Část I. Elektronický podpis. Obsah. Legislativa. Ing. Jaroslav Pinkava, CSc.

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

1

ELEKTRONICKÝ PODPIS –využití v bankovnictví

(jednodenní seminář, Bankovní institut vysoká škola, a.s.) 7.12.2000

Část I.Elektronický podpis. Obsah. Legislativa.

Ing. Jaroslav Pinkava, CSc.

AEC spol. s r.o. Norman Czech Republic


2

Úvod

Členění prvních tří přednášek:

I.Elektronický podpis. Obsah. Legislativa.

II.PKI. Poskytovatelé certifikačních služeb.Nové směry v problematice

III.Normy k problematice el. podpisu. Normy v bankovnictví.


3

Význam podpisu

Podepisující osoba podpisem dokumentu např.: - poskytuje důkaz, že se cítí být obsahem dokumentu (smlouvy)

vázána; - podepsaný dokument může sloužit jiné straně jako věrohodná záruka

pro splnění určitých závazků (peněžních, hmotných, časových atd.), přitom význam těchto závazků je v dokumentu popsán;

- stvrzuje autorství textu dokumentu, jestliže podepsaný dokument sepsal někdo jiný, pak podepisující osoba potvrzuje svůj úmysl ztotožnit se s obsahem daného dokumentu;

- prokazuje skutečnost, že tato osoba byla přítomna na stanoveném místě (a např. v danou dobu), podepisující se strana pak může tento podpis využít k prokázání této přítomnosti.


4

Digitální technologie

Dokumenty cestují v elektronické podobě (oskenované, faxem) a není příliš obtížné padělat na obrazové (faxové) variantě dokumentu ručně psaný podpis. Přitom elektronických dokumentů stále přibývá a uživatelé si uvědomují výhodnost takového pohybu dokumentů. Je však třeba najít jinou cestu k podepisování takovýchto dokumentů.


5

Požadované vlastnosti

Musí to být postup, zaručující určité vlastnosti, které podepsaný dokument získá. Strana, která získá podepsaný dokument bude samozřejmě chtít být ubezpečena, že autorem dokumentu je označená osoba, že se seznamuje s přesným obsahem dokumentu, že může na základě takto získaného dokumentu konat a mít přitom určité záruky od autora dokumentu.

Jinými slovy je třeba zajistit u těchto dokumentů jejich autentičnost (původ, autora), jejich neporušenost (integritu), ale i tzv. nepopiratelnost (podepsaná strana nemůže později popřít, že daný dokument podepsala).

Ještě je třeba poznamenat, že za některých okolností k tomu přistupují

i nároky na utajení obsahu dokumentu před nepovolanou osobou.


6

Digitální podpis

Historicky se objevuje pojem digitálního podpisu souběžně se vznikem asymetrické kryptografie v druhé polovině sedmdesátých let. Asymetrická kryptografie používá určitým způsobem propojenou dvojici kryptografických klíčů. Jeden klíč (veřejný) je používán k šifrování dat, druhý klíč (soukromý) slouží k dešifrování zašifrovaného obsahu dat. Přitom ze znalosti např. pouze veřejného klíče nelze odvodit hodnotu druhého (soukromého) klíče


7

Digitální podpis

Digitální podpis je tedy pojem vycházející z použití kryptosystémů s veřejným klíčem. Jak probíhá pro určitý dokument vytváření jeho digitálního podpisu (např. autorem)? Nejjednodušší přístup je následující (digitální podpis s obnovou zprávy): Podepisující strana vezme příslušný dokument v elektronické podobě a zašifruje ho svým soukromým klíčem. Vhodnou cestou přitom zveřejní (nebo již má zveřejněn) odpovídající veřejný klíč. Kdokoliv, kdo má přístup k tomuto veřejnému klíči (a ověří si, kdo je jeho skutečným majitelem), může nyní pomocí tohoto veřejného klíče dešifrovat podepsaný dokument a ověřit tak příslušný podpis tohoto dokumentu.


8

Digitální podpis

Využití hashovací funkce – otisk zprávy - Podpis tohoto hashe je pak připojen k vlastní podepisované zprávě (proto se také tomuto postupu při podepisování říká digitální podpis v dodatku zprávy).


