Vianoce v ITnetwork sú tu! Dobí si teraz kredity a získaj až 80 % extra kreditov na e-learningové kurzy ZADARMO. Zisti viac.
Hľadáme nové posily do ITnetwork tímu. Pozri sa na voľné pozície a pridaj sa k najagilnejšej firme na trhu - Viac informácií.

2. diel - Vybavenie na získanie kvalifikovaného elektronického podpisu

V predchádzajúcej lekcii, Elektronické podpisy - Kvalifikovaný podpis a norma eIDAS , sme si uviedli základné typy elektronických podpisov a dozvedeli sa, čo musia kvalifikované podpisy uznávané v EÚ spĺňať.

V dnešnom diele tutoriálu venovanom kvalifikovaným elektronickým podpisom si popíšeme jednotlivé kroky, ktoré musíme podniknúť, aby sme mohli získali hotový kvalifikovaný certifikát. Jednotlivé etapy tohto procesu si potom podrobnejšie popíšeme v ďalších dieloch kurzu.

Čo všetko budeme na získanie certifikátu potrebovať?

Než sa pustíme do vlastnej práce s nastavovaním jednotlivých pomôcok a nakoniec do samotného digitálneho podpisovania dokumentov, je potrebné zariadiť nasledujúce body.

Objednanie bezpečnostného (kryptografického) tokenu

Začneme najskôr objednaním USB tokenu, prípadne inej čipovej karty alebo iného autorizovaného zariadenia spomínaného skôr. Bude nejaký čas trvať, kým nám ho doručí, preto tento bod uvádzame na prvom mieste.

Prejdeme na stránky e-shopu Slovenskej pošty a objednáme TokenME EVO + SW, jeho cena sa pohybuje okolo 900 Sk s DPH. Radšej ho neobjednávajte inde, pretože budeme potrebovať, aby na ňom bol predinštalovaný tzv. Servisný certifikát, nutný pre ďalšiu (zabezpečenú) komunikáciu s úradom PostSignum.

Na obrázku vidíme bezpečnostný USB token TokenME EVO + SW:

kryptografický TokenME EVO + SW - Kvalifikovaný elektronický podpis

Možno síce nájsť aj iné riešenia, napr. v podobe čipových kariet, avšak klasické USB je stále najistejšie. Budúcnosť bude rovnako patriť (dúfam) mobilom, ako naznačuje napríklad schválenie Európskej "občianky v mobile", ku ktorej sa pripoja aj česká eDokladovka a mojeID. Ceny ďalších zariadení spĺňajúcich eIDAS sú navyše podobné, prípadne vyššie, než pri uvedenom tokene.

Tento model dokonca podporuje aj kvalifikované pečate, čo sú niečo ako "pečiatky" s časovou značkou, keby sme ich v niekedy aj budúcnosti potrebovali.

Čítačka Smart Cards

Pokiaľ nemáme vo svojom počítači resp. notebooku čítačku chytrých kariet rovno integrovanú, potom si budeme musieť zaobstarať externú. Zoženieme ju najskôr v prvom obchode s elektronikou, na ktorý narazíme niekde po ceste z pošty a to v cenových reláciách od 200 Sk vyššie. Vyhovovať by mali všetky. Za spýtanie, či podporuje aj čip na eObčance, však nič nedáme. Pokiaľ čítačku budeme chcieť používať aj v Linuxe alebo Mace, potom by sme radšej mali voliť takú, u ktorej to výrobca výslovne uvádza.

Na rozhodovaní (ak nám nezáleží na vzhľade:) ) nám zostáva vlastne opäť iba to, či ju chceme s "chvostíkom" alebo bezdrôtovou. Z dôvodov uvedených vyššie som zvolil klasický variant s pripojením na USB. Tie navyše bývajú aj o niečo lacnejšie:

USB čítačka chytrých kariet - Kvalifikovaný elektronický podpis

Aktivácia čipu na eObčianke

Novú eObčanku už asi najskôr máme. Čo však bohužiaľ ešte neznamená, že ju tiež môžeme hneď použiť. K tomu je totiž nutné úradom tiež oznámiť, že sme sa ju rozhodli používať. Nazýva sa to „aktivácia čipu na eObčance“ a vybaví nám to na počkanie na mestskom úrade, resp. na mestskom úrade s tzv. rozšírenou pôsobnosťou. Aspoň v mestách by túto funkciu mali plniť snáď všetky. Pripraviť by sme si k tomu mali ale aj PIN, ktorý sme zadávali, keď nám eObčanku pôvodne vydávali (alebo aspoň ten, na ktorý ho chceme zmeniť).

Pokiaľ náhodou ešte eObčanku, tj tú verziu kartičky obsahujúcu príslušný elektronický čip nemáme, potom o ňu budeme musieť (na tom istom úrade) najskôr požiadať. Na jej vystavenie majú štandardne 30 dní, väčšinou je ale hotová do dvoch týždňov. Za príplatok nám ju urobia aj do piatich pracovných dní. Dokonca je možné si ju nechať vystaviť do 24 hodín (aký to pokrok:) ), ale len v Prahe priamo na ministerstve vnútra.

