Nedávno schválený Zákon o elektronickém podpisu určuje a legalizuje cestu k řešení bezpečné elektronické komunikace - digitální podpis. A nejen to, dokonce ve vyjmenovaných případech staví elektronický dokument opatřený bezpečnostními atributy na stejnou úroveň jako podepsaný papírový dokument. Nezbytnou podmínkou pro používání digitálního podpisu je ale certifikát vydaný důvěryhodnou certifikační autoritou. Kde ale takovou certifikační autoritu vzít? Jak vůbec získání certifikátu funguje? Na tyto otázky už není nutno odpovídat krčením ramen, protože při příležitosti veletrhu Invex představily české veřejnosti hned dvě společnosti služby certifikační autority. Jedná se o společnosti KPNQwest a PVT (ta svoji službu provozuje již relativně dlouho), jejichž služby vám v tomto článku představíme. Nejdříve si ale stručně vysvětleme úkoly certifikační autority v procesu vytváření a používání elektronického podpisu.

Certifikační autorita
Certifikační autorita v bezpečné komunikaci vystupuje jako třetí nezávislý a důvěryhodný subjekt. Zabývá se vydáváním, správou a distribucí klientských, serverových nebo testovacích digitálních certifikátů potvrzujících, že daný subjekt či server je skutečně tím, za co se vydává.

Řešení certifikační autority nespočívá pouze ve vlastní technologii, ale rovněž v legislativních, procesních otázkách. Fungování certifikační autority musí probíhat v souladu se Zákonem o elektronickém podpisu, Zákonem o ochraně osobních údajů a vyhláškami o bezpečnosti a bezpečnosti informačních systémů.

Certifikát
Certifikát je jakýmsi elektronickým průkazem totožnosti. Certifikáty obsahují ve své nejjednodušší formě veřejný elektronický klíč, jméno a další údaje zajišťující nezaměnitelnost subjektů. Běžně používané certifikáty též obsahují datum počátku platnosti, datum ukončení platnosti, jméno certifikační autority, která certifikát vydala, sériové číslo a některé další informace.

Digitální certifikáty mají řadu možností uplatnění. V první řadě stvrzují totožnost subjektu či serveru. Další hojně užívanou funkcí je možnost podepisování (autentizace) elektronických zpráv, případně datové komunikace mezi klientem a serverem. Mezi jejich funkce patří rovněž zajištění důvěryhodnosti a integrity (neporušenosti) dat, přesné určení odesílatele a potvrzení o přijetí zprávy. To představuje bezpečný příjem i odesílání dat s maximálním snížením rizika "odposlechnutí" a úprav dat při přenosu.

Certifikační autorita - KPNQwest
Společnost KPNQwest Czechia zahájila veřejný provoz své služby certifikační autority v době konání veletrhu Invex 2000. Řešení KPNQwest Czechia je zajímavé tím, že do procesu vydání certifikátu integruje služby notáře k ověření souladu mezi skutečnou a virtuání totožností žadatelů o vydání digitálního certifikátu. Institut notáře je již v našem právu dostatečně zažitý a široce používaný. Požádat o vydání certifikátu se díky tomu stává snadnější a navíc pro veřejnost skutečně důvěryhodné.
Postup vydání certifikátu má tyto fáze:

· Vyplnění formuláře a vygenerování dvojice klíčů
· Odeslání formuláře spolu s veřejným klíčem k podpisu do CA
· Zpracování žádosti v CA za přísných bezpečnostních a procesních pravidel
· Zaslání podepsaného veřejného klíče, tedy certifikátu, zpět zákazníkovi

Co v praxi představují jednotlivé fáze?

Vyplnění formuláře a vygenerování dvojice klíčů
Zákazník se prostřednictvím internetového prohlížeče připojí na stránky CA KPNQwest Czechia, zabezpečené protokolem SSL. Certifikát pro tento server je podepsán kořenovým certifikátem EUnet International (nyní KPNQwest), který je do produktu Microsoft Internet Exploreru od verze 5.01 zařazen do seznamu

Důvěryhodných certifikačních autorit (Trusted Certification Authorities). Server tedy nebude zobrazovat žádné bezpečnostní problémy. Pokud se bude používat jiný prohlížeč, je třeba si tento certifikát nainstalovat do důvěryhodných certifikačních autorit z hlavní stránky certifikační autority. Jeho autenticitu lze ověřit např. porovnáním s jeho veřejně známou podobou (tiskoviny, více důvěryhodných míst na Internetu).

Pokud tedy máme nainstalován kořenový certifikát, můžeme si ověřit, že komunikujeme opravdu se serverem CA KPNQwest, a zároveň si můžeme být jisti, že naše komunikace je šifrována, tudíž bezpečná.

Vlastní generování páru klíčů se provádí na počítači žadatele, a je možné (z hlediska bezpečnosti dokonce doporučené) vygenerovat tyto klíče na čipovou kartu. Ta je klíče schopna ochránit v daleko větší míře, než když jsou uloženy na disku počítače. Z tohoto také plyne, že soukromá část klíče nikdy neprochází přes Internet, tudíž nemůže být jeho odposlechem zachycena. Veřejnou část si lze v této chvíli vytisknout a uschovat pro ověření.

Odeslání formuláře k podpisu do CA
Odeslání vyplněného formuláře se provádí opět přes SSL zabezpečený kanál. S formulářem se posílá pouze veřejná část klíče. Toto má tu výhodu, že i kdyby, velmi nepravděpodobně, došlo k jejímu odchycení, a nahrazení cizími daty, tato manipulace vyjde na povrch ještě před podepsáním tohoto klíče ze strany CA KPNQwest Czechia. Zákazníkovi je totiž zasílána smlouva, v níž je tento klíč vytištěn. Zákazník jej pak porovná s tím, co si vytiskl dříve, a může odhalit případné manipulace.

Zpracování žádosti v CA
Každá akce, která se v systému CA stane, je protokolována a zároveň musí být podepsána certifikátem patřícím jedné konkrétní osobě. Za každou akci je tak někdo osobně zodpovědný. Procesy fungování CA KPNQwest Czechia a vlastní fyzické řešení jsou zvoleny tak, aby v budoucnu tato CA prošla bezpečnostním auditem NBÚ.

Zaslání podepsaného veřejného klíče zpět
Ve chvíli, kdy je prokazatelně správný veřejný klíč podepsán CA KPNQwest Czechia, stává se z něj certifikát, neboť CA k němu přidává informace o jeho vlastníkovi, které lze považovat za zaručené.

Takovýto certifikát je pak běžně zařazen v databázi vydaných certifikátů, a kdokoliv si může na webu CA ověřit jeho správnost a platnost. Z důvodu naprosté veřejnosti certifikátu lze tento zákazníkovi poslat třeba i nezabezpečeným mailem. Použít jej může totiž jen ten, kdo k němu vlastní soukromý klíč.

Z tohoto důvodu je tato část celého procesu vydání certifikátu víceméně nezranitelná.

Integrace notářů do procesu vydání certifikátu
Proces vydání certifikátu CA KPNQwest Czechia a integrace notářů do tohoto procesu jsou zřejmé ze schématu.

Certifikační autorita - PVT
Společnost PVT vytvořila produkt I. Certifikační autorita (dále jen I.CA), který zajišťuje vydávání certifikátů jak pro firemní klientelu, tak pro širokou veřejnost. I.CA za dobu své působnosti vydala již více než 80 000 certifikátů.

Pro zajištění realizace požadavků svých klientů provozuje infrastrukturu tzv. registračních autorit. Tyto pracoviště zajišťují komunikaci s klienty (na rozdíl od korespondenční formy komunikace u CA KPNQwest). V současnosti jich spravuje PVT více než 200 po celém území České republiky.

Funkce řešení
I. CA vydává certifikáty v několika druzích:

· testovací certifikát - je určen pro ověření funkčnosti řešení, standardní doba platnosti je 14 dní, je vydáván zdarma.
· osobní certifikát - je určen pro bezpečnou komunikaci subjektů (fyzické, právnické osoby), doba platnosti certifikátu je 6 měsíců.
· certifikát pro server - je určen pro komunikaci se servery

V souvislosti se službami certifikační autority poskytuje PVT následující služby registrační autority:

· Výjezd mobilní registrační autority - představuje výjezd pracovníků se speciálně upravenou aplikací a hardware, která umožňuje jednorázové vydání většího počtu certifikátu v klientem požadovaném místě.
· Klientská registrační autorita - představuje zřízení pracoviště registrační autority v místě jím určeném. Tato registrační autorita je klientem následně spravována a on má takto možnost vydávat libovolné množství certifikátů prostřednictvím tohoto pracoviště.
· Veřejná registrační autorita - představuje pracoviště registrační autority zřízené na Střediscích služeb PVT, a.s. určeném pro širokou veřejnost.

Tvorba a životnost certifikátů
Tvorba certifikátu v I. CA má 6 kroků:

· Generování klíčů. Každý potenciální žadatel o certifikát si nejprve sám pomocí dostupného SW vybavení vygeneruje dvojici klíčů pro použití v asymetrické kryptografii.
· Příprava identifikačních dat. Žadatel o certifikát shromáždí podle požadavků certifikační autority osobní identifikační materiály nutné pro vydání certifikátu, jako IČO, DIČO, resp. číslo OP, rodné číslo a podobně.
· Předání veřejných klíčů a identifikačních údajů certifikační autoritě. Žadatel předá certifikační autoritě data nutná pro vydání certifikátu spolu s doklady o jejich pravosti.
· Ověření informací. Certifikační autorita si na příslušných místech ověří, že může vydat žadateli certifikát.
· Tvorba certifikátu. Certifikační autorita vytvoří digitální dokument příslušného formátu a ten poté podepíše svým privátním klíčem.
· Předání certifikátu. Podle dohody je certifikát žadateli předán (disketa), zaslán, nebo zveřejněn.

Doba platnosti certifikátů je omezená a je uvedena v každém certifikátu. Tato veličina je velmi důležitá. Pokrok ve zvyšování výkonnosti výpočetní techniky a možnost objevení mezer v protokolech nebo algoritmech by ve velkém časovém horizontu mohl způsobit, že by se certifikáty staly nespolehlivé.

Běžné certifikáty jsou proto vydávány s platností 6 měsíců, nejvíce 1 rok.

I během této doby je možné zrušit platnost certifikátu. Důvodem pro toto opatření může být například vyzrazení privátního klíče.

Zrušený certifikát je zařazen do seznamu zneplatněných certifikátů (CRL). Seznam zneplatněných certifikátů je tedy jakási černá listina, na které jsou uvedeny neplatné certifikáty, jejichž doba platnosti ještě nevypršela Tento seznam je obdobou případu seznamu zrušených kreditních karet. Banka nemůže donutit klienta, aby neužíval svou kreditní kartu, stejně jako certifikační autorita nemůže zabránit klientovi v užívání certifikátu. Při každé transakci pomocí certifikátů je možné si pomocí této listiny certifikát ověřit..

Seznam zneplatněných certifikátů je veřejná listina podepsaná certifikační autoritou a chráněná tedy stejně jako certifikát.

Základní parametry řešení
Celé řešení I. CA zahrnuje:

· Jádro systému Certifikační autorita - zajišťuje veškeré funkce spojené s vlastním vydáním certifikátů, uložením certifikátů, správou apod.
· Webové rozhraní pro klienty CA - poskytuje veřejnosti možnost připravit si žádost o testovací certifikát, osobní certifikát nebo certifikát pro server, vyhledávat v seznamu veřejných certifikátů, vyhledávat v seznamu zneplatněných certifikátů
· Aplikace Registrační autorita - jejím prostřednictvím je zajišťován kontakt s klienty, tedy především přijímání žádostí o certifikát a vydání certifikátu

Využití
Certifikáty vydávané I. CA jsou podobně jako certifikáty CA KPNQwest použitelné především v těchto řešeních:

· Bezpečná komunikace po nechráněných sítích - s využitím standardních e-mailových klientů lze jednoduchým způsobem s využitím certifikátů I.CA zajistit bezpečnou komunikaci (digitální podpis, zašifrování) mezi libovolnou skupinou uživatelů.
· Obchodování prostřednictvím Internetu - zajištění jednoznačné identifikace obchodujících zákazníků.
· Zajištění bezpečného přístupu na www servery - prostřednictvím certifikátů lze zajistit bezpečný přístup v několika úrovních: anonymní přístup, přístup s certifikátem vydaným I.CA nebo přístup s konkrétním certifikátem dané osoby.
· Komplexní řešení IS s využitím bezpečné komunikace na bázi internetových technologií.