Význam zákona o elektronickém podpisu č. 227/2000 Sb., jeho uvedení do života v celém spektru aplikací, včetně jeho dopadu na ekonomiku, by neměl být podceňován. Tento zákon otevírá cestu k informační společnosti a jeho správná implementace do naší ekonomiky v níž hrál dosud stvrzovací roli klasický podpis jedince, je nezbytná také pro naše přibližování k Evropské Unii (EU).

Asociace pro podporu podnikání intenzivně problematiku elektronického podpisu (EP) sleduje ve snaze přispět k všeobecnému přijetí tohoto nového prvku v našem ekosystému. Protože uvedení takého zákona do života není jednoduché, požádali jsme o komentář Dr. Jaroslava Hrubého, vědeckého pracovníka FzÚ AV ČR, předsedu odborné skupiny kryptologie při matematické sekci JČMF a Ing. Igora Mokoše, ředitele strategického poradenství společnosti Hewlett-Packard, k některým aspektům zavádění elektronického podpisu do praxe.

Jaký je stav zavedení elektronického podpisu do běžného života?

Dr. Hrubý: Přestože zákon o EP je v ČR již nějakou dobu v platnosti, vyhláška a nařízení vlády pro jeho realizaci nikoliv. A navíc, jak je z dostupných návrhů obou patrno, zůstává celá řada problémů nedořešených. Jednak chybí vhodné standardy, normy a doporučení, které by byly platné na území ČR, a hlavně chybí testovací a vyhodnocovací laboratoře (tj. odborně fundovaná hodnotitelská a certifikační pracoviště), a také není zatím návaznost na vyhodnocovací laboratoře v zahraničí a jejich uznávání. Není vyřešena otázka křížových certifikací a uznávání zahraničních certifikátů.

Další odbornou otázkou je neřešení časových značek (součástí klasického podpisu dokumentu je většinou i datum a u EP by to mělo být stejné), profilů kvalifikovaných certifikátů a dále nastavení požadované bezpečnostní úrovně pro různé typy certifikátů. Nejsou řešeny zatím rovněž otázky jednotné kořenové struktury v ČR, elektronických formátů a jiné, které se v EU připravují a ČR by měla být připravena je převzít.

Jak je elektronický podpis konstruován a jak je zabezpečený?

Dr. Hrubý: Systém EP je zobecněním systému tzv. digitálního podpisu. Digitální podpis využívá matematickou vlastnost tzv. asymetrických šifrových systémů. Asymetrická šifra obsahuje dva klíče, jeden klíč je určen pro zašifrování (nazývá se soukromý klíč) a jiný klíč slouží pro odšifrování (veřejný klíč). Přitom platí pravidlo, že ze znalosti veřejného klíče nelze odvodit klíč soukromý.

Zde existuje první bezpečnostní riziko na samotné úrovni složitosti matematické úlohy faktorizace, která může být principiálně řešitelná. Navíc však existuje v kvantovém počítání tzv. Shorův algoritmus, který kvadraticky urychluje vyhledávání v databázích. I když doposud technická realizace kvantového počítače operujícího s velkým počtem kvantových bitů neexistuje, je nutné i toto kvantové bezpečnostní riziko brát v úvahu již nyní. Je zřejmé, že např. akreditovaná certifikační autorita archivující dle certifikační politiky kvalifikovaný certifikát EP po dobu delší, např. dvacet let, může být v tomto časovém horizontu kompromitována, jelikož tehdy již mohou kvantové počítače prakticky existovat. "Černý pátek" pro EP a infrastrukturu založenou na šifrách s veřejným klíčem může znamenat den praktické realizace kvantového počítače.

Po tomto nástinu možného nebezpečí útoku na algoritmus vraťme se k EP a ukažme postupně další hrozby. Každá osoba, která chce používat digitální podpis si vytvoří pomocí dodaného softwaru svou vlastní dvojici klíčů - soukromý a veřejný - přičemž soukromý klíč si uloží a veřejný klíč pomocí certifikační autority zveřejní. Proces podepisování vypadá zhruba takto: podepisující osoba vezme text, který chce podepsat, zašifruje jej pomocí dodaného šifrovacího software s využitím soukromého klíče a výsledek zašifrování připojí k textu jako svůj podpis.

Osoba ověřující digitální podpis postupuje následovně - napřed si z textu zjistí jméno podepsané osoby a pomocí certifikační autority si zjistí, jaký je veřejný klíč podepsané osoby. Pomocí dodaného odšifrovacího software a prostřednictvím získaného veřejného klíče dešifruje digitální podpis (tj. text zašifrovaný pomocí soukromého klíče podepsaného) a získá tak původní tvar textu. Ten pak srovná s otevřeným textem a pokud se oba texty shodují, dojde tím jednak k potvrzení podepsané osoby (jen ten, kdo zná soukromý klíč spojený s daným veřejným klíčem, mohl vyrobit digitální podpis) a zároveň také k potvrzení původnosti textu.

Popsaný postup odpovídá reálné situaci, pouze s jednou změnou. Místo toho, aby digitální podpis vznikl zašifrováním celého textu (tím by vznikl zbytečně dlouhý digitální podpis a také jiné problémy) postupuje se jinak. K danému textu se vytvoří jeho (prakticky) jednoznačná charakteristika - tzv. kryptografický kontrolní součet, který budeme nazývat otisk textu - pomocí dodaného speciálního software a tento otisk textu bude zašifrován soukromým klíčem podepsané osoby. Výsledek bude připojen k textu jako digitální podpis. Ověřující osoba vytvoří (pomocí dodaného software) otisk otevřeného testu, pomocí veřejného klíče pak odšifruje digitální podpis a výsledek odšifrování srovná s otiskem textu. Pokud se shodují, je potvrzena jak správnost veřejného klíče (a tím i podepsané osoby), tak i správnost toho, že text nebyl změněn.

Ing. Mokoš: Tento postup má dvě slabá místa. Jednak musí existovat jednoznačná vazba mezi osobou a jejím veřejným klíčem, a to tak, že daný veřejný klíč může náležet nejvýše jedné osobě. To zaručuje certifikační autorita, která potom zaručí společně s registrační autoritou také úplnou identifikaci vlastníka klíče.

Zde si dovolujeme zdůraznit podstatný moment identifikace vlastníka v momentu jeho registrace, což by mělo být bezpečnostně ošetřeno a postup důkladně popsán v certifikační politice dané autority s důrazem na personální bezpečnost. Nejedná se zde pouze o možnost porušení zákona o ochraně osobních údajů 101/2000 Sb., ale možnost personálního selhání pracovníka a identifikace někoho jiného.

Druhým slabým místem je skutečnost, že podepsaná osoba musí dokázat udržet svůj soukromý klíč v tajnosti. Pomineme nedbalostní jednání vlastníka soukromého klíče a soustředíme se na poměrně nové a neustále zdokonalované fyzikální útoky na mikročipy. Ty jsou nedílnou součástí nejrůznějších typů tzv. chytrých karet (smart cards) a útoky na ně mohou být aktivní i pasivní s cílem zisku tajných bitů klíče, popřípadě vytvoření kopie této karty, která je pak používána bez vědomí vlastníka. Jejich aplikace na podepisovací hardware, čipové karty, SIM karty, apod. může pro uživatele EP znamenat vážné nebezpečí z hlediska zneužití EP. Jednoduchým opatřením je např. nevynášet čipovou kartu mimo chráněnou oblast (např. režimové pracoviště). To však vede ke značným omezením a ztrátu mnohých výhod plynoucích z rychlosti a okamžité dosažitelnosti elektronických informací. Je to však zcela nemožné u mobilních portálů, např. u mobilních telefonů.

Je použitý šifrovací algoritmus dostatečný?

Dr. Hrubý: Ukážeme si to na modelovém příkladu algoritmu RSA. RSA je v současné době asi nejrozšířenější algoritmus s veřejným klíčem. Lze ho použít pro šifrování i pro podpisy. Algoritmus RSA je považován za bezpečný algoritmus, přesto je zranitelný vůči některým typům útoků. Proto se musí aplikovat velmi opatrně, aby bylo možné se těmto útokům vyhnout.

Poskytovatel certifikačních služeb musí zajistit kvalitní generátory klíčů a další zabezpečení soukromého klíče, tak aby byl pod výhradní kontrolou vlastníka. Prokáže-li např. při soudním sporu v kauze s EP vlastník poskytovateli, že tomu tak nebylo, je zodpovědnost např. za zneužití EP na straně poskytovatele, v opačném případě pak na straně vlastníka.

Jako nejnebezpečnější vůči RSA se v současnosti jeví útok pomocí hrubé síly, který se stal počátkem roku 1999 reálný i pro klíče 512 bitového RSA (ty se stále pro některé komerční aplikace používají). Faktorizaci tak velkých čísel lze provést pomocí paralelního prosévacího přístroje TWINKLE (který představil prof. Adi Shamir na konferenci EUROCRYPT 1999 v Praze) a na poslední konferenci EUROCRYPT 2000 byla ukázána faktorizace 512 bitového RSA i pomocí klasických počítačů. Byl proto vysloven jednoznačný závěr, že RSA s touto délkou klíče již není bezpečná.

Vedle rizika napadení vlastního algoritmu digitálního podpisu, zůstává stále také riziko zneužití soukromého klíče nepovolanou osobou. Minimalizace tohoto rizika je především na vlastníkovi klíče, ale také na technologické úrovni autentizace vlastníka, vůči svému podepisovacímu prostředku, kde je klíč uložen. V současnosti jako nejbezpečnější se jeví spojení tzv. Trinity řešení (čipová karta, PIN, biometrika). Toto není diskuse o tzv. prezidentských atomových kufřících, ale o podepisovacím prostředku managera nebo bankéře stvrzujícího svým podpisem mnohamilionový obchod, smlouvu apod.

Můžete na několika modelových případech ukázat možné hrozící rizika v oblasti bankovnictví, elektronického obchodu a podobně?

Dr. Hrubý: V oblasti finančního sektoru a služeb nemá cenu mluvit o bezpečném elektronickém podpisu, jeho dopadu na ekonomiku, jeho zavádění do státem řízených či jiných finančních organizací jako např. MF ČR, finanční úřady, celnice, ČNB, soukromé banky, pojišťovny, pokud není v těchto organizacích dobře zpracovaná a prakticky funkční bezpečnostní předpisová základna, včetně té nové pro poskytovatele certifikačních služeb, týkající se certifikační politiky, certifikačních a registračních autorit a všeho, co s infrastrukturou uvedení zákona o EP do praxe souvisí. Rovněž tak ochrana osobních údajů ve smyslu zákona č.101/2000 Sb. a jeho důsledky pro informační systémy (IS) ve finančních institucích bez výše uvedeného je sporná. Je zřejmé, že pravděpodobnost úniku informace při nedostatcích v oblasti personální bezpečnosti je mnohonásobně vyšší, než její únik např. při kryptoanalytickém útoku na IS.

Aby hrozící rizika byla snížena na minimum, musí uvedení zákona o elektronickém podpisu do praxe nutně vést ke zvýšení celkového zabezpečení informačních systémů v ČR, a to ve všech organizacích (státních i soukromých).

Mimochodem na konferenci Fast Software Encryption Workshop 2000 publikoval Adi Shamir, Alex Biryukov a David Wagner nový útok na silnější verzi šifrového algoritmu, který se používá ve 130 milionech GSM mobilních telefonů, včetně ČR. Tato informace dává jednoznačný signál, že telekomunikační bezpečnost GSM je možná ohrožena. Uživatelé této služby by měli být o těchto rizicích informováni.

S EP se může rozvíjet také zcela nový typ kriminality, obdobné té s klasickým podpisem, což bude doménou soudních znalců v této oblasti - ale to je již jiná kapitola.