Elektronický podpis

digitální náhražka ručně psaného podpisu

Elektronický podpis (též digitální podpis) je v informatice označení specifických dat, která v počítači nahrazují klasický vlastnoruční podpis, respektive ověřený podpis. Je připojen k datové zprávě nebo je s ní logicky spojen, takže umožňuje ověření totožnosti podepsané osoby ve vztahu k datové zprávě. Elektronický podpis je prostředek k tomu, jak v anonymním světě internetu ověřit totožnost odesílatele.

Z právního hlediska je elektronický podpis definován jako data v elektronické podobě, která jsou připojena k jiným datům v elektronické podobě nebo jsou s nimi logicky spojena a která podepisující osoba používá k podepsání[1].

Elektronický podpis je vytvořen pro konkrétní data a je možné pomocí počítače ověřit, zda je platný a zda jsou data v té podobě, ve které byla podepsána. Součástí elektronického podpisu je identifikace toho, kdo podpis vytvořil. Ověření elektronického podpisu zahrnuje kromě matematických operací i přenos důvěry z důvěryhodné třetí strany na tvůrce podpisu a následně na důvěryhodnost elektronicky podepsaného dokumentu. K tomu se využívá digitální certifikát, vydaný certifikační autoritou, nebo síť důvěry.

V České republice existuje několik kvalifikovaných poskytovatelů služeb vytvářejích důvěru, kteří jsou oprávněni mimo jiné vydávat i certifikáty pro elektronické podepisování. Takové poskytovatele označujeme jako akreditované certifikační autority.

Vlastnosti elektronického podpisu

editovat

Elektronický podpis umožňuje ověřit několik skutečností:

Autenticita
Autenticita znamená, že lze ověřit identitu subjektu, kterému patří elektronický podpis. Autenticita je realizována pomocí přenosu důvěry (viz dále).
Integrita
Pomocí integrity lze prokázat, že od vytvoření elektronického podpisu nedošlo k žádné změně v podepsaném dokumentu, tj. že dokument (podepsaný soubor) není úmyslně či neúmyslně poškozen.
Nepopiratelnost
Nepopiratelnost znamená, že autor nemůže tvrdit, že elektronický podpis příslušný k dokumentu nevytvořil. Důvodem je fakt, že pro vytvoření elektronického podpisu je potřeba privátní klíč, který je těsně svázán s veřejným klíčem, pomocí kterého dochází k matematickému ověření elektronického podpisu. Bez přístupu k privátnímu klíči nelze elektronický podpis vytvořit a ověření elektronického podpisu může být provedeno jen veřejným klíčem, který k němu patří.
Časové ukotvení
Elektronický podpis může obsahovat časové razítko, které prokazuje datum a čas podepsání dokumentu. Časové razítko vydává důvěryhodná třetí strana, a protože je součástí elektronického podpisu, lze ji ověřit stejným postupem, jako elektronický podepsaný dokument.

Princip funkce

editovat
 
Podepsání a ověření elektronického podpisu (s použitím kryptografie s veřejným klíčem)

Princip elektronického podpisu vychází z existence nějaké soukromé informace, kterou vlastní jenom podepisující osoba a nikdo jiný, a tato informace reprezentuje jeho schopnost vytvořit elektronický podpis pod určitým dokumentem. Toto číslo je tajnou informací – daty pro vytvoření elektronického podpisu. U elektronického podpisu podepisování probíhá velmi podobně jako na papíru, přičemž místo papírového dokumentu je k dispozici elektronický dokument (v podstatě jedno velmi velké číslo) a místo podpisové schopnosti existuje druhé číslo – tajné podepisovací číslo. Určitým matematickým spojením těchto dvou čísel vzniká číslo nové, a tím je právě elektronický podpis. Ten je možné připojit k podepisovanému dokumentu, přenášet jej s ním na dálku – např. e-mailem, uložit podepsaný dokument na jakékoliv médium umožňující digitální záznam apod.

Podepsání elektronického dokumentu probíhá tak, že se „prožene“ speciálním programem, který vygeneruje z obsahu dokumentu a ze soukromého klíče určitou posloupnost znaků, kterou připojí ke zprávě jako její digitální podpis. Takto podepsaná zpráva je odeslána příjemci. Příjemce použije druhý klíč, komplementární k předchozímu – tzv. veřejný klíč, pomocí nějž může ověřit pravost podpisu (tj. provést identifikaci a autentizaci odesilatele) a neporušenost obsahu (integritu) zprávy.

