Get documents about "Digit�ln� a elektronick� podpis ve svete a v EU
Document Sample
ELEKTRONICKÝ PODPIS –
využití v bankovnictví
(jednodenní seminář, Bankovní institut vysoká škola, a.s.)
7.12.2000
Část I.
Elektronický podpis. Obsah. Legislativa.
Ing. Jaroslav Pinkava, CSc.
AEC spol. s r.o. Norman Czech Republic
Jaroslav Pinkava - prosinec 2000 1
Bankovní institut vysoká škola a.s.
Úvod
Členění prvních tří přednášek:
I.Elektronický podpis. Obsah. Legislativa.
II.PKI. Poskytovatelé certifikačních
služeb.Nové směry v problematice
III.Normy k problematice el. podpisu. Normy
v bankovnictví.
Jaroslav Pinkava - prosinec 2000 2
Bankovní institut vysoká škola a.s.
Význam podpisu
Podepisující osoba podpisem dokumentu např.:
- poskytuje důkaz, že se cítí být obsahem dokumentu (smlouvy)
vázána;
- podepsaný dokument může sloužit jiné straně jako věrohodná záruka
pro splnění určitých závazků (peněžních, hmotných, časových atd.),
přitom význam těchto závazků je v dokumentu popsán;
- stvrzuje autorství textu dokumentu, jestliže podepsaný dokument
sepsal někdo jiný, pak podepisující osoba potvrzuje svůj úmysl
ztotožnit se s obsahem daného dokumentu;
- prokazuje skutečnost, že tato osoba byla přítomna na stanoveném
místě (a např. v danou dobu), podepisující se strana pak může tento
podpis využít k prokázání této přítomnosti.
Jaroslav Pinkava - prosinec 2000 3
Bankovní institut vysoká škola a.s.
Digitální technologie
Dokumenty cestují v elektronické podobě
(oskenované, faxem) a není příliš obtížné
padělat na obrazové (faxové) variantě
dokumentu ručně psaný podpis. Přitom
elektronických dokumentů stále přibývá a
uživatelé si uvědomují výhodnost takového
pohybu dokumentů. Je však třeba najít jinou
cestu k podepisování takovýchto
dokumentů.
Jaroslav Pinkava - prosinec 2000 4
Bankovní institut vysoká škola a.s.
Požadované vlastnosti
Musí to být postup, zaručující určité vlastnosti, které podepsaný
dokument získá. Strana, která získá podepsaný dokument bude
samozřejmě chtít být ubezpečena, že autorem dokumentu je označená
osoba, že se seznamuje s přesným obsahem dokumentu, že může na
základě takto získaného dokumentu konat a mít přitom určité záruky
od autora dokumentu.
Jinými slovy je třeba zajistit u těchto dokumentů jejich autentičnost
(původ, autora), jejich neporušenost (integritu), ale i tzv.
nepopiratelnost (podepsaná strana nemůže později popřít, že daný
dokument podepsala).
Ještě je třeba poznamenat, že za některých okolností k tomu přistupují
i nároky na utajení obsahu dokumentu před nepovolanou osobou.
Jaroslav Pinkava - prosinec 2000 5
Bankovní institut vysoká škola a.s.
Digitální podpis
Historicky se objevuje pojem digitálního podpisu
souběžně se vznikem asymetrické kryptografie
v druhé polovině sedmdesátých let. Asymetrická
kryptografie používá určitým způsobem
propojenou dvojici kryptografických klíčů. Jeden
klíč (veřejný) je používán k šifrování dat, druhý
klíč (soukromý) slouží k dešifrování
zašifrovaného obsahu dat. Přitom ze znalosti např.
pouze veřejného klíče nelze odvodit hodnotu
druhého (soukromého) klíče
Jaroslav Pinkava - prosinec 2000 6
Bankovní institut vysoká škola a.s.
