interval.cz

E-podpis aneb testujeme digitální certifikáty

21. 03. 2003 | Květoslav Vícha | E-komerce | Komentáře: 0

Digitální certifikáty (Microsoft je označuje ID) jsou limitující pro účinný průnik elektronické veřejné správy do různých sfér naší činnosti. Kromě jiného by měly přispět také k lepší komunikaci ve vztahu občan - úřady. Tentokrát se podíváme, jaké produkty pro elektronické podepisování některé certifikační autority nabízejí a jak se instalují.

Interval již psal o tom, jak funguje digitální podpis a co je to digitální certifikát. Pro vyzkoušení máme v současné době zhruba sedm možností. O prvních třech autoritách si povíme podrobněji, o některých dalších jen telegraficky. Nejznámější je u nás První Certifikační autorita (I. Ca), dceřinná společnost PVT, které zatím jako jediné udělil v březnu 2002 Odbor elektronického podpisu Ministerstva informatiky ČR akreditaci poskytovatele kvalifikovaných certifikátů. Statut certifikační autority získala v červenci 2002 Certifikační autorita Czechia.cz a v lednu 2003 zahájila provoz nová certifikační autorita TrustPort, která je součástí společnosti AEC Data Security Company.

První certifikační autorita (I. CA)

I.CA: Část nabídky na hlavní stránce.

I. CA poskytuje, jako akreditovaný poskytovatel podle zákona č. 227/2000 Sb. o elektronickém podpisu, takzvané kvalifikované certifikáty. (Používají například nejnovější metodu RFC 3039, která rozšiřuje RFC 2459. V profilu kvalifikovaných certifikátů jsou rovněž silné asymetrické kryptografické algoritmy RSA, DSA, ECDSA a další). Tyto produkty lze používat za roční provozní poplatek nejen ve sféře státní správy nebo financí, ale také jako osobní certifikáty pro komunikaci mezi soukromými osobami. Jelikož zvláště laická veřejnost nemá dost informací, je dobré, že i tato autorita nabízí zdarma k vyzkoušení produkt pro ověření funkce elektronického podepisování, šifrování a dešifrování zpráv. Zkušební verze má ovšem minimální bezpečnostní prvky a je vhodná pouze k seznámení a ověření funkcí.

Testovací certifikát

Přihlášení k testovacímu certifikátu I. CA a stažení potřebných souborů k provozu této ověřovací verze, je velmi jednoduché. Navíc probíhá rychle. Mně tato procedura trvala necelé dvě minuty. Nejrychlejší způsob je tento:

  • Otevřete hlavní stránku i. Ca, kde klikněte na nabídku "Žádost o vlastní certifikát". (Nebo jděte přímo na přihlašovací stránku Testovací certifikát standardní, kde aktivujte položku "Žádost o testovací certifikát".)
  • Zobrazí se vám velmi stručný formulář. Stačí vyplnit jen tři nejdůležitější kolonky (e-mailovou adresu, vaše jméno a stát). Žádná bližší data!
  • Po kliknutí na tlačítko "Odeslat" vám robot sdělí, že vaše žádost byla odeslána ke zpracování na testovací certifikační autoritu.
  • Jestliže jste uvedli správně váš e-mail, přijdou vám za několik vteřin do vašeho poštovního klienta vytvořené certifikáty (soubory typu html, der, pem, pk7 a další).
  • Přejděte do poštovního klienta, otevřete "Přílohu". Klikněte dvakrát na soubor "html" a v dialogovém okně zadejte "Otevřít".
  • Otevře se okno IE "instalace certifikátu", aktivujte tlačítko "instaluj". Příkaz se provede okamžitě a vy dostanete hlášku "Certifikát byl nainstalován".

Vadou na kráse je pouze skutečnost, že testovací certifikát má platnost čtrnáct dnů. Zkušební doba by měla být rozhodně delší.

I.CA: Ukázka www stránky - žádost o certifikát.

Placené certifikáty

Můžete se rozhodnout i pro některý z placených komerčních a kvalifikovaných certifikátů. V každém případě musí e-mailová adresa ve vašem certifikátu souhlasit s elektronickou adresou vašeho poštovního účtu. To znamená, že budete potřebovat samostatné certifikáty pro každý účet, ze kterého chcete odesílat zabezpečenou poštu.

  • Otevřete stránku Druhy certifikátů.
  • Objeví se výběr certifikátů. Na obrázku je jen část okna (bez kvalifikovaných certifikátů).
  • Pro zabezpečenou komunikaci s veřejnou správou je určen "Kvalifikovaný certifikát Standard" a rovněž "Kvalifikovaný certifikát Comfort".
  • Přihlášení k placeným certifikátům a instalace potřebného software, je náročnější s ohledem na zabezpečení ochrany dat. Počítejte s tím, že každý žadatel musí projít klasickou procedurou ověření totožnosti a vlastnoručního podpisu. To znamená, musíte se osobně dostavit na středisko PVT v místě svého bydliště.

