Konverze dokumentů z pohledu klienta egovernmentu Jiří Peterka, 15.4.2010
připomenutí konverze z listinné do elektronické podoby konverze z elektronické do listinné podoby (autorizovaná) konverze z moci úřední (autorizovaná) konverze na žádost
co velí zdravý rozum? zachovat při konverzi co nejvíce informací!!!!! přenést je z jedné podoby dokumentu do druhé konvertovat jen tam, kde je (rozumná) jistota o pravosti originálu (vstupu do konverze) a splněny další náležitosti, požadované zákonem jistota NE pochybnosti nevím jistota ANO konverze z elektronické do listinné podoby
ad zachování informací při konverzi při konverzi z listinné do elektronické podoby se snímá (a tím přenáší do el. podoby) i grafická podoba vlastnoručního podpisu, včetně eventuelního razítka při konverzi z elektronické do listinné podoby se elektronický podpis jako takový nepřenáší do listinné podoby jak se (z výstupu konverze) pozná, kdo dokument podepsal?
jak poznat, kdo originální dokument podepsal? na konverzní doložce je uvedeno pouze číslo certifikátu a dále identita vystavitele certifikátu (certifikační autority) nikoli jméno toho, komu byl vystaven použitý certifikát!!! každý (podpisový) certifikát v sobě nese údaj o tom, komu byl vystaven položka Common Name (CN) v údajích o subjektu certifikát se přikládá k el. podpisu (do elektronického dokumentu) ale: při konverzi se nepřenáší!!!!
jak poznat, kdo dokument podepsal? je možné nějak jinak zjistit, komu patří (komu byl vystaven) certifikát, využitý při podpisu elektronického dokumentu? pro veřejné certifikáty: ano, pro neveřejné certifikáty: ne pohledem do evidence vydaných certifikátů příslušné CA neveřejný certifikát (CA nezveřejňuje, komu ho vystavila)
otázka: kdy konvertovat? připomenutí jistota NE pochybnosti nevím jistota ANO co patří do situací, kdy lze mít jistotu o nepravosti vstupního dokumentu v elektronické podobě? například když je porušena integrita dokumentu význam: dokument byl od podpisu pozměněn = jde už o jiný dokument!! do 4.2.2010 bylo možné autorizovaně konvertovat i elektronický dokument s porušenou integritou
otázka: kdy konvertovat? jistota NE pochybnosti nevím jistota ANO konverze z listinné do elektronické podoby zákon říká, že se nekonvertuje už při POCHYBNOSTECH. č. 300/2008 Sb., 24/5/c: Konverze se neprovádí jsou-li v dokumentu v listinné podobě změny, doplňky, vsuvky nebo škrty, které by mohly zeslabit jeho věrohodnost konverze z elektronické do listinné podoby: porušení integrity lze zjistit exaktně!! tj. dozvídáme se s jistotou, zda dokument byl změněn či nebyl změněn a jak této možnosti využívá zákon? názor: nevyužívá
trocha teorie připomenutí: elektronický podpis je platný, pokud současně platí, že: 1. není porušena integrita podepsaného dokumentu 2. certifikátu, na kterém je el. podpis založen, ještě neskončila řádná doba jeho platnosti certifikáty, používané pro el. podpis, se vystavují na 1 rok 3. certifikát, na kterém je el. podpis založen, nebyl v okamžiku vzniku el. podpisu revokován certifikát lze tzv. revokovat (předčasně ukončit jeho platnost) jen v době jeho řádné platnosti později by to nemělo smysl certifikát je už tak jako tak neplatný zdůraznění: k tomu, aby elektronický podpis neplatil, stačí nesplnění jediné podmínky a naopak: k tomu, aby elektronický podpis platil, musí být splněny všechny podmínky (současně) porušená integrita stačí k neplatnosti elektronického podpisu ale naopak: neporušená integrita nestačí k platnosti elektronického podpisu
co říká zákon? podle toho, jak zákonu rozumím já: platnost elektronického podpisu není nutnou podmínkou k autorizované konverzi (na žádost) z elektronické do listinné podoby zákon neuvádí neplatnost podpisu mezi překážkami konverze zákon požaduje pouze existenci elektronického podpisu, nikoli jeho platnost: Konverze se neprovádí. nebyl-li dokument obsažený v datové zprávě podepsán uznávaným elektronickým podpisem. toho, kdo dokument vydal nebo vytvořil naopak: v požadavcích na obsah konverzní doložky zákon požaduje uvést údaj o tom, zda byl vstup podepsán platným uznávaným elektronickým podpisem nebo označen platnou uznávanou elektronickou značkou
