Část I. Elektronický podpis. Obsah. Legislativa. Ing. Jaroslav Pinkava, CSc. - PowerPoint PPT Presentation

nita
elektronick podpis vyu it v bankovnictv jednodenn semin bankovn institut vysok kola a s 7 12 2000 n.
Skip this Video
Loading SlideShow in 5 Seconds..
Část I. Elektronický podpis. Obsah. Legislativa. Ing. Jaroslav Pinkava, CSc. PowerPoint Presentation
Download Presentation
Část I. Elektronický podpis. Obsah. Legislativa. Ing. Jaroslav Pinkava, CSc.

play fullscreen
1 / 38
Download Presentation
118 Views
Download Presentation

Část I. Elektronický podpis. Obsah. Legislativa. Ing. Jaroslav Pinkava, CSc.

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. ELEKTRONICKÝ PODPIS –využití v bankovnictví(jednodenní seminář, Bankovní institut vysoká škola, a.s.) 7.12.2000 Část I. Elektronický podpis. Obsah. Legislativa. Ing. Jaroslav Pinkava, CSc. AEC spol. s r.o. Norman Czech Republic Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  2. Úvod • Členění prvních tří přednášek: I.Elektronický podpis. Obsah. Legislativa. II.PKI. Poskytovatelé certifikačních služeb.Nové směry v problematice III.Normy k problematice el. podpisu. Normy v bankovnictví. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  3. Význam podpisu • Podepisující osoba podpisem dokumentu např.: • - poskytuje důkaz, že se cítí být obsahem dokumentu (smlouvy) vázána; • - podepsaný dokument může sloužit jiné straně jako věrohodná záruka pro splnění určitých závazků (peněžních, hmotných, časových atd.), přitom význam těchto závazků je v dokumentu popsán; • - stvrzuje autorství textu dokumentu, jestliže podepsaný dokument sepsal někdo jiný, pak podepisující osoba potvrzuje svůj úmysl ztotožnit se s obsahem daného dokumentu; • - prokazuje skutečnost, že tato osoba byla přítomna na stanoveném místě (a např. v danou dobu), podepisující se strana pak může tento podpis využít k prokázání této přítomnosti. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  4. Digitální technologie • Dokumenty cestují v elektronické podobě (oskenované, faxem) a není příliš obtížné padělat na obrazové (faxové) variantě dokumentu ručně psaný podpis. Přitom elektronických dokumentů stále přibývá a uživatelé si uvědomují výhodnost takového pohybu dokumentů. Je však třeba najít jinou cestu k podepisování takovýchto dokumentů. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  5. Požadované vlastnosti • Musí to být postup, zaručující určité vlastnosti, které podepsaný dokument získá. Strana, která získá podepsaný dokument bude samozřejmě chtít být ubezpečena, že autorem dokumentu je označená osoba, že se seznamuje s přesným obsahem dokumentu, že může na základě takto získaného dokumentu konat a mít přitom určité záruky od autora dokumentu. • Jinými slovy je třeba zajistit u těchto dokumentů jejich autentičnost(původ, autora), jejich neporušenost (integritu), ale i tzv. nepopiratelnost (podepsaná strana nemůže později popřít, že daný dokument podepsala). • Ještě je třeba poznamenat, že za některých okolností k tomu přistupují i nároky na utajení obsahu dokumentu před nepovolanou osobou. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.