9

Elektronický podpis

Obecnějším pojmem než digitální podpis je pojem elektronického podpisu. Tento pojem v sobě zahrnuje (kromě samotného digitálního podpisu) také aspekty využití celé škály různých biometrických metod. Je pak obvykle precizován tak, aby byl tzv. technologicky nezávislý. Je proto také vhodný pro použití v různých legislativních dokumentech. Zejména v průběhu posledních let se (z hlediska právních a technologických aspektů) dospělo k poznání nezbytnosti používat takto obecný pojem.


10

Biometrické metody

fyziologicky založené techniky, které měří nějakou fyziologickou charakteristiku dané osoby. Sem patří

např.: otisky prstů, charakteristiky duhovky, obličej, geometrie cév, charakteristiky uší, vůně, analýza

obrazců DNA, charakteristiky potu atd.; behaviorálně založené techniky, které se zabývají

měřením chování příslušné osoby. Toto zahrnuje např.: verifikaci ručně psaných podpisů – dynamika podpisu, charakterizace úderů do klávesnice, analýza řečového projevu atd.


11

Digitální podpisy – dnes základní a nejvíce používanou variantou elektronického podpisu.

Obecně se dá říci, že elektronické (digitální) podpisy jsou nejčastěji používány:

- pro vazby typu smluv v otevřených sítích (např. elektronický obchod, finanční transakce);

- v uzavřených systémech (Intranety); - pro osobní účely; - pouze pro identifikační a autorizační účely (oprávnění přístupu

do výpočetního systému, identifikace webovského serveru,…); pro oficiální komunikaci s veřejnými institucemi (daňová přiznání,

přenos dokumentů s právními důsledky,…) –tato oblast je zatím především perspektivní (a to vysoce), i když již dnes existuje celá řada konkrétních případů, kde jsou elektronické podpisy takto využívány.


12

Legislativa a el. podpisy

V roce 1995 byl přijat vůbec první dokument tohoto typu – UTAH Digital Signature Act.

Evropa - německý zákon o digitálním podpisu z roku 1997, ale i jiné země (Velká Britanie, Italie,...)


13

Legislativa a el. podpisy

Nutnost jednotíci prvku i z mezinárodního hlediska

Modelový zákon UNCITRAL pro elektronický obchod (1997). V tomto dokumentu se poprvé objevila snaha vytvořit takový obecný přístup k elektronickým podpisům, který by byl nezávislý na konkrétních použitých technologiích.


14

Direktiva EU pro elektronické podpisy 1Direktiva EU pro elektronické podpisy 1

Vyvíjena několik let - draft 30.11.1999 schválil Evropský parlament

“Member States shall bring into force the laws, regulations and administrative provisions necessary to comply with this Directive before 19 July 2001”.


15


Tři základní principy: I. Technologická neutralita II. Vydávání oprávnění pro poskytovatele

certtifikačních služeb není direktivně omezeno žádným schématem

III. Nezbytnost rozpoznání zákonné platnosti elektronických podpisů


16


Obsah:

definice pojmů

dostupnost na trhu

právní dopady, závaznost

mezinárodní aspekty

ochrana osobních údajů, …

annex I-IV


17

Definované pojmy v Direktivě EUDefinované pojmy v Direktivě EU

elektronický podpis, zaručený el.podpis podepisující strana data k vytváření podpisu + zařízení pro vytváření podpisu data k verifikaci podpisu + zařízení pro verifikaci podpisu certifikát, kvalifikovaný certifikát poskytovatel certifikačních služeb zařízení pro elektronické podpisy dobrovolná akreditace (akreditační schéma)


18

Zaručený elektronický podpis

Elektronický podpis - jsou jím míněna data v elektronickém tvaru, která jsou připojena či logicky asociována k jiným elektronickým datům a která slouží jako metoda autentizace.

Zaručený elektronický podpis- tím je míněn elektronický podpis splňující následující požadavky:

(a) je jednoznačně vázán na podepisující osobu; (b) umožňuje identifikaci podepisující osoby; (c) je vytvořen prostředky, které podepisující osoba může

mít pod svojí výhradní kontrolou; (d) je vztažen k odpovídajícím datům takovým způsobem,

že libovolná následná změna těchto dat je detekovatelná.


