Certifikáty, certifikační autority, certifikační služby, elektronická komunikace První certifikační autorita, a.s. Valtice, 18.dubna 2007

Osnova prezentace Obecně o službách certifikační autority v ČR Typy certifikátů Kde lze získat certifikát Certifikát Elektronický podpis Jak zacházet s certifikátem Využití certifikátů v praxi

Služby certifikační autority v České republice Certifikační autorita Akreditovaná certifikační autorita

Certifikační autorita První certifikační autorita, a.s. (dále též I.CA) je akreditovaným poskytovatelem certifikačních služeb v České republice a na Slovensku I.CA zahájila přípravu pro svou činnost již v roce 1997 a certifikáty – nejprve komerční a později i kvalifikované - vydává od roku 1998 Vlastní společnost První certifikační autorita, a.s., byla založena 12.3.2001 První certifikační autorita, a.s. obdržela ke dni 18.3.2002 akreditaci ve smyslu zákona č.227/2000 Sb., o elektronickém podpisu

Akreditace I.CA v ČR Rozsah akreditace společnosti První certifikační autorita : Ministerstvo informatiky ČR zveřejňuje v souladu s § 9 odst. 2, písm. e) zákona č. 227/2000 Sb. následující rozsah akreditace : První certifikační autorita, a. s. identifikační číslo 26 43 93 95 Podvinný mlýn 2178/6 PSČ 190 00 Praha 9 Vydávání kvalifikovaných certifikátů; Vydávání kvalifikovaných systémových certifikátů; Vydávání kvalifikovaných časových razítek.

Akreditace I.CA na Slovensku Rozsah akreditace společnosti První certifikační autorita : Národný bezpečnostný úrad Slovenské republiky vydal společnosti První certifikační autorita, a.s., dne 21.září 2006 akreditaci : První certifikační autorita, a. s. identifikační číslo 26 43 93 95 Podvinný mlýn 2178/6 PSČ 190 00 Praha 9 Vydávání kvalifikovaných certifikátů; Vydávání kvalifikovaných časových razítek.

Certifikáty Typy certifikátů

Typy certifikátů vydávané I.CA Kvalifikované Pro fyzické osoby osobní zaměstnanecké Pro PSEUDONYM Kvalifikované systémové Pro právnické osoby a organizační složky státu Komerční Pro právnické osoby Pro servery Testovací

Kvalifikované systémové certifikáty Zákon 227/2000 Sb. v aktuálním znění Kvalifikovaný systémový certifikát Kvalifikovaný poskytovatel certifikačních služeb Akreditovaný poskytovatel certifikačních služeb Podepisující osoba - FO Označující osoba - FO, PO, organizační složka státu Zaručený el. podpis Elektronická značka Seznámení s dokumentem Projevení vůle

Kde získat certifikát Certifikační autorita - poskytovatel certifikačních služeb Registrační autorita – pracoviště zpracovávající žádosti o certifikáty

I.CA - poskytovatel certifikačních služeb Vydává certifikáty (odpovědnost za ověření totožnosti žadatele o certifikát) Vydává seznam zneplatněných certifikátů - CRL Vydává seznam veřejných certifikátů Zajišťuje uložení a distribuci identifikačních informací Zajišťuje další činnosti vyplývající z akreditace

Certifikační služby a produkty nabízené I.CA Vydávání komerčních certifikátů Vydávání kvalifikovaných certifikátů Vydávání kvalifikovaných systémových certifikátů Zřizování registračních autorit Vydávání kvalifikovaných časových razítek Nabídka čipových karet a čteček (certifikáty typu Comfort) Spolupráce s klienty při implementaci služeb Další služby související s CA

Registrační autorita Místa pro ověřování totožnosti žadatelů o certifikát Komunikace s klientem Přijímání žádostí o certifikát Ověření totožnosti žadatele o certifikát Typy registračních autorit : Veřejná registrační autorita (dnes ČSOB a RM-S-FINANCE) Klientská registrační autorita Vlastní mobilní registrační autorita

