Stále rubriky

IBM: Elektronické podpisovanie dokumentov

19. 07. 2006 | 2/2005 | Comments [0]

Najväčší a nezastupiteľný význam elektronického podpisu však spočíva v nepopierateľnosti - náhrade vlastnoručného podpisu v elektronickom styku.

Elektronické podpisovanie dokumentovPotreba vzniku elektronického podpisu vyplynula z postupnej elektronizácie spoločnosti, keď veľké množstvo agendy firiem, štátnej a verejnej správy sa postupne presúva do elektronickej podoby. Elektronický podpis vsúčasnosti pokrýva rôzne bezpečnostné požiadavky, napr. autentifikáciu, integritu údajov, sledovateľnosť. Elektronický podpis je však veľmi široký pojem. V nasledujúcich riadkoch sa budeme zaoberať len elektronickými podpismi dokumentov, ktoré sa vytvárajú s pomocou X.509 certifikátov, ako ich definuje technický štandard RFC 3280. Nebude sa zaoberať elektronickými podpismi, ktoré sa vytvárajú pomocou PGP certifikátov podľa štandardu RFC 1991. Prečo elektronický podpisNajväčší anezastupiteľný význam elektronického podpisu však spočíva vnepopierateľnosti – náhrade vlastnoručného podpisu v elektronickom styku. Ak používateľ vytvorí elektronický podpis dokumentu, nemôže v budúcnosti poprieť, že to vytvoril on. Na dosiahnutie nepopierateľnosti treba dodržať ďalšie podmienky – základnou je, aby jediným vlastníkom certifikátu a príslušného podpisovacieho kľúča bol určitý konkrétny používateľ. Potom možno dosiahnuť tzv. nepopierateľnosť pôvodu vytvorenia. Ak elektronický podpis obsahuje aj tzv. časovú pečiatku (ide takisto o elektronický podpis, ktorý je však vytvorený nezávislou treťou stranou a obsahuje aktuálny čas), možno dosiahnuť aj nepopierateľnosť času vytvorenia. S týmito dvoma atribútmi vieme, ak si budeme bezpečne uchovávať všetky elektronické podpisy, KTO vykonal danú akciu a KEDY (napr. podal daňové priznanie, schválil faktúru, atď.). Tieto dva atribúty („kto“ a „kedy“) vytvorili z elektronického podpisu dostatočne silnú technológiu na to, aby sa uvažovalo o náhrade vlastnoručného podpisu elektronickým podpisom. Stýmto cieľom vydal Európsky parlament a Rada EÚ Smernicu 1999/93/ES (13. decembra 1999), ktorou stanovuje (okrem iného) členským štátom, aby zabezpečili podmienky na vytváranie takých elektronických podpisov, ktoré by boli ekvivalentom vlastnoručných podpisov. Podľa našej legislatívy (Zákon č.215/2002 Z. z.) sa takýto podpis nazýva „zaručeným elektronickým podpisom“. Elektronický podpis a zaručený elektronický podpisAk organizácia cíti potrebu zvýšiť bezpečnosť svojich aplikácii o atribút nepopierateľnosti (či už s časovou pečiatkou alebo bez), musí zabezpečiť viacero podmienok. Vnasledujúcej tabuľke je stručný popis niektorých znich vzávislosti od toho, či organizácia bude používať ZEP alebo bežný EP.