19

Certifikát a kvalifikovaný certifikát

Certifikát - elektronické ověření, které propojuje data pro ověření podpisu s osobou a potvrzuje identitu této osoby.

Kvalifikovaný certifikát - certifikát, který splňuje podmínky uvedené v příloze I a je vydán poskytovatelem certifikačních služeb splňujícím podmínky uvedené v příloze II.

Příloha I přitom specifikuje, co vše musí kvalifikovaný certifikát obsahovat (identifikace poskytovatele certifikačních služeb, jméno či pseudonym podepsané osoby, pro jaké účely byl certifikát vydán, data pro ověření podpisu, počátek a konec doby platnosti certifikátu, zaručený elektronický podpis příslušného poskytovatele certifikačních služeb, omezení účinnosti certifikátu, atd).


20

Tři základní typy PCS (CA)

Kromě nejnižšího stupně, jehož činnost není Direktivou (zákonem) nijak upravována, to budou certifikační autority vydávající kvalifikované certifikáty (to bude stupeň, který bude běžný zejména v komerční sféře) a konečně akreditované certifikační autority.


21

Kvalifikovaný elektronický podpis

Je to elektronický podpis, který je za prvé zaručený, za druhé založen na kvalifikovaném certifikátu a za třetí byl vytvořen pomocí prostředku pro tzv. bezpečné vytváření podpisů. Poslední pojem „bezpečného“ prostředku je rovněž termínem Direktivy a svým způsobem označuje prostředek, který prošel „validací“, tj. bylo prokázáno, že jeho technologická konstrukce byla provedena tak, aby prostředek splnil celou řadu obsahových i bezpečnostních norem.


22

Direktiva EU- dostupnost na trhu

nesmí existovat omezení týkající se počtu poskytovatelů certifikačních služeb (PCS)

musí existovat systém dohledu nad PCS musí existovat instituce ověřující správnost

zařízení pro vytváření elektronických podp. zařízení splňující podmínky direktivy mají

povolen volný pohyb na trhu člen.zemí EU


23

Direktiva EU - právní dopady EP

Zaručený elektronický podpis lze používat rovnoprávně s ručně psaným podpisem

elektronický podpis je použitelný jako důkazový prostředek

členské země nesmí uplatňovat právní efekty a omezovat použitelnost EP jako důkazového prostředku jen na základě toho, že je v elektronické podobě, není odvozen z kvalifikovaného certifikátu,...


24

Direktiva EU - závaznost

Členské země musí zajistit, že poskytovatel certifikačních služeb je odpovědný za škody způsobené osobám, které se spolehly na správnost příslušného certifikátu a to minimálně vzhledem ke kvalifikovaným certifikátům (platí i vzhledem k revokacím)

PCS může v obsahu certifikátu definovat jeho účinnost (např. omezení na velikost finančních transakcí)


25

Direktiva EU

Dále stanovuje za jakých podmínek jsou platné certifikáty vydané v třetích zemích (mezinárodní aspekty)

PCS musí ve své činnosti vycházet rovněž ze zákonů na ochranu osobních údajů a příbuzných dokumentů

povinnosti členských zemí EU ve vztahu k Evropské Komisi (oznámení závazných národních akreditačních schémat, jméno a adresa akreditační instituce, jména a adresy všech národních akreditovaných PCS)


26

Direktiva EU - Annex I

Co musí obsahovat kvalifikovaný certifikát (mj.):Co musí obsahovat kvalifikovaný certifikát (mj.): označení státu a vydávajícího PCS jméno či pseudonym podepisující strany data pro ověření podpisu doba platnosti: počátek a konec zaručený elektronický podpis vydávajícího PCS data popisující omezení využitelnosti certifikátu


27

Direktiva EU - Annex II

Povinnosti poskytovatele certifikačních služeb (mj).:Povinnosti poskytovatele certifikačních služeb (mj).: PCS musí prokazovat nezbytnou spolehlivost zabezpečit funkčnost a bezpečnost svých činností

