Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Elektronický podpis Ing. Jaroslav Pinkava, CSc, PVT, a. s.

Podobné prezentace


Prezentace na téma: "Elektronický podpis Ing. Jaroslav Pinkava, CSc, PVT, a. s."— Transkript prezentace:

1 Elektronický podpis Ing. Jaroslav Pinkava, CSc, PVT, a. s.
Kovanecká 30/2124, Praha 9 tel.: , fax: web:

2 Obsah přednášky: 1. Úvod 2. Digitální podpis 3. Elektronický podpis 4. Legislativa a elektronické podpisy 5. Česká legislativa 6. Normativní dokumenty 7. Časová razítka 8. Archivace elektronických dokumentů 9. Některé další aplikace

3 1. Úvod Význam podpisu Podepisující osoba podpisem dokumentu např.:
- poskytuje důkaz, že se cítí být obsahem dokumentu (smlouvy) vázána; - podepsaný dokument může sloužit jiné straně jako věrohodná záruka pro splnění určitých závazků (peněžních, hmotných, časových atd.), přitom význam těchto závazků je v dokumentu popsán; - stvrzuje autorství textu dokumentu, jestliže podepsaný dokument sepsal někdo jiný, pak podepisující osoba potvrzuje svůj úmysl ztotožnit se s obsahem daného dokumentu; - prokazuje skutečnost, že tato osoba byla přítomna na stanoveném místě (a např. v danou dobu), podepisující se strana pak může tento podpis využít k prokázání této přítomnosti. Charakter podpisu na papírovém dokumentu

4 1. Úvod Dokumenty cestují v elektronické podobě (oskenované, faxem) a není příliš obtížné padělat na obrazové (faxové) variantě dokumentu ručně psaný podpis. Přitom elektronických dokumentů stále přibývá a uživatelé si uvědomují výhodnost takového pohybu dokumentů. Je však třeba najít jinou cestu k podepisování takovýchto dokumentů. Požadované vlastnosti Musí to být postup, zaručující určité vlastnosti, které podepsaný dokument získá. Strana, která získá podepsaný dokument bude samozřejmě chtít být ubezpečena, že autorem dokumentu je označená osoba, že se seznamuje s přesným obsahem dokumentu, že může na základě takto získaného dokumentu konat a mít přitom určité záruky od autora dokumentu. Jinými slovy je třeba zajistit u těchto dokumentů jejich autentičnost (původ, autora), jejich neporušenost (integritu), ale i tzv. nepopiratelnost (podepsaná strana nemůže později popřít, že daný dokument podepsala). Ještě je třeba poznamenat, že za některých okolností k tomu přistupují i nároky na utajení obsahu dokumentu před nepovolanou osobou.

5 2. Digitální podpis Historicky se objevuje pojem digitálního podpisu souběžně se vznikem asymetrické kryptografie v druhé polovině sedmdesátých let. Asymetrická kryptografie používá určitým způsobem propojenou dvojici kryptografických klíčů. Jeden klíč (veřejný) je používán k šifrování dat, druhý klíč (soukromý) slouží k dešifrování zašifrovaného obsahu dat. Přitom ze znalosti např. pouze veřejného klíče nelze odvodit hodnotu druhého (soukromého) klíče Digitální podpis je tedy pojem vycházející z použití kryptosystémů s veřejným klíčem. Jak probíhá pro určitý dokument vytváření jeho digitálního podpisu (např. autorem)? Nejjednodušší přístup je následující (digitální podpis s obnovou zprávy): Podepisující strana vezme příslušný dokument v elektronické podobě a zašifruje ho svým soukromým klíčem. Vhodnou cestou přitom zveřejní (nebo již má zveřejněn) odpovídající veřejný klíč. Kdokoliv, kdo má přístup k tomuto veřejnému klíči (a ověří si, kdo je jeho skutečným majitelem), může nyní pomocí tohoto veřejného klíče dešifrovat podepsaný dokument a ověřit tak příslušný podpis tohoto dokumentu.

