IBM: Elektronické podpisovanie dokumentov
Najväčší a nezastupiteľný význam elektronického podpisu však spočíva v nepopierateľnosti - náhrade vlastnoručného podpisu v elektronickom styku.
Elektronické podpisovanie dokumentovPotreba vzniku elektronického podpisu vyplynula z postupnej elektronizácie spoločnosti, keď veľké množstvo agendy firiem, štátnej a verejnej správy sa postupne presúva do elektronickej podoby. Elektronický podpis vsúčasnosti pokrýva rôzne bezpečnostné požiadavky, napr. autentifikáciu, integritu údajov, sledovateľnosť. Elektronický podpis je však veľmi široký pojem. V nasledujúcich riadkoch sa budeme zaoberať len elektronickými podpismi dokumentov, ktoré sa vytvárajú s pomocou X.509 certifikátov, ako ich definuje technický štandard RFC 3280. Nebude sa zaoberať elektronickými podpismi, ktoré sa vytvárajú pomocou PGP certifikátov podľa štandardu RFC 1991. Prečo elektronický podpisNajväčší anezastupiteľný význam elektronického podpisu však spočíva vnepopierateľnosti – náhrade vlastnoručného podpisu v elektronickom styku. Ak používateľ vytvorí elektronický podpis dokumentu, nemôže v budúcnosti poprieť, že to vytvoril on. Na dosiahnutie nepopierateľnosti treba dodržať ďalšie podmienky – základnou je, aby jediným vlastníkom certifikátu a príslušného podpisovacieho kľúča bol určitý konkrétny používateľ. Potom možno dosiahnuť tzv. nepopierateľnosť pôvodu vytvorenia. Ak elektronický podpis obsahuje aj tzv. časovú pečiatku (ide takisto o elektronický podpis, ktorý je však vytvorený nezávislou treťou stranou a obsahuje aktuálny čas), možno dosiahnuť aj nepopierateľnosť času vytvorenia. S týmito dvoma atribútmi vieme, ak si budeme bezpečne uchovávať všetky elektronické podpisy, KTO vykonal danú akciu a KEDY (napr. podal daňové priznanie, schválil faktúru, atď.). Tieto dva atribúty („kto“ a „kedy“) vytvorili z elektronického podpisu dostatočne silnú technológiu na to, aby sa uvažovalo o náhrade vlastnoručného podpisu elektronickým podpisom. Stýmto cieľom vydal Európsky parlament a Rada EÚ Smernicu 1999/93/ES (13. decembra 1999), ktorou stanovuje (okrem iného) členským štátom, aby zabezpečili podmienky na vytváranie takých elektronických podpisov, ktoré by boli ekvivalentom vlastnoručných podpisov. Podľa našej legislatívy (Zákon č.215/2002 Z. z.) sa takýto podpis nazýva „zaručeným elektronickým podpisom“. Elektronický podpis a zaručený elektronický podpisAk organizácia cíti potrebu zvýšiť bezpečnosť svojich aplikácii o atribút nepopierateľnosti (či už s časovou pečiatkou alebo bez), musí zabezpečiť viacero podmienok. Vnasledujúcej tabuľke je stručný popis niektorých znich vzávislosti od toho, či organizácia bude používať ZEP alebo bežný EP.
Bežný elektronický podpis | Zaručený elektronický podpis | |
Aplikácia | EP vytvára a overuje aplikácia, na ktorú sa nekladú žiadne špeciálne bezpečnostné a funkčné požiadavky. Aplikáciu netreba certifikovať ani pravidelne auditovať. | ZEP vytvára a overuje aplikácia, ktorá musí spĺňať funkčné a bezpečnostné kritériá stanovené slovenskou legislatívou a Národným bezpečnostným úradom. Aplikáciu na vytvorenie a overenie ZEP treba certifikovať, pričom certifikáciu zabezpečuje NBÚ. Certifikácia aplikácie ZEP je formalizovaný a pomerne jasný proces. Jeho súčasťou je audit aplikácie nezávislým audítorom. Proces certifikácie zvyšuje dôveryhodnosť aplikácie ZEP a zavádza štandardy pre formát zaručeného elektronického podpisu. |
Požiadavky na prostredie | Bezpečnostné a funkčné požiadavky na prostredie, v ktorom aplikácia beží definuje výrobca aplikácie v závislosti od predpokladanej úrovne bezpečnosti, ktorá sa môže od prípadu k prípadu líšiť (napr. potreba používania/nepoužívania čipových kariet na uloženie súkromného kľúča, atď). | Na vytvorenie ZEP však nestačí len samotná certifikovaná aplikácia, funkčné a najmä bezpečnostné požiadavky sa dotýkajú celého prostredia (zariadenie na vytvorenie el. podpisu, operačný systém, podporn aplikácie na zvýšenie bezpečnosti počítača (napr. antivírus, firewall), fyzický prístup k počítaču, atď), čo podstatne zvyšuje prvotné a prevádzkové náklady. |
Certifikáty | Na vytvorenie a overenie EP musí existovať certifikát vydaný certifikačnou autoritou na verejný kľúč zodpovedajúci súkromnému kľúču, pomocou ktorého sa EP vytvoril. | Na vytvorenie a overenie ZEP musí existovať kvalifikovaný certifikát vydaný Akreditovanou certifikačnou autoritou (ACA) vzmysle zákona č. 215/2002 Z. z. Činnosť ACA, proces akreditácie, ako aj ďalšie aspekty spojené s vydávaním kvalifikovaných certifikátov upravuje Zákon o elektronickom podpise 215/2002 Z. z. Zoznam akreditovaných CA je na stránkach NBÚ (www.nbusr.sk). |
Bezpečnostná aprevádzková dokumentácia | Úroveň arozsah dokumentácie pre uzatvorené systémy sa môže vjednotlivých prípadoch dosť líšiť. Organizáciu zväčša stojí veľké úsilie vytvoriť primeranú dokumentáciu popisujúcu technické anetechnické aspekty vytvárania aoverovania elektronického podpisu. | Vo všeobecnosti úroveň dokumentácie pre aplikácie ZEP ovplyvňuje nezávislý audítor a Národný bezpečnostný úrad, pretože zhodnotenie dokumentácie je súčasťou certifikačného procesu aplikácie ZEP. Preto je pravdepodobné, že úroveň dokumentácie aplikácií ZEP je približne rovnaká.Pre aplikácie na vytvorenie aoverenie ZEP na niektoré typy dokumentov už existujú, aplikácia sa im musí prispôsobiť (napr. formáty ZEP, podpisové politiky pre ZEP). Tieto dokumenty vydáva aaktualizuje Národný bezpečnostný úrad. |
Write review