Vláda na svojom zasadnutí nedávno schválila novelu zákona o elektronickom podpise. Keď sa spýtate ľudí, čo je to elektronický podpis, väčšina povie, že ide o elektronicky spracovaný podpis rukou. Mnoho takýchto predstáv vzniká z nevedomosti. Odpradávna ľudia uzatvárajú dohody, prenášajú určité správy, vymieňajú si dokumenty. V uzatvorenej malej komunite bola pravosť týchto aktov nepopierateľná. S rastúcim technickým pokrokom a so „zväčšovaním sveta“ sa však zvyšovali aj nároky na overenie totožnosti osoby (občiansky preukaz), pravosti dokumentov (podpis) či elektronických dokumentov (elektronický podpis). Cieľom elektronického podpisu je nahradiť podpis vlastnoručný, prípadne zaručiť autentifikáciu dokumentu alebo jeho zašifrovanie. O tom, či je to bezpečné, sa vedú rôzne diskusie, no všeobecne platí, že čas potrebný na prelomenie kľúča by mal byť omnoho dlhší ako jeho platnosť. Teda istá miera bezpečnosti je priamo zaručená v podstate pre celý systém. Certifikačná autorita Keď vznikala myšlienka elektronického podpisu, múdri ľudia rozmýšľali aj nad tým, ako zamedziť falšovaniu a zároveň vytvoriť spoľahlivý a jednoduchý systém. Dnes je veľmi aktuálny problém phishingu, keď podvodníci najčastejšie pomocou mailov prilákajú svoje obete na svoje stránky, kde ľahko získajú prihlasovacie údaje k rôznym službám (napr. internetbanking). Ak by bol tento mail elektronicky podpísaný, nebolo by pochýb, kto je jeho autorom. Lenže aj tu môžu nastať problémy. Ako môžeme veriť tomu, že ten podpis je pravý? Odpoveď dáva inštitúcia, ktorá pre daného človeka vytvorila kľúč, ktorým sa dokument podpisuje. Táto inštitúcia sa nazýva certifikačná autorita (CA). Je to spoločnosť, ktorá spĺňa presne stanovené normy a postupuje podľa nich pri vydávaní kľúčov. Existencia CA zvyšuje dôveryhodnosť podpísaného dokumentu. Adresát tak nadobudne odôvodnený pocit, že dokument je naozaj pravý. Certifikačná autorita vytvára privátny kľúč, verejný kľúč, certifikáty a stará sa o mnoho ďalších vecí. CA je organizácia, ktorá pri splnení bezpečnostných predpisov uchováva a archivuje privátne kľúče a zabezpečuje overovanie verejných kľúčov. Privátny a verejný kľúč tvoria neoddeliteľnú dvojicu, sú na seba naviazané. Podpisovanie dokumentov sa uskutočňuje pomocou privátneho kľúča. Na overenie slúži certifikát. Certifikát je verejný kľúč podpisovateľa podpísaný privátnym kľúčom certifikačnej autority. Tým je zaručená jeho pravosť – zvyčajne ju možno overiť aj na internetových stránkach príslušnej certifikačnej autority. Infraštruktúra verejného kľúča (PKI) PKI je štruktúra, ktorá má stromový charakter. Koreňom celého stromu je koreňová certifikačná autorita (KCA). U nás túto úlohu zastáva Národný bezpečnostný úrad. Táto hierarchická štruktúra zaručuje, že všetky certifikáty na nižšej úrovni (K1, K2,… a ACA1, ACA2,…) sú pravé vtedy, keď používateľ uzná pravosť KCA. Ak je touto autoritou štát, pravosť je nespochybniteľná. Nič však nebráni uznať pravosť aj inej CA. Je to vždy otázka zmluvných vzťahov medzi používateľmi. Treba však brať do úvahy prípady, keď sám štát vstupuje do takýchto vzťahov a ten často implicitne uznáva iba jedinú garantovanú autoritu (NBÚ SR). Samozrejme, uznáva v istých prípadoch aj iné, ale vždy si ponecháva právomoc vykonávať kontrolu ich činnosti. Každý certifikát je vytvorený podpísaním verejného kľúča majiteľa certifikátu pomocou súkromného kľúča nadradenej certifikačnej autority. KCA má vytvorený svoj vlastný koreňový certifikát. Ten je odlišný od ostatných v tom, že aj položka vydavateľa aj držiteľa sú rovnaké, teda je self-signed (podpísaný sám sebou). Presvedčiť sa o tom dá konkrétne na NBÚ. Sú tam dva koreňové certifikáty. To znamená, že sú vytvorené dva certifikačné stromy. Aby bolo možné tieto stromy „prepojiť“, v každom z nich sa nachádza tzv. krížový certifikát. Jednou z možností by bolo vytvoriť spoločnú KCA, ale to často nie je vôbec možné, preto sa používa práve technika krížových certifikátov. V prípade NBÚ existujú dva krížové certifikáty. Krížový certifikát patriaci do stromu KCA1 je verejný kľúč z koreňového certifikátu stromu KCA2 podpísaný súkromným kľúčom KCA1. Podobný krížový certifikát je aj v strome KCA2, čím sú oba stromy vzájomne prepojené. Elektronický podpis Cieľom elektronického podpisu nie je dokumenty šifrovať, ale overiť totožnosť pôvodcu dokumentu a zistiť, či sa dokument po ceste k príjemcovi nezmenil. Keďže šifrovanie a dešifrovanie dokumentov by trvalo zbytočne dlho a vôbec nie je v našom prípade potrebné, šifruje sa iba tzv. hash dokumentu. Aplikácia odosielateľa vypočíta hash z podpisovaného dokumentu, zašifruje ho privátnym kľúčom a takýto údaj (elektronický podpis) sa priloží k posielanému dokumentu zvyčajne spolu s certifikátom (môže byť aj bez certifikátu). Na druhej strane čaká na správu aplikácia prijímateľa, ktorá z certifikátu získa verejný kľúč odosielateľa a dešifruje elektronický podpis. Aby sa overilo, či dokument nebol zmenený počas cesty, vypočíta sa aj na strane prijímateľa hash z dokumentu a keď sa zhoduje s pôvodným, všetko skončí bez chýb. Minulý mesiac parlament schválil zákon o informačných systémoch verejnej správy, ktorým sa novelizoval aj zákon o elektronickom podpise. Pôvodne bol zákon vyradený z rokovania. Poslanec Ľubomír Vážny (Smer-SD) nakoniec svoje množstvo pripomienok odkonzultoval s ministerstvom dopravy, pôšt a telekomunikácií. Tým sa naskytla šanca, že bude schválený ešte v tomto volebnom období. Podľa doterajších zákonov je v komunikácii so štátnymi inštitúciami potrebné používať zaručený elektronický podpis. Je však pomerne nákladné si ho zaobstarať a proti jeho používaniu hrá aj skutočnosť, že neexistujú skoro žiadne aplikácie na jeho hromadné použitie. To sa sčasti zmení. Pri styku s týmito inštitúciami bude možné používať obyčajný elektronický podpis, čím odpadnú náklady na zaobstaranie bezpečného zariadenia, na ktoré sa ukladá privátny kľúč. Naďalej však bude potrebné používať zaručený elektronický podpis pri komunikácii so súdmi a s daňovou správou. Problémom aj tak naďalej zostáva neexistencia aplikácií pre širokú verejnosť, ktoré by metódu elektronických podpisov využívali. Informatizácia verejnej správy Momentálne prebieha testovacia prevádzka ústredného portálu. Ten by mal byť podľa plánu odovzdaný do užívania 30. júna, ale vzhľadom na neskoré prijatie zákona sa tento termín zrejme posunie. Portál by mal poskytovať občanom služby elektronickej podateľne, platobného portálu a všeobecne má ambície stať sa naozaj ústredným. Obce, samosprávne kraje a iné verejné inštitúcie budú povinné spolupracovať a svoje vlastné informačné systémy budú musieť prepojiť na tento ústredný portál. O spôsobe prepojenia rozhodne ministerstvo, ktoré na účely definovania štandardov zriadilo špeciálnu komisiu. Ako perspektívny sa javí XML. Komisia neurčí len prepojovacie schémy, ale aj všeobecné požiadavky prístupnosti pre ISVS. Aký úžitok nám prinesie informatizácia verejnej správy? Malo by ísť najmä o sprístupnenie výstupov z informačných systémov. Teda občan bude môcť požiadať buď o elektronický odpis alebo o listinný výstup v papierovej forme. Ak však požiadate o takýto výstup inštitúciu z druhej strane republiky, nastane problém. Preto bude možné požiadať o výstup aj u notára, prípadne na obvodnom úrade, ak bude mať na to technické možnosti. Obávam sa, že vybavenie papierového výstupu u notára alebo na obvodnom úrade nebude najľahšia procedúra. Postup by mal byť nasledujúci: občan požiada najbližšiu osvedčujúcu osobu (notár, obvodný úrad) o výstup. Ten nedisponuje údajmi v informačných systémoch priamo, a preto osvedčujúca osoba požiada inštitúciu, ktorá systém prevádzkuje. Tá mu údaje poskytne a podpíše ich zaručeným elektronickým podpisom a opatrí ich časovou pečiatkou. Potom je možné údaje vytlačiť a poskytnúť občanovi. Nie je to záležitosť „na počkanie“ a na podpísanie dokumentu a pripojenie časovej pečiatky bude musieť občan zájsť k notárovi najmenej dvakrát. Spracované podĽa www.inet.sk
