Část I. Elektronický podpis. Obsah. Legislativa. Ing. Jaroslav Pinkava, CSc.
description
Transcript of Část I. Elektronický podpis. Obsah. Legislativa. Ing. Jaroslav Pinkava, CSc.
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
1
ELEKTRONICKÝ PODPIS –využití v bankovnictví
(jednodenní seminář, Bankovní institut vysoká škola, a.s.) 7.12.2000
Část I.Elektronický podpis. Obsah. Legislativa.
Ing. Jaroslav Pinkava, CSc.
AEC spol. s r.o. Norman Czech Republic
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
2
Úvod
Členění prvních tří přednášek:
I.Elektronický podpis. Obsah. Legislativa.
II.PKI. Poskytovatelé certifikačních služeb.Nové směry v problematice
III.Normy k problematice el. podpisu. Normy v bankovnictví.
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
3
Význam podpisu
Podepisující osoba podpisem dokumentu např.: - poskytuje důkaz, že se cítí být obsahem dokumentu (smlouvy)
vázána; - podepsaný dokument může sloužit jiné straně jako věrohodná záruka
pro splnění určitých závazků (peněžních, hmotných, časových atd.), přitom význam těchto závazků je v dokumentu popsán;
- stvrzuje autorství textu dokumentu, jestliže podepsaný dokument sepsal někdo jiný, pak podepisující osoba potvrzuje svůj úmysl ztotožnit se s obsahem daného dokumentu;
- prokazuje skutečnost, že tato osoba byla přítomna na stanoveném místě (a např. v danou dobu), podepisující se strana pak může tento podpis využít k prokázání této přítomnosti.
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
4
Digitální technologie
Dokumenty cestují v elektronické podobě (oskenované, faxem) a není příliš obtížné padělat na obrazové (faxové) variantě dokumentu ručně psaný podpis. Přitom elektronických dokumentů stále přibývá a uživatelé si uvědomují výhodnost takového pohybu dokumentů. Je však třeba najít jinou cestu k podepisování takovýchto dokumentů.
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
5
Požadované vlastnosti
Musí to být postup, zaručující určité vlastnosti, které podepsaný dokument získá. Strana, která získá podepsaný dokument bude samozřejmě chtít být ubezpečena, že autorem dokumentu je označená osoba, že se seznamuje s přesným obsahem dokumentu, že může na základě takto získaného dokumentu konat a mít přitom určité záruky od autora dokumentu.
Jinými slovy je třeba zajistit u těchto dokumentů jejich autentičnost (původ, autora), jejich neporušenost (integritu), ale i tzv. nepopiratelnost (podepsaná strana nemůže později popřít, že daný dokument podepsala).
Ještě je třeba poznamenat, že za některých okolností k tomu přistupují
i nároky na utajení obsahu dokumentu před nepovolanou osobou.
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
6
Digitální podpis
Historicky se objevuje pojem digitálního podpisu souběžně se vznikem asymetrické kryptografie v druhé polovině sedmdesátých let. Asymetrická kryptografie používá určitým způsobem propojenou dvojici kryptografických klíčů. Jeden klíč (veřejný) je používán k šifrování dat, druhý klíč (soukromý) slouží k dešifrování zašifrovaného obsahu dat. Přitom ze znalosti např. pouze veřejného klíče nelze odvodit hodnotu druhého (soukromého) klíče
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
7
Digitální podpis
Digitální podpis je tedy pojem vycházející z použití kryptosystémů s veřejným klíčem. Jak probíhá pro určitý dokument vytváření jeho digitálního podpisu (např. autorem)? Nejjednodušší přístup je následující (digitální podpis s obnovou zprávy): Podepisující strana vezme příslušný dokument v elektronické podobě a zašifruje ho svým soukromým klíčem. Vhodnou cestou přitom zveřejní (nebo již má zveřejněn) odpovídající veřejný klíč. Kdokoliv, kdo má přístup k tomuto veřejnému klíči (a ověří si, kdo je jeho skutečným majitelem), může nyní pomocí tohoto veřejného klíče dešifrovat podepsaný dokument a ověřit tak příslušný podpis tohoto dokumentu.