Digitální podpis
Digitální podpis je tedy pojem vycházející z použití
kryptosystémů s veřejným klíčem. Jak probíhá pro určitý
dokument vytváření jeho digitálního podpisu (např.
autorem)? Nejjednodušší přístup je následující (digitální
podpis s obnovou zprávy): Podepisující strana vezme
příslušný dokument v elektronické podobě a zašifruje ho
svým soukromým klíčem. Vhodnou cestou přitom zveřejní
(nebo již má zveřejněn) odpovídající veřejný klíč.
Kdokoliv, kdo má přístup k tomuto veřejnému klíči (a
ověří si, kdo je jeho skutečným majitelem), může nyní
pomocí tohoto veřejného klíče dešifrovat podepsaný
dokument a ověřit tak příslušný podpis tohoto dokumentu.
Jaroslav Pinkava - prosinec 2000 7
Bankovní institut vysoká škola a.s.
Digitální podpis
Využití hashovací funkce – otisk zprávy -
Podpis tohoto hashe je pak připojen
k vlastní podepisované zprávě (proto se také
tomuto postupu při podepisování říká
digitální podpis v dodatku zprávy).
Jaroslav Pinkava - prosinec 2000 8
Bankovní institut vysoká škola a.s.
Elektronický podpis
Obecnějším pojmem než digitální podpis je pojem
elektronického podpisu. Tento pojem v sobě
zahrnuje (kromě samotného digitálního podpisu)
také aspekty využití celé škály různých
biometrických metod. Je pak obvykle precizován
tak, aby byl tzv. technologicky nezávislý. Je proto
také vhodný pro použití v různých legislativních
dokumentech. Zejména v průběhu posledních let
se (z hlediska právních a technologických aspektů)
dospělo k poznání nezbytnosti používat takto
obecný pojem.
Jaroslav Pinkava - prosinec 2000 9
Bankovní institut vysoká škola a.s.
Biometrické metody
fyziologicky založené techniky, které měří nějakou
fyziologickou charakteristiku dané osoby. Sem patří
např.: otisky prstů, charakteristiky duhovky, obličej,
geometrie cév, charakteristiky uší, vůně, analýza
obrazců DNA, charakteristiky potu atd.;
behaviorálně založené techniky, které se zabývají měřením
chování příslušné osoby. Toto zahrnuje např.: verifikaci
ručně psaných podpisů – dynamika podpisu,
charakterizace úderů do klávesnice, analýza řečového
projevu atd.
Jaroslav Pinkava - prosinec 2000 10
Bankovní institut vysoká škola a.s.
Digitální podpisy – dnes základní a nejvíce
používanou variantou elektronického podpisu.
Obecně se dá říci, že elektronické (digitální) podpisy jsou nejčastěji
používány:
- pro vazby typu smluv v otevřených sítích (např. elektronický
obchod, finanční transakce);
- v uzavřených systémech (Intranety);
- pro osobní účely;
- pouze pro identifikační a autorizační účely (oprávnění přístupu
do výpočetního systému, identifikace webovského serveru,…);
pro oficiální komunikaci s veřejnými institucemi (daňová přiznání,
přenos dokumentů s právními důsledky,…) –tato oblast je zatím
především perspektivní (a to vysoce), i když již dnes existuje celá řada
konkrétních případů, kde jsou elektronické podpisy takto využívány.
Jaroslav Pinkava - prosinec 2000 11
Bankovní institut vysoká škola a.s.
Legislativa a el. podpisy
V roce 1995 byl přijat vůbec první
dokument tohoto typu – UTAH Digital
Signature Act.
Evropa - německý zákon o digitálním
podpisu z roku 1997, ale i jiné země (Velká
Britanie, Italie,...)
Jaroslav Pinkava - prosinec 2000 12
Bankovní institut vysoká škola a.s.
Legislativa a el. podpisy
Nutnost jednotíci prvku i z mezinárodního
hlediska
Modelový zákon UNCITRAL pro elektronický
obchod (1997). V tomto dokumentu se poprvé
objevila snaha vytvořit takový obecný přístup
k elektronickým podpisům, který by byl nezávislý
na konkrétních použitých technologiích.
Jaroslav Pinkava - prosinec 2000 13
Bankovní institut vysoká škola a.s.
