eIDAS
Dopad na elektronický podpis v ČR
První certifikační autorita, a.s.
7. 12. 2015
Mgr. Dagmar Bosáková
První certifikační autorita, a.s. (I.CA)
Od r. 2001 – poskytování certifikačních služeb (první v ČR)
Akcionáři: ČSOB, Česká spořitelna, O2, Asseco, Státní tiskárna cenin
Od r. 2002 – akreditace MV pro vydávání kvalifikovaných certifikátů
Od r. 2006 - akreditace MV pro vydávání kvalifikovaných systémových certifikátů a kvalifikovaných časových razítek
Od r. 2010 - poskytování prostředku pro bezpečné vytváření e-podpisu(jediní v ČR s hodnocením MV podle zákona o e-podpisu)
V ČR pouze tři subjekty poskytující tyto služby, I.CA nabízí nejširšíspektrum služeb, nejkomplexnější služby pro veřejnou správu i komerčnísféru.
Největší zákazníci: ČSOB, ČS, resort Ministerstva financí, resort MPSV
I.CA působí rovněž na Slovensku (akreditace NBÚ SR) a poskytujepersonalizované služby pro klienty v zahraničí (i mimo EU).
Evropská směrnice a český zákon
Dosud:
Směrnice Evropského parlamentu a Rady 1999/93/ES ze dne 13. prosince 1999 o zásadách Společenství pro elektronické podpisy (tj. pouze elektronické podpisy).
V ČR: Zákon č. 227/2000 Sb., o elektronickém podpisu
Obecně směrnice - povinnost transpozice, tj. promítnutí do vnitrostátního právního předpisu
Evropské nařízení a český zákon
Nově:
Nařízení Evropského parlamentu a Rady č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES. (Zkráceně: eIDAS) (tj. větší tematický záběr, více služeb)
Doplní český „adaptační“ zákon – očekává se malý rozsah, pro poskytovatele i klienty však bude mít zásadní význam, proto je netrpělivě očekávána jeho definitivní podoba.
Obecně nařízení - platí v každém ČS přímo, bez prováděcího vnitrostátního aktu
Nařízení eIDAS - termíny
• uveřejněné v Úředním věstníku EU 28. srpna 2014
• vešlo v celé Evropské unii v platnost 17. září 2014
• bude použitelné/účinné od 1. července 2016
• jednotlivá ustanovení budou nabývat účinnosti postupně v období let 2016 – 2018
• český adaptační zákon v gesci MV – pracovní název: zákon o službách vytvářejících důvěru pro elektronické transakce (návrh odchází v těchto dnech do meziresortního připomínkového řízení)
• MV zřídilo několik pracovních skupin, I.CA se účastní, případný efekt této činnosti bude zřejmý až po přijetí adaptačního zákona.
eIDAS – tři oblasti úpravy
1. Elektronická identifikace
2. Služby vytvářející důvěru/kvalifikované služby vytvářející důvěru – vyšší stupeň kvality
3. Elektronický dokument
I.CA a eIDAS
Zákon o elektronickém podpisu je základní právní normou,
kterou se I.CA řídí a podle které své služby poskytuje již od roku 2000 jako akreditovaný poskytovatel certifikačních služeb, a to jak v ČR, tak na Slovensku.
Přijetí nové právní úpravy I.CA vítá, považuje ji za krok správným směrem pro dosažení
- přeshraniční použitelnosti a uznávání jednotlivých služeb
- rozšíření portfolia služeb
- dosažení vyšší míry bezpečnosti.
Elektronická identifikace
Elektronická identifikace - nový pojem
– Používání osobních identifikačních údajů v elektronické podobě. V ČR zatím není používáno, v EU nebude povinné.
– Obdoba české služby „moje ID“.
– Není „klasickou“ součástí certifikačních služeb. Řešení bude patrně navázáno na základní registry.
Elektronický dokument
Nařízení se omezuje pouze na stručnou úpravu, žádné další požadavky neobsahuje (čl. 25):
(1)„Elektronickému dokumentu nesmějí být upírányprávní účinky a nesmí být odmítán jako důkaz v soudníma správním řízení pouze z toho důvodu, že máelektronickou podobu.“
Elektronický dokument
(2)„Kvalifikovaný elektronický podpis má právní účinekrovnocenný vlastnoručnímu podpisu.“
(3)„Kvalifikovaný elektronický podpis založený nakvalifikovaném certifikátu vydaném v jednom členskémstátě se uznává jako kvalifikovaný elektronický podpis vevšech ostatních členských státech.“
Elektronický dokument
Návrh doprovodného zákona (§5):(5) Osoba uvedená v odstavci 1 písm. a) až c), která podepsala elektronickýdokument, jehož prostřednictví činí úkon, způsobem podle odstavce 3 aosoba uvedená v odstavci 1 písm. d) a e), která podepsala elektronickýdokument, jehož prostřednictvím činí úkon týkající se její působnostiv oblasti veřejné správy, způsobem podle odstavce 3, postupujípodle odstavce 4 obdobně. Tyto osoby dále opatří podepsaný elektronickýdokument kvalifikovaným elektronickým časovým razítkem.
Tj. volně: k jakékoli úkonu orgánu veřejné moci lze použít pouze kvalifikovaný elektronickýpodpis a je nutné připojit kvalifikované elektronické časové razítko.
Služby vytvářející důvěru - oblasti
• Elektronický podpis – vydávání certifikátů a bezpečných prostředků pro vytváření podpisů, ověřování platnosti podpisů, uchovávání podpisů, vytváření e-podpisu na dálku, podpis v mobilních zařízeních
• Elektronická pečeť – obdobné služby jako u elektronického podpisu; obdoba české elektronické značky
• Časové razítko – v ČR běžně používáno
• Služba elektronického doporučeného doručování - systém podobný datovým schránkám
• Kvalifikované certifikáty pro autentizaci internetových stránek – snaha EU nahradit produkty Verisign, Thawte, Symantec a jiných mimoevropských firem.
Elektronická pečeť
Z hlediska účelu obdoba elektronické značky upravené v českém zákonu o e-podpisu.
ALE – elektronická pečeť podle eIDAS vykazuje několik odlišností, takže nelze stávající e-značky jednoduše „překlopit“ do režimu e-pečetí.
U řady klientů - včetně veřejné správy - si vyžádá úpravy systémů a tedy i odpovídající investiční prostředky.
Návrhy na zachování elektronických značek, ovšem uznatelných pouze v ČR, I.CA nepodporuje, neboť jdou proti smyslu eIDAS –přeshraniční uznatelnost elektronické komunikace.
Služby vytvářející důvěru
• Služby vytvářející důvěru – může poskytovat kdokoliv, kdo splní základní podmínky eIDAS.
• Kvalifikované služby vytvářející důvěru – může poskytovat kdokoliv, kdo
– splní podmínky eIDAS pro „kvalifikované“
– projde vstupním a následnými audity
– bude uveden v seznamech EU
– bude pod trvalým dohledem státu (MV).
• eIDAS – pamatuje na zachování kontinuity
– platnosti certifikátů (nebudou s účinností nové legislativy zneplatňovány)
– poskytování služeb akreditovaných (kvalifikovaných) poskytovatelů –1 rok jim zůstává stávající statut. Pro poskytovatele poměrně náročný úkol, z hlediska klientů ovšem nezbytné.
eIDAS – koho se týká
eIDAS, včetně služeb vytvářejících důvěru, se týká všech agend komerční sféry a veřejné správy, které jsou zajišťovány elektronicky, například z nejznámějších jmenujme:
- Informační systém datových schránek a Czech POINTy
- komunikace v oblasti daní, cel, sociálního zabezpečení atd.
- správní řízení
- elektronické bankovnictví
- služby ve zdravotnictví – zdravotnická dokumentace, eRecept.
Priority I.CA podle požadavků zákazníků
I.CA bude na základě dosavadních zkušeností s požadavky zákazníků rozvíjet zejména následující služby:
– Ověřování elektronických podpisů
– Čipové karty
– MobileSign
– LTV podpisy
– Vytváření elektronického podpisu na dálku
– Mandátní certifikáty
Zachovány zůstanou „tradiční“ služby – vydávání různých typů certifikátů, časových razítek, tvorba aplikací podle požadavků zákazníků aj.
Ověřování elektronických podpisů
Princip: Bez této služby musí každý příjemce ověřovat sám každý jednotlivý podpis – je otázka, jak kvalitně ověření probíhá (a zda vůbec). Nesprávné ověření může mít velmi nepříjemné důsledky (např. zpochybnění transakce).
Výstupem služby je:
Stav ověření (platný/neplatný podpis, nelze ověřit, důvod,proč nelze ověřit), čas, ke kterému se ověřovalo, zdroj času(čas obdržení požadavku, časové razítko, parametr zadanýuživatelem, data, na základě kterých bylo ověření provedeno –číslo CRL), hash ověřovaných dat.
Formu výstupu lze volit (např. protokol).
Čipové karty
• Princip: Bezpečnost elektronického podpisu je závislá na bezpečném uložení podepisovacího (soukromého) klíče. Klíč uložený v paměti PC je chráněný minimálně, klíč uložený na externím nosiči výrazně lépe. Nejbezpečnějším nosičem je kvalifikovaný prostředek pro vytváření elektronických podpisů, se kterým se vytváří kvalifikovaný elektronický podpis. I.CA je jediným poskytovatelem v ČR.
Čipová karta Starcos 3.0 a 3.2,
Kvalifikovaný prostředek
pro vytváření e-podpisů
Čipové karty – pokračování
eIDAS: „Kvalifikovaný elektronický podpis má právní účinek
rovnocenný vlastnoručnímu podpisu.“
Nejedná se o novinku, vyplývá to už ze směrnice z roku 1999.
Řada členských států stanovila povinné používání kvalifikovaných prostředků, někdy ve spojení s elektronickým OP. Povinné je například i na Slovensku.
V ČR není eOP kvalifikovaným prostředkem; slouží pro ukládání soukromého klíče a kvalifikovaného certifikátu (v návrhu i komerční certifikát pro autentizaci) – I.CA jako jeden z poskytovatelů také zajišťuje.
Česká republika při přípravě adaptačního zákona opět zvažuje obejití tohoto principu, nebo alespoň několikaletý odklad. Ocitáme se tak mezi státy s velmi nízkou úrovní bezpečnosti elektronické komunikace.
MobileSign
Princip: K vytvoření elektronického podpisu není třeba PC nebo notebook, postačí mobilní telefon. Oceňují manažeři.
• Řešení elektronického podpisu transakcí na smartphone (iOS, Android). Lze využít také jako náhradu OTP a SMS autorizace.
• I.CA MobileSign poskytuje velký prostor pro customizaci a parametrizaci dle individuálních požadavků.
• Klient pouze kontroluje pokyn a schválí zadáním PIN, což snižuje chybovost při autorizaci transakce a představuje výraznou úsporu nákladů.
• Uplatnění zejména v bankovnictví.
• EU řadí „podepisování prostřednictvím mobilních zařízení“ k inovačním řešením a shledává jej velmi perspektivním.
LTV podpisy
Princip: Platnost elektronického podpisu lze běžnými prostředkyověřit pouze po určitou dobu. Proto se zavádějí LTV signatures(long term validation). Přestože EU normy nemají definitivnípodobu, I.CA již vyvíjí a úspěšně testuje:
• Automatické vkládání následných časových razítek avalidačních dat do vnitřní struktury dokumentu.
• Umožnění přímého ověřování dokumentů v reálném čase.
• Uchovávání dokumentů po požadovanou dobu (10, 20 avíce let). Zajištění plné ověřitelnosti dokumentu v průběhucelého období uložení.
• Zpřístupňování dokumentů on-line.
Vytváření e-podpisu na dálku
Princip: Podepisující osoba má možnost svěřit kvalifikované prostředky pro vytváření elektronických podpisů (včetně podepisovacího, tj. soukromého klíče) do péče třetí straně –kvalifikovanému poskytovateli.
Předpoklad: Jsou zavedeny odpovídající mechanismy a postupy, které zajišťují, že podepisující osoba má výhradní kontrolu nad používáním svých podepisovacích dat a použitím tohoto prostředku jsou splněny požadavky na kvalifikovaný elektronický podpis. Bezpečnostně velmi náročné.
EU předpokládá prudký rozvoj - ekonomická výhodnost pro uživatele, vyšší bezpečnost (největší riziko představuje uživatel).
Mandátní certifikáty
Princip: Mandátním certifikátem prokazuje fyzická osoba –mandatář svoje oprávnění
• jednat jménem mandanta,
• jednat jako orgán veřejné moci
• oprávnění vykonávat činnost nebo funkci.
Na Slovensku může být mandátní certifikát vydaný jen pro taková oprávnění, která jsou evidovaná a publikovaná NBÚ SR v Seznamu oprávnění. V ČR nemá obdobu.