Ministerstvo vnitra České republiky  

Přejdi na

eGovernment


Rychlé linky: Mapa serveru Textová verze English Rozšířené vyhledávání


 

Hlavní menu

 

 

Informace k problematice kvalifikovaných elektronických pečetí

Ministerstvo vnitra níže zveřejňuje aktuální informace týkající se problematiky kvalifikovaných elektronických pečetí. 

Jak splnit zákonné povinnosti dle § 8 zákona o službách vytvářejících důvěru?

Jednou z možností je využití služeb vytváření kvalifikovaných elektronických pečetí na dálku. Souhlas s poskytováním služby byl udělen ze strany Ministerstva vnitra České republiky, odboru  eGovernmentu, jakožto orgánu dohledu nad poskytovateli služeb vytvářejících důvěru ve smyslu čl. 17 nařízení EU č. 910/2014, následujícím společnostem

Díky postupnému rozšiřování nabídky certifikovaných kvalifikovaných prostředků pro vytváření elektronických pečetí, kvalifikovaní poskytovatelé v České republice plánují či mohou již vydávat certifikované čipové karty jako kvalifikované prostředky pro vytváření elektronických pečetí. Toto řešení je ale svým zaměřením určeno spíše pro subjekty, které potřebují vytvořit řádově několik kvalifikovaných elektronických pečetí denně (obvykle nutnost zadání PIN pro vytvoření kvalifikované elektronické pečeti). České poště, s.p. byl udělen souhlas s vydáváním čipové karty ProID+ Q jako kvalifikovaného prostředku pro vytváření el. pečetíV říjnu roku 2018 byl tento souhlas udělen také poskytovateli eIdentity, a. s. Seznam vydávaných kvalifikovaných prostředků pro vytváření elektronických pečetí, které jsou nabízeny ze strany kvalifikovaných poskytovatelů služeb vytvářejících důvěru v České republice je zveřejněn na této stránce.

Na základě dostupných informací je dle názoru odboru eGovernmentu Ministerstva vnitra možné čipovou kartu ProID+Q využít rovněž v případech, kdy kvalifikovaná elektronická pečeť vzniká automatizovaným způsobem (nicméně samozřejmě vždy na popud pečetící osoby [tj. právnické osoby, která vytváří elektronickou pečeť]). Technické specifikace použité technologie "Produit Gemalto "IAS Classic V4.4 with MOC Server 1.1 on MultiApp V4" embarqué sur le microcontrôleur M7892 G12 Infineon Technologies AG“ nezakazují možnost uchování PIN softwarovou komponentou.

Z obecného hlediska, podle názoru odboru eGovernmentu, umožňují normy řady EN 419 211 zapamatování PIN (musí být ovšem zajištěna jeho důvěrnost). Pečetící osoba musí mít soukromý klíč (data pro vytváření elektronických pečetí), resp. způsob jeho aktivace, pod svou výhradní kontrolou. Možnost použití certifikované čipové karty či tokenu se zapamatovaným PIN po stanovenou dobu připouští také dokument Security guidelines on the appropriate use of qualified electronic seals v kap. 3.3.  Tento dokument byl vytvořený organizací ENISA.

Ministerstvo vnitra však důrazně doporučuje, aby ovládací aplikace, která umožňuje zapamatování PIN, byla posouzena ze strany nezávislé strany za účelem posouzení její bezpečnosti, zejména s přihlédnutím, jakým způsobem je realizováno zapamatování PIN.

Vzhledem k tomu, že při automatizovaném vytváření kvalifikovaných elektronických pečetí není třeba potvrzovat vytvoření každé kvalifikované elektronické pečeti, je nutné důsledně dbát na zabezpečení prostředí, ve kterém kvalifikované elektronické pečetě vznikají. Za důsledné zabezpečení takového prostředí odpovídá pečetící osoba. Tato pečetící osoba by měla být písemně upozorněna na možná rizika a její odpovědnost za zajištění bezpečnosti prostředí.

Někteří kvalifikovaní poskytovatelé umožňují do vydaného kvalifikovaného certifikátu umístit příznak o tom, že související soukromý klíč je uložen na kvalifikovaném prostředku pro vytváření elektronických pečetí, pokud mají možnost si tuto skutečnost ověřit (tj. model, kdy žadatel o certifikát použije pro generování žádosti svůj vlastní prostředek). Tato možnost je nicméně odvislá od skutečnosti, zda prostředek je podporován ze strany kvalifikovaného poskytovatele.
 
Zejména pro subjekty, které potřebují opatřovat kvalifikovanou elektronickou pečetí velké množství dokumentů a disponují patřičným technickým a organizačním zázemím, se nabízí možnost, kdy by HSM řešení, které je certifikováno jako kvalifikovaný prostředek pro vytváření elektronických pečetí, pouze pokud je spravováno kvalifikovaným poskytovatelem služeb vytvářejících důvěru jménem pečetící osoby, bylo umístěno přímo v infrastruktuře pečetící osoby. Pečetící osoba musí zabezpečit, že HSM řešení bude umístěno v bezpečném a chráněném prostředí, které vyhovuje podmínkám, za kterých bylo HSM řešení certifikováno. Samotné HSM řešení musí být ve výlučné správě kvalifikovaného poskytovatele služeb vytvářejících důvěru, a to na základě uzavřeného smluvního vztahu definujícího mj. i způsob a podmínky správy HSM řešení.

Další možností, kterou je díky nařízení eIDAS a jeho celounijního rozsahu možné využít, jsou služby poskytované kvalifikovanými poskytovateli služeb vytvářejících důvěru usazenými v zahraničí. Tzn. možnost využití služeb vytváření kvalifikovaných elektronických pečetí na dálku nebo možnost vydání kvalifikovaného certifikátu pro elektronickou pečeť společně s kvalifikovaným prostředkem pro vytváření elektronických pečetí.

Ministerstvo vnitra průběžně zjišťuje další informace, které následně bude prostřednictvím těchto stránek publikovat.

  


Odbor eGovernmentu, 14. dubna 2020

vytisknout  e-mailem