3. přednáška 24.2.2016. Legislativa v telekomunikacích

Podobné dokumenty
Obsah přednášky. Pozn: pokud je v přednáškách zmíněn Občanský zákoník, jedná se o zákon č. 89/2012 Sb., občanský zákoník ( nový občanský zákoník )

3. přednáška Legislativa v telekomunikacích

Elektronický podpis. Elektronický podpis. Digitální podpis. Elektronický podpis x vlastnoruční podpis Dva stupně elektronického podpisu:

Verze: 1.4 Odpovídá: Jiří Hejl Datum: Utajení: Veřejný dokument

Certifikační autorita PostSignum QCA České pošty, s.p.

Certifikační autorita PostSignum QCA České pošty, s.p.

Digitální podepisování pomocí asymetrické kryptografie

Certifikační politika PostSignum Public CA pro komerční serverové certifikáty

227/2000 Sb. ZÁKON. ze dne 29. června (zákon o elektronickém podpisu) ČÁST PRVNÍ ELEKTRONICKÝ PODPIS. Účel zákona

TEZE K DIPLOMOVÉ PRÁCI

Certifikační prováděcí směrnice

Směry rozvoje v oblasti ochrany informací KS - 7

Elektronický podpis a jeho implementace v nákupním systému

Certifikační politika PostSignum Public CA pro komerční serverové certifikáty

Certifikační autorita v praxi

Elektronický podpis Mgr. Miroslav Pizur Bruntál

Obsah přednášky

Konverze dokumentů z pohledu klienta egovernmentu. Jiří Peterka,

Elektronické bankovnictví. Přednáška v kurzu KBaA2 ZS 2009

9/2011 Sb. VYHLÁŠKA ze dne 10. ledna 2011,

ROZHODNUTÍ EVROPSKÉ CENTRÁLNÍ BANKY

KVALIFIKOVANÉ CERTIFIKÁTY

212/2012 Sb. VYHLÁŠKA

CERTIFIKAČNÍ POLITIKA TSA

CERTIFIKAČNÍ POLITIKA

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

N_SAS / VŠFS / LS 2010 / DS. Přednáška č. 9 (hlavní teze) Elektronizace veřejné správy a rozvoj e-governmentu v ČR

Certifikační autority - situace v ČR. Česká zemědělská univerzita v Praze. Provozně ekonomická fakulta. Michal Šírek RNDr. Dagmar Brechlerová

MFF UK Praha, 22. duben 2008

Certifikační autorita EET. Veřejný souhrn certifikační politiky

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů. Digitální důvěra. Jiří Smítka

PRÁVNÍ ZÁKLAD UŽÍVÁNÍ ELEKTRONICKÉHO PODPISU V OBLASTI VEŘEJNÉ SPRÁVY

Důvěryhodná dlouhodobá a garantovaná archivace (požadavky z pohledu legislativy).

VŠEOBECNÉ OBCHODNÍ PODMÍNKY. Článek I. ÚVODNÍ USTANOVENÍ

Projekt: 1.5, Registrační číslo: CZ.1.07/1.5.00/ Digitální podpisy

dokumentaci Miloslav Špunda

vá ro ko Sý ětuše Kv

Aplikovaná informatika

Elektronický podpis význam pro komunikaci. elektronickými prostředky

Certifikáty a jejich použití

Důvěryhodný digitální dokument

Akreditovaná certifikační autorita eidentity

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA

Vysoká škola ekonomická v Praze

Elektronické certifikáty

Projekt 2 - Nejčastější chyby. Ing. Dominik Breitenbacher

383/2009 Sb. VYHLÁKA

3. PRODLOUŢENÍ REGISTRACE DOMÉNOVÉHO JMÉNA 4. DELEGACE DOMÉNOVÉHO JMÉNA

ZPROSTŘEDKOVANÁ IDENTIFIKACE

1::1 VESELí 1. 11III.1NAD MORAVOU SPISOVÝ ŘÁD. Město Veselí nad Moravou Městský úřad Veselí nad Moravou

Statutární město Prostějov Magistrát města Prostějova

Akreditovaná certifikační autorita eidentity

Využití elektronických podatelen a elektronického podpisu v orgánech veřejné správy

DOPLNĚK. Projekt Informační systém základních registrů je spolufinancován Evropskou unií z Evropského fondu pro regionální rozvoj.

Certifikáty a jejich použití

Elektronické podpisy a Evropská Unie.

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Česká pošta, s.p. Certifikační autorita PostSignum

Ukládání dokumentů v návaznosti na datové schránky

Digitální podepisování pomocí asymetrické kryptografie

Zákon o elektronickém podpisu

Obsah O autorech Předmluva Recenzní posudek Kapitola 1 Pojmy, zkratky a předpisy... 18

Účel dokumentu. Uveřejnění jakékoli části tohoto dokumentu podléhá schválení příslušných pracovníků Ministerstva vnitra České republiky.