Direktiva EU pro elektronické podpisy 1
Vyvíjena několik let - draft
30.11.1999 schválil Evropský parlament
“Member States shall bring into force the
laws, regulations and administrative
provisions necessary to comply with this
Directive before 19 July 2001”.
Jaroslav Pinkava - prosinec 2000 14
Bankovní institut vysoká škola a.s.
Direktiva EU pro elektronické podpisy 2
Tři základní principy:
I. Technologická neutralita
II. Vydávání oprávnění pro poskytovatele
certtifikačních služeb není direktivně
omezeno žádným schématem
III. Nezbytnost rozpoznání zákonné
platnosti elektronických podpisů
Jaroslav Pinkava - prosinec 2000 15
Bankovní institut vysoká škola a.s.
Direktiva EU pro elektronické podpisy 3
Obsah:
definice pojmů
dostupnost na trhu
právní dopady, závaznost
mezinárodní aspekty
ochrana osobních údajů, …
annex I-IV
Jaroslav Pinkava - prosinec 2000 16
Bankovní institut vysoká škola a.s.
Definované pojmy v Direktivě EU
elektronický podpis, zaručený el.podpis
podepisující strana
data k vytváření podpisu + zařízení pro vytváření podpisu
data k verifikaci podpisu + zařízení pro verifikaci podpisu
certifikát, kvalifikovaný certifikát
poskytovatel certifikačních služeb
zařízení pro elektronické podpisy
dobrovolná akreditace (akreditační schéma)
Jaroslav Pinkava - prosinec 2000 17
Bankovní institut vysoká škola a.s.
Zaručený elektronický podpis
Elektronický podpis - jsou jím míněna data
v elektronickém tvaru, která jsou připojena či logicky
asociována k jiným elektronickým datům a která slouží
jako metoda autentizace.
Zaručený elektronický podpis- tím je míněn elektronický
podpis splňující následující požadavky:
(a) je jednoznačně vázán na podepisující osobu;
(b) umožňuje identifikaci podepisující osoby;
(c) je vytvořen prostředky, které podepisující osoba může
mít pod svojí výhradní kontrolou;
(d) je vztažen k odpovídajícím datům takovým způsobem,
že libovolná následná změna těchto dat je detekovatelná.
Jaroslav Pinkava - prosinec 2000 18
Bankovní institut vysoká škola a.s.
Certifikát a kvalifikovaný certifikát
Certifikát - elektronické ověření, které propojuje data pro
ověření podpisu s osobou a potvrzuje identitu této osoby.
Kvalifikovaný certifikát - certifikát, který splňuje
podmínky uvedené v příloze I a je vydán poskytovatelem
certifikačních služeb splňujícím podmínky uvedené
v příloze II.
Příloha I přitom specifikuje, co vše musí kvalifikovaný
certifikát obsahovat (identifikace poskytovatele
certifikačních služeb, jméno či pseudonym podepsané
osoby, pro jaké účely byl certifikát vydán, data pro ověření
podpisu, počátek a konec doby platnosti certifikátu,
zaručený elektronický podpis příslušného poskytovatele
Jaroslav Pinkava - účinnosti
certifikačních služeb, omezeníprosinec 2000 certifikátu, atd). 19
Bankovní institut vysoká škola a.s.
Tři základní typy PCS (CA)
Kromě nejnižšího stupně, jehož činnost není
Direktivou (zákonem) nijak upravována, to
budou certifikační autority vydávající
kvalifikované certifikáty (to bude stupeň,
který bude běžný zejména v komerční sféře)
a konečně akreditované certifikační
autority.
Jaroslav Pinkava - prosinec 2000 20
Bankovní institut vysoká škola a.s.
Kvalifikovaný elektronický podpis
Je to elektronický podpis, který je za prvé
zaručený, za druhé založen na kvalifikovaném
certifikátu a za třetí byl vytvořen pomocí
prostředku pro tzv. bezpečné vytváření podpisů.
Poslední pojem „bezpečného“ prostředku je
rovněž termínem Direktivy a svým způsobem
označuje prostředek, který prošel „validací“, tj.
bylo prokázáno, že jeho technologická konstrukce
byla provedena tak, aby prostředek splnil celou
řadu obsahových i bezpečnostních norem.
