Elektronický podpis

Elektronický podpis

kpt. Ing. Milan Říha, DiS.

2

Doporučená literatura

Název: Elektronický podpisAutor: Petr BudišVydavatelství: ANAGVydání: prvníISBN: 978-80-7263-465-1Cena: 214,- Kč

Elektronická verze knihy

3

E-GOVERNMENT

Pod pojmem e-Government si lze představit elektronizaci státní správy a samosprávy. V optimálním případě by se mělo jednat o elektronizaci celého výkonu veřejné moci, a to včetně rozhodovacích procesů.

Je plně v kompetenci Ministerstva vnitra České republiky.

4

E-GOVERNMENT

Mezi stěžejní výhody elektronizace státní správy patří:1) rychlost a kvalita služeb občanům,2) jednoduchost, uživatelská přívětivost,3) úřední hodiny pro podání 24 hodin denně, 7 dnů v týdnu,4) finanční úspory,5) transparentnost procesů a rozhodování.

5

E-GOVERNMENT

Mezi klíčové pojmy e-governmentu by měly patřit:1) identifikace,2) elektronický podpis,3) elektronické doručování.

6

Základní pojmy

Elektronická podatelna pracoviště orgánu veřejné moci určené pro příjem a odesílání datových zpráv, tedy jakýsi styčný bod v komunikaci občana se státní správou.

Legislativa:1) nařízení vlády č. 495/2004 Sb. (zřízení elektronické podatelny)2) vyhláška Ministerstva informatiky č. 496/2004 Sb., o elektronických

podatelnách.

7

Základní pojmy

Elektronický podpis za elektronický podpis se v širším významu dá považovat jakékoliv uvedení identifikačních údajů autora do elektronického dokumentu (např. jména a adresy, sídla, rodného nebo jiného identifikačního čísla atd.).

8

Základní pojmy

Zaručený elektronický podpis je elektronický podpis v takové formě, která zpravidla kryptografickými metodami, zaručuje i integritu dokumentu a autentizaci podepsaného. Pro některé účely je navíc vyžadován zaručený elektronický podpis pouze s předepsanými typy certifikace, tedy založený na kvalifikovaném certifikátu.

9

Zaručený elektronický podpis

je takový elektronický podpis, který splňuje na základě ustanovení § 2 písm. b) zákona č. 227/2000 Sb. následující požadavky:1) je jednoznačně spojen s podepisující osobou,2) umožňuje identifikaci podepisující osoby ve vztahu k datové zprávě,3) byl vytvořen a připojen k datové zprávě pomocí prostředků, které

podepisující osoba může udržet pod svou výhradní kontrolou,4) je k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je

možno zjistit jakoukoliv následnou změnu dat.

10

Rozdíl mezi prostým a zaručeným elektronickým podpisem

je obdobný rozdílu mezi úředně neověřeným a ověřeným vlastnoručním podpisem, přičemž možnost, obtížnost a spolehlivost písmoznaleckého rozboru neověřeného vlastnoručního podpisu lze přirovnat k možnosti, obtížnosti a spolehlivosti ověření autenticky nezaručeného elektronického podpisu.

11

Elektronická značka

je ve své podstatě velmi podobná jako elektronický podpis. Avšak elektronická značka podepisuje přímo právnickou osobu – v případě elektronického podpisu se musí vždy jednat o fyzickou osobu, která však může společnost zastupovat. Jedná se o obdobu firemního razítka.

12

Certifikační autorita

Nezávislá důvěryhodná společnost, která vystavuje certifikáty k elektronickým podpisům a zaručuje tak pravdivost uvedených údajů.

Přehled certifikačních autorit akreditovaných MV ČR:1) První certifikační autorita a.s.2) Česká pošta s.p.3) eIdentity a.s.

13

Základní pojmy

Integrita dat označuje prokazatelnost, že po podepsání nedošlo k žádné změně, soubor není úmyslně či neúmyslně poškozen.

Autenticita dat u dat lze ověřit původnost. Tedy identitu subjektu, kterému patří digitální podpis.

14

Časové razítko

Jedná se o službu, která důvěryhodným způsobem spojuje data v elektronické podobě s časovým okamžikem a zaručuje, že uvedená data v elektronické podobě existovala v daný okamžik.