  6. Digitální podpis • Historicky se objevuje pojem digitálního podpisu souběžně se vznikem asymetrické kryptografie v druhé polovině sedmdesátých let. Asymetrická kryptografie používá určitým způsobem propojenou dvojici kryptografických klíčů. Jeden klíč (veřejný) je používán k šifrování dat, druhý klíč (soukromý) slouží k dešifrování zašifrovaného obsahu dat. Přitom ze znalosti např. pouze veřejného klíče nelze odvodit hodnotu druhého (soukromého) klíče Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  7. Digitální podpis • Digitální podpis je tedy pojem vycházející z použití kryptosystémů s veřejným klíčem. Jak probíhá pro určitý dokument vytváření jeho digitálního podpisu (např. autorem)? Nejjednodušší přístup je následující (digitální podpis s obnovou zprávy): Podepisující strana vezme příslušný dokument v elektronické podobě a zašifruje ho svým soukromým klíčem. Vhodnou cestou přitom zveřejní (nebo již má zveřejněn) odpovídající veřejný klíč. Kdokoliv, kdo má přístup k tomuto veřejnému klíči (a ověří si, kdo je jeho skutečným majitelem), může nyní pomocí tohoto veřejného klíče dešifrovat podepsaný dokument a ověřit tak příslušný podpis tohoto dokumentu. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  8. Digitální podpis • Využití hashovací funkce – otisk zprávy - Podpis tohoto hashe je pak připojen k vlastní podepisované zprávě (proto se také tomuto postupu při podepisování říká digitální podpis v dodatku zprávy). Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  9. Elektronický podpis • Obecnějším pojmem než digitální podpis je pojem elektronického podpisu. Tento pojem v sobě zahrnuje (kromě samotného digitálního podpisu) také aspekty využití celé škály různých biometrických metod. Je pak obvykle precizován tak, aby byl tzv. technologicky nezávislý. Je proto také vhodný pro použití v různých legislativních dokumentech. Zejména v průběhu posledních let se (z hlediska právních a technologických aspektů) dospělo k poznání nezbytnosti používat takto obecný pojem. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  10. Biometrické metody • fyziologickyzaložené techniky, které měří nějakou fyziologickou charakteristiku dané osoby. Sem patří • např.: otisky prstů, charakteristiky duhovky, obličej, geometrie cév, charakteristiky uší, vůně, analýza • obrazců DNA, charakteristiky potu atd.; • behaviorálně založené techniky, které se zabývají měřením chování příslušné osoby. Toto zahrnuje např.: verifikaci ručně psaných podpisů – dynamika podpisu, charakterizace úderů do klávesnice, analýza řečového projevu atd. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  11. Digitální podpisy – dnes základní a nejvíce používanou variantou elektronického podpisu. • Obecně se dá říci, že elektronické (digitální) podpisy jsou nejčastěji používány: • -          pro vazby typu smluv v otevřených sítích (např. elektronický obchod, finanční transakce); • -          v uzavřených systémech (Intranety); • -          pro osobní účely; • -          pouze pro identifikační a autorizační účely (oprávnění přístupu do výpočetního systému, identifikace webovského serveru,…); • pro oficiální komunikaci s veřejnými institucemi (daňová přiznání, přenos dokumentů s právními důsledky,…) –tato oblast je zatím především perspektivní (a to vysoce), i když již dnes existuje celá řada konkrétních případů, kde jsou elektronické podpisy takto využívány. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  12. Legislativa a el. podpisy • V roce 1995 byl přijat vůbec první dokument tohoto typu – UTAH Digital Signature Act. • Evropa - německý zákon o digitálním podpisu z roku 1997, ale i jiné země (Velká Britanie, Italie,...) Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  13. Legislativa a el. podpisy • Nutnost jednotíci prvku i z mezinárodního hlediska • Modelový zákon UNCITRAL pro elektronický obchod (1997). V tomto dokumentu se poprvé objevila snaha vytvořit takový obecný přístup k elektronickým podpisům, který by byl nezávislý na konkrétních použitých technologiích. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  14. Direktiva EU pro elektronické podpisy 1 • Vyvíjena několik let - draft • 30.11.1999 schválil Evropský parlament • “Member States shall bring into force the laws, regulations and administrative provisions necessary to comply with this Directive before 19 July 2001”. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  15. Direktiva EU pro elektronické podpisy 2 • Tři základní principy: • I. Technologická neutralita • II. Vydávání oprávnění pro poskytovatele certtifikačních služeb není direktivně omezeno žádným schématem • III. Nezbytnost rozpoznání zákonné platnosti elektronických podpisů Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  16. Direktiva EU pro elektronické podpisy 3 • Obsah: definice pojmů dostupnost na trhu právní dopady, závaznost mezinárodní aspekty ochrana osobních údajů, … annex I-IV Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  17. Definované pojmy v Direktivě EU • elektronický podpis, zaručený el.podpis • podepisující strana • data k vytváření podpisu + zařízení pro vytváření podpisu • data k verifikaci podpisu + zařízení pro verifikaci podpisu • certifikát, kvalifikovaný certifikát • poskytovatel certifikačních služeb • zařízení pro elektronické podpisy • dobrovolná akreditace (akreditační schéma) Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  18. Zaručený elektronický podpis • Elektronický podpis -jsou jím míněna data v elektronickém tvaru, která jsou připojena či logicky asociována k jiným elektronickým datům a která slouží jako metoda autentizace. • Zaručený elektronický podpis- tím je míněn elektronický podpis splňující následující požadavky: • (a) je jednoznačně vázán na podepisující osobu; • (b) umožňuje identifikaci podepisující osoby; • (c) je vytvořen prostředky, které podepisující osoba může mít pod svojí výhradní kontrolou; • (d) je vztažen k odpovídajícím datům takovým způsobem, že libovolná následná změna těchto dat je detekovatelná. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  19. Certifikát a kvalifikovaný certifikát • Certifikát -elektronické ověření, které propojuje data pro ověření podpisu s osobou a potvrzuje identitu této osoby. • Kvalifikovaný certifikát -certifikát, který splňuje podmínky uvedené v příloze I a je vydán poskytovatelem certifikačních služeb splňujícím podmínky uvedené v příloze II. • Příloha I přitom specifikuje, co vše musí kvalifikovaný certifikát obsahovat (identifikace poskytovatele certifikačních služeb, jméno či pseudonym podepsané osoby, pro jaké účely byl certifikát vydán, data pro ověření podpisu, počátek a konec doby platnosti certifikátu, zaručený elektronický podpis příslušného poskytovatele certifikačních služeb, omezení účinnosti certifikátu, atd). Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  20. Tři základní typy PCS (CA) • Kromě nejnižšího stupně, jehož činnost není Direktivou (zákonem) nijak upravována, to budou certifikační autority vydávající kvalifikované certifikáty (to bude stupeň, který bude běžný zejména v komerční sféře) a konečně akreditované certifikační autority. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  21. Kvalifikovaný elektronický podpis • Je to elektronický podpis, který je za prvé zaručený, za druhé založen na kvalifikovaném certifikátu a za třetí byl vytvořen pomocí prostředku pro tzv. bezpečné vytváření podpisů. Poslední pojem „bezpečného“ prostředku je rovněž termínem Direktivy a svým způsobem označuje prostředek, který prošel „validací“, tj. bylo prokázáno, že jeho technologická konstrukce byla provedena tak, aby prostředek splnil celou řadu obsahových i bezpečnostních norem. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  22. Direktiva EU- dostupnost na trhu • nesmí existovat omezení týkající se počtu poskytovatelů certifikačních služeb (PCS) • musí existovat systém dohledu nad PCS • musí existovat instituce ověřující správnost zařízení pro vytváření elektronických podp. • zařízení splňující podmínky direktivy mají povolen volný pohyb na trhu člen.zemí EU Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  23. Direktiva EU - právní dopady EP • Zaručený elektronický podpis lze používat rovnoprávně s ručně psaným podpisem • elektronický podpis je použitelný jako důkazový prostředek • členské země nesmí uplatňovat právní efekty a omezovat použitelnost EP jako důkazového prostředku jen na základě toho, že je v elektronické podobě, není odvozen z kvalifikovaného certifikátu,... Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  24. Direktiva EU - závaznost • Členské země musí zajistit, že poskytovatel certifikačních služeb je odpovědný za škody způsobené osobám, které se spolehly na správnost příslušného certifikátu a to minimálně vzhledem ke kvalifikovaným certifikátům (platí i vzhledem k revokacím) • PCS může v obsahu certifikátu definovat jeho účinnost (např. omezení na velikost finančních transakcí) Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  25. Direktiva EU • Dále stanovuje za jakých podmínek jsou platné certifikáty vydané v třetích zemích (mezinárodní aspekty) • PCS musí ve své činnosti vycházet rovněž ze zákonů na ochranu osobních údajů a příbuzných dokumentů • povinnosti členských zemí EU ve vztahu k Evropské Komisi (oznámení závazných národních akreditačních schémat, jméno a adresa akreditační instituce, jména a adresy všech národních akreditovaných PCS) Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  26. Direktiva EU - Annex I • Co musí obsahovat kvalifikovaný certifikát (mj.): • označení státu a vydávajícího PCS • jméno či pseudonym podepisující strany • data pro ověření podpisu • doba platnosti: počátek a konec • zaručený elektronický podpis vydávajícího PCS • data popisující omezení využitelnosti certifikátu Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  27. Direktiva EU - Annex II • Povinnosti poskytovatele certifikačních služeb (mj).: • PCS musí prokazovat nezbytnou spolehlivost • zabezpečit funkčnost a bezpečnost svých činností (zveřejňování certifikátů a odvolávaní certifikátů) • ověřovat (vhodnými zákonnými prostředky) identitu a další atributy osob jimž je certifikát vydáván • zaměstnávat odpovídající personál, používat důvěryhodné systémy a produkty, mít odpovídající finanční rezervy • archivovat všechny důležité informace • neuchovávat kopie dat pro vytváření el. podpisů Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  28. Direktiva EU - Annex III + IV • Bezpečná zařízení k vytváření elektronických podpisů (požadavky) • Bezpečná zařízení k ověřování elektronických podpisů (doporučení) Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  29. ČR – zákon o elektronickém podpisu • Historie: • ÚSIS • Aktivita SPIS – návrh doc. Smejkal • Rozsáhlé připomínky • Odborná skupina, Třešť • Přechod na platformu EU • Projednávání v parlamentu, některé další úpravy Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  30. Výsledná podoba zákona • Pojmově i obsahově vychází ze Směrnice Evropské Unie • Formálně vcelku v pořádku (některé drobnosti – pojem nástroje, zveřejňování digit. Certifikátů atd.) • Posun oproti EU Směrnici – paragraf 11, neakceptuje stav problematiky v ČR Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  31. Paragraf 6.j • používat bezpečné systémy a nástroje elektronického podpisu a zajistit dostatečnou bezpečnost postupů, které tyto systémy a nástroje podporují. Nástroj elektronického podpisu je bezpečný, pokud odpovídá požadavkům stanoveným tímto zákonem a prováděcí vyhláškou. Toto musí být ověřeno Úřadem pro ochranu osobních údajů (dále jen „Úřad“), Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  32. Paragraf 11 • V oblasti orgánů veřejné moci je možné používat pouze zaručené elektronické podpisy a kvalifikované certifikáty, vydávané akreditovanými poskytovateli certifikačních služeb. Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  33. Chystaná vyhláška k ZoEP • www.uoou.cz www.epodpis.cz • Zveřejněny teze vyhlášky a otevřeno diskuzní fórum Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  34. Chystaná vyhláška k ZoEP • OBECNÁ USTANOVENÍ • POŽADAVKY NA SPRÁVU KVALIFIKOVANÝCH CERTIFIKÁTŮ • DOKUMENTACE • ZAJIŠŤOVÁNÍ BEZPEČNOSTI • ZAJIŠTOVÁNÍ CERTIFIKAČNÍCH SLUŽEB PROSTŘEDNICTVÍM SMLUVNÍCH PARTNERU • UKONČENÍ ČINNOSTI POSKYTOVATELE • NĚKTERÉ DALŠÍ POVINNOSTI POSKYTOVATELE CERTIFIKAČNÍCH SLUŽEB (celkem 27 paragrafů) Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  35. Problematika certifikace podpisových prostředků •  AKREDITACE: Akreditací se rozumí oficiální uznání, že subjekt akreditace (laboratoř, certifikační orgán, inspekční orgán nebo ověřovatel EMAS) je způsobilý provádět specifické činnosti • CERTIFIKACE: Vydání příslušného certifikačního osvědčení na základě provedeného vyhodnocení (evaluace) daného (kryptografického) prostředku pověřenou institucí • EVALUACE(vyhodnocení shody): Ověření shody deklarovaných vlastností prostředku s vlastnostmi zadanými kriterii evaluace •  VALIDACE Ověření integrity (nenarušenosti) zprávy nebo její zvolené části (terminologie EU) totéž co evaluace (terminologie v USA - NIST) Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  36. Metodologie evaluací. • Common Criteria • FIPS 140-1 Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  37. Literatura • J. Pinkava: Elektronický podpis a Evropská Unie, DSM 2/2000 • J. Pinkava: Certifikace kryptografických prostředků a prostředků pro elektronický podpis, DSM 6/2000 • http://crypto.aec.cz (serie článků) • http://www.mujweb.cz /veda /gcucmp Crypto-World Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.

  38. Dotazy, upřesnění ? Jaroslav Pinkava - prosinec 2000 Bankovní institut vysoká škola a.s.