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
8
Digitální podpis
Využití hashovací funkce – otisk zprávy - Podpis tohoto hashe je pak připojen k vlastní podepisované zprávě (proto se také tomuto postupu při podepisování říká digitální podpis v dodatku zprávy).
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
9
Elektronický podpis
Obecnějším pojmem než digitální podpis je pojem elektronického podpisu. Tento pojem v sobě zahrnuje (kromě samotného digitálního podpisu) také aspekty využití celé škály různých biometrických metod. Je pak obvykle precizován tak, aby byl tzv. technologicky nezávislý. Je proto také vhodný pro použití v různých legislativních dokumentech. Zejména v průběhu posledních let se (z hlediska právních a technologických aspektů) dospělo k poznání nezbytnosti používat takto obecný pojem.
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
10
Biometrické metody
fyziologicky založené techniky, které měří nějakou fyziologickou charakteristiku dané osoby. Sem patří
např.: otisky prstů, charakteristiky duhovky, obličej, geometrie cév, charakteristiky uší, vůně, analýza
obrazců DNA, charakteristiky potu atd.; behaviorálně založené techniky, které se zabývají
měřením chování příslušné osoby. Toto zahrnuje např.: verifikaci ručně psaných podpisů – dynamika podpisu, charakterizace úderů do klávesnice, analýza řečového projevu atd.
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
11
Digitální podpisy – dnes základní a nejvíce používanou variantou elektronického podpisu.
Obecně se dá říci, že elektronické (digitální) podpisy jsou nejčastěji používány:
- pro vazby typu smluv v otevřených sítích (např. elektronický obchod, finanční transakce);
- v uzavřených systémech (Intranety); - pro osobní účely; - pouze pro identifikační a autorizační účely (oprávnění přístupu
do výpočetního systému, identifikace webovského serveru,…); pro oficiální komunikaci s veřejnými institucemi (daňová přiznání,
přenos dokumentů s právními důsledky,…) –tato oblast je zatím především perspektivní (a to vysoce), i když již dnes existuje celá řada konkrétních případů, kde jsou elektronické podpisy takto využívány.
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
12
Legislativa a el. podpisy
V roce 1995 byl přijat vůbec první dokument tohoto typu – UTAH Digital Signature Act.
Evropa - německý zákon o digitálním podpisu z roku 1997, ale i jiné země (Velká Britanie, Italie,...)
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
13
Legislativa a el. podpisy
Nutnost jednotíci prvku i z mezinárodního hlediska
Modelový zákon UNCITRAL pro elektronický obchod (1997). V tomto dokumentu se poprvé objevila snaha vytvořit takový obecný přístup k elektronickým podpisům, který by byl nezávislý na konkrétních použitých technologiích.
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
14
Direktiva EU pro elektronické podpisy 1Direktiva EU pro elektronické podpisy 1
Vyvíjena několik let - draft 30.11.1999 schválil Evropský parlament
“Member States shall bring into force the laws, regulations and administrative provisions necessary to comply with this Directive before 19 July 2001”.
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
15
Direktiva EU pro elektronické podpisy 2Direktiva EU pro elektronické podpisy 2
Tři základní principy: I. Technologická neutralita II. Vydávání oprávnění pro poskytovatele
certtifikačních služeb není direktivně omezeno žádným schématem
III. Nezbytnost rozpoznání zákonné platnosti elektronických podpisů
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
16
Direktiva EU pro elektronické podpisy 3Direktiva EU pro elektronické podpisy 3
Obsah:
definice pojmů
dostupnost na trhu
právní dopady, závaznost
mezinárodní aspekty
ochrana osobních údajů, …
annex I-IV
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
17
Definované pojmy v Direktivě EUDefinované pojmy v Direktivě EU
elektronický podpis, zaručený el.podpis podepisující strana data k vytváření podpisu + zařízení pro vytváření podpisu data k verifikaci podpisu + zařízení pro verifikaci podpisu certifikát, kvalifikovaný certifikát poskytovatel certifikačních služeb zařízení pro elektronické podpisy dobrovolná akreditace (akreditační schéma)
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
18
Zaručený elektronický podpis
Elektronický podpis - jsou jím míněna data v elektronickém tvaru, která jsou připojena či logicky asociována k jiným elektronickým datům a která slouží jako metoda autentizace.
Zaručený elektronický podpis- tím je míněn elektronický podpis splňující následující požadavky:
(a) je jednoznačně vázán na podepisující osobu; (b) umožňuje identifikaci podepisující osoby; (c) je vytvořen prostředky, které podepisující osoba může
mít pod svojí výhradní kontrolou; (d) je vztažen k odpovídajícím datům takovým způsobem,
že libovolná následná změna těchto dat je detekovatelná.
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
19
Certifikát a kvalifikovaný certifikát
Certifikát - elektronické ověření, které propojuje data pro ověření podpisu s osobou a potvrzuje identitu této osoby.
Kvalifikovaný certifikát - certifikát, který splňuje podmínky uvedené v příloze I a je vydán poskytovatelem certifikačních služeb splňujícím podmínky uvedené v příloze II.
Příloha I přitom specifikuje, co vše musí kvalifikovaný certifikát obsahovat (identifikace poskytovatele certifikačních služeb, jméno či pseudonym podepsané osoby, pro jaké účely byl certifikát vydán, data pro ověření podpisu, počátek a konec doby platnosti certifikátu, zaručený elektronický podpis příslušného poskytovatele certifikačních služeb, omezení účinnosti certifikátu, atd).
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
20
Tři základní typy PCS (CA)
Kromě nejnižšího stupně, jehož činnost není Direktivou (zákonem) nijak upravována, to budou certifikační autority vydávající kvalifikované certifikáty (to bude stupeň, který bude běžný zejména v komerční sféře) a konečně akreditované certifikační autority.
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
21
Kvalifikovaný elektronický podpis
Je to elektronický podpis, který je za prvé zaručený, za druhé založen na kvalifikovaném certifikátu a za třetí byl vytvořen pomocí prostředku pro tzv. bezpečné vytváření podpisů. Poslední pojem „bezpečného“ prostředku je rovněž termínem Direktivy a svým způsobem označuje prostředek, který prošel „validací“, tj. bylo prokázáno, že jeho technologická konstrukce byla provedena tak, aby prostředek splnil celou řadu obsahových i bezpečnostních norem.
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
22
Direktiva EU- dostupnost na trhu
nesmí existovat omezení týkající se počtu poskytovatelů certifikačních služeb (PCS)
musí existovat systém dohledu nad PCS musí existovat instituce ověřující správnost
zařízení pro vytváření elektronických podp. zařízení splňující podmínky direktivy mají
povolen volný pohyb na trhu člen.zemí EU
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
23
Direktiva EU - právní dopady EP
Zaručený elektronický podpis lze používat rovnoprávně s ručně psaným podpisem
elektronický podpis je použitelný jako důkazový prostředek
členské země nesmí uplatňovat právní efekty a omezovat použitelnost EP jako důkazového prostředku jen na základě toho, že je v elektronické podobě, není odvozen z kvalifikovaného certifikátu,...
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
24
Direktiva EU - závaznost
Členské země musí zajistit, že poskytovatel certifikačních služeb je odpovědný za škody způsobené osobám, které se spolehly na správnost příslušného certifikátu a to minimálně vzhledem ke kvalifikovaným certifikátům (platí i vzhledem k revokacím)
PCS může v obsahu certifikátu definovat jeho účinnost (např. omezení na velikost finančních transakcí)
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
25
Direktiva EU
Dále stanovuje za jakých podmínek jsou platné certifikáty vydané v třetích zemích (mezinárodní aspekty)
PCS musí ve své činnosti vycházet rovněž ze zákonů na ochranu osobních údajů a příbuzných dokumentů
povinnosti členských zemí EU ve vztahu k Evropské Komisi (oznámení závazných národních akreditačních schémat, jméno a adresa akreditační instituce, jména a adresy všech národních akreditovaných PCS)
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
26
Direktiva EU - Annex I