(zveřejňování certifikátů a odvolávaní certifikátů) ověřovat (vhodnými zákonnými prostředky) identitu a

další atributy osob jimž je certifikát vydáván zaměstnávat odpovídající personál, používat důvěryhodné

systémy a produkty, mít odpovídající finanční rezervy archivovat všechny důležité informace neuchovávat kopie dat pro vytváření el. podpisů


28

Direktiva EU - Annex III + IV

Bezpečná zařízení k vytvářenívytváření elektronických podpisů (požadavky)

Bezpečná zařízení k ověřováníověřování elektronických podpisů (doporučení)


29

ČR – zákon o elektronickém podpisu

Historie: ÚSIS Aktivita SPIS – návrh doc. Smejkal Rozsáhlé připomínky Odborná skupina, Třešť Přechod na platformu EU Projednávání v parlamentu, některé další úpravy


30

Výsledná podoba zákona

Pojmově i obsahově vychází ze Směrnice Evropské Unie

Formálně vcelku v pořádku (některé drobnosti – pojem nástroje, zveřejňování digit. Certifikátů atd.)

Posun oproti EU Směrnici – paragraf 11,

neakceptuje stav problematiky v ČR


31

Paragraf 6.j

používat bezpečné systémy a nástroje elektronického podpisu a zajistit dostatečnou bezpečnost postupů, které tyto systémy a nástroje podporují. Nástroj elektronického podpisu je bezpečný, pokud odpovídá požadavkům stanoveným tímto zákonem a prováděcí vyhláškou. Toto musí být ověřeno Úřadem pro ochranu osobních údajů (dále jen „Úřad“),


32

Paragraf 11

V oblasti orgánů veřejné moci je možné používat pouze zaručené elektronické podpisy a kvalifikované certifikáty, vydávané akreditovanými poskytovateli certifikačních služeb.


33

Chystaná vyhláška k ZoEP

www.uoou.cz

www.epodpis.cz Zveřejněny teze vyhlášky a otevřeno

diskuzní fórum


34

Chystaná vyhláška k ZoEP

1. OBECNÁ USTANOVENÍ 2. POŽADAVKY NA SPRÁVU KVALIFIKOVANÝCH

CERTIFIKÁTŮ 3. DOKUMENTACE 4. ZAJIŠŤOVÁNÍ BEZPEČNOSTI 5. ZAJIŠTOVÁNÍ CERTIFIKAČNÍCH SLUŽEB

PROSTŘEDNICTVÍM SMLUVNÍCH PARTNERU 6. UKONČENÍ ČINNOSTI POSKYTOVATELE 7. NĚKTERÉ DALŠÍ POVINNOSTI POSKYTOVATELE

CERTIFIKAČNÍCH SLUŽEB (celkem 27 paragrafů)


35

Problematika certifikace podpisových prostředků AKREDITACE: Akreditací se rozumí oficiální uznání, že subjekt

akreditace (laboratoř, certifikační orgán, inspekční orgán nebo ověřovatel EMAS) je způsobilý provádět specifické činnosti

CERTIFIKACE: Vydání příslušného certifikačního osvědčení na základě provedeného vyhodnocení (evaluace) daného (kryptografického) prostředku pověřenou institucí

EVALUACE (vyhodnocení shody): Ověření shody deklarovaných vlastností prostředku s vlastnostmi zadanými kriterii evaluace

VALIDACE Ověření integrity (nenarušenosti) zprávy nebo její zvolené

části (terminologie EU) totéž co evaluace (terminologie v USA - NIST)


36

Metodologie evaluací.

Common Criteria FIPS 140-1


37

Literatura

J. Pinkava: Elektronický podpis a Evropská Unie, DSM 2/2000

J. Pinkava: Certifikace kryptografických prostředků a prostředků pro elektronický podpis, DSM 6/2000

http://crypto.aec.cz (serie článků) http://www.mujweb.cz /veda /gcucmp Crypto-World


38

Dotazy, upřesnění

?

Část I. Elektronický podpis. Obsah. Legislativa. Ing. Jaroslav Pinkava, CSc.

Documents

Transcript of Část I. Elektronický podpis. Obsah. Legislativa. Ing. Jaroslav Pinkava, CSc.