ELEKTRONICKÝ PODPIS – využití v bankovnictví (jednodenní seminář, Bankovní institut vysoká škola, a.s.) 7.12.2000 Část I. Elektronický podpis. Obsah. Legislativa. Ing. Jaroslav Pinkava, CSc. AEC spol. s r.o.  Norman Czech Republic Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. Úvod Členění prvních tří přednášek: I.Elektronický podpis. Obsah. Legislativa. II.PKI. Poskytovatelé certifikačních služeb.Nové směry v problematice III.Normy k problematice el. podpisu. Normy v bankovnictví. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. Význam podpisu Podepisující osoba podpisem dokumentu např.: - poskytuje důkaz, že se cítí být obsahem dokumentu (smlouvy) vázána; - podepsaný dokument může sloužit jiné straně jako věrohodná záruka pro splnění určitých závazků (peněžních, hmotných, časových atd.), přitom význam těchto závazků je v dokumentu popsán; - stvrzuje autorství textu dokumentu, jestliže podepsaný dokument sepsal někdo jiný, pak podepisující osoba potvrzuje svůj úmysl ztotožnit se s obsahem daného dokumentu; - prokazuje skutečnost, že tato osoba byla přítomna na stanoveném místě (a např. v danou dobu), podepisující se strana pak může tento podpis využít k prokázání této přítomnosti. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Digitální technologie Dokumenty cestují v elektronické podobě (oskenované, faxem) a není příliš obtížné padělat na obrazové (faxové) variantě dokumentu ručně psaný podpis. Přitom elektronických dokumentů stále přibývá a uživatelé si uvědomují výhodnost takového pohybu dokumentů. Je však třeba najít jinou cestu k podepisování takovýchto dokumentů. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Požadované vlastnosti Musí to být postup, zaručující určité vlastnosti, které podepsaný dokument získá. Strana, která získá podepsaný dokument bude samozřejmě chtít být ubezpečena, že autorem dokumentu je označená osoba, že se seznamuje s přesným obsahem dokumentu, že může na základě takto získaného dokumentu konat a mít přitom určité záruky od autora dokumentu. Jinými slovy je třeba zajistit u těchto dokumentů jejich autentičnost (původ, autora), jejich neporušenost (integritu), ale i tzv. nepopiratelnost (podepsaná strana nemůže později popřít, že daný dokument podepsala). Ještě je třeba poznamenat, že za některých okolností k tomu přistupují i nároky na utajení obsahu dokumentu před nepovolanou osobou. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. Digitální podpis Historicky se objevuje pojem digitálního podpisu souběžně se vznikem asymetrické kryptografie v druhé polovině sedmdesátých let. Asymetrická kryptografie používá určitým způsobem propojenou dvojici kryptografických klíčů. Jeden klíč (veřejný) je používán k šifrování dat, druhý klíč (soukromý) slouží k dešifrování zašifrovaného obsahu dat. Přitom ze znalosti např. pouze veřejného klíče nelze odvodit hodnotu druhého (soukromého) klíče Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. Digitální podpis Digitální podpis je tedy pojem vycházející z použití kryptosystémů s veřejným klíčem. Jak probíhá pro určitý dokument vytváření jeho digitálního podpisu (např. autorem)? Nejjednodušší přístup je následující (digitální podpis s obnovou zprávy): Podepisující strana vezme příslušný dokument v elektronické podobě a zašifruje ho svým soukromým klíčem. Vhodnou cestou přitom zveřejní (nebo již má zveřejněn) odpovídající veřejný klíč. Kdokoliv, kdo má přístup k tomuto veřejnému klíči (a ověří si, kdo je jeho skutečným majitelem), může nyní pomocí tohoto veřejného klíče dešifrovat podepsaný dokument a ověřit tak příslušný podpis tohoto dokumentu. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. Digitální podpis Využití hashovací funkce – otisk zprávy - Podpis tohoto hashe je pak připojen k vlastní podepisované zprávě (proto se také tomuto postupu při podepisování říká digitální podpis v dodatku zprávy). Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. Elektronický podpis Obecnějším pojmem než digitální podpis je pojem elektronického podpisu. Tento pojem v sobě zahrnuje (kromě samotného digitálního podpisu) také aspekty využití celé škály různých biometrických metod. Je pak obvykle precizován tak, aby byl tzv. technologicky nezávislý. Je proto také vhodný pro použití v různých legislativních dokumentech. Zejména v průběhu posledních let se (z hlediska právních a technologických aspektů) dospělo k poznání nezbytnosti používat takto obecný pojem. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. Biometrické metody fyziologicky založené techniky, které měří nějakou fyziologickou charakteristiku dané osoby. Sem patří např.: otisky prstů, charakteristiky duhovky, obličej, geometrie cév, charakteristiky uší, vůně, analýza obrazců DNA, charakteristiky potu atd.; behaviorálně založené techniky, které se zabývají měřením chování příslušné osoby. Toto zahrnuje např.: verifikaci ručně psaných podpisů – dynamika podpisu, charakterizace úderů do klávesnice, analýza řečového projevu atd. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. Digitální podpisy – dnes základní a nejvíce používanou variantou elektronického podpisu. Obecně se dá říci, že elektronické (digitální) podpisy jsou nejčastěji používány: -          pro vazby typu smluv v otevřených sítích (např. elektronický obchod, finanční transakce); -          v uzavřených systémech (Intranety); -          pro osobní účely; -          pouze pro identifikační a autorizační účely (oprávnění přístupu do výpočetního systému, identifikace webovského serveru,…); pro oficiální komunikaci s veřejnými institucemi (daňová přiznání, přenos dokumentů s právními důsledky,…) –tato oblast je zatím především perspektivní (a to vysoce), i když již dnes existuje celá řada konkrétních případů, kde jsou elektronické podpisy takto využívány. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Legislativa a el. podpisy V roce 1995 byl přijat vůbec první dokument tohoto typu – UTAH Digital Signature Act. Evropa - německý zákon o digitálním podpisu z roku 1997, ale i jiné země (Velká Britanie, Italie,...) Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Legislativa a el. podpisy Nutnost jednotíci prvku i z mezinárodního hlediska Modelový zákon UNCITRAL pro elektronický obchod (1997). V tomto dokumentu se poprvé objevila snaha vytvořit takový obecný přístup k elektronickým podpisům, který by byl nezávislý na konkrétních použitých technologiích. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Direktiva EU pro elektronické podpisy 1 Vyvíjena několik let - draft 30.11.1999 schválil Evropský parlament “Member States shall bring into force the laws, regulations and administrative provisions necessary to comply with this Directive before 19 July 2001”. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Direktiva EU pro elektronické podpisy 2 Tři základní principy: I. Technologická neutralita II. Vydávání oprávnění pro poskytovatele certtifikačních služeb není direktivně omezeno žádným schématem III. Nezbytnost rozpoznání zákonné platnosti elektronických podpisů Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Direktiva EU pro elektronické podpisy 3 Obsah: definice pojmů dostupnost na trhu právní dopady, závaznost mezinárodní aspekty ochrana osobních údajů, … annex I-IV Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Definované pojmy v Direktivě EU elektronický podpis, zaručený el.podpis podepisující strana data k vytváření podpisu + zařízení pro vytváření podpisu data k verifikaci podpisu + zařízení pro verifikaci podpisu certifikát, kvalifikovaný certifikát poskytovatel certifikačních služeb zařízení pro elektronické podpisy dobrovolná akreditace (akreditační schéma) Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Zaručený elektronický podpis Elektronický podpis - jsou jím míněna data v elektronickém tvaru, která jsou připojena či logicky asociována k jiným elektronickým datům a která slouží jako metoda autentizace. Zaručený elektronický podpis- tím je míněn elektronický podpis splňující následující požadavky: (a) je jednoznačně vázán na podepisující osobu; (b) umožňuje identifikaci podepisující osoby; (c) je vytvořen prostředky, které podepisující osoba může mít pod svojí výhradní kontrolou; (d) je vztažen k odpovídajícím datům takovým způsobem, že libovolná následná změna těchto dat je detekovatelná. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Certifikát a kvalifikovaný certifikát Certifikát - elektronické ověření, které propojuje data pro ověření podpisu s osobou a potvrzuje identitu této osoby. Kvalifikovaný certifikát - certifikát, který splňuje podmínky uvedené v příloze I a je vydán poskytovatelem certifikačních služeb splňujícím podmínky uvedené v příloze II. Příloha I přitom specifikuje, co vše musí kvalifikovaný certifikát obsahovat (identifikace poskytovatele certifikačních služeb, jméno či pseudonym podepsané osoby, pro jaké účely byl certifikát vydán, data pro ověření podpisu, počátek a konec doby platnosti certifikátu, zaručený elektronický podpis příslušného poskytovatele certifikačních služeb, omezení účinnosti certifikátu, atd). Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Tři základní typy PCS (CA) Kromě nejnižšího stupně, jehož činnost není Direktivou (zákonem) nijak upravována, to budou certifikační autority vydávající kvalifikované certifikáty (to bude stupeň, který bude běžný zejména v komerční sféře) a konečně akreditované certifikační autority. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Kvalifikovaný elektronický podpis Je to elektronický podpis, který je za prvé zaručený, za druhé založen na kvalifikovaném certifikátu a za třetí byl vytvořen pomocí prostředku pro tzv. bezpečné vytváření podpisů. Poslední pojem „bezpečného“ prostředku je rovněž termínem Direktivy a svým způsobem označuje prostředek, který prošel „validací“, tj. bylo prokázáno, že jeho technologická konstrukce byla provedena tak, aby prostředek splnil celou řadu obsahových i bezpečnostních norem. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Direktiva EU- dostupnost na trhu nesmí existovat omezení týkající se počtu poskytovatelů certifikačních služeb (PCS) musí existovat systém dohledu nad PCS musí existovat instituce ověřující správnost zařízení pro vytváření elektronických podp. zařízení splňující podmínky direktivy mají povolen volný pohyb na trhu člen.zemí EU Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Direktiva EU - právní dopady EP Zaručený elektronický podpis lze používat rovnoprávně s ručně psaným podpisem elektronický podpis je použitelný jako důkazový prostředek členské země nesmí uplatňovat právní efekty a omezovat použitelnost EP jako důkazového prostředku jen na základě toho, že je v elektronické podobě, není odvozen z kvalifikovaného certifikátu,... Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Direktiva EU - závaznost Členské země musí zajistit, že poskytovatel certifikačních služeb je odpovědný za škody způsobené osobám, které se spolehly na správnost příslušného certifikátu a to minimálně vzhledem ke kvalifikovaným certifikátům (platí i vzhledem k revokacím) PCS může v obsahu certifikátu definovat jeho účinnost (např. omezení na velikost finančních transakcí) Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. Direktiva EU Dále stanovuje za jakých podmínek jsou platné certifikáty vydané v třetích zemích (mezinárodní aspekty) PCS musí ve své činnosti vycházet rovněž ze zákonů na ochranu osobních údajů a příbuzných dokumentů povinnosti členských zemí EU ve vztahu k Evropské Komisi (oznámení závazných národních akreditačních schémat, jméno a adresa akreditační instituce, jména a adresy všech národních akreditovaných PCS) Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. Direktiva EU - Annex I Co musí obsahovat kvalifikovaný certifikát (mj.): označení státu a vydávajícího PCS jméno či