12. Bezpečnost počítačových sítí

eidas Vyšší bezpečnost elektronické komunikace v EU

SPRÁVA A UKLÁDÁNÍ DŮVĚRYHODNÝCH DOKUMENTŮ

Smluvní podmínky platné od

k předmětu dražby, nebo totéž veřejné jednání, které bylo licitátorem ukončeno z důvodu, že nebylo učiněno ani nejnižší podání; elektronická

Spisový a skartační řád školy šk. zařízení

Nařízení eidas Co? Proč? A Kdy?

OBCHODNÍ PODMÍNKY PRO ELEKTRONICKÝ STYK S BANKOU SBERBANK ONLINE BANKING

Abeceda elektronického podpisu

ATOS Důvěryhodné úložiště pro státní správu

INFORMAČNÍ TECHNOLOGIE

U s n e s e n í o nařízení dražebního jednání - elektronická dražba VEŘEJNÁ DRAŽEBNÍ VYHLÁŠKA

Infrastruktura veřejných klíčů (PKI) v Komerční bance

Koordinační středisko pro resortní zdravotnické informační systémy. Závěrečný test Základy informační bezpečnosti pro uživatele. Verze: 1.

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Úplné znění zákona č. 412/2005 Sb. o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů

VĚSTNÍK MINISTERSTVA ŽIVOTNÍHO PROSTŘEDÍ. OBSAH. Rozhodnutí ministra_kubíčková.pdf

SBÍRKA ZÁKONŮ. Ročník 2012 ČESKÁ REPUBLIKA. Částka 47 Rozeslána dne 16. dubna 2012 Cena Kč 128, O B S A H :

Informatika / bezpečnost

ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Telefónica O 2. Praktické aspekty dlouhodobého a důvěryhodného ukládání elektronických dokumentů

Zásady činnosti obchodní společnosti Internetové aukce realit, a.s.

Katedra informačních technologií PEF ČZU, Praha 6, Kamýcká ul.,

o ochraně osobních údajů a o změně některých zákonů

II. pohled orgánu veřejné moci 1. příjem podání a) podaného elektronicky Dle 64 odst. 1 zákona č. 499/2004 Sb., o archivnictví a spisové službě a o

SMĚRNICE. Certifikační politika k certifikátu pro elektronický podpis a ověření pracovníka PČS nebo externího uživatele PKI-PČS Číselná řada: 5/2006

MEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 700 FORMULACE VÝROKU A ZPRÁVY AUDITORA K ÚČETNÍ ZÁVĚRCE

Certifikační autorita PostSignum QCA České pošty, s.p.

ČÁST PRVNÍ. Předmět úpravy. Vymezení pojmů

SMĚRNICE. Certifikační politika k certifikátu šifrování dat pro pracovníka PČS nebo externího uživatele PKI-PČS

2000/101 Sb. Zákon o ochraně osobních údajů a o změně některých zákonů

2.3 Požadavky na bezpečnost a kryptografii...19

ZPRÁVA KOMISE EVROPSKÉMU PARLAMENTU A RADĚ. o uplatňování směrnice 2009/20/ES o pojištění majitelů lodí pro námořní nároky

PROVÁDĚCÍ PŘEDPIS K ÚMLUVĚ O UDĚLOVÁNÍ EVROPSKÝCH PATENTŮ. z 5. října přijat rozhodnutím správní rady Evropské patentové organizace

Transkript:

3. přednáška 24.2.2016 Legislativa v telekomunikacích

Obsah přednášky 24.2.2016 ZoEP (http://www.ica.cz/userfiles/files/zakon_227_2000.pdf) http://www.earchiv.cz/b12/b0209001.php3 a další pokračování tohoto článku Datové schránky, elektronické podatelny http://www.cak.cz/assets/30-32.pdf Příště Elektronické smlouvy Autorský zákon Pozn: pokud je v přednáškách zmíněn Občanský zákoník, jedná se o zákon č. 89/2012 Sb., občanský zákoník ( nový občanský zákoník ) 2

Př.: Zákonem daná možnost nahrazení psaného textu textem v elektronické podobě Zákon o elektronickém podpisu z.č. 227/2000Sb. - Závaznost právního úkonu je vázána na podpis fyzické osoby, která tímto dává najevo (stvrzuje), že se ztotožňuje s daným textem a tento se pro ni stává právně závazný. Upravuje elektronický podpis u elektronických právních úkonů pro oblast práva soukromého i veřejného. Např. http://www.zakonyprolidi.cz/cs/2014-64 Zákon upravuje tvorbu elektronického podpisu zajištění důvěryhodnosti elektronického podpisu, elektronické značky při vyhotovování právních dokumentů v elektronické podobě, poskytování certifikačních služeb poskytovateli usazenými na území ČR, kontrolu povinností a sankce za porušení povinností stanovených tímto zákonem. 3

