1 Elektronický podpis v ČR Bezpečnost IS/IT Jaroslav Malý
2 Právní úprava elektronického podpisu Dne byl schválen zákon č. 227/2000 Sb., o elektronickém podpisu / dále ZoEP /, s účinností od Dne byl schválen zákon č. 227/2000 Sb., o elektronickém podpisu / dále ZoEP /, s účinností od Elektronický podpis definuje ZoEP, jako „údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které umožňují ověření totožnosti podepsané osoby ve vztahu k datové zprávě Elektronický podpis definuje ZoEP, jako „údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které umožňují ověření totožnosti podepsané osoby ve vztahu k datové zprávě
3 Prováděcí vyhláška k zákonu však nařizuje využití konkrétní metody tzv. Prováděcí vyhláška k zákonu však nařizuje využití konkrétní metody tzv. asymetrického šifrování. Zajištění: zabezpečení zprávy proti změně během přenosu, zabezpečení zprávy proti změně během přenosu, ověření totožnosti odesílatele ověření totožnosti odesílatele El. podpis je připojen k zprávě pomocí prostředků, které podepisující osoba může udržet pod svou kontrolou a nemůže popřít, že dokument podepsala, El. podpis je připojen k zprávě pomocí prostředků, které podepisující osoba může udržet pod svou kontrolou a nemůže popřít, že dokument podepsala, schopnost dokumentu být důkazním prostředkem v soudním sporu schopnost dokumentu být důkazním prostředkem v soudním sporu
4 Metoda asymetrického šifrování je založena na existenci dvou klíčů Metoda asymetrického šifrování je založena na existenci dvou klíčů Soukromý klíč jsou data pro vytvoření elektronického podpisu, jsou ve výlučném vlastnictví podepisující se osoby a ta zabezpečuje jeho utajení. Soukromý klíč jsou data pro vytvoření elektronického podpisu, jsou ve výlučném vlastnictví podepisující se osoby a ta zabezpečuje jeho utajení. Veřejný klíč je prostředek pro ověření zprávy příjemcem a je naproti tomu zveřejněn např. vystavením na internetu nebo ho odesílatel doručí příjemci zprávy. Veřejný klíč je prostředek pro ověření zprávy příjemcem a je naproti tomu zveřejněn např. vystavením na internetu nebo ho odesílatel doručí příjemci zprávy.
5 Použití elektronického podpisu 1 Podepisující osoba vytvoří dokument v elektronické podobě, na který pak aplikuje speciální program. Ten vygeneruje z obsahu dokumentu a soukromého klíče podepisující se osoby posloupnost znaků, kterou připojí ke zprávě jako její digitální podpis. Takto podepsaná zpráva je odeslaná příjemci, který použije veřejný klíč s jehož pomocí ověří pravost podpisu a neporušenost obsahu zprávy. Podepisující osoba vytvoří dokument v elektronické podobě, na který pak aplikuje speciální program. Ten vygeneruje z obsahu dokumentu a soukromého klíče podepisující se osoby posloupnost znaků, kterou připojí ke zprávě jako její digitální podpis. Takto podepsaná zpráva je odeslaná příjemci, který použije veřejný klíč s jehož pomocí ověří pravost podpisu a neporušenost obsahu zprávy.
6 Použití elektronického podpisu 2 Důležitá je existence „ověřovatele totožnosti.“ Jedná se o tzv. certifikační autoritu. Jeho úkolem je ověřit totožnost podepisující se osoby a ověřit vztah mezi podepisující osobou a jejím veřejným klíčem. Na potvrzení této shody vydá poskytovatel certifikačních služeb certifikát, který je připojen k veřejnému klíči a je tedy také veřejný. Certifikát zaručuje, že veřejný klíč patří opravdu té osobě, která se za jeho vlastníka vydává. Důležitá je existence „ověřovatele totožnosti.“ Jedná se o tzv. certifikační autoritu. Jeho úkolem je ověřit totožnost podepisující se osoby a ověřit vztah mezi podepisující osobou a jejím veřejným klíčem. Na potvrzení této shody vydá poskytovatel certifikačních služeb certifikát, který je připojen k veřejnému klíči a je tedy také veřejný. Certifikát zaručuje, že veřejný klíč patří opravdu té osobě, která se za jeho vlastníka vydává.
7 Použití elektronického podpisu 3 Příjemce zprávy tedy obdrží otevřený text zprávy, připojený elektronický podpis a certifikát. Příjemce zprávy tedy obdrží otevřený text zprávy, připojený elektronický podpis a certifikát. Je povinností příjemce ověřit si, zda certifikát je platný. Poskytovatelé certifikačních služeb zveřejňují seznamy platných a zneplatněných certifikátů na internetu Je povinností příjemce ověřit si, zda certifikát je platný. Poskytovatelé certifikačních služeb zveřejňují seznamy platných a zneplatněných certifikátů na internetu
8 Použití elektronického podpisu 4
9 Elektronický podpis v oblasti veřejné správy 1 Je možné používat pouze zaručené elektronické podpisy a kvalifikované certifikáty vydané akreditovanými poskytovateli. zaručený elektronický podpis je jednoznačně spojen s podepisující osobou. zaručený elektronický podpis je jednoznačně spojen s podepisující osobou. O zaručený elektronický podpis se jedná jen tehdy, je-li opatřen kvalifikovaným certifikátem.
10 akreditovaný poskytovatel certifikačních služeb – soukromoprávní podnikatelský subjekt s udělenou akreditací od Ministerstva informatiky. akreditovaný poskytovatel certifikačních služeb – soukromoprávní podnikatelský subjekt s udělenou akreditací od Ministerstva informatiky. akreditovaný poskytovatel certifikačních služeb akreditovaný poskytovatel certifikačních služeb Povinnosti: Povinnosti: Před vydáním kvalifikovaného certifikátu bezpečně ověřit totožnost osoby, které kvalifikovaný certifikát vydává. Před vydáním kvalifikovaného certifikátu bezpečně ověřit totožnost osoby, které kvalifikovaný certifikát vydává. Přijmout odpovídající opatření proti zneužití a padělání kvalifikovaných certifikátů Přijmout odpovídající opatření proti zneužití a padělání kvalifikovaných certifikátů Elektronický podpis v oblasti veřejné správy 2
11 Právní normy vydané k provedení ZOEP vládní nařízení č.304/2001 Sb. ze dne 25. července 2001, s účinností od 1. října 2001, kterým se provádí ZoEP a které se týká použití elektronických podpisů v oblasti orgánů veřejné moci Bylo uloženo příslušným subjektům / ty orgány veřejné moci, pro které ze ZOEP vyplývá povinnost přijmout podání učiněné v elektronické podobě/ zřídit pracoviště pro příjem a odesílání datových zpráv tzv. elektronické podatelny. Bylo uloženo příslušným subjektům / ty orgány veřejné moci, pro které ze ZOEP vyplývá povinnost přijmout podání učiněné v elektronické podobě/ zřídit pracoviště pro příjem a odesílání datových zpráv tzv. elektronické podatelny.
12 Vydávání elektronických podpisů obcím O d 31. května do 30. listopadu 2004 Ministerstvo informatiky vybaví obecní úřady a městské části zdarma elektronickým podpisem. Cílem ministerstva je prosadit využívání elektronické komunikace ve veřejné správě a umožnit obcím plnit povinnosti, které jim ukládá nový správní řád, tedy přijímat elektronická podání, doručovat písemnosti na elektronické adresy, v elektronické podobě vydávat správní akty a provozovat elektronické podatelny. Objemem nákupu dojde k úspoře v řádech několika milionů korun.
13 Zdroje Přednášky předmětu Počítačové právo na MZLU v Brně Přednášky předmětu Počítačové právo na MZLU v Brně