pseudonym podepisující strany data pro ověření podpisu doba platnosti: počátek a konec zaručený elektronický podpis vydávajícího PCS data popisující omezení využitelnosti certifikátu Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. Direktiva EU - Annex II Povinnosti poskytovatele certifikačních služeb (mj).: PCS musí prokazovat nezbytnou spolehlivost zabezpečit funkčnost a bezpečnost svých činností (zveřejňování certifikátů a odvolávaní certifikátů) ověřovat (vhodnými zákonnými prostředky) identitu a další atributy osob jimž je certifikát vydáván zaměstnávat odpovídající personál, používat důvěryhodné systémy a produkty, mít odpovídající finanční rezervy archivovat všechny důležité informace neuchovávat kopie dat pro vytváření el. podpisů Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Direktiva EU - Annex III + IV Bezpečná zařízení k vytváření elektronických podpisů (požadavky) Bezpečná zařízení k ověřování elektronických podpisů (doporučení) Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

ČR – zákon o elektronickém podpisu Historie: ÚSIS Aktivita SPIS – návrh doc. Smejkal Rozsáhlé připomínky Odborná skupina, Třešť Přechod na platformu EU Projednávání v parlamentu, některé další úpravy Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Výsledná podoba zákona Pojmově i obsahově vychází ze Směrnice Evropské Unie Formálně vcelku v pořádku (některé drobnosti – pojem nástroje, zveřejňování digit. Certifikátů atd.) Posun oproti EU Směrnici – paragraf 11, neakceptuje stav problematiky v ČR Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. Paragraf 6.j používat bezpečné systémy a nástroje elektronického podpisu a zajistit dostatečnou bezpečnost postupů, které tyto systémy a nástroje podporují. Nástroj elektronického podpisu je bezpečný, pokud odpovídá požadavkům stanoveným tímto zákonem a prováděcí vyhláškou. Toto musí být ověřeno Úřadem pro ochranu osobních údajů (dále jen „Úřad“), Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. Paragraf 11 V oblasti orgánů veřejné moci je možné používat pouze zaručené elektronické podpisy a kvalifikované certifikáty, vydávané akreditovanými poskytovateli certifikačních služeb. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Chystaná vyhláška k ZoEP www.uoou.cz www.epodpis.cz Zveřejněny teze vyhlášky a otevřeno diskuzní fórum Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Chystaná vyhláška k ZoEP OBECNÁ USTANOVENÍ POŽADAVKY NA SPRÁVU KVALIFIKOVANÝCH CERTIFIKÁTŮ DOKUMENTACE ZAJIŠŤOVÁNÍ BEZPEČNOSTI ZAJIŠTOVÁNÍ CERTIFIKAČNÍCH SLUŽEB PROSTŘEDNICTVÍM SMLUVNÍCH PARTNERU UKONČENÍ ČINNOSTI POSKYTOVATELE NĚKTERÉ DALŠÍ POVINNOSTI POSKYTOVATELE CERTIFIKAČNÍCH SLUŽEB (celkem 27 paragrafů) Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Problematika certifikace podpisových prostředků  AKREDITACE:  Akreditací se rozumí oficiální uznání, že subjekt akreditace (laboratoř, certifikační orgán, inspekční orgán nebo ověřovatel EMAS) je způsobilý provádět specifické činnosti  CERTIFIKACE: Vydání příslušného certifikačního osvědčení na základě provedeného vyhodnocení (evaluace) daného (kryptografického) prostředku pověřenou institucí  EVALUACE (vyhodnocení shody): Ověření shody deklarovaných vlastností prostředku s vlastnostmi zadanými kriterii evaluace  VALIDACE Ověření integrity (nenarušenosti) zprávy nebo její zvolené části (terminologie EU) totéž co evaluace (terminologie v USA - NIST) Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. Metodologie evaluací. Common Criteria FIPS 140-1 Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. Literatura J. Pinkava: Elektronický podpis a Evropská Unie, DSM 2/2000 J. Pinkava: Certifikace kryptografických prostředků a prostředků pro elektronický podpis, DSM 6/2000 http://crypto.aec.cz (serie článků) http://www.mujweb.cz /veda /gcucmp Crypto-World Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s. Dotazy, upřesnění ? Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.