Podpis Pojem podpis se v našem právním řádu vyskytoval ve více než 1000 dokumentech v počtu 2800 výrazů (z toho však jen 331 výrazů se nacházelo ve 101 zákonných předpisech) stav k 1.1.2001 Žádný zákon či jiný právní předpis pojem podpis nijak nedefinují Ze (striktně) právního hlediska lze rozlišovat Podpis Vlastnoruční podpis Ověřený podpis Podpis vlastní rukou (např. čl 3 odstavce 1 sdělení 179/1996 Sb.) Podpis na listině, který osoba uznala za vlastní ( 74 zákona č.358/1992 Sb., tzv. Notářský řád) 4

ZoEP V ZoEP č. 227/2000 Sb. nalezneme: Účinnost a požadavky na jednotlivé subjekty a jejich odpovědnost (podepisující se osoba, osoba spoléhající se na elektronický podpis, organizace, veřejná moc, poskytovatel certifikačních služeb) Typy elektronických podpisů (elektronický podpis, zaručený a kvalifikovaný elektronický podpis) Typy poskytovatelů certifikačních služeb a certifikátů (PCS, kvalifikovaný certifikát, PCS vydávající kvalifikované certifikáty, akreditace PCS) 5

Zákon o elektronickém podpisu Právní úprava v ČR zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (ZoEP) (poslední novela 2010) a související Prováděcím předpisy Vyhláška č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb, o požadavcích na nástroje elektronického podpisu a o požadavcích na ochranu dat pro vytváření elektronických značek nařízení vlády 496/2004 z 25.8.2004 (zřízení e-podatelny k 1.1.2005 mají instituce veřejné moci (úřady státní správy, obce) za povinnost podle přijímat a vypravovat elektronické úřední písemnosti). Zákon č. 167/2012 Sb., kterým se mění zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů, zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění pozdějších předpisů, a další související zákony 6

Nezbytný úvod do problematiky elektronického podpisu obecně Elektronický podpis má zajistit (z pohledu ICT) následující bezpečnostní funkce Integritu dat Nepopiratelnost Autenticitu Pojem elektronický podpis pojem ze ZOEP, v ICT pojem digitální podpis 7

Bezpečnost ICT Informace jsou strategickým zdrojem ICT svěřujeme svoje know-how, soukromí, citlivé informace, na ICT je závislá řada obchodních procesů, požadavky na ochranu informací v rámci ICT jsou dány přímo ze zákona (ochrana osobních údajů, ) Základní bezpečností problémy porušení důvěrnosti, integrity, dostupnosti, autenticity (a dalších bezpečnostních funkcí) tak, jak se objevují v programech, operačních systémech, počítačových sítích, databázích atd. V těchto oblastech je třeba určit co se může pokazit, jak zabránit situacím způsobujícím škodu (prevence), jak zmírnit následky situací, nad kterými nemůžeme mít úplnou kontrolu 8

Bezpečnost ICT Bezpečnost je ( well-being ) stav systému (systém = hw + sw + data), kdy je možnost úspěšné dosud nezjištěné krádeže, falšování, narušení informací a služeb udržována na nízké nebo přípustné úrovni. Role Alice a Bob jsou legitimní (good guys) subjekty (osoby, procesy, počítače, ), označení poprvé použil Ron Rivest 1978 Eve, Mallory, Oscar, Trudy nelegitimní subjekt (bad guy), obecně útočník 9

Bezpečnostní funkce elektronického podpisu Bezpečnostní funkce (cíle) elektronického podpisu - služby podporující a zvyšující bezpečnost datových procesů a přenosů v daném subjektu: autenticita (autentication) - původ informací je ověřitelný. Autentizací se rozumí proces ověřování pravosti identity entity (tj. uživatele, procesu, systémů, informačních struktur apod.), integrita (integrity) aktiva smí modifikovat jen autorizované subjekty, nepopiratelnost odpovědnosti (non-repudiation) - nelze popřít účast na transakci. 10

Další bezpečnostní funkce důvěrnost (confidentiality, utajení) - k aktivům (aktiva = data, sw, hw) mají přístup pouze autorizované subjekty, dostupnost (accessibility, availability) - aktiva (data nebo služby) jsou autorizovaným subjektům dostupná, nedojde tedy k odmítnutí služby, kdy subjekt nedostane to na co má právo, prokazatelnost odpovědnosti (accountability) - záruka, že lze učinit subjekty zodpovědné za své aktivity, ozn. také účtovatelnost, spolehlivost (reliability) - konzistence zamýšleného a výsledného chování. důvěryhodnost (trustworthy) - duvěryhodná entita je ta, o které se věří (je o tom podán důkaz), že je implementovaná tak, že splňuje svou specifikaci. Můžeme se na ni spolehnout, chová-li se tak, jak očekáváme, že se bude chovat. autorizace (authorization) entity pro jistou činnost rozumíme určení, že je z hlediska této činnosti důvěryhodná. Udělení autorizace si vynucuje, aby se pracovalo s autentickými entitami. 11

