1. diel - Elektronické podpisy - Kvalifikovaný podpis a norma eIDAS
V predchádzajúcej lekcii, Elektronické podpisy - Účel a využitie , sme sa dozvedeli, na čo slúžia elektronické podpisy a prečo je pre nás výhodné ich používať.
Vitajte v tutoriále zameranom na problematiku elektronických kvalifikovaných podpisov. V priebehu kurzu sa dozvieme, čo všetko je potrebné splniť, aby sme takéto podpisy mohli vo svojej elektronickej komunikácii využívať. Popíšeme si právne normy, predstavíme certifikačné autority aj konkrétne vybavenie, ktoré na to budeme potrebovať.
Čo musí kvalifikované podpisy spĺňať
V kurze o kybernetickej bezpečnosti sme sa zoznámili s tým, ako digitálne podpisy fungujú skôr z technického hľadiska. V tomto kurze sa pozrieme na to, ako kvalifikované podpisy v praxi využiť v súlade s požiadavkami slovenského a európskeho práva. Pôjde nám teda o to, aby tieto podpisy boli právne uznateľné a záväzné. V prípade potreby musia byť aj záväzky vyplývajúce z ich použitia aj právne vymáhateľné. A samozrejme musíme dbať aj o to, aby sme pomocou nich mohli aj právne uznávaným spôsobom komunikovať s úradmi.
Komerčné vs. kvalifikované certifikáty
Nutné vopred povedať, že aj keď technicky vzaté fungujú elektronické podpisy všetky rovnako, v ich označovaní, poťažmo potom v ponuke certifikačných autorít (CA) panuje pomerne značný zmätok. Nie je úplne jednoduché najmä zorientovať sa v tom, ktorý z podpisov potom možno alebo nemožno z právneho hľadiska na daný úkon použiť.
V zásade existujú v ponuke certifikačných autorít dva základné typy certifikátov:
- Komerčné certifikáty
- a kvalifikované, prípadne zaručené certifikáty.
Ďalšie delenie kvalifikovaných podpisov
Aby to nebolo také jednoduché, kvalifikované podpisy sa ešte ďalej delia – zjednodušene povedané – podľa toho, ako veľmi sú kvalifikované. Tým „menej kvalifikovaným“ sa tiež niekedy v slovenčine hovorí „zaručené“. Podľa toho ich potom možno na niektoré účely podľa práva SR použiť a na iné zase nie. Ďalšou vecou je otázka, či ich tiež budú uznávať aj ďalšie štáty mimo SR – aspoň teda štáty v EÚ.
Aby sme si to teda ešte uľahčili, budeme sa rovno venovať podpisom, ktoré spĺňajú európsku bezpečnosťnú normu – tzv. eIDAS (nariadenie Európskeho Parlamentu a Rady (EÚ) č. 910/2014).
Vedzme, že z hľadiska nákladov na ich obstaranie medzi uvedenými druhmi podpisov už nie je nijako zásadný rozdiel, preto sa nám oplatí do kvalifikovaných podpisov spĺňajúcich normu eIDAS investovať.
Požiadavky normy eIDAS
Na stránkach Czech POINT nájdeme nasledujúcu definíciu kvalifikovaných elektronických podpisov a prehľad požiadaviek, ktoré musíme pre ich získanie splniť:
Kvalifikovaný elektronický podpis – QES (qualified electronic signature), je zaručený elektronický podpis, ktorý je vytvorený kvalifikovaným prostriedkom na vytváranie elektronických podpisov a ktorý je založený na kvalifikovanom certifikáte pre elektronické podpisy vydanom kvalifikovaným poskytovateľom služieb vytvárajúcich dôveru (ďalej len "certifikačná autorita"). Čo to znamená? Na vytvorenie tohto druhu elektronického podpisu je nielen potrebné, aby fyzická osoba mala vydaný kvalifikovaný certifikát pre elektronický podpis, ale aj to, aby súvisiaci súkromný kľúč, ktorý osoba používa na podpisovanie, bol vytvorený a uložený na certifikovanom prostriedku. Pre tieto certifikované prostriedky nariadenia eIDAS zavádza pojem kvalifikovaný prostriedok na vytváranie elektronických podpisov a môžu to byť napr. čipové karty a USB tokeny, ktoré prešli potrebnou certifikáciou (zoznam týchto prostriedkov zverejňuje na svojich stránkach Európskej komisie). Certifikovaný prostriedok vydáva certifikačná autorita.Ako z toho vyplýva, budeme na to potrebovať zvlášť schválený (kvalifikovaný) hardvérový prostriedok. Ich zoznam nájdeme napríklad na stránkach MVČR. V našom prípade využijeme uvedený USB token. Ďalej budeme musieť kontaktovať štátom schválenú (kvalifikovanú) certifikačnú autoritu, ktorá nám potom certifikát vydá. Certifikačnej autorite predtým budeme musieť nejakým schváleným spôsobom autentizovať, tj preukázať aj svoju totožnosť.
Využitie eObčianky
Možno nás napadne, že tento problém už máme vyriešený. Teda pokiaľ vlastníme občiansky preukaz s čipom, tzv. eObčanku. Taká eObčanka predsa iste toto všetko už vie, nie? A čo už by malo byť kvalifikovanejšie alebo "schválenejšie" ako preukaz vydaný samotným štátom?
No, tak to vás teraz musím trochu sklamať. Štátna eObčanka (respektíve jej čip) to síce po technickej stránke viac-menej naozaj vie, lenže nie je dostatočne kvalifikovaným prostriedkom podľa normy eIDAS. Pôvodne bola totiž zamýšľaná ako prostriedok na autentizáciu občana pri prihlasovaní do štátnych portálov. Mala tak vlastne fungovať ako taká bezpečnejšia náhrada za kombináciu meno a heslo.
Ukážka overenia totožnosti u certifikovanej autority pomocou eObčianky:
Dobrou správou ale je, že ju môžeme aspoň využiť na preukázanie totožnosti certifikačnej autorite pri žiadosti o kvalifikovaný certifikát on-line.
Certifikačná autorita PostSignum a Czech POINT
V opačnom prípade by sme totiž museli na príslušnú inštitúciu osobne dôjsť a vybaviť všetko postarom "papierovo". Ako si uvedieme ďalej, na účely tohto kurzu sme vybrali ako certifikačnú autoritu PostSignum. V našom prípade by sme teda najskôr museli navštíviť aspoň našu najbližšiu poštu, respektíve najbližšie kontaktné miesto Czech POINTu.
Avšak, pokiaľ eObčanku ešte nemáme, prípadne na nej ešte nemáme aktivovaný čip (o tom sa zmienime opäť tiež ďalej v kurze), potom je samozrejme na zváženie, či pre nás nie je jednoduchšie zabehnúť na tú poštu. Pretože niekam fyzicky dôjsť budeme musieť tak či tak.
Je totiž možné, že eObčanku naozaj k ničomu inému nevyužijeme, teda pokiaľ ďalej neplánujeme ju v budúcnosti používať k niečomu ďalšiemu ako napr. k tomu už spomínanému prihlasovaniu do portálov eGovernmentu.
V ďalšej lekcii, Vybavenie na získanie kvalifikovaného elektronického podpisu , sa dozvieme, čo všetko budeme ku kvalifikovaným podpisom potrebovať a popíšeme si stručný postup na získanie hotového certifikátu.