	Bežný elektronický podpis	Zaručený elektronický podpis
Aplikácia	EP vytvára a overuje aplikácia, na ktorú sa nekladú žiadne špeciálne bezpečnostné a funkčné požiadavky. Aplikáciu netreba certifikovať ani pravidelne auditovať.	ZEP vytvára a overuje aplikácia, ktorá musí spĺňať funkčné a bezpečnostné kritériá stanovené slovenskou legislatívou a Národným bezpečnostným úradom. Aplikáciu na vytvorenie a overenie ZEP treba certifikovať, pričom certifikáciu zabezpečuje NBÚ. Certifikácia aplikácie ZEP je formalizovaný a pomerne jasný proces. Jeho súčasťou je audit aplikácie nezávislým audítorom. Proces certifikácie zvyšuje dôveryhodnosť aplikácie ZEP a zavádza štandardy pre formát zaručeného elektronického podpisu.
Požiadavky na prostredie	Bezpečnostné a funkčné požiadavky na prostredie, v ktorom aplikácia beží definuje výrobca aplikácie v závislosti od predpokladanej úrovne bezpečnosti, ktorá sa môže od prípadu k prípadu líšiť (napr. potreba používania/nepoužívania čipových kariet na uloženie súkromného kľúča, atď).	Na vytvorenie ZEP však nestačí len samotná certifikovaná aplikácia, funkčné a najmä bezpečnostné požiadavky sa dotýkajú celého prostredia (zariadenie na vytvorenie el. podpisu, operačný systém, podporn aplikácie na zvýšenie bezpečnosti počítača (napr. antivírus, firewall), fyzický prístup k počítaču, atď), čo podstatne zvyšuje prvotné a prevádzkové náklady.
Certifikáty	Na vytvorenie a overenie EP musí existovať certifikát vydaný certifikačnou autoritou na verejný kľúč zodpovedajúci súkromnému kľúču, pomocou ktorého sa EP vytvoril.	Na vytvorenie a overenie ZEP musí existovať kvalifikovaný certifikát vydaný Akreditovanou certifikačnou autoritou (ACA) vzmysle zákona č. 215/2002 Z. z. Činnosť ACA, proces akreditácie, ako aj ďalšie aspekty spojené s vydávaním kvalifikovaných certifikátov upravuje Zákon o elektronickom podpise 215/2002 Z. z. Zoznam akreditovaných CA je na stránkach NBÚ (www.nbusr.sk).
Bezpečnostná aprevádzková dokumentácia	Úroveň arozsah dokumentácie pre uzatvorené systémy sa môže vjednotlivých prípadoch dosť líšiť. Organizáciu zväčša stojí veľké úsilie vytvoriť primeranú dokumentáciu popisujúcu technické anetechnické aspekty vytvárania aoverovania elektronického podpisu.	Vo všeobecnosti úroveň dokumentácie pre aplikácie ZEP ovplyvňuje nezávislý audítor a Národný bezpečnostný úrad, pretože zhodnotenie dokumentácie je súčasťou certifikačného procesu aplikácie ZEP. Preto je pravdepodobné, že úroveň dokumentácie aplikácií ZEP je približne rovnaká.Pre aplikácie na vytvorenie aoverenie ZEP na niektoré typy dokumentov už existujú, aplikácia sa im musí prispôsobiť (napr. formáty ZEP, podpisové politiky pre ZEP). Tieto dokumenty vydáva aaktualizuje Národný bezpečnostný úrad.