Bezpečnostní mechanismy Bezpečnostní mechanismy implementují (zajišťují) bezpečnostní funkce, mechanismy navržené tak, aby detekovaly útoky (bezpečnostní incidenty), zabraňovaly jim, ev. pomohly zotavení se z útoků: mohou mít charakter fyzického opatření, administrativní akce, může jimi být technické zařízení nebo logický nástroj (algoritmus), Bezpečnostní protokoly (např. SSL), apod. 12

Kryptografický systém Jestliže k je různé od k, hovoříme o dvojici klíčů, soukromém a veřejném. 13

Schéma pro podepisování na bázi ASK m je otevřený text, c je podepsaný text, K SA je soukromý (podepisovací) klíč Alice, K VA je veřejný (ověřovací) klíč Alice e je podepisovací algoritmus, d je algoritmus pro ověření podpisu 14

Rukopisný podpis Je nepadělatelný: dokument podepsal podepsaný a nikdo jiný Pravost podpisu nelze popřít: lze ji dokázat (soudní znalec) Psaný dokument je nezaměnitelný: po podepsání jej již nelze změnit. Je autentický: podepsal jej podepsaný po zralé úvaze. Nelze jej použít vícekrát pro více dokumentů: podepsaný podepisuje dokument, z kterého poté nelze podpis přenést na dokument jiný. 15

Elektronický (digitální) podpis Strana, která získá elektronický (digitálně) podepsaný elektronický dokument, chce být ubezpečena, že autorem dokumentu je označená osoba, že se seznamuje s přesným obsahem dokumentu, že může na základě takto získaného dokumentu konat a mít přitom určité záruky od autora dokumentu. Jinými slovy je třeba zajistit u těchto dokumentů jejich autenticitu, integritu, nepopiratelnost, 16

Digitální podpis na bázi ASK Podpis v dodatku zprávy Podepisovací schéma: A B: C = M E K SA [H(M)] Je zajištěna autenticita, integita i nepopiratelnost Alice pošle Bobovi zprávu M, která je zřetězena s haší zprávy H(M), a tato haš je (před zřetězením) podepsaná Aliciným soukromým klíčem E je podepisovací (resp. šifrovací) algoritmus (např. RSA), D (na dalším slidu) je ověřovací (resp. dešifrovací) algoritmus H je kryptografická hašovací funkce (např. KECCAK, nový SHA-3 algoritmus (NIST standard)), K SA je Alicin soukromý (podepisovací) klíč, K VA je veřejný Alicin klíč (Bob ho použije pro ověření Alicina podpisu) Bezpečnost všech podpisových schémat spočívá v bezpečnosti soukromého klíče!!!! 17

Podpis v dodatku zprávy Ověřovací schéma: Bob oddělí doručenou zprávu M od podepsané hashe a spočítá H(M ) Dále ověří podpis hashe D K [H(M)] a získá H(M) VA Porovná zda H(M )= H(M) K SA K VA porovnej E KSA (H(M)) Podpis v dodatku ke zprávě 18

Hašovací funkce Kryptografické hašovací funkce (KHF) jsou důležitými nástroji pro kryptografické aplikace, protože zajišťují integritu a autentizaci. Použití: Přenos a uložení přihlašovacích hesel - nepřímo pomocí hašovacích hodnot, digitální podpisy Jsou to jednocestné hašovací funkce odolné kolizím! 19

Jednocestná funkce Jednocestná funkce (one-way function): Funkce f: X Y se nazývá jednocestnou funkcí, jestliže je snadné spočítat f(x) pro všechna x X, ale v podstatě pro všechna y Y je výpočetně obtížné najít nějaké x X takové, že f -1 (y) = x. Co znamená snadné a výpočetně obtížné? snadné funkce je vyčíslitelná v polynomiálním čase výpočetně obtížné (těžké) funkce je invertovatelná jen pro velmi zanedbatelnou část vstupů. p,q snadné obtížné N=p*q 20

Jednocestná hašovací funkce Funkce H() se nazývá jednocestná hašovací funkce (JHF), jestliže splňuje následující vlastnosti: Argument (zpráva) M může mít libovolnou délku. Funkce H() je jednocestná. Výsledek H(M) má pevnou délku (např. 224b a více). Funkci H() lze relativně snadno realizovat jak hardwarově, tak softwarově. 21

Jednocestná hašovací funkce odolná kolizím Jednocestná hašovací funkce H() se nazývá jednocestná hašovací funkce odolná kolizím (JHFOK), jestliže splňuje následující vlastnosti: funkce H(M) je odolná (preimage resistance, weak resistance) proti kolizím je-li pro daný vstup M a danou hodnotu H(M) je výpočetně těžké najít takové M (M M ), aby platilo H(M) = H(M ), funkce H(M) je silně odolná (2 nd preimage resistance, strong resistance) proti kolizím, je-li výpočetně těžké najít jakýkoliv pár M, M (pro M M ) takový, aby platilo H(M) = H(M ). 22