Žádost o certifikát Náležitosti žádosti o certifikát

Tvorba certifikátu I.CA Generování párových dat pomocí dostupného SW vybavení, případně u PCS Příprava identifikačních dat nutno doložit doklady Předání párových dat a identifikačních údajů PCS (RA) žadatel předá PCS data spolu s doklady o jejich pravosti Ověření informací PCS si ověří, že může vydat žadateli certifikát Tvorba certifikátu CA vytvoří digitální dokument a ten podepíše Předání certifikátu podle dohody je certifikát žadateli předán, zveřejněn

Položky žádostí (certifikátů) Povinné položky Pokud nejsou vyplněny následující údaje , nelze žádost přijmout : Jméno (CN) Stát (C) Organizace (O) – povinná pouze u zaměstnaneckých certifikátů Volitelné položky : Ulice čp./čo (trvalé bydliště) Město (trvalé bydliště) Kraj Útvar v organizaci E-mailová adresa (povinná pro použití certifikátu v elektronické poště) Generační rozlišení Iniciály

Dokumenty k žádosti o certifikát Kvalifikovaný certifikát Osobní doklad, sekundární doklad Potvrzení o zaměstnání Doložení existence společnosti (např. VOR) Plná moc Komerční certifikát Osobní doklad

Podmínky vydávání QC Kvalifikovaný a kvalifikovaný systémový certifikát 2 doklady totožnosti (primární - pro občany ČR a SR občanský průkaz, sekundární – řidičský průkaz,cestovní pas, průkaz pojištěnce,...atd.) dokumenty pro doložení všech údajů v žádosti o certifikát Potvrzení o zaměstnaneckém poměru, Výpis z obchodního rejstříku (úředně ověřená kopie), další doklady provádí se kopie obou dokladů (OP oboustranná kopie) všechny vytištěné protokoly (Protokol o podání žádosti na vydání certifikátu, Protokol o tvorbě a předání certifikátu, Smlouva o vydání a používání certifikátu, Příloha č.1 o přidělení IK MPSV) musí být opatřeny razítkem I.CA

Zásady vydávání QC Veškeré položky žádosti o certifikát musí být vždy klientem doloženy. Po vydání certifikátu nelze jakoukoli položku modifikovat. Nekontrolovatelná položka z pohledu CA je položka elektronická poštovní adresa (E=). K odeslání žádosti o certifikát na CA nedojde bez podpisu Protokolu o podání žádosti.

Co je certifikát Položka struktury certifikátu Přirovnání k položce OP Verze  0 ... X.509 verze 1 (1988) 1 ... X.509 verze 2 2 ... X.509 verze 3 Verze (federální, červený český, karta, ...) Sériové číslo Číslo a série občanského průkazu Algoritmus použitý pro podpis Razítko či samolepka přes fotografii Vydal (identifikace certifikační autority podle X.500) Vydal Platnost od-do Platnost Jméno a adresa (identifikace vlastníka) Jméno a adresa Veřejný klíč - Rozšíření certifikátu Další údaje Elektronický podpis certifikátu Vlastní razítko či samolepka přes fotografii

Certifikát Číslo certifikátu Vydavatel certifikátu Jedinečná identifikace majitele Platnost certifikátu Veřejný klíč majitele Podpis CA

(ověřovací procedury) na registrační autoritě Proces vydání certifikátu I.CA 1. Vytvoření žádosti o certifikát 6. Instalace certifikátu 2. Doprava žádosti na registrační autoritu 5. Získání certifikátu 4. Vydání certifikátu Certifikační autoritou (ověřovací procedury) 3. Ověření žádosti a identifikace žadatele na registrační autoritě www.ica.cz E-mail – předání certifikátu možno i v ZIP formátu

Co je to elektronický podpis Vytváření elektronického podpisu Podpis zprávy Podpis dat Ověření podpisu

Základní pojmy elektronického podpisu Elektronický podpis údaje v elektronické podobě, připojené k datové zprávě nebo s ní logicky spojené umožňuje ověření totožnosti podepsané osoby ve vztahu k datové zprávě Digitální podpis je jako číslo (angl. „digit“) spjaté s obsahem zprávy, připojené k této zprávě jedna z forem elektronického podpisu Název kurzu: Elektronický podpis – úvod pro RA Název lekce: Základní pojmy elektronického podpisu Název kapitoly: Certifikát Akce: Blok Elektronický ... se zobrazí po klepnutí Blok Digitální … se zobrazí po klepnutí Použitá grafika: Obrázek používaný pro certifikát Použité zvuky: Testovací objekty: Poznámka:

Základní pojmy elektronického podpisu Certifikát obsahuje kromě jiného dvojici klíčů určených pro využití elektronického podpisu : Soukromý klíč Veřejný klíč Veřejný a soukromý klíč tvoří dvojici Veřejný klíč je tedy distribuován jako součást certifikátu, který certifikační autorita podepisuje svým pečlivě střeženým soukromým klíčem. Název kurzu: Elektronický podpis – úvod pro RA Název lekce: Základní pojmy elektronického podpisu Název kapitoly: Soukromý a veřejný klíč Akce: Blok Soukromý ... se zobrazí po klepnutí Blok Veřejný klíč … zobrazí se po klepnutí Blok Veřejný … zobrazí se po klepnutí Použitá grafika: Certifikát a dva klíče Použité zvuky: Testovací objekty: Poznámka:

Zaručený elektronický podpis Je jednoznačně spojen s podepisující osobou Umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě Byl vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou Je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat

Legislativa k EP Zákon 227/2000 Sb. o elektronickém podpisu v platném znění Nařízení vlády č. 495/2004 Sb, kterým se provádí zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů Vyhláška č. 496/2004 Sb. k elektronickým podatelnám Vyhláška z 19.7.2006 č.378/2006 Kvalifikovaný certifikát – podpis Komerční certifikát – autentizace a šifrování Certifikační politika pro oblast kvalifikovaných certifikátů

Jak zacházet s certifikátem Uložení certifikátu Zneplatnění certifikátu Obnova certifikátu

Uložení certifikátu Standardní úložiště v PC Externí úložiště Instalace certifikátu Exportovatelný/neexportovatelný PK Záloha certifikátu vč. PK Ochrana PIN Pozor na reinstalaci PC ! Externí úložiště Čipová karta USB Token

Úložiště dat pro vytváření elektronického podpisu Osobní počítač Čipová karta + čtečka USB token

Zneplatnění certifikátu Důvody zneplatnění Proces zneplatnění RA, doporučeným dopisem, e-mail, soud, …. viz. Certifikační politika (CP) Seznam zneplatněných certifikátů CRL – vydávání dle CP

Obnovení certifikátu Platnost kvalifikovaného certifikátu je 12 měsíců, 21 a 7 dnů před tímto termínem-oznámení o blížící se exspiraci – echo mail od I.CA Vytvoření žádosti o nový certifikát pomocí odkazu v e-mailu pomocí www.ica.cz Podepsání žádosti dosud platným soukromým klíčem Zaslání na I.CA Instalace do PC certifikát zaslán e-mailem instalace ze souboru cislo_certifikatu.htm ověření v MS Internet Exploreru

Využití certifikátů v praxi Bezpečnostní atributy Kde certifikáty lze využít

Bezpečnostní standardy Důvěrnost informací neautorizované subjekty nemají možnost přístupu k důvěrným informacím Integrita dat zabezpečení proti neautorizované modifikaci Neodmítnutelnost odpovědnosti důkaz o přímé odpovědnosti subjektu za odeslanou zprávu

Využití certifikátů v praxi 1. Bezpečná komunikace elektronickou poštou digitální podpis 2. Bezpečný přístup na webovský server přístup s certifikátem 3. Specializované aplikace

Využití certifikátů Oblast orgánů veřejné moci realizace projektů v souladu se státní informační politikou Finanční a bankovní sektor řešení bezpečné komunikace mezi subjekty portálové aplikace specializované aplikace využívající certifikáty jako formu zabezpečení přenos důvěrných dat Sféra středních a větších firem bezpečná komunikace managementu firmy bezpečný přístup na firemní www server k důvěrným informacím Internetová veřejnost komunikace se státní správou a samosprávou ve smyslu Zákona o EP

První certifikační autorita, a.s. Kontakt http://www.ica.cz sales@ica.cz První certifikační autorita, a.s. 190 00 Praha 9 Podvinný mlýn 2178/6