Jaroslav Pinkava - prosinec 2000 21
Bankovní institut vysoká škola a.s.
Direktiva EU- dostupnost na trhu
nesmí existovat omezení týkající se počtu
poskytovatelů certifikačních služeb (PCS)
musí existovat systém dohledu nad PCS
musí existovat instituce ověřující správnost
zařízení pro vytváření elektronických podp.
zařízení splňující podmínky direktivy mají
povolen volný pohyb na trhu člen.zemí EU
Jaroslav Pinkava - prosinec 2000 22
Bankovní institut vysoká škola a.s.
Direktiva EU - právní dopady EP
Zaručený elektronický podpis lze používat
rovnoprávně s ručně psaným podpisem
elektronický podpis je použitelný jako důkazový
prostředek
členské země nesmí uplatňovat právní efekty a
omezovat použitelnost EP jako důkazového
prostředku jen na základě toho, že je
v elektronické podobě, není odvozen
z kvalifikovaného certifikátu,...
Jaroslav Pinkava - prosinec 2000 23
Bankovní institut vysoká škola a.s.
Direktiva EU - závaznost
Členské země musí zajistit, že poskytovatel
certifikačních služeb je odpovědný za škody
způsobené osobám, které se spolehly na správnost
příslušného certifikátu a to minimálně vzhledem
ke kvalifikovaným certifikátům (platí i vzhledem
k revokacím)
PCS může v obsahu certifikátu definovat jeho
účinnost (např. omezení na velikost finančních
transakcí)
Jaroslav Pinkava - prosinec 2000 24
Bankovní institut vysoká škola a.s.
Direktiva EU
Dále stanovuje za jakých podmínek jsou platné certifikáty
vydané v třetích zemích (mezinárodní aspekty)
PCS musí ve své činnosti vycházet rovněž ze zákonů na
ochranu osobních údajů a příbuzných dokumentů
povinnosti členských zemí EU ve vztahu k Evropské
Komisi (oznámení závazných národních akreditačních
schémat, jméno a adresa akreditační instituce, jména a
adresy všech národních akreditovaných PCS)
Jaroslav Pinkava - prosinec 2000 25
Bankovní institut vysoká škola a.s.
Direktiva EU - Annex I
Co musí obsahovat kvalifikovaný certifikát (mj.):
označení státu a vydávajícího PCS
jméno či pseudonym podepisující strany
data pro ověření podpisu
doba platnosti: počátek a konec
zaručený elektronický podpis vydávajícího PCS
data popisující omezení využitelnosti certifikátu
Jaroslav Pinkava - prosinec 2000 26
Bankovní institut vysoká škola a.s.
Direktiva EU - Annex II
Povinnosti poskytovatele certifikačních služeb (mj).:
PCS musí prokazovat nezbytnou spolehlivost
zabezpečit funkčnost a bezpečnost svých činností
(zveřejňování certifikátů a odvolávaní certifikátů)
ověřovat (vhodnými zákonnými prostředky) identitu a
další atributy osob jimž je certifikát vydáván
zaměstnávat odpovídající personál, používat důvěryhodné
systémy a produkty, mít odpovídající finanční rezervy
archivovat všechny důležité informace
neuchovávat kopie dat pro vytváření el. podpisů
Jaroslav Pinkava - prosinec 2000 27
Bankovní institut vysoká škola a.s.
Direktiva EU - Annex III + IV
Bezpečná zařízení k vytváření elektronických podpisů
(požadavky)
Bezpečná zařízení k ověřování elektronických podpisů
(doporučení)
Jaroslav Pinkava - prosinec 2000 28
Bankovní institut vysoká škola a.s.
ČR – zákon o elektronickém podpisu
Historie:
ÚSIS
Aktivita SPIS – návrh doc. Smejkal
Rozsáhlé připomínky
Odborná skupina, Třešť
Přechod na platformu EU
Projednávání v parlamentu, některé další úpravy
Jaroslav Pinkava - prosinec 2000 29
Bankovní institut vysoká škola a.s.