Příklad hašovací funkce Př.: Jednoduchý součet bajtů modulo 256, fixní osmibitový výstup. Pro text ahoj získáme 97+104+111+106 mod 256 = 162. Tuto funkci je sice jednoduché spočítat, není to však dobrá (kryptografická) hašovací funkce, neboť nemá vlastnost bezkoliznosti. h( ahoj ) = h( QQ ) = h( zdarff ) je snadné nalézt kolizi Kolize existují, ale musí být těžké je najít (vygenerovat)!!! 23

Certifikát Certifikát (certificate) je elektronický dokument sloužící k identifikaci jednotlivce, serveru, společnosti nebo jiné entity a spojuje tuto entitu s veřejným klíčem. Na certifikát se lze dívat jako na řidičský průkaz, pas nebo jiný doklad dokazující identitu majitele. Certifikát veřejný klíč uživatele podepsaný soukromým klíčem důvěryhodné třetí strany, certifikát spojuje jméno držitele páru soukromého a veřejného klíče s tímto veřejným klíčem, a potvrzuje tak identitu entity, poskytuje záruku, že identita spojená s vlastníkem daného veřejného klíče není podvržená, případně také představuje doklad o tom, že totožnost držitele veřejného klíče byla ověřena. 24

Certifikát Obsah certifikátu stručně označení typu (běžný, kvalifikovaný ) identifikace vydavatele a podepisující entity unikátní číslo v rámci vydavatele (sériové číslo) počátek a konec platnosti volitelně: doplňkové atributy volitelně: omezení použití podpis vydavatele (digitální podpis CA) 25

algoritmu 26 podepsaný hash

Struktura certifikátu X.509v3 X509 viz https://tools.ietf.org/html/rfc3280 Verze - určuje verzi použitého certifikátu (1 v1, 2 v2, 3 v3). Sériové číslo - celé číslo, pomocí kterého může CA jednoznačně identifikovat daný certifikát. Identifikátor algoritmu podpisu - obsahuje dvě části, název použitého algoritmu (pro podpis certifikátu) a související parametry. Význam této položky je zanedbatelný, protože stejné informace jsou součásti podpisu. Jméno vydavatele (issuer name) - reprezentace význačného jména (X.500 jméno) CA, která vytvořila a podepsala daný certifikát. Doba platnosti - skládá se ze dvou časových údajů určujících od kdy do kdy je certifikát platný. Jméno vlastníka (subject name)- určuje pro koho byl certifikát vystaven. Certifikát potvrzuje, že entita identifikovaná tímto význačným jménem (X.500 jménem) je vlastníkem odpovídajícího soukromého klíče. 27

Struktura certifikátu X.509v3 Identifikátor veřejného klíče - obsahuje veřejný klíč subjektu včetně informací o algoritmu, pro který je klíč určen a parametrech použitých k jeho vytvoření. Identifikátor vydavatele - nepovinný údaj použitý k jednoznačné identifikaci vydavatele pro případ, že by jméno vydavatele (issuer name) bylo použito k identifikaci jiné entity. Identifikátor vlastníka - je nepovinný údaj použitý k jednoznačné identifikaci vlastníka pro případ, že by jméno vlastníka (subject name) bylo použito k identifikaci jiné entity. Rozšíření - obsahuje nejčastěji různé dodatečné informace o předmětu certifikátu. Může se jednat například o jeho detailní jméno, poštovní adresu, fotografii či další upřesňující informace. Rozšíření může také obsahovat informace vztahující se k CA. Podpis - podpis všech ostatních položek certifikátu. Obsahuje hash ostatních položek, podepsaný soukromým klíčem CA a informace o algoritmu a parametrech použitých k jeho vytvoření. 28

Struktura certifikátu X.509v3 Rozšíření - obsahuje nejčastěji různé dodatečné informace o předmětu certifikátu. Může se jednat například o vlastníkovo detailní jméno, poštovní adresu, fotografii či další upřesňující informace. Rozšíření může také obsahovat informace vztahující se k CA. Identifikátor veřejného klíče CA, Identifikátor veřejného klíče subjektu, Použití klíče vyznačení účelu, ke kterému může být certifikovaný veřejný klíč použit, Certifikační politiky skupina dokumentů vydaných certifikační autoritou Základní omezení vyznačení toho, zda se jedná o certifikát CA nebo koncového uživatele (zamezí se tomu, aby se uživatel tvářil jako CA a vydával certifikáty), Distribuční místa odvolaných certifikátů, 29