Kryptografická technologie

editovat

Pro elektronické podpisy se dnes používá především metody asymetrické kryptografie, tedy metody používající dvou klíčů – tajného (soukromého) a veřejného. K vytvoření elektronického podpisu může posloužit i symetrická šifra, pak jde ovšem o arbitrovaný protokol; aplikace asymetrických algoritmů je výrazně pomalejší než užití algoritmů symetrických, což vyplývá z matematického principu metody. Proto se mnohdy při tvorbě podpisu nešifruje soukromým klíčem odesilatele celá zpráva, ale nejprve se na obsah elektronického dokumentu použije takzvaná hashovací funkce. Jde o jednosměrnou transformaci, která z dokumentu vytvoří určitou jí reprezentující hodnotu (textový řetězec) pevné délky – tzv. hash hodnotu (opačný postup, tedy z hash hodnoty vytvořit původní dokument, není možný), což je poměrně krátké číslo (typicky několik stovek bitů). Ta se zašifruje některým asymetrickým algoritmem s použitím soukromého klíče podepisující osoby. Výsledkem je elektronický podpis, který splňuje stejná bezpečnostní kritéria jako podpis celého dokumentu, provedení však trvá nesrovnatelně kratší dobu.

Kontrola digitálního podpisu zprávy u příjemce probíhá tak, že ke zprávě je podle dohodnutého algoritmu samostatně dopočítána nová hash hodnota. Poté je pomocí veřejného klíče autora podpisu dešifrován obsah elektronického podpisu a výsledek je porovnán s vypočteným hashem zprávy. Pokud jsou obě hodnoty hashe stejné, je podpis z matematického hlediska platný. V tuto chvíli však není možné považovat platný elektronický podpis za zcela důvěryhodný, protože není jisté, kdo je majitelem veřejného klíče, pomocí kterého došlo k matematickému ověření podpisu.

Přenos důvěry

editovat

Důvěryhodnost platného elektronického podpisu je nutné zjistit pomocí principu přenosu důvěry z důvěryhodné třetí strany na údaj o majiteli veřejného klíče, pomocí kterého došlo k úspěšnému matematickému ověření platnosti elektronického podpisu (viz minulý odstavec). K tomu je využíván digitální certifikát, který vydává důvěryhodná certifikační autorita. Digitální certifikát je vlastně elektronicky podepsaný veřejný klíč, ke kterému jsou připojeny identifikační údaje jeho majitele. Pokud věříme, že certifikační autorita podepsala veřejný klíč teprve poté, co jeho majitel prokázal svoji totožnost (například občanským průkazem), můžeme po ověření matematické platnosti elektronického podpisu certifikační autority, který je umístěn pod veřejným klíčem (viz minulý odstavec), přenést důvěru v certifikační autoritu na identifikaci majitele, která je ve zkoumaném veřejném klíči uvedena. Ovšem v tomto okamžiku se dostáváme do stejné situace jako na začátku odstavce, protože k ověřování elektronického podpisu certifikační autority potřebujeme veřejný klíč certifikační autority, avšak abychom důvěru mohli přenést, musíme si být jisti, že údaje o certifikační autoritě jsou správné (tj. že věříme správně certifikační autoritě a ne podvodníkovi, který se za certifikační autoritu jen vydává).

Úložiště certifikátů

editovat

Při kontrole údajů ve veřejném klíči certifikační autority můžeme opět využít elektronický podpis, protože za pravost údajů by se mohla zaručit „vyšší“ certifikační autorita. Ovšem tak bychom se dostali do nekonečného ověřování dalších a dalších elektronických podpisů a veřejných klíčů (tj. digitálních certifikátů). Proto v počítačích existuje úložiště certifikátů, ve kterém jsou shromážděny tak zvané kořenové certifikáty, což jsou veřejné klíče „nejvyšších certifikačních autorit“. Pokud uživatel počítače bude důvěřovat, že má v úložišti nezfalšované kořenové certifikáty, může tuto důvěru pomocí postupného ověření elektronických podpisů přenést na veřejné klíče uvedené výše v tomto textu a nakonec až na elektronicky podepsaný dokument.

Používané algoritmy

editovat

Pro elektronický podpis se používají tyto algoritmy:

Úrovně elektronických podpisů

editovat

Česká legislativa rozeznává několik úrovní elektronického podpisu [2]:

  • Kvalifikovaný elektronický podpis
  • Uznávaný elektronický podpis
  • Zaručený elektronický podpis
  • Jiné typy elektronických podpisů

Státní správa je povinna při výkonu své činnosti používat kvalifikované elektronické podpisy s vloženými kvalifikovanými časovými razítky. Fyzické a právnické osoby komunikující se státní správou prostřednictvím elektronického podpisu jsou povinny používat alespoň uznávaný elektronický podpis. Použití úrovní elektronických podpisů mezi právnickými a fyzickými osobami není dále nijak upraveno a mohou tedy použít cokoli, na čem se vzájemně dohodnou.

Zaručený elektronický podpis

editovat

Jedná se o elektronický podpis, který je vytvořen na základě soukromého klíče a k němu náležícímu certifikátu. Použitý certifikát nemusí splňovat žádné speciální náležitosti a může tedy být vydán jakoukoli certifikační autoritou, nebo může být tzv. self-signed. Jde například o službu BankID Sign.[3]

Uznávaný elektronický podpis

editovat

Jedná se o zaručený elektronický podpis, k jeho vytvoření byl navíc použit tzv. kvalifikovaný certifikát. Takový certifikát vydávají za úplatu kvalifikované certifikační autority.

Kvalifikovaný elektronický podpis

editovat

Kvalifikovaný elektronický podpis je elektronický podpis, který je v souladu s nařízením EU č. 910/2014 (nařízení eIDAS) pro elektronické transakce na vnitřním evropském trhu. Umožňuje dlouhodobě ověřovat autorství prohlášení při elektronické výměně dat. Kvalifikovaný elektronický podpis lze považovat za digitální ekvivalent vlastnoručního podpisu.[4]

Podepisující musí disponovat kvalifikovaným certifikátem a dále musí disponovat kvalifikovaným prostředkem pro vytváření elektronických podpisů, na kterém je uložen soukromý klíč podepisujícího.[zdroj⁠?!]

Kvalifikovaní poskytovatelé certifikačních služeb v ČR jsou tři autority:

Jiné typy elektronických podpisů

editovat

Jedná se o takové elektronické podpisy, které nejsou vytvořeny dle principů asymetrické kryptografie, ale ze své podstaty jsou stále elektronické. V praxi se jedná např. o:

  • biometrické podpisy,
  • jméno a příjmení v patičce emailu,
  • naskenovaný obrázek vlastnoručního podpisu, apod.

Poskytovatelé certifikačních služeb

editovat

Podle zákona je touto stranou poskytovatel certifikačních služeb, což je soukromoprávní subjekt, poskytující službu spočívající v propojení fyzické osoby s jejím veřejným klíčem prostřednictvím tzv. certifikátu. Certifikátem zaručuje, že veřejný klíč patří opravdu tomu, kdo je označen jako jeho vlastník. Certifikát je tedy také elektronický dokument, který k tomu, aby mohl sloužit svému účelu, musí být elektronicky podepsán poskytovatelem certifikačních služeb. (Tím je chráněn jeho obsah proti zásahu podobně, jako jiné podepsané elektronické dokumenty.)

Může dokonce existovat více certifikátů, má-li osoba více dvojic klíčů, určených pro různé příležitosti. Jeden jako soukromá osoba, jeden jako statutární představitel firmy, jeden jako člen zájmového spolku apod. Certifikát může obsahovat i pověření osoby nebo limit transakcí, které lze takto podepsat.

Akreditované certifikační autority

editovat

Subjekty v této skupině mají pro nás největší význam. Ten vyplývá ze skutečnosti, že při komunikaci se státní správou je vyžadován kvalifikovaný certifikát vydaný akreditovaným poskytovatelem certifikačních služeb. Tyto certifikáty, které mohou pochopitelně vydat pouze akreditované subjekty, mají nejširší možnost použití. Samostatný proces akreditace nám zaručuje velice dobrou jistotu zejména o bezpečnosti takových certifikátů a o tom, poskytovatel disponuje dostatečnými prostředky na krytí případných škod. Lze říci, že certifikáty akreditovaných poskytovatelů jsou nejjistější. Akreditovaný poskytovatel musí splnit určité podmínky, které se na ostatní poskytovatele nevztahují. Zejména se jedná o § 10 ZoEP a vyhlášku č. 366/2001 Sb. Úřadu pro ochranu osobních údajů.

V ČR jsou kvalifikovanými poskytovateli certifikačních služeb První certifikační autorita, Česká pošta a eIdentity.[5]

Veřejné CA

editovat

Do další skupiny spadají certifikační autority, které sice nemají akreditaci, ale nabízejí své certifikační služby veřejnosti. Těchto společností je na trhu více než v případě první skupiny. Zajímavou certifikační autoritou byla do roku 2011 CA Czechia, která měla poměrně široké portfolio služeb. Byla dceřinou společností brněnské firmy ZONER software, a. s.

Soukromé CA

editovat

Soukromých certifikačních autorit existují v ČR desítky až stovky. V podstatě může být takovou CA každý, kdo má potřebné know-how (když jej nemá může ještě využít nějaké nabídky jako např. Globe internet). Pro velké a známé organizace je tato cesta levnější, než pořizování certifikátů od externí certifikační autority. Organizace zaručuje certifikáty svým jménem. Typické je, že tyto autority nevydávají certifikáty široké veřejnosti. Nefungují jako na trhu komerční subjekty. Certifikáty jsou vydávány pro potřeby organizace, nebo jejich partnerů klientů apod. Soukromé CA jsou většinou provozovány univerzitami, provozovateli webhostingu a podobných služeb nebo velkými podniky.

Legislativa

editovat

Legislativa ČR

editovat

V České republice byl v roce 2000 přijat zákon č. 227/2000 Sb., o elektronickém podpisu a ČR se tak stala třetí zemí, kde vstoupil v platnost zákon upravující užívání elektronického podpisu. Tím byla prakticky zahájena éra využívání a legalizace zaručeného elektronického podpisu v Česku. Zákon vycházel ze směrnice Evropského parlamentu a Rady 1999/93/ES. V roce 2016 byl přijat zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce[2] doplňující evropské nařízení eIDAS. Zákonem 297/2016 Sb. byl původní zákon o elektronickém podpisu zrušen.

V Česku jsou používány dva základní typy certifikátů:[6]

  • komerční certifikát – k bezpečné komunikaci (přihlašování, k šifrování, k elektronickému podepisování), obě strany musí akceptovat podmínky (způsob ověření) žadatele
  • kvalifikovaný certifikát – k vytváření zaručeného elektronického podpisu uznávaného podle zákona (vydavatel musí být certifikován), tedy pro oficiální komunikaci se subjekty státní správy, s pojišťovnami apod.

Využití zaručeného elektronického podpisu

editovat
  • při podání přehledu o příjmech a výdajích OSVČ
  • u přihlášky a odhlášky k nemocenskému pojištění
  • u přiznání k DPH
  • při elektronické komunikaci se státní správou
  • při elektronické komunikaci s krajskými a městskými úřady
  • při elektronické komunikaci se zdravotními pojišťovnami
  • při žádosti o sociální dávky
  • při podávání žádostí o dotace EU
  • při použití datové schránky
  • při podepisování faktur
  • jako elektronický podpis PDF dokumentů

Legislativa EU

editovat

V členských zemích Evropské unie je platné nařízení eIDAS, které je přímo účinné (tzn., že žádná národní legislativa s ním nesmí být v přímém rozporu). Přijetím nařízení eIDAS v EU fakticky dochází k harmonizaci národních legislativ na úrovni tzv. služeb vytvářejích důvěru, zahrnujících elektronické podepisování, elektronické pečetění, ověřování elektronických podpisů a pečetí a dlouhodobé uchovávání elektronických podpisů a pečetí, a elektronické identifikace.

Reference

editovat
  1. NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu (eIDAS). eur-lex.europa.eu [online]. 23.7.2014 [cit. 2020-09-20]. Dostupné online. 
  2. a b Zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce. Zákony pro lidi [online]. 24.8.2016 [cit. 2020-09-20]. Dostupné online. 
  3. BankID Sign: Elektronicky podepsat pomocí bankovní identity můžete už i svůj vlastní dokument. www.lupa.cz [online]. [cit. 2024-12-09]. Dostupné online. 
  4. Qualified Electronic Signature [online]. Bundesnetzagentur [cit. 2016-06-13]. Dostupné online. 
  5. MV ČR: Přehled kvalifikovaných poskytovatelů certifikačních služeb a jejich kvalifikovaných služeb Archivováno 21. 4. 2021 na Wayback Machine.
  6. Jaký je rozdíl mezi kvalifikovaným a komerčním certifikátem?. Digitální podpis [online]. 2020-06-06 [cit. 2023-06-13]. Dostupné online. 

Literatura

editovat
  • BUDIŠ, Petr; ŠTĚDROŇ, Bohumír. Elektronické komunikace. 1. vyd. Slovakia: Magnet Press, 2008. 110 s. ISBN 978-80-89169-11-5. 
  • HORNÍK, Jiří. Elektronický podpis [online]. [cit. 2011-01-25]. Dostupné online. 
  • RYBKA, Michal; MALÝ, Ondřej. Jak komunikovat elektronicky. 1. vyd. Praha: Grada, 2002. 92 s. ISBN 80-247-0208-8. 
  • SMEJKAL, Vladimír. Internet a §§§. 2 aktualizované. vyd. Praha: Grada, 2001. 284 s. ISBN 80-247-0058-1. 
  • ŽEMLIČKA, Michal. E-mail, chat, sms : praktický průvodce elektronickou komunikací. 1. vyd. Brno: Computer Press, 2003. 110 s. ISBN 80-7226-928-3. 
  • Zákon č. 227/2000 Sb., o elektronickém podpisu. [cit. 2016-09-19]. Dostupné online. (Alternativní odkaz) Archivováno 27. 3. 2009 na Wayback Machine.

Související články

editovat

Externí odkazy

editovat
  NODES
chat 1
INTERN 4