elektronického podpisu.

- splnění požadavků na celkovou bezpečnostní politiku a systémovou bezpečnostní politiku zveřejněné v souladu s § 2 odst. 7. vyhlášky č. 366/2001 Sb.

-ověření kvalifikovaných certifikátů Odborem elektronického podpisu podle § 10 odst. 7 zákona o elektronickém podpisu.

K dnešnímu dni, dle informací ministerstva informatiky, byla vydány tyto akreditace:

Komerční nabídku této jediné(!) akreditované společnosti najdete na www.ica.cz.

Za vystavení kvalifikovaného certifikátu v základní variantě u této společnosti zaplatí klient 700,- Kč.

Závěrem si neodpustím:

Cena se mne osobně za tuto službu, která má být nástrojem k ověření pravosti dokumentu zdá poměrně vysoká. Jelikož je tato akreditace udělená pouze jediné společnosti jedná se o monopolizaci vydávání certifikátu. Rovněž motivace k využití digitálního podpisu, tedy jeho běžné využití na úřadech i v soukromém sektoru, zatím mnoho lidí nepřesvědčila k získání certifikátu digitálního podpisu.

No uvidíme, co dále podnikne naše čerstvé ministerstvo informatiky.