Reprezentace certifikátu 30

31

Význačné jméno Certifikát spojuje entitu s jejím veřejným klíčem. K identifikaci entity (vydávající i vlastnící certifikát) se používá tak zvané význačné jméno (distinguished name, DN). DN je řetězec reprezentující jméno entity a má podobu posloupnosti názvu atributů a hodnot. DN vychází ze stromové struktury, definované standardem X.500. Uzly mají libovolný počet následníků, ale jediného předchůdce, přičemž existují listy - uzly, které nemohou mít následníky. Každý uzel obsahuje alespoň jeden pár atribut-hodnota, pomocí kterého lze uzel identifikovat, například c=cz. Uzel je jednoznačně identifikovatelný pomocí cesty vedoucí od kořene k tomuto uzlu, například c=cz, l=ostrava, o=vsb. Dále může uzel obsahovat dodatečné atributy, které nesou dodatečnou informaci související s daným uzlem. CA musí zajistit, aby DN bylo jednoznačné. 32

Význačné jméno c=cz, l=ostrava, o=vsb, ou=department of Computer Science, cn=internet Technologies, e=it.ca@cs.vsb.cz 33

Význačné jméno Nejobvyklejší atributy Atribut cn c l o ou email Význam Common name jméno entity, pro kterou je certifikát vystaven. Country - země, kde entita leží. Jde o kód země podle ISO 3166, například CZ, US, FI,. Locality - umístění (sídlo) entity. Většinou jde o jméno místa, kde je entita oficiálně registrována nebo kde se nejčastěji zdržuje. Organization název organizace. Organization unit - organizační jednotka v rámci organizace. Například fakulta, katedra, Adresa elektronické pošty, pomocí které lze s entitou komunikovat. 34

Infrastruktura veřejných klíčů - PKI PKI (public key infrastructure) soustava technických a organizačních opatření spojených s vydáváním, správou, používáním a odvoláváním platnosti kryptografických klíčů a certifikátů. Součásti PKI certifikační autorita - poskytovatel certifikační služby, vydavatel certifikátu, registrační autorita - registruje žadatele o vydání certifikátu a prověřuje jejich identitu, adresářová služba - prostředek pro uchovávání a distribuci platných klíčů a seznam odvolaných certifikátů. autorita časových razítek 35

Certifikační autorita Organizace, která se zabývá vydáváním certifikátů se nazývá certifikační autorita (certificate authority, CA). Potvrzuje identitu entit, jímž vydává certifikáty. Metody použité k potvrzování identity se různí a závisí na zásadách jednotlivých CA, CA je musí zveřejnit. CA zejména provádí registraci uživatelů certifikátů, vydávání certifikátů k veřejným klíčům, odvolávání platnosti certifikátů, vytváření a zveřejňování seznamu certifikátů, vytváření a zveřejňování zneplatněných certifikátů CRL (Certificate Revocation List), správu klíčů po dobu jejich platnosti (životního cyklu), dodatkové služby - např. poskytování časových razítek (time-stamping). 36

Registrační autorita Registrační autorita (RA) nepovinná složka vytváří vazbu mezi klientem a CA v souladu s popisem postupů při poskytování certifikačních služeb přijímá žádosti o certifikace ověřuje pravdivost uvedených údajů předává certifikát CA k podpisu podepsaný certifikát předá klientovi 37

Proces vystavení certifikátu Příprava identifikačních údajů - doložení dokladů Generování klíčových dat - pomocí dostupného SW, HW, provede uživatel nebo CA Předání klíčových dat a identifikačních údajů RA - žadatel předá CA/RA data spolu s doklady o jejich pravosti Ověření informací CA/RA si ověří, že lze vydat certifikát Tvorba certifikátu - CA vytvoří podepsaný certifikát Předání certifikátu - certifikát je předán žadateli a zveřejněn 38

Odvolání certifikátu Odvolání certifikátu Přijdete-li o soukromý klíč, bude důležitá rychlost, jakou zašlete CA žádost o odvolání (zneplatnění) certifikátu elektronicky, telefonicky (CA může entitě vystavit jednorázové heslo pro odvolání certifikátu), Může vypršet jeho platnost. Držitel požádá CA o odvolání. Odvolá CA sama (např. CA obdrží žádost o vydání certifikátu s veřejným klíčem stejným, jako má již existující vydaný certifikát). 39

Odvolání certifikátu CRL CA vydává seznam neplatných certifikátů, obsahuje sériová čísla odvolaných certifikátů. Definice CRL je podobná definici certifikátu. CA vydává CRL v pravidelných intervalech, zveřejňuje je např. na webu. Alternativa k CRL: OSCP (Online Certificate Status Protocol, RFC 2560) protokol typu klient/server pro zjištění platnosti certifikátu. 40

ZoEP - pojmy 2 Vymezení některých pojmů - pro účely tohoto zákona se rozumí : datovou zprávou - elektronická data, která lze přenášet prostředky pro elektronickou komunikaci a uchovávat na záznamových médiích, používaných při zpracování a přenosu dat elektronickou formou, podepisující osobou - fyzická osoba, která má prostředek pro vytváření podpisu a jedná jménem svým nebo v zastoupení jiné fyzické či právnické osoby 41