Výsledná podoba zákona
Pojmově i obsahově vychází ze Směrnice
Evropské Unie
Formálně vcelku v pořádku (některé
drobnosti – pojem nástroje, zveřejňování
digit. Certifikátů atd.)
Posun oproti EU Směrnici – paragraf 11,
neakceptuje stav problematiky v ČR
Jaroslav Pinkava - prosinec 2000 30
Bankovní institut vysoká škola a.s.
Paragraf 6.j
používat bezpečné systémy a nástroje
elektronického podpisu a zajistit
dostatečnou bezpečnost postupů, které tyto
systémy a nástroje podporují. Nástroj
elektronického podpisu je bezpečný, pokud
odpovídá požadavkům stanoveným tímto
zákonem a prováděcí vyhláškou. Toto musí
být ověřeno Úřadem pro ochranu osobních
údajů (dále jen „Úřad“),
Jaroslav Pinkava - prosinec 2000 31
Bankovní institut vysoká škola a.s.
Paragraf 11
V oblasti orgánů veřejné moci je možné
používat pouze zaručené elektronické
podpisy a kvalifikované certifikáty,
vydávané akreditovanými poskytovateli
certifikačních služeb.
Jaroslav Pinkava - prosinec 2000 32
Bankovní institut vysoká škola a.s.
Chystaná vyhláška k ZoEP
www.uoou.cz
www.epodpis.cz
Zveřejněny teze vyhlášky a otevřeno
diskuzní fórum
Jaroslav Pinkava - prosinec 2000 33
Bankovní institut vysoká škola a.s.
Chystaná vyhláška k ZoEP
1. OBECNÁ USTANOVENÍ
2. POŽADAVKY NA SPRÁVU KVALIFIKOVANÝCH
CERTIFIKÁTŮ
3. DOKUMENTACE
4. ZAJIŠŤOVÁNÍ BEZPEČNOSTI
5. ZAJIŠTOVÁNÍ CERTIFIKAČNÍCH SLUŽEB
PROSTŘEDNICTVÍM SMLUVNÍCH PARTNERU
6. UKONČENÍ ČINNOSTI POSKYTOVATELE
7. NĚKTERÉ DALŠÍ POVINNOSTI POSKYTOVATELE
CERTIFIKAČNÍCH SLUŽEB
(celkem 27 paragrafů)
Jaroslav Pinkava - prosinec 2000 34
Bankovní institut vysoká škola a.s.
Problematika certifikace
podpisových prostředků
AKREDITACE: Akreditací se rozumí oficiální uznání, že
subjekt akreditace (laboratoř, certifikační orgán, inspekční orgán
nebo ověřovatel EMAS) je způsobilý provádět specifické
činnosti
CERTIFIKACE: Vydání příslušného certifikačního osvědčení na
základě provedeného vyhodnocení (evaluace) daného
(kryptografického) prostředku pověřenou institucí
EVALUACE (vyhodnocení shody): Ověření shody
deklarovaných vlastností prostředku s vlastnostmi zadanými
kriterii evaluace
VALIDACE
Ověření integrity (nenarušenosti) zprávy nebo její zvolené části
(terminologie EU)
Jaroslav Pinkava prosinec - NIST)
totéž co evaluace (terminologie -v USA2000 35
Bankovní institut vysoká škola a.s.
Metodologie evaluací.
Common Criteria
FIPS 140-1
Jaroslav Pinkava - prosinec 2000 36
Bankovní institut vysoká škola a.s.
Literatura
J. Pinkava: Elektronický podpis a Evropská
Unie, DSM 2/2000
J. Pinkava: Certifikace kryptografických
prostředků a prostředků pro elektronický
podpis, DSM 6/2000
http://crypto.aec.cz (serie článků)
http://www.mujweb.cz /veda /gcucmp
Crypto-World
Jaroslav Pinkava - prosinec 2000 37
Bankovní institut vysoká škola a.s.
Dotazy, upřesnění
?
Jaroslav Pinkava - prosinec 2000 38
Bankovní institut vysoká škola a.s.