6 2. Digitální podpis Kryptografie
Kryptografie má za cíl rozvíjet algoritmy, které lze použít ke skrytí obsahu zprávy před všemi s vyjímkou vysílající a přijímající strany (utajení) a k ověření správnosti zprávy přijímající stranou (autentizaci). Původní vysílanou zprávu nazýváme otevřeným textem. Tato zpráva je následně šifrována pomocí kryptografického algoritmu. Zašifrované zprávě říkáme šifrový text. Dešifrování je opačný postup vzhledem k šifrování, je to převedení šifrového textu zpět do podoby otevřeného textu. Všechny moderní algoritmy používají klíč, který kontroluje proces šifrování a dešifrování. Zprávu lze dešifrovat pouze tehdy, jestliže klíč použitý při dešifrování odpovídá klíči použitému při šifrování. Klíč použitý pro šifrování a klíč použitý pro dešifrování se nemusí přitom shodovat.

7 Symetrické šifry: Symetrické šifrovací algoritmy (také se jim říká šifry s tajným klíčem), používají tentýž klíč jak pro šifrování tak i pro dešifraci (při dešifraci je použita inversní funkce). Všechny klíče zde musí zůstat utajeny, aby bylo zajištěno, že třetí neoprávněná strana nemůže použít klíč k dešifraci tajných zpráv. Klíč má být často střídán a být dostatečně náhodný. Různé symetrické algoritmy používají různé délky klíčů. Delší klíč obvykle znamená větší bezpečnostalgoritmu. Asymetrické šifry (šifry s veřejným klíčem): Používají pro šifrování a dešifraci vždy různé klíče. Jeden z klíčů se nazývá veřejným, druhý soukromým klíčem. Při komunikaci dochází k přenosu veřejných klíčů, zatímco soukromý klíč není nikdy nikam přenášen ani není s nikým sdílen. Tj. veřejný klíč je vysílající stranou použit k zašifrování dat pro konkrétního příjemce, zatímco soukromý klíč je tímto příjemcem utajován. Výsledkem je vytvoření bezpečné cesty pro výměnu kryptografických klíčů (např.pro symetrické šifrování). Veřejné klíče musí být asociovány se svými uživateli důvěryhodnou vhodně autentizovanou cestou. Veřejné klíče však nemusí být utajovány. Systémy s veřejným klíčem jsou význačně pomalejší než symetrické šifry. Příkladem algoritmu pro asymetrickou šifru je RSA

8 2. Digitální podpis Tajný klíč:
Klíč, který je používaný v symetrické kryptografii (secret key). Je znám všem zúčastněným stranám, nesmí být znám narušiteli. Viz též symetrické šifry. Veřejný klíč: Veřejná část dvojice klíčů v asymetrické kryptografii (public key). Veřejný klíč bývá široce dostupný a může být používán k šifrování zpráv a verifikaci digitálních podpisů. Soukromý klíč: Utajovaná část dvojice klíčů v asymetrické kryptografii (private key). Soukromý klíč je výhradním vlastnictvím jedné entity a není nikomu jinému sdělován. Je používán k dešifraci zpráv zašifrovaných veřejným klíčem a k vytváření digitálních podpisů (které lze verifikovat veřejným klíčem). Hashovací funkce Využití hashovací funkce – otisk zprávy Podpis tohoto hashe je pak připojen k vlastní podepisované zprávě (proto se také tomuto postupu při podepisování říká digitální podpis v dodatku zprávy).

9 3. Elektronický podpis Obecnějším pojmem než digitální podpis je pojem elektronického podpisu. Tento pojem v sobě zahrnuje (kromě samotného digitálního podpisu) také aspekty využití celé škály různých biometrických metod. Je pak obvykle precizován tak, aby byl tzv. technologicky nezávislý. Je proto také vhodný pro použití v různých legislativních dokumentech. Zejména v průběhu posledních let se (z hlediska právních a technologických aspektů) dospělo k poznání nezbytnosti používat takto obecný pojem. Biometrické metody fyziologicky založené techniky, které měří nějakou fyziologickou charakteristiku dané osoby. Sem patří např.: otisky prstů, charakteristiky duhovky, obličej, geometrie cév, charakteristiky uší, vůně, analýza obrazců DNA, charakteristiky potu atd.; behaviorálně založené techniky, které se zabývají měřením chování příslušné osoby. Toto zahrnuje např.: verifikaci ručně psaných podpisů – dynamika podpisu, charakterizace úderů do klávesnice, analýza řečového projevu atd.

10 3. Elektronický podpis Digitální podpisy – dnes základní a nejvíce používanou variantou elektronického podpisu. Obecně se dá říci, že elektronické (digitální) podpisy jsou nejčastěji používány: -          pro vazby typu smluv v otevřených sítích (např. elektronický obchod, finanční transakce); -          v uzavřených systémech (Intranety); -          pro osobní účely; -          pouze pro identifikační a autorizační účely (oprávnění přístupu do výpočetního systému, identifikace webovského serveru,…); pro oficiální komunikaci s veřejnými institucemi (daňová přiznání, přenos dokumentů s právními důsledky,…) –tato oblast je perspektivní, již dnes existuje celá řada konkrétních případů, kde jsou elektronické podpisy takto využívány. Nepopiratelnost elektronického podpisu

11 4. Legislativa a elektronické podpisy
V roce 1995 byl přijat vůbec první dokument tohoto typu – UTAH Digital Signature Act. Evropa - německý zákon o digitálním podpisu z roku 1997, ale i jiné země (Velká Britanie, Italie,...) Nutnost jednotíci prvku i z mezinárodního hlediska Modelový zákon UNCITRAL pro elektronický obchod (1997). V tomto dokumentu se poprvé objevila snaha vytvořit takový obecný přístup k elektronickým podpisům, který by byl nezávislý na konkrétních použitých technologiích.

12 4. Legislativa a elektronické podpisy
Směrnice EU pro elektronické podpisy Vyvíjena několik let – draft schválil Evropský parlament Tři základní principy: I. Technologická neutralita II. Vydávání oprávnění pro poskytovatele certtifikačních služeb není direktivně omezeno žádným schématem III. Nezbytnost rozpoznání zákonné platnosti elektronických podpisů Z hlediska vlastního obsahu dokumentu: definice pojmů dostupnost na trhu právní dopady, závaznost mezinárodní aspekty ochrana osobních údajů, … annex I-IV

13 4. Legislativa a elektronické podpisy
Definované pojmy v Direktivě EU elektronický podpis, zaručený el.podpis podepisující strana data k vytváření podpisu + zařízení pro vytváření podpisu data k verifikaci podpisu + zařízení pro verifikaci podpisu certifikát, kvalifikovaný certifikát poskytovatel certifikačních služeb zařízení pro elektronické podpisy dobrovolná akreditace (akreditační schéma)

14 4. Legislativa a elektronické podpisy
Elektronický podpis - jsou jím míněna data v elektronickém tvaru, která jsou připojena či logicky asociována k jiným elektronickým datům a která slouží jako metoda autentizace. Zaručený elektronický podpis- tím je míněn elektronický podpis splňující následující požadavky: (a) je jednoznačně vázán na podepisující osobu; (b) umožňuje identifikaci podepisující osoby; (c) je vytvořen prostředky, které podepisující osoba může mít pod svojí výhradní kontrolou; (d) je vztažen k odpovídajícím datům takovým způsobem, že libovolná následná změna těchto dat je detekovatelná.

15 4. Legislativa a elektronické podpisy
Certifikát - elektronické ověření, které propojuje data pro ověření podpisu s osobou a potvrzuje identitu této osoby (Norma X.509 v.4 – vyšla také jako ISO norma). Kvalifikovaný certifikát - certifikát, který splňuje podmínky uvedené v příloze I a je vydán poskytovatelem certifikačních služeb splňujícím podmínky uvedené v příloze II. Příloha I Směrnice přitom specifikuje, co vše musí kvalifikovaný certifikát obsahovat (identifikace poskytovatele certifikačních služeb, jméno či pseudonym podepsané osoby, pro jaké účely byl certifikát vydán, data pro ověření podpisu, počátek a konec doby platnosti certifikátu, zaručený elektronický podpis příslušného poskytovatele certifikačních služeb, omezení účinnosti certifikátu, atd).

16 4. Legislativa a elektronické podpisy
Tři základní typy PCS (CA) Kromě nejnižšího stupně, jehož činnost není Direktivou (zákonem) nijak upravována, to budou certifikační autority vydávající kvalifikované certifikáty (to bude stupeň, který bude běžný zejména v komerční sféře) a konečně akreditované certifikační autority. Kvalifikovaný elektronický podpis Je to elektronický podpis, který je za prvé zaručený, za druhé založen na kvalifikovaném certifikátu a za třetí byl vytvořen pomocí prostředku pro tzv. bezpečné vytváření podpisů. Poslední pojem „bezpečného“ prostředku je rovněž termínem Direktivy a svým způsobem označuje prostředek, který prošel „validací“, tj. bylo prokázáno, že jeho technologická konstrukce byla provedena tak, aby prostředek splnil celou řadu obsahových i bezpečnostních norem.

17 4. Legislativa a elektronické podpisy
Směrnice EU - právní dopady EP Zaručený elektronický podpis lze používat rovnoprávně s ručně psaným podpisem elektronický podpis je použitelný jako důkazový prostředek členské země nesmí uplatňovat právní efekty a omezovat použitelnost EP jako důkazového prostředku jen na základě toho, že je v elektronické podobě, není odvozen z kvalifikovaného certifikátu,... Právní vazba platnosti elektronického podpisu – možnost jeho ověření je vázána na platnost odpovídajícího digitálního certifikátu.

18 5. Česká legislativa Zákon 227/2000 Sb. - pojmově i obsahově vychází ze Směrnice Evropské Unie Vyhláška 366/2001 Sb., upřesňuje podmínky paragrafů 6. a 17. zákona – způsob jakým se bude dokládat splnění těchto podmínek a požadavky, které musí splňovat nástroje elektronického podpisu a náležitosti postupu a způsobu vyhodnocování shody nástrojů elektronického podpisu s těmito požadavky. Od roku 2000 došlo k dvojí novelizaci zákona 227/2000 Sb., (v zákoně 226/2002 Sb., a konečně letos – zákon 440/2004 Sb.,) Pojem časových značek tzv. elektronické značky, kvalifikovaný systémový certifikát poskytovatele CS je připravena nová vyhláška

19 6. Normativní dokumenty Pro podporu vývoje odpovídajících technologií elektronického podpisu existuje celá široká škála norem: Asymetrická kryptografie – algoritmy (RSA, eliptické křivky), normativní dokumenty PKCS, IEE P1363, normy ISO/IETC, Práce s digitálními certifikáty – pracovni skupina IETF – PKIX Jiné - FIPS NIST, ANSI, bankovnictví, odvětvové normy

20 6. Normativní dokumenty Podpora Směrnice EU:
Pracovní skupina ETSI (politiky, formáty elektronických podpisů,…) Pracovní skupina CEN/ISSS – bezpečnost prostředků pro elektronický podpis (zejména prostředek poskytovatele), EESSI SG European Telecommunications Standards Institute

21 Poskytovatel certifikačních služeb
6. Normativní dokumenty Poskytovatel certifikačních služeb Požadavky na PCS Spolehlivý systém Časové značky Kvalifikovaný certifikát Proces a prostředí pro vytváření podpisů Proces a prostředí pro ověření podpisů Zařízení na vytváření podpisů Formáty a syntaxe podpisů CEN E-SIGN Ověřující strana Uživatel-podpis.strana ETSI ESI

22 7. Časová razítka Platnost elektronického podpisu, ověření vzniku v čase Autorita časových značek, vydává časové značky: služba, která umožňuje umístit prokazatelně v čase existenci digitálního dokumentu, tvoří tedy složku služeb prováděných s cílem zajistit nepopiratelnost. Požadavky, které jsou s tímto cílem zasílány důvěryhodné třetí straně přichází v určitém specifikovaném formátu, který je již definován příslušnými mezinárodními normami. AČR tedy vytváří prostředek sloužící k důkazu existence v určitém časovém okamžiku. To lze použít např. k ověření zda digitální podpis provedený k určité zprávě byl vytvořen předtím než odpovídající certifikát byl odvolán a tedy lze i odvolaný certifikát veřejného klíče použít k ověření příslušného elektronického podpisu. AČR také může indikovat časový moment ve kterém byl doručen určitý dokument Lze takto také např. dokumentovat, kdy proběhla určitá transakce

23 7. Časová razítka Požadavky: Musí používat důvěryhodný časový zdroj.
Musí vložit důvěryhodnou hodnotu času do každého časového razítka. Každé nově časové razítko musí v sobě obsahovat monotónně rostoucí celé číslo. Časové razítko musí být vytvořeno ihned po obdržení příslušného požadavku, jakmile to lze. V každém časovém razítku musí být obsažen identifikátor, který jednoznačně určuje bezpečnostní politiku, na jejímž základě bylo příslušné časové razítko vytvářeno. Časové razítko se vytváří pouze pro otisk časového momentu (hash) Ověřit typ použité hashovací funkce a ověřit, že délka hashe odpovídá příslušnému algoritmu. Neověřovat zaslaný otisk jiným způsobem (než ověření jeho délky). a další..

24 8. Archivace elektronických dokumentů
Jak zajistit dlouhodobou platnost elektronických podpisů Archivační autorita - úkol archivovat související elektronické dokumenty pro dlouhá období. Fromáty dlouhodobých elektronických podpisů LTANS OAIS

25 9. Některé další aplikace
PKI - Komplexní název pro celou řadu činnosti Cíle informační bezpečnosti: Utajení, Integrita dat, Identifikace a autentizace , Podpis, Autorizace, Ověření , Kontrola přístupu, Svědectví, Přijetí (zprávy), Schválení, Vlastnictví , Odvolání (revokace) Zúčastněné strany musí mít jistotu, že určité cíle spojené s informační bezpečnosti jsou naplněny Cíl PKI – ustavit a ošetřovat důvěryhodné prostředí v síti Prostředky PKI – služby řídící práci s klíči a digitálními certifikáty => šifrování, digitální podpisy Praxe elektronických podpisů a PKI Počátky nové éry e-obchod, e-government, e-bankovnictví, e-...

26 9. Některé další aplikace
Typy poskytovatelů certifikačních služeb Základním je certifikační autorita, další typy poskytovatelů zahrnují obvykle bezprostředně navazující činnosti (registrace uživatelů, správa certifikátů, archivace, atd.). Konečně sem patří typy poskytovatelů určitým způsobem rozšiřující základní služby certifikačních autorit. Jsou to např. časové autority, atributové autority, notářské autority, atd.).

27 9. Některé další aplikace
Atributová autorita entita, která vydává tzv. atributové certifikáty. Atributový certifikát je vlastně digitálně podepsaná množina atributů. Atributový certifikát má strukturu obdobnou jeko certifikát veřejného klíče, hlavním rozdílem je to, že AC neobsahuje žádný veřejný klíč. je často výhodnější umístit autorizující informace do odděleného certifikátu AC může obsahovat atributy které se týkají např. členství v určité skupině, ohledně role uživatele, bezpečnostních prověření resp. dalších informací vztahujících se ke kontrole přístupu.

28 http://crypto-world.info/ Dotazy? Závěr
Celou řadu dalších podrobností i komplexnější přehled informací lze nalézt na stránkách Crypto-Wordu (již pět let vycházející e-zin – 1x měsíčně): Dále na českém webu jsou to stránky Ministerstva informatiky: Stránky I. Certifikační autority: Dotazy?


Stáhnout ppt "Elektronický podpis Ing. Jaroslav Pinkava, CSc, PVT, a. s."

Podobné prezentace


Reklamy Google