Certifikační autorita Czechia

Od července 2002 nabízí své služby také Certifikačníí autorita Czechia, provozovatel stejnojmenného projektu. Kdo chce dokumenty e-mailové pošty podepisovat elektronickým podpisem, může požádat také tuto certifikační autoritu o vydání plnohodnotného osobního certifikátu. V loňském roce poskytovala zájemcům tento produkt zdarma na dobu šesti měsíců. Letos přišla CA Czechia.cz s atraktivní nabídkou, free certifikáty poskytuje po celý rok 2003 s platností vystaveného certifikátu na 12 měsíců.

Podrobné informace najdete na hlavní stránce v levém nabídkovém panelu. Za zajímavou pokládám možnost přesvědčit se, jak to vlastně funguje. Pomocí webového rozhraní si můžete nechat poslat ukázkový e-mail s digitálním podpisem. Podle informací z firmy je o toto zasílání ukázkových emailu poměrně velký zájem, neboť začínajícím uživatelům umožňuje poznat práci s certifikáty.

CA Czechia: Ukázka nabídky v levém sloupci hlavní www stránky.
Jak si nechat odeslat zkušební digitálně podepsaný e-mail.

Registrace

  • Nejprve klikněte v levém panelu na volbu Žádost o certifikát.
  • Na nové stránce vyberte jeden z nabízených certifikátů. Nyní se musíte přihlásit, protože ještě nejste zaregistrováni, klikněte na tlačítko "Vytvořit nový účet". Po aktivaci příslušného tlačítka vyplníte formulář, který se po napsání automaticky odešle certifikační autoritě.
  • Objeví se okamžitě stránka "Registrace" s potřebnými údaji (ID a heslo). Informační okno sdělí, že vám byl založen účet, stanete se uživatelem služby.
  • Po kliknutí na tlačítko "Pokračovat" se objeví další formulář, který vyplníte a odešlete tlačítkem Odeslat. Testovací certifikát vám bude vystaven okamžitě, osobní až po ověření totožnosti.

CA Czechia: Ukázka účtu.
Takto vypadá založený účet po registraci.

Download

  • Na svém účtu najdete seznam podaných žádostí, pokud je certifikát již vystaven, klikněte na tlačítko "Správa" vedle žádosti.
  • Na stránce "Správa certifikátu" klikněte na odkaz Nainstalovat certifikát. Takto přistoupíte k on-line instalaci certifikátu, který se přenese přímo do systému vašeho PC.
  • Pro testovací účely je třeba nainstalovat pouze hlavní certifikát "CA Czechia TEST".
  • Pro využívání osobního certifikátu musí být nainstalován hlavní kořenový certifikát "CA Czechia ROOT" a rovněž certifikát "CA Czechia". Bez těchto dvou certifikátů nebude osobní certifikát považován za důvěryhodný! Je to o několik kliknutí navíc, odměnou vám však bude operace, která trvá jen několik vteřin.

Také u tohoto certifikátu proběhne přihlášení a instalace potřebných souborů jednoduše a hlavně rychle. Pokud se rozhodnete pro testovací verzi, máte to snadné, svou identitu nemusíte nijak potvrzovat. Připomínám však opět, že certifikát tohoto druhu se hodí pouze pro komunikaci mezi známými, neboť jeho zabezpečení není zcela dokonalé.

Pokud se rozhodnete pro osobní certifikát, musíte svou registraci doložit potřebnými doklady. Z webové stránky si vytisknete smlouvu ve dvou vyhotoveních o používání osobního certifikátu. Smlouvy vlastnoručně podepíšete a na jednom stejnopise necháte na matrice potvrdit svůj podpis. Oba stejnopisy zašlete CA Czechia.cz, která vaše údaje neprodleně ověří a v případě jejich správnosti vás e-mailem uvědomí o vydání vašeho osobního certifikátu.

Certifikační autorita TrustPort

Ambiciózní českou certifikační společností je Certifikační autorita TrustPort, kterou založila počátkem roku 2003 společnost AEC Data Security Company. TrustPort navazuje na činnost předešlé firmy, která začala vydávat digitální certifikáty roku 1999. V současné době je připravena na akreditaci Úřadem pro ochranu osobních údajů. A jak je na její webové stránce vidět, má co nabídnout. Zaměřuje se na produkty pro ochranu PKi (průmyslových a bankovních systémů), přitom nezapomíná ani na široké veřejné využití certifikátů. Kromě jiného si můžete na webu TrustPort - Dohoda vygenerovat testovací verzi digitálních certifikátů "TrustPort CLASS 1", nebo testovací verzi "TrustPort SERVER ID", které jsou platné na dobu čtrnácti dnů. Ani zde si neodpustím poznámku, že zkušební doba by mohla být delší.

