ELEKTRONICKÝ
ELEKTRONICKÝ
PODPIS V PRAXI
Xxxx Xxxxxxxx
DIGITÁLNÍ
DŮVĚRA
DŮVĚRA VE FYZICKÉM SVĚTĚ
legislativní prostředí vzájemné smlouvy a dohody společenský úzus
etika
DŮVĚRA A JEJÍ NÁSTROJE VE FYZICKÉM SVĚTĚ
použití identity
mandát
vlastnoruční
podpis
platné
dokumenty
identita
úřad
DIGITÁLNÍ DŮVĚRA
aplikace
digitální identity
akreditace / audit
elektronický podpis certifikační autorita
důvěryhodné
digitální dokumenty
digitální identita
ZROVNOPRÁVNĚNÍ DŮVĚRY V DOKUMENTY
El. podpis
Papírový
dokument
Elektronický
dokument
El. pečeť
Čas. razítko
PROSTŘEDKY PRO VYTVÁŘENÍ DIGITÁLNÍ DŮVĚRY
dle nařízení eIDAS
Elektronický
podpis
Elektronická pečeť
Elektronické časové razítko
ELEKTRONICKÝ
PODPIS
TYPY ELEKTRONICKÝCH PODPISŮ
Prostý elektronický podpis
Biometrický
podpis
Podpis
založený na certifikátu
ÚČEL ELEKTRONICKÉHO PODPISU
Projev vůle
Vnáší do dokumentu nezměnitelné informace o projevu vůle podepisující osoby
Zajištění integrity
Umožňuje detekci neautorizovaných změn v dokumentu opatřeného elektronickým podpisem
TYPY ELEKTRONICKÝCH PODPISŮ
založených na certifikátu
Zaručený podpis
je založen na interním nebo komerčním certifikátu
Uznávaný podpis
je založen na kvalifikovaném certifikátu pro elektronický podpis
Kvalifikovaný podpis
je založen na kvalifikovaném certifikátu pro elektronický podpis a
vytvořen pomocí kvalifikovaného prostředku pro vytváření podpisů
POVINNOSTI POUŽITÍ EL. PODPISU
dle zákona 297/2016 Sb. o službách vytvářejících důvěru
§5
K podepisování elektronickým podpisem lze použít pouze kvalifikovaný elektronický podpis, podepisuje-li elektronický dokument, kterým právně jedná, veřejnoprávní podepisující.
§6
(1) K podepisování elektronickým podpisem lze použít pouze uznávaný elektronický podpis, podepisuje-li se elektronický dokument, kterým se právně jedná vůči veřejnoprávnímu podepisujícímu nebo jiné osobě v souvislosti s výkonem jejich působnosti.
(2) Uznávaným elektronickým podpisem se rozumí zaručený elektronický podpis založený na kvalifikovaném certifikátu pro elektronický podpis nebo kvalifikovaný elektronický podpis.
§7
K podepisování elektronickým podpisem lze použít zaručený elektronický podpis, uznávaný elektronický podpis, případně jiný typ elektronického podpisu, podepisuje-li se elektronický dokument, kterým se právně jedná jiným způsobem
TYPY ELEKTRONICKÝCH PODPISŮ
a povinnost jejich použití v praxi dle zákona 297/2016 Sb.
Příjemce Původce | Veřejná správa | Ostatní původci |
Veřejná správa | Kvalifikovaný | Kvalifikovaný |
Ostatní původci | Uznávaný | Libovolný typ |
ELEKTRONICKÁ
PEČEŤ
ÚČEL ELEKTRONICKÉ PEČETI
Prokázání původu
Vnáší do dokumentu nezměnitelné informace o původci dokumentu opatřeného elektronickou pečetí
Zajištění integrity
Umožňuje detekci neautorizovaných změn v dokumentu opatřeného elektronickou pečetí
ČASOVÉ
RAZÍTKO
ČASOVÉ RAZÍTKO
Existence v čase Prokazuje existenci dokumentu v dané podobě a v daném čase
ELEKTRONICKÝ PODPIS
V PRAXI
ELEKTRONICKÝ PODPIS
založený na certifikátu
Soukromý klíč Certifikát
Dokument k podpisu
Hashovací
algoritmus
Hash
Podepisování
Elektronický
podpis
Dokument
s elektronickým
podpisem
ELEKTRONICKÝ PODPIS
Způsoby elektronického podepisování
Podpis pomocí čipové karty / tokenu
Podpis jako služba
ELEKTRONICKÝ PODPIS POMOCÍ ČIPOVÉ KARTY / TOKENU
Problémy s využitím
ELEKTRONICKÝ PODPIS POMOCÍ ČIPOVÉ KARTY / TOKENU
Problémy s využitím podpisu na koncovém zařízení uživatele
vyžaduje čtečku karet
USB pro token
vyžaduje SW
a příslušné ovladače
kompatibilita
prohlížečů
podpis na mobilních
zařízeních
ztráta čipové
karty
možnost jednoduchého
„zapůjčení“
ELEKTRONICKÝ PODPIS
Způsoby elektronického podepisování
Podpis pomocí čipové karty / tokenu
Podpis jako služba
ELEKTRONICKÝ PODPIS JAKO SLUŽBA
Až takto jednoduché to může být
ELEKTRONICKÝ PODPIS JAKO SLUŽBA
Centrální služba vzdáleného podpisu
Přihlášení
SSO
Souhlas
Aplikace*
Uživatel Požadavek
na podpis
Podepiš
HSM (QSCD)
Podepsáno
Podepsaný
dokument
* Univerzální aplikace pro všechny PC/mobilní platformy nezávislá na OS, web prohlížeči čí aplikačním toolkitu
ELEKTRONICKÝ PODPIS JAKO SLUŽBA
Hlavní přínosy
Intuitivní a snadné ovládání
Elektronický podpis
kdykoli a odkudkoli
Nezávislost na typu zařízení
Vyšší bezpečnost Audit a monitoring
ELEKTRONICKÝ PODPIS JAKO SLUŽBA
1
Uživatel
Mobilní zařízení
0
5
Uživatelský
portál
CA/QTSP
1 2
4
0
3
7
5
7
Signature
provider
(QSCD)
HSM
(QSCD)
Aplikace
Zdroj identit
0
Zajištění certifikátu
Přihlášení do aplikace
Vyžádání podepsání
Zahájení procesu podepisování
1
2
3
4
5
Požadavek na autorizaci podepsání Aktivace a použití soukromého klíče v HSM
6
7
Vygenerování el. podpisu v HSM Vytvoření el. podepsaného dokumentu a jeho předání aplikaci
VÍCEFAKTOROVÁ AUTENTIZACE / AUTORIZACE
Bezpečné ověření identity uživatele a autorizace podpisu
PIN Heslo One-Time Password emailem nebo SMS
Autentizace
mobilním telefonem
ELEKTRONICKÝ PODPIS JAKO SLUŽBA
1
Uživatel
Mobilní zařízení
0
5
Uživatelský
portál
CA/QTSP
1 2
4
0
3
7
5
7
Signature
provider
(QSCD)
HSM
(QSCD)
Aplikace
Zdroj identit
0
Zajištění certifikátu
Přihlášení do aplikace
Vyžádání podepsání
Zahájení procesu podepisování
1
2
3
4
5
Požadavek na autorizaci podepsání Aktivace a použití soukromého klíče v HSM
6
7
Vygenerování el. podpisu v HSM Vytvoření el. podepsaného dokumentu a jeho předání aplikaci
BEZPEČNÉ ULOŽENÍ KLÍČŮ
HSM jako kvalifikovaný prostředek (QSCD)
Certifikace jako QSignCD
Certifikace FIPS 140-2 Level-3, Common Criteria EAL4+
Co to vlastně je Hardware Security Module?
• specializované vysoce bezpečné zařízení pro:
• generování silných kryptografických klíčů
• ochranu privátních klíčů
• poskytování šifrovacích služeb
• správu a archivaci kryptografických klíčů
VIRTUÁLNÍ ČIPOVÁ KARTA
Užitečná aplikace služby pro vzdálený elektronický podpis
Náhrada fyzické karty pro lokální aplikace
• chování obdobné jako při vložení fyzické čipové karty do čtečky
Aplikace není nutné jakkoliv upravovat
• pokud již dnes podporují podepisování pomocí standardních rozhraní OS
Vzdálený podpis jako přímá náhrada fyzické karty
• vhodné například i do prostředí s virtualizovanými desktopy
Překlenovací řešení do přechodu na aplikace s podporou mobilních platforem
• s klasickou službou vzdáleného podpisu
OBELISK Signing Portal – systém pro centrální zpřístupnění elektronického podepisování informačním systémům a koncovým uživatelům.
PODPISOVÁ FLOW
Online podpis
Uživatelské podepsání bez čekání
v rámci jednoho volání webové služby
Odložený podpis
Shromáždění požadavků na podpis
v podpisovém portálu
Uživateli jsou dokumenty k podepsání dostupné po přihlášení
UŽIVATELSKÉ GUI
Dokumenty k podpisu
UŽIVATELSKÉ GUI
Obrazovky dle rolí uživatelů
HROMADNÉ ZPRACOVÁNÍ
Podpis / schválení / odmítnutí více dokumentů najednou
PROHLÍŽEČ DOKUMENTŮ
NOTIFIKACE & XXXXXXXX
Notifikace
Přizpůsobitelné notifikované události Přizpůsobitelní příjemci notifikací Přizpůsobitelný obsah sdělení
Upomínky
Podpisový požadavek je opatřen
očekávaným datumem splnění
Při překročení termínu jsou řešiteli odesílány upomínky
AUDIT A MONITORING
Monitoring
Sleduje se:
• Celkový stav systému
• Stav jednotlivých komponent
• Průchod požadavků systémem
Stav je dostupný přes webové GUI
nebo přes SNMP
Lze definovat vlastní semafory
Audit
Záznam celého procesu podepisování
Dostupnost logů:
• Ve webovém GUI
• Přes dedikovaný databázový pohled
PŘÍNOSY
Podpora různých
způsobů podpisu
Hromadné podepisování
Přidání pečeti
s časovým razítkem
Nezávislost na business systémech
Nezávislost na
operačním systému
Přihlášení pomocí
Single Sign On
INTEGRACE S PRODUKTY DIGITÁLNÍ DŮVĚRY
Podpisem to teprve začíná
PEČETĚNÍ
ČASOVÉ RAZÍTKO
VALIDACE PODEPISOVÁNÍ
ARCHIVACE
UKLÁDÁNÍ
DOKUMENTŮ
ONLINE SEMINÁŘE
28. 5. 2020
2. 6. 2020
9. 6. 2020 4. 6. 2020