ZoEP - pojmy 2 Vymezení některých pojmů - pro účely tohoto zákona se rozumí : daty pro vytváření elektronických podpisů - jedinečná data, která podepisující osoba používá k vytváření elektronického podpisu, daty pro ověřování elektronických podpisů - jedinečná data, která se používají pro ověření elektronického podpisu, prostředkem pro vytváření elektronických podpisů - technické zařízení nebo programové vybavení, které se používá k vytváření elektronických podpisů, který splňuje požadavky stanovené tímto zákonem. 42

ZoEP - typy podpisů Elektronický podpis Zaručený elektronický podpis Zaručený elektronický podpis založený na certifikátu (nepřímo) Zaručený elektronický podpis založený na kvalifikovaném certifikátu Uznávaný podpis Kvalifikovaný podpis (nepřímo) Elektronická značka Kvalifikované časové razítko (Digitální podpis technologie, která umožňuje realizovat předchozí typy podpisů) 43

ZoEP - typy podpisů Obecně lze pod pojem EP chápat i text na konci e-mailu či digitalizovaný vlastnoruční podpis Ale ZoEP rozlišuje: EP zaručený EP zaručený EP založený na kvalifikovaném certifikátu zaručený EP založený na kvalifikovaném certifikátu od akreditovaného PCS 44

ZoEP pojem podpisu 2a - elektronický podpis - údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které umožňují ověření totožnosti podepsané osoby ve vztahu k datové zprávě, 2b - zaručený elektronický podpis - elektronický podpis, který splňuje následující požadavky: je jednoznačně spojen s podepisující osobou, umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě, byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou, je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat. 45

ZoEP pojem podpisu Kvalifikovaný podpis - 3 Použití zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu a vytvořeného pomocí prostředku pro bezpečné vytváření podpisu umožňuje ověřit, že datovou zprávu podepsala osoba uvedená na tomto kvalifikovaném certifikátu. Uznávaný podpis vzniká použitím zaručeného elektronického podpisu založeného na kvalifikovaném certifikátu, který vydal akreditovaný poskytovatel certifikačních služeb. Obsahuje údaje, které umožňují jednoznačnou identifikaci podepisující osoby. 46

ZoEP - typy certifikátů Certifikát kvalifikovaný certifikát kvalifikovaný systémový certifikát (novela 2004) kvalifikovaný certifikát vydaný akreditovaným poskytovatelem certifikačních služeb 47

ZoEP - typy certifikátů Certifikační autorita (CA) = poskytovatel certifikačních služeb (PCS) dle zákona 227/2000 Sb. Zákon rozlišuje PCS - libovolný subjekt vydávající certifikáty kvalifikovaný PCS - podléhá pouze oznamovací povinnosti akreditovaný PCS - ručí za vztah konkrétní fyzické osoby a příslušného veřejného klíče, musí mít akreditaci ÚOOÚ Viz např. http://www.postsignum.cz/certifikaty_.html 48

ZoEP 12 kvalifikovaný certifikát Kvalifikovaný certifikát musí obsahovat označení, že je vydán jako kvalifikovaný certifikát podle tohoto zákona, obchodní jméno poskytovatele certifikačních služeb a jeho sídlo, jakož i údaj, že certifikát byl vydán v České republice, jméno a příjmení podepisující osoby nebo její pseudonym s příslušným označením, že se jedná o pseudonym, zvláštní znaky podepisující osoby, vyžaduje-li to účel kvalifikovaného certifikátu, data pro ověřování podpisu, která odpovídají datům pro vytváření podpisu, jež jsou pod kontrolou podepisující osoby, 49

ZoEP 12 kvalifikovaný certifikát zaručený elektronický podpis poskytovatele certifikačních služeb, který kvalifikovaný certifikát vydává, číslo kvalifikovaného certifikátu unikátní u daného poskytovatele certifikačních služeb, počátek a konec platnosti kvalifikovaného certifikátu, případně údaje o tom, zda se používání kvalifikovaného certifikátu omezuje podle povahy a rozsahu jen pro určité použití, případně omezení hodnot transakcí, pro něž lze kvalifikovaný certifikát použít. 50

Novela zákona č. 227/2000 Sb., o EP Kvalifikovaný systémový certifikát je obdoba kvalifikovaného certifikátu s tím, že může identifikovat fyzickou osobu, právnickou osobu nebo organizační složku státu. Užívá se pro ověřování, vytváření elektronických značek. 51

Novela zákona č. 227/2000 Sb., o EP Dne 26. července 2004 nabyla účinnosti novela zákona o elektronickém podpisu (č. 440/2004 Sb.). Tento předpis nově zavádí pojem kvalifikované časové razítko, které prokazuje existenci elektronického dokumentu v čase. Je to datová zpráva, kterou lze přenášet prostředky elektronické komunikace a uchovávat na záznamových mediích. Kvalifikované časové razítko je garancí, že předmětná data existovala někdy před časovým okamžikem, s nímž jsou kvalifikovaným časovým razítkem spojena. Např. pokud si necháme doručenou poštu označit časovým razítkem, zlepšíme důkazní situaci tak, že budeme schopni prokázat, že příslušný e-mail nám byl doručen před časovým okamžikem uvedeným v razítku. Znemožní případné antidatování elektronického podpisu. 52