má se konvertovat když nevím? jistota NE pochybnosti nevím jistota ANO zákon říká: Konverze se neprovádí. nebyl-li dokument obsažený v datové zprávě podepsán uznávaným elektronickým podpisem. toho, kdo dokument vydal nebo vytvořil jak ale toto rozhodnout? existují kvalifikované certifikáty, vydané na pseudonym pak není vůbec známo, kdo je podepsanou osobou i když certifikát popisuje konkrétní osobu, tato nemusí být jednoznačně identifikována pouhé jméno a příjmení nestačí i když je držitel certifikátu jednoznačně identifikován, nemusí být známo, zda byl oprávněn dokument podepsat (vytvořit, vydat) to by se dalo zjistit až z podpisových řádů příslušné organizace extrémní interpretace, pro interní elektronické podpisy: připojením (interního) elektronického podpisu vzniká zcela nový dokument (má mj. jiný/nový otisk, resp. hash) pak: dokument vždy vytvořil ten, kdo k němu připojil (poslední) elektronický podpis ergo: podmínka je splněna vždy a automaticky
otázka revokace použitého certifikátu jistota NE pochybnosti nevím jistota ANO možný scénář kompromitace soukromého klíče: okamžik T0: dochází ke ztrátě/zkopírování soukromého klíče okamžik T1: držitel (oprávněná osoba) žádá svou CA o revokaci svého certifikátu, resp. k tomuto okamžiku dochází k revokaci okamžik T2: CA zveřejňuje nový seznam zneplatněných certifikátů (CRL), kde už je předmětný certifikát uveden jako předčasně zneplatněný (revokovaný) okamžik TX: útočník podepsal svůj elektronický dokument cizím (ukradeným) soukromým klíčem, a zároveň opatřil časovým razítkem okamžik TY: útočník žádá o provedení konverze svého dokumentu T0 T1 T2 až 12 hodin (PostSignum, eidentity) až 24 hodin (I.CA)
možný scénář zneužití kompromitovaného certifikátu T0 T1 T2 TX oprávněná osoba má smůlu útočník stihl podepsat svůj dokument (a opatřit ho časovým razítkem) ještě před okamžikem, ke kterému došlo k revokaci již neprokáže, že jde o zneužití a o neplatný podpis, bez ohledu na to, kdy bude útočník žádat o konverzi (a zda vůbec) T0 T1 T2 TX útočník má smůlu útočník stihl podepsat svůj dokument (a opatřit ho časovým razítkem) až po okamžiku, ke kterému došlo k revokaci oprávněná osoba může prokázat, že jde o zneužití a o neplatný podpis,
situace z pohledu konverzního pracoviště (dokument ke konverzi je opatřen časovým razítkem) TY žadatel přichází se žádostí o konverzi v čase TY se žádostí o konverzi dokumentu, který vznikl v čase TX (podle časového razítka) obsluha konverzního pracoviště nemá podle čeho poznat, zda jde o útočníka (někoho, kdo zneužil cizí podpis) obsluha nezná časy T1 (kdy došlo k ev. předčasnému zneplatnění / revokaci certifikátu) tudíž nezná ani dobu T2, kdy bude informace o revokaci zveřejněna, formou CRL (seznamu zneplatněných certifikátů) nedokáže porovnat doby T1 a T2 s dobami TX a TY proto: obsluha konverzního pracoviště získá jistotu až v okamžiku TX+12 hodin (pro PostSignum a eidentity), resp. TX+24 hodin (pro I.CA) TX +12/24 hodin kdy nejpozději musí dojít ke zveřejnění seznamů CRL
situace z pohledu konverzního pracoviště (dokument ke konverzi je opatřen časovým razítkem) TY TX +12/24 hodin informace o eventuelním zneplatnění je již k dispozici obsluha konverzního pracoviště má jistotu, že předkládaný dokument byl podepsán před zneplatněním použitého certifikátu TX +12/24 hodin TY informace o eventuelním zneplatnění ještě nemusí být k dispozici obsluha konverzního pracoviště nemá jistotu, že nedošlo k revokaci certifikátu ještě před podpisem předkládaného dokumentu tuto jistotu získá teprve když počká zbývající dobu (do TX+12/24 hodin) důsledek: v okamžiku TY ještě nelze ověřit platnost elektronického podpisu na dokumentu a pokud je přesto provedena konverze, konverzní doložka nemůže konstatovat, že podpis byl ověřen jako platný!!!
situace z pohledu konverzního pracoviště (dokument ke konverzi není opatřen časovým razítkem) žadatel o konverzi přichází v čase TY předkládaný dokument není opatřen časovým razítkem nelze tedy (spolehlivě) určit, kdy dokument vznikl (okamžik TX) nezbývá než položit TX = TY!! tj. pracovat s dokumentem, jako kdyby vznikl teprve v okamžiku podání žádosti o konverzi!!!! TY = TX +12/24 hodin informace o eventuelním zneplatnění ještě nemusí být k dispozici obsluha konverzního pracoviště nemá jistotu, že nedošlo k revokaci použitého certifikátu ještě před okamžikem podání žádosti o konverzi tuto jistotu získá teprve, když počká 12/24 hodin (do garantovaného vydání nového CRL) důsledek: stejný jako na předchozím slidu
možné řešení: konverzní úschova idea: dokumenty ke konverzi nejprve uložit do garantované konverzní úschovny na min. 12/24 hodin a teprve pak žádat o jejich konverzi z úschovny obsluha konverzního pracoviště by tak měla jistotu ohledně stavu revokace použitého certifikátu vložení do úschovny žádost o provedení konverze min. 12/24 hodin max. 12/24 hodin informace o eventuelním zneplatnění je již k dispozici
děkuji za pozornost Jiří Peterka mailto: jiri@peterka.cz http://jiri.peterka.cz tuto přednášku najdete v mém archivu, na adrese www.earchiv.cz, v sekci přírůstky