Podpíšte sa elektronicky! – Začíname
Filip Valašek / 21. 03. 2006, 00:00
Nedávno schválila vláda na svojom zasadnutí novelu zákona o elektronickom podpise. Pretože je táto téma veľmi úzko spojená s informatizáciou, tak sme sa rozhodli uverejňovať na stránkach Inet.sk nepravidelný „seriál“ o tejto širokej problematike. Prvý diel bude veľmi všeobecný a skôr ho treba chápať ako motiváciu, než ako snahu hlboko preniknúť k problému.
O čom bude seriál?
Nesľubujem, že bude o všetkom, ale určite sa budem snažiť obsiahnuť elektronické podpisovanie dokumentov z rôznych uhlov pohľadu. Nebude ani pravidelný, pretože jeho príprava si bude vyžadovať niekedy dlhší čas, niekedy zasa kratší. Je to práve kvôli tomu, že svet bezpečnosti je rozmanitý a teda aj krajina elektronického podpisu je nekonečná a bezbrehá. Stretávajú sa tu vedy právne, matematické, fyzikálne a nakoniec aj technické. Vydajme sa teda spoločne na púť po tejto krajine!
Tip: Rád by som upozornil čitateľov na fórum Inet.sk, ktoré vám dáva omnoho väčší priestor na vyjadrenie vašich názorov na elektronický podpis. A zahlasujte v ankete!
Jemný úvod
Keď sa spýtate ľudí, čo je to elektronický podpis, tak vám snáď aj 80 % z nich povie, že to je nejak elektronicky spracovaný podpis rukou. Pre niekoho to je možno úsmevný nápad, no práve pre to určité percento ľudí umelo vytvorená predstava, v ktorej žijú. Veľa takýchto predstáv vzniká z nevedomosti.
Odpradávna človek uzatváral nejaké dohody, prenášal určité správy a vymieňal si dokumenty. Pokiaľ išlo o uzatvorenú malú komunitu, tak pravosť týchto aktov bola nepopierateľná. Avšak s rastúcim technickým pokrokom a so „zväčšovaním sveta" sa zvyšovali aj nároky na overenie totožnosti osoby (občiansky preukaz), pravosti dokumentov (podpis), či elektronických dokumentov (elektronický podpis).
Tak ako asi všetci tušia, účelom elektronického podpisu je nahradiť podpis vlastnoručný, prípadne zaručiť autentifikáciu dokumentu alebo jeho zašifrovanie. O tom, či je to bezpečné, sa vedú rôzne diskusie, no všeobecne je platné, že čas potrebný na prelomenie kľúča by mal byť omnoho dlhší ako jeho platnosť. Teda istá miera bezpečnosti je zaručená priamo v podstate celého systému.
Keď vznikala myšlienka elektronického podpisu, tak začali múdri ľudia rozmýšľať aj nad tým, ako zamedziť falšovaniu a zároveň vytvoriť spoľahlivý a jednoduchý systém. Dnes je veľmi aktuálny problém phishingu, kedy podvodníci najčastejšie pomocou mailov prilákajú svoje obete na ich stránky, kde ľahko získajú prihlasovacie údaje k rôznym službám (Internet banking a iné). Ak by tento mail bol elektronicky podpísaný, tak by nebolo pochýb, kto je jeho autorom.
Avšak aj tu môžu nastať problémy. Ako môžeme veriť tomu, že ten podpis je pravý? Obrovskú úlohu pri riešení tejto otázky zohráva predstava akejsi autority, ktorá pre daného človeka vytvorila kľúč, ktorým sa dokument podpisuje. Táto autorita sa nazýva certifikačná autorita (CA). Je to spoločnosť, ktorá spĺňa presne stanovené normy a postupuje podľa nich pri vydávaní kľúčov. Práve existencia autority zvyšuje dôveryhodnosť podpísaného dokumentu. Adresát tak nadobudne odôvodnený pocit, že dokument je naozaj pravý.
Ako som už spomenul, certifikačná autorita vytvára privátny kľúč, verejný kľúč, certifikáty a stará sa o mnoho ďalších vecí. Všetky tieto pojmy si podrobnejšie vysvetlíme v nasledujúcich článkoch. Aj tak sa pokúsim aspoň v krátkosti uviesť ich vzájomné súvislosti.
Na vrchole stojí certifikačná autorita. Je to organizácia, ktorá pri splnení bezpečnostných predpisov uchováva a archivuje privátne kľúče a zabezpečuje overovanie verejných kľúčov. Privátny a verejný kľúč tvoria neoddeliteľnú dvojicu, sú na seba naviazané. Podpisovanie dokumentov sa uskutočňuje pomocou privátneho kľúča. Na overenie slúži certifikát. Certifikát je verejný kľúč podpisovateľa podpísaný privátnym kľúčom certifikačnej autority. Tým je zaručená jeho pravosť - je ju možné obvykle overiť aj na internetových stránkach príslušnej certifikačnej autority.
Nabudúce
...sa pozrieme na to, ako funguje elektronický podpis a ako to vyzerá z technického hľadiska. Súčasťou článku budú aj krátke príklady príkazov s použitím OpenSSL. Takto si ukážeme prakticky, aký je princíp pri tvorbe kľúčov, certifikátov a ako funguje infraštruktúra verejného kľúča (PKI - Public Key Infrastructure). Takže teším sa na ďalšie stretnutie 31.3.2006. Nezabudnite si naladiť v ten deň váš prehliadač na stránky Inet.sk. ;)