1. diel - Elektronické podpisy - Účel a využitie
Vitajte v tutoriále zameranom na problematiku elektronických podpisov. V priebehu kurzu sa dozvieme, čo všetko je potrebné splniť, aby sme takéto podpisy mohli vo svojej elektronickej komunikácii využívať. Popíšeme si právne normy, predstavíme certifikačné autority aj konkrétne vybavenie, ktoré na to budeme potrebovať. Najprv si ale vysvetlíme, na čo elektronické podpisy slúžia a prečo je dobré ich používať.
Minimálne požiadavky kurzu
Na tento kurz nepotrebujeme žiadne špeciálne znalosti, stačí bežná práca s počítačom
Autorizácia podpisom
Obyčajný papier mal oproti elektronickým dokumentom dlho jednu úplne rozhodujúcu výhodu. Tou bola možné ľahko ho autorizovať, čiže - zjednodušene povedané - podpísať. Aj keď toto riešenie nebolo úplne ideálne, pretože podpis rúk je možné napodobniť, notársky overený podpis poskytoval istotu. Notár potvrdzoval, že podpis vykonala skutočne tá osoba, ktorá sa na dokument podpísala. Vďaka tomu bolo možné uzatvárať obchodné zmluvy, vykonávať prevody peňazí bez fyzického odovzdania, vyjadrovať záväzky a pohľadávky a vykonávať ďalšie dôležité činnosti. Avšak v digitálnom svete je možné informácie ľahko kopírovať a meniť, a preto je ťažké dôverovať digitálnym dokumentom, ktoré sú podpísané iba textovým podpisom, obrázkom alebo videom.
Problém autorizácie digitálnych dokumentov
Digitálnu informáciu možno samozrejme skopírovať či zmeniť celkom ľahko a nikto nespozná, či sa tak stalo alebo kto to urobil. Digitálny dokument vrátane jeho podpisu tvoria iba čísla. Pod bežný e-mail alebo dokument je teda možné vložiť ako podpis prakticky čokoľvek vrátane obrázku podpisu, len to v žiadnom prípade nemožno považovať za dôveryhodné.
Obrázok alebo dokonca video predsa nie je nič iné, než sekvencia čísel.
Autorizácia elektronickým podpisom
Elektronické podpisy tento problém riešia. Umožňujú nezvratne dokázať, že daný text alebo akúkoľvek inú digitálnu informáciu podpísal len ten, kto poznal príslušný (tajný) kľúč. Elektronické podpisy tiež fungujú oveľa rýchlejšie, spoľahlivejšie a lacnejšie, než klasické podpisy.
Ukážme si, ako taký elektronický podpis potom v dokumente vyzerá:
Akonáhle je dokument elektronicky podpísaný, nie je možné už v ňom vykonávať zmeny. Aj keby sa zmenil čo i len jediný znak, podpis by okamžite stratil platnosť. Pomocou verejnej časti kľúča si potom každý môže ľahko overiť, či je podpis pod danou informáciou stále platný. To je rozhodne jednoduchšie, než s príslušným dokumentom bežať ku grafológovi a ušetrí nám to aj ďalšie náklady. Stačí na to dôveryhodný počítač vybavený príslušným softvérom.
Princíp elektronického podpisu
Už sme si povedali, že každý elektronický dokument je reprezentovaný binárnymi údajmi. Pre zaistenie integrity a autenticity dokumentu sa využíva matematická hashovacia funkcia, ktorá prevedie daný dokument na jedno konkrétne číslo nazývané odtlačok (hash). Odtlačok je unikátny pre každý dokument a aj malá zmena v dokumente spôsobí výraznú zmenu odtlačku.
Elektronický podpis využíva asymetrické kryptografia, čo znamená, že sa používa pár kľúčov - súkromný a verejný kľúč. Problematike šifrovania elektronických dokumentov sme sa venovali v kurze Kybernetická bezpečnosť, takže tému zhrnieme stručne. Pri vytváraní elektronického podpisu sa dokument najprv zahashuje, teda prevedie na odtlačok. Potom sa tento odtlačok šifruje súkromným kľúčom vlastníka podpisu. Výsledkom je elektronický podpis, ktorý obsahuje zašifrovaný odtlačok. Až ten sa potom pripojí k pôvodnému dokumentu, ktorý teda sám šifrovaný byť nemusí.
