A ještě podpis, prosím

Získání certifikátu pro použití elektronického podpisu je velmi jednoduchou procedurou. Když si porovnáme e-mail a k...


Získání certifikátu pro použití elektronického podpisu je velmi jednoduchou
procedurou.
Když si porovnáme e-mail a klasickou poštu, výsledek je jasný. E-mail zvítězí
téměř na celé čáře, protože je levnější a bleskový. Má však, nebo lépe řečeno
donedávna měl, jeden zádrhel, a tím je bezpečnost. Proto vznikl elektronický
podpis. Vyzkoušel jsem jej prakticky, a protože se osvědčil, začal jsem jej i
používat. Abych mohl popsat, jak vše probíhalo, musíme se zpočátku trochu
ponořit do teorie a zákonů.
Již v roce 2000 byl u nás přijat zákon 227/2000 Sb. o elektronickém podpisu a v
roce 2002 zákon 226/2002 Sb. upravující zákon o elektronickém podpisu, čímž se
stal podpis elektronický rovnocenným podpisu vlastnoručnímu. Jenomže nic není
dokonalé a zákony už vůbec ne pro komunikaci se státní správou lze použít pouze
elektronický podpis založený na tzv. kvalifikovaném certifikátu. Ten vydá za
příslušný poplatek zatím pouze jediná certifikační autorita (dále ji budu
označovat zkratkou CA), a protože pro každý úřad státní správy potřebujete
samostatný certifikát, který musíte obnovovat každého půl roku, finanční
náklady výrazně přerostou předpokládané úspory, o náporu na nervovou soustavu
ani nemluvě.
Proč není CA víc, aby si mohly konkurovat? Je to jednoduché. CA musí splnit tak
náročné a ekonomicky nákladné technicko-organizační podmínky (jejich rozbor je
nad rámec tohoto článku a byl by velmi složitý), že se do toho žádná firma
nehrne. Z toho vyplývá, že pro komunikaci se státní správou je elektronický
podpis prakticky k ničemu. Pokud však chcete použít elektronický podpis mimo
státní správu, není třeba jej vystavovat na základě certifikátu
kvalifikovaného, ale certifikát si můžete nechat vystavit u libovolné CA.

Co s podpisem
Úspory nákladů a času při využívání elektronického podpisu jsou podle mých
zkušeností významné.
Chcete např. obchodním partnerům poslat smlouvu a poštou by se to nedalo
stihnout, smlouva navíc musí být podepsána a příjemce musí mít jistotu, že je
od vás. Nebo máte spoustu zákazníků, kterým fakturujete. Dnes již existují
účetní programy, které dokáží vytvořit e-mailovou zprávu a jako přílohu k ní
připojit HTML soubor obsahující vystavenou fakturu. Vám stačí zprávu
elektronicky podepsat a bez průtahů bezpečně odeslat příjemci. Ten má jistotu,
že faktura je skutečně od vás a že ji nikdo nezměnil. Pokud váš partner také
používá elektronický podpis, stačí, abyste měli jeho veřejný klíč a zprávu
můžete navíc zašifrovat proti neoprávněným zvědavcům.
Z toho vyplývá i třetí obecný příklad: Zveřejníte svůj veřejný klíč a kdokoliv
může zprávu adresovanou vám tímto veřejným klíčem zašifrovat. V tom případě si
ji přečtete pouze vy, protože jen vy máte klíč soukromý, potřebný k jejímu
dešifrování.

Jak získat certifikát
Získat certifikát jsem se pokusil již na Invexu v roce 2000. Když mě však CA,
které jsem údaje potřebné pro vystavení certifikátu osobně předal, obeslala
e-mailem, že se něco nepovedlo a že mám poslat údaje znova, ztratil jsem důvěru
a vzdal to. Snad to byla jen nešťastná náhoda, ale při tak citlivé záležitosti,
jakou elektronický podpis je, jsem se jednoduše rozhodl raději poohlédnout po
jiné CA.
Druhý pokus jsem učinil koncem roku 2002. Tentokrát mne zaujala CA Czechia, a
tak jsem to zkusil znova. Navštívil jsem jejich webové stránky a vybral si
jeden z typů certifikátu. Jak vidíte, za ty dva roky možnosti vzrostly a já
jsem si mohl vybrat, jaký certifikát chci (osobní nebo serverový) a kde bude
certifikát potřebný ke generování elektronického podpisu uložen. Vybral jsem si
tedy "Osobní certifikát PROFI". Ten se liší od ostatních tím, že používá USB
token, což je miniaturní zařízení, které připojíte na USB port. Vyberete-li si
token modernější, v mém případě to byl iKey 2000, zajistí vám vygenerování a
uložení veřejného i privátního klíče, na základě kterých (mimo jiné) CA vydá
certifikát. Také ten se uloží do tokenu. Bez přítomnosti tokenu v USB portu
není tedy možno nic podepsat. Certifikát máte stále v bezpečí s sebou a navíc
je snadno přenositelný např. i na notebook. Samozřejmostí je ochrana PINem,
který si sami zvolíte.
Takže zpět do praxe. Nejprve jsem si objednal USB token iKey 2000. Po jeho
doručení poštou a nainstalování příslušného softwaru jsem provedl inicializaci
tokenu. Zde je třeba mít se na pozoru, inicializace se provádí pouze jednou a
dojde při ní k vymazání celého obsahu tokenu a uvedení do výchozího stavu
včetně přednastavení výchozího hesla, které je proto dobré okamžitě změnit.
Připravte se na to, že heslo musí mít nejméně čtyři znaky. Osobně doporučuji
nejméně šest znaků, navíc by mělo obsahovat malá písmena, velká písmena i
číslice (alespoň po jednom). Tím dojde ke ztížení možnosti odhalení hesla.
Snad není třeba zdůrazňovat, že jméno manželky s datem jejího narození je jako
heslo naprosto nevhodné a lepení hesel na klávesnici zespoda či dokonce rovnou
na monitor má stejný efekt, jako jejich vyhlášení veřejnými sdělovacími
prostředky.
Token iKey 2000 obsahuje navíc ještě kryptografický procesor, takže žádné klíče
ani certifikáty nelze z tokenu prakticky žádným způsobem vydolovat. Pokud byste
si tedy již certifikát objednali a potom provedli znova inicializaci tokenu,
nebyl by vám vystavený certifikát k ničemu. Po inicializaci tokenu a změně
hesla jsem se připojil na internet a na stránkách www.caczechia.cz si nechal
certifikát vystavit. Token vygeneroval a do své paměti uložil veřejný i
privátní klíč. Ty byly automaticky odeslány CA. Celý proces byl rychlý a
skončil vytištěním smlouvy ve dvou exemplářích. Smlouvu jsem musel nechat
podepsat na místě, kde lze ověřit podpis a údaje v občanském průkaze (např.
Městské úřady nebo notáři). Mohl bych ji podepsat i přímo v CA, to však pro mě
bylo trochu z ruky.
Po obdržení a potvrzení smlouvy CA mi byl jeden stejnopis vrácen zpět a
e-mailem mi bylo sděleno, že si mohu nainstalovat certifikát. Instalace
proběhla bez potíží do tokenu i do počítače. Vystavený certifikát se vztahuje
ke konkrétní e-mailové adrese. Protože tuto adresu využívám nejen na počítači
stolním, ale i na notebooku, chtěl jsem certifikát využívat i zde. Nainstaloval
jsem proto kořenové certifikáty CA Czechia, software pro token a s jeho pomocí
jsem velmi snadno umístil certifikát do notebooku. Samozřejmě snad nemusím
zdůrazňovat, že délka vystaveného certifikátu odpovídala našim zákonům. A potom
jsem již pouze podepisoval a podepisoval.
Samozřejmě, vybrat si používání certifikátu s tokenem není nezbytně nutné, vše
lze uskutečnit i bez něj, ale když se jedná o bezpečnost tak citlivé
záležitosti, jakou elektronický podpis bezesporu je, považuji použití tokenu za
velmi rozumné. Je malý, certifikátů se do něj vejde víc a model s kryptovacím
procesorem zajistí, že se k certifikátu nedostane nikdo neoprávněný ani v
případě ztráty tokenu.
Řešíte podobné problémy jako autor článku? Podělte se o své zkušenosti s námi i
se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.