22.března 2019

Elektronická podpis objasnění pojmů

Objasnění pojmůHistorie certifikační politiky

Historie využití certifikátů pro komunikaci s portály veřejné správy není dlouhé.  Z tohoto pohledu je důležité datum 21. březen 2001, kdy se uskutečnila první "digitálně podepsaná" XML komunikace.  Ta proběhla v rámci projektu "Rozhraní na registry ARES a UIR-ADR" . Systém prvního přenosu zprávy typu „dotaz-odpověď“ byla vytvořena na základě   formátu XML.  Digitální podpis byl využit pro autentizaci i autorizaci přístupu na rozhraní ARES.  Klientská aplikace použitá pro tuto komunikaci byla od společnosti PDS s.r.o. program vOKO.  


Laicky řečeno: Certifikát je taková digitální propiska vytvářející elektronický podpis.

 

  • Certifikát:

Certifikát lze chápat jako digitální potvrzení, které sjednocuje osobu vlastníka, tedy reálný subjekt s jeho elektronickým veřejným klíčem. Certifikát je datová zpráva, jejímž prostřednictvím reálný subjekt vytvoří svůj vlastní elektronický podpis dokumentu, nebo souboru.

 

  • Elektronický podpis

V některých publikacích je uváděn i pojem názvem digitální podpis je datová struktura s pevnou délkou věty vytvořená kryptografickou metodou pomocí soukromého klíče subjektu. Digitální podpis tyto údaje přikládá k odeslané datové zprávě a slouží jako metoda prokazující nepopiratelnost podpisu dané osoby. Elektronický podpis je vytvořen prostřednictvím certifikátu.

 

  • Rozdíl mezi komerčním a kvalifikovaným certifikátem

Kvalifikovaný certifikát slouží k ověření elektronického podpisu a jeho využití má primární uplatnění při komunikaci s úřady státní správy. V současné době užití kvalifikovaných certifikátů akceptují elektronické podatelny finančního úřadu, celního úřadu, České správy sociálního zabezpečení, zdravotních pojišťoven i ministerstvo životního prostředí, stejně jako dalších institucí uznávajících kvalifikované certifikáty. 

 

Komerční certifikáty mají oblast uplatnění zejména mezi komerčními subjekty. 

Nevýhodou komerčních certifikátů je, že nejsou určeny pro komunikaci s orgány veřejné správy. Komerční certifikáty  nejsou  automaticky uznávány, takže  komunikující strany se nejprve musejí na akceptaci certifikátu dohodnout.  

Komerční certifikáty typu CSC (serverové) nejsou svázány pouze s fyzickými nebo právnickými osobami, ale slouží i pro komunikaci mezi servery a dalšími IT aplikacemi. 


  • Kvalifikované časové razítko

Kvalifikované časové razítko označované mezinárodní zkratkou TSA je vydáváno v souladu se zákonem č. 227/2000 Sb. o elektronickém podpisu a vyhovuje standardu RFC 3161.

Prokazuje, že dokument existoval v době vytvoření v dané podobě. Propojení konkrétního a nezpochybnitelného časového údaje spolu s konkrétním datovým souborem má význam při zpětném ověřování pravosti dokumentu.

 

Kvalifikované časové razítko obsahuje:

- Číslo razítka

- Pravidla související s vydáním časového razítka

- Čas s přesností 1 sekundy od UTC  

- Elektronická data – hash otisk dokumentu

- Elektronickou značku serveru vydávajícího kvalifikované časové razítko


  • Revokace 


Certifikát je vydáván s platností jednoho roku. Pokud v průběhu této doby nastane situace vyžadující zastavení platnosti validního certifikátu je možné je za pomoci k tomuto účelu vytvořeného hesla provést zneplatnění. 
Žádost o zneplatnění může provést pouze oprávněný vlastník certifikátu nebo podepisující osoba. Zneplatnění je možné provést elektronicky na stránkách certifikační autority. 

Elektronické zneplatnění je okamžité a nedochází zde k časové prodlevě. Další možností je stažení revokačního formuláře, jeho ruční vyplnění a odeslání faxem. Takto podaná žádost je zpracována s určitou prodlevou. V případě, že vlastník certifikátu nezná heslo pro zneplatnění, musí se dostavit osobně do pobočky registrační autority a po předložení osobních dokladů a ověření totožnosti je certifikát zneplatněn. Žádost o zneplatnění je nejčastěji použita z důvodu ochrany, kdy došlo k domnělému, nebo skutečnému prozrazení soukromého klíče vlastníka. Poslední varianta je proto nejméně vhodná z hlediska časového prodlení.

Ukončením procesu revokace se certifikát se dostává se do seznamu zneplatněných certifikátů CRL (Certificate Revocation List). Uvedený seznam je pravidelně aktualizován a na svých stránkách jej uvádějí všechny certifikační autority.