Čo ponúka IBM IBM Slovensko má voblasti implementácie elektronického podpisu bohaté skúsenosti. Medzi ponúkané služby aprodukty patrí aplikácia Sign Tools na vytvorenie a overenie zaručeného elektronického podpisu (ZEP) v zmysle zákona o elektronickom podpise 215/2004 Z. z. a knižnice alebo hotová aplikácia na vytvorenie a overenie elektronického podpisu prispôsobené potrebám zákazníka. Knižnice, resp. aplikácie môžu byť prispôsobené potrebám zákazníka z pohľadu funkčnosti (spôsob vytvárania elektronického podpisu, čo všetko sa má overovať pri podpise), formátu elektronického podpisu (okrem XML napr. aj PKCS#7), prostredia (Java, C++, Lotus Notes), atď. Ďalšou službou je analýza, návrh a implementácia systému využívajúceho elektronický podpis a princípy Public Key Infrastructure (PKI). Aplikácia Sign ToolsSign Tools je Java aplikácia bežiaca v prostredí Windows 2000 a Windows XP. Jadrom aplikácie je Java aplet, ktorý umožňuje vytvorenie zaručeného elektronického podpisu a overenie zaručeného elektronického podpisu podľa platnej slovenskej legislatívy. Aplikácia pracuje s dokumentmi vo formáte XML a XHTML. Výsledný zaručený elektronický podpis vytvára a overuje vo formáte XML. Aplikácia Sign Tools dostala certifikát bezpečnostného produktu pre ZEP od Národného bezpečnostného úradu s číslom 963/2005/IBEP-010 (pozri http://www.nbusr.sk/NBU_SEP/certifikaty/37.jpg), čo je podmienkou jej využita na vytvorenie a overenie zaručeného elektronického podpisu v zmysle platnej slovenskej legislatívy. Certifikácia bezpečnostného produktu pre ZEP je proces, vktorého rámci sa overuje úroveň bezpečnosti aplikácie a ďalšie technické parametre predpísané NBÚ. Z tohto dôvodu (štandardizácia, garantovaná vysoká úroveň bezpečnosti) môže byť aplikácia Sign Tools užitočná aj v oblastiach, kde sa nevyhnutnosť používania ZEP nepredpisuje legislatívou. Knižnice, aplikácie a princípy PKIVoblasti implementácie elektronického podpisu poskytuje IBM ďalšie aplikácie a knižnice pre prácu s elektronickým podpisom, ktoré môžu byť prispôsobené potrebám zákazníka z pohľadu funkčnosti (spôsob vytvárania elektronického podpisu, čo všetko sa má overovať pri podpise), formátu elektronického podpisu (okrem XML napr. aj PKCS#7), prostredia (Java, C++, Lotus Notes), atď. IBM Slovensko ponúka: * knižnice (*.dll alebo *.jar) na elektronický podpis, ktoré môžu byť zahrnuté do koncovej aplikácie, * knižnice + demo aplikáciu, ktorá predvedie použitie dodaných knižníc, * knižnice + kompletnú PKI aplikáciu, využívajúcu elektronický podpis. Služby na implementáciu systému V prípade, že sa zákazník rozhodne implementovať alebo nasadiť systém využívajúci princípy PKI a elektronického podpisu, IBM môže poskytnúť skúsených odborníkov vo všetkých etapách vývoja. Ide o analýzu možného nasadenia elektronického podpisu a ďalších funkcií spojených s certifikátmi X.509 v prostredí zákazníka, ďalej o zhodnotenie možností nasadenia elektronického podpisu a návrh riešenia využívajúceho elektronický alebo zaručený elektronický podpis anapokon o, implementáciu riešenia zameranú na funkcionalitu vytvárania a overovania elektronického alebo zaručeného elektronického podpisu ako aj ďalších funkcií spojených s certifikátmi X.509 (napr. šifrovanie a dešifrovanie dokumentov pomocou asymetrickej šifry). Možnosti využitia EP a ZEPElektronický podpis (tzv. „bežný“) sa využíva najmä v uzatvorených systémoch. Uzatvorený systém môžeme chápať ako systém, v ktorom sú aktéri (ten, kto podpisuje aj ten, kto overuje) vopred známi. Zvyčajne existuje medzi nimi právny vzťah uzatvorený formou zmluvy. Medzi najčastejšie uzatvorené systémy využívajúce elektronický podpis patria e-Banking aplikácie, správa a obeh dokumentov vrámci organizácie, informačné systémy vzdravotníctve.Zaručený elektronický podpis sa využíva najmä v otvorených systémoch, hoci môže byť výhodné využitie aj v uzatvorených systémoch. Otvorené systémy zväčša chápeme ako systémy, v ktorom aktéri nie sú vopred známi. Bežným príkladom otvorených systémov sú tie, ktoré zabezpečujú komunikáciu medzi občanmi a štátnou resp. verejnou správou, napr. elektronická podateľňa. Zaručený elektronický podpis predstavuje drahšie riešenie (vo všeobecnosti predpokladáme vyššie prvotné aj prevádzkové náklady). Pre klientov však môže predstavovať výhody štandardizovaného riešenia, ktorého úroveň (z pohľadu bezpečnosti, funkčnosti aďalších technologických aspektov) je hodnotená nezávisle audítorom aNárodným bezpečnostným úradom.