V tomto prípade sa pripravme na to, že nám okrem štandardného fotenia budú brať aj odtlačky prstov, vzorka DNA našťastie ešte nie. A samozrejme si pripravme PIN. Ten sa oficiálne nazýva IOK – Identifikačný Osobný Kód. Hlavne však nezabudnime rovno na mieste požiadať o aktiváciu čipu na našej novej eObčance!

Cestu na úrad môžeme prípadne spojiť s nákupom čítačky SmartCards. Ostatní už potom konečne vybavíme on-line.

Stručný prehľad ďalšieho postupu

Detailne popísaný postup krok za krokom aj s obrázkami, podľa ktorého to zvládne každý, si ukážeme ďalej v kurze. Avšak určite neuškodí si celý postup najskôr stručne zhrnúť.

Ak máme nejaké povedomie o tom, ako celá vec z technického hľadiska vlastne funguje (čítali sme napríklad kurz o Základoch kybernetickej bezpečnosti) a veci radšej riešime metódou pokus-omyl, potom nám toto zhrnutie bude zrejme aj stačiť:

  1. Svoju eObčanku s aktivovaným čipom pripojíme k počítaču cez čítačku Smart Cards a pomocou programu eObčanka (dostupného pre Windows, Mac aj Linux) na nej nastavíme hromadu PINov. Budeme to neskôr potrebovať na autentizáciu na úrade PostSignum. Keď ho budeme online žiadať, aby nám podpísal naše údaje spolu s našimi verejnými kľúčmi, čiže vystavil digitálny certifikát o našej identite právne uznávaným spôsobom, budeme môcť takto preukázať svoju totožnosť.
  2. Bezpečnostný token (tu TokenME EVO II) pripojíme k počítaču. Na jeho ovládanie je potrebné nainštalovať middleware (ovládací-sprostredkovací softvér). Ten je na stiahnutie na stránkach PostSignum pod názvom bit4id_xpki_admin_698.msi. Ide o verziu pre Windows, ale v prípade potreby je dostupný aj pre Mac alebo Linux.
Na tokene si nastavíme (zmeníme východiskový) PIN a PUK. Bude nám spolužitie ako bezpečné úložisko našich certifikátov, najmä tých, ktoré v sebe obsahujú aj naše privátne, tajné kľúče. Zároveň na ňom budú prebiehať vlastné kryptografické operácie, najmä podpísanie a dešifrovanie správ. Použitie kvalifikovaného hardvérového prostriedku (tokenu) týmto spôsobom vyžaduje európska norma eIDAS.

3. Pomocou programu iSignum vygenerujeme žiadosť o certifikát pre úrad PostSignum. Program je dostupný iba pre Windows a pokiaľ chceme právne uznávaný kvalifikovaný certifikát, nemožno to v tomto prípade urobiť v inom programe. Pre nás viditeľným výsledkom bude ID žiadosti, ktoré pri našej žiadosti bude začínať písmenami BP nasledované ďalším číslom.

4. Na stránkach úradu PostSignum:

  • Preukážeme svoju totožnosť pomocou eObčianky,
  • zadáme vyššie uvedené ID žiadosti,
  • odsúhlasíme podmienky a zaplatíme, rovnako ako v akomkoľvek inom e-shope,
  • následne stiahneme hotový kvalifikovaný certifikát, ktorý pomocou programu iSignum uložíme na token. Môžeme ho navyše uložiť či importovať aj inam, odtiaľ ale nepôjde použiť na podpisovanie a dešifrovanie správ, pretože neobsahuje náš tajný kľúč.
Vlastné stiahnutie je možné vykonať buď priamo z programu iSignum, alebo si môžeme stiahnuť klasický súbor vo formáte PEM a potom ho do programu iSignum importovať.

5. Takto získaný certifikát budeme môcť už v praxi použiť, a to najmä na podpisovanie súborov PDF. To je potrebné urobiť tak, aby tomu rozumeli úrady ako naše, tak aj v EÚ. Ukážeme si tiež použitie tzv. neviditeľných podpisov pri hromadnom podpisovaní viacerých súborov naraz pomocou programu PDFSigner+.

V ďalšej lekcii, Elektronické podpisy - Nastavujeme eObčianku , si ukážeme, ako našej eObčance nastaviť všetky potrebné kódy - PUK, PIN, QPIN a DOK pomocou rovnomennej aplikácie.


 

Predchádzajúci článok
Elektronické podpisy - Kvalifikovaný podpis a norma eIDAS
Všetky články v sekcii
Kvalifikovaný elektronický podpis
Preskočiť článok
(neodporúčame)
Elektronické podpisy - Nastavujeme eObčianku
Článok pre vás napísal David Janko
Avatar
Užívateľské hodnotenie:
Ešte nikto nehodnotil, buď prvý!
Autor se věnuje poradenství převážně v oblasti kybernetické bezpečnosti.
Aktivity