Poskytování důvěryhodných služeb dle eidas První certifikační autorita, a. s. Ing. Petr Budiš, Ph.D. 17. 3. 2016
Evropské nařízení a český zákon Nařízení Evropského parlamentu a Rady č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (zkráceně: eidas) Účinnost od 1. 7. 2016 Doplní český adaptační zákon: zákon o službách vytvářejících důvěru pro elektronické transakce (návrh před vládou), zároveň zruší zákon č. 227/2000 Sb., o elektronickém podpisu.
eidas tři oblasti úpravy 1. Elektronická identifikace 2. Služby vytvářející důvěru/ kvalifikované služby vytvářející důvěru 3. Elektronický dokument
2. Služby vytvářející důvěru - oblasti Elektronický podpis Elektronická pečeť Elektronické časové razítko Služba elektronického doporučeného doručování Kvalifikované certifikáty pro autentizaci internetových stránek (de facto SSL certifikáty)
Návrh českého adaptačního zákona I.CA navržené znění celkově podporuje. Z hlediska úrovně bezpečnosti by mohly být stanoveny vyšší než navrhované požadavky, ovšem předpokládáme, že navrhovatel (MV) zvážil reálné možnosti v ČR. Pokud jde např. o povinnost používat bezpečné prostředky, lze konstatovat, že 80-90 % zákazníků I.CA zcela dobrovolně tyto prostředky používá.
Problémové oblasti Posuzování shody jako podmínka pro poskytování nových služeb Požadavky na bezpečné prostředky Poskytovatelé a bezpečné prostředky Doba platnosti kvalifikovaných certifikátů Absence technických norem pro některé nové služby Nejasný statut některých technických norem
Posuzování shody Ze stávajících služeb lze kontinuálně poskytovat pouze službu vydávání kvalifikovaných certifikátů pro elektronický podpis. Zahájení poskytování dalších služeb je podmíněno provedením posouzení shody (auditem). Audit mohou provádět pouze k tomu oprávněné subjekty, určené Českým institutem pro akreditaci (ČIA). Je otázka, zda takové subjekty včas vzniknou a zda pokryjí potřeby tří stávajících akreditovaných poskytovatelů. Je nutné, aby alespoň ty služby, pro které český zákon stanoví dvouletý odklad, bylo možné poté návazně poskytovat.
Požadavky na bezpečné prostředky Nestačí, aby pouze čip byl hodnocen na EAL 4+ podle Common Criteria. Aby prostředek mohl být prohlášen za SSCD či QESCD, musí být osazen kombinací certifikovaného čipu a appletu, tj. certifikace musí být provedena pro kombinaci konkrétního čipu a appletu.
Od SSCD k QESCD SSCD (Secure Signature Creation Device) se stanou automaticky QESCD (kvalifikovanými prostředky pro vytváření podpisů) podle eidas. V ČR pouze I.CA pro Starcos 3.0 a 3.2. Evropská komise bude zveřejňovat seznam certifikovaných kvalifikovaných prostředků pro vytváření elektronických podpisů, a to na základě hlášení členských států. Kvalifikovaný elektronický podpis založený na kvalifikovaném certifikátu vydaném v jednom členském státě se uznává jako kvalifikovaný elektronický podpis ve všech ostatních členských státech.
Poskytovatelé a bezpečné prostředky Kvalifikovaní poskytovatelé budou pro generování soukromých klíčů akceptovat pouze ty QESCD, které mají pod svou kontrolou. Kvalifikovaní poskytovatelé nemohou přebírat odpovědnost za jiné QESCD, a to i z toho důvodu, že podle eidas je důkazní břemeno v případě vzniku škody na kvalifikovaných poskytovatelích tj. tj. musí prokázat, že škoda nastala bez jejich úmyslu nebo nedbalosti. Samostatnou kapitolou jsou bezpečné prostředky pro kvalifikované elektronické pečetě čekáme na upřesnění z EK.
Bezpečné prostředky a kvalifikovaný podpis Má-li být dokument podepsán kvalifikovaným elektronickým podpisem, musí mít příjemce jistotu, že se tak skutečně stalo. Tj. že byl podpis vytvořen pomocí QESCD. To musí být identifikovatelné z příslušného QC. Technické normy, které by to měly zajistit, tj. stanovit příslušné požadavky, mají dosud nejasný statut závazné/ doporučující Rovněž dosud není k dispozici jejich finální znění. Může docházet k situacím, kdy podpis sice bude vytvořen pomocí QESCD, ale příjemce jej odmítne akceptovat, protože nebude schopen použití QESCD zjistit.
Kvalifikované certifikáty doba platnosti Co ovlivňuje dobu, na kterou jsou certifikáty vydávány: Požadavky TS 119 312 V1.1.1 (2014 11) - Electronic Signatures and Infrastructures (ESI); Cryptohraphic Suites ( ALGO Paper )
Kvalifikované certifikáty doba platnosti U žádného algoritmu nelze zaručit, že bude bezpečný i za 10 let. Toto nelze zaručit ani u EEC. Důsledkem neuváženého postupu by mohla být nutnost hromadného zneplatňování certifikátů. Hledisko obchodní víceleté certifikáty by odrazovaly svou cenou, možnost postupného splácení by zvyšovala náklady na jejich správu. Hledisko pravdivých údajů v certifikátu při pravidelném vydávání následných certifikátů je držitelům připomínáno, že údaje v certifikátů musí odpovídat realitě.
Poznámky k návrhu adaptačního zákona V návrhu se stanoví, že k podepisování elektronickým podpisem v případě elektronického dokumentu, jehož prostřednictvím se činí úkon mimo oblast veřejné správy, lze použít elektronický podpis, zaručený elektronický podpis nebo uznávaný elektronický podpis. Elektronický podpis i podpis v textu e-mailové zprávy, i podpis v podobě tvůj táta. Zaručený elektronický podpis dosud užíván především pro autentizaci. Je nutné konstatovat, že příslušný certifikát může vydat kdokoliv, kdo je toho schopen. Je otázka, zda takový poskytovatel bude existovat i zítra, příp. vydávat CRL a celkově se chovat rozumně.
Poznámky k návrhu adaptačního zákona Problém komunikace přes hranice členských států Pokud bude nutné zaslat do jiného členského státu dokument, který bude podepsán během dvouletého přechodného období uznávaným elektronickým podpisem (bez QESCD), patrně nebude v jiném členském státu podpis akceptován, neboť se nebude jednat o kvalifikovaný elektronický podpis podle eidas ( změkčení požadavku platí jen pro ČR). Jak mají tento problém řešit subjekty, které se do této situace dostanou? Dotaz jsme uplatnili na jednání na MV.
Poznámky k návrhu adaptačního zákona Pořizování kopií osobních dokladů při vydání QC Dosud povinnost poskytovatelů. Jak po 1. 7. 2016? Je možné podmínit poskytnutí služby souhlasem s pořízením této kopie? Z praxe: Policie ČR velmi ocenila, že jsou kopie k dispozici, pokud vyšetřovala podezření z nezákonného jednání. Nebudou-li kopie pořizovány, nebudou mít orgány státu za to, že poskytovatel neučinil veškeré úkony k ověření totožnosti? Řeší na náš podnět MV a ÚOOÚ.
Závěr Děkuji za pozornost. budis@ica.cz