Co musí obsahovat kvalifikovaný certifikát (mj.):Co musí obsahovat kvalifikovaný certifikát (mj.): označení státu a vydávajícího PCS jméno či pseudonym podepisující strany data pro ověření podpisu doba platnosti: počátek a konec zaručený elektronický podpis vydávajícího PCS data popisující omezení využitelnosti certifikátu
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
27
Direktiva EU - Annex II
Povinnosti poskytovatele certifikačních služeb (mj).:Povinnosti poskytovatele certifikačních služeb (mj).: PCS musí prokazovat nezbytnou spolehlivost zabezpečit funkčnost a bezpečnost svých činností
(zveřejňování certifikátů a odvolávaní certifikátů) ověřovat (vhodnými zákonnými prostředky) identitu a
další atributy osob jimž je certifikát vydáván zaměstnávat odpovídající personál, používat důvěryhodné
systémy a produkty, mít odpovídající finanční rezervy archivovat všechny důležité informace neuchovávat kopie dat pro vytváření el. podpisů
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
28
Direktiva EU - Annex III + IV
Bezpečná zařízení k vytvářenívytváření elektronických podpisů (požadavky)
Bezpečná zařízení k ověřováníověřování elektronických podpisů (doporučení)
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
29
ČR – zákon o elektronickém podpisu
Historie: ÚSIS Aktivita SPIS – návrh doc. Smejkal Rozsáhlé připomínky Odborná skupina, Třešť Přechod na platformu EU Projednávání v parlamentu, některé další úpravy
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
30
Výsledná podoba zákona
Pojmově i obsahově vychází ze Směrnice Evropské Unie
Formálně vcelku v pořádku (některé drobnosti – pojem nástroje, zveřejňování digit. Certifikátů atd.)
Posun oproti EU Směrnici – paragraf 11,
neakceptuje stav problematiky v ČR
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
31
Paragraf 6.j
používat bezpečné systémy a nástroje elektronického podpisu a zajistit dostatečnou bezpečnost postupů, které tyto systémy a nástroje podporují. Nástroj elektronického podpisu je bezpečný, pokud odpovídá požadavkům stanoveným tímto zákonem a prováděcí vyhláškou. Toto musí být ověřeno Úřadem pro ochranu osobních údajů (dále jen „Úřad“),
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
32
Paragraf 11
V oblasti orgánů veřejné moci je možné používat pouze zaručené elektronické podpisy a kvalifikované certifikáty, vydávané akreditovanými poskytovateli certifikačních služeb.
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
33
Chystaná vyhláška k ZoEP
www.uoou.cz
www.epodpis.cz Zveřejněny teze vyhlášky a otevřeno
diskuzní fórum
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
34
Chystaná vyhláška k ZoEP
1. OBECNÁ USTANOVENÍ 2. POŽADAVKY NA SPRÁVU KVALIFIKOVANÝCH
CERTIFIKÁTŮ 3. DOKUMENTACE 4. ZAJIŠŤOVÁNÍ BEZPEČNOSTI 5. ZAJIŠTOVÁNÍ CERTIFIKAČNÍCH SLUŽEB
PROSTŘEDNICTVÍM SMLUVNÍCH PARTNERU 6. UKONČENÍ ČINNOSTI POSKYTOVATELE 7. NĚKTERÉ DALŠÍ POVINNOSTI POSKYTOVATELE
CERTIFIKAČNÍCH SLUŽEB (celkem 27 paragrafů)
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
35
Problematika certifikace podpisových prostředků AKREDITACE: Akreditací se rozumí oficiální uznání, že subjekt
akreditace (laboratoř, certifikační orgán, inspekční orgán nebo ověřovatel EMAS) je způsobilý provádět specifické činnosti
CERTIFIKACE: Vydání příslušného certifikačního osvědčení na základě provedeného vyhodnocení (evaluace) daného (kryptografického) prostředku pověřenou institucí
EVALUACE (vyhodnocení shody): Ověření shody deklarovaných vlastností prostředku s vlastnostmi zadanými kriterii evaluace
VALIDACE Ověření integrity (nenarušenosti) zprávy nebo její zvolené
části (terminologie EU) totéž co evaluace (terminologie v USA - NIST)
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
36
Metodologie evaluací.
Common Criteria FIPS 140-1
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
37
Literatura
J. Pinkava: Elektronický podpis a Evropská Unie, DSM 2/2000
J. Pinkava: Certifikace kryptografických prostředků a prostředků pro elektronický podpis, DSM 6/2000
http://crypto.aec.cz (serie článků) http://www.mujweb.cz /veda /gcucmp Crypto-World
Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.
38
Dotazy, upřesnění
?