Novela zákona č. 227/2000 Sb., o EP Další novinkou v novele je možnost používat elektronické značky. Elektronickou značkou může označovat data právnická osoba nebo organizační složka státu a používat k tomu automatizované postupy. Jsou to údaje v elektronické podobě, které jsou připojeny k elektronické zprávě a blíže identifikují původce zprávy tím, že uvádí za kterou fyzickou nebo právnickou osobu je právní úkon činěn. Elektronická značka (elektronické razítko) je z technického hlediska totéž jako elektronický podpis s tím rozdílem, že zatímco e-podpis je určen pro fyzické osoby jako jejich projev vůle, tak elektronická značka je určena především pro právnické osoby. Lze ji přirovnat k otisku úředního razítka. 53

ZoEP - 5 Povinnosti podepisující osoby (1) Podepisující osoba je povinna zacházet s prostředky, jakož i s daty pro vytváření zaručeného elektronického podpisu s náležitou péčí tak, aby nemohlo dojít k jejich neoprávněnému použití, uvědomit neprodleně poskytovatele certifikačních služeb, který jí vydal kvalifikovaný certifikát, o tom, že hrozí nebezpečí zneužití jejích dat pro vytváření zaručeného elektronického podpisu, podávat přesné, pravdivé a úplné informace poskytovateli certifikačních služeb ve vztahu ke kvalifikovanému certifikátu. 54

ZoEP - 5 Povinnosti podepisující osoby (2) Za škodu způsobenou porušením povinností podle odstavce 1 odpovídá podepisující osoba podle zvláštních právních předpisů. Odpovědnosti se však zprostí, pokud prokáže, že ten, komu vznikla škoda, neprovedl veškeré úkony potřebné k tomu, aby si ověřil, že zaručený elektronický podpis je platný a jeho kvalifikovaný certifikát nebyl zneplatněn. (Zákon 89/2012 Sb., občanský zákoník) 55

ZoEP - 11 (1) V oblasti orgánů veřejné moci je možné za účelem podpisu používat pouze zaručené elektronické podpisy a kvalifikované certifikáty vydávané akreditovanými poskytovateli certifikačních služeb (tj. uznávaný elektronický podpis ). To platí i pro výkon veřejné moci vůči fyzickým a právnickým osobám. Pokud je uznávaný elektronický podpis užíván v oblasti orgánů veřejné moci, musí kvalifikovaný certifikát obsahovat takové údaje, aby osoba byla jednoznačně identifikovatelná. Strukturu údajů, na základě kterých je možné osobu jednoznačně identifikovat, stanoví ministerstvo prováděcím právním předpisem. (2) Písemnosti orgánů veřejné moci v elektronické podobě označené elektronickou značkou založenou na kvalifikovaném systémovém certifikátu vydaném akreditovaným poskytovatelem certifikačních služeb nebo podepsané uznávaným elektronickým podpisem mají stejné právní účinky jako veřejné listiny vydané těmito orgány. (3) Orgán veřejné moci přijímá a odesílá datové zprávy podle odstavce 1 prostřednictvím elektronické podatelny. 56

Je e-podpis vydaný v ČR platný i v jiných zemích EU a naopak? ZEOEP: Certifikát, který je vydán poskytovatelem certifikačních služeb usazeným v některém z členských států Evropské unie jako kvalifikovaný, je kvalifikovaným certifikátem ve smyslu tohoto zákona. V případě certifikátů z dalších zemí musí být splněny ještě další podmínky: jejich vydavatel nemusí sídlit v EU, ale musí být v EU akreditován. Nebo se za jeho certifikáty musí zaručit někdo jiný, kdo je v EU akreditován. Případně může být uznávání certifikátů upraveno mezinárodní smlouvou. 57

Je e-podpis vydaný v ČR platný i v jiných zemích EU a naopak? Rozhodnutí Evropské komise č. 2009/767/ES od 28.12.2009 uznávané jako kvalifikované i unijní certifikáty a zaručené elektronické podpisy, založené na certifikátech zahraniční provenience. Seznam důvěryhodných certifikačních služeb TSL (Trusted Services List) http://tsl.gov.cz/ 58

ZoEP a praxe Akreditovaní poskytovatelé (výdej a správa) kvalifikovaných certifikátů: První certifikační autorita, a.s., http://www.ica.cz/ Česká pošta, s.p. PostSignumQCA, http://www.postsignum.cz/ eidentity, a.s., http://www.eidentity.cz/app Roční kvalifikovaný certifikát stojí okolo 500 Kč 59

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář