Firmy vydávající zaručené certifikáty k e-podpisu zaznamenaly vysoký nárůst poptávky. Experti upozorňují, že s počtem vydaných certifikátů je nutné také více informovat o bezpečnostních rizicích.
Elektronická komunikace Firmy vydávající zaručené certifikáty k e-podpisu zaznamenaly vysoký nárůst poptávky. Experti upozorňují, že s počtem vydaných certifikátů je nutné také více informovat o bezpečnostních rizicích.
Zaručený elektronický podpis se v Česku prosazuje stále více. Zájem o něj mají především firmy. Vyplývá to z vyjádření tří českých takzvaných certifikačních autorit – České pošty, První certifikační autority a eIdentity. Tyto tři firmy mají v Česku jako jediné akreditaci k vydávání takzvaných kvalifikovaných certifikátů potřebných pro komunikaci se státní správou. „Oproti loňskému roku jsme zaznamenali více než osmdesátiprocentní nárůst počtu vydaných kvalifikovaných certifikátů,“ říká Ivo Mravinac z tiskového oddělení České pošty.
Na konci loňského roku mělo v Česku podle údajů bývalého ministerstva informatiky platný zaručený certifikát přibližně 35 tisíc subjektů. V letošním roce První certifikační autorita vydala dalších přibližně 40 tisíc a Česká pošta téměř 27 tisíc kvalifikovaných certifikátů. Přesné údaje od třetího „vydavatele“ – společnosti eIdentity – se do uzávěrky Profitu zjistit nepodařilo. I její zástupci však potvrzují rostoucí zájem. Lze tedy předpokládat, že do konce roku se počet vlastníků platných certifikátů pro zaručený elektronický podpis více než zdvojnásobí.
Vedle kvalifikovaných certifikátů vydávají certifikační autority také komerční certifikáty. Těch je mnohonásobně více – jen První certifikační autorita jich vydala za dobu svého působení jeden a čtvrt milionu. Mimo zmiňovaných firem je poskytují i další společnosti, například některé banky, firmy Zoner, Ignum a další. K vydávání totiž nepotřebují akreditaci. Komerční certifikáty nelze využít pro komunikaci s veřejnou správou. Používají je především firmy, chtějí-li šifrovat vzájemnou elektronickou komunikaci či banky pro zabezpečení internetového bankovnictví.
E-podpis táhne veřejná správa
Významný vliv na zvyšování zájmu o elektronický podpis mají zejména úřady. Pro komunikaci s nimi je totiž používání zaručeného elektronického podpisu povinné ze zákona. „Počty vydaných kvalifikovaných certifikátů každoročně stoupají tak, jak jsou zejména na úrovni státní a veřejné správy uváděny do provozu jednotlivé projekty, které za zákona vyžadují v rámci e-komunikace a jednotlivých podání zaručený elektronický podpis,“ tvrdí Martin Škorpil z První certifikační autority.
Se zaručeným podpisem je nyní možné vyřizovat řadu agend s ministerstvem financí, například daňové přiznání, s celní správou nebo s Českou správou sociálního zabezpečení. Jiří Hejl ze společnosti eIdentity však upozorňuje, že úřady často vyžadují e-podpis i tam, kde to není povinné. „Často se setkávám se zneužitím státní moci v případech, kdy na jejich klienty jsou v souvislosti s certifikáty kladeny požadavky, které nemají oporu v zákonech,“ tvrdí Hejl. Některé úřady tak požadují zaručený e-podpis i u běžného dotazu, zaslaného e-mailem. V některých případech dokonce odpovědi šifrují. Uživatel pak bez zaručeného podpisu nemá šanci si ji přečíst.
Vzhledem k širším možnostem využití mají o kvalifikované certifikáty zájem především firmy. „Fyzickým osobám bylo vydáno zhruba pět procent certifikátů. Zbytek tvoří firmy a osoby samostatně výdělečně činné,“ vypočítává Mravinac.
Na „neprůstřelnost“ nespoléhejte
Společně s růstem počtu uživatelů se znovu objevují varování expertů před slepým spoléháním na bezpečnost zaručeného e-podpisu. Elektronický podpis a šifrování zasílaných zpráv představují v současnosti jednu z nejbezpečnějších možností komunikace přes internet. Přestože samotná technologie je velmi bezpečná a bez použití supervýkonných počítačů prakticky neprolomitelná, její zneužití možné je.
Pro vytváření e-podpisu a šifrování se používá principu asymetrické kryptologie. Ta pracuje s dvojicí klíčů. První je veřejný (jeho majitel jej volně uveřejní) a slouží k zašifrování dat. Druhý klíč je naopak privátní a je nezbytně nutné jej uchovat „mimo dosah“ nepovolaných osob. Tedy všech kromě držitele certifikátu.
Komunikace s využitím šifrování probíhá následovně: Odesílatel zprávy použije veřejný klíč příjemce k zašifrování zprávy. Tu pak odešle a příjemce ji dešifruje pomocí svého soukromého klíče. Oba klíče jsou spolu tedy provázány. Zásadní je však skutečnost, že ani ze známého veřejného klíče nelze „dopočítat“ klíč privátní. Podobně funguje i zaručený elektronický podpis.
Z principu fungování e-podpisu vyplývají možná rizika: prolomení algoritmu šifrovací funkce nebo zcizení privátního klíče. První možnost sice teoreticky možná je, v praxi se ale jako nejslabší článek řetězu v naprosté většině ukázal samotný držitel certifikátu, respektive soukromého klíče. Ten přitom za zneužití sám odpovídá. Zákon o elektronickém podpisu totiž říká, že podepisující osoba musí „zacházet s prostředky, jakož i s daty pro vytváření zaručeného elektronického podpisu s náležitou péčí tak, aby nemohlo dojít k jejich neoprávněnému použití“. Přeloženo do češtiny – uživatel musí důkladně zabezpečit počítač, na kterém má certifikát uložen. Právě to kritizuje bezpečnostní expert Jiří Nápravník. „Běžný uživatel má své hranice toho, co je schopen splnit při používání počítače připojeného k internetu. Ubránit se před profesionálně připraveným útokem je a vždy bude nad jeho síly,“ upozorňuje.
Na neznalost uživatelů e-podpisu upozorňuje i Jiří Hejl ze společnosti eIdentity, která certifikáty k zaručenému e-podpisu vydává. „O zaručené certifikáty žádají převážně laikové. Ti si často nejsou vědomi nebezpečí, do kterého se dostanou okamžikem převzetí certifikátu. V ten okamžik jim zákon ukládá povinnost zacházet s prostředky pro vytváření e-podpisu tak, aby nemohlo dojít k jejich zneužití,“ říká Hejl.
V praxi to znamená především dokonalé zabezpečení počítače s certifikátem proti napadení z internetu. „Žadatelé o certifikát nejsou velmi často schopni ani posoudit, zda je jejich počítač dostatečně a správně nastaven tak, aby byl odolný proti současným trendům útoků z internetu. Často se ani neorientují v používání základních počítačových programů, jako je například internetový prohlížeč, klient elektronické pošty, práce se soubory a další,“ poznamenává Hejl. „Někdy si opravdu připadám, jako bych rozdával žiletky malým dětem,“ dodává.
KDE ZÍSKÁTE ZARUČENÝ E-PODPIS?
Česká pošta – qca.postsignum.cz Cena základního kvalifikovaného certifikátu na jeden rok je 190 korun. Prodloužení stojí stejně. K vyřízení je třeba navštívit některé z kontaktních míst (http://qca.postsignum.cz/www/offices-km.php). Samotné vydání certifikátu trvá přibližně půl hodiny.
- *První certifikační autorita – www.ica.cz Cena základního kvalifikovaného certifikátu na jeden rok je 752 korun. Prodloužení stojí tutéž částku. Je nutná návštěva některého z více než 400 kontaktních míst (http://www.ica.cz/home_cs/?acc=kontaktni_pracoviste), vydání certifikátu trvá deset minut. eIdentity - www.eidentity.cz Cena základního kvalifikovaného certifikátu na jeden rok je 702 koruny. Prodloužení stojí stejně. Komunikace probíhá jen přes Internet, první návštěva je ale nutná osobně. Je možná i v místě žadatele. Vydání certifikátu trvá standardně tři dny, v dohodnutých případech na počkání asi 20 minut. Důkazem je vykradený bankovní účet Riziko na straně uživatelů potvrzuje i praktický příklad zneužití elektronického certifikátu z loňského roku. V létě 2006 se totiž neznámým internetovým zlodějům podařilo vykrást účty několika uživatelů internetového bankovnictví Komerční banky. Přihlašování do aplikace i potvrzení transakce přitom vyžadovalo digitální certifikát. „Sice nebyl použit zaručený elektronický podpis, ale rozdíl je pouze v tom, že certifikát neověřovala ,nějaká‘ autorita podle jasně daných pravidel. Použité technologie pro tvorbu elektronického podpisu byly stejné, tedy technologie vycházející z PKI (Public Key Infrastructure),“ vysvětluje Nápravník. Útočníci podle něj pomocí škodlivého počítačového programu „ukradli“ soukromé klíče z harddisku počítače uživatelů a „odposlechli“ i přihlašovací hesla. Majitelé se o tom dozvěděli až v momentě, kdy jim z kont zmizely všechny peníze. „Záludnost světa počítačů (softwaru a dat) je v tom, že pokud zde něco ukradnete, tak to vlastně „jenom“ zkopírujete. Původnímu vlastníkovi nic nechybí, a on tedy nic nehledá jako v reálném světě v případě odcizené peněženky. Přitom má pachatel totéž – rovnocennou kopii certifikátu a hesla,“ dodává Nápravník. Spoléhat tedy na opatrnost uživatelů není podle Jiřího Nápravníka správné. „Uživatel svou obezřetností může minimalizovat riziko spojené se zneužitím elektronického podpisu. Hlavní díl práce dnes ale stojí před provozovateli aplikací, které využívají elektronický podpis. Tito provozovatelé se musí vypořádat s reálnou hrozbou toho, že klienti budou obezřetní, splní vše, co jim provozovatel aplikace ukládá, a přesto jim podvodník z jejich počítače nebo takzvaného USB tokenu odcizí privátní klíč (certifikát) a zneužije ho,“ říká Nápravník. Že provozovatelé aplikace mají možnosti jak na uživatele dohlédnout, ukazuje na příkladu bankovních ústavů. „Banka má možnost ze záznamů zjistit, odkud se uživatel internetového bankovnictví připojuje ke svému účtu. Může sledovat, jaké transakce zadává, kdy a podobně. Pokud se uživatel ke svému účtu připojí místo přes některého z českých ADSL poskytovatelů připojení například přes Ukrayine Telecom, tak je to podezřelé. Pokud ještě ke všemu převádí většinu peněz, měla by banka okamžitě zasáhnout,“ navrhuje Nápravník. Pomoci mají čipové karty**
Ke snížení rizika odcizení privátního klíče má přispět hlavně přesun certifikátu mimo samotný počítač, například na čipovou kartu. „Naše společnost doporučuje klientům uložení certifikátu na čipové kartě. Znamená to, že již při generování žádosti o certifikát je privátní část klíče uložena na čipové kartě a tu také nikdy neopustí. Přístup k čipové kartě dále chrání PIN,“ vysvětluje Martin Škorpil.
Čipové karty nabízí jak tato společnost, tak eIdentity. Česká pošta je teprve prodávat začne, a to od prosince. Neoprávněné získání certifikátu z čipové karty je podle Jiřího Nápravníka pro zloděje mnohem složitější. „Musel by znát PIN a zaútočit v době, kdy je čipová karta zasunuta ve čtečce,“ tvrdí Nápravník.
