Ministerstvo vnitra České republiky  

Přejdi na

Efektivní veřejná správa


Rychlé linky: Mapa serveru Textová verze English Rozšířené vyhledávání


 

Hlavní menu

 

 

Informace k používání kvalifikovaných certifikátů pro elektronický podpis a zároveň pro autentizaci a šifrování

Následující stanovisko je zveřejňováno proto, aby poskytovatelé či jiné subjekty mohli připravovat aplikace a komunikaci v souladu s požadavky EU. 

 

Zákon o elektronickém podpisu ve stávajícím znění neupravuje používání kvalifikovaných certifikátů pro jiné činnosti než pro elektronické podepisování.

Norma ČSN ETSI TS 101 456 (Požadavky na postupy certifikační autority vydávající kvalifikované certifikáty) obsahuje požadavek, aby podepisující osoby používaly párová data1) pouze pro elektronický podpis. Dále obsahuje požadavek na poskytovatele, aby podepisující osobu smluvně zavázal k tomu, aby párová data používala výhradně k tomuto účelu.

Pro pochopení následujícího textu je nutné vysvětlit rozdíl mezi podepisováním a autentizací. Podpisem se rozumí úkon podepisující osoby, který má význam vzhledem k podepisovaným datům. Podepisující osoba potvrzuje, že se s daty, která podepsala, seznámila a s jejich obsahem souhlasí.

Autentizací je míněno vytvoření podpisu k náhodně vygenerovaným datům, přičemž tento úkon slouží pouze k určení identity dané osoby a nemá žádné následky vzhledem k obsahu náhodně vygenerovaných dat.

Abychom předmětnou problematiku dostatečně objasnili a znali důvody, které ETSI ke stanovení takového požadavku vedly, požádali jsme ETSI o stanovisko. Ze stanoviska vyjímáme:

Hlavním důvodem je skutečnost, že může být v odůvodněných případech, případně i ze zákonných důvodů, nezbytné získat soukromý klíč, který byl používán pro šifrování (např. při ukončení pracovního poměru zaměstnance). Pokud by pro elektronický podpis a šifrování byl použit stejný soukromý klíč, byl by porušen základní požadavek na „podepisovací“ klíče, tj. jejich udržení pod výhradní kontrolou podepisující osoby. (konec stanoviska ETSI)

Použití kvalifikovaného certifikátu, resp. elektronického podpisu pro autentizaci je možné řešit výhradně tak, že osoba, která se autentizuje, podepisuje srozumitelný text, např. „Tímto se přihlašuji k systému….“. Je nepřípustné, aby podepisující osoba elektronicky podepisovala množinu dat, jejíž obsah nezná2). Elektronický podpis je vždy nutné chápat jako podpis, tj. projev vůle vztahující se ke konkrétním datům.

Ministerstvo vnitra vydalo vyhlášku č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb. V této vyhlášce je zakotvena povinnost řídit se normou ČSN ETSI TS 101 456. Poskytovatelé jsou povinni uvést zajišťování kvalifikovaných certifikačních služeb do souladu s touto vyhláškou do 12 měsíců ode dne vyhlášení této vyhlášky, tj. do 17. 8. 2007.

Poznámka pro odborníky:
Aby nedošlo k omylu - při vyplňování žádosti o vydání kvalifikovaného certifikátu je ve formulářovém dialogu jednou z možností zaškrtnout pole „Certifikát určený pro šifrování“. Tuto možnost by měl žadatel zvolit vždy, pokud má být kvalifikovaný certifikát používán pro podepisování v MS Outlook – jinak se může následně potýkat s problémy při instalaci tohoto certifikátu. V certifikátu je poté nastavena možnost použití klíče pro šifrování dat a šifrování klíčů, přestože v praxi nesmí být použita.

Teoreticky by měla být v kvalifikovaném certifikátu (určeném tedy pouze k ověření zaručeného elektronického podpisu) nastavena pouze nepopiratelnost odpovědnosti. Možnost digitální podpis by v certifikátu měla být nastavena pouze v případě, že má být používán pro autentizaci. Ve většině aplikací však není možné takto nastavený kvalifikovaný certifikát pro vytvoření podpisu použít – došlo zde bohužel k rozporu mezi tvůrci norem a praxí (v kvalifikovaném certifikátu je nastavena jak nepopiratelnost odpovědnosti tak digitální podpis).


 

1) Kvalifikovaný certifikát obsahuje data pro ověřování elektronického podpisu (veřejný klíč), tj. polovinu tohoto páru. Druhá polovina tohoto páru jsou data pro vytváření elektronického podpisu (soukromý klíč) a tato data mohou být uložena např. na čipové katě, v úložišti operačního systému na pevném disku počítače, nebo v jiném vhodném prostředku pro vytváření elektronických podpisů.

2) Kvalifikovaný certifikát, resp. odpovídající párová data, není možné využít ani k navazování komunikace přes SSL, protože zde dochází k vytvoření podpisu k náhodně vygenerovaným datům, s jejichž obsahem se podepisující osoba nemůže seznámit.

vytisknout  e-mailem