15

Zneplatnění certifikátu

je proces, kdy je předčasně ukončena platnost certifikátu. Certifikát se musí zneplatnit, pokud jej nelze dále používat (např. z důvodu prozrazení, ale také havárie počítače apod.). Po zneplatnění se certifikát ocitá na seznamu zneplatněných certifikátů. Místo zneplatnění se také používá termín revokace.

16

Kvalifikovaný nebo komerční certifikát

Kvalifikované certifikáty lze použít při komunikaci s orgány státní správy. Jejich nevýhodou je, že mohou být použity jen za účelem podepisování dat, zatímco komerční certifikáty mohou být použity i pro jejich zašifrování. Nevýhodou komerčních certifikátů je, že nemusí být akceptovány při komunikaci se státní správou.

17

Kvalifikovaný nebo komerční certifikát

Fyzickým osobám mohou být vystaveny certifikáty podle následujících politik:a) kvalifikované osobní certifikáty;b) komerční osobní certifikáty;c) kvalifikované systémové certifikáty;d) komerční serverové certifikáty;e) komerční šifrovací certifikáty.

18

Cenové srovnání

19

Identifikátor MPSV

Identifikátor MPSV označuje jedinečnou identifikaci klienta vůči Ministerstvu práce a sociálních věcí, finančnímu úřadu, České správě sociálního zabezpečení a úřadům práce. Jedná se vlastně o obdobu rodného čísla s tím rozdílem, že z Identifikátoru klienta MPSV nelze vyčíst datum narození a pohlaví.

20

Identifikátor klienta MPSV

Hodnota identifikátoru klienta MPSV je celé kladné číslo v rozsahu1 100 100 100 až 4 294 967 295. Struktura hodnot identifikátoru klienta MPSV je dvojí – veřejná a interní. Veřejná struktura je určena pro nositele identifikátoru, interní struktura je určena výhradně pro proces určování hodnot tohoto identifikátoru a nositelům se nesděluje.

Hodnota identifikátoru MPSV je členěná na čtyři skupiny: samostatnou uvozující číslici a tři dvojice číslic. Každá skupina číslic z veřejné struktury má kvůli bezpečnější čitelnosti první číslici nenulovou. Na poslední pozici je umístěna kontrolní číslice, která je rovna zbytku po dělení čísla sestaveného z předchozích 9 cifer číslem 11.

21

Seznamy CRL (Certificate revocation list)

Kvalifikované certifikáty mají obecně platnost jeden rok. Poté si musí uživatel požádat o vydání nového certifikátu. Pokud je však zcizen soukromý klíč vlastníka nebo skončí podmínky pro používání certifikátu, musí jejich vlastních požádat o zneplatnění takového certifikátu.

22

Právní odpovědnost

Základní rozdíl v právním posouzení mezi ručním a elektronickým podpisem je domněnka jeho "vyvratitelnosti", tedy odkazu na to, že "něco platí, dokud se neprokáže opak". Ve světě klasických (vlastnoručních) podpisů se s tímto principem běžně pracuje. Ve světě elektronických podpisů je tomu ale jinak. Zde existuje konkrétní důvod, kvůli kterému je nutné ověřovat platnost elektronických podpisů "dopředu" a nikoli až poté, kdy je někdo zpochybní.

23

§ 5 zákona č. 227/2000 Sb., o elektronickém podpisu

(1) Podepisující osoba je povinnaa) zacházet s prostředky, jakož i s daty pro vytváření zaručeného

elektronického podpisu s náležitou péčí tak, aby nemohlo dojít k jejich neoprávněnému použití,

b) uvědomit neprodleně poskytovatele certifikačních služeb, který vydal kvalifikovaný certifikát o tom, že hrozí nebezpečí zneužití jejích dat pro vytváření zaručeného elektronického podpisu.

(2) Za škodu způsobenou porušením povinností podle odstavce 1 odpovídá podepisující osoba podle zvláštních právních předpisů. Odpovědnosti se však zprostí, pokud prokáže, že ten, komu vznikla škoda, neprovedl veškeré úkony potřebné k tomu, aby si ověřil, že zaručený elektronický podpis je platný a jeho kvalifikovaný certifikát nebyl zneplatněn.

24

Mezinárodní uznatelnost elektronického podpisu

S mezinárodní uznatelností elektronického podpisu naložili tvůrci Směrnice Evropského parlamentu a Rady 1999/93/ES o zásadách Společenství pro elektronické podpisy poměrně nešťastně:

"členské státy mohou používání elektronických podpisů ve veřejném sektoru podmínit případnými doplňujícími požadavky".