Verejný kľúč sa potom používa na overenie elektronického podpisu. Dokument sa opäť zahashuje a následne sa pomocou verejného kľúča dešifruje elektronický podpis. Pokiaľ sa dešifrovaný odtlačok podpisu zhoduje s novo vypočítaným odtlačkom dokumentu, potom je podpis považovaný za platný. Inými slovami elektronický podpis slúži na preukázanie identity a zachovanie integrity podpísaného dokumentu.
Verejný a súkromný kľúč
Verejný kľúč je označovaný ako certifikát a vydáva ho certifikačná autorita (CA). Certifikát garantuje, že informácie v ňom uvedené sú pravdivé a umožňuje overiť, že konkrétny kľúč patrí osobe, ktorá je pod dokumentom podpísaná. Je dostupný všetkým.
Súkromný kľúč je potom vlastnený iba užívateľom elektronického podpisu. A ten s ním musí zaobchádzať obozretne. Pokiaľ ho totiž nebude správne chrániť, môže dôjsť k jeho zneužitiu ak podpisu dokumentov bez používateľovho vedomia a súhlasu.
Preto je dôležité tiež zaistiť bezpečnosť zariadenia, na ktorom sa elektronický podpis používa.
Treba si tiež uvedomiť, že elektronický podpis zaisťuje dôveryhodnosť a autenticitu informácie, ale nezaisťuje šifrovanie. Šifrovanie slúži na to, aby informáciu mohol prečítať iba jej určený príjemca. Elektronický podpis však iba garantuje, že podpísaná informácia nebola zmenená alebo podvrhnutá po ceste od odosielateľa k príjemcovi:
Certifikačná autorita
Certifikačné autority (CA) sú organizácie, ktoré vydávajú certifikáty pre verejné kľúče užívateľov elektronických podpisov. Certifikát obsahuje informácie o majiteľovi verejného kľúča, identifikáciu certifikačnej autority, platnosť certifikátu a ďalšie relevantné údaje. Certifikačné autority vykonávajú overovanie totožnosti užívateľov a zaisťujú, že verejné kľúče sú priradené správnym subjektom. Medzi najznámejšie patria:
- PostSignum - certifikačná autorita prevádzkovaná Českou poštou. Poskytuje certifikáty pre elektronické podpisy, pečate a časové pečiatky.
- I.CA - certifikačná autorita prevádzkovaná spoločnosťou I.CA, as Ponúka rôzne typy certifikátov, vrátane kvalifikovaných certifikátov pre elektronické podpisy, pečate a časové pečiatky.
- Prvá certifikačná autorita – certifikačná autorita patriaca pod skupinu MONETA Money Bank. Poskytuje certifikáty pre elektronické podpisy, pečate, šifrovanie a ďalšie bezpečnostné služby.
- E-Identity - certifikačná autorita prevádzkovaná spoločnosťou CZ.NIC. Špecializuje sa na certifikáty pre elektronické podpisy a identifikáciu na internete.
- Accredium - certifikačná autorita poskytujúca certifikáty pre elektronické podpisy, pečate a ďalšie služby v oblasti kybernetickej bezpečnosti.
Právne normy týkajúce sa elektronických podpisov sú v rôznych krajinách rôzne, ale všeobecne platí, že elektronický podpis má právnu platnosť a je ekvivalentný s ručným podpisom na papieri. Existujú medzinárodné štandardy a smernice, ktoré stanovujú požiadavky na technickú uskutočniteľnosť a právne aspekty elektronických podpisov. Konkrétne v Českej republike je od roku 2000 implementovaná európska smernica o elektronickom podpise.
V nasledujúcej lekcii, Elektronické podpisy - Kvalifikovaný podpis a norma eIDAS , si uvedieme základné typy elektronických podpisov a zameriame sa na kvalifikované podpisy, ktoré sú uznávané v rámci celej EÚ.