TrustPort: Ukázka formuláře.

Podobně jako u předešlých certifikačních autorit, je i v tomto případě zabezpečena elektronická komunikace v aplikacích Microsoft Outlook 98/2000, Outlook Express, internet Explorer a Netscape pomocí asymetrické kryptografie. Za pozornost stojí využití vlastního softwarové řešení "TrustMail", vyvinuté společností AEC (je rovněž nabízeno zdarma ke stažení). Dokáže v off-line módu šifrovat a dešifrovat soubory a podepisovat i ověřovat jejich elektronický podpis a rovněž generovat, exportovat a importovat klíčové páry. Podmínkou je ovšem používání dalšího software, a to modulů "Security", takže provoz potom bude o něco dražší. Každý komfort ovšem něco stojí.

Další CA telegraficky

Certifikační autorita Globe internet - Služby poskytuje v okruhu svých klientů na internetu společnost "CA Globe Internet". Postarala se o bezpečné a důvěryhodné prostředí v elektronické komunikaci s využitím certifikovaných digitálních podpisů v souladu s principy Zákona o elektronickém podpisu ($ 227/2000 Sb.). Otevřeně však klientům říká, že vydávané digitální certifikáty nejsou kvalifikovanými certifikáty, liší se například v ověřování identity žadatele. V rámci specifické klientely však mohou uživatelé CA Globe Internet bezpečně prokázat svoji identitu, podepisovat a šifrovat e-mailové zprávy.

Ca KPNQwest Czechia s.r.o. - Tato organizace se zabývá vydáváním a správou digitálních certifikátů pro soukromé účely i komerci. Vydávání, správa a používání certifikátů je založena na vzájemné důvěře mezi uživatelem a certifikační autoritou. Ta se řídí velmi přísnými zásadami. Zajímavou službou je přímo na webu firmy Vyhledávání vydaných certifikátů, a to podle e-mailové adresy nebo neriového čísla vydaného certifikátu.

UEP, a.s. - Firma je výhradním distributorem produktů firmy SECUDE GmbH, která má těžiště trhu v Německu, kde mimo jiné působí ve státní správě (projekt media@Komm). Dodává a implementuje také čipové karty SmartCard a terminály pro čtení čipových karet. Společnost UEP, a.s. zastupuje SECUDE na německém trhu, kde e-podpis realizuje přímo SECUDE GmbH.

SECUNET - Společnost se zabývá projekty kryptografické ochrany dat a komplexními projekty šifrování komunikace, digitálního podpisu a rovněž servisem pro certifikační autority. K nejznámějším patří produkt "SECUDE for R/3" pro bezpečné přihlášení a šifrování včetně digitálního podepisování.

Co z toho?

Hlavní výhodou digitálního podpisu (aplikovaného prostřednictvím kvalifikovaného certifikátu) je bezesporu fakt, že tento podpis je vždy jedinečný a nelze jej zkopírovat. To jej v porovnání s běžným ručním podpisem činí bezpečnějším. Už z tohoto důvodu našel široké uplatnění v celém světě a věřme, že nebudeme výjimkou. Připravenost Certifikační autority I.CA i dalších je dostatečná. Bohužel stále ještě nejsou připravené aplikace na straně institucí. Brzdu představují finance, kterých má stát pro tyto účely málo. Vypadá to tak, že čekání na "rozjezd" certifikačního systému v širším měřítku budeme muset měřit na roky, ne jen na měsíce (shodují se na tom zástupci většiny certifikačních autorit). K plošnému rozšíření u nás schází také očekávaná akreditace dalších certifikačních autorit u Úřadu pro ochranu osobních údajů. Vždyť teprve rozmanitější nabídka produktů certifikačních autorit a jejich vzájemná konkurence vzbudí u uživatelům větší zájem. Vyhoví totiž lépe jejich specifickým požadavkům i finančním možnostem.

Osobní placené certifikáty na 12 měsíců
Certifikační autorita (produkt) délka klíče cena
I. CA (komerční) 1024 bitů 540 Kč
I. CA (kvalifikovaný) 1024 bitů 700 Kč
CA Czechia.cz 1024 bitů zdarma*
TrustPort (Class2) 1024 bitů 350 Kč

* do konce roku 2003, odhadovaná cena v roce 2004 je 500 Kč


Další aktuální články na interval.cz

Tematicky související články

Dejte vědět i ostatním o článku

Diskuse (počet komentářů: 0)

Buďte prvním návštěvníkem, který přidá nový komentář.

Přidat nový komentář

Jméno a e-mail jsou nepovinné. Příspěvky obsahující odkaz jsou moderovány.

Reklama

Syndikace

hledáme nové autory | redakce interval.cz | reklama na interval.cz

© ZONER software, a.s., všechna práva vyhrazena. Hosting zajišťuje CZECHIA.COM. SSL certifikáty pro domény. Powered by WordPress.